In data 8 gennaio 2025 il Tribunale di primo grado dell’Unione europea ha emesso la sentenza nella causa T-354/22 tra Thomas Bindl e la Commissione europea. La sentenza ha già avuto una importante eco in quanto il Tribunale ha ordinato alla Commissione europea di pagare un risarcimento dei danni a favore di un cittadino tedesco per violazione del regolamento sul trattamento dei dati personali in vigore per le istituzioni europee.
La notizia è stata veicolata come il primo caso in cui una istituzione europea sanziona un’altra istituzione che è quella che ha redatto e presentato la proposta di regolamento.
Per quanto ci riguarda riteniamo utile analizzare anche gli altri passaggi della sentenza che risulta molto interessante e in parte criticabile sotto diversi punti di vista.
Indice degli argomenti
Fatti di causa
Il ricorrente era un cittadino tedesco appassionato di informatica e di sostenibilità ambientale, il quale in diverse occasioni durante gli anni 2021 e 2022 ha visitato il sito internet della Conferenza sul futuro dell’Europa (CAE) [1]. All’inizio di novembre del 2021, il signor Bindl ha inviato una richiesta di informazioni al delegato per la protezione dei dati della Commissione in relazione al trattamento dei suoi dati personali raccolti durante la navigazione sul sito. In particolare, egli chiedeva quali dati fossero stati trattati e memorizzati, quali trasferiti a paesi terzi, dal momento che accedendo al sito CAE veniva attivata una connessione con fornitori terzi, nello specifico Amazon Web Services e Meta Platforms e quali fossero le basi giuridiche di questi trasferimenti. Chiedeva inoltre quali fossero le garanzie per questi trasferimenti verso paesi terzi privi di un livello adeguato di protezione, come gli Stati Uniti.
In risposta alla sua richiesta la Direzione generale della comunicazione della Commissione gli ha inviato un link elettronico in grado di generare direttamente un elenco dei dati personali trattati durante l’accesso al sito CAE. Ha inoltre precisato che i dati personali non erano stati trasferiti a destinatari al di fuori dell’Unione europea e che erano memorizzati e trattati dal sito CAE, che utilizzava una rete di distribuzione dei contenuti gestita da Amazon Web Services EMEA SARL, con sede in Lussemburgo.
Il ricorrente, non soddisfatto né convinto della risposta, ha presentato un’ulteriore richiesta di informazioni “ribadendo che accedendo al sito CAE si stabilivano connessioni con fornitori terzi, come Amazon Web Services e Microsoft, tramite i dati di accesso di Facebook”. A tale richiesta, il ricorrente non ha ricevuto risposta e, pertanto, il 9 giugno 2022, ha presentato il ricorso al Tribunale.
Nel suo ricorso Bindl ha presentato tre domande aventi ad oggetto:
- l’annullamento del trasferimento dei suoi dati personali verso paesi terzi che non garantiscono un livello adeguato di protezione,
- la dichiarazione che la Commissione europea aveva omesso di prendere posizione in merito alla sua richiesta di informazioni del 1° aprile 2022;
- il risarcimento del danno morale da lui subito a seguito della violazione del suo diritto di accesso alle informazioni e del trasferimento dei suoi dati personali.
Nozione di atti impugnabili
Uno dei primi punti sui quali è interessante porgere l’attenzione è relativo alla nozione e all’identificazione di quali siano gli atti impugnabili ai sensi del trattato.
Secondo l’articolo 263 del TFUE “qualsiasi persona fisica o giuridica può proporre […] un ricorso contro gli atti adottati nei suoi confronti o che la riguardano direttamente e individualmente, e contro gli atti regolamentari che la riguardano direttamente e che non comportano alcuna misura d’esecuzione”.
In questa causa assistiamo a due posizioni ed interpretazioni del tutto diverse del concetto di atto impugnabile: da una parte la Commissione ritiene il ricorso irricevibile in quanto non diretto contro un atto impugnabile ai sensi dell’articolo 263 TFUE, dall’altra il ricorrente che sostiene che i trasferimenti di dati oggetto di causa siano atti che producono effetti giuridici obbligatori e incidono (anzi hanno inciso) sulla sua situazione giuridica, violando il diritto fondamentale alla protezione dei dati personali, garantito dall’articolo 8 della Carta dei diritti fondamentali dell’Unione europea.
Secondo il Tribunale, i trasferimenti di dati sono mere operazioni informatiche che comportano la migrazione di dati da un terminale o da un server a un altro, che risultano dalle interazioni tra il ricorrente e i sistemi o i servizi informatici della Commissione quando consulta il sito web della CAE o il servizio EU Login (che vedremo successivamente), ma non sono atti della Commissione che producono effetti giuridici vincolanti o sono destinati a regolare una situazione giuridica.
