La terza sezione civile del Tribunale di Monaco di Baviera ha sanzionato un gestore di un sito web per aver diffuso, senza previa informativa, l’indirizzo IP di un utente ai server di Google per mezzo di Google Fonts. Il caso ha portato i Giudici tedeschi a pronunciarsi sulle modalità di utilizzo del servizio di Google.
Questa volta, dopo la decisione dell’Autorità garante austriaca, la Datenschutzbehörde (o DSB) che ha dichiarato l’incompatibilità di Google Analytics con il GDPR facendo seguito alla sentenza Schrems II, è toccato al servizio Google Fonts essere al centro della diatriba legale.
Si tratta di un caso che ha interessato la terza sezione civile del Tribunale di Monaco di Baviera pronunciatosi il 20 gennaio scorso con sentenza n. 17493/20 con il quale è stato condannato il gestore di un sito web che, utilizzando la libreria di font di Google, ha rivelato l’indirizzo IP dell’attore a Google senza prima informarlo.
Il Tribunale, adito dall’attore in alternativa all’Autorità garante tedesca competente ai sensi dell’art. 79 del Regolamento UE 2016/679 (GDPR), ha posto a fondamento della decisione l’art. 823 del codice civile tedesco, il Bürgerliches Gesetzbuch (o BGB), il quale contempla la disciplina sul risarcimento dei danni, in questo caso derivanti dalla lesione del “diritto all’autodeterminazione informativa”, ossia del “diritto dell’individuo a divulgare e determinare l’uso dei propri dati personali”.
I Giudici hanno quindi fatto seguito al dettato dell’art. 82 GDPR secondo cui chiunque subisca un danno “materiale o immateriale” dal trattamento dei propri dati personali “ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.
Precisiamo innanzitutto che, come nel caso Google Analytics, la pronuncia non ha avuto come destinataria la società Google LLC, ma il gestore del sito web con sede nello spazio economico europeo, il quale, conformemente agli obblighi derivanti dal GDPR, è tenuto al rispetto del principio di “responsabilizzazione” (o accountability) di cui all’art. 5, par. 2 del GDPR.
Difatti, come si apprende dal testo del dispositivo, la trasmissione automatica – e senza previa informativa all’utente – dell’indirizzo IP da parte del convenuto a Google ha comportato “un’inammissibile violazione dei diritti generali della personalità dell’attore ai sensi del diritto alla protezione dei dati”.
In particolare, il suddetto principio di responsabilizzazione del titolare del trattamento emerge nelle motivazioni addotte dal Giudice in risposta alle difese del gestore convenuto, il quale ha invocato la possibilità dell’attore di crittografare il proprio indirizzo IP prima di accedere al sito web. Il Tribunale, espressosi sul punto, ha ritenuto che “obbligare il ricorrente a farlo sarebbe in contrasto con lo scopo della legge sulla protezione dei dati in questione, che mira principalmente a proteggere le persone fisiche dal pregiudizio nel trattamento dei loro dati personali” (punto 4), facendo così emergere i profili di responsabilità del gestore del sito.
Il colosso californiano offre una moltitudine di servizi vantaggiosi non solo per l’utenza ma anche per i professionisti del web (sui profili concorrenziali dell’offerta di simili servizi ne abbiamo scritto qui e qui). Indubbia comodità (e gratuità!) da cui tuttavia deve discendere una adeguata attenzione da parte degli utilizzatori circa la conformità del funzionamento e utilizzo di tali strumenti al quadro normativo di riferimento.
Google Fonts è un vasto databases di caratteri di differenti stili – per l’appunto “font” – con libera licenza di Google che gli sviluppatori possono utilizzare all’interno di siti web o altre applicazioni.
Ciò che ha portato il Giudice tedesco a sanzionare il gestore convenuto, riguarda la modalità di utilizzo del servizio, che può avvenire in locale, quindi installando i font nel proprio server (o in quello del sito cliente), o da remoto, ossia collegandosi al server di Google Fonts.
