Edizione provvisoria
CONCLUSIONI DELL’AVVOCATO GENERALE
JEAN RICHARD DE LA TOUR
presentate il 25 gennaio 2024 (1)
Causa C-757/22
Meta Platforms Ireland Limited
contro
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.
[domanda di pronuncia pregiudiziale proposta dal Bundesgerichtshof (Corte federale di giustizia, Germania)]
«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articolo 12, paragrafo 1, prima frase – Trasparenza delle informazioni – Articolo 13, paragrafo 1, lettere c) ed e) – Obbligo di informazione del titolare del trattamento – Articolo 80, paragrafo 2 – Rappresentanza degli interessati da parte di un’associazione di tutela degli interessi dei consumatori – Azione rappresentativa intentata in assenza di un mandato e indipendentemente dalla violazione di specifici diritti di un interessato – Azione fondata sulla violazione dell’obbligo di informazione del titolare del trattamento – Nozione di “violazione dei diritti di un interessato “in seguito al trattamento”»
I. Antecedenti della causa, fatti della controversia principale e nuova questione pregiudiziale
1. Nella presente causa, il Bundesgerichtshof (Corte federale di giustizia, Germania) solleva nuovamente una questione pregiudiziale relativa all’interpretazione dell’articolo 80, paragrafo 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (2).
2. Conformemente a tale disposizione, gli Stati membri possono prevedere che un organismo, organizzazione o associazione, indipendentemente dal mandato conferito dall’interessato, abbia il diritto di proporre, nello Stato membro in questione, un reclamo all’autorità di controllo, ai sensi dell’articolo 77 di detto regolamento, e di esercitare i diritti di cui agli articoli 78 e 79 dello stesso, qualora ritenga che i diritti di cui un interessato gode a norma di tale regolamento siano stati violati in seguito al trattamento di dati personali.
3. La domanda di pronuncia pregiudiziale è stata presentata nell’ambito di una controversia tra la Meta Platforms Ireland Limited, già Facebook Ireland Limited, con sede legale in Irlanda, e il Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (Unione federale delle organizzazioni e associazioni di consumatori, Germania) (in prosieguo: l’«Unione federale») in merito all’asserita violazione, da parte della Meta Platforms Ireland, della normativa tedesca in materia di protezione dei dati personali, che costituisce, allo stesso tempo, una pratica commerciale sleale, una violazione di una legge in materia di protezione dei consumatori e una violazione del divieto di utilizzazione di condizioni generali di contratto nulle.
4. Si tratta della stessa controversia all’origine della causa che ha dato luogo alla sentenza del 28 aprile 2022, Meta Platforms Ireland (3), i cui fatti possono essere riassunti come segue (4).
5. La Meta Platforms Ireland, che gestisce l’offerta dei servizi del social network on line Facebook nell’Unione europea, è la titolare del trattamento dei dati personali degli utenti di tale social network nell’Unione. La Facebook Germany GmbH, che ha la propria sede in Germania, promuove sotto l’indirizzo www.facebook.de la vendita di spazi pubblicitari. La piattaforma Internet Facebook contiene, segnatamente all’indirizzo Internet www.facebook.de, uno spazio denominato «App-Zentrum» (Area Applicazioni) nel quale la Meta Platforms Ireland mette a disposizione degli utenti giochi gratuiti forniti da terzi. Al momento della consultazione dell’Area Applicazioni di alcuni di questi giochi, l’utente vede apparire l’indicazione secondo cui l’utilizzo dell’applicazione in questione permette alla società fornitrice di giochi di ottenere un certo numero di dati personali e la autorizza a procedere a pubblicazioni di dati a nome di tale utente, quali il suo punteggio e altre informazioni. Tale utilizzo ha come conseguenza che detto utente accetta le condizioni generali dell’applicazione e la sua politica in materia di protezione dei dati. Inoltre, nel caso di un determinato gioco, appare l’indicazione secondo cui l’applicazione è autorizzata a pubblicare comunicazioni di status, foto e altre informazioni a nome dello stesso utente.
