Introduzione all’ammonimento sulla protezione dei dati
L’ammonimento sulla protezione dei dati è uno strumento centrale nel diritto sulla protezione dei dati per far rispettare il Regolamento generale sulla protezione dei dati (GDPR). Dall’entrata in vigore del GDPR nel 2018, le aziende e le organizzazioni sono obbligate a esercitare la massima cura nel trattamento dei dati personali. Se si verifica una violazione di queste disposizioni – ad esempio attraverso l’informazione insufficiente degli utenti o un trattamento illecito dei dati – può essere emesso un ammonimento. Questo può essere iniziato non solo dalle autorità di protezione dei dati, ma anche dai concorrenti, dalle associazioni di tutela dei consumatori o addirittura dalle stesse persone interessate. L’obiettivo di un ammonimento sulla protezione dei dati è quello di indurre l’azienda a cessare la violazione della protezione dei dati e a rispettare i diritti sulla protezione dei dati. Per le aziende ciò significa che devono regolarmente controllare e adattare i loro processi e la gestione dei dati personali per evitare ammonimenti e possibili successivi contenziosi.
Basi legali
Le basi legali per gli ammonimenti nell’ambito della protezione dei dati si trovano principalmente nel GDPR e nella legge contro la concorrenza sleale (UWG). Il GDPR regola in modo dettagliato come i dati personali possono essere raccolti, archiviati e trattati. Le violazioni di queste disposizioni, ad esempio attraverso un trattamento illecito o mancanza di trasparenza, possono essere perseguite non solo dalle autorità di protezione dei dati, ma anche nel contesto del diritto della concorrenza. L’UWG protegge la concorrenza da pratiche commerciali sleali e prevede che una violazione della protezione dei dati possa essere valutata anche come violazione dell’UWG, se concede all’azienda un vantaggio sleale. Pertanto, gli ammonimenti per violazioni della protezione dei dati possono essere emessi sia sulla base del GDPR che dell’UWG. Le aziende dovrebbero quindi assicurarsi di rispettare rigorosamente i requisiti legali per il trattamento dei dati personali per evitare ammonimenti e ulteriori conseguenze legali.
I concorrenti possono ammonire – Sentenze del BGH I ZR 186/17 / I ZR 222/19 / I ZR 223/19
I concorrenti e le associazioni di tutela dei consumatori possono ammonire le violazioni della protezione dei dati delle aziende; il tribunale ha un ruolo centrale nella decisione sugli ammonimenti per le violazioni della protezione dei dati. Questo è stato deciso dalla Corte federale di giustizia in diverse sentenze del 27 marzo 2025 (Az. I ZR 186/17, I ZR 222/19, I ZR 223/19). In passato, diversi tribunali hanno deciso in modo diverso sul potere di ammonizione per le violazioni della protezione dei dati. La moltitudine di casi di violazioni della protezione dei dati mostra la rilevanza pratica di questo argomento. L’attuale sentenza del BGH chiarisce che anche i concorrenti e le associazioni di consumatori possono agire attivamente. Le sentenze del BGH di marzo 2025 sono di grande importanza per la pratica degli ammonimenti, poiché consentono il perseguimento delle violazioni della protezione dei dati da parte delle associazioni di consumatori e dei concorrenti davanti ai tribunali civili. Un ammonimento GDPR è una forma speciale di ammonimento che si riferisce alle violazioni del Regolamento generale sulla protezione dei dati e si distingue per il suo riferimento alla protezione dei dati. Le associazioni dei consumatori svolgono un ruolo importante nell’applicazione dei diritti di protezione dei dati. Le associazioni di consumatori sono sostanzialmente coinvolte nell’ammonizione delle violazioni della protezione dei dati. Anche i concorrenti possono perseguire le violazioni della protezione dei dati e quindi proteggere la concorrenza. La sentenza del BGH ha significative ripercussioni sulla pratica e sulla valutazione legale delle violazioni della protezione dei dati.
Le violazioni della protezione dei dati non possono essere sanzionate solo dalle autorità di controllo. La competenza decisionale dei tribunali per le violazioni della protezione dei dati è di fondamentale importanza. Come dimostrano le decisioni del BGH, anche i concorrenti e le associazioni di consumatori possono agire contro le violazioni. Nel contesto di tali procedimenti, anche la parte convenuta svolge un ruolo importante. Per le aziende, ciò può avere conseguenze significative in particolare nel commercio elettronico e nel trattamento dei dati sensibili, afferma lo studio legale MTR Legal, che consiglia su questioni di diritto IT e protezione dei dati. Le violazioni del GDPR possono portare a conseguenze legali significative, in particolare se vengono avanzate richieste di risarcimento. In caso di violazione ripetuta del GDPR, sono possibili sanzioni più severe e ulteriori misure. Il perseguimento delle violazioni della protezione dei dati avviene sia attraverso i tribunali che attraverso le associazioni. L’importanza della frase 1 e della frase 1 Nr. nei paragrafi pertinenti è decisiva per la classificazione legale. La questione ha grande importanza per lo sviluppo del diritto sulla protezione dei dati e l’applicazione dei diritti dei consumatori.
