Allarmante: La Corte di giustizia può limitare fortemente l'applicazione dei diritti alla privacy degli europei
Quasi sconosciuto al grande pubblico, l'Avvocato generale (AG) della Corte di giustizia dell'Unione europea (CGUE) ha emesso un parere che mira a limitare una delle ultime possibilità per gli utenti di far valere i propri diritti alla privacy ai sensi del GDPR. Secondo l'AG, i cittadini europei difficilmente otterrebbero un risarcimento per le violazioni del GDPR, sebbene quest'ultimo preveda esplicitamente una richiesta di danni morali. La sentenza definitiva sarà emessa dalla CGUE nei prossimi mesi.
- Parere dell'AG in C-300/21
- Riferimento austriaco alla CGUE sui danni morali (in tedesco)
- Sentenza finale austriaca sulle altre richieste di risarcimento in questo caso (in tedesco)
Altre risorse:
- Analisi dettagliata del parere dell'AG da parte di Max Schrems
- podcast "Grump GDPR" con Max Schrems su questo parere (su transistor.fm)
Contesto del caso. Il servizio postale austriaco ha calcolato illegalmente l'orientamento politico di milioni di austriaci, in violazione del GDPR. Un querelante viennese che è stato ingiustamente associato al Partito della Libertà, populista di destra, ha citato il Servizio Postale per danni, chiedendo 1.000 euro per la forte rabbia, la perdita di fiducia e la sensazione di esposizione. Il GDPR prevede esplicitamente una richiesta di risarcimento per danni morali. Tuttavia, la Corte Suprema austriaca (OGH) ha sottoposto tre questioni alla CGUE, chiedendo se l'articolo 82 del GDPR consenta il risarcimento dei danni senza danni materiali o se i tribunali austriaci possano richiedere una "soglia" aggiuntiva per concedere i danni non materiali.
Nessun risarcimento per la maggior parte delle violazioni del GDPR? La Corte Suprema austriaca ha chiesto principalmente se può limitare la concessione di danni non materiali, se la rabbia di un querelante non va oltre la rabbia che deriva dalla violazione dei diritti del GDPR. Poiché questa definizione includerebbe tutti i tipi realistici di rabbia che possono derivare da una violazione del GDPR, essa comprometterebbe in larga misura l'intento del legislatore di concedere danni morali per le violazioni del diritto alla protezione dei dati.
Max Schrems: "Questo caso è profondamente preoccupante. Se prevarrà il parere della Corte Suprema austriaca e dell'Avvocato generale, la maggior parte degli utenti non vedrà più un risarcimento per le violazioni del GDPR. Negli ultimi giorni ho parlato con molti esperti e la preoccupazione è molto diffusa."
Altre opzioni non efficienti. Il parere dell'AG indica ripetutamente altre opzioni rispetto al risarcimento, come semplici dichiarazioni, danni nominali (di solito 1 euro) o ingiunzioni. Sebbene qualsiasi querelante indubbiamente ha il diritto di presentare tali richieste, in genere non possono rimediare a violazioni passate o richiamare dati condivisi illegalmente. I querelanti dovrebbero investire ingenti somme di denaro per ottenere semplicemente un pezzo di carta che attesti che hanno ragione. I responsabili del trattamento se ne andrebbero con i profitti derivanti dalle violazioni del GDPR senza alcuna conseguenza realistica.
Max Schrems: "Un'azione civile costa migliaia e spesso decine di migliaia di euro. Nessuno presenterebbe una richiesta di risarcimento solo per ottenere un pezzo di carta che attesti che ha ragione"
Il parere dell'AG indica anche alle autorità di protezione dei dati (DPA) di fare il loro lavoro. In realtà, molte DPA ritengono ancora di non avere il dovere di far valere i diritti degli utenti. Alcune DPA ritengono che gli utenti non siano nemmeno una parte in causa in un procedimento davanti a loro. Il parere dell'AG sostiene che un maggior numero di cause civili "priverebbe" le DPA di reclami, quando in realtà molte non trattano nemmeno il numero attuale di reclami.