6. L’Unione federale, organismo legittimato ad agire ai sensi dell’articolo 4 del Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (legge relativa alle azioni inibitorie in caso di violazioni della normativa a tutela dei consumatori e di altre violazioni), del 26 novembre 2001 (5), ritiene che le indicazioni fornite dai giochi in questione nell’Area Applicazioni siano sleali, segnatamente dal punto di vista del mancato rispetto delle condizioni di legge che si applicano all’ottenimento di un valido consenso dell’utente ai sensi delle disposizioni disciplinanti la protezione dei dati. Inoltre, essa ritiene che l’indicazione secondo cui l’applicazione è autorizzata a pubblicare a nome dell’utente alcune informazioni personali di quest’ultimo costituisca una condizione generale che penalizza indebitamente l’utente.
7. In tale contesto, l’Unione federale ha proposto dinanzi al Landgericht Berlin (Tribunale del Land di Berlino, Germania) un’azione inibitoria contro la Meta Platforms Ireland, fondata sull’articolo 3a del Gesetz gegen den unlauteren Wettbewerb (legge contro la concorrenza sleale), del 3 luglio 2004 (6), sull’articolo 2, paragrafo 2, prima frase, punto 11, della legge sulle azioni inibitorie nonché sul Bürgerliches Gesetzbuch (codice civile). Tale azione è stata proposta indipendentemente dalla violazione concreta del diritto alla protezione dei dati di un interessato e senza un mandato conferito da tale persona.
8. Il Landgericht Berlin (Tribunale del Land di Berlino) ha condannato la Meta Platforms Ireland conformemente alle conclusioni presentate dall’Unione federale. L’appello proposto dalla Meta Platforms Ireland dinanzi al Kammergericht Berlin (Tribunale superiore del Land di Berlino, Germania) è stato respinto. La Meta Platforms Ireland ha allora proposto dinanzi al giudice del rinvio un ricorso per cassazione contro la decisione di rigetto adottata dal giudice d’appello.
9. Nell’ambito di tale ricorso, il giudice del rinvio ha ritenuto che l’azione dell’Unione federale fosse fondata, nella misura in cui la Meta Platforms Ireland aveva violato l’articolo 3a della legge contro la concorrenza sleale, nonché l’articolo 2, paragrafo 2, prima frase, punto 11, della legge sulle azioni inibitorie, e aveva utilizzato una condizione generale di contratto nulla, ai sensi dell’articolo 1 della legge sulle azioni inibitorie.
10. Tuttavia, detto giudice ha espresso dubbi in merito alla ricevibilità dell’azione dell’Unione federale. Esso si chiedeva, in particolare, se la legittimazione ad agire dell’Unione federale potesse derivare dall’articolo 80, paragrafo 2, del RGPD. È per tale ragione che esso ha sottoposto alla Corte una questione pregiudiziale al fine di un’interpretazione di detta disposizione.
11. In risposta a tale questione, la Corte ha dichiarato, nella sentenza Meta Platforms Ireland, che l’articolo 80, paragrafo 2, del RGPD deve essere interpretato nel senso che esso non osta ad una normativa nazionale che consente ad un’associazione di tutela degli interessi dei consumatori di agire in giudizio, in assenza di un mandato che le sia stato conferito a tale scopo e indipendentemente dalla violazione di specifici diritti degli interessati, contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali, facendo valere la violazione del divieto di pratiche commerciali sleali, la violazione di una legge in materia di tutela dei consumatori o la violazione del divieto di utilizzazione di condizioni generali di contratto nulle, qualora il trattamento di dati in questione sia idoneo a pregiudicare i diritti riconosciuti da tale regolamento a persone fisiche identificate o identificabili (7).
12. La Corte ha quindi precisato l’ambito di applicazione ratione materiae del meccanismo di azione rappresentativa contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali, previsto all’articolo 80, paragrafo 2, del RGPD.
