Datenscraping su Facebook: l’OLG Francoforte riconosce 200 euro di risarcimento per danno non patrimoniale
Con sentenza del 24 aprile 2024 (Az. 6 U 79/23), l’Oberlandesgericht Francoforte sul Meno ha chiarito che alle persone interessate, in caso di utilizzo e trasmissione illecita di dati personali tramite il cosiddetto “datenscraping”, può spettare un diritto al risarcimento per danno non patrimoniale. La decisione esamina questioni centrali del diritto europeo in materia di protezione dei dati e le sue ricadute pratiche soprattutto nell’ambito dei social network di ampia portata. Questa analisi affronta la sentenza, i suoi presupposti e i diversi livelli di significato che ne derivano per aziende, gestori di piattaforme e persone private interessate.
Contesto della causa: portata massiccia dell’estrazione di dati
La sentenza dell’OLG Francoforte riguarda l’utilizzo non autorizzato di informazioni personali di oltre 500 milioni di utenti Facebook, i cui dati di contatto sono stati estratti automaticamente tramite cosiddetti scraper e successivamente pubblicati su Internet. L’attore ha sostenuto che il suo numero di cellulare è stato raccolto e reso accessibile tramite processi automatizzati senza il suo consenso. Secondo il tribunale, questa modalità viola le disposizioni del Regolamento generale sulla protezione dei dati (GDPR).
Dimensioni tecniche e giuridiche del datenscraping
Nello scraping vengono utilizzati strumenti tecnici per estrarre automaticamente informazioni accessibili pubblicamente da servizi web. Spesso queste attività riguardano grandi piattaforme come Facebook, che archiviano una molteplicità di dati sensibili. Poiché in particolare le informazioni di contatto possono diventare involontariamente accessibili tramite la combinazione di determinate impostazioni, sussiste un notevole rischio di abuso per le persone coinvolte.
Considerazioni centrali dell’OLG Francoforte
Interpretazione del concetto di danno non patrimoniale
Al centro della decisione vi è l’interpretazione del danno non patrimoniale ai sensi dell’art. 82 GDPR. Il tribunale ha chiarito che già la pubblicazione illecita di dati personali di contatto può fondare un diritto al risarcimento. A differenza dei danni fisici o patrimoniali, per il danno non patrimoniale è sufficiente la mera compromissione oggettiva del bene giuridico – ad esempio attraverso la perdita di controllo sui propri dati o il rischio di un futuro abuso.
L’OLG Francoforte precisa che, ai fini del riconoscimento del diritto, non sono necessarie conseguenze verificabili come furto d’identità o spam. È sufficiente riscontrare che, a causa della divulgazione dei dati, sia stato leso un interesse alla riservatezza, alla protezione e all’integrità.
Entità del risarcimento e relative motivazioni
L’importo riconosciuto di 200 euro può sembrare basso rispetto al numero degli interessati. Tuttavia, il tribunale ha spiegato che tale somma riflette la portata concreta della compromissione, in particolare in caso di episodi isolati privi di danni consequenziali dimostrabili. È stato inoltre sottolineato che misure di sicurezza conformi al GDPR e opzioni di impostazione trasparenti da parte dei gestori di piattaforme sono essenziali per prevenire tali violazioni.
Responsabilità dei gestori di piattaforme
La sentenza sottolinea i severi requisiti cui sono soggetti i titolari del trattamento nell’ambito del GDPR. I gestori di grandi social network devono adottare adeguate misure tecniche e organizzative per impedire l’estrazione e la trasmissione non autorizzate dei dati degli utenti. Già la mancanza di adeguati meccanismi di protezione può costituire una violazione degli obblighi in materia di protezione dei dati e far sorgere pretese risarcitorie da parte degli interessati.
Rilevanza per aziende e privati
Per le aziende e gli utenti istituzionali delle piattaforme, dalla decisione dell’OLG Francoforte scaturiscono implicazioni di ampia portata. Da un lato, i responsabili sono ancora una volta richiamati ai loro obblighi ampi nella gestione dei dati personali. Dall’altro lato, la sentenza evidenzia come anche una violazione relativamente lieve possa generare diritti al risarcimento – un fattore che, specialmente nei casi di massa, può tradursi rapidamente in importi considerevoli.
Anche per le persone i cui dati sono stati coinvolti, la sentenza chiarisce che le violazioni della protezione dei dati non devono necessariamente rimanere senza conseguenze e che i tribunali possono riconoscere un risarcimento misurabile alle parti lese.
Contestualizzazione e significato per le future procedure
La decisione dell’OLG Francoforte si inserisce nella giurisprudenza attuale sul GDPR, nella quale i tribunali sanzionano sempre più spesso violazioni degli obblighi di protezione dei dati anche in assenza di danni individuali rilevanti. Tuttavia, la questione dell’ammontare adeguato del danno non patrimoniale resta una valutazione caso per caso, nella quale estensione e gravità della violazione sono determinanti. È prevedibile che questa giurisprudenza acquisirà ulteriore rilevanza, in particolare in relazione a future azioni collettive, procedimenti di gruppo e violazioni della protezione dei dati.
Prospettive aggiuntive
Aziende e privati sono chiamati, vista questa evoluzione, a familiarizzare con le norme attuali, le posizioni giuridiche e i requisiti tecnici per la protezione dei dati personali. La particolare dinamicità dell’innovazione tecnologica e il continuo sviluppo delle piattaforme digitali di comunicazione rendono indispensabile un monitoraggio costante delle evoluzioni nel diritto della protezione dei dati.
Qualora da questa tematica o da fattispecie analoghe derivino ulteriori quesiti, si consiglia di verificare attentamente la situazione giuridica attuale e le possibili azioni da intraprendere. I Rechtsanwalt di MTR Legal, forte di una lunga esperienza, è a disposizione per offrire assistenza in caso di domande individuali in materia di protezione dei dati personali, richieste di risarcimento e requisiti di compliance.