Max Schrems: "Alcune sezioni di questo parere sono profondamente ciniche per chiunque lavori nel settore. Il GDPR presenta un'enorme lacuna nell'applicazione. Allo stesso tempo, sembra che il parere prenda in considerazione molti argomenti per limitare l'applicazione. Si tratta di un approccio molto problematico che proviene dalla Corte di giustizia."
"Danni" frammentati nell'UE? Il parere dell'AG sembra anche consentire ai 30 Stati membri dell'UE e del SEE di elaborare proprie "soglie" o altre leggi nazionali che possano limitare il risarcimento integrale dei danni non materiali chiaramente previsto dal GDPR. Ciò porterebbe a una massiccia frammentazione, in quanto alcuni Stati membri consentirebbero il risarcimento integrale e altri potrebbero introdurre limiti sempre più elevati.
Non c'è chiarezza nemmeno nel caso in questione. Anche se si accettano i pareri dell'AG, non c'è una risposta chiara al caso in questione. La stessa nota 86 ammette che "esponendoqueste considerazioni, non sto pregiudicando se, in questo caso, la situazione [del ricorrente] rientri in una categoria o nell'altra" - il che significa che non è ancora chiaro se il ricorrente nel caso austriaco debba ottenere un risarcimento o meno.
Parere non giuridicamente rigoroso. Oltre ai dubbi sulle conclusioni del parere dell'AG, il parere presenta anche gravi carenze giuridiche. Il parere sostiene in parte che le norme sul risarcimento dei danni dovrebbero essere armonizzate nell'UE, per poi affermare che gli Stati membri possono discostarsi dalla legge. Inoltre, concetti come la "perdita di controllo" o la libera circolazione dei dati personali nell'UE sembrano essere drasticamente fraintesi nel parere dell'AG. noyb ha preparato una sintesi legale di 10 pagine del parere dell'AG, evidenziando molti di questi errori piuttosto tecnici nel parere.
Max Schrems: "Speriamo vivamente che i giudici non seguano questo parere. Non risolve le questioni sottoposte alla Corte, né è giuridicamente valido, ma potrebbe essere utilizzato per chiudere una delle ultime strade per l'applicazione del GDPR."
Crescente azione giudiziaria contro i diritti del GDPR. Mentre la CGUE ha finora adottato un approccio molto neutrale e tecnico al GDPR, diventa sempre più evidente che alcuni tribunali nazionali sottopongono alla CGUE innumerevoli questioni che mirano a limitare il GDPR. Attualmente, ci sono circa 40 rinvii alla CGUE, prevalentemente per questioni che consentirebbero di limitare i diritti del GDPR o per questioni che non sono chiaramente decise ai sensi del GDPR.
Max Schrems: "Vediamo una tendenza preoccupante: i tribunali stanno limitando a poco a poco i diritti previsti dal GDPR e aggiungono sempre più ostacoli. Mentre il 96% del Parlamento europeo e tutti gli Stati membri dell'UE si sono schierati a favore di una forte protezione della privacy, difficilmente ne vediamo l'applicazione sul campo. Sembra che alcuni giudici siano stati convinti dall'industria che il GDPR debba essere limitato. Vediamo sempre più sentenze che cercano di annullare gradualmente il GDPR limitando i ricorrenti e le autorità. Questa tendenza si registra soprattutto nei Paesi di lingua tedesca e nei Paesi Bassi. Alcuni tribunali sembrano sperare che la CGUE limiti il GDPR. In molte sentenze si legge come se i giudici volessero fare la cosa giusta aggiungendo questi ostacoli, mentre in realtà si discostano da una chiara decisione democratica."
La decisione finale della CGUE su questo caso sarà emessa nei prossimi mesi.
