Le autorità di regolamentazione statunitensi affermano che Facebook ha ingannato i genitori e non ha protetto la privacy dei bambini che utilizzano la sua applicazione Messenger Kids, tra l’altro dichiarando erroneamente l’accesso ai dati privati degli utenti fornito agli sviluppatori di app. Di conseguenza, mercoledì la Federal Trade Commision ha proposto modifiche radicali a un ordine sulla privacy del 2020 con Facebook – ora Meta – che proibirebbe alla società di trarre profitto dai dati raccolti sugli utenti minori di 18 anni. Questo includerebbe i dati raccolti attraverso i suoi prodotti di realtà virtuale. La FTC ha dichiarato che l’azienda non ha rispettato pienamente l’ordine del 2020. Meta sarà inoltre soggetta ad altre limitazioni, anche per quanto riguarda l’uso della tecnologia di riconoscimento facciale, e dovrà fornire ulteriori protezioni della privacy ai suoi utenti. “Facebook ha ripetutamente violato le sue promesse in materia di privacy”, ha dichiarato Samuel Levine, direttore del Bureau of Consumer Protection della FTC. “L’imprudenza dell’azienda ha messo a rischio i giovani utenti e Facebook deve rispondere delle sue mancanze”. Meta ha definito l’annuncio una “trovata politica”: “Nonostante tre anni di impegno continuo con la FTC in merito al nostro accordo, non ci hanno fornito alcuna opportunità di discutere questa nuova teoria, del tutto inedita. Chiariamo cosa sta cercando di fare la FTC: usurpare l’autorità del Congresso di stabilire standard per l’intero settore e invece escludere un’azienda americana, consentendo alle aziende cinesi, come TikTok, di operare senza vincoli sul territorio americano”, ha dichiarato Meta. L’azienda di Menlo Park, California, ha aggiunto che “combatterà vigorosamente” l’azione della FTC e si aspetta di vincere. Facebook ha lanciato Messenger Kids nel 2017, presentandolo come un modo per i bambini di chattare con i membri della famiglia e gli amici approvati dai genitori. L’applicazione non fornisce ai bambini account Facebook o Messenger separati, ma  funziona come un’estensione dell’account di un genitore e i genitori ottengono controlli come la possibilità di decidere con chi i figli possono chattare. All’epoca, Facebook aveva dichiarato che Messenger Kids non avrebbe mostrato annunci pubblicitari o raccolto dati per il marketing, anche se avrebbe raccolto alcuni dati necessari per il funzionamento del servizio.

La CGUE ha confermato che gli utenti hanno diritto a un risarcimento nel momento in cui i loro dati personali sono stati trattati illegalmente. Come per qualsiasi richiesta di risarcimento danni, la CGUE richiede l’esistenza di una violazione, di un danno e di un nesso di causalità. Anche se la CGUE osserva che non è possibile rivendicare un diritto senza un danno effettivo. Max Schrems ha dichiarato:  “Accogliamo con favore i chiarimenti della CGUE. Un’intera industria ha cercato di reinterpretare il GDPR per evitare di dover pagare i danni agli utenti di cui ha violato i diritti”. La comunità giuridica tedesca ha cercato di limitare ulteriormente l’applicazione del GDPR. Soprattutto in Germania, molti membri della comunità legale hanno cercato di implementare una “soglia” per le richieste di risarcimento del GDPR, che esisteva nella legge tedesca già prima dell’introduzione del GDPR. Il GDPR non prevede infatti tale soglia, tuttavia molti tribunali nazionali hanno respinto le richieste di risarcimento basate sul concetto di “soglia” per i danni emotivi. Anche la Corte Suprema austriaca ha cercato di conformarsi i al punto di vista tedesco. Questo punto di vista è stato per ora respinto. Max Schrems: “Abbiamo già visto molti casi di GDPR respinti senza una buona ragione. Se ci fosse stata una soglia, sarebbe stato molto difficile definirla. Per quanti minuti bisognava arrabbiarsi o piangere? La legge non prevede una soglia del genere, così come non esiste una soglia per qualsiasi altra richiesta di risarcimento. Si può intentare una causa anche per 5 centesimi, la realtà è che nessuno lo fa”. La CGUE ha anche sottolineato che le procedure nazionali per il GDPR non devono essere più complicate di altri ricorsi giudiziari nazionali. Ciò è particolarmente importante in quanto molti Stati membri calcolano i danni sulla base di una persona media, non del singolo ricorrente. Ciò evita ai ricorrenti di sottoporsi a interrogatori incrociati su quanto una pubblicazione illecita o un osso rotto li abbia effettivamente danneggiati. Max Schrems: “Abbiamo buone leggi e pratiche per gestire i danni immateriali in altri campi del diritto. I tribunali nazionali non possono ora sviluppare un sistema più complicato per le richieste di risarcimento del GDPR”.