Di conseguenza, i trasferimenti in questione non sono in grado di produrre effetti giuridici vincolanti tali da incidere sugli interessi del ricorrente e da modificare in modo significativo la sua posizione giuridica e non possono pertanto essere considerati atti impugnabili ai sensi dell’articolo 263 TFUE.
A fronte di tale decisione, il primo capo del ricorso è stato dichiarato irricevibile.
Omessa risposta da parte della Commissione alla richiesta di informazioni
Con la seconda domanda, il ricorrente ha chiesto al Tribunale di dichiarare che la Commissione ha omesso di prendere posizione sulla richiesta di informazioni del 1° aprile 2022: la stessa, infatti, non aveva ancora risposto adeguatamente alla sua richiesta e le informazioni fornite sono state insufficienti e inesatte.
A questo proposito la Commissione ha eccepito di aver risposto alla richiesta di informazioni del 1° aprile 2022 con una e-mail del 30 giugno 2022, che risulta però successiva alla presentazione del ricorso, che è datato, lo ricordiamo 9 giugno 2022. Pur essendo stata tardiva la risposta avrebbe messo fine alla carenza lamentata dal ricorrente.
Anche in questo caso il Tribunale ha accolto la tesi della Commissione ritenendo che, quando l’atto la cui omissione è oggetto della controversia è stato adottato dopo la proposizione del ricorso, ma prima della pronuncia della sentenza, la dichiarazione da parte del giudice dell’illegittimità dell’omissione iniziale non può più essere affermata in quanto è venuto meno l’oggetto del ricorso e non è più necessario pronunciarsi sullo stesso.
Per quanto questa tesi sia stata espressa in altre sentenze, non si ritiene del tutto corretta in quanto, in primo luogo, la risposta è senza alcun dubbio tardiva e probabilmente inviata solo a causa della proposizione del ricorso, e, in secondo luogo, il contenuto della stessa non corrisponde a quanto richiesto dal ricorrente. Non è corretto, a nostro parere, come sostiene il Tribunale, che “il fatto che le presa di posizione dell’istituzione non soddisfi la ricorrente è irrilevante al riguardo”.
In realtà se si legge attentamente l’art. 265 TFUE dovrebbe essere proprio il contrario: il ricorso è ricevibile soltanto quando l’istituzione o l’organismo in causa siano stati preventivamente richiesti di agire, come nel caso in commento. Ai sensi del terzo comma poi, ogni persona fisica o giuridica può adire la Corte alle condizioni stabilite per contestare ad una istituzione, organo o organismo dell’Unione di avere omesso di emanare nei suoi confronti un atto che non sia una raccomandazione o un parere.
In più, a rafforzare la nostra convinzione, la “tardiva” risposta della Commissione era del tutto insoddisfacente anche a livello pratico in quanto si limitava a dire che la richiesta del 1° aprile 2022 da parte del ricorrente era sostanzialmente identica a quella del 9 novembre 2021 e che a quest’ultima era già stato risposto. Ma come abbiamo visto la risposta precedente nulla diceva circa il trasferimento dei dati personali al di fuori dell’Unione europea e, oltre tutto, come vedremo, era anche non veritiera in quanto il trasferimento dei dati c’è stato.
Risarcimento del danno
Con la terza domanda, il ricorrente ha formulato due richieste di risarcimento: la prima di 800 euro a titolo di risarcimento per il danno morale subito a causa del mancato rispetto da parte della Commissione del suo diritto di accesso alle informazioni, la seconda di 400 euro a titolo di risarcimento per il danno morale subito per effetto dei trasferimenti dei suoi dati personali a Paesi al di fuori della UE.
Per quanto riguarda la prima richiesta, il Tribunale ha osservato che la violazione del termine previsto per rispondere alla richiesta di informazioni non costituisce di per sé un danno morale sufficiente a giustificare il risarcimento richiesto. Seguendo il filo logico delineato, inoltre, il ricorrente ha ricevuto una risposta parziale alla sua richiesta e il ritardo nel fornire ulteriori informazioni non gli ha impedito di esercitare il suo diritto di accesso.
Ulteriormente, prosegue il Tribunale, la violazione di una regola procedurale, come il mancato rispetto di un termine, non implica automaticamente il riconoscimento di un danno morale. Per stabilire l’esistenza di tale danno, è necessario un legame diretto e significativo tra la violazione e il danno subito dalla persona interessata. In assenza, pertanto, di prove concrete che abbiano dimostrato un danno tangibile derivante dalla violazione del termine, la richiesta di risarcimento per danno morale è stata respinta.