13. In particolare, la Corte ha dichiarato che, ai fini dell’esercizio di una siffatta azione rappresentativa, non si può richiedere che un ente rispondente ai requisiti di cui all’articolo 80, paragrafo 1, del RGPD proceda alla previa identificazione individuale della persona specificamente interessata da un trattamento di dati asseritamente contrario alle disposizioni di tale regolamento (8). Pertanto, anche la designazione di una categoria o di un gruppo di persone pregiudicate da tale trattamento può essere sufficiente ai fini della proposizione di detta azione rappresentativa (9).
14. La Corte ha altresì dichiarato che, in virtù dell’articolo 80, paragrafo 2, del RGPD, l’esercizio di un’azione rappresentativa non è neppure subordinato all’esistenza di una violazione concreta dei diritti di cui una persona beneficia sulla base delle norme in materia di protezione dei dati (10). Infatti, secondo la Corte, la proposizione di un’azione rappresentativa presuppone soltanto che l’ente menzionato in detta disposizione «ritenga» che i diritti di un interessato previsti dal regolamento in parola siano stati violati in seguito al trattamento dei suoi dati personali, e dunque che tale ente faccia valere l’esistenza di un trattamento di dati contrario a disposizioni del regolamento stesso (11). Ne consegue che, per riconoscere la legittimazione ad agire ad un tale ente, in virtù dell’articolo 80, paragrafo 2, del RGPD, è sufficiente far valere che il trattamento di dati controverso è idoneo a pregiudicare i diritti che persone fisiche identificate o identificabili si vedono riconosciuti da detto regolamento, senza che sia necessario provare un danno reale subito dall’interessato, in una situazione determinata, a causa della lesione dei suoi diritti (12).
15. Sebbene il giudice del rinvio abbia in tal modo già ottenuto dalla Corte indicazioni al fine di poter stabilire se l’azione inibitoria proposta dall’Unione federale possa essere considerata ricevibile alla luce dei requisiti previsti all’articolo 80, paragrafo 2, del RGPD, esso ritiene che occorra ancora risolvere un dubbio sull’interpretazione da dare a tale disposizione. Infatti, tale giudice sottolinea che la legittimazione ad agire dell’Unione federale dipende dalla questione se, ai sensi di detta disposizione, tale ente affermi nel proprio ricorso che i diritti di cui un interessato gode in virtù di tale regolamento sono stati violati «in seguito al trattamento».
16. Secondo il giudice del rinvio, non è certo che tale requisito relativo all’ambito di applicazione ratione materiae dell’articolo 80, paragrafo 2, del RGPD sia soddisfatto nelle circostanze del caso di specie.
17. Infatti, detto giudice afferma che l’Unione federale invoca, a sostegno della propria azione, la violazione dell’obbligo di informazione previsto all’articolo 12, paragrafo 1, prima frase, del RGPD, in combinato disposto con l’articolo 13, paragrafo 1, lettere c) ed e), di tale regolamento, per quanto riguarda la finalità del trattamento dei dati e il destinatario dei dati personali. Secondo tale giudice, occorre stabilire se si possa ritenere, pertanto, che l’Unione federale faccia valere la violazione dei diritti «in seguito al trattamento», ai sensi dell’articolo 80, paragrafo 2, di detto regolamento.
18. Più precisamente, il giudice del rinvio ritiene, da un lato, che permanga incertezza sulla questione se, nel caso di specie, la violazione dell’obbligo di informazione derivante dall’articolo 12, paragrafo 1, prima frase, e dall’articolo 13, paragrafo 1, lettere c) ed e), del RGPD rientri nella nozione di «trattamento» ai sensi dell’articolo 4, punto 2, di quest’ultimo e se tale nozione comprenda anche situazioni che precedono l’inizio della raccolta dei dati personali (13).
