Lloyd vs Google segna la fine della class action nella privacy?

La Corte Suprema inglese ha ritenuto nel caso Lloyd vs Google class action che i danni alla privacy devono essere provati mettendo un forte limite a queste potenziali richieste.

Lloyd ha intentato una class action rappresentativa contro Google nei tribunali inglesi per conto di più di 4 milioni di utenti di iPhone, presumibilmente colpiti dalla violazione delle loro privacy tramite un workaround di Safari che Google aveva implementato durante un periodo di 10 mesi fino a febbraio 2012. Il workaround aveva facilitato la raccolta da parte di Google dei dati del browser degli utenti iPhone senza il loro consenso – definiti come “brower generated information” (BGI) – che era in grado di aggregare in modo da creare un pubblico mirato, generando a sua volta profitti significativi, consentendo agli inserzionisti di indirizzare i loro annunci pubblicitari a questo pubblico.

Lloyd ha chiesto a Google tramite la class action quale risarcimento un importo di 700 sterline per utente, per un totale di 3 miliardi di sterline, ma senza cercare di dimostrare il danno per ogni individuo la cui violazione della privacy era stata contestata.  Questo sulla base del fatto che ogni singolo utente aveva perso il controllo delle informazioni generate dal suo browser e che, poiché quel BGI aveva un valore, gli utenti avrebbero dovuto ricevere un risarcimento come risultato.

La Corte Suprema inglese ha però affermato che:

  • un individuo non ha diritto al risarcimento per qualsiasi violazione di uno dei requisiti del Data Protection Act 1998 (DPA) a meno che non possa dimostrare che la violazione ha causato un danno materiale (vale a dire stress mentale o perdita finanziaria) alla persona interessata. Una visione diversa richiederebbe un’estensione dei diritti conferiti dal Data Protection Act britannico;
  • La “nuova” class action rappresentativa era destinata a fallire – Lloyd non è riuscito a dimostrare che ci fosse (1) un uso illegale dei dati personali relativi a ciascun individuo, o (2) che l’individuo avesse subito un danno come risultato.

Se l’azione di Lloyd avesse avuto successo, le conseguenze finanziarie per qualsiasi azienda che commette una violazione della normativa sui dati personali sarebbero state potenzialmente molto significative. In effetti, avrebbe potuto aprire una strada per altre richieste di risarcimento per altri usi impropri dei dati personali, o presunti tali.

Le richieste di risarcimento basate sul danno immateriale hanno ricevuto critiche recenti da parte dell’High Court inglese e queste, insieme alla sentenza della Corte Suprema nel caso Lloyd, hanno ristabilito l’equilibrio. Il messaggio dei tribunali è chiaro: non ogni data breach o trattamento in violazione della normativa sui dati personali è in grado di dare luogo a un risarcimento.

La sentenza non è la fine delle class action rappresentative del Regno Unito. Infatti, la Corte Suprema ha ribadito il loro scopo e i vantaggi procedurali. Tuttavia, per essere in grado di presentare una class action rappresentativa, i ricorrenti dovranno stabilire che le loro richieste soddisfino tutte lo “stesso test di interesse“.  Questo sarà probabilmente costoso e complicato per la maggior parte delle azioni in materia di privacy. Anche se fosse composta una banca dati contenente classi identiche di informazioni per un migliaio di individui, non ne consegue che ogni individuo subirebbe lo stesso danno. Il danno è intrinsecamente soggettivo. Potrebbe essere più semplice presentare una class action rappresentativa per stabilire una responsabilità comune e poi passare a richieste individuali o di gruppo per dimostrare il danno, ma il tempo e i costi necessari potrebbero dissuadere le aziende che in precedenza avevano fatto ricorso.

L’articolo 80 del GDPR permette a un individuo di “dare mandato a un ente senza scopo di lucro, un’organizzazione o un’associazione [-] di esercitare per suo conto i diritti di cui agli articoli 77, 78 e 79, e di esercitare per suo conto il diritto di ricevere un risarcimento di cui all’articolo 82, se previsto dalla legge dello Stato membro“. Inoltre, diversi Stati membri dell’UE hanno i loro strumenti locali di class action che in alcuni casi possono anche coprire le controversie relative alla privacy.

Non siamo a conoscenza di casi in cui questo tipo di class action per la protezione dei dati sia stata intrapresa in altri stati membri dell’UE. Ma – anche in base all’esito del caso Lloyd del Regno Unito – sembra che la sanzione amministrativa del 4% del fatturato del GDPR possa rappresentare un maggiore deterrente contro le potenziali violazioni della privacy rispetto al rischio di class action.

Sembra che un tale punto di vista sia stato recentemente adottato dal NOYB con le sue lettere di contestazione alle grandi organizzazioni per la violazione degli obblighi di protezione dei dati sui cookie in cui si minaccia di denunciare la questione all’autorità competente per la protezione dei dati.  In effetti, a differenza di un reclamo giudiziario, la semplice segnalazione a un’autorità per la privacy non richiede la prova di un interesse sottostante e/o di danni. Come tale, è un’opzione molto più potente e facile da gestire per gli attivisti della privacy.  E ci aspettiamo che il NOYB inizierà presto a inviare lettere di contestazioni alle organizzazioni rispetto al trasferimento illegale di dati personali al di fuori del SEE che – dopo il caso Schrems II – è caduto un po’ nel dimenticatoio per le aziende che raramente eseguono la valutazione del trasferimento dei dati richiesta dalle nuove clausole contrattuali standard.

Su di un simile argomento può essere interessante l’articolo “Avete una metodologia per valutare i trasferimenti di dati extra SEE dopo la sentenza Schrems II?”.