In data 11 luglio 2024, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C‑757/22, Meta Platforms Ireland Ltdcontro Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV, sull’interpretazione dell’articolo 80, paragrafo 2 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1] in combinato disposto con l’articolo 12, paragrafo 1, prima frase, e l’articolo 13, paragrafo 1, lettere c) ed e), di tale regolamento. Tale domanda era stata presentata nell’ambito di una controversia tra la Meta Platforms Ireland Ltd (“Meta”), la cui sede sociale si trova in Irlanda, e il Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV (Unione federale tedesca delle centrali e delle associazioni di consumatori) in merito alla violazione, da parte della Meta, della normativa tedesca in materia di protezione dei dati personali, costituente al tempo stesso una pratica commerciale sleale, una violazione di una legge in materia di tutela dei consumatori e una violazione del divieto di utilizzazione di condizioni generali di contratto nulle.
Questi i fatti.
La Meta gestisce l’offerta nell’Unione dei servizi del social network on line Facebook, la cui piattaforma conteneva uno spazio denominato “App-Zentrum” (Area Applicazioni) nel quale essa metteva a disposizione degli utenti applicazioni di giochi gratuite fornite da terzi. Più particolarmente, al momento della consultazione di tale spazio l’utente era informato del fatto che i) utilizzando alcune di tali applicazioni, egli consentiva loro di raccogliere diversi dati personali, ii) autorizzava le stesse a pubblicare a suo nome alcuni di tali dati, e iii) utilizzando le applicazioni in questione accettava le loro condizioni generali nonché la loro politica in materia di protezione dei dati. Ritenendo che le informazioni fornite dalle app di giochi interessate nell’Area Applicazioni fossero sleali in quanto non rispettavano le condizioni legali per ottenere un valido consenso dell’utente in forza delle norme in materia di dati personali, l’Unione federale aveva proposto dinanzi al Landgericht Berlin (Tribunale del Land di Berlino) un’azione inibitoria al fine di vietare alla Meta di presentare app come quelle in questione.
Poiché il Tribunale del Land di Berlino aveva accolto le domande dell’Unione federale, la Meta aveva adito il Kammergericht Berlin(Tribunale superiore del Land di Berlino), che tuttavia ne aveva respinto il ricorso. Di conseguenza, la Meta si era rivolta al Bundesgerichtshof (Corte federale di giustizia; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di chiedere alla Corte di Giustizia se l’articolo 80, paragrafo 2[2], del GDPR debba essere interpretato nel senso che la condizione secondo cui un ente legittimato, per poter proporre un’azione rappresentativa ai sensi di tale disposizione, deve affermare di ritenere che i diritti di cui, a norma di tale regolamento, gode un interessato da un trattamento di dati personali, siano stati violati “in seguito al trattamento”, ai sensi di detta disposizione, è soddisfatta qualora una siffatta azione sia fondata sulla violazione dell’obbligo incombente al titolare del trattamento in forza dell’articolo 12, paragrafo 1, prima frase[3], e dell’articolo 13, paragrafo 1, lettere c) ed e)[4], del medesimo regolamento, di comunicare all’interessato, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, le informazioni relative alla finalità di tale trattamento di dati nonché ai destinatari di tali dati, al più tardi al momento della raccolta di questi ultimi.
La Corte ha preliminarmente ricordato che l’esercizio dell’azione rappresentativa prevista dall’articolo 80, paragrafo 2, del GDPR da parte di un ente rispondente ai requisiti menzionati al paragrafo 1 presuppone che quest’ultimo, indipendentemente da qualsiasi mandato che gli sia stato conferito, ritenga che i diritti di cui un interessato gode a norma di tale regolamento siano stati violati in seguito al trattamento dei suoi dati personali[5]. A tale riguardo, l’esercizio di un’azione rappresentativa non è subordinato segnatamente all’esistenza di una violazione concreta dei diritti di cui una persona beneficia sulla base delle norme in materia di protezione dei dati, di modo che, per riconoscere la legittimazione ad agire di un tale ente, è sufficiente far valere che il trattamento di dati controverso è idoneo a pregiudicare i diritti che persone fisiche identificate o identificabili si vedono riconosciuti dal GDPR, senza che sia necessario provare un danno reale subito dall’interessato, in una situazione determinata, a causa della lesione dei suoi diritti[6]. La proposizione di un’azione rappresentativa, tuttavia, presuppone che l’ente menzionato ritenga che i diritti di un interessato previsti dal GDPR siano stati violati in seguito al trattamento dei suoi dati personali, e dunque che tale ente faccia valere l’esistenza di un trattamento di dati che esso ritiene essere contrario a disposizioni del regolamento stesso[7]. Di conseguenza, la proposizione di un’azione rappresentativa sulla base dell’articolo 80, paragrafo 2, del GDPR comporta che la violazione dei diritti che l’interessato trae da tale regolamento avvenga in occasione di un trattamento di dati personali.
