HomeSentenzeArticoliLegislazionePrivacyRicercaChi siamo
Avvocato Generale Jean Richard De La Tour, 2/12/2021 n. C-319/20
Gli Stati membri possono consentire alle associazioni per la tutela degli interessi dei consumatori di presentare azioni rappresentative contro violazioni della tutela dei dati personali

L'art. 80, par. 2, del reg. (UE) 2016/679 del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che non osta a una normativa nazionale che consente alle associazioni per la tutela degli interessi dei consumatori di agire in giudizio contro il presunto autore di una lesione della protezione dei dati personali, invocando il divieto di pratiche commerciali sleali, la violazione di norme poste a tutela dei consumatori o il divieto di applicare condizioni generali invalide, se l'azione rappresentativa di cui trattasi mira a ottenere il rispetto di diritti che le persone oggetto del trattamento contestato traggono direttamente da detto regolamento.

Materia: privacy / tutela dati personali

CONCLUSIONI DELL’AVVOCATO GENERALE

JEAN RICHARD DE LA TOUR

 

presentate il 2 dicembre 2021 (1)

 

Causa C-319/20

Facebook Ireland Limited

 

contro

Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband e.V.

 

[domanda di pronuncia pregiudiziale proposta dal Bundesgerichtshof (Corte federale di giustizia, Germania)]

 

«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articolo 80, paragrafo 2 – Diritto ad un ricorso giurisdizionale effettivo – Rappresentanza degli interessati da parte di un’associazione senza scopo di lucro – Legittimazione ad agire di un’associazione per la tutela degli interessi dei consumatori»

 

I.      Introduzione

 

1.        Nell’economia moderna, caratterizzata dalla crescita dell’economia digitale, il trattamento dei dati personali può ledere le persone non solo nella loro veste di persone fisiche beneficiarie dei diritti conferiti dal regolamento (UE) 2016/679 (2), ma anche nella loro veste di consumatori.

 

2.        Tale status implica che le associazioni per la tutela degli interessi dei consumatori siano sempre più frequentemente promotrici di azioni volte ad ottenere l’inibitoria di condotte tenute da taluni titolari del trattamento lesive, contemporaneamente, dei diritti tutelati dal regolamento di cui trattasi e da altre disposizioni emanate a livello sia di diritto dell’Unione, sia di diritto nazionale, in materia, segnatamente, di tutela dei diritti dei consumatori e di lotta contro le pratiche commerciali sleali.

 

3.        La presente domanda di pronuncia pregiudiziale è stata presentata nel quadro di una controversia che oppone il Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (Unione federale delle organizzazioni e associazioni di consumatori; in prosieguo: l’«Unione federale») a Facebook Ireland Limited, con sede in Irlanda. L’Unione federale addebita a detta società la violazione della normativa tedesca in materia di protezione dei dati personali integrante, nel contempo, una pratica commerciale sleale, una violazione di norme poste a tutela dei consumatori e una violazione del divieto di applicare condizioni generali invalide.

 

4.        La domanda di cui trattasi invita essenzialmente la Corte a interpretare l’articolo 80, paragrafo 2, del regolamento 2016/679 al fine di stabilire se detta disposizione osti, a seguito dell’entrata in vigore di tale regolamento, al mantenimento da parte delle associazioni per la tutela degli interessi dei consumatori della legittimazione ad agire che il diritto nazionale riconosce loro al fine di ottenere l’inibitoria di condotte integranti, contemporaneamente, una violazione dei diritti conferiti dal suddetto regolamento e una violazione di disposizioni finalizzate a tutelare i diritti dei consumatori e contrastare le pratiche commerciali sleali. Posto che la compatibilità di una siffatta legittimazione ad agire con la direttiva 95/46/CE (3) è stata riconosciuta dalla Corte (4), spetterà a quest’ultima determinare se il regolamento 2016/679 abbia o meno modificato lo stato del diritto al riguardo.

 

II.    Contesto normativo

 

A.      Regolamento 2016/679

 

5.        L’articolo 80 del regolamento 2016/679, recante il titolo «Rappresentanza degli interessati», è formulato come segue (5):

 

«1.      L’interessato ha il diritto di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, di proporre il reclamo per suo conto e di esercitare per suo conto i diritti di cui agli articoli 77, 78 e 79 nonché, se previsto dal diritto degli Stati membri, il diritto di ottenere il risarcimento di cui all’articolo 82.

 

2.      Gli Stati membri possono prevedere che un organismo, organizzazione o associazione di cui al paragrafo 1 del presente articolo, indipendentemente dal mandato conferito dall’interessato, abbia il diritto di proporre, in tale Stato membro, un reclamo all’autorità di controllo competente [in forza dell’articolo 77], e di esercitare i diritti di cui agli articoli 78 e 79, qualora ritenga che i diritti di cui un interessato gode a norma del presente regolamento siano stati violati in seguito al trattamento».

 

B.      Diritto tedesco

 

6.        L’articolo 3, paragrafo 1, del Gesetz gegen den unlauteren Wettbewerb (legge contro la concorrenza sleale) (6), del 3 luglio 2004, nella versione applicabile al procedimento principale, enuncia quanto segue:

 

«Le pratiche commerciali sleali sono illecite».

 

7.        L’articolo 3a dell’UWG è formulato come segue:

 

«Commette un atto di concorrenza sleale chiunque violi una disposizione di legge destinata, tra l’altro, a regolamentare il comportamento sul mercato nell’interesse dei suoi operatori, quando la violazione sia di natura tale da ledere in modo sensibile gli interessi dei consumatori, degli altri operatori del mercato o dei concorrenti».

 

8.        L’articolo 8, paragrafi 1 e 3, dell’UWG così dispone:

 

«(1)      Ogni pratica commerciale illecita ai sensi dell’articolo 3 o dell’articolo 7 può dar luogo a un’ingiunzione di cessazione e, nell’ipotesi di rischio di recidiva, a inibitoria. Il diritto di ottenere un provvedimento inibitorio sorge non appena sussista il rischio di violazione degli articoli 3 o 7.

 

(...)

 

(3)      Legittimati ad agire ai sensi del paragrafo 1 sono:

 

(...)

 

3.      gli enti legittimati previa prova di iscrizione nel relativo elenco ai sensi dell’articolo 4 del [Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (legge relativa alle azioni inibitorie in caso di violazioni della normativa a tutela dei consumatori e altre violazioni (7), del 26 novembre 2001, nella versione applicabile nella controversia principale] o nell’elenco della Commissione europea di cui all’articolo 4, paragrafo 3, della direttiva 2009/22/CE del Parlamento europeo e del Consiglio, del 23 aprile 2009, relativa a provvedimenti inibitori a tutela degli interessi dei consumatori [(8)];

 

(...)».

 

9.        L’articolo 2 dell’UKlaG prevede quanto segue:

 

«(1)      Chiunque violi disposizioni volte a tutelare i consumatori (legge sulla tutela dei consumatori), con modalità diverse dall’applicazione o dalla raccomandazione di condizioni generali, può essere soggetto a un’ingiunzione di cessazione e a inibitoria nell’interesse della tutela dei consumatori (...).

 

(2)      Ai fini della presente disposizione, per leggi sulla tutela dei consumatori, si intendono in particolare:

 

(...)

 

11.      le disposizioni che disciplinano l’ammissibilità

 

a)      della raccolta dei dati personali di un consumatore da parte di un’impresa oppure

 

b)      del trattamento o dell’utilizzo di dati personali di un consumatore raccolti da un imprenditore,

 

qualora i dati siano raccolti, trattati o utilizzati per fini pubblicitari, per ricerche di mercato e sondaggi, gestione di un’agenzia di informazioni, realizzazione di profili personali o profili utente, qualsiasi altro commercio di dati o per scopi commerciali analoghi.

 

(...)».

 

10.      Il Bundesgerichtshof (Corte federale di giustizia, Germania) osserva che, in forza dell’articolo 3, paragrafo 1, prima frase, punto 1, dell’UKlaG, gli organismi legittimati ad agire ai sensi di detta disposizione possono agire per ottenere l’inibitoria delle violazioni della normativa in materia di protezione dei consumatori, che comprende altresì, ai sensi dell’articolo 2, paragrafo 2, prima frase, punto 11, di detta legge, le disposizioni sull’ammissibilità della raccolta, del trattamento e dell’utilizzo, da parte di un imprenditore, dei dati personali di un consumatore per fini pubblicitari. Inoltre, sempre in forza dell’articolo 3, paragrafo 1, prima frase, punto 1, dell’UKlaG, gli organismi legittimati ad agire possono chiedere, a norma dell’articolo 1 dell’UKlaG, la cessazione dell’utilizzo di condizioni generali invalide in forza dell’articolo 307 del Bürgerliches Gesetzbuch (codice civile) ove ritengano che esse violino una disposizione in materia di protezione dei dati.