19. Dall’altro lato, tale giudice ritiene che non sia chiaro se, in un caso come quello di cui trattasi nel procedimento principale, la violazione dell’obbligo di informazione sia avvenuta «in seguito» ad un trattamento di dati personali, ai sensi dell’articolo 80, paragrafo 2, del RGPD. A questo proposito, detto giudice sottolinea che l’espressione «in seguito» potrebbe indicare che l’ente che propone un’azione rappresentativa, affinché tale azione sia ricevibile, debba invocare una violazione dei diritti di un interessato ai sensi di tale regolamento che derivi da un’operazione di trattamento di dati, ai sensi dell’articolo 4, punto 2, di detto regolamento, e che sia quindi successiva a una simile operazione (14).
20. In tali circostanze, il Bundesgerichtshof (Corte federale di giustizia) ha deciso nuovamente di sospendere il procedimento e di sottoporre alla Corte la seguente questione pregiudiziale:
«Se venga fatta valere una violazione [dei diritti di un interessato] “in seguito al trattamento” ai sensi dell’articolo 80, paragrafo 2, del RGPD, qualora un’associazione di tutela degli interessi dei consumatori fondi il proprio ricorso sull’asserita violazione dei diritti di un interessato, adducendo il mancato adempimento degli obblighi di informazione relativi alla finalità del trattamento dei dati e al destinatario dei dati personali ai sensi dell’articolo 12, paragrafo 1, prima frase, del RGPD in combinato disposto con l’articolo 13, paragrafo 1, lettera c) ed e), del RGPD».
21. Hanno presentato osservazioni scritte la Meta Platforms Ireland, l’Unione federale, i governi tedesco e portoghese nonché la Commissione europea.
22. Il 23 novembre 2023 si è tenuta un’udienza di discussione, in presenza della Meta Platforms Ireland, del governo tedesco e della Commissione.
II. Analisi
23. Come ho già rilevato, il giudice del rinvio esprime dubbi sulla questione se, nelle circostanze del caso di specie, l’azione rappresentativa promossa dall’Unione federale soddisfi il requisito di cui all’articolo 80, paragrafo 2, del RGPD, consistente nel fatto che l’ente che propone una simile azione ritenga che i diritti di cui un interessato gode a norma di tale regolamento siano stati violati «in seguito al trattamento» di dati personali.
24. Per comprendere appieno il contesto in cui tale giudice chiede alla Corte ulteriori chiarimenti sull’ambito di applicazione ratione materiae di detta disposizione, occorre ricordare che, a sostegno della sua azione, l’Unione federale fa valere la violazione di un obbligo di informazione incombente alla Meta Platforms Ireland sulla finalità e sulla portata del consenso dell’utente al trattamento dei suoi dati personali. Più precisamente, l’oggetto della controversia consiste nella presentazione di giochi nell’Area Applicazioni che si trova sulla piattaforma Internet della Meta Platforms Ireland e nella menzione secondo cui ogni applicazione è autorizzata a pubblicare talune informazioni personali dell’utente a suo nome. L’Unione federale ha proposto tale azione indipendentemente dalla violazione di specifici diritti di un interessato e senza averne ricevuto mandato, il che è conforme a detta disposizione, come riconosciuto dalla Corte nella sua sentenza Meta Platforms Ireland (15).
25. Le divergenze di opinioni sulla questione di stabilire se l’Unione federale disponga della legittimazione ad agire ai sensi dell’articolo 80, paragrafo 2, del RGPD si concentrano ora sulla constatazione, effettuata dal giudice del rinvio, secondo la quale l’azione rappresentativa proposta da tale ente non verte sul punto se la Meta Platforms Ireland violi i diritti alla protezione dei dati di un utente nel momento in cui quest’ultimo clicca sul pulsante «Gioca ora» o «Gioca» nello Spazio Applicazioni, innescando in tal modo, eventualmente, un trattamento dei suoi dati personali. Inoltre, è pacifico che non costituisce oggetto dell’azione proposta dall’Unione federale neanche la questione se le operazioni automatizzate relative ai dati personali di un utente che hanno luogo dopo che si sia cliccato su un siffatto pulsante violino il diritto alla protezione dei dati di quest’ultimo.
