noyb segue l'idea di un contenzioso mirato e strategico per rafforzare il diritto alla privacy: In pratica, perseguiamo questo obiettivo analizzando a fondo e dando priorità alle violazioni della privacy, individuando i punti deboli di questi casi dal punto di vista legale e affrontandoli con la migliore strategia possibile e il metodo più efficace per ottenere il massimo impatto. noyb presenta denunce contro le aziende presso l'autorità competente per la protezione dei dati (DPA) o porta i casi direttamente in tribunale. Nella nostra strategia di contenzioso, distinguiamo tra casi di definizione degli standard e azioni di esecuzione.
Casi di definizione degli standard: Il GDPR è una legge piuttosto nuova, pertanto molti elementi sono ancora poco chiari o contestati. Sviluppiamo cause complesse che riguardano questi aspetti incerti, noyb mira a ottenere una decisione da parte dei più alti tribunali o organi di tutela della privacy dell'Unione Europea (CGUE o EDPB) che stabilisca uno standard per la futura interpretazione del GDPR.
Azioni di applicazione: In alcuni casi, la legge è molto semplice, ma le aziende semplicemente non la rispettano. Pertanto, noybnon mira a ottenere una decisione della CGUE o dell'EDPB, ma a garantire che le autorità nazionali per la protezione dei dati applichino la legge sul campo per fermare le attività illegali delle aziende. Per un impatto ancora maggiore, noyb spesso avvia procedimenti di massa e presenta cause in più Paesi. Due esempi di tali azioni di enforcement sono noyb101 denunce sui trasferimenti illegali di dati negli Stati Uniti o le nostre denunce di massa contro i banner ingannevoli dei cookie.
Ci avvaliamo anche di iniziative di PR e media per sostenere il diritto alla privacy senza dover andare in tribunale. Inoltre, promuoviamo una comprensione comune del GDPR e mettiamo a disposizione una piattaforma informativa chiamata GDPRhub, che riassume le decisioni del GDPR e la letteratura legale. Ultimo ma non meno importante, noyb sta unendo le forze con altre organizzazioni per massimizzare l'impatto del GDPR, evitando strutture parallele.
Come nascono le idee per i progetti?
Da un lato, noyb riceve segnalazioni di violazioni della privacy da parte dei nostri membri sostenitori, del pubblico in generale o degli informatori, dall'altro lato noybidentifica i potenziali progetti in base ai seguenti fattori:
- Impatto elevato e diretto: Un caso o un progetto dovrebbe avere un impatto diretto sul maggior numero di persone possibile, ad esempio perché riguarda un intero settore o una pratica comune a diversi settori industriali e Stati membri. Inoltre, puntiamo a far crescere i nostri progetti per amplificare ulteriormente l'impatto e suscitare la conformità in generale, grazie al cosiddetto effetto di ricaduta.
- Elevate possibilità di successo: In quanto organizzazione finanziata da donazioni, noyb deve destinare i fondi ai progetti che hanno un'alta probabilità di successo. I casi persi possono ritorcersi contro l'obiettivo generale di promuovere la privacy e la protezione dei dati. Sebbene il nostro obiettivo sia quello di avviare casi con un'alta possibilità di successo (ad esempio perché la violazione è evidente e la legge è chiara, il che vale per le nostre "azioni esecutive"), ci sono casi che necessitano di chiarimenti ma che valgono il rischio ("casi di definizione degli standard").
- Elevato rapporto input/output: Ci impegniamo solo in casi o progetti con un elevato rapporto input/output, per massimizzare l'uso dei nostri fondi. Pertanto, ci rivolgiamo agli attori più importanti e ai problemi di privacy.
- Strategico: il contenzioso strategico si basa sulla considerazione di tutti gli elementi che possono influire sul caso o sul progetto e sull'assunzione di decisioni informate al riguardo. Per ogni caso, occorre valutare individualmente i tempi, la giurisdizione, i costi, i modelli di fatto, i ricorrenti e i controllori. noyb monitora anche le attività delle DPA e dei tribunali per sfruttare le condizioni più favorevoli (spese processuali, tempi medi di elaborazione, competenze e simili) per i nostri reclami.
Reclami
I reclami vengono presentati a un'autorità nazionale per la protezione dei dati (DPA) e rappresentano un modo efficiente in termini di costi per applicare il GDPR. Quando riceve un reclamo, l'autorità deve indagare ed emettere una decisione entro un periodo di tempo ragionevole (ad esempio, in Austria entro sei mesi). Spesso, diverse DPA devono collaborare per giungere a una decisione ai sensi del GDPR, ad esempio se l'utente interessato e l'azienda coinvolta non hanno sede nello stesso Paese. Se l'autorità di protezione dei dati non decide entro il termine stabilito o se l'interessato non è d'accordo con le motivazioni giuridiche, la decisione può essere impugnata presso i tribunali competenti.
Cause legali
Esistono due tipi di cause legali. Il primo è costituito dalle azioni legali rivolte direttamente all'azienda. Queste azioni legali hanno in genere un costo maggiore rispetto ai reclami, ma sono spesso uno strumento ancora più potente. Un vantaggio è che le cause non sono soggette a una procedura transfrontaliera, come nel caso di un reclamo contro un'azienda situata in un altro Stato membro. Ad esempio, una procedura transfrontaliera si applicherebbe se il denunciante risiedesse in Austria, ma l'azienda oggetto del reclamo avesse sede in Irlanda.
Un altro tipo di causa è il processo di appello di un reclamo. Questo tipo di azione legale ha per oggetto la decisione dell'autorità. Il tribunale può rinviare il caso all'istanza successiva, fino alla Corte di giustizia, che deve decidere su questioni fondamentali di interpretazione giuridica.