Un ragionamento diverso è stato fatto per quanto riguarda il trasferimento dei dati del ricorrente ad un Paese terzo. Come previsto dal regolamento sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione (che non si discosta da quanto previsto dal GDPR), tale trasferimento può avvenire solo se le condizioni definite nel suo capitolo V sono rispettate dal responsabile del trattamento. Un trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale può avvenire quando la Commissione abbia deciso, tramite una decisione di adeguatezza, che il paese o l’organizzazione internazionale in questione garantisce un livello di protezione adeguato e che il trasferimento dei dati personali avvenga esclusivamente per consentire l’esecuzione delle missioni di competenza del responsabile del trattamento. Nel caso del Stati Uniti d’America, le due decisioni di adeguatezza adottate dalla Commissione sono state dichiarate invalide [2].
Ne consegue che, alla data dei trasferimenti contestati, non esisteva alcuna decisione di adeguatezza per quanto riguarda gli Stati Uniti.
La seconda richiesta di risarcimento dei danni da parte del ricorrente si fonda su una violazione, commessa dalla Commissione, delle disposizioni di cui al sopra citato capitolo V (in particolare degli artt. 46 e 48 del regolamento 2018/1725) nonché degli articoli 7, 8 e 47 della Carta dei diritti fondamentali dell’Unione europea. Tali disposizioni mirano a proteggere l’interesse individuale delle persone interessate e costituiscono, quindi, norme di diritto destinate a conferire diritti agli individui.
Il servizio Amazon CloudFront
E poiché i trasferimenti dei dati hanno avuto luogo a causa dell’utilizzo nel sito internet della CAE del servizio Amazon CloudFront utilizzato per accelerare la distribuzione di contenuti web come file, immagini ecc. e del sistema di registrazione EU login all’evento “GoGreen” il Tribunale procede ad esaminare le condizioni di funzionamento di questo servizio nel contesto del sito internet interessato. Sono numerose le pagine della sentenza in cui sono svolti con molta precisione e accuratezza i ragionamenti svolti, noi ci limitiamo a segnalare quanto di interesse per comprendere la decisione in commento.
Il servizio Amazon CloudFront si basa su un meccanismo di instradamento che indirizza la richiesta di un utente del sito internet della CAE verso il server periferico che offre il minor tempo di latenza, secondo un principio di prossimità al terminale dell’utente, affinché il contenuto venga trasmesso all’utente nelle migliori condizioni possibili. Se, a causa di difficoltà tecniche, il server periferico con la latenza più bassa non è disponibile, la connessione viene stabilita con quello con la seconda latenza più bassa, e così via.
È utilizzato per il sito internet della CAE sulla base di un contratto firmato tra la Commissione e AWS EMEA, una filiale della società americana Amazon.com con sede in Lussemburgo. Nell’ambito di questo contratto, la Commissione ha scelto che la distribuzione dei contenuti del sito internet avvenga esclusivamente attraverso la rete situata nelle aree geografiche di Stati Uniti, Messico, Canada, Europa e Israele.
In virtù del principio di prossimità menzionato sopra, le richieste di accesso al sito internet della CAE da parte degli utenti dell’Unione sono abitualmente indirizzate a server periferici della rete Amazon CloudFront situati in questi territori, mentre i casi in cui tali richieste vengano indirizzate a server al di fuori dell’Unione sono rari.
Il servizio di autenticazione EU Login
Secondo il ricorrente durante la consultazione del sito e, nello specifico, al momento della registrazione all’evento “GoGreen” disponibile sul sito web della CAE, il suo indirizzo IP e le informazioni relative al suo browser e al suo terminale sono stati trasferiti alla società Meta Platforms, con sede negli Stati Uniti; al momento della registrazione, infatti, il ricorrente è stato indirizzato al servizio di autenticazione EU Login, che offre, tra l’altro, la possibilità di effettuare il login attraverso vari social network. Il ricorrente ha scelto di connettersi tramite il suo account Facebook.
EU Login è il servizio di autenticazione degli utenti della Commissione, che protegge numerosi siti web e applicazioni relative all’UE. Nel caso in questione, l’obiettivo di connettersi a EU Login per registrarsi all’evento “GoGreen” era quello di garantire che la registrazione fosse effettuata da un indirizzo elettronico verificato, riducendo i rischi associati alla registrazione di falsi utenti o al furto di identità.
EU Login consente diverse opzioni di connessione sulla sua pagina web. La prima opzione consiste nel collegarsi direttamente a EU Login, compilando i dati di connessione di un account EU Login preesistente o creando un account per questo servizio. La seconda opzione consiste nell’utilizzare una carta d’identità elettronica (eID), disponibile per i cittadini di alcuni Stati membri. La terza opzione, disponibile per un numero limitato di servizi, consiste nell’utilizzare un account che l’utente già possiede su Facebook, Twitter o Google, cliccando sul corrispondente collegamento ipertestuale visualizzato sul sito web di EU Login.
