Legittimazione delle associazioni di consumatori in materia di tutela della privacy: l'ultimo caso facebook deciso dalla CGUE

CGUE, Sezione III, 28 aprile 2022, C-319

Con la sentenza del 28/04/2022 nella causa C-319[1], la Corte di Giustizia Europea ("la Corte") ha risolto la questione pregiudiziale relativa all'interpretazione dell'art. 80 par. 2 del GDPR[2] con il seguente principio: "[il Regolamento generale sulla protezione dei dati] non osta ad una normativa nazionale, la quale permetta ad un'associazione di tutela degli interessi dei consumatori di agire in giudizio, in assenza di un mandato che le sia stato conferito a questo scopo e indipendentemente dalla violazione di specifici diritti degli interessati, contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali, facendo valere la violazione del divieto delle pratiche commerciali sleali, la violazione di una legge in materia di tutela dei consumatori o la violazione del divieto di utilizzazione di condizioni generali di contratto nulle, qualora il trattamento di dati in questione sia idoneo a pregiudicare i diritti che delle persone fisiche identificate o identificabili si vedono riconosciuti dal regolamento summenzionato".

Riassumendo brevemente il caso, si riferisce che una delle più note associazioni per la tutela dei diritti dei consumatori di diritto tedesco[3] aveva proposto un'azione inibitoria nei confronti della Meta Platforms Ireland[4] contro le condizioni generali applicate ai consumatori per poter fruire di una sezione dedicata a giochi interattivi gratuiti.

In particolare, si chiedeva la dichiarazione di nullità della clausola, ritenuta vessatoria, che consentiva alla piattaforma di gioco di accedere e registrare dati personali degli utenti per pubblicare post per loro conto[5].

Secondo l'Unione Federale tale comportamento della Meta configurava contemporaneamente più violazioni:
- della normativa tedesca in materia di protezione dei dati personali,
- una pratica commerciale sleale,
- di una legge in materia di tutela dei consumatori,
- del divieto di utilizzazione di condizioni generali di contratto nulle.
L' associazione di diritto tedesco ha agito in applicazione della normativa nazionale sulle azioni inibitorie[6], della legge sulle pratiche concorrenziali sleali e del codice civile tedesco e l'azione è stata proposta indipendentemente dalla violazione concreta del diritto alla tutela dei dati di un interessato e senza un mandato conferito da tale persona.

Le norme di diritto tedesco sono antecedenti al GDPR e per tale motivo la Corte federale di Giustizia[7] ha ritenuto opportuno rinviare alla Corte di Giustizia Europea.

La questione pregiudiziale è stata posta al fine di risolvere i dubbi relativi alla compatibilità di normative nazionali e precedenti al GDPR che consentissero una legittimazione oggettiva a favore di associazioni di diritto nazionale, sulla base del fatto che l'art 80 par. 2 dello stesso Regolamento Europeo non sembra autorizzare tale legittimazione, riportando gli stessi presupposti di cui al par. 1, ovvero che i diritti di un interessato siano stati effettivamente violati a causa di un illecito trattamento di dati.

La Corte ha innanzitutto escluso che, nel caso di specie, fossero pertinenti le disposizioni di cui agli artt. 80 par. 1 e da 77 a 79 del GDPR poiché da un lato la prima si fonda sul necessario conferimento di un mandato all'organismo, all'organizzazione o all'associazione senza scopo di lucro contemplati da tale disposizione, mentre le seconde fanno riferimento all'interessato stesso o al soggetto così designato al fine di legittimare le azioni giuridiche previste.

La pronuncia ricorda che il GDPR si è posto come obiettivo di ottenere un'armonizzazione delle normative nazionali relative alla protezione dei dati personali che sia, in linea di principio, completa.

Come spesso accade nell'ambito legislativo sovranazionale, tuttavia, vengono inserite delle clausole di apertura a favore degli Stati membri che offrono la possibilità di prevedere norme nazionali supplementari, talvolta più rigorose altre volte a carattere derogatorio, che lasciano un margine di discrezionalità circa l'attuazione di alcuni aspetti del Regolamento[8]. È ovvio concludere, però, che il margine di discrezionalità lasciato alla normativa nazionale non può condurre a un risultato che sia in contrasto o pregiudichi il contenuto e gli obiettivi del GDPR.
È nell'ambito di questa cornice, dunque, che viene esaminata la validità della normativa tedesca relativa alla legittimazione oggettiva delle associazioni senza scopo di lucro nella proposizione di una class action.