Martedì 2 maggio, la presidenza svedese del Consiglio dei ministri dell’UE ha condiviso con gli altri rappresentanti nazionali un aggiornamento, successivamente visionato da EURACTIV, sul Data Act, una normativa di riferimento che regola le modalità di accesso, trasferimento e condivisione dei dati. Il dossier si trova nell’ultima fase del processo legislativo dell’UE, i cosiddetti triloghi, che riuniscono Consiglio, Parlamento e Commissione dell’UE per definire un accordo politico. Dal primo trilogo del 29 marzo, il lavoro a livello tecnico è attualmente in corso. A questo livello, il capitolo relativo alla possibilità per le autorità pubbliche di accedere ai dati in possesso di privati è stato in gran parte concordato. Rimangono tuttavia alcuni punti in sospeso che richiederanno una discussione politica nel prossimo trilogo del 23 maggio. La presidenza svedese ha quindi chiesto agli Stati membri di essere flessibili nel negoziare le questioni aperte relative al Business-to-Government (B2G). L’ostacolo principale è rappresentato dal tipo di dati che gli enti pubblici possono richiedere. Il Parlamento europeo ha limitato la portata delle disposizioni ai dati industriali, mentre il Consiglio dell’UE ha mantenuto i dati personali nel campo di applicazione. “Per consentire il mantenimento dei dati personali nell’ambito di applicazione, possono essere previste ulteriori garanzie e limitazioni per gli enti pubblici e/o le istituzioni dell’UE per l’accesso e l’ulteriore condivisione dei dati”, si legge nella nota. Un’altra questione è se le piccole e micro imprese debbano essere esentate da questi obblighi B2G, dato che il Consiglio ha eliminato questa esenzione dalla proposta originale. In questo caso, la presidenza osserva che potrebbe essere necessaria una certa flessibilità. Inoltre, gli eurodeputati hanno eliminato la possibilità per le autorità pubbliche di richiedere dati privati per mitigare o recuperare un’emergenza pubblica, limitandola a risposte immediate a situazioni come pandemie o terremoti. Allo stesso tempo, la legge sui dati prevede invece che un’autorità pubblica possa richiedere dati privati per svolgere un compito di interesse pubblico a determinate condizioni. Per la presidenza, gli aspetti di mitigazione e recupero potrebbero rientrare in questa misura. Un ultimo aspetto riguarda le istituzioni e gli organi dell’UE che potranno godere di questo potere. Il Consiglio dell’UE ha limitato l’ambito di applicazione alla Commissione europea, alla Banca centrale europea e agli organismi dell’Unione, mentre gli eurodeputati vogliono mantenere tutte le istituzioni e le agenzie dell’UE. “La questione può essere considerata insieme al tipo di dati che rientrano nell’ambito di applicazione”, si legge infine nel documento.