App di giochi posta dati
Nel caso contrassegnato dal numero di riferimento I ZR 186/17 si trattava di un cosiddetto “App-Center” in un social network, in cui terzi fornivano giochi. L’App-Center funge da piattaforma centrale dove vengono offerte diverse app di terzi. Nell’App-Center, i giochi online svolgono un ruolo significativo, poiché costituiscono una parte consistente dell’offerta. Durante l’uso dell’app, possono essere trattati dati personali come il tuo indirizzo e-mail. Prima che un utente potesse iniziare un gioco, gli veniva mostrato che l’applicazione riceveva determinate autorizzazioni, ad esempio per poter postare aggiornamenti di stato. Tuttavia, questi avvisi erano vaghi e non informavano su quali dati specifici venivano trattati, chi erano i destinatari e a quale scopo avveniva. Contro questo ha fatto causa con successo la federazione delle centrali dei consumatori dei Länder federali.
Il BGH ha chiarito che tali informazioni poco chiare e generiche non soddisfano i requisiti del Regolamento generale sulla protezione dei dati (GDPR). Anche durante la raccolta dei dati da parte dell’app, gli utenti devono essere informati in modo completo. Anche l’entità dei dati raccolti e trattati deve essere presentata in modo trasparente. La corretta formulazione degli scopi nell’informativa sulla privacy è di particolare importanza. Gli obblighi informativi ai sensi degli Articoli 12 e 13 del GDPR richiedono una chiara, precisa e comprensibile informazione delle persone interessate. Poiché questi requisiti del GDPR regolano simultaneamente anche il comportamento di mercato ai sensi del diritto della concorrenza (§ 3a UWG), la loro inosservanza costituisce una violazione della concorrenza. Pertanto, i concorrenti o le associazioni di protezione dei consumatori qualificate possono agire civilmente contro tali violazioni della protezione dei dati, ha affermato il BGH. Questo vale indipendentemente dal fatto che un utente si sia lamentato o meno.
I farmacisti vendono farmaci su internet
Questioni simili sono state trattate nei procedimenti con i numeri di riferimento I ZR 222/19 e I ZR 223/19. Qui due farmacie avevano venduto farmaci attraverso la piattaforma Amazon. Durante questo processo, venivano trattati dati personali dei clienti, compresi i dati sanitari, come nome, indirizzo o farmaci ordinati con informazioni sulla loro personalizzazione. La raccolta di questi dati sanitari da parte delle farmacie era un tema centrale dei procedimenti. Ci sono stati numerosi casi di violazioni della protezione dei dati nel settore farmaceutico, che sono diventati rilevanti in questo contesto. Altri farmacisti avevano presentato reclami contro di ciò. Anche queste azioni legali hanno avuto successo: il BGH ha chiarito che i dati degli ordini ai sensi dell’Art. 9 comma 1 del GDPR sono dati sanitari. Questo vale anche quando i farmaci non sono soggetti a prescrizione medica. I dati possono essere trattati solo se è stato ottenuto un esplicito consenso da parte dei clienti, consenso che i farmacisti non avevano chiesto.
Il BGH ha confermato la valutazione della Corte di giustizia europea, secondo cui i dati sanitari sussistono già quando dall’ordine si possono dedurre conclusioni sullo stato di salute o sulla terapia. Nei procedimenti, la convenuta ha avuto un ruolo centrale, in quanto responsabile del trattamento dei dati. È stata particolarmente sottolineata l’importanza della protezione della persona interessata nel trattamento dei dati sanitari. Anche in questo caso, il BGH ha rilevato una violazione della concorrenza. L’Art. 9 comma 1 del GDPR è una norma di comportamento di mercato ai sensi del § 3a UWG, in modo tale che una violazione di questa disposizione possa essere perseguita da un concorrente attraverso un’azione legale competitiva davanti ai tribunali civili, hanno affermato i giudici di Karlsruhe. L’importanza della frase 1 e della frase 1 Nr. nei paragrafi pertinenti è stata espressamente sottolineata.
