Danni | 2024-11-29 · NEW: Appunta · Stampa · Cita: 'Doc 99075' · pdf |
Germania: il Risarcimento del danno semplicemente da scraping - Il testo integrale della sentenza |
abstract:
La decisione e' molto ampia. Per quanto il comunicato stampa ne sempllifica la lettura, le argomentazioni sono piu' argomentate di quanto riportato da alcuni.
Anzi. Il danno va motivato. Confermato.
"Se, secondo le conclusioni del giudice, sussiste solo un danno sotto forma di perdita di controllo sui Dati personali perché non è stato dimostrato un ulteriore danno, il giudice di merito deve, nel valutare il danno, tenere conto in particolare dell'eventuale sensibilità dei Dati personali specificamente interessati (cfr. art. 9 (1) GDPR) e il loro uso tipicamente appropriato. Inoltre, deve tenere conto del tipo di perdita di controllo (cerchia ristretta/illimitata di destinatari), della durata della perdita di controllo e della possibilità di riprendere il controllo, ad esempio rimuovendo una pubblicazione da Internet (compresi gli archivi) o modificando i Dati personali (ad esempio, cambio di numero di telefono; nuovo numero di carta di credito). Nei casi in cui sarebbe possibile riprendere il controllo con uno sforzo proporzionato, lo sforzo ipotetico per riprendere il controllo (in questo caso, in particolare, un cambio di numero di telefono) potrebbe servire come indice di un risarcimento ancora più efficace.
"bb) Sembra quindi estremamente dubbio che una determinazione di "eventualmente un solo importo a una cifra" sarebbe compatibile con il principio di effettività (ma è il caso del Tribunale Regionale Superiore di Celle, sentenza del 4 aprile 2024 - 5 U 31/23, juris par. 102). D'altro canto, il Senato non avrebbe obiezioni di diritto alla valutazione del risarcimento necessario per la perdita del controllo in quanto tale in un caso come quello di cui trattasi nell'ordine di 100 euro (si veda l'obiter OLG Hamm, GRUR-RS 2024, 16856 par. 40).
"cc) Se l'interessato lamenta menomazioni psichiche che vanno oltre l'inconveniente direttamente connesso alla perdita di controllo per tutti, il tribunale di primo grado può essere obbligato ad ascoltare l'interessato per poter effettuare le necessarie constatazioni al riguardo. Su questa base, dovrà determinare un importo a titolo di risarcimento superiore all'importo da concedere in caso di mera perdita di controllo."
Link: https://openjur.de/u/2497758.html
analisi:
-
index:
testo:
Corte federale di giustizia, sentenza del 18.11.2024 - VI ZR 10/24
Tenore
Sul ricorso per cassazione dell'attore, la sentenza del 15° Senato civile del Tribunale regionale superiore di Colonia del 7 dicembre 2023 è annullata per quanto riguarda le spese e nella misura in cui il ricorso dell'attore per quanto riguarda le domande di risarcimento del danno morale (domanda al numero 1), per la determinazione di un obbligo di risarcimento per danni futuri (domanda al numero 2), per un'ingiunzione contro l'uso del numero di telefono, nella misura in cui ciò non è coperto dal Consenso dell'attore (domanda al punto 3b) e per il rimborso delle spese legali preliminari (domanda al punto 5) è stata respinta.
Il ricorso per cassazione è respinto per il resto.
Nella misura in cui l'inversione di tendenza è rinviata alla corte d'appello per una nuova udienza e decisione, anche sulle spese del procedimento di appello.
Per effetto di legge
Risultati
L'attore fa valere richieste di risarcimento danni, provvedimenti dichiarativi, provvedimenti ingiuntivi e informazioni a causa di una violazione del Regolamento generale sulla protezione dei dati (GDPR) da parte del convenuto.
La convenuta, con sede in Irlanda, gestisce il social network Facebook, con il quale l'attrice mantiene un account utente. L'attore aveva pubblicato Dati personali sulla rete. Ciò includeva l'indicazione del suo nome, sesso e l'ID utente a lui assegnato, che era necessario per la registrazione ed era sempre visibile pubblicamente a tutti gli utenti.
Oltre alle informazioni obbligatorie, che possono essere sempre visualizzate, gli utenti possono fornire ulteriori dati su se stessi nel loro profilo e decidere, nell'ambito specificato dal convenuto, quali altri gruppi di utenti ("amici", [anche] "amici di amici", "pubblico") possono accedere a questi dati. A tal fine, il convenuto fornisce impostazioni sulla privacy con le quali gli utenti possono determinare in che misura desiderano rendere accessibili al pubblico le informazioni che forniscono. La convenuta ha informato i suoi utenti sulla funzione e sul significato delle impostazioni sulla privacy nella cosiddetta area di aiuto dell'account utente. In tale contesto, l'attore aveva indicato il suo luogo di lavoro come visibile pubblicamente, ma aveva impostato l'impostazione della protezione dei dati per quanto riguarda la visibilità del suo numero di cellulare in modo tale che fosse visibile solo a lui. Per quanto riguarda le impostazioni di ricercabilità del suo profilo, che potevano essere determinate, tra l'altro, chi poteva trovarlo tramite il suo numero di telefono, l'attore lo aveva lasciato all'impostazione predefinita "tutti"; invece, avrebbe potuto limitare questa cerchia agli "amici degli amici" o agli "amici" (da maggio 2019 anche: "solo io").
Se, come nel caso dell'attore, l'impostazione di ricercabilità di un utente era impostata su "tutti" per quanto riguarda il numero di telefono, la cosiddetta funzione di importazione dei contatti implementata dalla convenuta consentiva a ogni utente di Facebook di trovare il profilo di un altro utente con l'aiuto del numero di telefono memorizzato da quest'ultimo fino a settembre 2019. Per fare ciò, gli utenti possono caricare i contatti dai dispositivi mobili su Facebook per trovare i rispettivi utenti con l'aiuto dei numeri di telefono. Ciò era possibile anche se la selezione del gruppo target del rispettivo utente non era impostata su "pubblico" per quanto riguarda il numero di telefono, ma - come nel caso in questione - su "solo io".
Nel periodo compreso tra gennaio 2018 e settembre 2019, terze parti sconosciute hanno assegnato numeri di telefono agli account utente inserendo sequenze casuali di cifre tramite la funzione di importazione dei contatti della rete e hanno avuto accesso ai dati disponibili su questi utenti (il cosiddetto scraping). I dati di circa 533 milioni di utenti ottenuti in questo modo e ora collegati a un numero di telefono sono stati diffusi pubblicamente su Internet nell'aprile 2021. Ciò ha influito anche sui Dati personali del richiedente (numero di telefono in relazione ai dati del suo account utente, ovvero ID utente, nome, cognome, sesso e luogo di lavoro). Secondo le osservazioni dell'attore, il convenuto non ha informato l'autorità competente per la protezione dei dati né se stesso dell'incidente.
L'attore chiede il pagamento di danni morali perché il convenuto ha violato il Regolamento generale sulla protezione dei dati sotto diversi aspetti e non ha protetto adeguatamente i suoi dati. Aveva subito una notevole perdita di controllo sui suoi dati, che aveva portato a un massiccio aumento dei tentativi di contatto fraudolenti. Inoltre, chiede che venga dichiarato che il convenuto è tenuto a risarcirlo per tutti i danni futuri in questo contesto e fa valere le sue pretese di provvedimenti ingiuntivi e di informazioni. Con lettera del 23 agosto 2021, il convenuto ha informato l'attore dei dati che aveva memorizzato su di lui.
Il TAR ha parzialmente accolto il ricorso e ha riconosciuto all'attrice il diritto di impugnazione ai sensi dell'art. 82 (1) GDPR nonché parte delle spese legali richieste. Per il resto, il ricorso è stato respinto. In risposta al ricorso della convenuta, che è stato accolto dal TAR, il TAR ha riformato la decisione del TAR, rigettando il ricorso incidentale dell'attore, e ha respinto il ricorso nella sua interezza. Nel suo ricorso per cassazione, che è stato accolto dal Tribunale regionale superiore, l'attore continua a perseguire le sue pretese.
Motivi
Un.
La Corte d'appello ha sostanzialmente affermato quanto segue a sostegno della sua decisione (GRUR-RS 2023, 37347):
La domanda di accertamento dell'obbligo del convenuto di risarcire il risarcimento dei danni futuri era già irricevibile, così come le domande di provvedimenti inibitori. Per quanto riguarda la domanda di sentenza dichiarativa, mancava l'interesse necessario a una sentenza dichiarativa. Tenuto conto del passare del tempo trascorso dall'incidente di raschiamento, non c'era motivo di aspettarsi che si verificassero (ulteriori) danni; L'argomento dell'attore a questo proposito era insufficiente. La domanda di provvedimento ingiuntivo ai sensi del punto 3a, che chiede al convenuto di astenersi dal "divulgare i Dati personali della parte dell'attore ... a terzi non autorizzati tramite un software di importazione a contatto, senza prevedere le misure di sicurezza possibili secondo lo stato dell'arte per impedire l'utilizzo del sistema per scopi diversi dall'esecuzione del contatto», non è sufficientemente precisa. Per quanto riguarda la domanda di provvedimento ingiuntivo ai sensi del numero 3b, in cui l'attore chiede che il convenuto si astenga dal "trattare il numero di telefono della parte dell'attore sulla base di un Consenso ottenuto dal convenuto a causa di informazioni confuse e incomplete, in particolare senza informazioni chiare che il numero di telefono può ancora essere utilizzato utilizzando la funzione di importazione dei contatti anche se è impostato su "privato", se l'autorizzazione non viene esplicitamente negata per questo e, nel caso dell'utilizzo dell'app Facebook Messenger, l'autorizzazione viene esplicitamente negata anche in questo caso", manca in ogni caso il necessario interesse alla protezione giuridica. Questo perché l'attore potrebbe, se ciò non fosse già stato fatto in ogni caso, ritirare il suo numero di telefono dalla funzione di ricerca senza ulteriori indugi; Era inoltre libero di cancellare integralmente il suo numero di telefono dal registro dei dati memorizzato dall'imputato.
Inoltre, le censure fatte valere sarebbero infondate. Il diritto al risarcimento del danno morale ai sensi dell'art. 82 GDPR non esiste. È vero che l'ambito di applicazione della disposizione è aperto e il convenuto è Responsabile anche ai sensi dell'art. 4 n. 7 GDPR. Potrebbe anche rimanere aperta l'eventuale violazione del regolamento generale sulla protezione dei dati. In ogni caso, l'attrice non aveva subito alcun danno morale.
