OLG Hamm conferma la responsabilità di Facebook nei casi di scraping ai sensi del GDPR
Con sentenza del 2 aprile 2024 (Az.: 7 U 19/23), il Tribunale Regionale Superiore (OLG) di Hamm ha preso una decisione pionieristica in relazione alla raccolta e pubblicazione non autorizzata di dati personali degli utenti di Facebook. Il tribunale ha riconosciuto che il cosiddetto scraping di Facebook, in cui le informazioni visibili pubblicamente dai profili Facebook sono state lette automaticamente in massa e successivamente diffuse su Internet, costituisce una violazione significativa delle disposizioni chiave del Regolamento Generale sulla Protezione dei Dati (GDPR). La decisione ha un’importanza di vasta portata sia per le aziende del settore digitale che per i singoli individui i cui dati vengono elaborati sulle piattaforme social.
Contesto della controversia legale
Lo scraping di Facebook consiste nell’accesso automatizzato ai dati del profilo pubblicamente accessibili, ad esempio tramite cosiddetti bot. Nel caso presente, numerose informazioni personali – in particolare nomi, numeri di telefono e identificativi degli utenti – sono state estratte dai profili Facebook di milioni di utenti europei e pubblicate su un sito web esterno senza il consenso degli interessati. Un interessato ha infine intentato causa per cessazione e risarcimento del danno morale ai sensi dell’articolo 82 del GDPR, sostenendo che Facebook, in qualità di responsabile, non aveva preso adeguate misure tecniche e organizzative per prevenire tali accessi.
Conclusioni principali dell’OLG Hamm
Responsabilità ai sensi dell’Art. 4 n. 7 GDPR
L’OLG di Hamm ha chiarito che Meta Platforms Ireland, in qualità di operatrice di Facebook, rimane “responsabile” ai sensi del GDPR per il trattamento dei dati in questione. La leggibilità dei numeri di telefono dipendeva in gran parte dalla configurazione della piattaforma e dalle opzioni di impostazione fornite da Facebook. Anche nei casi in cui gli utenti interessati hanno pubblicato volontariamente informazioni – in particolare il loro numero di telefono – nel contesto del loro profilo, una responsabilità significativa rimane sulla piattaforma.
Violazione dei doveri di tutela tecnica e organizzativa
Il tribunale ha sottolineato che Facebook ha particolari doveri ai sensi dell’Art. 25 e Art. 32 del GDPR. Pertanto, le misure preventive mediante adeguate misure tecniche e organizzative per la protezione dei dati personali sono essenziali. Tuttavia, Facebook non ha garantito sufficientemente che la raccolta automatizzata dei dati attraverso bot e strumenti di scraping fosse efficacemente impedita. In particolare, le impostazioni predefinite a favore della privacy e i meccanismi efficaci per il riconoscimento e la prevenzione di tali accessi non sono stati implementati in misura adeguata.
Risarcimento ai sensi dell’Art. 82 GDPR
Nel caso specifico, l’OLG di Hamm ha tuttavia deciso che la causa per il pagamento di un risarcimento per danni morali non ha avuto successo. Sebbene sia stata dimostrata una violazione della protezione dei dati, secondo il parere del Senato il querelante non ha dimostrato un danno attribuibile individualmente che vada oltre l’astratta violazione della protezione dei dati. La sentenza sottolinea in questo punto la necessità processuale della dimostrazione sostanziale di un danno morale concreto.
Importanza per la protezione dei dati nell’economia delle piattaforme
La valutazione legale fondamentale del tribunale chiarisce che gli operatori di piattaforme come Facebook sono tenuti a prevenire la lettura automatizzata dei dati degli utenti pubblici anche quando gli utenti stessi rendono pubbliche le informazioni. La decisione rafforza la portata della responsabilità privacy delle grandi aziende digitali. In particolare, è stato rafforzato il diritto all’implementazione di meccanismi di protezione efficaci contro la lettura e la pubblicazione massiccia di dati personali da parte di terzi.
Implicazioni per le strategie di conformità delle aziende
In considerazione dei doveri ora confermati dal GDPR, le aziende sono invitate ad adeguare continuamente i concetti di sicurezza e le misure di protezione dei dati alle mutevoli minacce e agli aumentati requisiti dei tribunali europei. In particolare, per le piattaforme con profili utente pubblicamente visibili, l’ampiezza delle misure tecnico-organizzative sarà ancora più al centro dell’attenzione rispetto a quanto fosse finora. Soprattutto in relazione alla prevenzione del bot e dello scraping, i dispositivi di protezione tecnica devono essere regolarmente verificati e aggiornati allo stato dell’arte per minimizzare i potenziali rischi di responsabilità e reputazione.
Inquadramento legale e prospettive
La sentenza dell’OLG di Hamm sottolinea inoltre che la protezione dei dati personali nell’ambiente digitale richiede un processo dinamico e continuo di adattamento da parte dei responsabili. Allo stesso tempo, va notato che le richieste contro Facebook in relazione al risarcimento devono essere valutate caso per caso. Il procedimento può essere considerato esemplare per l’interpretazione e l’applicazione del GDPR nel contesto dei social network; ulteriori decisioni della corte suprema, come dalla Corte Federale di Giustizia o dalla Corte di Giustizia dell’Unione Europea, potrebbero avere ancora un impatto maggiore sul futuro quadro giuridico. In relazione allo stato legale non definitivo e ai procedimenti simili in corso, continua a valere la presunzione di innocenza per le aziende e i loro rappresentanti (Fonte: OLG Hamm, sentenza del 02.04.2024, Az. 7 U 19/23).
Per le aziende, gli investitori e i privati che, nel corso della progressiva digitalizzazione, si trovano ad affrontare complesse questioni di diritto alla privacy e IT, può essere utile ricevere consigli informati sugli sviluppi attuali e sui nuovi requisiti per la compliance. Gli avvocati di MTR Legal sono a disposizione per una consulenza individuale e un’assistenza giuridica sicura alla luce della giurisprudenza attuale.