26. In sostanza, la controversia si cristallizza intorno alla questione se sia sufficiente, affinché una simile associazione disponga della legittimazione ad agire ai sensi dell’articolo 80, paragrafo 2, del RGPD, che essa faccia valere la violazione di un obbligo di informazione senza criticare, in quanto tale, il trattamento dei dati che risulta dall’operazione consistente nel cliccare sul pulsante «Gioca ora» o «Gioca», mentre la disposizione in parola richiede la violazione dei diritti di un interessato «in seguito al trattamento».
27. È per tale ragione che gli interrogativi del giudice del rinvio si concentrano su due elementi, vale a dire, da un lato, la portata della nozione di «trattamento» e, dall’altro, il significato dell’espressione «in seguito al trattamento» contenuta in detta disposizione.
28. Infatti, tale giudice si chiede se l’obbligo di fornire all’interessato, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, le informazioni relative alla finalità del trattamento dei dati personali e al destinatario degli stessi, derivante dall’articolo 12, paragrafo 1, prima frase, e dall’articolo 13, paragrafo 1, lettere c) ed e), del RGPD, rientri nella nozione di «trattamento» ai sensi dell’articolo 4, punto 2, di tale regolamento.
29. A termini dell’articolo 4, punto 2, di detto regolamento, il «trattamento» è definito come «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione».
30. Dalla formulazione di tale disposizione, in particolare dall’espressione «qualsiasi operazione», risulta che il legislatore dell’Unione ha inteso attribuire alla nozione di «trattamento» una portata ampia. Tale interpretazione è corroborata dal carattere non tassativo, espresso dal vocabolo «come», delle operazioni menzionate in detta disposizione (16). Secondo la Corte, ciò è conforme all’obiettivo di garantire l’effettività del diritto fondamentale alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale, menzionato al considerando 1 del RGPD, che presiede all’applicazione di tale regolamento (17).
31. A sostegno della tesi secondo cui l’obbligo di informazione derivante dall’articolo 12, paragrafo 1, prima frase, e dall’articolo 13, paragrafo 1, lettere c) ed e), del RGPD potrebbe rientrare nella nozione di «trattamento» ai sensi dell’articolo 4, punto 2, di tale regolamento, il giudice del rinvio menziona quanto dichiarato dalla Corte nella sua sentenza del 24 febbraio 2022, Valsts ieņēmumu dienests (Trattamento dei dati personali a fini fiscali) (18).
32. Nella causa che ha dato luogo a tale sentenza, il Valsts ieņēmumu dienests (amministrazione tributaria, Lettonia) chiedeva all’operatore economico interessato di ripristinare l’accesso degli organi di tale amministrazione ai numeri di telaio dei veicoli oggetto degli annunci pubblicati sul suo portale Internet e ai numeri di telefono dei venditori nonché di fornire informazioni sugli annunci pubblicati su detto portale.
33. È in tale contesto che la Corte ha ritenuto che una siffatta richiesta, con la quale l’amministrazione tributaria di uno Stato membro domanda a un operatore economico di comunicare e di mettere a disposizione dati personali che quest’ultimo è tenuto a fornirle e a metterle a sua disposizione ai sensi della normativa nazionale di tale Stato membro, avvii un processo di «raccolta» di tali dati, ai sensi dell’articolo 4, punto 2, del RGPD (19). Il giudice del rinvio ne deduce che la nozione di «trattamento», ai sensi di tale disposizione, comprende le operazioni che si limitano ad «avviare» una raccolta di dati personali e quindi operazioni che si trovano a monte di un’operazione che il legislatore dell’Unione ha espressamente considerato un esempio di trattamento, facendo un raffronto con la situazione oggetto del procedimento principale.
