In data 28 aprile 2022, la Corte di Giustizia si è pronunciata nelle Causa C‑319/20, Meta Platforms Ireland Limited controBundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V., sull’interpretazione dell’articolo 80, paragrafi 1 e 2, e dell’articolo 84, paragrafo 1, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1].
La domanda era stata presentata nell’ambito di una controversia tra la Meta Platforms Ireland Limited (“Meta”) e il Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (Unione federale delle centrali e delle associazioni di consumatori, Germania) in merito alla violazione, da parte della Meta, della normativa tedesca in materia di protezione dei dati personali, costituente al tempo stesso una pratica commerciale sleale, una violazione di una legge in materia di tutela dei consumatori nonché una violazione del divieto di utilizzazione di condizioni generali di contratto invalide.
Questi i fatti.
Accedendo a taluni giochi nello spazio virtuale denominato “App-Zentrum”, in cui la Meta metteva a disposizione, tra le altre cose, giochi gratuiti forniti da terzi, l’utente poteva veder comparire una serie di informazioni, dalle quali risultava che l’utilizzo dell’applicazione, da un lato, consentiva alla società fornitrice dei giochi di ottenere un certo numero di dati personali e l’autorizzava a procedere alla pubblicazione, a nome dell’utente, di determinate informazioni (quali, tra le altre, il suo punteggio) e, dall’altro, comportava l’accettazione da parte dell’utente delle condizioni generali dell’applicazione e della sua policy in materia di protezione dei dati. L‘Unione federale aveva proposto un’azione inibitoria[2] nei confronti della Meta dinanzi al Landgericht Berlin (Tribunale del Land di Berlino) ritenendo che la presentazione degli avvisi forniti fosse caratterizzata da slealtà per inosservanza dei requisiti legali applicabili alla raccolta di un valido consenso dell’utente secondo la normativa in materia di protezione dei dati[3].
Essendo stata condannata sia in primo che in secondo grado, la Meta aveva proposto ricorso per cassazione dinnanzi alBundesgerichtshof (Corte federale di giustizia; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di chiedere alla Corte di Giustizia se l’articolo 80, paragrafo 2[4], del GDPR debba essere interpretato nel senso che esso osta ad una normativa nazionale che consente ad un’associazione di tutela degli interessi dei consumatori di agire in giudizio in assenza di un mandato conferito a tale scopo, e indipendentemente dalla violazione dei diritti di uno specifico interessato, contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali, facendo valere la violazione del divieto di pratiche commerciali sleali, la violazione di una legge in materia di tutela dei consumatori o la violazione del divieto di utilizzazione di condizioni generali di contratto nulle.
La Corte ha preliminarmente ricordato che, sebbene il GDPR miri ad assicurare un’armonizzazione delle normative nazionali sulla protezione dei dati personali in linea di principio completa[5], alcune sue disposizioni offrono agli Stati Membri la possibilità di prevedere norme nazionali supplementari, più rigorose ovvero a carattere derogatorio, lasciando a costoro un margine di discrezionalità circa il modo in cui tali disposizioni possano essere attuate (c.d. “clausole di apertura”)[6]. Nell’esercitare tale facoltà, tuttavia, gli Stati Membri devono avvalersi del loro margine di discrezionalità alle condizioni ed entro i limiti previsti dalle disposizioni del GDPR, dovendo pertanto legiferare in modo da non pregiudicarne il contenuto e gli obiettivi.
Nel caso concreto, a seguito dell’entrata in vigore del GDPR il legislatore tedesco non aveva introdotto disposizioni particolari intese ad attuarne l’articolo 80, paragrafo 2, nel proprio ordinamento. Adottata al fine di assicurare la trasposizione della Direttiva 2009/22[7], infatti, la legge contro la concorrenza sleale permette già alle associazioni di tutela dei consumatori di agire in giudizio contro il presunto autore di un atto pregiudizievole alla protezione dei dati personali, di talché occorre verificare se essa rientri nel margine di discrezionalità riconosciuto a ciascuno Stato Membro dall’articolo 80, paragrafo 2, del GDPR ed interpretare così tale disposizione tenendo conto del suo tenore letterale nonché dell’economia generale e degli obiettivi del regolamento.
A tale riguardo, la Corte ha in primo luogo rilevato che un’associazione di tutela dei consumatori, come l’Unione federale, soddisfa i criteri di cui all’articolo 80, paragrafo 1[8], del GDPR in quanto persegue un obiettivo di interesse pubblico consistente nell’assicurare i diritti e le libertà degli interessati nella loro qualità di consumatori, posto che la realizzazione di un tale obiettivo può essere correlata anche alla protezione dei dati personali di questi ultimi. La violazione delle norme di tutela dei consumatori e la lotta contro le pratiche commerciali sleali, infatti, possono essere correlate, come nel caso concreto, alla violazione di quelle in materia di protezione dei dati personali dei consumatori stessi.