Il GDPR è rilevante anche per la concorrenza
Le sentenze dimostrano che le disposizioni del GDPR, specialmente gli obblighi informativi e le disposizioni sul consenso, sono rilevanti anche per la concorrenza. In determinate circostanze, i profitti ottenuti tramite violazioni della protezione dei dati possono essere revocati; ciò è in relazione alle multe e ad altre misure punitive che possono essere imposte ai sensi del Regolamento generale sulla protezione dei dati e della legge. Le aziende che trattano dati personali o sensibili senza un’informazione adeguata o un consenso valido agiscono in modo sleale. Non solo le autorità di protezione dei dati, ma anche i concorrenti o le associazioni di interesse qualificate possono agire contro tali violazioni. In questo modo, il BGH ha notevolmente ampliato l’ambito di applicazione del diritto della concorrenza. Le aziende che violano le disposizioni sulla protezione dei dati possono essere soggette, oltre alle multe delle autorità di protezione dei dati, anche ad ammonimenti a pagamento e ordini inibitori da parte dei concorrenti e delle associazioni di tutela dei consumatori.
Le aziende fanno bene a
Le aziende farebbero bene a esaminare e adempiere con precisione ai loro obblighi informativi. Ciò include il fatto che gli utenti siano informati in modo trasparente, comprensibile e completo su quali dati vengono trattati, per quale scopo, su quale base legale ciò avviene, chi sono i destinatari e quali diritti spettano agli interessati. Inoltre, prima del trattamento di dati sensibili, come i dati sanitari, è necessario ottenere e documentare un consenso esplicito. Clausole generali o nascoste non sono sufficienti.
Mercati online e protezione dei dati
I mercati online come Amazon Marketplace sono irrinunciabili nel moderno e-commerce. Tuttavia, proprio qui, è particolarmente importante rispettare la protezione dei dati. I fornitori che operano su tali piattaforme devono rispettare i rigorosi requisiti del GDPR nel trattamento dei dati dei clienti, come nomi, indirizzi o dati degli ordini. Le decisioni del BGH nei procedimenti I ZR 186/17, I ZR 222/19 e I ZR 223/19 hanno chiarito che le violazioni del GDPR, come il trattamento di dati sanitari senza il consenso esplicito dei clienti, possono avere conseguenze non solo a livello di protezione dei dati, ma anche a livello di concorrenza. Gli ammonimenti da parte dei concorrenti o delle associazioni di tutela dei consumatori sono possibili in tali casi e possono portare a conseguenze significative per le aziende. Le sentenze della Corte federale di giustizia sottolineano che il rispetto della protezione dei dati sui mercati online è non solo una questione di conformità, ma anche di concorrenza.
Conseguenze di un ammonimento
Un ammonimento sulla protezione dei dati può avere conseguenze di vasta portata per le aziende. Oltre all’obbligo di interrompere immediatamente il trattamento dei dati personali contestato, in caso di violazione continua, le multe o le sanzioni pecuniarie possono essere severe. Il GDPR prevede importi fino a 20 milioni di euro o il 4% del fatturato annuo mondiale, a seconda di quale importo sia maggiore. Inoltre, un ammonimento può anche danneggiare in modo sostenibile la reputazione di un’azienda, poiché una violazione della protezione dei dati è percepita dai clienti e dal pubblico come una grave violazione della fiducia. Le aziende non dovrebbero quindi dare importanza al rispetto delle norme sulla protezione dei dati solo per ragioni legali, ma anche per ragioni di reputazione.
Difesa contro gli ammonimenti
Per proteggersi efficacemente contro gli ammonimenti nell’ambito della protezione dei dati, le aziende dovrebbero regolarmente rivedere le loro pratiche di protezione dei dati e adattarle ai requisiti attuali del GDPR. Ciò include in particolare la creazione di un’informativa sulla privacy trasparente e completa, l’ottenimento di consensi espliciti per il trattamento dei dati sensibili, nonché l’implementazione di misure tecniche e organizzative per la protezione dei dati. In caso di ammonimento, è consigliabile reagire rapidamente e ottenere consulenza legale per tutelare al meglio i propri interessi. Agendo proattivamente e rispettando costantemente le norme sulla protezione dei dati, le aziende possono ridurre significativamente il rischio di ammonimenti e ulteriori azioni legali.
MTR Legal Rechtsanwälte consiglia su protezione dei dati, GDPR e ulteriori temi del diritto IT.
Si prega di mettersi in contatto con noi!