34. A mio avviso, tuttavia, tale situazione si distingue nettamente da quella che ha dato luogo alla sentenza del 24 febbraio 2022, Valsts ieņēmumu dienests (Trattamento dei dati personali a fini fiscali) (20). Infatti, nel caso di specie, non si tratta di collegare a un processo di trattamento un’operazione che consente di avviare tale processo, ma piuttosto di individuare il nesso tra un obbligo di informazione, come quello derivante dall’articolo 12, paragrafo 1, prima frase, e dall’articolo 13, paragrafo 1, lettere c) ed e), del RGPD, e un determinato trattamento.
35. A questo proposito, ritengo che, per quanto ampia, la portata della nozione di «trattamento», ai sensi dell’articolo 4, punto 2, del RGPD, non possa estendersi a un siffatto obbligo di informazione. Infatti, tale obbligo non implica alcuna azione diretta o indiretta su dati personali. Detto obbligo costituisce piuttosto una condizione di liceità del trattamento di tali dati.
36. Occorre sottolineare che l’articolo 12 di tale regolamento enuncia obblighi generali incombenti al titolare del trattamento per quanto riguarda la trasparenza delle informazioni e delle comunicazioni, nonché le modalità di esercizio dei diritti dell’interessato.
37. In particolare, l’articolo 12, paragrafo 1, prima frase, di detto regolamento prevede che «[i]l titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori».
38. L’articolo 13 del RGPD, intitolato «Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato», al paragrafo 1, lettere c) ed e), così dispone:
«In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
(...)
c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
(...)
e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali (…)».
39. Va ricordato che l’articolo 6, paragrafo 1, primo comma, del RGPD stabilisce un elenco esaustivo e tassativo dei casi nei quali un trattamento di dati personali può essere considerato lecito. Pertanto, per poter essere considerato lecito, un trattamento deve rientrare in uno dei casi previsti da tale disposizione (21).
40. Ai sensi dell’articolo 6, paragrafo 1, primo comma, lettera a), di tale regolamento, il trattamento di dati personali è lecito se, e nella misura in cui, l’interessato vi ha acconsentito per una o più finalità specifiche (22).
41. In mancanza di un siffatto consenso, o qualora tale consenso non sia stato espresso in modo libero, specifico, informato e inequivocabile, ai sensi dell’articolo 4, punto 11, del RGPD, e qualora il trattamento in questione non soddisfi uno dei requisiti di necessità menzionati all’articolo 6, paragrafo 1, primo comma, lettere da b) ad f), di detto regolamento, tale trattamento è illecito (23).
42. Per quanto riguarda il requisito risultante dall’articolo 4, punto 11, del RGPD, secondo il quale il consenso deve essere «informat[o]», tale requisito implica, in conformità all’articolo 13 di tale regolamento, letto alla luce del suo considerando 42, che il titolare del trattamento fornisca alla persona interessata informazioni in merito a tutte le circostanze che corredano il trattamento dei dati, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro, di modo che tale persona venga a conoscenza, in particolare, del tipo di dati che devono essere trattati, dell’identità del titolare del trattamento, della durata, nonché delle modalità e delle finalità che esso persegue. Siffatte informazioni devono consentire a detta persona di determinare facilmente le conseguenze di un eventuale consenso prestato e assicurare che questo sia espresso con piena cognizione di causa (24).
43. Orbene, rilevo che, come afferma il giudice del rinvio (25), l’Unione federale contesta la presentazione delle indicazioni fornite sotto il pulsante «Gioca ora» nell’Area applicazioni per il motivo che esse sarebbero sleali in particolare sotto il profilo dell’inosservanza dei requisiti legali che si applicano all’ottenimento di un valido consenso dell’utente in virtu’ delle disposizioni che disciplinano la protezione dei dati personali.