La connessione tramite account Facebook
Il ricorrente ha scelto l’opzione di connettersi all’EU Login tramite il suo account Facebook e quando ha cliccato sul collegamento ipertestuale “connettiti con Facebook”, il suo browser Internet ha avuto accesso all’URL del sito web di Facebook e, di conseguenza, ha comunicato il suo indirizzo IP a tale sito web. Successivamente, quando si trovava sul sito web di Facebook, il ricorrente ha scelto le opzioni che consentono a Facebook di utilizzare solo i cookie essenziali, ha effettuato l’accesso al suo account Facebook e, infine, ha autorizzato Facebook a comunicare a EU Login il suo nome, cognome, foto del profilo e indirizzo e-mail, così come li aveva inseriti nel suo account Facebook.
A seguito di queste autorizzazioni concesse dal ricorrente, Facebook lo ha reindirizzato al sito Internet di EU Login, conformemente alle indicazioni contenute nell’ipertesto «accedi con Facebook». Allo stesso tempo, Facebook ha comunicato a EU Login il valore casuale di sicurezza e il codice unico permettendo a EU Login di sapere che i dati personali messi a disposizione da Facebook riguardavano l’utente che aveva avviato il processo di autenticazione. Nello stesso tempo ha consentito a EU Login di accedere, per un periodo limitato, ai dati personali come il nome, il cognome e l’indirizzo e-mail del ricorrente, così come indicati nel suo account Facebook. La trasmissione di questi dati da Facebook a EU Login è avvenuta tramite una connessione crittografata tra le due parti. È sulla base dei dati messi a disposizione da Facebook che EU Login ha autenticato l’indirizzo e-mail del ricorrente.
Ne consegue che la Commissione, attraverso l’ipertesto «accedi con Facebook» visualizzato sulla pagina Internet di EU Login, ha creato le condizioni per consentire la trasmissione dell’indirizzo IP del ricorrente a Facebook. Ora, questo indirizzo IP costituisce un dato personale (poiché riguarda una persona fisica, e consente di identificare o rendere identificabile tale person) che, tramite il suddetto ipertesto, è stato trasmesso a Meta Platforms, con sede negli Stati Uniti. Questa trasmissione corrisponde quindi a un trasferimento di dati personali verso un paese terzo, ai sensi dell’articolo 46 del regolamento 2018/1725, in assenza di qualsiasi decisione di adeguatezza riguardante gli Stati Uniti.
Pertanto, il trasferimento dei dati del signor Bindl non era lecito e ha causato allo stesso un danno morale consistente nella perdita di controllo sui suoi dati e nella privazione dei suoi diritti e libertà.
Secondo il Tribunale il “comportamento della Commissione ha posto il ricorrente in una situazione di insicurezza per quanto riguarda il trattamento dei suoi dati personali, e per tale motivo accoglie la domanda di risarcimento dei danni morali che quantifica “ex aequo et bono nella somma di euro 400”.
Questa ipotesi è ormai superata dalla decisione adottata dalla Commissione il 10 luglio 2023 nell’ambito del quadro UE-USA per la protezione dei dati personali, ma al tempo dei fatti non c’era una valida base giuridica per il trasferimento dei dati verso gli Stati Uniti.
Cosa non convince della sentenza
Quello che non ci persuade di questa sentenza, come sopra abbiamo messo in evidenza, è la contraddizione tra il ritenere corretto il comportamento della Commissione nel non aver dato le risposte al ricorrente (se non solo tardive e poco significative) e non aver al contrario verificato la veridicità di quanto in esse riportato e aver poi condannato la stessa Commissione al risarcimento del danno (in misura piuttosto irrisoria) per aver in effetti trasferito, come sostenuto dal signor Bindl, i dati personali dello stesso in un Paese dove non esistevano garanzie sul loro trattamento.
La Commissione ha due mesi per impugnare la decisione.
Note
[1] https://www.consilium.europa.eu/it/policies/conference-on-the-future-of-europe/
[2] Ricordiamo che con la sentenza del 6 ottobre 2015, Schrems (C 362/14, EU:C:2015:650), la Corte ha dichiarato invalida la decisione 2000/520/CE della Commissione, del 26 luglio 2000, conforme alla direttiva 95/46/CE del Parlamento europeo e del Consiglio relativa alla pertinenza della protezione garantita dai principi della “sfera di sicurezza” e dalle domande frequenti relative, pubblicate dal Ministero del Commercio degli Stati Uniti d’America e con la successiva sentenza Schrems II, ha dichiarato invalida la decisione di esecuzione (UE) 2016/1250 della Commissione, del 12 luglio 2016, conforme alla direttiva 95/46/CE del Parlamento europeo e del Consiglio relativa alla protezione adeguata garantita dallo scudo per la protezione dei dati UE-Stati Uniti.
