Copyright per l’immagine di intestazione sopra: Steffen Prößdorf, CC BY-SA 4.0, tramite Wikimedia Commons
Dichiarazione di Max Schrems.
Max Schrems: “Nonostante le chiare disposizioni del GDPR e diverse decisioni della CGUE, i tribunali tedeschi si sono regolarmente rifiutati di riconoscere i danni nei casi di protezione dei dati. Siamo lieti che la BGH si sia messa in gioco e abbia allineato la giurisprudenza tedesca. Il dibattito legale in Germania è stato finora dominato da avvocati aziendali, e alcuni tribunali si sono lasciati influenzare dalle loro rozze teorie e hanno rapidamente respinto casi complicati legati al GDPR. Di conseguenza, la Germania è diventata un problema a livello europeo per i casi di protezione dei dati.”
I tribunali e la letteratura tedesca sono finora estremamente ostili al GDPR. In Germania la letteratura giuridica ha una grande influenza sui tribunali. Tuttavia, nel campo della protezione dei dati esistono praticamente solo avvocati specializzati in aziende. Inoltre, la ricerca nel campo dei diritti digitali viene sempre più commissionata e pagata dalle aziende, in misura allarmante, spesso senza che venga adeguatamente resa pubblica. In questo contesto, è emerso un settore che continua a produrre teorie rudimentali che spiegano perché i reclami GDPR dovrebbero essere respinti o perché i danni per violazioni della protezione dei dati sono praticamente inesistenti.
In Germania, ad esempio, è stata inventata una “soglia di rilevanza”, a seguito della quale i tribunali hanno respinto molte richieste di risarcimento danni ai sensi del GDPR in quanto “immateriali”. Anche i tribunali austriaci hanno adottato questa teoria, sebbene il GDPR non offra alcuna base per ciò. Solo la CGUE ha posto fine a questa situazione (C-300/21 Österreichische Post). Tuttavia, alcuni tribunali tedeschi hanno ripetutamente respinto tali casi, contrariamente alla sentenza della CGUE.
La violazione della privacy è il “danno primario”. Spesso è difficile quantificare il danno quando i diritti non sono direttamente “misurabili”. Tuttavia, in ambiti diversi dalla protezione dei dati, ciò non costituisce un motivo per non concedere il risarcimento dei danni. Nel diritto dei media, ad esempio, un insulto può costituire un “danno” allo stesso titolo del dolore provocato da una gamba rotta. In altri settori, i tribunali hanno gradualmente definito il tipo appropriato di risarcimento. In alcuni paesi dell’UE ciò ha portato anche allo sviluppo di “tabelle di divisione” informali per le richieste di risarcimento.
Il “danno secondario” può essere soggetto a risarcimento autonomo. La violazione del diritto fondamentale alla protezione dei dati può essere separata anche dal “danno secondario”. Ad esempio, una persona potrebbe già soffrire della pubblicazione illegale di una malattia. Se poi perdete il lavoro a causa di questa pubblicazione, si tratta di un secondo danno secondario indipendente, che può essere oggetto di un risarcimento separato. Finora i giuristi aziendali hanno sempre negato che il diritto fondamentale alla protezione dei dati costituisca un danno e si sono concentrati sui danni secondari (rari e difficili da dimostrare).
Sintesi della decisione: nella sua sentenza di ieri, la Corte federale di giustizia ha stabilito che la semplice perdita di controllo sui propri dati personali può costituire un danno risarcibile ai sensi del GDPR, a condizione che tale danno sia dovuto a una violazione del GDPR. In tal modo, la Corte Suprema tedesca segue la giurisprudenza della CGUE (vedi (C-200/23). Altri svantaggi, come l’uso improprio dei dati o altre conseguenze negative, non sono necessari per concedere danni agli interessati ai sensi del GDPR Anche se il BGH si occupasse specificamente di una violazione dei dati su Facebook, le affermazioni contenute nella sentenza possono probabilmente applicarsi ad altri scenari in cui gli interessati vengono illecitamente privati del controllo sulla loro vita privata.