44. In altre parole, alla base dell’azione proposta dall’Unione federale vi è il fatto che, a causa della presentazione carente dell’Area Applicazioni invocata da tale ente, una persona potrebbe cliccare sul pulsante «Gioca ora» senza aver avuto a disposizione le informazioni necessarie per poter determinare facilmente le conseguenze del consenso che essa potrebbe prestare al trattamento dei propri dati personali in seguito all’attivazione di tale pulsante e senza che vi sia la garanzia che il consenso sia prestato con piena cognizione di causa.
45. Alla luce di tali circostanze, ritengo che l’Unione federale faccia valere nell’ambito della propria azione, conformemente a quanto prevede l’articolo 80, paragrafo 2, del RGPD, che «i diritti di cui un interessato gode a norma [di tale] regolamento [sono] stati violati in seguito al trattamento».
46. Infatti, da un lato, sia l’articolo 12 che l’articolo 13 del RGPD fanno parte del capo III di tale regolamento, intitolato «Diritti dell’interessato». Tenuto conto dell’obbligo di informazione gravante sul titolare del trattamento in forza di tali articoli, i diritti che ne derivano per gli interessati rientrano fra quelli che l’azione rappresentativa di cui all’articolo 80, paragrafo 2, di detto regolamento mira a proteggere.
47. Dall’altro lato, l’asserita violazione del diritto degli interessati di essere sufficientemente informati di tutte le circostanze relative a un trattamento di dati personali, in particolare la finalità di quest’ultimo e il destinatario di tali dati, può pregiudicare l’espressione di un consenso «informat[o]», ai sensi dell’articolo 4, punto 11, del RGPD, il che può rendere illecito tale trattamento.
48. Pertanto, ai fini dell’esercizio di un’azione rappresentativa ai sensi dell’articolo 80, paragrafo 2, di tale regolamento, è sufficiente che un ente faccia valere la violazione dell’obbligo di informazione gravante sul titolare del trattamento, specificando il trattamento in questione, che, nel caso di specie, è quello che avviene quando una persona clicca sul pulsante «Gioca ora». Deve trattarsi di un trattamento di dati idoneo a pregiudicare i diritti riconosciuti da detto regolamento a persone fisiche identificate o identificabili (26), il che implica che tale trattamento deve esistere e non deve essere quindi puramente ipotetico.
49. Inoltre, a mio avviso, è irrilevante che tale ente faccia valere la violazione di un obbligo che precede un trattamento di dati personali. Ciò avviene nel caso dell’obbligo di informazione che deve essere adempiuto al più tardi al momento della raccolta dei dati, conformemente a quanto previsto dall’articolo 13, paragrafo 1, del RGPD.
50. Infatti, l’espressione «in seguito al trattamento», di cui all’articolo 80, paragrafo 2, di tale regolamento, non significa affatto che il diritto di cui l’azione prevista da detto articolo mira a far accertare la violazione debba necessariamente riguardare una fase successiva a un’operazione costitutiva di un «trattamento», ai sensi dell’articolo 4, punto 2, di detto regolamento. In altri termini, non si deve ravvisare in detta espressione alcun requisito di una sequenza temporale che implichi che la violazione dei diritti di un interessato previsti nell’RGPD debba avvenire in una fase successiva a un siffatto trattamento.
51. L’importante, piuttosto, è che sussista un nesso tra il rispetto dei diritti di cui trattasi e il trattamento in questione. Ciò avviene quando la violazione di tali diritti comporta la conseguenza di rendere illecito tale trattamento. L’illiceità del trattamento deriva dalla violazione dell’obbligo di informazione. Le due cose sono inscindibili.
52. Ne consegue che il requisito secondo cui un ente può proporre un’azione rappresentativa ai sensi dell’articolo 80, paragrafo 2, del RGPD se ritiene che i diritti di un interessato previsti in tale regolamento siano stati violati «in seguito al trattamento» non richiede, a mio avviso, che tale ente faccia valere la violazione di tali diritti che risulta da un’operazione di trattamento dei dati, ai sensi dell’articolo 4, punto 2, di detto regolamento, e che quindi è successiva a tale operazione. È sufficiente che esso affermi la sussistenza di un nesso fra un trattamento di dati personali e la violazione di diritti tutelati dall’RGPD.