L'attrice non aveva dimostrato il danno morale. Per quanto riguarda i dati che sono sempre stati pubblici, erano stati comunque pubblici accettando le condizioni di utilizzo del convenuto con il Consenso dell'attore. Per quanto riguarda il numero di telefono, l'attore non aveva voluto che fosse divulgato al pubblico. Tuttavia, egli non aveva già sufficientemente dimostrato una perdita di controllo in quanto non aveva dimostrato di aver precedentemente detenuto il controllo del suo numero di telefono. La spiegazione era necessaria perché il numero di telefono non era di per sé un'informazione sensibile, poiché il suo utilizzo serviva proprio allo scopo di contattare altre persone. Inoltre, la perdita del controllo non costituiva un danno in quanto tale, ma richiedeva piuttosto la prova che la perdita del controllo aveva causato un danno morale. Non vi è stata alcuna argomentazione comprovata al riguardo. L'accusa di paura, preoccupazione e malessere non era sufficiente, l'attore doveva presentare indicazioni concrete o prove oggettive dell'esistenza di queste emozioni. I moduli di testo utilizzati non erano sufficienti. Non è stata necessaria una nuova audizione dell'attore, ciò equivarrebbe a un'indagine. Anche l'esposizione sui danni morali causati da SMS e chiamate spam, nonché sul tempo e gli sforzi spesi non era sufficiente, poiché erano stati utilizzati solo moduli di testo.
Il diritto all'informazione asserito non esisteva. L'imputato aveva fornito informazioni in una lettera del 23 agosto 2021. Ulteriori informazioni sui destinatari dei dati dell'attore erano impossibili per l'imputato a causa della mancata conoscenza degli scraper.
In assenza di una domanda principale, non sussiste neppure il diritto al rimborso degli onorari dell'avvocato preprocessuale. Inoltre, non era necessaria la nomina di un avvocato prima del dibattimento.
B.
Queste considerazioni non reggono a un esame su questioni di diritto sotto tutti gli aspetti. Tuttavia, la Corte d'appello ha giustamente ritenuto che la domanda di provvedimento ingiuntivo ai sensi del punto 3a (III.) sia inammissibile e che l'azione sia infondata per quanto riguarda il diritto all'informazione (V.). Per quanto riguarda la domanda di risarcimento del danno morale (I.), la domanda di sentenza dichiarativa (II.), l'ulteriore domanda di provvedimento ingiuntivo ai sensi del n. 3b (IV.) e la domanda di rimborso degli onorari dell'avvocato preprocessuale (VI.), tuttavia, il ricorso per cassazione dell'attore viene accolto.
Io.
Con il ragionamento della Corte d'Appello, è stata proposta una domanda di risarcimento del danno non patrimoniale ex art. 82 par. 1 del GDPR.
1. In conclusione, la Corte d'Appello ha correttamente ritenuto che la domanda dell'attore per il pagamento di danni morali per un importo di € 1.000 non faccia valere alternativamente diverse pretese procedurali indipendenti basate su varie violazioni della protezione dei dati, ma piuttosto una richiesta uniforme di risarcimento per danni non patrimoniali che si dice derivino da diverse violazioni della protezione dei dati da parte del convenuto. Tuttavia, nella misura in cui la Corte d'appello ha interpretato la domanda dell'attore per il pagamento di una richiesta di risarcimento danni non pecuniaria nel senso che l'attore ha chiesto un importo di € 500 per l'incidente di raschiamento e un ulteriore importo di € 500 per informazioni insufficienti fornite dal convenuto, questa suddivisione dell'applicazione uniforme solleva preoccupazioni.
a) L'oggetto della controversia è determinato dalla richiesta di tutela giuridica (domanda), in cui è comprovata la conseguenza giuridica invocata dall'attore, e i fatti della vita (causa dell'azione) da cui l'attore trae la conseguenza giuridica desiderata (articolo 253.2 n. 2 del codice di procedura civile). La causa dell'azione comprende tutti i fatti che, se considerati naturalmente dal punto di vista delle parti e comprendendo l'essenza dei fatti, appartengono al complesso dei fatti sottoposti alla decisione. L'oggetto della controversia comprende quindi tutte le pretese sostanziali che possono essere desumibili dai fatti della vita sottoposti a decisione nell'ambito della domanda presentata (Senato, sentenza del 14 marzo 2017 - VI ZR 605/15, NJOZ 2018, 1982 par. 17 con ulteriori riferimenti).
b) Di conseguenza, nelle circostanze della controversia, la pretesa di risarcimento del danno morale di importo adeguato, ma almeno di 1.000 euro, che l'attore fonda sul presunto Incidente di scraping e sulla presunta errata attuazione da parte del convenuto degli obblighi di notifica e informazione ad esso direttamente connessi, costituisce un unico oggetto della controversia. Copre tutte le presunte violazioni del Regolamento generale sulla protezione dei dati in relazione al Trattamento dei dati incriminato. Questo perché, da un punto di vista naturale, le violazioni del Regolamento generale sulla protezione dei dati non possono essere valutate isolatamente, in quanto sono tutte radicate in un evento uniforme che non può essere suddiviso in singole violazioni della protezione dei dati per quanto riguarda le conseguenze associate. Inoltre, contrariamente a quanto affermato dalla Corte d'appello, che punta in questa direzione, la pretesa di risarcimento non costituisce un oggetto divisibile della controversia, nel senso che le varie violazioni della protezione dei dati dedotte dall'attore rappresentano importi diversi e che sarebbero suscettibili di una valutazione giuridica separata. Secondo la giurisprudenza della Corte di giustizia dell'Unione europea (di seguito "Corte di giustizia"), il diritto alla libertà di espressione sancito dall'art. 82 par. 1 del GDPR. Esso non svolge una funzione dissuasiva e nemmeno punitiva, motivo per cui l'esistenza di più violazioni relative alla stessa operazione di Trattamento non comporta un aumento del risarcimento dei danni (cfr. CGUE, Sentenza dell'11 aprile 2024 - C-741/21, NJW 2024, 1561 par. 59 f" 64 e segg. - juris). Questa valutazione sarebbe compromessa se diverse violazioni della protezione dei dati, tutte correlate all'incidente di scraping, fossero suddivise in circostanze separate e potessero quindi essere fatte valere cumulativamente.
2. La Corte d'Appello ha anche correttamente assunto che il Regolamento generale sulla protezione dei dati (GDPR) sia geograficamente (art. 3 par. 1 GDPR) e, poiché le informazioni dell'attore memorizzate dal convenuto contengono facilmente Dati personali dell'attore, anche di fatto (art. 2 (1) GDPR). Per quanto riguarda l'applicabilità ratione temporis, non è determinante il momento della registrazione di un account utente nel social network della convenuta, bensì il momento dell'incidente di scraping. Secondo le conclusioni della Corte d'Appello, ciò non è avvenuto, almeno per quanto riguarda l'attore, prima del 25 maggio 2018 e quindi della data da cui è in vigore il Regolamento generale sulla protezione dei dati (art. 99 (2) GDPR).
3. La competenza internazionale dei giudici tedeschi risulta dall'art. 82 (6) in combinato disposto con l'art. 79 (2) comma 2 GDPR. L'attore, in qualità di interessato, ha la sua residenza abituale in Germania.
4. Secondo la giurisprudenza della Corte di giustizia, una domanda di risarcimento danni ai sensi dell'art. 82 (1) GDPR, una violazione del Regolamento generale sulla protezione dei dati, l'esistenza di un danno materiale o immateriale e un nesso causale tra il danno e la violazione, queste tre condizioni sono cumulative (CGUE, sentenze del 4 ottobre 2024 - C-507/23, juris par. 24 - Pateretäju tieslbu aizsardzlbas centrs; dell'11 aprile 2024 - C-741/21, NJW 2024, 1561 par. 34 - juris; del 25 gennaio 2024 - C-687/21, CR 2024, 160 par. 58 - MediaMarktSaturn). L'onere della presentazione e della prova di tali requisiti spetta alla persona che, sulla base dell'art. 82 (1) GDPR (cfr. CGUE, sentenze dell'11 aprile 2024-C-741/21, NJW2024,1561 par. 35-juris; del 25 gennaio 2024 - C-687/21, CR 2024, 160 par. 60 e ss. - MediaMarktSaturn). Nell'ambito di una richiesta di risarcimento danni ai sensi dell'art. 82 par. 1 del GDPR. Gentile. 82 GDPR prevede piuttosto la responsabilità per presunta colpevolezza, la discolpa spetta all'art. 82 (3) GDPR (cfr. CGUE, sentenze dell'11 aprile 2024 - C-741/21, NJW 2024, 1561 par. 44 e segg. -juris; del 21 dicembre 2023 - C-667/21, EuZW 2024, 270 par. 94 - Krankenversicherung Nordrhein; cfr. anche considerando 146 frase 2 GDPR).
a) La necessaria violazione del Regolamento generale sulla protezione dei dati deve essere presunta ai sensi del diritto di ricorso per motivi di diritto, poiché il tribunale di seguito ha in definitiva lasciato aperta la questione se una violazione dell'articolo 5 paragrafo 1 lettera b) dell'art. 25 (2), art. 32 (1) GDPR, e pertanto non ha effettuato le necessarie constatazioni (cfr. B.VIII.1 di seguito).
aa) In caso di controversia, non è necessario decidere se sia in corso una violazione del Regolamento generale sulla protezione dei dati ai sensi dell'art. 82 (1) GDPR non copre solo il Trattamento illecito di dati personali, come suggerito dall'art. 82 (2) frase 1 e dal considerando 146 frase 1 GDPR (cfr. anche CGUE, Sentenza del 4 maggio 2023 - C-300/21, VersR 2023, 920 par. 36 - Posta austriaca: "Trattamento di Dati personali in violazione delle disposizioni del GDPR"), o se, in linea di principio, si tratti di mere violazioni di obblighi astratti del Titolare del Trattamento al di fuori di uno specifico il processo di Trattamento può dar luogo a responsabilità (sullo stato della controversia, si veda Paal, ZfDR 2023, 325, 334 e segg.; Tribunale regionale superiore di Stoccarda, sentenza del 22 novembre 2023 -4 U 20/23, punti 381 e segg.; lasciato aperto anche da OLG Oldenburg, sentenza del 21 maggio 2024 - 13 U 100/23, juris par. 24; in ogni caso mwN). Alla luce del concetto globale di Trattamento di cui all'art. 4 n. 2 GDPR (qualunque operazione o insieme di operazioni, compiute con o senza l'ausilio di procedure automatizzate, in relazione a dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o altra forma di messa a disposizione, il raffronto o l'interconnessione, la restrizione, la cancellazione o la distruzione) sarebbe inoltre incompatibile con una comprensione più restrittiva dell'art. 82 (1) GDPR per quanto riguarda l'incidente di scraping nel mezzo del presente caso, si può presumere senza ulteriori indugi che il convenuto stia trattando dati sotto forma di memorizzazione, interrogazione, divulgazione mediante trasmissione, messa a disposizione e collegamento.