Nel caso di specie, il gestore utilizzava quest’ultima modalità e quindi nel momento in cui l’attore navigava sul sito web, il suo indirizzo IP veniva automaticamente inviato senza il suo previo consenso ai server di Google (localizzati negli Stati Uniti), affinché questi potesse visualizzare correttamente i font del sito in consultazione.
Il Tribunale si è così pronunciato ribadendo innanzitutto la natura di dato personale dell’indirizzo IP, anche “dinamico”, in quanto “l’operatore del sito web dispone di mezzi legali astratti che potrebbero ragionevolmente essere utilizzati per identificare la persona interessata utilizzando l’IP memorizzato per determinare gli indirizzi”. Diversamente dalla nota sentenza “Breyer”, i Giudici hanno quindi evidenziato l’irrilevanza se il gestore convenuto o Google abbiano l’opportunità di ricollegare concretamente l’indirizzo IP all’utente, essendo sufficiente che “il convenuto abbia la possibilità astratta di identificare le persone dietro l’indirizzo IP”.
Dall’altro, sempre riprendendo la citata sentenza di Lussemburgo, il Tribunale tedesco si è espresso sul necessario consenso al trattamento dell’indirizzo IP stabilendo l’inutilizzabilità della base giuridica del legittimo interesse ex art. 6, par. 1, lett. f) del GDPR, “poiché Google Fonts può essere utilizzato dal convenuto anche senza che sia stabilito un collegamento a un server di Google […]” (uso locale).
Tale conclusione a cui è addivenuto il Collegio è ragionevolmente riconducibile alle conseguenze della sentenza Schrems II, che ha principalmente investito i traffici di dati personali tra Unione Europea e Stati Uniti, ponendo interrogativi sull’utilizzo delle più idonee basi di legittimità nei trattamenti transfrontalieri (si invita a consultare le FAQ pubblicate dall’EDPB).
Relativamente al quantum inflitto dal Tribunale, sebbene si tratti di un’autorità giudiziaria, pare utile considerare le “Linee guida sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” (n. 4/2022), elaborate dall’European Data Protection Board (EDPB) ad uso delle Autorità garanti europee, e in fase di consultazione fino al 27 giugno 2022.
Come emerge dal testo del documento, l’EDPB propone una metodologia di partenza armonizzata e comune (vedi punto 5), non incisiva sulla discrezionalità sanzionatoria delle Autorità garanti (vedi punto 7), articolata in 5 passi (punto 17), ossia: 1) identificazione delle operazioni di trattamento del caso specifico, con valutazione dell’applicazione dell’articolo 83, par. 3, GDPR; 2) individuazione del punto di partenza per calcolare l’importo dell’ammenda (nello specifico tenendo conto della classificazione della violazione, gravità e fatturato del responsabile); 3) valutazione delle circostanze attenuanti e aggravanti del comportamento passato o presente del responsabile; 4) identificazione dei massimali previsti dalla legge per le diverse violazioni; 5) analisi per valutare se l’importo stabilito soddisfi i requisiti di efficacia, dissuasione e proporzionalità.
Nel caso di specie, la pronuncia pare essere solo un monito per i gestori dei siti web. Si consideri infatti l’ammontare esiguo della somma ingiunta al convenuto (100 € “più gli interessi pari a 5 punti percentuali sopra il tasso di base a partire dal 28 gennaio 2021”), nonché l’ordine del Tribunale “di astenersi dal divulgare l’indirizzo IP del ricorrente quando questi richiama un sito web gestito dal convenuto fornendo un font del provider Google (Google Fonts) […]” pena una “multa fino a 250.000,00 di euro per ogni violazione”.
Non si esclude tuttavia che il deciso possa costituire un rilevante precedente tale da esercitare una indubbia capacità dissuasiva verso tutti gli operatori del web, i quali potrebbero essere oggetto di molteplici richieste di risarcimento o azioni di classe da parte dei visitatori.
In conclusione, diversamente dal caso Analytics, ove il servizio è stato ritenuto incompatibile con il GDPR, i Giudici tedeschi con tale pronuncia hanno inteso scoraggiare l’utilizzo di Google Fonts da remoto, lasciando quindi intendere la conformità del servizio al GDPR qualora utilizzato in locale.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale