No trasferimento all’estero senza garanzie dei dati personali dell’utente che accede a siti Ue
Scatta il danno morale per responsabiltà extracontrattuale delle istituzioni dell’Unione se l’accesso a un evento istituzionale transita su server di Paesi terzi dove non è dimostrata la garanzia adeguata della privacy
Il Tribunale dell’Unione europea - con la sentenza sulla causa T-354/22 - ha condannato la Commissione a risarcire i danni a un visitatore del suo sito Internet della Conferenza sul futuro dell’Europa a causa del trasferimento di dati personali negli Stati Uniti per aver acceduto ai contenuti tramite il proprio account facebook. Infatti, attraverso il collegamento ipertestuale «connettersi con Facebook», visualizzato sulla pagina Internet di EU Login, la Commissione ha creato le condizioni che consentono di trasmettere l’indirizzo IP dell’interessato all’impresa americana Meta Platforms.
I diversi profili della domanda di risarcimento
Un cittadino residente in Germania lamentava la violazione da parte della Commissione del diritto alla protezione dei suoi dati personali in occasione della consultazione del sito internet della Conferenza sul futuro dell’Europa, sito gestito dalla Commissione europea. Egli si era registrato tramite questo sito per l’evento «GoGreen», utilizzando il servizio di autenticazione EU Login della Commissione e scegliendo l’opzione offerta di accedere utilizzando il suo account Facebook. Il cittadino tedesco sosteneva che taluni dati personali sarebbero stati trasferiti verso destinatari stabiliti negli Stati Uniti, in particolare il suo indirizzo IP nonché informazioni sul suo browser e sul suo terminale. In effetti, tali dati sarebbero stati trasferiti alla società americana Amazon Web Services, in qualità di gestore della rete di diffusione di contenuti denominata Amazon CloudFront, che sarebbe utilizzata dal sito Internet in questione. Dall’altro lato, quando si è registrato all’evento «GoGreen» utilizzando il suo account Facebook, questi dati sarebbero stati trasferiti alla società americana Meta Platforms, Inc.
Da ciò la domanda risarcitoria, in quanto il ricorrente sosteneva che negli Stati Uniti non fossero garantite tutele adeguate agli standards europei in materia di privacy per mancanza di un alto livello di protezione dei dati che a causa del loro trasferimento a più società estere avrebbero, nel caso concreto, consentito la loro acquisizione da parte dei servizi americani di sicurezza e di intelligence. E, fondamentalmente veniva lamentato che la Commissione non avrebbe fatto menzione di alcuna delle garanzie idonee a giustificare tali trasferimenti e ad affermarne l’inoffensività ai fini della tutela della privacy per chi aveva fatto accesso alla conferenza Ue on line.
La richiesta accolta sul trasferimento dell’IP
Il ricorrente ha perciò domandato il versamento di 400 euro a titolo di risarcimento del danno morale che avrebbe subito a causa dei trasferimenti controversi e l’annullamento dei trasferimenti dei suoi dati personali.
La richiesta si fondava sul fatto che la Commissione si fosse illegittimamente astenuta dal prendere posizione su una richiesta di informazioni e che quindi l’istituzione europa fosse tenuta a versargli il risarcimento a causa della violazione del suo diritto di accesso alle informazioni.
Il Tribunale respinge la domanda di annullamento e anche la domanda di risarcimento fondata sulla violazione del diritto di accesso alle informazioni, ritenendo che manchi il danno morale lamentato.
Viene respinta la domanda di risarcimento fondata sui trasferimenti dei dati controversi attraverso Amazon CloudFront, in quanto secondo il Tribunale, durante una delle connessioni contestate, i dati non sono stati trasferiti negli Stati Uniti ma, in base al principio di prossimità a un server situato a Monaco, in Germania. E, precisa il Tribunale, in base al contratto tra la Commissione europea e il gestore di Amazon CloudFront, era la società lussemburghese Amazon Web Services a dover garantire che i dati rimanessero “a riposo” e transitare in Europa. Per quanto riguarda un’altra connessione, è stato l’interessato stesso a far sì che venisse inviata, tramite il meccanismo di instradamento di Amazon CloudFront, verso server negli Stati Uniti. Infatti, a causa di un aggiustamento tecnico, questi era apparentemente localizzato negli Stati Uniti.
La domanda accolta
Per contro, per quanto riguarda l’iscrizione dell’interessato all’evento «GoGreen», il Tribunale ritiene che la Commissione abbia creato, attraverso il collegamento ipertestuale «connettersi con Facebook» visualizzato sulla pagina Internet di EU Login, le condizioni che consentono di trasmettere l’indirizzo IP dell’interessato a Facebook. Tale indirizzo IP costituisce un dato personale che, tramite detto collegamento ipertestuale, è stato trasmesso a Meta Platforms, impresa con sede negli Stati Uniti. Tale trasferimento deve essere imputato alla Commissione come violazione.
Va precisato che al momento del trasferimento, 30 marzo 2022, non esisteva alcuna decisione della Commissione che constatasse che gli Stati Uniti garantivano un livello adeguato di protezione dei dati personali dei cittadini dell’UE. Inoltre, la Commissione non ha dimostrato, o anche solo dedotto, l’esistenza di una garanzia adeguata, in particolare di una clausola standard di protezione dei dati. Quindi, in conclusione la visualizzazione del collegamento ipertestuale «connettersi con Facebook» sul sito Internet di EU Login era semplicemente disciplinata dalle condizioni generali della piattaforma Facebook.
La responsabilità extracontrattuale
La Commissione non ha quindi rispettato le condizioni poste dal diritto dell’Unione per il trasferimento, da parte di un’istituzione, di un organismo o di un organismo dell’Unione, di dati personali verso un Paese terzo.
Il Tribunale afferma che la Commissione è incorsa in una violazione sufficientemente qualificata da conferire diritti soggettivi azionabili.
Il cittadino tedesco avrebbe perciò subito il danno morale lamentato, in quanto si era trovato in una situazione di incertezza riguardo al trattamento dei suoi dati personali, in particolare del suo indirizzo IP, ed esiste il nesso causale sufficientemente diretto tra la violazione nella quale è incorsa la Commissione e il danno morale subito dall’interessato. Ciò è sufficiente a far sorgere la responsabilità extracontrattuale dell’Unione europea.
