Nella recente causa C‑319/20 (Facebook sede irlandese, oggi Meta Platforms, contro l’Unione federale tedesca delle centrali e delle associazioni di consumatori) la Corte di Giustizia ha sancito con chiarezza che non è necessario un mandato da parte di un interessato, a favore di un ente terzo che tutela interessi generali, per consentire a tale ente di agire in giudizio per violazioni del GDPR.
Pertanto, a tali enti basterà ravvisare presunte violazioni della normativa in parola per attivarsi e chiedere la condanna dei titolari o responsabili del trattamento.
Sono comunque presenti dei limiti e delle precisazioni da effettuare sul caso, per capire meglio la portata effettiva della pronuncia e i suoi riflessi anche nel nostro Paese. Vediamoli di seguito.
Class action privacy, via libera della Corte di giustizia UE alle associazioni di consumatori
Indice degli argomenti
I fatti di causa
Trattandosi di pronuncia pregiudiziale – cioè su questione interpretativa di diritto unionista da dirimere, per procedere con l’effettiva trattazione nel merito del caso – la Corte si è espressa solamente sul lato processuale. Circa la legittimazione attiva dell’ente tedesco che ha agito contro Facebook/Meta, avviando il procedimento. La fonte della pronuncia è data da condotte che pertanto accenniamo solo brevemente, per concentrarci in seguito sul portato processuale.
In breve, l’unione tedesca a tutela dei consumatori ha ravvisato una potenziale violazione del GDPR e della normativa a tutela dei consumatori (soprattutto pratiche commerciali scorrette), quando Meta poneva a disposizione degli utenti – tramite propria funzione “App center” disponibile nel social Facebook di Meta – videogame di terzi. In questi casi, infatti, l’utente veniva avvisato che l’utilizzazione dell’applicazione permetteva alle società fornitrici di ottenere dati personali dell’utente, autorizzandole a pubblicarne alcuni. Tutto ciò con implicita accettazione delle condizioni generali d’uso dell’applicazione e dei trattamenti nella relativa informativa privacy, solo a fronte di un mero pulsante denominato “Gioca” che non pare rappresentare valido strumento di accettazione contrattuale e di libero consenso all’utilizzo dei dati personali.
Ragion per cui l’unione tedesca ha invocato più violazioni, ovvero “della protezione dei dati personali integrante, nel contempo, una pratica commerciale sleale, una violazione di norme poste a tutela dei consumatori e una violazione del divieto di applicare condizioni generali invalide”. Tutela degli interessati in quanto consumatori, dunque. L’unione si è attivata presso i tribunali tedeschi, con una causa e diverse richieste inibitorie contro Meta, in quanto piattaforma ove sono state rese disponibili tali applicazioni e connesse condotte, per veder riconoscere le predette illiceità e far intimare a Meta la cessazione delle stesse. Dopo due gradi di giudizio, è stato il giudice federale del rinvio a chiedersi se “a seguito dell’entrata in vigore del regolamento 2016/679, un’associazione per la tutela degli interessi dei consumatori, come l’Unione federale, sia ancora legittimata ad agire [in forza di una pregressa normativa di tutela dei consumatori] mediante proposizione dinanzi alle giurisdizioni civili di un ricorso avverso violazioni di detto regolamento, indipendentemente dalla specifica violazione dei diritti degli interessati e in assenza di mandato da parte di questi ultimi”. Da qui l’interpello alla Corte di Giustizia, per dirimere il dubbio interpretativo.
Il dubbio scaturiva da una sovrapposizione tra normativa tedesca di legittimazione di enti come l’unione tedesca, pregressa al GDPR, e l’entrata in vigore del GDPR. Difatti la normativa privacy ha introdotto norme specifiche sulla materia che sono da coordinare con quella consumeristica, per lo scenario di applicazione tedesco così come di qualunque Paese con una simile stratificazione.
La normativa applicata
La pronuncia della Corte è improntata sull’art. 80 GDPR che è preferibile riportare per intero, aiutando l’interprete:
Articolo 80 GDPR – Rappresentanza degli interessati:
“1. L’interessato ha il diritto di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, di proporre il reclamo per suo conto e di esercitare per suo conto i diritti di cui agli articoli 77, 78 e 79 nonché, se previsto dal diritto degli Stati membri, il diritto di ottenere il risarcimento di cui all’articolo 82.
