Causa C‑319/20

Meta Platforms Ireland Limited, già Facebook Ireland Limited

contro

Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband e.V.

(domanda di pronuncia pregiudiziale, proposta dal Bundesgerichtshof)

 Sentenza della Corte (Terza Sezione) del 28 aprile 2022

«Rinvio pregiudiziale – Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articolo 80 – Rappresentanza degli interessati da parte di un’associazione senza scopo di lucro – Azione rappresentativa intentata da un’associazione di tutela degli interessi dei consumatori in assenza di un mandato e indipendentemente dalla violazione di specifici diritti di un interessato – Azione fondata sul divieto delle pratiche commerciali sleali, sulla violazione di una legge in materia di tutela dei consumatori o sul divieto di utilizzo di condizioni generali di contratto nulle»

Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Rappresentanza degli interessati – Legittimazione ad agire – Associazione di tutela degli interessi dei consumatori – Azione rappresentativa intentata da tale associazione in assenza di un mandato e indipendentemente dalla violazione di specifici diritti di un interessato – Azione fondata sulla violazione delle norme relative alla tutela dei consumatori o alla lotta contro le pratiche commerciali sleali – Ammissibilità – Presupposto

(Regolamento del Parlamento europeo e del Consiglio 2016/679, art. 80, § 2)

(v. punti 57-60, 63-79, 83 e disp.)

Sintesi

La Meta Platforms Ireland gestisce l’offerta dei servizi del social network on line Facebook ed è la titolare del trattamento dei dati personali degli utenti di tale social network nell’Unione. La piattaforma Internet Facebook contiene, all’indirizzo Internet www.facebook.de, uno spazio denominato «App‑Zentrum» (Area Applicazioni) nel quale la Meta Platforms Ireland mette a disposizione degli utenti giochi gratuiti forniti da terzi. Quando consulta alcuni di questi giochi, l’utente viene avvisato che l’utilizzazione dell’applicazione in questione permette alla società fornitrice dei giochi di ottenere un certo numero di dati personali e la autorizza a procedere a pubblicazioni di dati a suo nome. Mediante l’utilizzazione di quest’applicazione, l’utente ne accetta le condizioni generali e la politica in materia di protezione dei dati. Inoltre, nel caso di un particolare gioco, l’utente viene informato che l’applicazione è autorizzata a pubblicare foto e altre informazioni a suo nome.

L’Unione federale tedesca delle centrali e delle associazioni di consumatori (1) riteneva che le informazioni fornite dai giochi in questione nell’Area Applicazioni fossero sleali. Pertanto, in quanto organismo che dispone della legittimazione ad agire al fine di chiedere la cessazione delle violazioni della normativa in materia di tutela dei consumatori (2), l’Unione federale ha proposto un’azione inibitoria contro la Meta Platforms Ireland. Tale azione è stata proposta in assenza di una specifica violazione del diritto alla tutela dei dati di un interessato e in assenza di un mandato conferito da quest’ultimo. La decisione che ha accolto tale domanda in primo grado è stata impugnata in appello dalla Meta Platforms Ireland, la quale, vistosi respinto il gravame, ha successivamente proposto un ricorso dinanzi al Bundesgerichtshof (Corte federale di giustizia, Germania). Nutrendo dei dubbi riguardo alla ricevibilità dell’azione proposta dall’Unione federale, e segnatamente in merito alla sua legittimazione ad agire contro la Meta Platforms Ireland, tale giudice si è rivolto alla Corte.

Con la sua sentenza, la Corte statuisce che l’articolo 80, paragrafo 2, del regolamento generale sulla protezione dei dati (3) non osta a che un’associazione di tutela degli interessi dei consumatori possa agire in giudizio, in assenza di un mandato che le sia stato conferito a tale scopo e indipendentemente dalla violazione di specifici diritti degli interessati, contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali, facendo valere la violazione del divieto delle pratiche commerciali sleali, la violazione di una legge in materia di tutela dei consumatori o la violazione del divieto di utilizzazione di condizioni generali di contratto nulle. Tale azione è esperibile qualora il trattamento di dati in questione sia idoneo a pregiudicare i diritti che delle persone fisiche identificate o identificabili si vedono riconosciuti dal RGPD.

Giudizio della Corte

Anzitutto, la Corte ricorda che, se invero il RGPD (4) mira ad assicurare un’armonizzazione, in linea di principio completa, delle normative nazionali in materia di protezione dei dati personali, l’articolo 80, paragrafo 2, di tale regolamento fa parte delle disposizioni che lasciano agli Stati membri un margine di discrezionalità riguardo alla loro attuazione (5). Pertanto, affinché l’azione rappresentativa senza mandato in materia di protezione dei dati personali prevista da tale disposizione possa essere esercitata, gli Stati membri devono far uso della facoltà ad essi offerta da quest’ultima di prevedere nel loro diritto nazionale tale modalità di rappresentanza degli interessati. Tuttavia, nel far uso di questa facoltà, gli Stati membri devono utilizzare il loro margine di discrezionalità alle condizioni ed entro i limiti previsti dall’RGPD e legiferare in modo da non pregiudicare il contenuto e gli obiettivi di tale regolamento.

