noyb accoglie con favore l'importante decisione di ieri della Corte Federale di Giustizia tedesca in merito alle richieste di risarcimento in relazione a un incidente sulla protezione dei dati di Facebook
Copyright per l'immagine di testa qui sopra: Steffen Prößdorf, CC BY-SA 4.0 , via Wikimedia Commons
Dichiarazione di Max Schrems.
Max Schrems: "Nonostante le chiare disposizioni del GDPR e diverse sentenze della CGUE, i tribunali tedeschi hanno regolarmente rifiutato il risarcimento dei danni nei casi di protezione dei dati. Siamo lieti che il BGH abbia deciso di intervenire e di allineare la giurisprudenza tedesca. Il dibattito giuridico in Germania è stato finora dominato dagli avvocati d'impresa e alcuni tribunali si sono lasciati influenzare dalle loro teorie grossolane, respingendo rapidamente i casi delicati relativi al GDPR. Di conseguenza, la Germania è diventata un problema a livello europeo per i casi di protezione dei dati"
Tribunali e letteratura tedeschi finora estremamente ostili al GDPR. In Germania, la letteratura giuridica ha una grande influenza sui tribunali. Nel settore della protezione dei dati, tuttavia, ci sono quasi solo avvocati specializzati nel settore aziendale. Inoltre, la ricerca nel campo dei diritti digitali viene sempre più spesso commissionata e pagata dalle aziende in misura allarmante, spesso senza che ciò venga reso noto. In questo contesto, è emersa un'industria che continua a produrre teorie grossolane sul perché le richieste di risarcimento per il GDPR dovrebbero essere respinte o perché i danni per le violazioni della protezione dei dati sono praticamente inesistenti.
Ad esempio, in Germania è stata inventata una "soglia di rilevanza", in seguito alla quale i tribunali hanno respinto molti casi di risarcimento danni da GDPR in quanto "irrilevanti". Anche i tribunali austriaci hanno abbracciato questa teoria, sebbene il GDPR non offra alcuna base per farlo. Solo la CGUE ha messo fine a questa situazione(C-300/21 Österreichische Post). Tuttavia, alcuni tribunali tedeschi hanno ripetutamente respinto tali casi, contrariamente alla sentenza della CGUE.
La violazione della privacy è il "danno primario". Spesso è difficile calcolare il danno quando i diritti non sono direttamente "misurabili". Tuttavia, in altri settori oltre alla protezione dei dati, questo non è un motivo per non concedere un risarcimento. Nel diritto dei media, ad esempio, un insulto può essere un "danno" tanto quanto il dolore di una gamba rotta. In altri settori, i tribunali hanno gradualmente stabilito quale sia il risarcimento adeguato. In alcuni Paesi dell'UE, ciò ha portato anche allo sviluppo di "tabelle di frattura" informali per le richieste di risarcimento.
i "danni secondari" possono essere risarciti in modo indipendente. Il danno al diritto fondamentale alla protezione dei dati può anche essere separato dal "danno secondario". Ad esempio, si può già soffrire per la pubblicazione illegale di una malattia. Se poi si perde il lavoro a causa della pubblicazione, si tratta di un secondo danno secondario indipendente, che può essere risarcito separatamente. Finora i legali delle aziende hanno sempre negato che il diritto fondamentale alla protezione dei dati sia di per sé un danno e si sono concentrati sul danno secondario (raro e difficile da dimostrare).
La decisione in sintesi: nella sua decisione principale di ieri, la Corte federale di giustizia ha stabilito che la semplice perdita di controllo sui propri dati personali può costituire un danno risarcibile ai sensi del GDPR, a condizione che tale danno sia dovuto a una violazione del GDPR. In questo modo, la Corte suprema tedesca segue la giurisprudenza della CGUE (cfr.(C-200/23). Non sono necessari ulteriori svantaggi, come l'abuso specifico dei dati o altre conseguenze negative, per concedere agli interessati un risarcimento ai sensi del GDPR. Anche se il BGH si è occupato specificamente di una violazione dei dati su Facebook, le affermazioni contenute nella sentenza possono probabilmente essere applicate ad altri scenari in cui gli interessati sono illegittimamente privati del controllo sulla loro privacy.