Di conseguenza, la Corte di giustizia ha già statuito che in caso di violazione delle disposizioni dell'art. da 5 a 11 del GDPR, ossia il secondo capitolo del Regolamento generale sulla protezione dei dati, che stabilisce i principi per il Trattamento dei dati, esiste anche un Trattamento illecito dei dati (cfr. CGUE, Sentenza del 4 maggio 2023 - C-60/22, ZD 2023, 606 parr. 54-57 - Repubblica federale di Germania [Casella elettronica del tribunale]). Preoccupazioni circa l'applicabilità dell'art. 82 (1) GDPR per violazioni dell'art. 5 GDPR quindi non esistono (cfr. anche CGUE, sentenze del 25 gennaio 2024 - C-687/21, CR 2024, 160 par. 42 e segg. - MediaMarktSaturn; del 14 dicembre 2023 - C-340/21, NJW 2024, 1091 par. 52 e segg. - Natsionalna agentsia za prihodite). Tuttavia, non è prevista alcuna violazione delle disposizioni del quarto capitolo del Regolamento generale sulla protezione dei dati (art. da 24 a 43 GDPR), la Corte di giustizia ha già ipotizzato con riferimento a singole disposizioni che una domanda di risarcimento danni ai sensi dell'art. 82 GDPR (cfr. in caso di violazione dell'art. 32 GDPR CGUE, Sentenze del 25 gennaio 2024 - C-687/21, CR 2024, 160 par. 42 e ss. - MediaMarktSaturn; del 14 dicembre 2023 - C-340/21, NJW 2024, 1091 par. 52 e segg. - Natsionalnaagentsia za prihodite; per violazioni dell'art. 26 e 30 GDPR Sentenza del 4 maggio 2023 - C-60/22, ZD 2023, 606 par. 66 e ss. - Repubblica Federale di Germania [Electronic Court Tray]).
bb) In questo contesto, è anche irrilevante se una o più violazioni del Regolamento generale sulla protezione dei dati possano essere stabilite, poiché il diritto del Regolamento generale sulla protezione dei dati di cui all'art. 82 (1) GDPR svolge solo una funzione compensativa, ma non dissuasiva o punitiva, e quindi l'esistenza di più violazioni non comporta un aumento del danno (cfr. CGUE, Sentenza dell'11 aprile 2024 - C-741/21, NJW 2024, 1561 par. 59 e ss., 64 e ss. - juris; OLG Oldenburg, sentenza del 21 maggio 2024 - 13 U 100/23, juris par. 24).
cc) Nella misura in cui l'attore basa inoltre la sua domanda su una violazione degli obblighi di notifica e segnalazione, il tribunale di seguito non ha riscontrato un nesso di causalità per il danno asserito.
b) L'esistenza di un danno morale non può essere negata sulla base del ragionamento del giudice di seguito riportato.
aa) In mancanza di un riferimento nell'art. 82 (1) GDPR al diritto interno degli Stati membri ai sensi di tale disposizione (giurisprudenza consolidata, CGUE, sentenze del 20 giugno 2024 - C-590/22, DB 2024, 1676 par. 31 - PS GbR; del 25 gennaio 2024 - C-687/21, CR 2024, 160 par. 64 - MediaMarkt-Saturn; del 4 maggio 2023 - C-300/21, VersR 2023, 920 cpv. 30 e 44 - Poste austriache). Ai sensi del considerando 146 frase 3 del GDPR, il termine "danno" deve essere interpretato in senso ampio, in un modo che corrisponda pienamente agli obiettivi del presente regolamento. Tuttavia, secondo la giurisprudenza della Corte di giustizia, la mera violazione delle disposizioni del regolamento generale sulla protezione dei dati non è sufficiente a giustificare una domanda di risarcimento danni, ma piuttosto - nel senso di un presupposto autonomo per una domanda - è necessario anche il verificarsi di un danno (a seguito di tale violazione) (giurisprudenza consolidata, cfr. CGUE, sentenze del 20 giugno 2024 - C-590/22, DB 2024, 1676 par. 25 - PS GbR; dell'11 aprile 2024 - C-741/21, NJW 2024, 1561 par. 34 - giurisprudenza; del 4 maggio 2023 - C-300/21, VersR 2023, 920 par. 42 - Poste austriache).
La Corte ha inoltre affermato che l'art. 82, paragrafo 1, del RGPD osta a una disposizione o prassi nazionale che subordina il risarcimento del danno morale ai sensi di tale disposizione al fatto che il danno subito dall'interessato abbia raggiunto un certo grado di gravità o di importanza (CGUE, sentenze del 20 giugno 2024 - C-590/22, DB 2024, 1676 par. 26 - PS GbR; dell'11 aprile 2024 - C-741/21, NJW 2024, 1561 par. 36 - giurisprudenza; del 4 maggio 2023 - C-300/21, VersR 2023, 920 par. 51 - Posta austriaca). Tuttavia, la Corte ha anche affermato che, ai sensi dell'art. 82 (1) GDPR è tenuto a dimostrare di aver effettivamente subito un danno materiale o immateriale. Il rigetto di una soglia di rilevanza non significa che una persona lesa da una violazione del regolamento generale sulla protezione dei dati che ha avuto conseguenze negative per lei sia esentata dalla prova che tali conseguenze costituiscano un danno morale ai sensi dell'articolo 82 di tale regolamento (CGUE, sentenze del 20 giugno 2024 - C-590/22, DB 2024, 1676 par. 27 - PS GbR; dell'11 aprile 2024 - C-741/21, NJW 2024, 1561 par. 36 - juris).
Infine, nella sua recente giurisprudenza, la Corte di Giustizia ha chiarito con riferimento al Considerando 85 del GDPR (si veda anche il Considerando 75 del GDPR) che anche la perdita del controllo sui Dati personali – anche per un breve periodo – può costituire un danno non patrimoniale, senza che tale nozione di "danno non patrimoniale" richieda la prova di ulteriori conseguenze negative apprezzabili (CGUE, Sentenze del 4 ottobre 2024 - C-200/23, juris par. 145,156 in combinato disposto con 137-Agentsia po vpisvaniyata; del 20 giugno 2024 - C-590/22, DB 2024, 1676 par. 33 - PS GbR; dell'11 aprile 2024 - C-741/21, NJW 2024, 1561 par. 42 - juris; cfr. già CGUE, sentenze del 25 gennaio 2024 - C-687/21, CR 2024, 160 par. 66 - MediaMarktSaturn; del 14 dicembre 2023 - C-456/22, NZA 2024, 56 punti 17-23 - Comune di Ummendorf e - C-340/21, NJW 2024, 1091 paragrafo 82 - Natsionalna agentsia za prihodite). La prima frase del considerando 85 del RGPD enuncia che «[l]a violazione della protezione dei Dati personali può comportare danni fisici, materiali o immateriali alle persone fisiche, quali la perdita di controllo sui loro Dati personali o la limitazione dei loro diritti, la discriminazione, il furto o la frode d'identità, il danno patrimoniale (...) o altri svantaggi economici o sociali significativi per la persona fisica interessata". Secondo la giurisprudenza della Corte, da tale elenco di «danni» che possono essere causati alle persone interessate risulta che il legislatore dell'Unione ha inteso includere, con la nozione di «danno», in particolare, la mera perdita di controllo («la simple perte de contrôle») sui propri dati a causa di una violazione del regolamento generale sulla protezione dei dati, anche se non vi è stato un uso abusivo specifico dei dati di cui trattasi ai fini della (CGUE, sentenze del 4 ottobre 2024 - C-200/23, juris par. 145 - Agentsia po vpisvaniyata; del 14 dicembre 2023 - C-340/21, NJW 2024, 1091 par. 82 - Natsionalna agentsia za prihodite).
Naturalmente, l'interessato deve anche dimostrare a tale riguardo di aver subito tale danno, ossia consistente in una mera perdita di controllo in quanto tale (cfr. CGUE, sentenze del 20 giugno 2024 - C-590/22, DB 2024, 1676 par. 33 - PS GbR; dell'11 aprile 2024 - C-741/21, NJW 2024, 1561 par. 36 e 42 - juris). Se tale prova è stata fornita, ossia è stata accertata la perdita di controllo, essa costituisce di per sé un danno morale e non è necessario che ne derivino timori o ansie particolari della persona interessata; Questi sarebbero adatti solo per approfondire o aumentare il danno morale che si è verificato.
Tuttavia, anche se non è possibile dimostrare una perdita di controllo, il fondato timore di una persona che i suoi Dati personali siano utilizzati in modo improprio da terzi a seguito di una violazione del Regolamento è sufficiente a giustificare una richiesta di risarcimento danni (cfr. CGUE, Sentenza del 25 gennaio 2024 - C-687/21, CR 2024, 160 par. 67 - MediaMarktSaturn; del 14 dicembre 2023 - C-340/21, NJW 2024, 1091 par. 85 - Natsionalna agentsia za prihodite). Il timore e le sue conseguenze negative devono essere debitamente provati (cfr. CGUE, sentenze del 20 giugno 2024 - C-590/22, DB 2024, 1676 par. 36 - PS GbR; del 14 dicembre 2023 - C-340/21, NJW 2024, 1091 par. 75-86 - Natsionalna agentsia za prihodite). Al contrario, la mera affermazione di un timore senza conseguenze negative dimostrate è altrettanto insufficiente quanto un rischio puramente ipotetico di abuso da parte di un Terzo non Autorizzato (cfr. CGCE, sentenze del 20 giugno 2024 - C-590/22, DB 2024, 1676 par. 35 - PS GbR; del 25 gennaio 2024 - C-687/21, CR 2024, 160 par. 68 - MediaMarktSaturn).
bb) L'interessato che chiede il risarcimento del danno morale deve quindi far valere (e, se necessario, dimostrare) che la violazione del regolamento generale sulla protezione dei dati ha avuto per lui conseguenze negative che costituiscono un danno morale.
Al fine di presentare correttamente la domanda, il giudice deve essere in grado di valutare, in base ai principi generali, sulla base delle osservazioni delle parti, se siano soddisfatti i requisiti di legge per le conseguenze giuridiche connesse a un'allegazione. Di conseguenza, una deduzione fattuale a sostegno di una domanda è già conclusiva e pertinente se la parte deduce fatti che, in combinato disposto con una norma giuridica, sono idonei e necessari a far apparire il diritto fatto valere come sorto nella persona della parte. Non è necessario fornire ulteriori dettagli se non sono pertinenti alle conseguenze giuridiche. Il giudice deve solo essere messo in condizione di decidere, sulla base delle osservazioni di fatto della parte, se sono soddisfatti i requisiti di legge per l'esistenza del diritto fatto valere. Se tali requisiti sono soddisfatti, spetta al giudice di merito assumere le prove e, se necessario, interrogare i testimoni nominati o la parte da sentire per ulteriori dettagli o sottoporre le questioni rilevanti per le prove a un esperto (cfr. sulla giurisprudenza consolidata - anche sull'applicabilità di procedimenti di massa come i casi diesel - solo Senato, sentenze del 6 febbraio 2024 - VI ZR 526/20), WM 2024, 761 par. 11; del 13 luglio 2021 -VI ZR 128/20, VersR 2021, 1252 par. 20; del 18 maggio 2021 -VI ZR 401/19, VersR 2021, 1046 par. 19; in ogni caso mwN).
cc) In base a tali principi, il giudice di seguito non aveva il diritto di ritenere che l'argomento dell'attore relativo al danno sotto forma di perdita di controllo fosse di per sé insufficiente per l'assunzione di un danno morale ai sensi dell'art. 82 par. 1 GDPR. Nella misura in cui la Corte d'Appello ha anche ritenuto che l'argomentazione dell'attore su ulteriori danni sotto forma di paura, preoccupazione e disagio dovuti a SMS e chiamate spam, nonché sotto forma di tempo e sforzi spesi per affrontare l'incidente di scraping e proteggersi da futuri abusi, fosse troppo infondata, ha sovraccaricato i requisiti di presentazione.
