Con sentenza della Corte di giustizia dell’Unione europea (“CJEU”) del 28 aprile 2022 resa nella causa C-319/20, la Corte afferma che le associazioni a tutela dei consumatori possono esercitare azioni contro lesioni per presunte violazioni privacy del GDPR, anche in assenza di delega specifica della persona danneggiata.
La pronuncia si pone in un quadro interessante: la vicenda, infatti, trattata dalla CJEU, ha riguardato la società Meta Platforms Ireland (ex Facebook) che avrebbe proposto sulle sue piattaforme giochi gratuiti messi a disposizione degli utenti. Alcune associazioni di consumatori tedesche avrebbero dunque contestato la violazione di norme relative alla privacy, alla lotta contro la concorrenza sleale e alla tutela dei consumatori. Il principale problema affrontate dai giudici, però, riguarda una questione giuridica che potrebbe significare un punto di svolta importante per le associazioni dei consumatori: è infatti possibile per un’associazione di consumatori agire in giudizio per violazioni del GDPR, indipendentemente dalla violazione concreta di diritti di soggetti individualmente interessati e in assenza di un mandato conferito da questi ultimi? La risposta della Corte è sì: “l’RGPD non osta ad una normativa nazionale, la quale permetta ad un’associazione di tutela degli interessi dei consumatori di agire in giudizio, in assenza di un mandato che le sia stato conferito a questo scopo e indipendentemente dalla violazione di specifici diritti degli interessati, contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali, facendo valere la violazione del divieto delle pratiche commerciali sleali, la violazione di una legge in materia di tutela dei consumatori o la violazione del divieto di utilizzazione di condizioni generali di contratto nulle, qualora il trattamento di dati in questione sia idoneo a pregiudicare i diritti che delle persone fisiche identificate o identificabili si vedono riconosciuti dal regolamento summenzionato”.
Dunque, per la CJEU, le associazioni per la tutela degli interessi dei consumatori rientra nella nozione di organismo legittimato ad agire per la tutela della privacy ai sensi del GDPR in quanto persegue un obiettivo di interesse pubblico consistente nell’assicurazione i diritti dei consumatori, dunque anche senza mandato specifico. Per la CJEU ogni stato europeo può attuare l’art. 80 GDPR e prevedere che un’associazione abbia il diritto di proporre un’azione civile e anche un reclamo alle autorità di controllo per violazioni del GDPR: tuttavia, affinché questa azione senza mandato possa essere esercitata, deve essere prevista da una normativa nazionale.
Questa previsione potrebbe ampiare la portata delle class action che, a seguito della recente riforma, possono essere esperite anche per violazioni relative alla normativa sul trattamento dei dati personali, senza una limitazione per materia che era prevista precedentemente. Tuttavia, la class action prevede la creazione della classe prima di agire, mentre l’azione prevista dalla Corte di Giustizia europea è indipendente dalle azioni dei singoli individui.
Si potrebbe però trattare di una sentenza pericolosa: mentre nelle class action è necessario provare l’identità del danno subito dai componenti della classe, che cosa si prevederà invece per le azioni delle associazioni dei consumatori? Si tratta di una mera azione inibitoria, come quella già prevista dal Codice del Consumo, o le associazioni potranno chiedere anche il risarcimento di un danno?
Su un simile argomento, potrebbe essere interessante il seguente articolo: “Lloyd vs Google segna la fine della class action nella privacy?”