Il tasto “Facebook” può legittimare la richiesta di risarcimento di danni morali per trasferimento di dati personali all’estero

By Dario Di Maria Posted in Management, Privacy - cybersecurity Tagged , , ,

Tribunale dell’Unione Europea, sentenza del 8 gennaio 2025 nella causa T‑354/22


Nel caso di specie, quando il ricorrente ha cliccato sul collegamento ipertestuale «connettersi a Facebook», il suo browser Internet ha avuto accesso all’indirizzo URL del sito Internet di Facebook e ha, di conseguenza, comunicato il suo indirizzo IP a tale sito Internet. Successivamente, quando si trovava sul sito Internet di Facebook, il ricorrente ha scelto le opzioni che consentivano a Facebook di utilizzare unicamente cookie essenziali, poi si è collegato al suo account Facebook e, infine, ha autorizzato Facebook a comunicare a EU Login il suo nome, cognome, fotografia del profilo e indirizzo di posta elettronica, come li aveva indicati sul suo account Facebook.
In seguito a tali autorizzazioni concesse dal ricorrente, Facebook lo ha rinviato al sito Internet dell’EU Login, conformemente alle indicazioni contenute nel collegamento ipertestuale «connettersi a Facebook»


Da un lato, tale comunicazione di Facebook ha consentito a EU Login di sapere che i dati personali che Facebook metteva a sua disposizione riguardavano l’utente che aveva avviato il processo di autenticazione, ossia, nel caso di specie, il ricorrente. Dall’altro lato, essa ha consentito a EU Login di accedere, per un periodo limitato, ai dati personali, vale a dire, in particolare, il nome, il cognome e l’indirizzo di posta elettronica del ricorrente, quali egli li ha indicati sul suo account Facebook.


Inoltre, occorre osservare che il social network Facebook è detenuto da Meta Platforms, impresa con sede negli Stati Uniti.

Il ricorrente fa valere, in sostanza, che, al momento della sua connessione a EU Login del 30 marzo 2022, vi è stato un trasferimento di dati personali ad esso appartenenti, in particolare dal suo indirizzo IP, verso server della social network Facebook, di cui l’impresa proprietaria ha sede negli Stati Uniti. Tale trasferimento sarebbe stato effettuato in violazione dell’articolo 46 del regolamento 2018/1725 e avrebbe causato al ricorrente un danno morale consistente in una perdita del controllo dei suoi dati e in una privazione dei suoi diritti e delle sue libertà.
In via preliminare, occorre ricordare che, come risulta dal precedente punto 95, un trasferimento di dati personali verso un paese terzo, ai sensi dell’articolo 46 del regolamento 2018/1725, richiede che un’istituzione, un organismo o un organismo dell’Unione metta, mediante trasmissione o in altro modo, dati personali a disposizione di un destinatario stabilito in un paese terzo, vale a dire un paese che non è membro né dell’Unione né del SEE.
Nel caso di specie è dimostrato che, al momento di tale trasferimento di dati, ossia il 30 marzo 2022, non esisteva alcuna decisione di adeguatezza, ai sensi dell’articolo 47 del regolamento 2018/1725, per quanto riguarda gli Stati Uniti (v. supra, punto 100).
In mancanza di una decisione di adeguatezza la Commissione non ha dimostrato, e neppure dedotto, l’esistenza di una garanzia adeguata, in particolare di una clausola tipo di protezione dei dati o di una clausola contrattuale adottate alle condizioni previste all’articolo 48, paragrafi 2 e 3, del regolamento 2018/1725 (v. supra, punti da 102 a 104).
Di conseguenza, la Commissione ha creato le condizioni affinché si sia verificato un trasferimento di dati personali del richiedente verso un paese terzo, senza tuttavia rispettare le condizioni di cui all’articolo 46 del regolamento 2018/1725.
Si deve quindi concludere, senza che sia necessario esaminare gli altri argomenti del ricorrente, che la Commissione ha commesso una violazione sufficientemente qualificata, ai sensi della giurisprudenza richiamata al precedente punto 50, dell’articolo 46 del regolamento 2018/1725, per quanto riguarda il trasferimento controverso al momento della connessione a EU Login del 30 marzo 2022.
Inoltre, sussiste un nesso di causalità sufficientemente diretto, ai sensi della giurisprudenza richiamata al precedente punto 55, tra la violazione, da parte della Commissione, dell’articolo 46 del regolamento 2018/1725 e il danno morale subito dal ricorrente.
Nelle circostanze del caso di specie, occorre valutare ex aequo et bono l’importo del danno morale causato dalla Commissione nella somma di EUR 400.

Comments are closed.