2. Gli Stati membri possono prevedere che un organismo, organizzazione o associazione di cui al paragrafo 1 del presente articolo, indipendentemente dal mandato conferito dall’interessato, abbia il diritto di proporre, in tale Stato membro, un reclamo all’autorità di controllo competente, e di esercitare i diritti di cui agli articoli 78 e 79, qualora ritenga che i diritti di cui un interessato gode a norma del presente regolamento siano stati violati in seguito al trattamento”.
Quindi troviamo due previsioni, una “chiusa” e una “aperta” alla discrezione degli Stati: nel primo caso, fin dal varo del GDPR qualunque interessato dell’Unione può conferire mandato a un ente terzo (diciamo perlopiù del “terzo settore,” per rispettare la nomenclatura italiana, come disciplinato dal D.lgs. 117/2107 e pertanto soggetto a iscrizione al RUNTS – Registro Unico Nazionale del Terzo Settore), per proporre reclami alle autorità di controllo, azioni giudiziarie (avverso provvedimenti delle autorità o contro titolari o responsabili del trattamento). È invece norma “aperta” (se prevista dalla normativa statale) la possibilità ulteriore di ottenere risarcimenti danni per responsabilità da violazione del GDPR.
Altra norma “aperta” è il comma 2: se previsto dallo Stato europeo, il predetto ente terzo può utilizzare gli stessi strumenti giuridici – a eccezione del risarcimento danni – pur senza alcun mandato di alcun interessato, è sufficiente siano stati violati i diritti consacrati dal GDPR a favore degli interessati.
Ed è proprio il secondo comma quello esaminato dalla Corte, perché l’unione tedesca si è attivata priva di mandato da parte di interessati/consumatori bensì in forza di una tutela generale degli interessi tutelati dalle discipline succitate. Il giudice tedesco del rinvio ha invocato un’interpretazione l’art. 80.2 GDPR potenzialmente restrittiva, per cui l’unione non sarebbe stata legittimata: nessun interessato era stato concretamente leso (almeno questo è quanto si ricavava dagli atti dell’unione tedesca), nessun diritto dunque potrebbe dirsi sia stato leso – fino a dichiarazione contraria di un interessato specifico. In base a tale logica, nonostante l’art. 80.2 GDPR, sarebbe necessario accertare che comunque – mandato o meno – qualche interessato sia stato concretamente leso dalla condotta contestata per potersi procedere. Sarebbe, invece, un compito delle autorità di controllo operare in questi casi, a tutela di interessi generali.
Non l’ha pensata così la Corte di Giustizia che ha avallato un’interpretazione estensiva dell’art. 80.2 GDPR, sancendo la sussistenza di una legittimazione ad agire degli enti del terzo settore “indipendentemente dalla violazione di specifici diritti degli interessati, nella misura in cui ciò comporterebbe un’ulteriore possibilità di controllo dell’applicazione del diritto al fine di garantire un livello quanto più possibile elevato di protezione dei dati personali”. Aggiungendo che “un’associazione per la tutela degli interessi dei consumatori, come l’unione federale, rientra nella nozione di «organismo legittimato ad agire» ai sensi del GDPR in quanto essa persegue un obiettivo di interesse pubblico consistente nell’assicurare i diritti dei consumatori. Infatti, la violazione di norme relative alla tutela dei consumatori o alle pratiche commerciali sleali può essere correlata alla violazione di una norma relativa alla protezione dei dati personali”.
In base a questa impostazione di miglior tutela, all’ente del terzo settore potrà bastare ritenere che i diritti di un interessato previsti dal GDPR siano stati violati per agire (di fronte al Garante, all’AGCM o giudizialmente, pensando all’Italia) – senza che sia necessario identificare, individualmente e preliminarmente, una persona specificamente interessata dal suddetto trattamento di dati o che debba allegare l’esistenza di una specifica violazione dei diritti riconosciuti dal GDPR.
Quanto alle norme locali, il GDPR non osterebbe così a disposizioni nazionali che prevedano l’esercizio di azioni rappresentative (class-action) dinanzi a violazioni dei diritti per la protezione dei dati personali tramite, eventualmente, norme aventi una finalità di protezione dei consumatori o di lotta contro le pratiche commerciali sleali. Quindi l’ente potrebbe agire in forza della normativa consumeristica combinata con quella privacy.