 

11.      L’articolo 13, paragrafo 1, del Telemediengesetz (legge sui media elettronici) (9), del 26 febbraio 2007, è così formulato:

 

«Il fornitore di servizi è tenuto, all’inizio della sessione, ad informare l’utente in forma generalmente comprensibile in merito alla tipologia, alla portata e agli obiettivi della raccolta e dell’utilizzo dei dati personali nonché del trattamento dei suoi dati in Stati non rientranti nell’ambito di applicazione della [direttiva 95/46] salvo che una tale informativa abbia già avuto luogo. In caso di procedura automatizzata che consenta una successiva identificazione dell’utente e predisponga una raccolta o un utilizzo di dati personali, l’utente deve essere informato all’inizio della procedura. L’utente deve poter aver accesso in ogni momento al contenuto dell’informativa».

 

III. Fatti del procedimento principale e questione pregiudiziale

 

12.      L’Unione federale è iscritta, in Germania, nell’elenco degli enti legittimati ad agire ai sensi dell’articolo 4 dell’UKlaG. Facebook Ireland gestisce, all’indirizzo www.facebook.de, la piattaforma Internet Facebook, che consente lo scambio di dati personali e di altri dati.

 

13.      La piattaforma Internet Facebook contiene uno spazio denominato «App-Zentrum» («app center») in cui Facebook Ireland mette a disposizione dei suoi utenti, in particolare, giochi gratuiti forniti da terzi. Il 26 novembre 2012, accedendo a taluni giochi nell’app center, l’utente poteva veder comparire una serie di informazioni sotto al pulsante «Sofort spielen» (Gioca). Da dette informazioni risulta, sostanzialmente, che l’utilizzo dell’applicazione di cui trattasi consentiva alla società fornitrice dei giochi di ottenere un certo numero di dati personali e l’autorizzava a procedere alla pubblicazione, a nome dell’utente, di determinate informazioni, come il suo punteggio. Tale utilizzo comportava l’accettazione da parte dell’utente delle condizioni generali dell’applicazione e della sua policy in materia di protezione dei dati. Inoltre, nel caso del gioco Scrabble, viene indicato che l’applicazione è autorizzata a pubblicare messaggi di stato, foto e altre informazioni a nome dell’utente.

 

14.      L’Unione federale critica la presentazione degli avvisi forniti sotto il pulsante «Gioca» dell’app center in quanto sleale, segnatamente, per inosservanza dei requisiti legali applicabili alla raccolta di un valido consenso dell’utente secondo la normativa in materia di protezione dei dati. Inoltre, essa ritiene che l’avvertenza finale presente nel gioco Scrabble integri una condizione generale irragionevolmente pregiudizievole per l’utente.

 

15.      In tale contesto, l’Unione federale proponeva dinanzi al Landgericht Berlin (Tribunale del Land di Berlino, Germania) un’azione inibitoria nei confronti di Facebook Ireland. Il giudice del rinvio precisa che detta azione è stata introdotta indipendentemente dalla specifica violazione dei diritti alla protezione dei dati di un interessato e in assenza di mandato da parte di quest’ultimo.

 

16.      L’Unione federale chiedeva che fosse ingiunto a Facebook Ireland di astenersi, a pena di sanzioni pecuniarie, «dal proporre giochi, nel quadro di attività commerciali dirette a consumatori aventi la propria residenza permanente in (…) Germania, sul sito Internet corrispondente all’indirizzo www.facebook.com, nell’“app center”, con modalità tali per cui, cliccando su un pulsante come “[Gioca]”, il consumatore dichiara che l’operatore che gestisce il gioco ottiene, attraverso la rete sociale gestita da [Facebook Ireland], informazioni sui dati personali ivi presenti ed è autorizzato a trasmettere (pubblicare) informazioni a nome del consumatore (...)».

 

17.      L’Unione federale chiedeva altresì che fosse ingiunto a Facebook Ireland di astenersi «dall’inserire in contratti con consumatori aventi la propria residenza abituale in (…) Germania la disposizione di seguito riportata o disposizioni dal contenuto identico in materia di utilizzo di applicazioni (app) nell’ambito di una rete sociale e dall’impiegare disposizioni concernenti la trasmissione dei dati ai gestori dei giochi: “Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten” [La presente applicazione è autorizzata a pubblicare messaggi di stato, foto e altre informazioni a tuo nome]».

 

18.      Il Landgericht Berlin (Tribunale del Land di Berlino) condannava Facebook Ireland come da conclusioni dell’Unione federale. L’impugnazione proposta da Facebook Ireland dinanzi al Kammergericht Berlin (Tribunale superiore del Land di Berlino, Germania) veniva respinta.

 

19.      Facebook Ireland proponeva dinanzi al giudice del rinvio un ricorso in cassazione («Revision») avverso la decisione del giudice d’appello.

 

20.      Nel merito, il giudice del rinvio ritiene che il giudice d’appello abbia correttamente considerato fondate le conclusioni dell’Unione federale. Infatti, non ottemperando agli obblighi di informazione risultanti dall’articolo 13, paragrafo 1, prima frase, prima parte della frase, del TMG, Facebook Ireland ha violato l’articolo 3a dell’UWG e l’articolo 2, paragrafo 2, prima frase, punto 11, dell’UKlaG. Il giudice d’appello ha considerato, a giusto titolo, che le disposizioni dell’articolo 13 del TMG di cui trattasi nel presente rinvio sono disposizioni di legge che disciplinano la condotta degli operatori sul mercato ai sensi dell’articolo 3a dell’UWG. Si tratta, inoltre, di disposizioni che, conformemente all’articolo 2, paragrafo 2, prima frase, punto 11, lettera a), dell’UKlaG, disciplinano l’ammissibilità della raccolta, del trattamento o dell’utilizzo, da parte di un imprenditore, dei dati personali di un consumatore raccolti, trattati o utilizzati per fini pubblicitari. Il giudice del rinvio ritiene inoltre che, non ottemperando agli obblighi di informazione in materia di protezione dei dati applicabili nel caso di specie, Facebook Ireland abbia applicato una condizione generale invalida ai sensi dell’articolo 1 dell’UKlaG.

 

21.      Tuttavia, il giudice del rinvio si chiede se il giudice d’appello abbia a ragione ritenuto ricevibile il ricorso dell’Unione federale. Esso si domanda infatti se, a seguito dell’entrata in vigore del regolamento 2016/679, un’associazione per la tutela degli interessi dei consumatori, come l’Unione federale, sia ancora legittimata ad agire mediante proposizione dinanzi alle giurisdizioni civili di un ricorso avverso violazioni di detto regolamento, indipendentemente dalla specifica violazione dei diritti degli interessati e in assenza di mandato da parte di questi ultimi, deducendo la violazione del diritto ai sensi dell’articolo 3a dell’UWG, la violazione di norme poste a tutela dei consumatori ai sensi dell’articolo 2, paragrafo 2, prima frase, punto 11, dell’UKlaG o, ancora, l’applicazione di una condizione generale invalida in forza dell’articolo 1 dell’UKlaG.

 

22.      Il giudice del rinvio osserva che non vi erano dubbi quanto alla ricevibilità del ricorso prima dell’entrata in vigore del regolamento 2016/679. L’Unione federale era infatti legittimata ad agire in via inibitoria dinanzi alle giurisdizioni civili a norma dell’articolo 8, paragrafo 3, punto 3, dell’UWG e dell’articolo 3, paragrafo 1, prima frase, punto 1, dell’UKlaG.

 

23.      Secondo detto giudice, tale regime giuridico potrebbe risultare modificato a seguito dell’entrata in vigore del regolamento 2016/679.

 

24.      Nel merito, esso osserva che le disposizioni dell’articolo 13, paragrafo 1, del TMG non sono più applicabili a decorrere dalla data di tale entrata in vigore, posto che gli obblighi di informazione pertinenti sono ora quelli risultanti dagli articoli da 12 a 14 del regolamento 2016/679. A parere del giudice del rinvio, Facebook Ireland è quindi venuta meno all’obbligo ad essa incombente in forza dell’articolo 12, paragrafo 1, prima frase, del suddetto regolamento di fornire all’interessato, in forma concisa, trasparente, intelligibile e facilmente accessibile, e con un linguaggio semplice e chiaro, le informazioni di cui all’articolo 13, paragrafo 1, lettere c) ed e), del regolamento di cui trattasi relative alla finalità del trattamento dei dati e al destinatario dei dati personali.

 

25.      Per quanto attiene alla ricevibilità del ricorso, secondo il giudice del rinvio, è controverso se gli organismi legittimati ad agire ai sensi dell’articolo 4 dell’UKlaG siano autorizzati, a seguito dell’entrata in vigore del regolamento 2016/679 e a norma dell’articolo 8, paragrafo 3, punto 3, dell’UWG, ad agire giudizialmente avverso le violazioni delle disposizioni di detto regolamento, norme, queste, di applicazione diretta in forza dell’articolo 288, secondo comma, TFUE, invocando la violazione del diritto ai sensi dell’articolo 3a dell’UWG.

