Corte UE : azioni delle associazioni di tutela dei consumatori su protezione dei dati personali

La pronuncia della Corte UE in commento conferma che le associazioni di tutela dei consumatori possono esercitare azioni rappresentative contro atti pregiudizievoli per la protezione dei dati personali ai sensi del GDPR .

Di seguito una nota tratta dal comunicato stampa diramato dalla Corte UE.

*

La Meta Platforms Ireland, già Facebook Ireland, è la titolare del trattamento di dati personali degli utenti del social network on line Facebook nell’Unione. 

L’Unione federale delle centrali e delle associazioni di consumatori (Germania) proponeva un’azione inibitoria contro la Meta Platforms Ireland, contestandole di aver violato, nell’ambito della messa a disposizione degli utenti di giochi gratuiti forniti da terzi, delle norme relative alla protezione dei dati personali, alla lotta contro la concorrenza sleale e alla tutela dei consumatori. 

In particolare, al momento della consultazione dell’Area Applicazioni di alcuni di questi giochi, l’utente vede apparire l’indicazione secondo cui l’utilizzazione dell’applicazione in questione permette alla società fornitrice di giochi di ottenere un certo numero di dati personali e la autorizza a procedere alla pubblicazione di alcuni di questi dati a nome dell’utente in questione.

Tale utilizzazione implicava l’accettazione, da parte dell’utente, delle condizioni generali dell’applicazione e della sua politica in materia di protezione dei dati. 

La Corte federale di giustizia (Germania) osservava che l’azione proposta dall’Unione federale sarebbe fondata, ma nutre dei dubbi riguardo alla sua ricevibilità. 

Infatti, detto giudice si interrogava in merito alla questione se un’associazione per la tutela degli interessi dei consumatori, come l’Unione federale, disponga ancora, successivamente all’entrata in vigore del regolamento generale sulla protezione dei dati (GDPR), del potere di agire in giudizio, instaurando un’azione dinanzi ai giudici civili, di fronte a violazioni di tale regolamento, e ciò indipendentemente dalla violazione concreta di diritti di soggetti individualmente interessati e in assenza di un mandato conferito da questi ultimi.

Inoltre, detto giudice osservava che dal GDPR è possibile dedurre che incombe principalmente alle autorità di controllo verificare l’applicazione di tale regolamento. 

Mediante la sentenza in commento, la Corte UE constata che il GDPR non osta ad una normativa nazionale, la quale permetta ad un’associazione di tutela degli interessi dei consumatori di agire in giudizio, in assenza di un mandato che le sia stato conferito a questo scopo e indipendentemente dalla violazione di specifici diritti degli interessati, contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali, facendo valere la violazione del divieto delle pratiche commerciali sleali, la violazione di una legge in materia di tutela dei consumatori o la violazione del divieto di utilizzazione di condizioni generali di contratto nulle, qualora il trattamento di dati in questione sia idoneo a pregiudicare i diritti che delle persone fisiche identificate o identificabili si vedono riconosciuti dal regolamento summenzionato. 

In via preliminare, la Corte rileva che il GDPR ha realizzato un’armonizzazione in linea di principio completa delle normative nazionali in materia di protezione dei dati personali.

Tuttavia, alcune disposizioni del GDPR offrono la possibilità agli Stati membri di prevedere norme nazionali supplementari che lascino a questi ultimi un margine di discrezionalità circa il modo in cui tali disposizioni possono essere attuate, a condizione che le norme nazionali adottate non pregiudichino il contenuto e gli obiettivi del regolamento summenzionato.

In proposito, essi hanno segnatamente la possibilità di prevedere un meccanismo di azione rappresentativa contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali, enunciando al contempo un certo numero di requisiti che devono essere rispettati. 

La Corte sottolinea anzitutto che un’associazione per la tutela degli interessi dei consumatori, come l’Unione federale, rientra nella nozione di «organismo legittimato ad agire» ai sensi del GDPR in quanto essa persegue un obiettivo di interesse pubblico consistente nell’assicurare i diritti dei consumatori.

Infatti, la violazione di norme relative alla tutela dei consumatori o alle pratiche commerciali sleali può essere correlata alla violazione di una norma relativa alla protezione dei dati personali. 

La Corte evidenzia poi che l’instaurazione di un’azione rappresentativa presuppone che un’associazione siffatta, indipendentemente da qualsiasi mandato che le sia stato conferito, «ritenga» che i diritti di un interessato previsti dal GDPR siano stati violati a motivo del trattamento dei suoi dati personali, senza che sia necessario identificare, individualmente e preliminarmente, la persona specificamente interessata dal suddetto trattamento di dati ed allegare l’esistenza di una specifica violazione dei diritti riconosciuti dalle norme in materia di protezione dei dati. 

Un’interpretazione siffatta è conforme all’obiettivo perseguito dal GDPR consistente segnatamente nell’assicurare un elevato livello di protezione dei dati personali. 

Infine, secondo la Corte, il GDPR non osta a delle disposizioni nazionali, le quali prevedano l’esercizio di azioni rappresentative dinanzi a violazioni dei diritti conferiti da tale regolamento tramite, eventualmente, norme aventi una finalità di protezione dei consumatori o di lotta contro le pratiche commerciali sleali. 

Il provvedimento è disponibile al SEGUENTE LINK

29 aprile 2022

Segui e condividi i nostri contenuti anche sui social network...