(1) Alla Corte d'appello si deve ammettere che, in procedimenti come quelli relativi all'incidente di scraping nel caso del convenuto, non è raro osservare che vengono depositate memorie "standardizzate", apparentemente composte da moduli di testo, alcune delle quali possono essere prive di qualsiasi riferimento al caso specifico e ai fatti specifici su cui si basa. Tuttavia, affinché la sua domanda di risarcimento danni sia conclusiva, l'interessato deve solo dimostrare che e in che modo è stato colpito dall'incidente di scraping e quali conseguenze ciò ha avuto per lui (cfr. su una situazione analoga in un procedimento di tutela degli investitori, Corte federale di giustizia, sentenza del 6 dicembre 2012 - Ill ZR 66/12, VersR 2013, 359 cpv. 15, in cui, tuttavia, si sono svolte almeno discussioni individuali di consulenza in materia di investimenti, che doveva essere descritto; v. anche Corte federale di giustizia, decisione del 21 marzo 2022 - Via ZB 4/21, NJW-RR 2022, 642 par. 13 sul rinvio del singolo caso di una memoria contenente i motivi del ricorso). In tale contesto, nell'ambito del ricorso per cassazione si deve tener conto del fatto che, nel caso di un procedimento uniforme come l'incidente di scraping di cui trattasi nel caso di specie, in cui sono stati intercettati e pubblicati su Internet dati comparabili di milioni di utenti, l'argomento degli interessati sulle conseguenze individuali che ne derivano presenta necessariamente caratteristiche comparabili, almeno a partire dal primo momento.
Il rischio di non prova – anche con riguardo all'entità concreta dell'eventuale danno – resta a carico dell'attore (cfr. CGUE, Sentenza dell'11 aprile 2024 - C-741/21, NJW 2024, 1561 par. 35 - juris).
(2) Le osservazioni dell'attore hanno soddisfatto questi requisiti di presentazione.
a) L'incidente di scraping presso la sede del convenuto in quanto tale è accertato, così come la successiva pubblicazione dei dati intercettati su Internet. Come giustamente lamentato dal ricorso per cassazione, l'attore aveva già riprodotto in primo grado il contenuto dell'insieme di dati trapelato dagli scraper sotto forma di citazione letterale e aveva sostenuto che si trattava del suo numero di telefono, del suo ID utente di Facebook, del suo nome e cognome, del suo sesso e del suo luogo di lavoro. Per quanto riguarda la perdita di controllo, l'attore ha dichiarato di aver sempre trasmesso il suo numero di telefono in modo consapevole e intenzionale e che non lo avrebbe reso disponibile al pubblico, ad esempio su Internet, senza indiscriminatezza o motivo.
Per quanto riguarda le ulteriori conseguenze, l'attore ha sostenuto di essere rimasto in uno stato di grande disagio e di grande preoccupazione per un possibile uso improprio dei dati che lo riguardavano a causa dell'incidente di raschiamento. Ciò si manifesta, tra l'altro, in una maggiore diffidenza nei confronti delle e-mail e delle chiamate provenienti da numeri e indirizzi sconosciuti. Dopo l'incidente, ha ricevuto tentativi di contatto irregolari sconosciuti via SMS ed e-mail. Questi contenevano messaggi con evidenti tentativi di frode e attacchi di phishing. Questo ha portato al fatto che può solo reagire con estrema cautela a qualsiasi e-mail e messaggio, temendo frodi e sentendosi ogni volta insicuro. Per quanto riguarda il tempo e gli sforzi spesi, l'attore ha dichiarato di dover affrontare la "fuga di dati", indagare sui fatti, prendersi cura delle informazioni dell'imputato e adottare ulteriori misure da solo.
(b) Questa presentazione soddisfa i requisiti di una dichiarazione di reclamo sufficientemente motivata, sia per quanto riguarda la perdita di controllo che si è verificata in relazione ai suoi dati sopra menzionati sia per quanto riguarda i timori e gli sforzi speciali che ne derivano. In particolare, l'attore non era tenuto a spiegare dettagliatamente a quali altre persone avesse comunicato i suoi dati, in particolare il suo numero di telefono. In ogni caso, è sufficiente che, come nel caso di specie, egli dichiari di averlo fatto in precedenza in modo consapevole e selettivo, vale a dire di non aver pubblicato i dati in generale.
L'onere della prova non è aumentato neppure dal fatto che il numero di telefono non coincide con il numero di persone di cui all'art. 9 GDPR. Sebbene questa circostanza possa avere un impatto sull'importo di un'eventuale domanda di risarcimento danni, non pregiudica l'onere processuale della prova della domanda. Il rischio che anche terzi non possano elaborare il suo numero di telefono in conformità con le norme sulla protezione dei dati non preclude la presentazione di una perdita di controllo, a condizione che ciò non si sia concretizzato in modo incontestabile prima del verificarsi dell'incidente di scraping. A tale riguardo, la perdita di controllo lamentata dallo scraping e dalla divulgazione permanente del numero di telefono collegato al nome dell'attore su Internet differisce in modo significativo dai rischi connessi a una divulgazione deliberata e mirata del numero di telefono a determinati destinatari.
dd) Nella misura in cui la Corte d'Appello ha respinto anche il risarcimento dei danni per quanto riguarda i Dati personali "sempre pubblici" dell'Attore (nome, sesso e ID utente) perché l'Attore, con il suo Consenso alle condizioni di utilizzo ivi applicabili al momento della registrazione sulla piattaforma del Convenuto, aveva acconsentito alla pubblicazione di tali dati, Anche questo ragionamento non regge al controllo su questioni di diritto. La Corte d'Appello non si è pronunciata a sufficienza sulle condizioni d'uso vigenti al momento della registrazione dell'attore e sulla loro specifica integrazione nella procedura di registrazione (si vedano invece, ad esempio, le dichiarazioni in OLG Hamm, sentenza del 15 agosto 2023 -7 U 19/23, juris par. 112,117 e segg.; OLG Oldenburg, sentenza del 21 maggio 2024 - 13 U 100/23, juris par. 30 e segg.). Tuttavia, ciò sarebbe stato necessario al fine di verificare la validità dell'eventuale Consenso prestato dall'attore ai sensi dell'art. 6 cpv. 1 sottocpv. 1 lett. a) del GDPR.
In particolare, sarebbe stato necessario discutere se il Consenso dell'attore prestato nell'ambito della registrazione dopo l'assunzione del giudice d'appello si riferisca allo specifico Trattamento dei dati - in questo caso: la natura pubblica dei dati in relazione alla funzione di ricercabilità (art. 4 n. 11 GDPR; cfr. CGUE, Sentenza del 1° ottobre 2019 - C-673/17, NJW 2019, 3433 parr. 58, 60 - planet49), se la richiesta di Consenso presentata all'attore nel corso della procedura di registrazione sia stata trasparente, ossia in forma intelligibile e facilmente accessibile, nonché in un linguaggio chiaro e semplice (art. 7 par. 2, considerando 42 GDPR), se l'attore abbia rilasciato la sua dichiarazione di Consenso su questa base in modo informato e inequivocabile (art. 4 n. 11 GDPR) e se la dichiarazione di Consenso fosse in definitiva volontaria (art. 7 par. 4, Considerando 42, 43 GDPR), per cui si deve tener conto anche della posizione dominante del convenuto nel mercato dei social network (cfr. CGUE, Sentenza del 4 luglio 2023 - C-252/21, NJW 2023, 2997 par. 140 e ss. - Meta Platforms).
ee) Anche gli errori di diritto sono rilevanti ai fini della decisione. Non si può escludere che, se la Court of Appeal avesse interpretato la nozione di danno nel senso della recente giurisprudenza della Corte e non avesse inammissibilmente esagerato i requisiti di motivazione della censura a sostegno del ricorso, sarebbe giunta alla conclusione che l'attrice avrebbe subito un danno morale a causa dell'incidente di raschiamento, sia sotto forma di mera perdita di controllo in quanto tale, sia sotto forma di asserita menomazioni psicologiche.
II.
1. Anche il rigetto della domanda di pronuncia pregiudiziale in quanto irricevibile si basa su un errore di diritto.
a) All'udienza di ricorso, l'attore ha precisato la sua domanda in modo tale che si riferisca a danni materiali futuri nonché a danni morali futuri non ancora prevedibili.
b) In conclusione, il giudice di seguito ha correttamente assunto la mera possibilità del verificarsi futuro del risarcimento richiesto come criterio per l'assunzione di un interesse in una sentenza dichiarativa; Non è richiesta una probabilità sufficiente di danni oltre a questa presupposta. La possibilità di danni futuri è sufficiente in questo caso perché non si tratta di mere perdite finanziarie, ma di danni derivanti dalla presunta violazione da parte dell'attore del suo diritto all'autodeterminazione informativa ai sensi dell'art. 2 sec. 1 GG in combinato disposto con l'art. 1 sez. 1 GG, ossia il suo diritto generale alla personalità come un altro interesse giuridico assolutamente tutelato ai sensi del § 823 sez. 1 BGB (cfr. Senato, sentenze del 5 ottobre 2021 - VI ZR 136/20, VersR 2022, 1184 par. 28; del 29 giugno 2021 - VI ZR 10/18, ZUM 2022, 311 par. 30). La disposizione dell'art. 82 GDPR in ogni caso qualora - come nel caso di specie - si verifichi una possibile violazione dell'art. 5 GDPR, si lamenta anche il Trattamento illecito dei dati, una violazione del diritto alla protezione dei Dati personali ai sensi dell'art. 8 della Carta sul contenuto (cfr. art. 1 (2) GDPR). In questo contesto, la possibilità di futuri danni soggetti a risarcimento può essere affermata senza ulteriori indugi se è stato violato un interesse giuridico assoluto tutelato dalla legge sulla responsabilità civile e il danno si è già verificato (Senato, sentenza del 30 luglio 2020 - VI ZR 397/19, NJW 2020, 2806 par. 29; cfr. in dettaglio Senato, sentenza del 17 ottobre 2017 - VI ZR 423/16, BGHZ 216, 149 par. 49 con ulteriori riferimenti).
c) In base a questi principi, la possibilità che si verifichino danni futuri deve essere affermata senza ulteriori indugi. Il diritto dell'attore all'autodeterminazione informativa ai sensi dell'art. 2 sec. 1 GG in combinato disposto con l'art. 1 par. 1 GG o nel suo diritto alla protezione dei Dati personali ai sensi dell'art. 8 della Carta. Il ricorso per motivi di diritto sottolinea correttamente che, in caso di continua pubblicazione dei Dati personali dell'attore (in particolare il suo nome in relazione al suo numero di telefono) - che, in assenza di accertamenti contrari secondo le osservazioni dell'attore, sussiste ancora il rischio di uso improprio, in particolare l'uso fraudolento di tali dati con la conseguenza di danni materiali o immateriali. Alla luce della perdita di controllo su questi dati, che in questa sede si deve presumere, che si è già verificata ed è ancora in corso, anche l'evoluzione futura dei danni non è solo di natura puramente teorica.