 

26.      A tal riguardo, il giudice del rinvio dà atto dell’esistenza di punti di vista divergenti quanto alla questione se il regolamento 2016/679 disciplini esso stesso, in maniera esaustiva, il controllo dell’attuazione delle sue disposizioni.

 

27.      Per quanto attiene alla formulazione del regolamento 2016/679, detto giudice osserva che la legittimazione ad agire di un ente come l’Unione federale, ai sensi dell’articolo 8, paragrafo 3, punto 3, dell’UWG, non rientra nell’articolo 80, paragrafo 1, del regolamento in questione, poiché l’azione inibitoria oggetto del procedimento principale non è stata promossa su mandato e in nome di un interessato per far valere i suoi diritti individuali. Si tratterebbe, al contrario, di una legittimazione ad agire riconosciuta all’Unione federale per uno specifico diritto ad essa inerente, che le consentirebbe, in caso di violazione del diritto ai sensi dell’articolo 3a dell’UWG, di perseguire oggettivamente le violazioni delle disposizioni del suddetto regolamento, indipendentemente dalla violazione di diritti specifici dei singoli interessati e a prescindere da un mandato da essi conferito.

 

28.      Orbene, il giudice del rinvio osserva che l’articolo 80, paragrafo 2, del regolamento 2016/679 non contempla una legittimazione dell’Unione federale ad agire volta all’attuazione oggettiva della normativa in materia di protezione dei dati personali. Infatti, benché la disposizione in parola preveda effettivamente la possibilità di un’azione da parte di un siffatto ente indipendentemente dal mandato conferito dall’interessato, occorrerebbe tuttavia che i diritti di cui l’interessato gode a norma del regolamento medesimo siano stati violati in seguito al trattamento. Ne consegue che le disposizioni dell’articolo 80, paragrafo 2, di detto regolamento, secondo il suo tenore letterale, non riconoscerebbero neanche la legittimazione ad agire delle associazioni che – come nel presente caso sulla base degli articoli 3a e 8, paragrafo 3, punto 3, dell’UWG – fanno valere violazioni oggettive della normativa in materia di protezione dei dati indipendentemente dalla violazione di diritti soggettivi di un interessato in particolare. Una conclusione identica potrebbe trarsi dal considerando 142, seconda frase, del regolamento 2016/679, che indica anch’esso la violazione dei diritti di un interessato quale condizione necessaria per la legittimazione ad agire di un’associazione indipendentemente dall’eventuale mandato di detto interessato.

 

29.      Inoltre, a parere del giudice del rinvio, la legittimazione ad agire di un’associazione, come quella prevista all’articolo 8, paragrafo 3, dell’UWG, non potrebbe desumersi dall’articolo 84, paragrafo 1, del regolamento 2016/679, in forza del quale gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni di detto regolamento e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. La legittimazione ad agire di un’associazione, come quella prevista all’articolo 8, paragrafo 3, dell’UWG, non potrebbe infatti essere considerata una «sanzione» ai sensi della suddetta disposizione del regolamento de quo.

 

30.      Il giudice del rinvio osserva inoltre che l’impianto sistematico del regolamento 2016/679 non consente di stabilire con certezza se la legittimazione ad agire di un organismo ai sensi dell’articolo 8, paragrafo 3, punto 3, dell’UWG, vale a dire in forza di una disposizione diretta a contrastare la concorrenza sleale, possa ancora essere riconosciuta a seguito dell’entrata in vigore di detto regolamento. A parere del suddetto giudice, dal fatto che il regolamento di cui trattasi conferisce alle autorità di controllo ampi poteri in materia di vigilanza e di indagine e nell’ottica di adottare provvedimenti correttivi si potrebbe dedurre che spetti principalmente a dette autorità controllare l’applicazione delle disposizioni del regolamento di cui trattasi. Ciò contrasterebbe con un’interpretazione estensiva dell’articolo 80, paragrafo 2, del regolamento 2016/679. Il giudice del rinvio osserva altresì che, in linea di principio, l’adozione di provvedimenti nazionali di applicazione di un regolamento è consentita solo se espressamente autorizzata. Tuttavia, l’inciso «[f]atto salvo ogni altro ricorso», presente nell’articolo 77, paragrafo 1, nell’articolo 78, paragrafi 1 e 2, e nell’articolo 79, paragrafo 1, di detto regolamento, potrebbe confutare la tesi di una disciplina esaustiva del controllo sull’applicazione del diritto da parte di detto regolamento.

 

31.      Per quanto attiene all’obiettivo del regolamento 2016/679, l’effetto utile di quest’ultimo potrebbe deporre a favore dell’esistenza di una legittimazione ad agire delle associazioni in forza del diritto della concorrenza, conformemente all’articolo 8, paragrafo 3, punto 3, dell’UWG, indipendentemente dalla violazione di specifici diritti degli interessati, nella misura in cui ciò comporterebbe un’ulteriore possibilità di controllo dell’applicazione del diritto al fine di garantire un livello quanto più possibile elevato di protezione dei dati personali, in linea con il considerando 10 di detto regolamento. Tuttavia, si potrebbe ritenere che il riconoscimento della legittimazione ad agire delle associazioni in forza del diritto della concorrenza contrasti con l’obiettivo di armonizzazione perseguito da detto regolamento.

 

32.      Il giudice del rinvio illustra altresì i suoi dubbi quanto alla persistenza, dopo l’entrata in vigore del regolamento 2016/679, della legittimazione ad agire degli organismi considerati nell’articolo 3, paragrafo 1, prima frase, punto 1, dell’UKlaG ai fini dell’esercizio di azioni in caso di violazione delle disposizioni del regolamento di cui trattasi, quali azioni proposte in ragione della mancata ottemperanza a una legge in materia di tutela dei consumatori ai sensi dell’articolo 2, paragrafo 2, prima frase, punto 11, dell’UKlaG. Lo stesso vale per quanto attiene alla legittimazione ad agire, a norma dell’articolo 1 dell’UKlaG, di un’associazione per la tutela degli interessi dei consumatori al fine di chiedere l’inibitoria dell’applicazione di condizioni generali invalide, ai sensi dell’articolo 307 del codice civile.

 

33.      Anche ammettendo che le diverse disposizioni nazionali che, prima dell’entrata in vigore del regolamento 2016/679, fondavano la legittimazione ad agire degli organismi possano essere considerate come un’attuazione anticipata dell’articolo 80, paragrafo 2, di detto regolamento, il riconoscimento, nella specie, di una legittimazione ad agire dell’Unione federale richiederebbe, a parere del giudice del rinvio, che quest’ultima facesse valere la violazione, a seguito di un trattamento, dei diritti di cui un interessato gode a norma di detto regolamento. Orbene, tale condizione non sarebbe soddisfatta.

 

34.      Detto giudice sottolinea infatti che le conclusioni dell’Unione federale vertono sul controllo astratto della presentazione dell’app center da parte di Facebook Ireland alla luce del diritto oggettivo della protezione dei dati, senza che essa abbia dedotto la violazione dei diritti di una persona fisica identificata o identificabile ai sensi dell’articolo 4, punto 1, del regolamento 2016/679.

 

35.      Il giudice del rinvio osserva che, ove si riconosca che, a seguito dell’entrata in vigore del regolamento 2016/679, l’Unione federale ha perso la legittimazione ad agire fondata sulle succitate disposizioni del diritto tedesco, esso dovrebbe accogliere il ricorso in cassazione («Revision») proposto da Facebook Ireland e respingere l’azione dell’Unione federale, poiché, in base al diritto processuale tedesco, la legittimazione ad agire deve persistere sino alla conclusione dell’ultimo grado di giudizio.

 

36.      Alla luce delle considerazioni che precedono, il Bundesgerichtshof (Corte federale di giustizia) ha deciso di sospendere il procedimento e di sottoporre alla Corte la seguente questione pregiudiziale:

 

«Se le disposizioni del capo VIII, in particolare dell’articolo 80, paragrafi 1 e 2, nonché dell’articolo 84, paragrafo 1, del regolamento (UE) 2016/679 ostino a normative nazionali le quali – oltre ai poteri di intervento delle autorità di controllo preposte alla sorveglianza e all’attuazione [di detto] regolamento e ai mezzi di ricorso a disposizione degli interessati – conferiscano ai concorrenti, da un lato, e ad associazioni, enti e camere di commercio legittimate in base alla normativa nazionale, dall’altro, la facoltà di adire i giudici civili per violazioni del regolamento (UE) 2016/679, nei confronti dell’autore della violazione, indipendentemente dalla lesione di diritti specifici dei singoli interessati e in assenza di un mandato dell’interessato, mediante un ricorso fondato sul divieto di pratiche commerciali sleali ovvero sulla violazione di norme poste a tutela dei consumatori ovvero, infine, sul divieto di applicare condizioni generali di contratto invalide».

 

37.      L’Unione federale, Facebook Ireland, i governi austriaco e portoghese e la Commissione hanno depositato osservazioni scritte. Dette parti, fatta eccezione per il governo portoghese, e il governo tedesco hanno presentato osservazioni orali all’udienza del 23 settembre 2021.

