BREAKING: OGH austriaco chiede alla CJEU se Facebook "mina" il GDPR dal 2018

Lug 20, 2021

BREAKING: La Corte Suprema austriaca chiede alla CGUE se Facebook "mina" il GDPR confondendo il "consenso" con un presunto "contratto".

In una lunga causa civile tra Max Schrems e Facebook, la Corte Suprema austriaca (Oberster Gerichtshof, o "OGH") ha accettato la richiesta del signor Schrems di sottoporre una serie di questioni alla Corte di giustizia dell'Unione europea (CJEU, la più alta Corte dell'UE). Le quattro domande sollevano dubbi fondamentali sulla legalità dell'uso dei dati di Facebook su tutti i clienti dell'UE

Parallelamente, la Corte suprema austriaca ha anche deciso in una sentenza parziale che il signor Schrems ottiene 500 euro di danni emotivi simbolici perché Facebook non ha dato pieno accesso ai dati del signor Schrems, ma ha inscenato una "caccia all'uovo" per i dati degli utenti.

(1) Riferimento alla CGUE:

Domanda fondamentale: "Consenso" o "contratto"? La Corte Suprema austriaca ha dubbi sulla base giuridica che Facebook utilizza per quasi tutti i trattamenti dei dati degli utenti. Il GDPR elenca sei opzioni per trattare legalmente i dati personali, tra cui "consenso" e "contratto". Si può fare affidamento sul "contratto" solo se il trattamento è necessario per l'esecuzione del contratto.

Prima del GDPR, Facebook sosteneva che gli utenti "acconsentivano" al loro trattamento della pubblicità personalizzata. Tuttavia, il GDPR ha aumentato i requisiti affinché il consenso sia valido e ha anche dato agli utenti il diritto di ritirare il loro consenso in qualsiasi momento.

Così, il 25 maggio 2018, quando il GDPR è diventato applicabile, Facebook non ha più sostenuto di fare affidamento sul consenso. Invece, Facebook ha detto che le clausole di consenso devono essere viste come un "contratto" in cui gli utenti hanno "ordinato" pubblicità personalizzata. Secondo Facebook, questo aggiramento permette loro di spogliare gli utenti di tutti i diritti legati al consenso ai sensi del GDPR. I requisiti di un consenso "liberamente dato" o "informato" non sarebbero più applicabili se viene interpretato come un "contratto".

Max Schrems, presidente di noyb.eu:"Facebook cerca di spogliare gli utenti di molti diritti del GDPR semplicemente "reinterpretando" il consenso come un contratto di diritto civile. Questo non è stato altro che un tentativo economico di aggirare il GDPR."

OGH: Facebook potrebbe illegalmente "minare" il GDPR. La Corte suprema austriaca sembra condividere queste preoccupazioni. Nel suo riferimento alla CGUE, la Corte suprema austriaca riassume il suo punto di vista al punto 54 del riferimento:

"Una questione centrale del presente procedimento è se la dichiarazione di intenzione di trattamento può essere spostata dal convenuto sotto il concetto giuridico secondo l'articolo 6(1)(b) GDPR al fine di "minare" la protezione significativamente più elevata che la base giuridica "consenso" offre al ricorrente."

Max Schrems:"Fondamentalmente tutto l'uso dei dati che genera profitti per Facebook nell'UE si basa su questo argomento legale. Se Facebook perde alla CJEU, non solo dovrebbe fermare questo e cancellare tutti i dati generati illegalmente, ma anche pagare i danni a milioni di utenti. Sono molto felice di questo riferimento"

Altre domande sulla minimizzazione dei dati e sui dati sensibili. La Corte suprema austriaca ha rinviato alla Corte di giustizia altre tre domande sulla legalità dell'uso dei dati personali da parte di Facebook. La CJEU dovrà decidere se l'uso di tutti i dati su facebook.com e da innumerevoli altre fonti, come i siti web che usano i pulsanti "Mi piace" di Facebook o la pubblicità, per qualsiasi scopo, è compatibile con il principio di "minimizzazione dei dati" del GDPR. Altre due domande riguardano l'uso da parte di Facebook di dati sensibili (come le opinioni politiche o l'orientamento sessuale) per la pubblicità personalizzata.

Max Schrems:"Queste ulteriori domande sono cruciali. Facebook potrebbe non essere più autorizzato a usare tutti i dati per la pubblicità, anche quando ha ottenuto un consenso valido. Allo stesso modo, potrebbe dover filtrare dati sensibili come le opinioni politiche o i dati sull'orientamento sessuale. Finora, Facebook ha sostenuto che non fa differenza tra questi tipi di dati"

(2) Sentenza parziale su danni, accesso, ruoli e "Easter Eggs"

Inoltre, la Corte Suprema austriaca ha emesso una sentenza definitiva su alcune richieste che possono essere decise senza la necessità di un riferimento alla CGUE.

500 euro per "fastidio massiccio", mancanza di accesso ai dati e "uova di Pasqua". La Corte suprema austriaca ha deciso che il signor Schrems ottiene 500 euro di risarcimento monetario perché Facebook non gli ha dato pieno accesso ai suoi dati. La Corte ha ritenuto che non ha ottenuto tutti i dati grezzi, né informazioni cruciali come la base legale sulla quale i suoi dati sono stati trattati. La Corte ha sottolineato che i dati che Facebook ha offerto tramite il suo strumento online erano dispersi tra più di 60 categorie di dati con centinaia se non migliaia di punti di dati, che avrebbero richiesto un paio d'ore per scavare.

La Corte ha dichiarato al paragrafo 153: "Il ricorrente fa giustamente notare che il GDPR si basa su una richiesta di accesso una tantum, non su una 'caccia alle uova di Pasqua'".

La Corte suprema austriaca è stata anche piuttosto chiara sulla pretesa di Facebook di aver dato al signor Schrems tutti i dati che ha ritenuto "rilevanti" (paragrafo 152):

"Il fatto che il dovere di fornire informazioni non può dipendere dalla semplice autovalutazione del convenuto ('rilevante') non richiede ulteriori spiegazioni"

Onere della prova su Facebook. La Corte Suprema ha anche spesso sottolineato che Facebook ha l'onere della prova per dimostrare di aver dato pieno accesso o che il trattamento è legale (ad esempio al paragrafo 151). Durante il procedimento, Facebook ha ritenuto che sarebbe spettato al signor Schrems dimostrare che Facebook non aveva fornito tutti i dati e ha semplicemente rifiutato di rispondere alle domande del signor Schrems.

Chi "possiede" i dati su Facebook? Il caso ha messo in discussione i ruoli degli attori sulla piattaforma Facebook. Il signor Schrems ha sostenuto che lui è principalmente responsabile dei dati del suo profilo o dei suoi messaggi su Facebook (legalmente come "controller"), il che significa che Facebook deve seguire i suoi ordini quando per esempio cancella i dati (come semplice "processore"). Facebook ha ritenuto di essere il "controllore" per tutti i dati degli utenti su Facebook - con alcune eccezioni. Il tribunale austriaco di Surpeme ha detto che la questione è irrilevante, poiché l'uso di Facebook rientrerebbe nella "eccezione domestica" e quindi la questione non si porrebbe.

Max Schrems:"Su questo elemento abbiamo tecnicamente 'perso', ma secondo l'opinione della Corte, Facebook sarebbe legalmente responsabile per qualsiasi trattamento illegale su facebook.com - anche quando questo è fatto da altri. Abbiamo proposto un risultato più sfumato, ma la Corte non è entrata nel merito"