In data 2 dicembre 2021, l’Avvocato Generale De la Tour ha presentato le sue Conclusioni nella Causa C‑319/20, Facebook Ireland Limited contro Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V., sull’interpretazione dell’articolo 80, paragrafo 2, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1]. La domanda pregiudiziale su cui la Corte di Giustizia è destinata a pronunziarsi era stata presentata nell’ambito di una controversia insorta in Germania tra il Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (Unione federale delle organizzazioni e associazioni di consumatori; “Unione federale”) e Facebook Ireland Limited (“Facebook”), in relazione ad una violazione della normativa tedesca in materia di protezione dei dati personali integrante, nel contempo, una pratica commerciale sleale, una violazione di norme poste a tutela dei consumatori ed una violazione del divieto di applicare condizioni generali invalide.
Questi i fatti.
Accedendo a taluni giochi nello spazio denominato “App-Zentrum”, in cui Facebook metteva a disposizione, tra le altre cose, giochi gratuiti forniti da terzi, l’utente poteva veder comparire una serie di informazioni cliccando il pulsante “Sofort spielen” (“giocare subito”), dalle quali risultava che l’utilizzo dell’applicazione, da un lato, consentiva alla società fornitrice dei giochi di ottenere un certo numero di dati personali e l’autorizzava a procedere alla pubblicazione, a nome dell’utente, di determinate informazioni e, dall’altro, comportava l’accettazione da parte dell’utente delle condizioni generali dell’applicazione e della sua policy in materia di protezione dei dati. L’Unione federale aveva proposto un’azione inibitoria nei confronti di Facebook dinanzi al Landgericht Berlin (Tribunale del Land di Berlino) ritenendo che la presentazione degli avvisi forniti cliccando il pulsante “Sofort spielen” fosse caratterizzata da slealtà per inosservanza dei requisiti legali applicabili alla raccolta di un valido consenso dell’utente secondo la normativa in materia di protezione dei dati.
Essendo stata condannata sia in primo che in secondo grado, Facebook aveva proposto un ricorso per cassazione dinnanzi al Bundesgerichtshof (Corte federale di giustizia; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di chiedere alla Corte di Giustizia se il Regolamento 2016/679, ed in particolare il suo articolo 80, paragrafo 2[2], debba essere interpretato nel senso che osta a una normativa nazionale che consente alle associazioni per la tutela degli interessi dei consumatori di agire in giudizio nei confronti del presunto autore di una lesione dei diritti attribuiti in materia di protezione dei dati personali, invocando il divieto delle pratiche commerciali sleali, la violazione di norme poste a tutela dei consumatori o il divieto di applicare condizioni generali invalide.
Secondo l’AG, l’avvio di un’azione rappresentativa ai sensi dell’articolo 80, paragrafo 2, del GDPR presuppone unicamente che sia dedotta in giudizio l’esistenza di un trattamento di dati personali contrario alle disposizioni del regolamento ed idoneo a ledere i diritti di persone identificate o identificabili, senza che la legittimazione ad agire dell’ente sia assoggettata alla verifica caso per caso della lesione dei diritti di una o più persone determinate. Tale azione, pertanto, può essere fondata sull’allegazione della violazione dei diritti che una persona fisica può ritrarre dal GDPR a seguito di un trattamento dei suoi dati personali, non mirando a tutelare un diritto oggettivo, e bensì soltanto i diritti soggettivi che agli interessati rivengono direttamente dal regolamento stesso; di talché, affinché un ente esponenziale sia legittimato ad agire in forza dell’articolo 80, paragrafo 2 è sufficiente che alleghi la violazione di disposizioni del GDPR finalizzate a tutelare i diritti soggettivi degli interessati. Un’interpretazione dell’articolo 80, paragrafo 2, del GDPR secondo cui, per poter esercitare un’azione rappresentativa senza mandato, un ente dovrebbe dimostrare od allegare che una persona determinata è stata lesa nei suoi diritti in una situazione specifica, infatti, limiterebbe eccessivamente l’ambito di applicazione della disposizione stessa.