2. Sulla base delle constatazioni fin qui effettuate, neppure nel merito può essere respinta la domanda di accertamento. Di conseguenza, dal suo punto di vista giuridico, la Corte d'appello non si è ancora pronunciata sulla questione se siano soddisfatti gli ulteriori requisiti della domanda, sia ai sensi dell'art. 82 par. 1 GDPR, sia per contratto.
III.
Tuttavia, il ricorso per cassazione è respinto nella parte in cui contesta il rigetto della domanda di provvedimenti ingiuntivi ai sensi del punto 3a. La Corte d'appello ha giustamente ritenuto inammissibile la domanda di cui al numero 3a in quanto non sufficientemente specifica ai sensi dell'articolo 253, paragrafo 2, n. 2 del codice di procedura civile.
1. Una domanda è sufficientemente specifica (articolo 253, comma 2, n. 2, del codice di procedura civile) se identifica specificamente la domanda sollevata, definendo in tal modo la portata del potere decisionale del giudice (articolo 308 del codice di procedura civile), rivela il contenuto e la portata dell'autorità di cosa giudicata nel merito della decisione richiesta (articolo 322 del codice di procedura civile), non trasferisce il rischio che l'attore perda nei confronti del convenuto a causa di un'inesattezza evitabile e impedisce l'esecuzione della sentenza senza un prosecuzione della controversia nel procedimento di esecuzione forzata (Senato, sentenza del 9 marzo 2021 - VI ZR 73/20, VersR 2021, 795 par. 15). Nel caso di una domanda di provvedimento ingiuntivo, ciò significa, in particolare, che essa non deve essere formulata in modo così vago da lasciare in ultima analisi la decisione su ciò che il convenuto non può fare (cfr. Corte federale di giustizia, sentenze del 28 luglio 2022 -1 ZR 205/20, VersR 2022, 1389 par. 12; del 2 giugno 2022 -1 ZR 140/15, BGHZ234, 56 cpv. 26).
Di norma, in una domanda di provvedimento ingiuntivo viene data sufficiente specificità se vi è un riferimento allo specifico atto di contraffazione o se la forma di contraffazione specificamente contestata è oggetto della domanda e la domanda riconosce inequivocabilmente, almeno con riferimento alle osservazioni della domanda, in quali caratteristiche del comportamento contestato si fondano e si suppone che si basi l'elemento di collegamento per la violazione della legge e quindi dell'ingiunzione (giurisprudenza consolidata; cfr. Corte federale di giustizia, Sentenza del 2 giugno 2022 -1 ZR 140/15, BGHZ 234, 56 par. 26 con ulteriori riferimenti; Senato, Sentenze del 9 marzo 2021 - VI ZR 73/20, VersR 2021, 795 par. 15; del 15 gennaio 2019 - VI ZR 506/17, AfP 2019, 40 par. 12 con ulteriori riferimenti). L'uso di termini che necessitano di interpretazione nella domanda è consentito se non vi è alcuna controversia tra le parti sul loro significato e se esistono standard oggettivi per la demarcazione, o se l'attore descrive il termine che necessita di interpretazione in modo sufficientemente concreto e, se necessario, lo sostanzia con esempi o allinea la sua richiesta con l'atto specifico di contraffazione (Corte federale di giustizia, sentenze del 2 giugno 2022 - I ZR 140/15, BGHZ 234, 56 par. 26; del 9 settembre 2021 -1 ZR 113/20, GRUR 2021, 1425 par. 12 con ulteriori riferimenti).
Per contro, le domande di provvedimenti ingiuntivi che si limitano a ripetere il testo di una legge devono generalmente essere considerate troppo vaghe e quindi irricevibili. Possono verificarsi divergenze se il divieto legale stesso è già stato formulato in modo altrettanto chiaro e concreto o se l'ambito di applicazione di una disposizione giuridica è stato chiarito da un'interpretazione consolidata, o se l'attore chiarisce in modo sufficiente che non invoca un divieto nell'ambito del testo della legge, ma orienta la sua richiesta di provvedimento ingiuntivo sullo specifico atto di violazione. In tali casi, tuttavia, l'affermazione della specificità presuppone in generale che non vi sia controversia tra le parti in merito alla questione se il comportamento contestato soddisfi il criterio in questione. La riproduzione del divieto di legge nel testo del ricorso è innocua anche se ciò che viene richiesto nel ricorso, che di per sé non è sufficientemente chiaro, è di fatto inequivocabile in base all'interpretazione con riferimento alle osservazioni di fatto dell'attore e la struttura fattuale pertinente non è rimessa in discussione tra le parti, ma la loro controversia è limitata esclusivamente alla qualificazione giuridica del comportamento contestato. Inoltre, una formulazione del ricorso che richieda un'interpretazione può essere accettabile se ciò è necessario per garantire una tutela giurisdizionale effettiva (giurisprudenza consolidata; cfr. solo Corte federale di giustizia, sentenze del 28 luglio 2022 - I ZR 205/20, VersR 2022, 1389 par. 12; del 22 luglio 2021 - 1 ZR 194/20, GRUR 2021, 1534 par. 34 con ulteriori riferimenti).
2. La domanda dell'attore di cui al punto 3a, in cui chiede che il convenuto si astenga dal rendere accessibili a terzi non autorizzati i Dati personali della parte dell'attore tramite un software per l'importazione dei contatti, senza prevedere le misure di sicurezza possibili secondo lo stato dell'arte per impedire lo sfruttamento del sistema per scopi diversi dal contatto, è misurata alla luce di tali requisiti, non è sufficientemente specifica. Né può essere interpretato nel senso che l'attore chieda un'ingiunzione sufficientemente specifica, anche con riferimento alle osservazioni dell'attore.
a) In particolare, la nozione di Terzo non autorizzato, ma anche la libertà di circolazione derivante dall'art. 32 (1) GDPR e quindi la formulazione delle "misure di sicurezza possibili secondo lo stato dell'arte" e la formulazione "sfruttamento del sistema per scopi diversi dal contatto", che si basano sulla mera formulazione della legge, sono indeterminate. Ciò non è contraddetto dal fatto che il convenuto deve avere una scelta nella scelta delle misure che deve adottare da esso, purché queste siano idonee a raggiungere l'obiettivo specifico della tutela giuridica (cfr. Corte federale di giustizia, decisione del 22 febbraio 2024 - III ZR 63/23, juris cpv. 11; Sentenza del 5 dicembre 2023 - KZR 101/20, BGHZ 239, 116 par. 75; in ogni caso alle domande di provvedimento ingiuntivo ai sensi dell'articolo 1004 del codice civile). Anche sotto questo profilo, sarebbe stato ragionevole per l'attore - anche in vista della concessione di una tutela giurisdizionale effettiva (Corte federale di giustizia, sentenza del 26 gennaio 2017 - I ZR 207/14, GRUR 2017, 422 par. 18) - specificare ulteriormente l'atto di contraffazione da astenersi in futuro.
b) L'attore chiede in sostanza che il convenuto non offra una funzione che consenta a terzi di accedere ai suoi Dati personali se il convenuto non adotta misure di sicurezza adeguate per prevenire l'uso improprio di tale funzione. Tuttavia, la violazione è limitata solo nella misura in cui si fa riferimento alla funzione di importazione dei contatti, che l'attore ha identificato nell'atto introduttivo come una porta d'accesso per lo scraping dei dati. Tuttavia, il riferimento generale a uno sfruttamento della funzione di importazione dei contatti non è sufficiente per una concretizzazione. Non indica con quale misura specifica il convenuto abbia violato il regolamento generale sulla protezione dei dati, anche se sarebbe stata possibile una specificazione più dettagliata, ad esempio facendo riferimento all'impostazione predefinita delle impostazioni di ricercabilità su "tutti", se questo era l'obiettivo dell'azione. Il termine "persone non autorizzate" avrebbe potuto essere definito in modo più dettagliato anche attraverso una descrizione dell'atto di infrazione specifico.
c) La specificazione della domanda non è nemmeno indispensabile perché tale specificazione risulterebbe dalle presentazioni della domanda. Al fine di spiegare il suo obiettivo di tutela giurisdizionale, l'attore si è limitato ad affermare che stava perseguendo un'omissione di Trattamento di Dati personali senza sufficienti precauzioni di sicurezza. La domanda di provvedimento inibitorio non contiene alcun riferimento all'incidente di scraping come forma specifica di infrazione. Inoltre, non vi è una spiegazione più dettagliata di quale specifico atto di contraffazione debba essere evitato dal convenuto, nonché una spiegazione dei casi in cui si deve presumere uno "sfruttamento" della funzione di importazione del contatto o l'uso da parte di "persone non autorizzate".
IV.
Tuttavia, il ricorso per cassazione contesta con successo il rigetto della domanda di cui al punto 3b.
1. Contrariamente a quanto ritenuto dalla Corte d'appello, la presente domanda di provvedimento ingiuntivo è ricevibile.
a) Il tribunale di seguito è del parere che possa rimanere aperto se la domanda di ingiunzione di astenersi dal trattare il numero di telefono dell'attore sulla base di un Consenso basato su informazioni confuse e incomplete sia sufficientemente specifica. In ogni caso, tuttavia, non vi era alcun interesse alla protezione giuridica perché l'attore poteva modificare autonomamente le impostazioni corrispondenti. La sua affermazione secondo cui i terzi potrebbero eludere tali atteggiamenti era troppo generica e riguardava anche un altro oggetto della controversia. Infine, l'attore poteva anche cancellare il suo numero di telefono dal social network del convenuto, poiché l'uso della rete non dipendeva da questo. Il numero di telefono era necessario solo per la registrazione iniziale o per l'autenticazione a due fattori opzionale al momento dell'accesso al suo account utente.
b) Nonostante la sua formulazione ampia, la domanda di provvedimento ingiuntivo è decisa ai sensi dell'articolo 253.2 n. 2 del codice di procedura civile. Sulla base delle osservazioni dell'attore, essa può essere interpretata nel senso che l'attore chiede un'ingiunzione contro qualsiasi Trattamento del suo numero di telefono da parte del convenuto che vada oltre il Trattamento necessario per l'autenticazione a due fattori.