Tutto ciò premesso, l’obiettivo perseguito dal GDPR consiste nel garantire un elevato livello di protezione dei diritti e delle libertà fondamentali delle persone fisiche, in particolare del loro diritto alla vita privata, con riguardo al trattamento dei dati personali[8]. A tale fine, qualsiasi trattamento di dati personali deve, da un lato, essere conforme ai principi enunciati all’articolo 5[9] del GDPR e soddisfare le condizioni di liceità elencate al suo articolo 6[10] e, dall’altro, rispettare i diritti dell’interessato di cui agli articoli da 12 a 22[11]. Più particolarmente, un trattamento di dati personali deve soddisfare requisiti concreti in materia di trasparenza nei confronti dell’interessato. A tal fine, il GDPR, da un lato, prevede obblighi precisi per il titolare del trattamento e, dall’altro, riconosce una serie di diritti all’interessato, tra i quali figura, segnatamente, quello di ottenere dal primo informazioni sulle finalità di tale trattamento e sui destinatari concreti ai quali i dati personali che lo riguardano sono stati o saranno comunicati[12].
Di conseguenza, l’obbligo di informazione che incombe al titolare nei confronti degli interessati da un trattamento di dati personali costituisce il corollario del diritto di informazione riconosciuto loro dagli articoli 12 e 13 del GDPR, e fa quindi parte dei diritti che l’azione rappresentativa prevista all’articolo 80, paragrafo 2, di tale regolamento mira a tutelare. L’asserita violazione del diritto degli interessati di essere sufficientemente informati di tutte le circostanze che accompagnano un trattamento di dati personali, inoltre, può ostare all’espressione di un consenso informato ai sensi del GDPR, ciò che può rendere illecito il trattamento in questione ai sensi dell’articolo 5, paragrafo 1, di tale regolamento. La validità del consenso prestato dall’interessato, infatti, dipende, tra le altre cose, dalla questione se tale soggetto abbia previamente ottenuto le informazioni riguardanti tutte le circostanze relative al trattamento dei dati in questione alle quali aveva diritto, in forza degli articoli 12 e 13 del GDPR, e che gli consentono di dare un consenso con piena cognizione di causa. Nei limiti in cui un trattamento di dati personali effettuato in violazione del diritto di informazione che l’interessato trae dagli articoli 12 e 13 del GDPR viola i requisiti stabiliti all’articolo 5 di tale regolamento, pertanto, occorre considerare la violazione di tale diritto d’informazione come una violazione dei diritti dell’interessato in seguito al trattamento ai sensi dell’articolo 80, paragrafo 2, di tale regolamento.
Alla luce di quanto detto finora, la Corte ha perciò statuito che:
“L’articolo 80, paragrafo 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), dev’essere interpretato nel senso che la condizione secondo cui un ente legittimato, per poter proporre un’azione rappresentativa in forza di tale disposizione, deve far valere di ritenere che i diritti di un interessato previsti da tale regolamento siano stati violati «in seguito al trattamento», ai sensi di detta disposizione, è soddisfatta qualora tale ente faccia valere che la violazione dei diritti di tale persona interviene in occasione di un trattamento di dati personali e che essa deriva dall’inadempimento dell’obbligo incombente al titolare del trattamento ai sensi dell’articolo 12, paragrafo 1, prima frase, e dell’articolo 13, paragrafo 1, lettere c) ed e), di detto regolamento, di comunicare all’interessato da tale trattamento di dati, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, le informazioni relative alla finalità di tale trattamento di dati nonché ai destinatari di tali dati, al più tardi al momento della raccolta di questi ultimi”.
[1] GUUE L 119 del 04.05.2016.
[2] L’articolo 80 GDPR, intitolato “Rappresentanza degli interessati”, al paragrafo 2 dispone: “… Gli Stati membri possono prevedere che un organismo, organizzazione o associazione di cui al paragrafo 1 del presente articolo, indipendentemente dal mandato conferito dall’interessato, abbia il diritto di proporre, in tale Stato membro, un reclamo all’autorità di controllo competente, e di esercitare i diritti di cui agli articoli 78 e 79, qualora ritenga che i diritti di cui un interessato gode a norma del presente regolamento siano stati violati in seguito al trattamento…”.
[3] L’articolo 12 GDPR, intitolato “Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato”, al paragrafo 1 dispone: “… Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato…”.
[4] L’articolo 13 GDPR, intitolato “Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato”, al paragrafo 1 lettere c) ed e) dispone: “… In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
(…)
c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
(…)
e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali…”.
[5] CGUE 28.04.2022, Causa C‑319/20, Meta Platforms Ireland, punto 67.
[6] Ibidem, punti 70 e 72.
[7] Ibidem, punto 71.
[8] CGUE 07.03.2024, Causa C‑604/22, IAB Europe, punto 53.
[9] L’articolo 5 GDPR, intitolato “Principi applicabili al trattamento di dati personali”, al paragrafo 1 dispone: “… I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)…”.
[10] L’articolo 6 GDPR, intitolato “Liceità del trattamento”, al paragrafo 1 dispone: “… Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.
La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti…”.
[11] CGUE 24.02.2022, Causa C‑175/20, Valsts ieņēmumu dienests (Trattamento dei dati personali a fini fiscali), punti 50 e 61; CGUE 06.10.2020, Cause riunite C‑511/18, C‑512/18 e C‑520/18, La Quadrature du Net e a., punto 208.
[12] CGUE 22.06.2023, Causa C‑579/21, Pankki S, punto 48.