Corte Superiore di Vienna: Facebook può "bypassare" il consenso del GDPR, ma deve dare accesso ai dati

Dic 29, 2020

Il Tribunale Superiore di Vienna (Oberlandesgericht Wien) ha pronunciato oggi una sentenza secondo cui Facebook deve pagare al sig. Schrems 500 euro di danni emotivi e concedergli il pieno accesso a tutti i dati che Facebook possiede su di lui. Tuttavia, il gigante di internet non ha bisogno di ottenere il consenso degli utenti per utilizzare i loro dati ai sensi della legge UE sulla protezione dei dati (GDPR). Facebook può invece semplicemente concedersi il diritto di utilizzare tutti i dati nei suoi termini e condizioni.

Il "bypass del consenso" di Facebook è legale? Il GDPR consente diverse basi per il trattamento dei dati personali: Per esempio, il consenso o un contratto. I contratti di diritto civile non devono soddisfare i severi requisiti del "consenso" previsti dal GDPR. Ciò significa che l'azienda non deve dare agli utenti una libera scelta e ottenere un consenso separato e inequivocabile. Oltre al sistema di consenso, gli utenti non possono ritirare il loro consenso quando cambiano idea.

In seguito a questa idea, Facebook ha semplicemente copiato il consenso precedente nei suoi termini e condizioni di diritto civile la notte del 25.5.2018, quando il GDPR è entrato in vigore. L'azienda ora sostiene di avere un "contratto" per il trattamento dei dati degli utenti. Questo nuovo contratto sostituisce quindi il consenso utilizzato prima dell'entrata in vigore della GDPR. L'obiettivo era chiaramente quello di eludere i requisiti più severi in materia di protezione dei dati richiesti dal legislatore dell'UE: Gli utenti di Facebook hanno ora meno diritti in base alla GDPR di quanto non avessero prima in base alla vecchia legge sulla protezione dei dati, perché, secondo il Tribunale regionale superiore di Vienna, hanno stipulato un contratto per ricevere pubblicità personalizzata.

In un sondaggio rappresentativo di 1.000 utenti di Facebook, tuttavia, solo l'1,6% degli utenti ha riconosciuto tale "contratto". La maggioranza ha dato per scontato il "consenso" - come ha fatto l'attore. Anche l'Ufficio europeo per la protezione dei dati (EDPB) non ammette esplicitamente "contratti per l'utilizzo dei dati" al posto del consenso.

Schrems:"La Corte austriaca permette a Facebook di aggirare i nuovi requisiti GDPR. Facebook ha appena copiato il "consenso" in un altro documento nella notte in cui è entrato in vigore il GDPR e sostiene che si tratterebbe di un contratto, non di un consenso. Questo avrebbe avuto la conseguenza che gli europei sarebbero stati spogliati delle loro nuove protezioni. Facebook sta chiaramente abusando della legge e questo non può essere tollerato"

Facebook deve pagare 500 euro e dare pieno accesso ai dati. D'altra parte Facebook ha perso il suo appello sul diritto di accesso. I tribunali austriaci hanno sostenuto in due casi che Facebook non concede agli utenti il pieno accesso a tutti i dati rilevanti nei loro vari "strumenti" di accesso. La Corte ha inoltre stabilito che gli utenti hanno il diritto di sapere quali altre parti hanno fornito dati a Facebook o se e a chi Facebook ha fornito i dati. Poiché Facebook ha costantemente lasciato il sig. Schrems all'oscuro di questi dettagli, essi sono tenuti a pagare almeno l'importo simbolico di 500 euro che il sig. Schrems ha chiesto a titolo di risarcimento dei danni emotivi.

Schrems:"È chiaro che Facebook non fornisce di fatto le informazioni pertinenti. Sono lieto di vedere che la Corte ha ammesso il risarcimento dei danni anche per questi casi, in cui le aziende negano costantemente agli utenti il loro diritto di sapere quali dati un'azienda detiene su di loro"

Appello alla Corte Suprema austriaca e potenziale riferimento alla CGUE: La Corte Superiore di Vienna ha accolto il ricorso alla Corte Suprema Austriaca (OGH). Il signor Schrems presenterà tale ricorso al suo avvocato Katharina Raabe-Stuppnig. È probabile che la Corte Suprema austriaca possa deferire tali questioni alla Corte di Giustizia Europea (CGUE). Questa Corte suprema dell'UE avrebbe l'ultima parola se il bypass GDPR di Facebook fosse legale.

Schrems:"Sembra che la Corte non abbia approfondito molti dei problemi che questo caso sta sollevando. Cercheremo chiaramente di portare questo caso ai più alti tribunali. Ci potrebbe essere un riferimento alla CGUE sulle questioni fondamentali entro la primavera del 2021. Se l'industria può solo aggiungere una riga alle loro condizioni, per aggirare i requisiti di consenso del GDPR, possiamo distruggere gran parte del GDPR"