Poi, la Corte sottolinea che, offrendo agli Stati membri la possibilità di prevedere un meccanismo di azione rappresentativa contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali, l’articolo 80, paragrafo 2, dell’RGPD prevede un certo numero di requisiti da rispettare. Infatti, in primo luogo, la legittimazione ad agire viene riconosciuta ad un organismo, ad un’organizzazione o ad un’associazione che soddisfi i criteri elencati dall’RGPD (6). In tale nozione può rientrare un’associazione di tutela degli interessi dei consumatori, come l’Unione federale, la quale persegua un obiettivo di interesse pubblico consistente nell’assicurare i diritti e le libertà delle persone interessate nella loro qualità di consumatori, in quanto la realizzazione di un obiettivo siffatto può essere collegata alla protezione dei dati personali di queste ultime. In secondo luogo, l’esercizio della suddetta azione rappresentativa presuppone che l’entità in questione, indipendentemente da qualsiasi mandato che le sia stato conferito, ritenga che i diritti che un interessato si vede riconosciuti dall’RGPD siano stati violati in seguito al trattamento dei suoi dati personali.

Così, da un lato, l’esercizio di un’azione rappresentativa (7) non esige la previa identificazione individuale, da parte dell’entità in questione, della persona specificamente interessata da un trattamento di dati asseritamente contrario alle disposizioni dell’RGPD. A questo scopo, può essere sufficiente anche la designazione di una categoria o di un gruppo di persone pregiudicate da un trattamento siffatto (8).

Dall’altro lato, l’esercizio di un’azione siffatta non richiede l’esistenza di una specifica violazione dei diritti che una persona si vede riconosciuti dall’RGPD. Infatti, al fine di riconoscere la legittimazione ad agire di un’entità, è sufficiente far valere che il trattamento di dati in questione può pregiudicare i diritti che delle persone fisiche identificate o identificabili si vedono riconosciuti dal suddetto regolamento, senza che sia necessario provare un danno reale subito dall’interessato, in una situazione determinata, a causa della lesione dei suoi diritti. Così, alla luce dell’obiettivo perseguito dall’RGPD, il fatto di legittimare delle associazioni di tutela degli interessi dei consumatori, come l’Unione federale, a proporre, mediante un meccanismo di ricorso rappresentativo, azioni intese a far cessare trattamenti contrari alle disposizioni dell’RGPD, indipendentemente dalla violazione dei diritti di una persona individualmente e concretamente pregiudicata da tale violazione, contribuisce incontestabilmente a rafforzare i diritti degli interessati e ad assicurare loro un livello elevato di protezione.

Infine, la Corte precisa che la violazione di una norma relativa alla protezione dei dati personali può simultaneamente comportare la violazione di norme relative alla tutela dei consumatori o alle pratiche commerciali sleali. Infatti, l’RGPD (9) permette agli Stati membri di esercitare la loro facoltà di prevedere che le associazioni di tutela degli interessi dei consumatori siano legittimate ad agire contro delle violazioni dei diritti previsti dall’RGPD tramite norme finalizzate alla tutela dei consumatori o alla lotta contro le pratiche commerciali sleali.

1      Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband e.V. (in prosieguo: l’«Unione federale»).

2      In virtù del diritto tedesco, le leggi in materia di tutela dei consumatori comprendono anche le norme che definiscono la liceità della raccolta o del trattamento o dell’utilizzazione dei dati personali di un consumatore da parte di un’impresa o di un imprenditore.

3      Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: l’«RGPD»). Ai sensi dell’articolo 80, paragrafo 2, «[g]li Stati membri possono prevedere che un organismo, organizzazione o associazione di cui al paragrafo 1 del presente articolo, indipendentemente dal mandato conferito dall’interessato, abbia il diritto di proporre, in tale Stato membro, un reclamo all’autorità di controllo competente [ai sensi dell’articolo 77], e di esercitare i diritti di cui agli articoli 78 e 79, qualora ritenga che i diritti di cui un interessato gode a norma del presente regolamento siano stati violati in seguito al trattamento [dei dati personali che lo riguardano]».

4      Così come risulta dall’articolo 1, paragrafo 1, letto alla luce dei considerando 9, 10 e 13, di questo stesso regolamento.

5      In applicazione delle «clausole di apertura».

6      Segnatamente all’articolo 80, paragrafo 1, del RGPD. Tale disposizione fa riferimento a «un organismo, un’organizzazione o un’associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali».

7      Ai sensi dell’articolo 80, paragrafo 2, dell’RGPD.

8      Segnatamente alla luce della portata della nozione di «interessato» prevista dall’articolo 4, punto 1, dell’RGPD, che comprende tanto una «persona fisica identificata» quanto una «persona fisica identificabile».

9      Segnatamente l’articolo 80, paragrafo 2, dell’RGPD.