Il ricorso, che deve essere interpretato come una dichiarazione processuale della stessa Corte di Cassazione (cfr. Senato, sentenza del 16 aprile 2024 - VI ZR 223/21, WM 2024, 991 par. 17 con ulteriori riferimenti), non deve essere inteso nel senso che l'attore chieda "un'inibitoria contro il Trattamento del suo numero di telefono senza informazioni chiare che possano essere lette anche quando è inviato 'privatamente'" (ma secondo la Corte Regionale Superiore di Stoccarda, Sentenza del 22 novembre 2023 - 4 U 20/23, juris par. 245, 247). In ogni caso, tali informazioni erano già a disposizione dell'attore al momento della presentazione dell'azione, cosicché una corrispondente intesa svuoterebbe di significato la domanda e sarebbe contraria alla regola interpretativa, secondo la quale, in caso di dubbio, si intende ciò che è ragionevole secondo gli standard dell'ordinamento giuridico e corrisponde agli interessi ben compresi (cfr. su questo BGH, sentenze del 15 maggio 2024 - VIII ZR 293/23, MDR 2024, 924 par. 22; del 14 maggio 2024 - XI ZR 51/23, in giurisprudenza paragrafo 15; in ogni caso mwN). Piuttosto, l'attore chiede che il convenuto non continui a trattare il suo numero di telefono sulla base del Consenso da lui prestato - come al momento dell'incidente di scraping - poiché tale Consenso è inefficace nella sua comprensione a causa di una mancanza di trasparenza, perché non ha compreso l'entità del Trattamento dei dati relativi al suo numero di telefono quando ha dato il suo consenso. Inoltre, la domanda di provvedimento ingiuntivo - a differenza della domanda di provvedimento ingiuntivo di cui al numero 3a - specifica l'atto di contraffazione incriminato, vale a dire il presunto Trattamento illecito sulla base di un Consenso non valido. I motivi per i quali si dice che il Consenso non è valido possono essere esiti dall'ulteriore formulazione della domanda. Secondo l'attore, questo è stato "ottenuto dal convenuto a causa delle informazioni confuse e incomplete [...], vale a dire senza informazioni chiare che il numero di telefono può ancora essere utilizzato utilizzando la funzione di importazione dei contatti anche se è impostato su 'privato', a meno che l'autorizzazione non sia esplicitamente negata per questo e, nel caso di utilizzo dell'app Facebook Messenger, l'autorizzazione sia esplicitamente negata anche qui".
La domanda di provvedimento ingiuntivo, così intesa, è sufficientemente specifica, in quanto è facilmente chiaro al convenuto per quali scopi può ancora trattare il numero di telefono dell'attore e per il quale l'attore chiede un'ingiunzione di cessare il Trattamento dei dati.
c) Il ragionamento del giudice di seguito non può essere utilizzato per negare l'esistenza di un interesse ad agire.
aa) Un ricorso deve essere respinto in quanto irricevibile se non vi è alcun interesse giuridico a presentarlo. Il requisito della tutela giurisdizionale mira ad evitare che le controversie giungano allo stadio di un esame del merito per il quale un siffatto esame non è necessario. In linea di principio, tuttavia, coloro che cercano giustizia hanno il diritto che i tribunali statali esaminino obiettivamente le loro preoccupazioni e decidano in merito. Tuttavia, non sussiste alcun interesse alla tutela giuridica se un'azione o una domanda sono di per sé oggettivamente prive di senso, ossia se l'attore o il richiedente non può in nessun caso ottenere alcun vantaggio degno di protezione con la sua domanda procedurale (Corte federale di giustizia, sentenza del 29 settembre 2022 -1 ZR 180/21, CAP 2022, 2460 par. 10 con ulteriori riferimenti; cfr. già Senato, sentenza del 14 marzo 1978 -1 ZR 68/76, NJW 1978, 2031, 2032 [sotto II. 2. a]).
Ciò avviene, ad esempio, se esiste un modo più semplice o meno costoso per raggiungere l'obiettivo della tutela giuridica o se il richiedente non ha alcun interesse legittimo alla decisione richiesta. Tuttavia, a questo scopo si applicano standard rigorosi. L'interesse alla tutela giuridica è assente (o eliminato) solo se la prosecuzione del procedimento è manifestamente inappropriata e costituisce un abuso dell'amministrazione della giustizia (Senato, ordinanza del 24 settembre 2019 -VI ZB 39/18, BGHZ 223, 168 par. 28; Sentenza del 14 marzo 1978 - VI ZR 68/76, NJW 1978, 2031,2032 [sotto 11.2. a]). L'attore non può nemmeno essere rinviato a un percorso proceduralmente incerto (cfr. Corte federale di giustizia, sentenza del 29 settembre 2022 -1 ZR 180/21, CAP 2022, 2460 cpv. 16 con ulteriori rinvii).
bb) In base a tale norma, non può essere negato un interesse alla tutela giuridica in relazione alla domanda di provvedimento ingiuntivo di cui al numero 3b. In particolare, l'interesse dell'attore alla tutela giuridica non cessa di esistere perché egli stesso potrebbe cancellare il suo numero di telefono dal suo account utente. A questo proposito, il suo obiettivo di tutela giurisdizionale - il divieto di Trattamento illecito del suo numero di telefono - non è identico al risultato raggiunto con la cancellazione del suo numero di telefono. In particolare, l'attore perderebbe la possibilità di autenticazione a due fattori per accedere al suo account utente.
La possibilità per l'attore di modificare le proprie impostazioni in materia di privacy in modo tale che il suo Consenso al Trattamento del suo numero di telefono sia limitato all'uso dell'autenticazione a due fattori non elimina neppure la necessità di una tutela legale. È vero che l'attore avrebbe potuto modificare le impostazioni di ricercabilità relative al suo numero di telefono in "solo io" da maggio 2019 e questo è - oltre a una Revoca esplicita del suo Consenso ai sensi dell'art. 7 (3) frase 1 GDPR - in relazione a un'ingiunzione corrispondente un modo più semplice e corrispondentemente più economico. Tuttavia, l'attore ha sostenuto che il convenuto, secondo le proprie dichiarazioni (cfr. le informazioni online del convenuto con l'intestazione "Possiamo utilizzare il tuo numero di telefono per questi scopi:") "eventualmente" utilizza il suo numero di telefono per altri scopi. Il tribunale di seguito non ha fatto alcuna constatazione al riguardo e non è chiaro quali atteggiamenti l'attore stesso potrebbe utilizzare per rimediare a questa situazione.
d) La domanda di provvedimento ingiuntivo, così intesa, non contiene neppure una domanda inammissibile ai sensi dell'articolo 890, paragrafo 2, del codice di procedura civile o non è diretta a future azioni attive (ma questa è l'opinione del Tribunale regionale superiore di Hamm, sentenza del 15 agosto 2023 -7U 19/23, juris par. 239). L'attore chiede un'ingiunzione contro il Trattamento del suo numero di cellulare nella misura in cui ciò va oltre l'uso dell'autenticazione a due fattori. L'oggetto della sua richiesta, invece, è quello di non poter utilizzare la funzione di importazione dei contatti sulla base di un avviso comprensibile o nel rispetto dei requisiti di sicurezza.
2. La Corte d'appello non ha emesso alcuna constatazione - coerente dal suo punto di vista giuridico - in merito al fatto che l'attore abbia diritto a un'ingiunzione contro qualsiasi Trattamento del suo numero di telefono da parte del convenuto che vada oltre il Trattamento necessario per l'autenticazione a due fattori. Ci sarà l'opportunità di farlo nella corte d'appello riaperta.
V.
Nella misura in cui il ricorso per cassazione ritiene che l'attore abbia diritto a un ulteriore diritto all'informazione, esso non viene accolto.
1. Per quanto riguarda le informazioni richieste in merito alle quali erano stati intercettati dati specifici, la Corte d'appello ha ritenuto che la lettera della convenuta del 23 agosto 2021 fornisse informazioni che coprivano pienamente l'oggetto della richiesta di informazioni giustificata. Il ricorso per cassazione non si oppone a ciò (articolo 559, paragrafo 2, del codice di procedura civile). Di conseguenza, il convenuto ha ottemperato a questa richiesta di informazioni (articolo 362.1 del codice civile).
2. Per contro, nella misura in cui il ricorso per cassazione eccetta il fatto che il giudice di seguito abbia negato anche il diritto del ricorrente di essere informato sui destinatari specifici dei dati oggetto di Trattamento che lo riguardano, esso è infondato.
a) A prescindere, tuttavia, dal presupposto per il ricorso per motivi di diritto si deve riconoscere che il diritto all'informazione di cui all'art. 15 (1) (c) GDPR si estende anche all'informazione se e, in caso affermativo, a quali destinatari specifici il Titolare del Trattamento ha trasmesso i Dati personali dell'interessato. Con l'esercizio di tale diritto di accesso, l'interessato deve essere messo in grado non solo di verificare se i dati che lo riguardano sono esatti, ma anche se tali dati sono trattati in modo lecito, in particolare se sono stati comunicati a destinatari autorizzati al Trattamento (cfr. CGUE, Sentenza del 12 gennaio 2023 - C-154/21, NJW2023, 973 par. 37 e segg. - RW v Österreichische Post AG).
Tuttavia, il diritto alla protezione dei Dati personali non è un diritto assoluto. Piuttosto, deve essere visto in termini di funzione sociale e ponderato con altri diritti fondamentali, nel rispetto del principio di proporzionalità (considerando 4 del GDPR). In particolare, in determinate circostanze non è possibile fornire informazioni su destinatari specifici. Pertanto, il diritto di accesso può essere limitato qualora non sia possibile comunicare l'identità degli specifici destinatari. Ciò vale in particolare se i destinatari non sono ancora noti (cfr. CGUE, sentenza del 12 gennaio 2023 - C-154/21, NJW 2023, 973 cpv. 47 e segg. - RW/Österreichische Post AG).
b) In base a tali principi, il convenuto non era tenuto a fornire ulteriori informazioni nelle circostanze della controversia. Secondo le risultanze del giudice di seguito - che non sono state contestate dal ricorso per cassazione - non è stato possibile per l'imputato rivelare l'identità degli specifici destinatari.
VI.
Nella misura in cui il tribunale di seguito non ha considerato i presupposti per una richiesta da parte dell'attore di rimborso degli onorari degli avvocati pre-processuali ai sensi dell'art. 82 (1) GDPR, la sentenza impugnata non regge neppure alla luce delle considerazioni di diritto che precedono.