 

IV.    Analisi

 

38.      Con la sua questione, il giudice del rinvio chiede, sostanzialmente, se il regolamento 2016/679, e in particolare l’articolo 80, paragrafo 2, di quest’ultimo, debba essere interpretato nel senso che osta a una normativa nazionale che consente alle associazioni per la tutela degli interessi dei consumatori di agire in giudizio contro il presunto autore di una lesione della protezione dei dati personali, invocando il divieto di pratiche commerciali sleali, la violazione di norme poste a tutela dei consumatori o il divieto di applicare condizioni generali invalide.

 

39.      A termini dell’articolo 4, punto 1, del regolamento 2016/679, un «interessato», ai sensi detto regolamento, è «una persona fisica identificata o identificabile». Una tale persona, qualora ritenga che i suoi dati personali siano stati oggetto di un trattamento contrario alle disposizioni del regolamento in questione, dispone di numerosi strumenti.

 

40.      In forza dell’articolo 77 del medesimo regolamento, l’interessato ha il diritto di proporre reclamo all’autorità di controllo. Inoltre, ai sensi dell’articolo 78 del regolamento 2016/679, tale persona ha diritto a un ricorso giurisdizionale effettivo nei confronti dell’autorità di controllo. L’articolo 79, paragrafo 1, del regolamento de quo conferisce poi a ogni interessato il diritto a un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma di detto regolamento siano stati violati a seguito di un trattamento dei suoi dati personali non conforme al regolamento stesso.

 

41.      Gli interessati possono, beninteso, proporre essi stessi un reclamo all’autorità di controllo o avvalersi dei ricorsi giurisdizionali sopra descritti. Tuttavia, l’articolo 80 del regolamento 2016/679 prevede, a determinate condizioni, la possibilità per dette persone di essere rappresentate da un organismo, da un’organizzazione o da un’associazione senza scopo di lucro. Oltre ai ricorsi individuali, il diritto dell’Unione prevede così diverse possibilità di azioni rappresentative condotte attraverso enti incaricati di rappresentare gli interessati (10). L’articolo 80 del regolamento 2016/679 s’inserisce quindi nella tendenza a sviluppare azioni rappresentative promosse da enti siffatti con l’obiettivo di tutelare interessi generali o collettivi, quale strumento volto a rafforzare l’accesso alla giustizia delle persone lese dalla violazione delle disposizioni di cui trattasi (11).

 

42.      L’articolo 80 del regolamento 2016/679, recante il titolo «Rappresentanza degli interessati», si compone di due paragrafi. Il primo concerne la situazione in cui un interessato dà mandato a un organismo, a un’organizzazione o a un’associazione affinché lo rappresentino. Il secondo riguarda l’azione rappresentativa esercitata da un ente indipendentemente dal mandato conferito dall’interessato.

 

43.      Posto che l’azione proposta dall’Unione federale non si fonda sul mandato di un interessato, è l’articolo 80, paragrafo 2, del regolamento 2016/679 ad essere pertinente nell’ambito del presente rinvio pregiudiziale.

 

A.      Sentenza Fashion ID

 

44.      Nella sentenza Fashion ID, la Corte si è pronunciata, con riferimento alla direttiva 95/46, su una questione simile a quella sottoposta nell’ambito del presente rinvio pregiudiziale. Essa ha così stabilito che «gli articoli da 22 a 24 [di detta direttiva] devono essere interpretati nel senso che non ostano a una normativa nazionale che consente alle associazioni per la tutela degli interessi dei consumatori di agire in giudizio contro il presunto autore di una lesione della protezione dei dati personali» (12).

 

45.      Nel pervenire a detta conclusione, la Corte ha preso le mosse dalla constatazione che nessuna disposizione della direttiva 95/46 imponeva agli Stati membri l’obbligo di prevedere – né li autorizzava espressamente a prevedere – nel loro diritto nazionale, la possibilità per un’associazione di rappresentare in giudizio una persona interessata o di promuovere di propria iniziativa un’azione giudiziaria contro il presunto autore di una lesione della protezione dei dati personali (13). A parere della Corte, ciò non significava però che la direttiva in questione ostasse a una normativa nazionale che consentiva alle associazioni per la tutela degli interessi dei consumatori di agire in giudizio contro il presunto autore di una siffatta lesione (14). A tale riguardo, la Corte ha sottolineato le peculiarità di una direttiva e l’obbligo per gli Stati membri destinatari di adottare tutti i provvedimenti necessari a garantire la piena efficacia della direttiva in questione, conformemente all’obiettivo che essa persegue (15).

 

46.      La Corte ha quindi ricordato che la direttiva 95/46 aveva per obiettivi di «garantire una tutela efficace e completa delle libertà e dei diritti fondamentali delle persone fisiche, in particolare del diritto alla vita privata, con riguardo al trattamento dei dati personali» e di «garantire un elevato grado di tutela nell’Unione [europea]» (16). Orbene, secondo la Corte, il fatto che uno Stato membro preveda nella propria normativa nazionale la possibilità per un’associazione per la tutela degli interessi dei consumatori di promuovere un’azione giudiziaria contro il presunto autore di una lesione della protezione dei dati personali contribuiva alla realizzazione di detti obiettivi (17). La Corte ha sottolineato inoltre che «gli Stati membri dispongono sotto molti aspetti di un margine di manovra al fine di trasporre la [direttiva 95/46]» (18), in particolare rispetto agli articoli da 22 a 24, i quali «sono redatti in termini generali e non operano un’armonizzazione esaustiva delle disposizioni nazionali relative ai ricorsi giurisdizionali che possono essere proposti nei confronti del presunto autore di una lesione della protezione dei dati personali» (19). Così, «il fatto di prevedere la possibilità per un’associazione per la tutela degli interessi dei consumatori di promuovere un’azione giudiziaria contro il presunto autore di una lesione alla protezione dei dati personali risulta poter costituire una misura appropriata, ai sensi [dell’articolo 24 di detta direttiva], [il] quale (...) contribuisce alla realizzazione degli obiettivi di detta direttiva, conformemente alla giurisprudenza della Corte» (20).

 

47.      Il presente rinvio pregiudiziale invita la Corte a stabilire se ciò che poteva essere ammesso nella vigenza della direttiva 95/46 debba ora essere vietato a seguito dell’entrata in vigore del regolamento 2016/679. In altre parole, si tratta di stabilire se l’articolo 80, paragrafo 2, di detto regolamento abbia l’effetto giuridico di eliminare la legittimazione di un’associazione per la tutela degli interessi dei consumatori ad agire nel quadro di un’azione come quella oggetto del procedimento principale.

 

48.      Vi è ragione di dubitarne già, semplicemente, alla luce della lettura del punto 62 della sentenza Fashion ID, in cui la Corte ha osservato che il fatto che il regolamento 2016/679 «autorizzi espressamente, all’articolo 80, paragrafo 2, gli Stati membri a consentire alle associazioni per la tutela degli interessi dei consumatori di agire in giudizio contro il presunto autore di una lesione della protezione dei dati personali non implica affatto che gli Stati membri non potessero conferire loro tale diritto nella vigenza della direttiva 95/46, ma conferma, al contrario, che l’interpretazione di quest’ultima accolta nella presente sentenza riflette la volontà del legislatore dell’Unione» (21).

 

49.      Per le ragioni che vado qui di seguito ad illustrare, ritengo che né la sostituzione della direttiva 95/46 con un regolamento, né il fatto che il regolamento 2016/679 dedichi ora un articolo alla rappresentanza degli interessati nel quadro delle azioni in giudizio possano rimettere in discussione quanto stabilito dalla Corte nella sentenza Fashion ID, vale a dire che gli Stati membri possono prevedere nella loro normativa nazionale la possibilità per le associazioni per la tutela degli interessi dei consumatori di agire in giudizio contro il presunto autore di una lesione della protezione dei dati personali.

 

B.      Caratteristiche peculiari del regolamento 2016/679

 

50.      Per quanto attiene alla sostituzione della direttiva 95/46 con una norma di natura diversa, vale a dire il regolamento 2016/679, occorre osservare che la scelta del legislatore dell’Unione di ricorrere alla forma giuridica del regolamento che, ai sensi dell’articolo 288 TFUE, è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri, si spiega alla luce della sua volontà, espressa nel considerando 13 del regolamento 2016/679, di assicurare un livello coerente di protezione delle persone fisiche in tutta l’Unione e prevenire disparità che possono ostacolare la libera circolazione dei dati personali nel mercato interno. Di conseguenza, il regolamento de quo sembra, a prima vista, tendere verso un’armonizzazione completa, non limitandosi quindi a fissare norme minime che gli Stati membri potrebbero rendere più stringenti e senza lasciare a detti Stati la scelta di derogare, integrare o attuare le sue disposizioni, al fine di garantire che l’applicazione simultanea e uniforme nell’Unione delle disposizioni di detto regolamento non sia compromessa.