L' Unione Federale rispetta soggettivamente e senza alcun dubbio i criteri previsti all'art 80 par. 2, il quale si riferisce ad "un organismo, un'organizzazione o un'associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali".

L'obiettivo generale di assicurare i diritti e le libertà dei consumatori può realizzarsi anche mediante la tutela dei loro diritti in materia di privacy.
Quanto all'ambito di applicazione materiale, la Corte ritiene che la normativa pone come condizione soltanto che secondo l'ente, indipendentemente da un mandato conferito,[9] i diritti di cui un interessato gode siano stati violati in seguito al trattamento dei dati in concreto e, pertanto, non si può richiedere proceda alla previa identificazione individuale della persona specificamente interessata da un trattamento illecito.
La normativa nazionale tedesca assicura con questo strumento un efficace livello di protezione dei diritti degli interessati, rafforzandone la posizione, pienamente in linea con i principi stabiliti a livello sovranazionale.

In conclusione, secondo l'opinione della Corte, ogni Stato membro potrebbe prevedere una legittimazione oggettiva a favore di un'associazione al fine di garantirle il diritto di proporre un'azione civile o un reclamo al Garante della Privacy senza uno specifico mandato. Questa interpretazione potrebbe ampliare la portata delle class action in ambito nazionale che, a seguito della recente riforma che ha eliminato il vincolo per materia, astrattamente possono essere esperite anche per violazioni del GDPR[10].

La nuova azione di classe generalista, tuttavia, è molto legata al meccanismo dell'opt-in al fine di determinare l'efficacia soggettiva della decisione, nonché nella terza fase del processo in cui viene liquidato il danno.

Si potrebbe avere ancora qualche dubbio, quindi, sull'adeguatezza della normativa italiana nel suo stato attuale a concretizzare quanto previsto dalla recente pronuncia, ma è vero anche che la Corte ha ribadito che si tratta di scelte lasciate alla discrezionalità dello Stato membro, che pure potrebbe non prevedere nulla.

La class action italiana di certo non si pone in contrasto con gli obiettivi perseguiti dal GDPR, ma potrebbe realizzare uno strumento meno efficace rispetto, ad esempio, alla stessa tipologia di azione prevista dalla vicina Germania.

Dott.ssa Camilla Ragazzi

[1] https://curia.europa.eu/juris/documents.jsf?num=C-319/20

[2] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (regolamento generale sulla protezione dei dati); o anche semplicemente "Regolamento".

[3] Unione federale tedesca delle centrali e delle associazioni di consumatori ("Unione Federale").

[4] "Meta", Ex "Facebook"

[5] Normalmente le piattaforme di gioco richiedono tali accessi per poter pubblicare, ad esempio, il post con il punteggio raggiunto o il passaggio di livello di gioco. In questo caso, invece, si chiedeva l'autorizzazione all'utilizzo anche della foto profilo e di dati personali per pubblicare post agendo direttamente al posto dell'utente e consigliando il gioco sulla piattaforma Facebook ad altri utenti.

[6] Anche dette class action.

[7] Ultimo grado a livello nazionale.

[8] Par. 58 della sentenza in commento: "Occorre infatti ricordare che, secondo una consolidata giurisprudenza della Corte, in forza dell'articolo 288 TFUE e proprio in ragione della natura dei regolamenti e della loro funzione nel sistema delle fonti del diritto dell'Unione, le disposizioni dei regolamenti hanno, in generale, un effetto immediato negli ordinamenti giuridici nazionali, senza che le autorità nazionali abbiano bisogno di adottare misure di applicazione. Nondimeno, alcune di queste disposizioni possono richiedere, per la loro attuazione, l'adozione di misure di applicazione da parte degli Stati membri (sentenza del 15 giugno 2021, Facebook Ireland e a., C‑645/19, EU:C:2021:483, punto 110 nonché la giurisprudenza ivi citata)."

[9] Ovvero non è necessario l'accertamento di alcuna violazione in concreto, dal momento che sarà l'Autorità nazionale di controllo specificamente adita a fare la propria istruttoria e a trarne le proprie conclusioni in merito al comportamento tenuto dal titolare del trattamento. Per interessato, poi, non si intende necessariamente una persona o più identificata, ma anche una persona o un gruppo "identificabile".

[10] Art. 840 bis e segg. c.p.c.