53. Nel caso di specie, poco importa, quindi, che l’Unione federale faccia valere la violazione di un obbligo di informazione indipendentemente dal fatto che un interessato clicchi o meno sul pulsante «Gioca ora» nell’Area Applicazioni, poiché un siffatto obbligo, nella misura in cui è idoneo ad incidere sulle condizioni di liceità del trattamento risultante dall’attivazione di tale pulsante, presenta incontestabilmente un nesso con detto trattamento.
54. Questa interpretazione è coerente non solo con la funzione preventiva dell’azione rappresentativa prevista dall’articolo 80, paragrafo 2, del RGPD (27), ma anche, nella misura in cui contribuisce a rafforzare i diritti degli interessati (28), con l’obiettivo di tale regolamento, risultante dal suo considerando 10, che consiste nel garantire all’interno dell’Unione un livello elevato di protezione delle libertà e dei diritti fondamentali delle persone fisiche con riguardo al trattamento dei dati personali (29).
55. Aggiungo che, a mio avviso, sarebbe incoerente adottare un’interpretazione restrittiva dell’ambito di applicazione ratione materiae dell’articolo 80, paragrafo 2, di detto regolamento, quando l’articolo 79, paragrafo 1, del RGPD prevede, in termini simili, il diritto di ogni interessato a proporre un ricorso giurisdizionale effettivo e non vi è alcun motivo per escludere dall’ambito di applicazione ratione materiae di un simile ricorso i diritti derivanti dall’obbligo di informazione previsto all’articolo 12, paragrafo 1, prima frase, di tale regolamento, in combinato disposto con l’articolo 13, paragrafo 1, lettere c) ed e), del medesimo regolamento.
56. Di conseguenza, ritengo che l’articolo 80, paragrafo 2, del RGPD debba essere interpretato nel senso che il requisito secondo cui un ente legittimato, per poter proporre un’azione rappresentativa ai sensi di tale disposizione, deve affermare di ritenere che i diritti di cui un interessato gode a norma di detto regolamento siano stati violati in seguito al trattamento, presuppone che tale ente faccia valere la sussistenza di un trattamento di dati personali nonché di un nesso tra la violazione di detti diritti e tale trattamento. Un simile requisito è soddisfatto quando tale azione è fondata, in connessione con un trattamento di dati personali, sulla violazione da parte del titolare del trattamento dell’obbligo di informazione di cui all’articolo 12, paragrafo 1, prima frase, di detto regolamento, in combinato disposto con l’articolo 13, paragrafo 1, lettere c) ed e), dello stesso regolamento, nella misura in cui tale violazione può rendere illecito detto trattamento.
III. Conclusione
57. Alla luce di tutte le considerazioni che precedono, propongo di rispondere alla questione pregiudiziale proposta dal Bundesgerichtshof (Corte federale di giustizia, Germania) nei seguenti termini:
L’articolo 80, paragrafo 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),
deve essere interpretato nel senso che:
il requisito secondo cui un ente legittimato, per poter proporre un’azione rappresentativa ai sensi di tale disposizione, deve affermare di ritenere che i diritti di cui un interessato gode a norma di detto regolamento siano stati violati in seguito al trattamento, presuppone che tale ente faccia valere la sussistenza di un trattamento di dati personali nonché di un nesso tra la violazione di detti diritti e tale trattamento. Un simile requisito è soddisfatto quando tale azione è fondata, in connessione con un trattamento di dati personali, sulla violazione da parte del titolare del trattamento dell’obbligo di informazione di cui all’articolo 12, paragrafo 1, prima frase, di detto regolamento, in combinato disposto con l’articolo 13, paragrafo 1, lettere c) ed e), dello stesso regolamento, nella misura in cui tale violazione può rendere illecito detto trattamento.