 

51.      La realtà si è rivelata più complessa. La base giuridica del regolamento 2016/679, vale a dire l’articolo 16 TFUE (22), impedisce di ritenere che, adottando detto regolamento, l’Unione abbia inteso intervenire con effetto preclusivo in tutte le ramificazioni che la protezione dei dati personali può avere in altri settori concernenti, segnatamente, il diritto del lavoro, il diritto della concorrenza o, ancora, la normativa in materia di tutela dei consumatori, privando gli Stati membri della possibilità di adottare regole specifiche in detti settori in maniera più o meno autonoma a seconda che si tratti di un ambito disciplinato o meno dal diritto dell’Unione (23). In questo senso, benché la protezione dei dati personali sia per sua natura trasversale, l’armonizzazione operata dal regolamento 2016/679 è circoscritta agli aspetti specificamente trattati da detto regolamento in tale settore. Al di fuori di essi, gli Stati membri restano liberi di legiferare, a condizione che non violino il contenuto e gli obiettivi del regolamento in questione.

 

52.      Inoltre, se si analizzano in dettaglio le disposizioni del regolamento 2016/679, occorre constatare che la portata dell’armonizzazione operata da detto regolamento varia a seconda delle disposizioni considerate. La determinazione della portata normativa del regolamento de quo richiede quindi un esame caso per caso (24). Benché si possa ritenere, in linea con la giurisprudenza relativa alla direttiva 95/46 (25), che il regolamento 2016/679 procede a un’armonizzazione che «in linea di principio, è completa», numerose disposizioni di detto regolamento riconoscono tuttavia agli Stati membri un margine di manovra, di cui questi ultimi devono o possono, a seconda dei casi, avvalersi alle condizioni e nei limiti previsti da dette stesse disposizioni (26).

 

53.      Si deve ricordare che, secondo consolidata giurisprudenza della Corte, «in forza dell’articolo 288 TFUE e per la natura stessa dei regolamenti e della loro funzione nel sistema delle fonti del diritto dell’Unione, le disposizioni dei regolamenti producono, in via generale, effetti immediati negli ordinamenti giuridici nazionali, senza che le autorità nazionali debbano adottare misure di applicazione. Tuttavia, talune di tali disposizioni possono richiedere, per la loro attuazione, l’adozione di misure di applicazione da parte degli Stati membri» (27). Il ricorso a un regolamento non implica necessariamente la mancanza di ogni margine d’azione concessa ai soggetti di diritto dalle disposizioni di detto regolamento (28). Inoltre, il carattere obbligatorio e la diretta applicabilità di un regolamento non impediscono che un atto di tale natura contenga delle norme facoltative (29).

 

54.      L’articolo 80, paragrafo 2, del regolamento 2016/679 rappresenta, visto l’impiego del termine «possono» un esempio di disposizione facoltativa che riconosce agli Stati membri un margine di discrezionalità nella sua attuazione.

 

55.      La disposizione di cui trattasi rientra nelle numerose «clausole di apertura» contenute in detto regolamento che ne determinano la peculiarità rispetto a un classico regolamento e lo avvicinano a una direttiva (30). I rinvii al diritto nazionale presenti in dette clausole possono essere obbligatori (31), ma costituiscono tuttavia più di frequente una facoltà rimessa agli Stati membri (32). Si è osservato che questi numerosi rinvii ai diritti nazionali possono comportare il rischio di una nuova frammentazione del regime della protezione dei dati personali in seno all’Unione, andando in controtendenza rispetto alla volontà espressa dal legislatore dell’Unione di pervenire a una maggiore uniformazione di detto regime e possono avere un impatto negativo sull’efficacia di detta protezione oltre che sulla chiarezza degli obblighi gravanti sui titolari e sui responsabili del trattamento (33). La portata dell’armonizzazione realizzata dal regolamento 2016/679 viene così ad essere limitata da numerose «clausole di salvaguardia» presenti all’interno di detto regolamento.

 

56.      È chiaro che, rispetto a quanto avveniva con la direttiva 95/46, con il regolamento 2016/679 il legislatore dell’Unione ha inteso disciplinare in maniera più estesa e più precisa a livello di Unione gli aspetti concernenti la rappresentanza degli interessati in vista della presentazione di un reclamo all’autorità di controllo o di un’azione giudiziaria (34). Tuttavia, i paragrafi 1 e 2 dell’articolo 80 del suddetto regolamento non hanno la medesima portata normativa. Infatti, mentre il paragrafo 1 di detto articolo è vincolante per gli Stati membri (35), il suo paragrafo 2 offre unicamente una facoltà a questi ultimi. Così, ai fini dell’esercizio dell’azione rappresentativa senza mandato prevista nell’articolo 80, paragrafo 2, del suddetto regolamento, gli Stati membri devono avvalersi della facoltà loro riconosciuta da detta disposizione di prevedere, nel proprio diritto nazionale, tale modalità di rappresentanza degli interessati.

 

57.      Non è possibile ritenere che l’articolo 80, paragrafo 2, del regolamento 2016/679 realizzi una piena armonizzazione delle azioni rappresentative senza mandato in materia di protezione dei dati personali, non fosse altro per il suo carattere facoltativo e per le possibili differenze tra le normative nazionali che esso comporta. Tuttavia, nell’attuare la disposizione di cui trattasi nei rispettivi diritti nazionali, gli Stati membri sono tenuti a rispettare le condizioni e i limiti entro i quali il legislatore dell’Unione ha inteso disciplinare l’esercizio della possibilità prevista in detta disposizione.

 

58.      Benché, rispetto a quanto avveniva con la direttiva 95/46, la regolamentazione diventi più precisa, gli Stati membri mantengono malgrado tutto una certa discrezionalità nell’attuazione dell’articolo 80, paragrafo 2, del regolamento 2016/679.

 

59.      Dagli elementi a disposizione della Corte emerge che, a seguito dell’entrata in vigore del regolamento in parola, il legislatore tedesco non ha adottato alcuna disposizione destinata specificamente a dare attuazione, nel suo diritto nazionale, all’articolo 80, paragrafo 2, del suddetto regolamento. Tuttavia - ed è questo che il giudice del rinvio chiede alla Corte - occorre esaminare se le regole preesistenti del diritto tedesco, che riconoscono a un’associazione per la tutela degli interessi dei consumatori la legittimazione ad agire per ottenere l’inibitoria di una condotta integrante una violazione delle disposizioni del regolamento 2016/679 e delle norme a tutela, in particolare, dei consumatori, siano compatibili con la disposizione in questione. In altre parole, occorre stabilire se il diritto nazionale preesistente all’entrata in vigore di questo regolamento sia in linea con quanto consentito dall’articolo 80, paragrafo 2, del medesimo regolamento.

 

60.      Come precisato dal governo tedesco in udienza, le disposizioni nazionali che autorizzano un’associazione quale l’Unione federale a proporre un’azione rappresentativa come quella oggetto del procedimento principale costituiscono misure di recepimento della direttiva 2009/22. Per stabilire se l’articolo 80, paragrafo 2, del regolamento 2016/679 autorizzi anch’esso una siffatta azione e, quindi, se tali disposizioni nazionali rientrino nel margine di discrezionalità riconosciuto a ciascuno Stato membro (36), occorre interpretare detto articolo tenendo conto, in particolare, della sua formulazione e dell’impianto sistematico e degli obiettivi del regolamento di cui trattasi.

 

C.      Interpretazione letterale, sistematica e teleologica dell’articolo 80, paragrafo 2, del regolamento 2016/679

 

61.      Ai sensi dell’articolo 80, paragrafo 2, del regolamento 2016/679, le azioni rappresentative ivi previste possono essere esercitate da «[ogni] organismo, organizzazione o associazione di cui al paragrafo 1» di detto articolo. L’articolo 80, paragrafo 1, di detto regolamento concerne «un organismo, un’organizzazione o un’associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali». Una tale definizione non può, a mio avviso, essere limitata agli enti che hanno per obiettivo unico ed esclusivo la protezione dei dati personali, ma si estende a tutti quelli che perseguono un obiettivo di interesse pubblico collegato con la protezione dei dati personali. È il caso delle associazioni per la tutela degli interessi dei consumatori, come l’Unione federale, chiamate ad agire per ottenere l’inibitoria di condotte che, violando le disposizioni di detto regolamento, violano anche le norme in materia di protezione dei consumatori o di lotta alla concorrenza sleale (37).