La tesi favorevole ad un’interpretazione restrittiva dell’articolo 80, paragrafo 2, del GDPR, inoltre, contrappone erroneamente la tutela degli interessi collettivi dei consumatori e la protezione dei diritti riconosciuti ad ogni singolo oggetto di un trattamento che si allega contrario al regolamento; al contrario. la difesa degli interessi collettivi dei consumatori integra la protezione di diritti soggettivi che gli interessati ritraggono direttamente dal GDPR. Di conseguenza, secondo l’AG l’articolo 80, paragrafo 2, del GDPR autorizza gli Stati Membri a prevedere che gli enti esponenziali possano, senza il mandato degli interessati, proporre azioni rappresentative dirette a proteggere gli interessi collettivi dei consumatori, quando sia dedotta la violazione di disposizioni del regolamento in questione che conferiscono diritti soggettivi.
Ciò si è verificato nel caso dell’azione inibitoria proposta dall’Unione federale nei confronti di Facebook. Quest’ultima, infatti, è venuta meno all’obbligo[3] di fornire all’interessato, in forma concisa, trasparente, intelligibile e facilmente accessibile, e con un linguaggio semplice e chiaro, le informazioni relative alla finalità del trattamento dei dati e al destinatario dei dati personali di cui all’articolo 13 del GDPR[4]. Poiché tale disposizione rientra nell’ambito di quelle che conferiscono agli interessati dei diritti soggettivi, la protezione di questi ultimi può essere reclamata sia direttamente dagli interessati sia da un ente legittimato ai sensi del GDPR o delle disposizioni nazionali che danno attuazione al suo articolo 80, paragrafo 2.
L’articolo 80, paragrafo 2, del GDPR, inoltre, non osta alle disposizioni nazionali che autorizzano un’associazione per la tutela degli interessi dei consumatori ad esercitare un’azione inibitoria al fine di garantire il rispetto dei diritti conferiti dal regolamento mediante norme volte a proteggere i consumatori o a contrastare le pratiche commerciali sleali. Tali norme possono infatti includere disposizioni simili a quelle contenute nel GDPR, in particolare, per quanto attiene alle informazioni che devono essere fornite agli interessati in merito al trattamento dei loro dati personali, di talché la violazione di una norma in materia di dati personali può contemporaneamente integrare la violazione di norme concernenti la protezione dei consumatori o le pratiche commerciali sleali. Di conseguenza, contrasterebbe con l’obiettivo di garantire un elevato livello di protezione dei dati personali impedire agli Stati Membri di prevedere azioni che, pur perseguendo un obiettivo di protezione dei consumatori, contribuiscano anche a conseguire l’obiettivo della protezione dei dati personali.
Alla luce di quanto detto finora, l’AG ha pertanto suggerito alla Corte di statuire che:
“L’articolo 80, paragrafo 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che non osta a una normativa nazionale che consente alle associazioni per la tutela degli interessi dei consumatori di agire in giudizio contro il presunto autore di una lesione della protezione dei dati personali, invocando il divieto di pratiche commerciali sleali, la violazione di norme poste a tutela dei consumatori o il divieto di applicare condizioni generali invalide, se l’azione rappresentativa di cui trattasi mira a ottenere il rispetto di diritti che le persone oggetto del trattamento contestato traggono direttamente da detto regolamento”.
[1] GUUE L 119 del 04.05.2016.
[2] L’articolo 80 del GDPR, intitolato “Rappresentanza degli interessati”, al paragrafo 2 dispone: “… Gli Stati membri possono prevedere che un organismo, organizzazione o associazione di cui al paragrafo 1 del presente articolo, indipendentemente dal mandato conferito dall’interessato, abbia il diritto di proporre, in tale Stato membro, un reclamo all’autorità di controllo competente, e di esercitare i diritti di cui agli articoli 78 e 79, qualora ritenga che i diritti di cui un interessato gode a norma del presente regolamento siano stati violati in seguito al trattamento…”.
[3] L’articolo 12 del GDPR, intitolato “Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato”, al paragrafo 1 dispone: “… Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato…”.
[4] L’articolo 13 del GDPR, intitolato “Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato”, al paragrafo 1 dispone: “… In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;
c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili…”.