1. Le spese processuali e quindi anche le spese di un avvocato che si occupa della questione, nella misura in cui fossero necessarie e opportune per l'esercizio dei diritti, fanno in linea di principio parte del danno da risarcire a titolo di illecito civile (cfr. Senato, sentenze del 17 novembre 2015 - VI ZR 492/14, NJW 2016, 1245 par. 9; del 4 marzo 2008 - VI ZR 176/07, VersR 2008, 985 par. 5; del 4 dicembre 2007 - VI ZR 277/06, VersR 2008, 413 par. 13; dell'8 novembre 1994 - VI ZR 3/94, BGHZ 127, 348, 350, juris cpv. 7). Il fattore decisivo in questo caso è il modo in cui si prevede la liquidazione del sinistro dal punto di vista della parte lesa. Se la responsabilità del danno, e quindi la responsabilità, è così chiara fin dall'inizio in termini di ragione e di importo che, dal punto di vista della parte lesa, non vi può essere alcun ragionevole dubbio che l'autore del reato rispetterà facilmente il suo obbligo di risarcimento, in linea di principio non sarà necessario consultare un avvocato per la prima affermazione del danno nei confronti dell'autore del reato. In questi casi semplici, la parte lesa può, in linea di principio, far valere il danno da sola, cosicché l'intervento immediato di un avvocato può rivelarsi necessario solo in circostanze particolari, ad esempio se la parte lesa non è in grado di denunciare personalmente il danno a causa di una mancanza di senso degli affari o di altri motivi come malattia o assenza (cfr. Senato, Sentenza dell'8 novembre 1994 - VI ZR 3/94, BGHZ 127, 348, 351 e i. (paragrafo 9).
2. In base a tali norme, sulla base delle risultanze del tribunale di seguito riportate fino ad oggi, è stata presentata una domanda sostanziale di rimborso delle spese ai sensi dell'art. 82 (1) GDPR per l'attività di avvocato (lettera del 9 giugno 2021, allegato Kl). Nella misura in cui la Corte d'Appello non ha ritenuto necessaria la nomina di un avvocato per l'affermazione di un diritto all'informazione anche in caso di eventuale domanda principale, dovrà confrontarsi con i presupposti per la necessità di incaricare un avvocato anche con riguardo alle altre domande di risarcimento danni e provvedimenti ingiuntivi già fatte valere nella presente lettera. In questo contesto, si dovrà anche tenere conto del fatto che al momento della suddetta lettera, un gran numero di questioni giuridiche in relazione all'art. 82 RGPD non era stato chiarito né dalla Corte né dai giudici nazionali.
VII.
Contrariamente a quanto ritenuto dal ricorso per cassazione, non vi è motivo di respingere il presente procedimento per quanto riguarda le disposizioni ancora relative all'art. 82 del GDPR.
1. Per quanto riguarda la questione se la perdita di controllo da parte dell'interessato sui suoi Dati personali costituisca, di per sé, un danno morale, la Corte si è pronunciata sulla base delle decisioni della Corte del 14 dicembre 2023 (C-340/21 e C-456/22), del 25 gennaio 2024 (C-687/21), dell'11 aprile 2024 (C-741/21), del 20 giugno 2024 (C-590/22 e C-182/22) e del 4 ottobre 2024 (C-200/23) non necessita più di chiarimenti. La situazione giuridica è stata chiarita dalla giurisprudenza della Corte di giustizia in modo tale che non vi sia spazio per un ragionevole dubbio ("acte eclaire", cfr. CGUE, sentenze del 6 ottobre 2021 - C-561/19, NJW 2021, 3303 punti 33 e segg.; del 6 ottobre 1982 - causa 283/81, NJW 1983, 1257, 1258).
2. Nella misura in cui lo stesso Senato ha sottoposto alla Corte di giustizia diverse questioni pregiudiziali che riguardano la derivazione e i presupposti di una domanda di provvedimento ingiuntivo in relazione al regolamento generale sulla protezione dei dati (Senato, ordinanza del 26 settembre 2023 - VI ZR 97/22, VersR 2024, 582, questioni 1, 2, 3 e 6; pendente dinanzi alla Corte di giustizia ai sensi della causa C-655/23), al momento non vi è alcun motivo per sospendere la sospensione, in quanto la sua pertinenza ai fini della decisione nel caso di specie non può essere valutata in assenza di corrispondenti constatazioni da parte della Court of Appeal. Non si può escludere che le conclusioni da effettuare siano idonee a soddisfare i presupposti per un'eventuale domanda di provvedimento ingiuntivo, indipendentemente dalla questione se il regolamento generale sulla protezione dei dati preveda il ricorso al diritto ingiuntivo previsto dalla legge (in applicazione analogica del § 1004.1 frase 2 del codice civile in combinato disposto con il § 823 BGB). A questo proposito, verrebbe presa in considerazione in particolare una richiesta di provvedimento ingiuntivo ai sensi del contratto di utilizzo stesso (§ 280 (1), § 241 (2) BGB, cfr. BGH, sentenze del 2 maggio 2024 -1 ZR 12/23, GRUR 2024, 948 par. 14 e segg.; dell'8 novembre 2022-II ZR 91/21, BGHZ235, 57 par. 64; del 29 luglio 2021 - III ZR 179/20, BGHZ 230, 347 par. 102; del 5 giugno 2012 - X ZR 161/11, MDR 2012, 1224 par. 15; in ogni caso mwN).
3. L'ulteriore questione sollevata dal Senato è se l'art. 82 (1) GDPR deve essere interpretato nel senso che semplici sentimenti negativi come rabbia, risentimento, insoddisfazione, preoccupazione e paura, che fanno di per sé parte del rischio generale per la vita e spesso dell'esperienza quotidiana, sono sufficienti per l'assunzione di un danno non patrimoniale ai sensi di tale disposizione, o se uno svantaggio per la persona fisica interessata al di là di questi sentimenti sia necessario per l'assunzione del danno (Senato, Ordinanza del 26 settembre 2023 - VI ZR 97/22, VersR 2024, 582, questione 4), è rilevante solo nel contesto del nesso di causalità e dell'importo del danno che costituisce la responsabilità in considerazione della perdita di controllo fatta valere nel caso di specie come danno generatore di responsabilità (v. supra, B.l.4.b) sulla base delle constatazioni effettuate finora. Anche sotto questo profilo, tuttavia, il Senato parte dal presupposto che la sua questione sia stata superata dalla giurisprudenza interlocutoria della Corte di giustizia (CGCE, sentenze del 20 giugno 2024 - C-590/22, DB 2024, 1676 par. 36 - PS GbR; del 14 dicembre 2023 - C-340/21, NJW 2024, 1091 par. 75 e segg. - Natsionalna agentsia za prihodite) (si veda anche BAG, NZA 2024, 1499 par. 14).
VIII.
Nella misura in cui il ricorso per motivi di diritto sia accolto, il Senato può, in considerazione dell'assenza di accertamenti, decidere sui requisiti di cui all'art. 82 (1) GDPR e sulle circostanze che sono rilevanti per eventuali pretese contrattuali, articolo 563 (3) del codice di procedura civile. Piuttosto, la questione deve essere rinviata alla corte d'appello per una nuova udienza e decisione, articolo 563.1, frase 1, del codice di procedura civile. Per quanto riguarda la pretesa fatta valere ai sensi dell'art. 82 comma 1 GDPR, il Senato ricorda per il prosieguo del procedimento quanto segue:
1. Nell'esaminare una violazione del Regolamento generale sulla protezione dei dati, il tribunale di seguito dovrà in ogni caso tenere conto, fatta salva la questione di eventuali ulteriori violazioni, che è improbabile che l'impostazione predefinita del convenuto delle impostazioni di ricercabilità su "tutti" abbia rispettato il principio di Minimizzazione dei dati sancito dall'art. 5 (1) (b) e (c), art. 25 (2) frasi 1 e 3 GDPR.
a) Il principio di Minimizzazione dei dati di cui all'art. 5 (1) (c) GDPR richiede che il Trattamento dei dati sia appropriato e significativo per lo scopo e limitato a quanto necessario per le finalità del trattamento. Secondo la giurisprudenza consolidata della Corte di giustizia, le eccezioni e le limitazioni al principio di protezione di tali dati devono essere limitate allo stretto necessario (CGUE, Sentenza del 24 febbraio 2022 - C-175/20, ZD 2022, 271 par. 73 con ulteriori riferimenti; cfr. anche CGUE, Sentenza dell'11 dicembre 2019 - C-708/18, ZWE 2020, 337 par. 46-Asociatia de Proprietari bloc M5A-ScaraA).
b) I principi di cui all'art. 5 GDPR sono integrati da requisiti specifici per la progettazione tecnica e, in particolare, da requisiti relativi alle impostazioni predefinite rispettose della protezione dei dati di cui all'art. 25 GDPR (cfr. sul rapporto tra l'art. 5 e dell'art. 25 GDPR Heberlein in Ehmann/Selmayr, DSGVO, 3a ed., art. 5 cpv. 6 e 31; BeckOK DatenschutzR/Schantz, 49a ed. [dal 1° novembre 2021], art. 5 GDPR par. 25; Voigt in Taeger/Gabel, GDPR - BDSG - TTDSG, 4a ed., Art. 5 GDPR par. 5; Herbst in Kühling/Buchner, DSGVO - BDSG, 4a ed., Art. 5 GDPR marginale n. 59 e Hartung in Kühling/Buchner, DSGVO - BDSG, 4a ed., Art. 25 del GDPR, paragrafo 25). Ai sensi dell'art. 25 par. 2 del GDPR, il Titolare del Trattamento deve quindi adottare misure tecniche e organizzative adeguate per garantire che, per impostazione predefinita, siano trattati solo i Dati personali il cui Trattamento è necessario per la rispettiva finalità specifica del trattamento. Questo obbligo si applica alla quantità di Dati personali raccolti, all'ambito del loro trattamento, al loro periodo di conservazione e alla loro accessibilità. In particolare, le misure devono garantire che i Dati personali non siano resi accessibili a un numero indeterminato di persone fisiche senza l'intervento di tale persona. Pertanto, l'art. 25 par. 2 frase 3 GDPR, l'obbligo esplicito di effettuare impostazioni predefinite che impediscano la messa a disposizione del pubblico o comunque dei dati a un gruppo indeterminato di destinatari senza ulteriori indugi, ossia senza una modifica personale consapevole dell'impostazione predefinita (Heberlein in Ehmann/Selmayr, DSGVO, 3a ed., art. 5 par. 31).
