Dati personali, Corte Ue: l’associazione di consumatori può agire in giudizio contro Facebook
Alcol, tabacco e pubblicità occulta
25 Maggio 2022
‘Quartiere in festa’, la piscina diventa piazza. Sabato 4 giugno a Roma
2 Giugno 2022
Con sentenza del 28 aprile 2022 resa nella causa C-319/201 (Meta Platforms Ireland Limited contro Bundesverband der Verbraucherzentralen und Verbraucherverbände–Verbraucherzentrale Bundesverband e.V), la Corte di Giustizia dell’Unione europea (CGEU) ha statuito che le associazioni di tutela dei consumatori possono agire in giudizio nei confronti di un soggetto per presunte lesioni del GDPR (Regolamento generale UE sulla protezione dei dati n. 2016/679), indipendentemente dalla effettiva violazione del diritto alla protezione dei dati di un interessato e in assenza di un mandato, conferito a tal fine dalla parte danneggiata.
La vicenda
L’Unione federale delle centrali e delle associazioni di consumatori tedesche aveva proposto un’azione inibitoria contro Meta Platforms Ireland (ex Facebook), contestandole la violazione della normativa vigente in materia di protezione dei dati personali, concorrenza sleale e tutela dei consumatori.
I fatti
Accedendo a taluni giochi forniti da Meta nello spazio virtuale denominato “App-Zentrum”, l’utente veniva informato che l’utilizzo dell’applicazione consentiva a Meta di ottenere un certo numero di dati personali e accettando le condizioni generali dell’applicazione e della policy in materia di protezione dei dati, si autorizzava la pubblicazione, a nome dell’utente stesso, del proprio status, delle proprie foto, del proprio nome e di una serie di altri dati personali.
L’Unione federale, pur non avendo ricevuto alcun mandato dagli utenti del social network, proponeva un’azione inibitoria nei confronti di Meta dinanzi al Landgericht Berlin (Tribunale del Land di Berlino) sostenendo che gli avvisi forniti da Meta fossero caratterizzati da slealtà, per inosservanza dei requisiti previsti per la raccolta di un valido consenso dell’utente, secondo la normativa vigente in materia di protezione dei dati.
Dopo due gradi di giudizio favorevoli all’associazione dei consumatori, la Cassazione tedesca, Bundesgerichtshof, si è posta il problema relativo alla capacità dell’associazione dei consumatori di intraprendere un giudizio in assenza di uno specifico mandato da parte di un utente, essendo nel frattempo entrato in vigore il GDPR e si interrogava, altresì, sulla legittimità di una tutela preventiva.
Detto regolamento, infatti, prevede una specifica disciplina in tema di rappresentanza da parte di organizzazioni o associazioni senza scopo di lucro, statuendo che l’ente rappresentativo debba, in via generale, aver ricevuto idoneo mandato e che ciascuno Stato membro possa, ad ogni modo, ammettere la legittimazione ad agire di un ente che abbia obiettivi statutari di pubblico interesse e che operi nel settore della tutela dei dati personali, anche ove questo non abbia ricevuto uno specifico mandato, sempreché, in seguito al trattamento dei dati personali, si ritengano violati i diritti dell’interessato.
Secondo la Corte tedesca la dizione letterale della norma sembrava far riferimento alla violazione dei diritti dell’interessato quale diretta conseguenza del trattamento dei dati personali. Di conseguenza, non sarebbe stata possibile una tutela preventiva rispetto alla concreta violazione dei dati personali di una persona fisica.
Nel dubbio la Corte nazionale decideva di sospendere il procedimento e di sottoporre alla Corte di Giustizia europea la questione pregiudiziale relativa alla possibilità o meno, per una associazione a tutela dei consumatori, di agire in giudizio contro l’autore di atti anche solo potenzialmente pregiudizievoli rispetto alla tutela dei dati personali, operando così in via anticipatoria, rispetto alla concreta violazione dei dati personali di una persona fisica e quindi, anche in assenza di uno specifico mandato.
La decisione della CGUE
La Corte europea, ha ossevato che sebbene il GDPR sia stato introdotto dal legislatore europeo, in sostituzione della disciplina precedente, anche allo specifico fine di offrire una disciplina comune a tutti gli Stati membri in materia di tutela dei dati personali, concede, altresì, margini di discrezionalità agli Stati membri.
Pertanto, secondo la Corte un ente rappresentativo può agire a tutela della corretta applicazione della disciplina in materia di dati personali senza aver previamente ricevuto uno specifico mandato, solo se ciò risulta previsto nell’ordinamento interno del singolo stato membro, da una norma nazionale di armonizzazione legislativa.