 

62.      In base alla formulazione dell’articolo 80, paragrafo 2, del regolamento 2016/679, l’azione rappresentativa può essere esercitata da un ente che soddisfa le condizioni indicate nel paragrafo 1 di detto articolo qualora «ritenga che i diritti di cui un interessato gode a norma [di tale] regolamento siano stati violati in seguito al trattamento». Diversamente da quanto sembra far intendere il giudice del rinvio, non credo che quest’ultima parte della frase debba essere interpretata restrittivamente, nel senso che, per essere legittimato ad agire in linea con quanto previsto dall’articolo 80, paragrafo 2, del regolamento 2016/679, un ente debba preliminarmente individuare una o più persone concretamente lese dal trattamento in questione. I lavori preparatori all’adozione di detto regolamento non indicano alcunché in tal senso. Non solo: la definizione stessa della nozione di «interessato», ai sensi dell’articolo 4, punto 1, di detto regolamento, vale a dire una «persona fisica identificata o identificabile» (38), mi sembra inconciliabile con l’esigenza di identificare le persone oggetto di un trattamento contrario alle disposizioni del regolamento 2016/679 già all’atto dell’introduzione di un’azione rappresentativa ai sensi dell’articolo 80, paragrafo 2, di detto regolamento. Ne consegue logicamente che non è possibile esigere, in forza di detta disposizione, che un ente indichi l’esistenza di casi concreti riferiti a persone individualmente designate per poter agire in maniera conforme alla disposizione succitata.

 

63.      A mio parere, l’avvio di un’azione rappresentativa ai sensi dell’articolo 80, paragrafo 2, del regolamento 2016/679 presuppone unicamente che sia dedotta in giudizio l’esistenza di un trattamento di dati personali contrario a disposizioni del medesimo regolamento che tutelano i diritti individuali e idoneo quindi a ledere i diritti di persone identificate o identificabili, senza che la legittimazione ad agire di un ente sia assoggettata alla verifica caso per caso della lesione dei diritti di una o più persone determinate (39). Nel complesso, un’azione siffatta deve essere fondata sulla violazione dei diritti che una persona fisica può trarre da detto regolamento a seguito di un trattamento dei suoi dati personali. Tale azione non mira a tutelare un diritto oggettivo, ma soltanto i diritti soggettivi che gli interessati traggono direttamente dal regolamento 2016/679 (40). In altre parole, la clausola di apertura presente nell’articolo 80, paragrafo 2, del regolamento in parola mira a consentire agli enti autorizzati di ottenere la verifica da parte dell’autorità di controllo o di un’autorità giurisdizionale del rispetto, da parte dei titolari del trattamento, delle disposizioni a tutela degli interessati contenute in tale regolamento (41). In tale prospettiva, affinché un ente sia legittimato ad agire in forza di detta disposizione, è sufficiente che dia atto della violazione di disposizioni del regolamento 2016/679 finalizzate a tutelare i diritti soggettivi degli interessati.

 

64.      Come indica, sostanzialmente, la Commissione, un’interpretazione dell’articolo 80, paragrafo 2, del regolamento 2016/679 secondo cui, per poter esercitare un’azione rappresentativa senza mandato, un ente dovrebbe dimostrare o dedurre che una persona determinata è stata lesa nei suoi diritti in una situazione specifica, limiterebbe eccessivamente l’ambito di applicazione di detta disposizione. In linea con il governo portoghese e con la Commissione, ritengo che l’articolo 80, paragrafo 2, di detto regolamento dovrebbe essere fatto oggetto di un’interpretazione che ne preservi l’effetto utile rispetto al paragrafo 1 di detto articolo. Di conseguenza, a mio avviso, l’articolo 80, paragrafo 2, del suddetto regolamento deve essere interpretato nel senso che va oltre la rappresentanza di casi individuali, oggetto del paragrafo 1 di detto articolo, riconoscendo la possibilità di una rappresentanza su iniziativa degli enti autorizzati ed autonoma degli interessi collettivi delle persone i cui dati personali sono stati trattati con modalità contrarie al regolamento 2016/679. L’effetto utile dell’articolo 80, paragrafo 2, del regolamento di cui trattasi sarebbe fortemente ridotto se, come richiesto nel paragrafo 1 di detto articolo, l’azione di un ente fosse limitata in entrambi i casi alla rappresentanza di persone indicate per nome ed individualmente.

 

65.      La mia interpretazione dell’articolo 80, paragrafo 2, del regolamento 2016/679 è altresì coerente con la natura preventiva e la finalità dissuasiva delle azioni inibitorie nonché con la loro indipendenza nei confronti di qualsiasi conflitto individuale (42).

 

66.      Salvo rischiare di creare due standard diversi di legittimazione ad agire degli enti autorizzati a proporre un’azione inibitoria, a seconda che tale azione sia fondata su una misura nazionale rientrante nell’ambito di applicazione dell’articolo 80, paragrafo 2, del regolamento 2016/679 o in quello della direttiva 2020/1828, mi sembra opportuno tener conto del fatto che, sebbene quest’ultima non trovi applicazione nel quadro del procedimento principale, essa richiede a tali enti non già di dedurre in giudizio l’esistenza di singoli consumatori indicati per nome che sarebbero stati lesi dalla violazione di cui trattasi (43), bensì di dedurre in giudizio violazioni commesse da professionisti delle disposizioni del diritto dell’Unione di cui all’allegato I della suddetta direttiva (44), che menziona peraltro, nel suo punto 56, il regolamento 2016/679.

 

67.      La tesi favorevole a un’interpretazione restrittiva dell’articolo 80, paragrafo 2, del regolamento 2016/679 contrappone, a mio avviso, erroneamente, la tutela degli interessi collettivi dei consumatori (45) e la protezione dei diritti riconosciuti a ogni singola persona oggetto di un trattamento che si suppone contrario al regolamento de quo. La difesa degli interessi collettivi dei consumatori non esclude infatti, a mio parere, la protezione dei diritti soggettivi che le persone interessate traggono direttamente dal regolamento 2016/679; al contrario, essa va ad integrare una tale protezione.

 

68.      Nell’indicazione presente nel considerando 15 della direttiva 2020/1828, secondo cui «i meccanismi di applicazione previsti dal regolamento (...) 2016/679 (...) o basati su quest’ultimo potrebbero, se del caso, continuare a essere usati per la tutela degli interessi collettivi dei consumatori» (46), vedo una conferma del fatto che l’azione rappresentativa prevista nell’articolo 80, paragrafo 2, di detto regolamento può riguardare la tutela di tali interessi.

 

69.      Dagli elementi che precedono deduco che l’articolo 80, paragrafo 2, del regolamento 2016/679 autorizza, a mio avviso, gli Stati membri a prevedere che gli enti autorizzati possano, senza il mandato degli interessati, proporre azioni rappresentative dirette a proteggere gli interessi collettivi dei consumatori, quando sia dedotta la violazione di disposizioni del regolamento in questione che conferiscono diritti soggettivi agli interessati.

 

70.      Orbene, proprio questo è il caso dell’azione inibitoria proposta dall’Unione federale nei confronti di Facebook Ireland.

 

71.      Ricordo infatti che, secondo il giudice del rinvio e in linea con le conclusioni dell’Unione federale, Facebook Ireland è venuta meno all’obbligo ad essa incombente in forza dell’articolo 12, paragrafo 1, prima frase, del regolamento 2016/679, di fornire all’interessato, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, le informazioni di cui all’articolo 13, paragrafo 1, lettere c) ed e), di detto regolamento, relative alla finalità del trattamento dei dati e al destinatario dei dati personali. Queste disposizioni rientrano certamente nella categoria di quelle che conferiscono agli interessati diritti soggettivi, come confermato, in particolare, dalla constatazione che esse figurano nel capo III del regolamento di cui trattasi, dal titolo «Diritti dell’interessato». La protezione di questi diritti può pertanto essere reclamata sia direttamente dagli interessati, sia da un ente legittimato ai sensi dell’articolo 80, paragrafo 1, del regolamento 2016/679 o delle disposizioni nazionali che danno attuazione all’articolo 80, paragrafo 2, di detto regolamento.

 

72.      Ritengo altresì che l’articolo 80, paragrafo 2, del regolamento 2016/679 non osti a disposizioni nazionali che autorizzano un’associazione per la tutela degli interessi dei consumatori a esercitare un’azione inibitoria al fine di garantire il rispetto dei diritti conferiti da detto regolamento mediante norme volte a proteggere i consumatori o a contrastare le pratiche commerciali sleali. Tali norme possono infatti includere disposizioni simili a quelle contenute in detto regolamento, in particolare per quanto attiene alle informazioni che devono essere fornite agli interessati in merito al trattamento dei dati personali (47), il che comporta che la violazione di una norma in materia di protezione dei dati personali può contemporaneamente integrare la violazione di norme concernenti la protezione dei consumatori o le pratiche commerciali sleali. Nulla nel tenore letterale dell’articolo 80, paragrafo 2, del regolamento 2016/679 impedisce un’attuazione parziale di detta clausola di apertura, nel senso che l’azione rappresentativa mira a proteggere, nella loro qualità di consumatori, i diritti che gli interessati traggono da detto regolamento (48).

 

73.      A mio avviso, l’interpretazione così proposta dell’articolo 80, paragrafo 2, del regolamento 2016/679 è quella che consente al meglio di conseguire gli obiettivi perseguiti dal regolamento di cui trattasi.

