Nella sentenza C-416/23, l'Autorità austriaca per la protezione dei dati (DSB) ha ricevuto uno schiaffo dalla CGUE. L'autorità ha fissato - arbitrariamente - il numero di reclami che gli interessati possono presentare a un massimo di due al mese, anche se le violazioni del GDPR si verificano quasi quotidianamente. La CGUE ha ora chiarito che, a condizione che non si presentino reclami abusivi, tutti gli utenti hanno il diritto di ottenere un rimedio a qualsiasi violazione del GDPR da parte del DSB. Purtroppo, il tentativo delle DPA di sbarazzarsi dei reclami non è solo un problema austriaco. I nostri dati mostrano un problema di inattività delle DPA in tutta l'UE.
Licenziamento e interruzione in massa. Per anni il DSB ha sviluppato varie "tecniche" per interrompere il più possibile i procedimenti contro le imprese. Ad esempio, gli interessati vengono spesso minacciati di interrompere il procedimento dopo ogni dichiarazione rilasciata da un'azienda, se non si oppongono entro due settimane. Il DSB interrompe anche i procedimenti su larga scala se un'azienda (dopo anni di controversie) si adegua al GDPR all'ultimo minuto. L'ultimo "trucco" era quello di limitare il numero di reclami a due al mese, anche se gli utenti sono talvolta colpiti da violazioni del GDPR ogni ora. Questo "trucco" è stato ora annullato dalla CGUE dopo che un cittadino ha intentato una causa contro il DSB che è stata portata fino alla CGUE - ma gli altri modi per sbarazzarsi dei reclami sono ancora in uso.
Max Schrems: "I diritti fondamentali esistono sempre, non solo due volte al mese. Se il DSB punisse costantemente le violazioni, ci sarebbero anche meno reclami. Invece, l'autorità utilizza varie tecniche per sbarazzarsi dei ricorrenti. Le aziende hanno imparato che non ci sono conseguenze. Con vari stratagemmi procedurali, si evita una gran parte dei reclami - e le aziende continuano allegramente a violare la legge"
Solo l'1,36% di tutti i procedimenti si conclude con una multa. Attualmente il DSB dichiara che nel 2023 ha condotto 4.030 procedimenti (2.389 reclami nazionali, 876 reclami transfrontalieri e 765 procedimenti d'ufficio). Tuttavia, solo 55 multe sono state comminate nell'intero anno. Ciò significa che, statisticamente, solo l'1,36% di tutti i procedimenti si conclude con una multa. A titolo di confronto: 8.34 milioni di multe stradali sono state emesse in Austria nel 2021. Nelle ore di punta del 2023, più di 7.000 multe al mese per e-scooter parcheggiati in modo scorretto a Vienna. Statisticamente, il DSB impiegherebbe 127 anni per emettere queste 7.000 sanzioni. Tuttavia, molte violazioni del GDPR sono banali come le infrazioni al parcheggio. Le richieste degli utenti non vengono semplicemente elaborate, il consenso non viene ottenuto o i dati non vengono cancellati.
Max Schrems: "Nei momenti di punta, solo a Vienna sono state emesse fino a 7.000 multe mensili per gli e-scooter parcheggiati illegalmente. Al contrario, l'autorità per la protezione dei dati ha imposto solo 55 sanzioni nel 2023. Il parcheggiatore abusivo medio ha più da temere delle aziende che utilizzano in modo improprio milioni di dati personali. In oltre il 98% dei casi sottoposti al DSB, non sono previste sanzioni. Le aziende che rispettano la legge fanno la figura delle stupide"
Un problema non solo austriaco. Il problema non riguarda solo l'Austria, ma le autorità di protezione dei dati in tutta Europa. Nel 2022 (l'ultimo anno con numeri a livello europeo), tutte le autorità di protezione dei dati europee hanno avuto un numero complessivo di 140.106 procedimenti, ma hanno emesso solo 1819 multe contro le aziende. Ciò significa che solo nell'1,3% dei casi sono state inflitte conseguenze gravi. Ciò dimostra chiaramente che esiste un problema a livello europeo di inattività delle DPA e di procedimenti che le autorità trascinano.
Max Schrems: "Vediamo che le autorità di protezione dei dati non agiscono realmente in tutta l'UE. La Corte di giustizia ha ripetutamente detto loro che devono darsi una regolata, ma le statistiche non lo riflettono"
Le procedure richiedono anni, anziché mesi. Secondo il § 73 AVG, il DSB deve decidere entro 6 mesi. In realtà, le procedure durano quasi sempre molto di più. Ad esempio, 3 anni per una decisione su un cookie banner illegale non fa eccezione. Le statistiche noyb per l'Austria mostrano molti casi che attendono ben oltre 6 mesi per una decisione. Anche gli ulteriori ricorsi al Tribunale amministrativo federale richiedono diversi anni invece dei 6 mesi previsti dalla legge. Di conseguenza, l'applicazione della legge in Austria non è assolutamente conforme al diritto dell'UE.
Max Schrems: "Non ho mai visto una procedura DSB che sia stata decisa entro i termini di legge. Invece dei sei mesi previsti, spesso si parla di tre anni o più, anche nel caso di casi del tutto banali come un cookie banner illegale. Il DSB non è strutturalmente in grado di applicare la legge in modo efficiente"
Problemi di budget? Con una multa a Google si pagherebbe il tunnel di base del Brennero. L'Autorità austriaca per la protezione dei dati (DSB) chiede da anni un budget più elevato. Dal 2020, il personale è stato aumentato da 43 a 60 unità. Varrebbe la pena che lo Stato fornisse le risorse necessarie: il DSB non è solo direttamente responsabile delle aziende in Austria, ma anche di molte società internazionali, tra cui Google USA. Una singola sanzione inflitta a Google potrebbe ammontare fino a 6 miliardi di euro, ossia più della quota austriaca di di euro, cioè più della quota austriaca del tunnel di base del Brennero o di una buona parte della Tunnel del Brennero o di una buona parte dell'attuale deficit di bilancio, pari a 15-23 miliardi di euro.
Max Schrems: "Se il DSB si svegliasse finalmente dal suo sonno e ricevesse un budget decente per farlo, potrebbe dare rapidamente i suoi frutti. Una sanzione GDPR contro Google, ad esempio, è più della nostra quota del tunnel di base del Brennero, tanto per dare un'idea della portata. Ma il DSB deve anche diventare più efficiente. Non si può chiedere un budget maggiore e poi continuare a non trattare i casi in modo strutturale"