L'obbligo di non rendere accessibili i dati a "un numero indeterminato di persone fisiche" mira, in base alla sua finalità, a garantire che il gruppo di persone che possono avere accesso ai dati dell'interessato sia gestibile per l'interessato. La disposizione dell'art. 25 par. 2 GDPR si concentra in particolare sulle impostazioni predefinite dei social network (Hansen in Simitis/Hornung/Spiecker gen. Döhmann, Legge sulla protezione dei dati, 2019, art. 25 GDPR par. 42 e 53; Baumgartner/Gausling, ZD 2017, 308, 313; Keber/Kep-peler in Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 3a ed., Art. 25 GDPR par. 61; Laue/Nink/Kremer, Datenschutzrecht in der Betriebspraxis, 3a ed., § 9 marginale n. 17; Hartung in Kühling/Buchner, DSGVO - BDSG, 4a ed., Art. 25 GDPR par. 26; Nolte/Werkmeister in Gola/Heckmann, DSGVO/BDSG, 3a ed., Art. 25 GDPR par. 28; cfr. già il working paper del Gruppo di Lavoro Art. 29, WP 163, 12). Ciò si basa sulla consapevolezza che le impostazioni predefinite specificate in fabbrica vengono raramente modificate dall'utente (Baumgartner/Gausling, ZD 2017, 308, 312; Almada/Maranhão/Sartor in Spiecker gen. Döhmann/Papakonstantinou/Hornung/De Hert, Regolamento generale sulla protezione dei dati, 2023, art. 25 GDPR par. 54; Keber/Keppeler in Schwartmann/Jas-pers/Thüsing/Kugelmann, DS-GVO/BDSG, 3a ed., Art. 25 GDPR par. 61). Si tratta quindi di evitare che gli utenti siano indotti in errore a rinunciare ai loro diritti in materia di protezione dei dati mediante impostazioni predefinite che prevedono un uso estensivo dei dati che va al di là del Trattamento necessario senza rendersene conto (Almada/Maranhão/Sartor, loc. cit. par. 54; v. anche il documento di lavoro della Commissione sulla valutazione d'impatto di un regolamento sulla protezione dei dati SEC(2012) 72 final, pagg. 21 e segg. sull'insufficiente consapevolezza dei rischi e la sottovalutazione dei rischi per la vita privata nel caso di utenti dei social network).
c) l'azione del convenuto al momento rilevante dell'incidente di scraping non soddisfaceva tali requisiti (v. anche la decisione della Commissione irlandese per la protezione dei dati del 25 novembre 2022 - IN-21-4-2, par. 182 e segg.; OLG Dresda, RDV 2024, 246; 247 segg.; Tribunale regionale di Friburgo, sentenza del 15 settembre 2023 - 80 21/23, juris par. 118 e segg.). Secondo le conclusioni della Corte d'appello, l'impostazione predefinita del convenuto per la ricercabilità di un profilo utente tramite il numero di telefono prevedeva che "tutti" gli altri utenti di Facebook potessero effettuare una ricerca del numero di telefono corrispondente. Allo stesso tempo, la ricercabilità del numero di telefono ha anche aperto l'accesso ad altri dati del profilo, il che si è riflesso in modo specifico nell'approccio degli scraper, che hanno approfittato del fatto di accedere ai Dati personali "pubblici" del profilo utente collegando il numero di telefono. Una limitazione della ricercabilità potrebbe essere determinata solo modificando attivamente le impostazioni di ricercabilità da parte dell'utente stesso. Al contrario, le opzioni di impostazione più rispettose della privacy - in particolare l'opzione di ricerca "solo io", introdotta solo nel 2019 - sono state offerte solo come soluzioni di opt-out, sebbene l'usabilità del social network in quanto tale non dipendesse da questo, poiché una ricerca sarebbe stata possibile anche inserendo il nome.
d) Il tribunale di grado inferiore dovrà tuttavia ancora esaminare se l'impostazione di mora scelta dal convenuto sia illegittima anche nel caso dell'attore o se l'approccio del convenuto in caso di controversia - in questo caso per mancanza di necessità (cfr. art. 6 cpv. 1 sottocpv. 1 lett. b-f GDPR) - il Consenso dell'attore all'utilizzabilità del suo numero di telefono nell'ambito della funzione di ricerca è giustificato (art. 6 cpv. 1 sottocpv. 1 lett. a GDPR; vedi B.l.4.b.dd sopra).
2. Nel caso in cui la corte d'appello nel procedimento di ricorso riaperto accerti un credito ai sensi dell'art. 82 par. 1 GDPR, dovrà inoltre procedere sulla base dei seguenti nella determinazione dell'ammontare del danno morale da determinare:
a) Il Regolamento generale sulla protezione dei dati non contiene alcuna disposizione sulla valutazione del diritto alla libertà di espressione ai sensi dell'art. 82 par. 1 del GDPR. In particolare, in ragione della diversa finalità delle disposizioni, le disposizioni di cui all'art. 83 GDPR (CGUE, sentenze del 4 ottobre 2024 - C-507/23, juris par. 39 e ss. - Pateretäju tieslbu aiz-sardzTbas centrs; dell'11 aprile 2024 - C-741/21, NJW 2024, 1561 parr. 57, 62 -juris). Piuttosto, conformemente al principio dell'autonomia procedurale, la valutazione si basa sulle disposizioni nazionali relative all'entità della compensazione finanziaria (CGUE, sentenze dell'11 aprile 2024 - C-741/21, NJW 2024, 1561, par. 58 - juris; del 25 gennaio 2024 - C-687/21, CR 2024, 160, par. 53 - MediaMarktSaturn; del 21 dicembre 2023 - C-667/21, EuZW 2024, 270 punti 83 e 101 - Krankenversicherung Nordrhein; in ogni caso mwN). In Germania, pertanto, deve essere applicata in particolare la disposizione procedurale di cui all'articolo 287 del codice di procedura civile (BAG, NJW 2022, 2779 par. 14).
b) L'autonomia processuale interna nella determinazione dell'ammontare del diritto alla libera circolazione di cui all'art. 82 RGPD è, ovviamente, soggetto a diverse restrizioni derivanti dal diritto dell'Unione.
aa) Nel caso di una situazione che rientra nell'ambito di applicazione del diritto dell'Unione, come nel caso di specie, le modalità di determinazione del danno non possono essere meno favorevoli di quelle che disciplinano situazioni analoghe disciplinate dal diritto interno (principio di equivalenza). Esse non possono neppure rendere praticamente impossibile o eccessivamente difficile l'esercizio dei diritti conferiti dal diritto dell'Unione (principio di effettività) (cfr. CGUE, sentenze del 4 ottobre 2024 - C-507/23, juris par. 31 - Pateretäju tieslbu aizsardzlbas centrs; del 20 giugno 2024 - C-182/22 e C-189/22, NJW 2024, 2599 par. 32 - Capitale scalabile; del 4 maggio 2023 - C-300/21, NJW 2023, 1930 par. 53 - Posta austriaca).
bb) In considerazione della funzione compensativa del diritto alla libertà di espressione sancito dall'art. 82 GDPR, come espresso nel considerando 146 frase 6 GDPR, è una richiesta di risarcimento danni basata sull'art. 82 del RGPD sia considerato «pieno ed effettivo» qualora consenta di risarcire integralmente il danno concreto subito a causa della violazione di tale regolamento; il diritto di cui all'art. 82 (1) GDPR (cfr. CGUE, Sentenza del 20 giugno 2024 - C-590/22, DB 2024, 1676 par. 42 - PS GbR; cfr. anche CGUE, Sentenze del 4 ottobre 2024 - C-507/23, juris par. 43 e segg. - Pateretäju tieslbu aizsardzTbas centrs; del 20 giugno 2024 - C-182/22 e C-189/22, NJW 2024, 2599 par. 23 - Scalable Capital; dell'11 aprile 2024 - C-741/21, NJW 2024,1561 par. 59 - giurisprudenza; del 25 gennaio 2024 - C-687/21, CR 2024, 160 par. 47 - MediaMarktSaturn). Di conseguenza, né la gravità della violazione del Regolamento generale sulla protezione dei dati che ha causato il danno in questione né la circostanza se un Titolare del Trattamento abbia commesso più violazioni nei confronti della stessa persona (CGUE, Sentenza dell'11 aprile 2024 - C-741/21, NJW 2024, 1561 parr. 60 e segg. - juris) e se abbia agito intenzionalmente (CGUE, Sentenza del 20 giugno 2024 - C-182/22 e C-189/22, NJW 2024, 2599 par. 29 e segg. - Capitale scalabile).
Di conseguenza, sebbene l'importo del risarcimento non debba essere inferiore al pieno risarcimento del danno, non può nemmeno essere valutato a un importo che superi il pieno risarcimento del danno (cfr. CGUE, sentenze dell'11 aprile 2024 - C-741/21, NJW 2024, 1561 par. 60 - juris; del 25 gennaio 2024 - C-687/21, CR 2024, 160 par. 48 - MediaMarktSaturn). Se il danno è di lieve entità, deve quindi essere concesso solo un importo esiguo (cfr. CGUE, sentenze del 4 ottobre 2024 - C-507/23, juris par. 35 - Pateretäju tieslbu aizsardzTbas centrs; del 20 giugno 2024 - C-182/22 e C-189/22, NJW 2024, 2599 par. 45 e segg. - Scalable Capital).
Ciò vale anche tenendo conto del fatto che il danno morale causato da una Violazione dei dati personali non è per sua natura meno grave delle lesioni personali (cfr. CGUE, sentenze del 4 ottobre 2024 -C-200/23, juris par. 151-Agentsia po vpisvaniyata; del 20 giugno 2024 - C-182/22 e C-189/22, NJW 2024, 2599 par. 39 - Capitale scalabile).
c) Ne derivano requisiti sia per quanto riguarda il limite inferiore che il limite superiore del diritto alla libera circolazione di cui all'art. 82 (1) GDPR, che limitano legalmente la discrezionalità del tribunale di primo grado (articolo 287 del codice di procedura civile).
aa) Se, secondo le conclusioni del giudice, sussiste solo un danno sotto forma di perdita di controllo sui Dati personali perché non è stato dimostrato un ulteriore danno, il giudice di merito deve, nel valutare il danno, tenere conto in particolare dell'eventuale sensibilità dei Dati personali specificamente interessati (cfr. art. 9 (1) GDPR) e il loro uso tipicamente appropriato. Inoltre, deve tenere conto del tipo di perdita di controllo (cerchia ristretta/illimitata di destinatari), della durata della perdita di controllo e della possibilità di riprendere il controllo, ad esempio rimuovendo una pubblicazione da Internet (compresi gli archivi) o modificando i Dati personali (ad esempio, cambio di numero di telefono; nuovo numero di carta di credito). Nei casi in cui sarebbe possibile riprendere il controllo con uno sforzo proporzionato, lo sforzo ipotetico per riprendere il controllo (in questo caso, in particolare, un cambio di numero di telefono) potrebbe servire come indice di un risarcimento ancora più efficace.
bb) Sembra quindi estremamente dubbio che una determinazione di "eventualmente un solo importo a una cifra" sarebbe compatibile con il principio di effettività (ma è il caso del Tribunale Regionale Superiore di Celle, sentenza del 4 aprile 2024 - 5 U 31/23, juris par. 102). D'altro canto, il Senato non avrebbe obiezioni di diritto alla valutazione del risarcimento necessario per la perdita del controllo in quanto tale in un caso come quello di cui trattasi nell'ordine di 100 euro (si veda l'obiter OLG Hamm, GRUR-RS 2024, 16856 par. 40).
cc) Se l'interessato lamenta menomazioni psichiche che vanno oltre l'inconveniente direttamente connesso alla perdita di controllo per tutti, il tribunale di primo grado può essere obbligato ad ascoltare l'interessato per poter effettuare le necessarie constatazioni al riguardo. Su questa base, dovrà determinare un importo a titolo di risarcimento superiore all'importo da concedere in caso di mera perdita di controllo.
Link: https://openjur.de/u/2497758.html
Testo del 2024-11-29