 

74.      A tal riguardo, la Corte ha osservato che, «come risulta dall’articolo 1, paragrafo 2, del regolamento 2016/679, in combinato disposto con i considerando 10, 11 e 13 di tale regolamento, quest’ultimo affida alle istituzioni, agli organi e agli organismi dell’Unione, nonché alle autorità competenti degli Stati membri, il compito di assicurare un livello elevato di tutela dei diritti garantiti dall’articolo 16 TFUE e dall’articolo 8 della Carta [dei diritti fondamentali dell’Unione europea]» (49). Inoltre, detto regolamento mira a «garantire una tutela efficace delle libertà e dei diritti fondamentali delle persone fisiche, segnatamente del diritto alla tutela della vita privata e alla protezione dei dati personali» (50).

 

75.      Contrasterebbe con l’obiettivo di garantire un elevato livello di protezione dei dati personali impedire agli Stati membri di prevedere azioni che, pur perseguendo un obiettivo di protezione dei consumatori, contribuiscono anche a conseguire l’obiettivo della protezione dei dati personali. In linea con quanto valeva per la direttiva 95/46, si può ancora sostenere, dopo l’entrata in vigore del regolamento 2016/679, che il riconoscimento della legittimazione ad agire alle associazioni per la tutela degli interessi dei consumatori al fine di ottenere l’inibitoria di trattamenti contrari alle disposizioni di detto regolamento contribuisce al rafforzamento dei diritti delle persone interessate attraverso mezzi di ricorso collettivi (51).

 

76.      La difesa degli interessi collettivi dei consumatori da parte delle associazioni è così particolarmente adatta al conseguimento dell’obiettivo di instaurare un livello elevato di protezione dei dati personali. In tale prospettiva, la funzione preventiva delle azioni proposte da dette associazioni non potrebbe essere garantita se l’azione rappresentativa prevista all’articolo 80, paragrafo 2, del regolamento 2016/679 consentisse di invocare unicamente la violazione dei diritti di una persona individualmente e concretamente lesa da tale violazione.

 

77.      Un’azione inibitoria proposta da un’associazione per la tutela degli interessi dei consumatori, come l’Unione federale, contribuisce quindi incontestabilmente all’applicazione efficace dei diritti tutelati dal regolamento 2016/679 (52).

 

78.      Sarebbe inoltre quantomeno paradossale che il rafforzamento degli strumenti di controllo delle norme in materia di protezione dei dati personali voluto dal legislatore dell’Unione con l’adozione del regolamento 2016/679 si traducesse, in definitiva, in un abbassamento del livello di detta protezione rispetto a quello che gli Stati membri potevano garantire nella vigenza della direttiva 95/46.

 

79.      È vero che, a differenza di quanto accaduto negli Stati Uniti d’America, nel diritto dell’Unione le normative concernenti, da una parte, le pratiche commerciali sleali e, dall’altra, la protezione dei dati personali si sono sviluppate separatamente. I due settori sono così oggetto di quadri normativi diversi.

 

80.      Esistono, tuttavia, interazioni tra questi due settori, cosicché azioni che si inseriscono nel quadro della normativa in materia di protezione dei dati personali possono, contemporaneamente e in maniera indiretta, contribuire a far cessare una pratica commerciale sleale. È vero anche l’opposto (53). Del resto, un legame tra la protezione dei dati personali, sotto il profilo del consenso al trattamento di tali dati, e la protezione dei consumatori trova espressione nel regolamento 2016/679 stesso, segnatamente nel suo considerando 42. Anche la Commissione ha sottolineato le interazioni tra la normativa dell’Unione in materia di protezione dei dati personali e la direttiva 2005/29/CE (54).

 

81.      Le interazioni tra la normativa in materia di protezione dei dati personali, quella in materia di tutela dei consumatori e quella in materia di concorrenza sono frequenti e numerose, posto che una stessa condotta può rientrare contemporaneamente nelle norme di diritto appartenenti a questi diversi settori. Tali interazioni contribuiscono a rendere più efficace la protezione dei dati personali (55).

 

82.      I beneficiari dei diritti previsti nel regolamento 2016/679 non sono di certo circoscritti alla categoria dei consumatori, dal momento che detto regolamento non si basa su una concezione consumerista della protezione delle persone fisiche in relazione al trattamento dei dati personali (56), bensì sull’idea che detta protezione è, conformemente all’articolo 8 della Carta dei diritti fondamentali e come indica in particolare il considerando 1 e l’articolo 1, paragrafo 2, di detto regolamento, un diritto fondamentale (57).

 

83.      Tuttavia, nell’era dell’economia digitale, gli interessati hanno di frequente lo status di consumatori. Per questa ragione, le disposizioni a tutela dei consumatori sono spesso fatte valere per garantire a questi ultimi una protezione contro il trattamento dei loro dati personali lesiva delle disposizioni del regolamento 2016/679.

 

84.      A conclusione di questa analisi, occorre riconoscere che può verificarsi una sovrapposizione tra l’azione rappresentativa prevista nell’articolo 80, paragrafo 2, del regolamento 2016/679 e quella prevista dalla direttiva 2020/1828 al fine di ottenere provvedimenti inibitori quando gli «interessati», ai sensi di detto regolamento, hanno anche lo status di «consumatore», a norma dell’articolo 3, punto 1, di detta direttiva (58). Vi leggo un segnale di complementarità e convergenza tra la normativa in materia di protezione dei dati personali e quella di altri settori del diritto, come la normativa in materia di tutela dei consumatori e di concorrenza. Con l’adozione della suddetta direttiva, il legislatore dell’Unione ha spinto ancora oltre tale tendenza collegando esplicitamente la protezione degli interessi collettivi dei consumatori al rispetto del regolamento 2016/679. L’efficace applicazione delle disposizioni contenute in quest’ultimo potrà solo uscirne rafforzata.

 

V.      Conclusione

 

85.      Alla luce di tutte le considerazioni che precedono, propongo di rispondere alla questione pregiudiziale posta dal Bundesgerichtshof (Corte federale di giustizia, Germania) come segue:

 

L’articolo 80, paragrafo 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che non osta a una normativa nazionale che consente alle associazioni per la tutela degli interessi dei consumatori di agire in giudizio contro il presunto autore di una lesione della protezione dei dati personali, invocando il divieto di pratiche commerciali sleali, la violazione di norme poste a tutela dei consumatori o il divieto di applicare condizioni generali invalide, se l’azione rappresentativa di cui trattasi mira a ottenere il rispetto di diritti che le persone oggetto del trattamento contestato traggono direttamente da detto regolamento.

 

1      Lingua originale: il francese.

 

2      Regolamento del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1).

 

3      Direttiva del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31).

 

4      V. sentenza del 29 luglio 2019, Fashion ID (C-40/17; in prosieguo: la «sentenza Fashion ID», EU:C:2019:629).

 

5      V., altresì, considerando 142 di detto regolamento.

 

6      BGBl. 2004 I, pag. 1414; in prosieguo: l’«UWG».

 

7      BGBl. 2001 I, pag. 3138, 3173; in prosieguo: l’«UKlaG».

 

8      GU 2009, L 110, pag. 30.

 

9      BGBl. 2007 I, pag. 179; in prosieguo: il «TMG».

 

10      La rappresentanza degli interessati è prevista anche all’articolo 67 del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU 2018, L 295, pag. 39), e all’articolo 55 della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU 2016, L 119, pag. 89). In questi due casi si tratta di una rappresentanza con mandato.

 

11      Questa tendenza, concretizzata segnatamente dalla direttiva 2009/22, si è tradotta nell’adozione, di recente, della direttiva (UE) 2020/1828 del Parlamento europeo e del Consiglio, del 25 novembre 2020, relativa alle azioni rappresentative a tutela degli interessi collettivi dei consumatori e che abroga la direttiva 2009/22/CE (GU 2020, L 409, pag. 1). Il termine di recepimento di quest’ultima direttiva è fissato al 25 dicembre 2022. V., su questo tema, Pato, A., «Collective Redress Mechanisms in the EU», Jurisdiction and Cross-Border Collective Redress: A European Private International Law Perspective, Bloomsbury Publishing, Londra, 2019, pagg. da 45 a 117. V., altresì, Gsell, B., «The New European Directive on Representative Actions for the Collective Interests of Consumers – A Huge, but Blurry Step Forward», Common Market Law Review, vol. 58, Issue 5, Kluwer Law International, Alphen aan den Rijn, 2021, pagg. da 1365 a 1400.

 

12      V. sentenza Fashion ID (punto 63 e dispositivo).

 

13      V. sentenza Fashion ID (punto 47).

 

14      V. sentenza Fashion ID (punto 48).

 

15      V. sentenza Fashion ID (punto 49).

 

16      V. sentenza Fashion ID (punto 50).

 

17      V. sentenza Fashion ID (punto 51).

 

18      V. sentenza Fashion ID (punto 56 e giurisprudenza citata).

 

19      V. sentenza Fashion ID (punto 57 giurisprudenza citata).

 

20      V. sentenza Fashion ID (punto 59).

 

21      Il corsivo è mio.

 

22      Come sottolineato dalla Corte nella sentenza del 15 giugno 2021, Facebook Ireland e a. (C-645/19, EU:C:2021:483, punto 44).