In secondo luogo, ai fini dell’esercizio di un’azione rappresentativa ai sensi dell’articolo 80, paragrafo 2, del GDPR non si può richiedere che un ente rispondente ai requisiti menzionati al paragrafo 1 dello stesso articolo proceda alla previa identificazione individuale delle persone specificamente interessate dal trattamento di dati asseritamente contrario alle disposizioni del regolamento, essendo al contrario sufficiente anche la designazione di una categoria o di un gruppo di persone pregiudicate dal trattamento. L’esercizio di un’azione rappresentativa, inoltre, non è neppure subordinato all’esistenza di una violazione concreta dei diritti di cui una persona beneficia sulla base delle norme in materia di protezione dei dati, in quanto esso presuppone soltanto che l’ente di cui trattasi ritenga che i diritti di un interessato conferiti dal GDPR siano stati violati in seguito al trattamento dei suoi dati personali, e dunque, che tale ente faccia valere l’esistenza di un trattamento contrario al regolamento stesso. Di conseguenza, per riconoscere la legittimazione ad agire ad un tale ente, è sufficiente far valere che il trattamento di dati controverso è idoneo a pregiudicare i diritti che persone fisiche identificate o identificabili si vedono riconosciuti dal regolamento, senza che sia necessario provare un danno reale subito dall’interessato, in una situazione determinata, a causa della lesione dei suoi diritti.
Poiché, infine, la violazione di una norma relativa alla protezione dei dati personali può simultaneamente comportare la violazione di quelle relative alla tutela dei consumatori o alle pratiche commerciali sleali, l’articolo 80, paragrafo 2, del GDPR non osta a che gli Stati Membri esercitino la facoltà che essa offre nel senso che le associazioni di tutela dei consumatori siano legittimate ad agire contro violazioni dei diritti previsti dal regolamento per il tramite, eventualmente, di norme aventi per loro finalità la tutela dei consumatori o la lotta contro le pratiche commerciali sleali.
Di conseguenza, la Corte ha statuito che:
“L’articolo 80, paragrafo 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che esso non osta ad una normativa nazionale che consente ad un’associazione di tutela degli interessi dei consumatori di agire in giudizio, in assenza di un mandato che le sia stato conferito a tale scopo e indipendentemente dalla violazione di specifici diritti degli interessati, contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali, facendo valere la violazione del divieto di pratiche commerciali sleali, la violazione di una legge in materia di tutela dei consumatori o la violazione del divieto di utilizzazione di condizioni generali di contratto nulle, qualora il trattamento di dati in questione sia idoneo a pregiudicare i diritti riconosciuti da tale regolamento a persone fisiche identificate o identificabili”.
[1] GUUE L 119 del 04.05.2016.
[2] A norma dell’articolo 3, paragrafo 1, prima frase, punto 1, del Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (legge relativa alle azioni inibitorie in caso di violazioni della normativa a tutela dei consumatori e di altre violazioni), gli organismi aventi legittimazione ad agire, ai sensi dell’articolo 4 di tale legge, possono, da un lato, chiedere, a norma dell’articolo 1 della medesima legge, la cessazione dell’utilizzo di condizioni generali di contratto nulle ai sensi dell’articolo 307 del Bürgerliches Gesetzbuch(codice civile) e, dall’altro, chiedere la cessazione delle violazioni della normativa in materia di tutela dei consumatori, ai sensi dell’articolo 2, paragrafo 2, della legge in parola.
[3] L’articolo 3a del Gesetz gegen den unlauteren Wettbewerb (legge contro la concorrenza sleale) dispone: “… Commette un atto sleale colui il quale violi una disposizione di legge che sia altresì destinata a disciplinare il comportamento sul mercato nell’interesse dei soggetti partecipanti al mercato stesso, nel caso in cui la violazione sia idonea a pregiudicare in maniera sensibile gli interessi dei consumatori, di altri soggetti partecipanti al mercato o dei concorrenti…”.
[4] L’articolo 80 del GDPR, intitolato “Rappresentanza degli interessati”, al paragrafo 2 dispone: “… Gli Stati membri possono prevedere che un organismo, organizzazione o associazione di cui al paragrafo 1 del presente articolo, indipendentemente dal mandato conferito dall’interessato, abbia il diritto di proporre, in tale Stato membro, un reclamo all’autorità di controllo competente, e di esercitare i diritti di cui agli articoli 78 e 79, qualora ritenga che i diritti di cui un interessato gode a norma del presente regolamento siano stati violati in seguito al trattamento…”.
[5] L’articolo 1 GDPR, intitolato “Oggetto e finalità”, al paragrafo 1 dispone: “… Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati…”.
[6] CGUE 15.06.2021, Causa C‑645/19, Facebook Ireland e a., punto 110.
[7] Direttiva 2009/22/CE del Parlamento europeo e del Consiglio, del 23 aprile 2009, relativa a provvedimenti inibitori a tutela degli interessi dei consumatori, GUUE L 110 del 01.05.2009.
[8] L’articolo 80 del GDPR al paragrafo 1 dispone: “… L’interessato ha il diritto di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, di proporre il reclamo per suo conto e di esercitare per suo conto i diritti di cui agli articoli 77, 78 e 79 nonché, se previsto dal diritto degli Stati membri, il diritto di ottenere il risarcimento di cui all’articolo 82…”.