La CGUE ha altresì evidenziato che un’associazione di tutela dei consumatori, come l’Unione federale, rientra nella nozione di “organismo legittimato ad agire” ai sensi del GDPR, in quanto persegue l’obiettivo di interesse pubblico consistente nell’assicurare i diritti dei consumatori e soddisfa i criteri di cui all’articolo 80, paragrafo 1 del GDPR2.
Nella specie, è vero che il legislatore tedesco non aveva adottato alcuna disposizione particolare al riguardo successivamente all’entrata in vigore del GDPR, ma in quell’ordinamento la legittimazione ad agire degli enti rappresentativi a tutela dei consumatori esisteva già, essendo stata posta da una legge precedente.
Riguardo poi, alla legittimità di una tutela anticipatoria in assenza di uno specifico mandato, la CGUE risolve il quesito in senso affermativo, statuendo che, per riconoscere la legittimazione ad agire in capo ad un ente rappresentativo, come un’associazione dei consumatori, non è necessario che la violazione dei dati personali di una persona fisica si sia già concretizzata, essendo sufficiente che il trattamento dei dati controverso sia idoneo a pregiudicare i diritti degli interessati.
La Corte europea apre dunque all’azione inibitoria collettiva anche in materia di tutela dei dati personali, in conformità all’obiettivo del Regolamento europeo, che consiste nell’assicurare un elevato livello di protezione nel settore della privacy, non prescindendo però, dalla necessità di una legge nazionale attuativa dell’articolo 80 GDPR.
“Il GDPR non osta ad una normativa nazionale, la quale permetta ad un’associazione di tutela degli interessi dei consumatori di agire in giudizio, in assenza di un mandato che le sia stato conferito a questo scopo e indipendentemente dalla violazione di specifici diritti degli interessati, contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali, facendo valere la violazione del divieto delle pratiche commerciali sleali, la violazione di una legge in materia di tutela dei consumatori o la violazione del divieto di utilizzazione di condizioni generali di contratto nulle, qualora il trattamento di dati in questione sia idoneo a pregiudicare i diritti che delle persone fisiche identificate o identificabili si vedono riconosciuti dal regolamento summenzionato”
Pronunce diverse. Il caso austriaco e italiano
Il tribunale di Vienna, con sentenza del 26/5/2021, stabiliva la legittimità delle azioni promosse da un istituto austriaco di tutela dei consumatori, per violazione del GDPR, applicando direttamente l’articolo 80, paragrafo 2 del GDPR a prescindere da una norma nazionale di armonizzazione legislativa.
I giudici austriaci hanno ritenuto già sussistente una legittimazione delle associazioni dei consumatori per materie diverse dalla privacy e l’estensione è stata ritenuta automatica, ciò sulla base del considerando 42 del GDPR, che fa esplicito riferimento alla direttiva sulle clausole abusive nei contratti con i consumatori (93/13/CEE)3.
In altri termini, il Tribunale di Vienna ha desunto da norme di diritto dell’Unione direttamente applicabili, la legittimazione attiva delle associazioni di categoria ad agire in via inibitoria.
Nell’ordinamento italiano il codice del consumo (dlgs 206/2005)4 e il Codice di procedura civile (articoli 840-bis e seguenti, sulla class action) prevedono già la legittimazione delle associazioni dei consumatori, anche a promuovere azioni inibitorie, ai sensi dell’articolo 80, paragrafo 2, del GDPR.
Conclusioni
La decisione della CGUE ha certamente contribuito ad innovare la portata dell’art. 80 del GDPR estendendone l’ambito di applicazione alla tutela dei dati personali.
Un indubbio passo avanti a tutela della sfera privata del singolo cittadino.
Elena Bosani
Immagine di copertina di Chappatté
Note
(1) CURIA – List of results (europa.eu)
(2) Art. 80 GDPR – Regolamento Generale sulla Protezione dei Dati (UE/2016/679) Rappresentanza degli interessati
1. L’interessato ha il diritto di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, di proporre il reclamo per suo conto e di esercitare per suo conto i diritti di cui agli articoli 77, 78 e 79 nonché, se previsto dal diritto degli Stati membri, il diritto di ottenere il risarcimento di cui all’articolo 82.
2. Gli Stati membri possono prevedere che un organismo, organizzazione o associazione di cui al paragrafo 1 del presente articolo, indipendentemente dal mandato conferito dall’interessato, abbia il diritto di proporre, in tale Stato membro, un reclamo all’autorità di controllo competente, e di esercitare i diritti di cui agli articoli 78 e 79, qualora ritenga che i diritti di cui un interessato gode a norma del presente regolamento siano stati violati in seguito al trattamento.
(3) Proteggere i consumatori dalle clausole abusive nei contratti (europa.eu)
(4) Dlgs 206/05 (camera.it)
Avvocata in Milano e Francoforte sul Meno. Esperta in diritto di famiglia, minorile e penale, è ora iscritta a un master universitario in diritto alimentare