Privacy e class action: lo stato dell’arte in Europa e in Italia
I risvolti applicativi italiani
Giunti a questo punto, l’interrogativo sulla portata nazionale è semplice: già oggi è possibile, in Italia, per un ente del terzo settore, proporre reclamo e/o azione giudiziaria in ambito di violazione dei dati personali, pur in assenza di un mandato da parte di un interessato? La risposta è più difficile da trovare.
Partiamo da un crudo dato di fatto: l’art. 80.2 GDPR non ha trovato espressa regolazione, fino ad ora, in Italia. Il nostro Codice per la protezione dei dati personali nulla ha sancito in merito, in sede di adattamento al GDPR con il D.lgs. 101/2018. Non troviamo attualmente un precetto che richiami esplicitamente l’art. 80.2 GDPR e che affermi una legittimazione degli enti del terzo settore, senza mandato, nell’ambito della protezione dei dati personali. Lo si è previsto per l’azione generale e risarcitoria ex art. 80.1 GDPR, questo è vero, all’art. 152.1 del Codice e perciò in una norma di sola applicazione nel caso di mandato dell’interessato.
Al contempo, a seguito della riforma della class-action a opera della l. 31/2019 (in vigore da maggio 2021), l’art. 840-bis c.p.c. (abrogativo dei pregressi artt. 140 e 140-bis del Codice del Consumo) ammette la possibilità per gli enti del terzo settore, se presenti in un elenco del Ministero della Giustizia (e che siano un’organizzazione o un’associazione senza scopo di lucro i cui obiettivi statutari comprendano la tutela dei predetti diritti), di agire per l’accertamento della responsabilità, nonché per la condanna al risarcimento del danno e alle restituzioni (a differenza dell’art. 80.2 GDPR che non contempla il diritto risarcitorio), a tutela di “diritti individuali omogenei”. Ecco un dubbio interpretativo non da poco: quanto previsto da tale disposizione si può considerare compatibile con quanto richiesto dall’art. 80.2 GDPR (nei limiti da esso previsti) pur senza un richiamo espresso, oppure si deve considerare non attuata in Italia la norma “aperta” del GDPR?
L’unica cosa che pare chiara è che comunque il risarcimento danni potrebbe essere richiesto, sempre e comunque, da un ente solo dietro mandato da parte di interessati/consumatori. Detto questo, la pronuncia della Corte di Giustizia appena esaminata parrebbe aprire uno spiraglio a una possibile interpretazione applicativa dell’art. 80.2 GDPR sulla scorta delle norme vigenti, pur in assenza di richiami espressi, anche in forza della più generale possibile tutela consumeristica attuata attraverso la tutela degli interessati.
Da ultimo va segnalato che risale al 2020 la Direttiva 1828 (“relativa alle azioni rappresentative a tutela degli interessi collettivi dei consumatori e che abroga la direttiva 2009/22/CE”), da recepire anche in Italia entro la fine del 2022 (compariva nel disegno di legge di delegazione europea 2021), con norme da applicare a decorrere dal 25 giugno 2023. Da quella data si estenderà il potere di determinati enti legittimati da norme nazionali, per tutelare interessi collettivi dei consumatori (compresi gli “interessati” ai sensi del GDPR), in base al quale l’ente potrà agire giudizialmente anche per ottenere risarcimenti danni e anche in via transfrontaliera tra più Paesi. La ratio di questa estensione è pragmatica: nella complessa e articolata società digitale attuale è molto difficile, sia per i singoli che per le autorità, stare al passo con la sorveglianza e difesa dei diritti, ecco perché si pensa di estendere il potere di intervento a soggetti sì privati ma consacrati a interessi generali. La medesima ratio invocata dalla Corte di Giustizia nella pronuncia in parola.
Speriamo infine che a livello nazionale non si debba attendere l’ingresso di tale Direttiva e si provveda quanto prima a un chiarimento: per l’eventuale applicazione della disciplina dell’art. 840-bis c.p.c. nelle ipotesi di cui all’art. 80.2 GDPR o un’integrazione di quella esistente. Ammettendo la possibilità che già ora l’art. 80.2 GDPR riserva e che la Corte di Giustizia ha confermato, per una maggiore e miglior tutela dei cittadini. Le associazioni di tutela degli interessi generali competenti non mancano nel nostro Paese e sulla spinta di questo assetto normativo potrebbero finalmente attuare class-action degne delle aspettative degli interessati.