La Corte di giustizia europea ammette l'azione delle associazioni rappresentative dei consumatori a tutela dei dati personali
E' dunque possibile che un'associazione dei consumatori intraprenda azioni a tutela del diritto alla protezione dei dati personali anche in assenza di uno specifico mandato conferito dall'interessato ed indipendentemente dalla concreta violazione del diritto di un soggetto specificamente individuato, intraprenda dunque una c.d. "azione inibitoria"
La Corte di giustizia europea (CGUE, C-319/20) ha aperto le porte alla legittimazione ad agire delle associazioni dei consumatori anche in materia di tutela dei dati personali.
Il nostro ordinamento invero già prevede la c.d. class action o "azione collettiva", ma tale disciplina è stata inizialmente confinata alla materia di diritti dei consumatori e solo recentemente rivista dal legislatore al fine di ampliare le possibilità di azione di un ente rappresentativo a tutela di diritti individuali omogenei nei confronti di imprese o di enti gestori di servizi pubblici o di pubblica utilità, relativamente ad atti e comportamenti posti in essere nello svolgimento delle loro rispettive attività (L. 31/2019 , in vigore dal maggio 2021).
Oggi, grazie alla recente decisione della Corte europea, diviene possibile esperire una class action anche nell'ambito della tutela dei dati personali, sempre che lo Stato membro dell'UE ne preveda e disciplini le modalità. E' dunque possibile che un'associazione dei consumatori intraprenda azioni a tutela del diritto alla protezione dei dati personali anche in assenza di uno specifico mandato conferito dall'interessato ed indipendentemente dalla concreta violazione del diritto di un soggetto specificamente individuato, intraprenda dunque una c.d. "azione inibitoria".
La vicenda
La decisione, pronunciata alla fine di aprile, ha visto contrapposti Meta Platform Ireland (nuova denominazione di Facebook Ireland, titolare del trattamento dei dati personali degli utenti del social network nell'ambito dell'UE) e l'Unione federale delle associazioni dei consumatori tedesca, che, sulla scorta di una legge nazionale antecedente al Regolamento EU 679/2019 (GDPR) in materia di tutela dei dati personali, aveva intrapreso un'azione contro il service provider ritenendo illegittima la modalità di raccolta del consenso al trattamento di tali dati da parte degli utenti, modalità che tra l'altro costituiva, nel contempo, una pratica commerciale sleale. Facebook, infatti, ospita spesso app che mettono gratuitamente a disposizione dei giochi forniti da terzi, previo consenso da parte dell'utente medesimo al trattamento di alcuni dati personali, come ad esempio il punteggio ottenuto. Nella fattispecie portata all'attenzione della Corte, tuttavia, la versione tedesca del sito ospitava una app che induceva l'utente, accettando le condizioni generali dell'applicazione, ad autorizzare anche la pubblicazione del proprio status, delle proprie foto, del proprio nome e di una serie di altri dati personali; di qui l'azione inibitoria dell'associazione contro Meta, pur non avendo ricevuto alcun mandato dagli utenti del social network.
Dopo due gradi di giudizio favorevoli all'associazione dei consumatori, davanti alla Cassazione tedesca si è tuttavia posto un problema relativo alla capacità dell'associazione dei consumatori di intraprendere un giudizio pur senza aver ricevuto uno specifico mandato da un utente, essendo nel frattempo entrato in vigore il GDPR.
Detto regolamento, infatti, detta una specifica disciplina in tema di rappresentanza da parte di organizzazioni o associazioni senza scopo di lucro, prevedendo che l'ente rappresentativo debba, in via generale, aver ricevuto idoneo mandato e che ciascuno Stato membro possa ad ogni modo ammettere la legittimazione ad agire di un ente esponenziale (che abbia obiettivi statutari di pubblico interesse e che operi nel settore della tutela dei dati personali), anche ove questo non abbia ricevuto uno specifico mandato, sempreché, in seguito al trattamento dei dati personali, si ritengano violati i diritti dell'interessato.
A parere della Corte tedesca la dizione letterale della norma sembra far riferimento alla violazione dei diritti dell'interessato quale diretta conseguenza del trattamento dei dati personali; se così fosse non ammetterebbe una tutela anticipatoria, vale a dire una tutela preventiva rispetto alla concreta violazione dei dati personali di una persona fisica.
In ragione di ciò la Corte nazionale ha deciso di sospendere il procedimento e di sottoporre alla Corte di giustizia la questione pregiudiziale relativa alla possibilità o meno, per una associazione a tutela dei consumatori, di agire in giudizio contro l'autore di atti anche solo potenzialmente pregiudizievoli rispetto alla tutela dei dati personali, operando così in via anticipatoria rispetto alla concreta violazione dei dati personali di una persona fisica e quindi anche senza uno specifico mandato.
La risposta della Corte Europea
La Corte europea, prima di dare risposta al quesito posto dalla Corte tedesca, delinea il quadro di riferimento della disciplina a tutela dei dati personali precisando che il GDPR è stato introdotto dal legislatore europeo, in sostituzione della disciplina precedente, anche allo specifico fine di offrire una disciplina comune a tutti gli Stati membri in materia di tutela dei dati personali, evitando quella frammentazione che le leggi nazionali, pur eventualmente guidate da uno scopo comune determinato in sede europea, inevitabilmente comportano.
In alcune disposizioni, tuttavia, il GDPR ammette residui margini di discrezionalità degli Stati membri e questo è proprio il caso relativo alla determinazione sulla legittimazione ad agire delle associazioni rappresentative; più precisamente perché un ente rappresentativo possa agire a tutela della corretta applicazione della disciplina in materia di dati personali senza aver ricevuto uno specifico mandato occorre che previamente lo Stato membro abbia fatto uso della discrezionalità concessa dal legislatore europeo, disciplinando le modalità di tale azione collettiva.
Nella specie è vero che il legislatore tedesco non aveva adottato alcuna disposizione particolare al riguardo successivamente all'entrata in vigore del GDPR, ma in quell'ordinamento la legittimazione ad agire degli enti rappresentativi a tutela dei consumatori esisteva già, essendo stata posta da una legge precedente.
Chiarito tale aspetto, la CGUE arriva al punto chiave della questione posta dalla Corte tedesca, se, cioè, l'esercizio dell'azione giudiziale da parte dell'ente rappresentativo sia subordinato all'esistenza di una concreta violazione dei diritti di uno specifico interessato, se, quindi sia necessario che la lesione dei diritti dell'interessato si sia già verificata o se, al contrario, sia possibile anche una tutela anticipatoria, in assenza di uno specifico mandato.
Precisando che, per riconoscere la legittimazione ad agire in capo ad un ente rappresentativo, come un'associazione dei consumatori, non è necessario che la violazione dei dati personali di una persona fisica si sia già concretizzata, essendo sufficiente che il trattamento dei dati controverso sia idoneo a pregiudicare i diritti degli interessati, la Corte europea apre dunque all'azione inibitoria collettiva anche in materia di tutela dei dati personali, aggiungendo un ulteriore tassello alla disciplina delle c.d. "azioni di classe".
*a cura dell'avv. Alessandra Spangaro , DigitalMediaLaws
Gianluca Fasano
Norme & Tributi Plus DirittoGianluca Fasano*
Norme & Tributi Plus DirittoAvv. Francesco Giorgianni e Avv. Annalisa Marsano
Riviste