OLG Oldenburg nega richieste di risarcimento danni in relazione alla fuga di dati di Facebook
Il Tribunale Superiore Regionale (OLG) di Oldenburg ha respinto in diversi procedimenti d’appello paralleli le richieste di risarcimento danni avanzate da utenti contro la piattaforma Facebook, rappresentata da Meta Platforms Ireland Limited (sentenze del 25.04.2024, Az. 13 U 59/23, 13 U 79/23 e 13 U 60/23). Il tribunale ha così chiarito che le violazioni della protezione dei dati emerse a seguito della nota “fuga di dati di Facebook” non comportano necessariamente un diritto al risarcimento secondo l’art. 82 GDPR.
Contesto: portata e conseguenze della fuga di dati
Ad aprile 2021 è divenuto pubblico che una grande quantità di dati personali degli utenti di Facebook – tra cui nomi, numeri di telefono e altri dati del profilo – fosse stata accessibile liberamente online senza consenso. Secondo gli interessati, tale divulgazione sarebbe stata causata da un’interfaccia tecnica (“Contact Importer”) attraverso la quale gli aggressori hanno potuto raccogliere automaticamente i dati.
Questioni giuridiche centrali nel procedimento
Criterio di valutazione del tribunale
Gli attori hanno fondato principalmente le loro richieste di risarcimento danni sull’art. 82 del Regolamento Generale sulla Protezione dei Dati (GDPR), secondo cui chi tratta i dati può essere tenuto a compensare i danni causati da violazioni della protezione dei dati. L’OLG Oldenburg ha ora precisato in appello i requisiti per dimostrare un danno immateriale che vada oltre il mero fastidio o disagio.
Necessità di un danno immateriale misurabile
Il tribunale ha sottolineato che gli attori interessati non avevano dimostrato sufficientemente in che modo avessero subito un danno immateriale concreto e individuale. Non è sufficiente riferirsi in modo generico a un disagio generale riguardo alla divulgazione dei dati personali. Piuttosto, deve essere dimostrata in modo plausibile e comprensibile una compromissione personale e sostanziale. La sola possibilità astratta di un abuso, come ad esempio tramite “spam telefonico” o phishing, non è sufficiente.
Nessun automatismo nel risarcimento dei danni immateriali
L’OLG non ha condiviso l’opinione secondo cui ogni violazione della protezione dei dati comporti necessariamente un danno immateriale ai sensi dell’art. 82 GDPR. Ha sottolineato il principio del diritto europeo secondo cui la mera violazione delle disposizioni sulla protezione dei dati non comporta di per sé un diritto al risarcimento – è invece necessario dimostrare individualmente un danno effettivamente subito.
Significato della decisione per i procedimenti futuri
Le decisioni dell’OLG Oldenburg evidenziano i rigorosi requisiti posti per giustificare richieste di risarcimento danni immateriali in caso di violazione della protezione dei dati. Secondo il tribunale, il solo accesso a sfere personali o la vaga possibilità di eventuali molestie non sono sufficienti per far valere diritti al risarcimento.
In tal modo, l’OLG Oldenburg si inserisce in una giurisprudenza sempre più consolidata che richiede argomentazioni concrete e specifiche. Sia per i gestori delle piattaforme sia per gli interessati, la sentenza apporta maggiore chiarezza giuridica sulla risarcibilità dei danni immateriali derivanti da violazioni della protezione dei dati.
Considerazioni pratiche e prospettive
I casi appena decisi sottolineano la crescente importanza degli aspetti procedurali nelle richieste di risarcimento danni ai sensi del GDPR presentate in massa. Resta in particolare da vedere come la Corte di giustizia dell’Unione europea, nei procedimenti attualmente pendenti (ad es. C-340/21), preciserà ulteriormente la soglia per tali richieste. Fino a una decisione definitiva a livello europeo, è prevedibile che continueranno le divergenze giurisprudenziali tra gli Stati membri.
Conclusione
La sentenza dell’OLG Oldenburg conferma che, a seguito di una violazione della protezione dei dati, gli interessati devono presentare argomentazioni concrete e individualizzate circa i danni immateriali effettivamente subiti. La sola preoccupazione per la divulgazione dei dati personali o la possibilità astratta di un abuso non è sufficiente. Resta da vedere se ciò potrà cambiare radicalmente in caso di una decisione della Corte di giustizia dell’UE.
Per aziende, privati e investitori si pongono regolarmente questioni complesse relative alla tutela dei dati personali e alla difesa o rivendicazione dei relativi diritti. Nella valutazione e classificazione di tali eventi in materia di protezione dei dati, possono assumere rilevanza ulteriori aspetti giuridici. In queste questioni, gli avvocati presso MTR Legal sono a disposizione.