English version

U.S. regulators say Facebook misled parents and failed to protect the privacy of children using its Messenger Kids app by, among other things, misrepresenting access to private user data provided to app developers. As a result, the Federal Trade Commission on Wednesday proposed sweeping changes to a 2020 privacy order with Facebook-now called Meta-that would prohibit Facebook from profiting from data collected on users under the age of 18. This would include data collected through its virtual reality products. The FTC said the company has not fully complied with the 2020 order. Meta will also be subject to other restrictions, including on the use of facial recognition technology, and will have to provide additional privacy protections for its users. “Facebook has repeatedly broken its privacy promises,” said Samuel Levine, director of the FTC’s Bureau of Consumer Protection. “The company’s recklessness has put young users at risk, and Facebook must be held accountable for its failures.” Meta called the announcement a “political stunt”: “Despite three years of continued engagement with the FTC on our settlement, they have not provided us with any opportunity to discuss this new, wholly novel theory. Let’s clarify what the FTC is trying to do: usurp Congress’s authority to set standards for the entire industry and instead exclude an American company, allowing Chinese companies, like TikTok, to operate unfettered on U.S. soil,” Meta said. The Menlo Park, California-based company added that it will “vigorously fight” the FTC action and expects to win. Facebook launched Messenger Kids in 2017, presenting it as a way for children to chat with family members and friends approved by their parents. The app does not provide children with separate Facebook or Messenger accounts, but works as an extension of a parent’s account, and parents get controls such as the ability to decide who their children can chat with. At the time, Facebook stated that Messenger Kids would not show advertisements or collect data for marketing, although it would collect some data necessary for the service to function.

The CJEU confirmed that users are entitled to compensation when their personal data have been processed illegally. As with any claim for damages, the CJEU requires the existence of a breach, damage, and a causal link. Although the CJEU notes that it is not possible to claim a right without actual damage. Max Schrems said, “We welcome the CJEU’s clarification. An entire industry tried to reinterpret GDPR to avoid having to pay damages to users whose rights it violated.” The German legal community has sought to further restrict the application of the GDPR. Especially in Germany, many members of the legal community have tried to implement a “threshold” for GDPR claims, which existed in German law even before the GDPR was introduced. The GDPR does not in fact provide for such a threshold, yet many national courts have rejected claims based on the concept of a “threshold” for emotional damages. Even the Austrian Supreme Court has tried to conform i to the German viewpoint. This view has been rejected for now. Max Schrems: “We have already seen many GDPR cases dismissed without good reason. If there had been a threshold, it would have been very difficult to define it. For how many minutes did one have to get angry or cry? There is no such threshold in the law, just as there is no threshold for any other claim. One can file a lawsuit even for 5 cents, the reality is that no one does.” The CJEU also emphasized that national procedures for GDPR should not be more complicated than other national judicial remedies. This is particularly important because many member states calculate damages on the basis of an average person, not the individual claimant. This saves claimants from being cross-examined about how much an illegal publication or a broken bone actually harmed them. Max Schrems: “We have good laws and practices for dealing with intangible harm in other areas of law. National courts cannot now develop a more complicated system for GDPR claims.”

On Tuesday 2 May , the Swedish presidency of the EU Council of Ministers shared an update, later seen by EURACTIV, with the other national representatives about the Data Act, a landmark legislation regulating how data is accessed, ported and shared. The file is at the last phase of the EU legislative process, so-called trilogues, as they gather the EU Council, Parliament and Commission to nail down a political agreement. Since the first trilogue on 29 March, the work on the technical level has been underway. At this level, the chapter concerning the possibility for public authorities to access privately held data has been mostly agreed upon. Still, a few points remain open and will require a political discussion at the next trilogue on 23 May. Thus, the Swedish presidency returned to the member states to request whether they would be flexible in negotiating these open questions related to Business-to-Government (B2G). The major hurdle is which type of data public bodies can request. The European Parliament limited the scope of the provisions to industrial data, whilst the EU Council maintained personal data in the scope. “Additional safeguards and further limitations for public sector bodies and/or EU institutions to access and further share data may be envisaged to allow keeping personal data in scope,” reads the note. Another question is whether small and micro enterprises should be exempted from these B2G obligations, as the Council has removed this exemption from the original proposal. Here the presidency notes that some flexibility might be needed. In addition, MEPs have removed the capacity for public authorities to request private data to mitigate or recover from a public emergency, limiting it to immediate responses to things like pandemics or earthquakes. At the same time, the Data Act provides that a public authority might also ask for privately-controlled data to carry out a task in the public interest under certain conditions. For the presidency, the mitigation and recovery aspects could be covered under this measure. A final aspect concerns which EU institutions and bodies will be able to enjoy this power. The EU Council limited the scope to the European Commission, the European Central Bank and Union bodies, whilst the MEPs want to keep all EU institutions and agencies.“This issue may be considered together with the type of data in scope,” the document reads.