Il Tribunale dell’Unione Europea ha condannato la Commissione Europea a risarcire con 400 euro un cittadino tedesco per danno morale, in seguito alla violazione delle normative UE sul trasferimento dei dati personali. L’episodio riguarda il trasferimento non autorizzato dell’indirizzo IP del ricorrente alla società statunitense Meta Platforms, tramite un collegamento ipertestuale sul sito EU Login.
Il caso
Il ricorrente aveva utilizzato il sito della Conferenza sul Futuro dell’Europa per registrarsi all’evento “GoGreen” nel 2021 e 2022, optando per l’accesso tramite il proprio account Facebook. Durante questa procedura, i suoi dati personali, tra cui l’indirizzo IP, sono stati trasferiti negli Stati Uniti senza un’adeguata protezione.
Secondo il Tribunale:
- La Commissione aveva creato le condizioni per il trasferimento dei dati tramite il pulsante “Connettersi con Facebook”.
- Non esisteva alcuna garanzia adeguata, come clausole contrattuali standard o protezioni equivalenti, che potessero giustificare tale trasferimento.
- Gli Stati Uniti, al momento del trasferimento (30 marzo 2022), non garantivano un livello adeguato di protezione dei dati personali ai sensi del diritto UE.
Decisione del Tribunale
Il Tribunale ha stabilito che la Commissione Europea ha violato in modo “sufficientemente qualificato” una norma giuridica destinata a tutelare i diritti individuali, causando un danno morale al ricorrente. Questo danno è legato all’incertezza sul trattamento e sulla sicurezza dei suoi dati personali.
Risultati chiave della sentenza
- Responsabilità della Commissione: Il trasferimento illecito di dati personali è stato imputato alla Commissione, che ha mancato di rispettare le condizioni previste dal diritto dell’Unione per i trasferimenti di dati verso paesi terzi.
- Danno Morale e Risarcimento: È stato riconosciuto al cittadino un risarcimento di 400 euro per il danno morale subito.
- Trasferimenti tramite Amazon CloudFront: Per altri trasferimenti contestati verso server di Amazon Web Services, il Tribunale ha respinto la richiesta, dimostrando che i dati sono rimasti nell’UE.
La sentenza ribadisce l’importanza delle normative UE sul trattamento dei dati personali, in particolare il Regolamento Generale sulla Protezione dei Dati (GDPR), che vieta il trasferimento di dati verso paesi terzi senza garanzie adeguate.
La decisione può essere impugnata dinanzi alla Corte di Giustizia dell’UE entro due mesi e dieci giorni dalla notifica della sentenza, limitatamente alle questioni di diritto.