 

23      Dal preambolo del regolamento 2016/679 emerge che quest’ultimo è stato adottato sulla base dell’articolo 16 TFUE, il cui paragrafo 2 stabilisce, in particolare, che il Parlamento europeo e il Consiglio, deliberando secondo la procedura legislativa ordinaria, stabiliscono le norme relative, da una parte, alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale da parte delle istituzioni, degli organi e degli organismi dell’Unione, nonché da parte degli Stati membri nell’esercizio di attività che rientrano nel campo di applicazione del diritto dell’Unione, e, dall’altra, le norme relative alla libera circolazione di tali dati.

 

24      La determinazione della portata dell’armonizzazione operata da una norma come quella del regolamento 2016/679 richiede quindi di procedere a «una microanalisi, incentrata su una norma specifica o, tutt’al più, su un aspetto specifico e chiaramente definito del diritto dell’Unione»: v. conclusioni dell’avvocato generale Bobek nella causa Dzivev e a. (C-310/16, EU:C:2018:623, paragrafo 74). V., altresì, Mišcenic, E., e Hoffmann, A.-L., «The Role of Opening Clauses in Harmonization of EU Law: Example of the EU’s General Data Protection Regulation (GDPR)», EU and Comparative Law Issues and Challenges Series (ECLIC), Josip Juraj Strossmayer University of Osijek, Faculty of Law Osijek, Osijek, 2020, Issue 4, pagg. da 44 a 61, che osservano: «[i]t is (...) possible for a harmonization measure, either EU directive or regulation, to have a full harmonization effect with respect to certain provisions, but not all of them» (pag. 49).

 

25      V. sentenza del 6 novembre 2003, Lindqvist (C-101/01, EU:C:2003:596, punto 96).

 

26      V., con riferimento alla direttiva 95/46, sentenza del 6 novembre 2003, Lindqvist (C-101/01, EU:C:2003:596, punto 97). Contrariamente a certe idee preconcette, la scelta del legislatore dell’Unione di ricorrere a un regolamento invece che a una direttiva non si traduce necessariamente in un’armonizzazione completa del settore considerato. V. Mišcenic, E., e Hoffmann, A.-L., op. cit., che osservano che «an EU directive can lead to a more intensive harmonization if it has a fully harmonizing effect, (...) while an EU regulation can result in a weak degree of harmonization, if it contains many options or derogation rules» (pag. 48).

 

27      V., segnatamente, sentenza del 15 giugno 2021, Facebook Ireland e a. (C-645/19, EU:C:2021:483, punto 110 e giurisprudenza citata). V., altresì, con riferimento a un settore precedentemente oggetto di una direttiva, sentenza del 21 dicembre 2011, Danske Svineproducenter (C-316/10, EU:C:2011:863, punto 42), in cui la Corte ha precisato che «il fatto che la normativa dell’Unione in materia di protezione degli animali durante il trasporto sia ora contenuta in un regolamento non significa necessariamente che qualsiasi misura nazionale di applicazione di tale regolamento sia ora abolita».

 

28      V. sentenza del 27 ottobre 1971, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

 

29      La Corte ha così ammesso che uno Stato membro che abbia scelto di non avvalersi di una facoltà offerta da un regolamento non viola l’articolo 288 TFUE: v. sentenza del 17 dicembre 2015, Imtech Marine Belgium (C-300/14, EU:C:2015:825, punti da 27 a 31). V., altresì, per un regolamento che istituiva delle restituzioni all’esportazione che gli Stati membri potevano concedere o rifiutarsi di concedere, sentenza del 27 ottobre 1971, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

 

30      V., su queste clausole di apertura, Wagner, J., e Benecke, A., «National Legislation within the Framework of the GDPR, Limits and Opportunities of Member State Data Protection Law», European Data Protection Law Review, Lexxion, Berlino, vol. 2, Issue 3, 2016, pagg da 353 a 361.

 

31      V., segnatamente, articoli 51 e 84 del regolamento 2016/679.

 

32      V., in particolare, articolo 6, paragrafi 2 e 3, articolo 8, paragrafo 1, secondo comma, e articoli da 85 a 89 del regolamento 2016/679.

 

33      V., a tal riguardo, Mišcenic, E., e Hoffmann, A.-L., op. cit., che osservano che «[d]espite the initial idea of achieving a high level of harmonization by introducing uniform rules for all Member States by means of an EU regulation, (...) the GDPR allows diverging solutions in many of its aspects. In doing so, it creates further inconsistencies between the legal solutions at the level of Member States, thereby contributing to legal uncertainty for those affected by its rules. More than 69 opening clauses (...) open up space for different legal solutions, interpretations, and, eventually, application in practice. Opening clauses also affect the legal nature and level of harmonization of the GDPR, which is very often described by legal scholars as a directive wearing the suit of a regulation» (pagg. 50 e 51).

 

34      La direttiva 95/46 prevedeva soltanto, nel proprio articolo 28, paragrafo 4, la possibilità che un’associazione si occupi della proposizione di un reclamo all’autorità di controllo per conto di una persona che lamenta una violazione di suoi diritti nel quadro di un trattamento dei dati personali.

 

35      Ad eccezione, tuttavia, dell’azione rappresentativa con mandato volta ad ottenere il risarcimento a nome degli interessati che resta facoltativa per gli Stati membri.

 

36      V., per analogia, sentenza del 21 dicembre 2011, Danske Svineproducenter (C-316/10, EU:C:2011:863, punto 43).

 

37      V. Pato, A., The National Adaptation of Article 80 GDPR: Towards the Effective Private Enforcement of Collective Data Protection Rights, National Adaptations of the GDPR, Blogdroiteuropen, Collection Open Access Book, Lussemburgo, 2019, pagg. da 98 a 106. Secondo questo autore, «[t]he number of actors who potentially have standing to sue is broad» e «[c]onsumer associations will usually meet those requirements easily» (pag. 99).

 

38      Il corsivo è mio. In base alla medesima disposizione, «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale». Come osserva Martial-Braz, N., «Le champ d’application du RGPD», in Bensamoun, A., e Bertrand, B., Le règlement général sur la protection dei données, Aspects institutionnels et matériels, Mare e Martin, Parigi, 2020, pagg. da 19 a 33, «le caractère identifiable s’entend très largement puisque le critère d’identification de la personne s’entend de l’ensemble des moyens raisonnablement susceptibles d’être mis en œuvre pour identifier la personne» (il carattere identificabile è inteso in maniera molto ampia poiché il criterio di identificazione della persona ricomprende tutti i mezzi che possono essere ragionevolmente impiegati per identificarla) (pag. 24). V., segnatamente, sulla nozione di «persona identificabile», ai sensi dell’articolo 2, lettera a), della direttiva 95/46, sentenza del 19 ottobre 2016, Breyer (C-582/14, EU:C:2016:779).

 

39      V. Boehm, F., «Artikel 80 Vertretung von betroffenen Personen», in Simitis, S., Hornung, G., e Spiecker Döhmann, I., Datenschutzrecht, DSGVO mit BDSG,Nomos, Baden-Baden, 2019, in particolare punto 13.

 

40      V. Frenzel, E. M., «Art. 80 Vertretung von betroffenen Personen», in Paal, B. P., e Pauly, D. A., Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, 3ª ed., C.H. Beck, Monaco di Baviera, 2021, in particolare punto 11, e Kreße, B., «Artikel 80 Vertretung von betroffenen Personen», in Sydow, G., Europäische Datenschutzverordnung, 2ª ed., Nomos, Baden-Baden, 2018, in particolare punto 13.

 

41      V. Moos, F., e Schefzig, J., «Art. 80 Vertretung von betroffenen Personen», in Taeger, J., e Gabel, D., Kommentar DSGVO – BDSG, 3ª ed., Deutscher Fachverlag, Francoforte sul Meno, 2019, in particolare punto 22.

 

42      V., segnatamente, con riferimento alle clausole abusive nei contratti stipulati tra professionisti e consumatori, sentenza del 14 aprile 2016, Sales Sinués e Drame Ba (C-381/14 e C-385/14, EU:C:2016:252, punto 29).

 

43      V. considerando 33 e articolo 8, paragrafo 3, lettera a), della direttiva 2020/1828, a norma del quale «[l]’ente legittimato non è tenuto a provare (...) le perdite o i danni effettivi subiti dai singoli consumatori lesi dalla violazione di cui all’articolo 2, paragrafo 1». Inoltre, benché l’articolo 7, paragrafo 2, di detta direttiva imponga all’ente legittimato di fornire all’organo giurisdizionale o all’autorità amministrativa «informazioni sufficienti sui consumatori interessati dall’azione rappresentativa», dal considerando 34 di detta direttiva risulta che le informazioni di cui trattasi, il cui livello di dettaglio può variare a seconda del provvedimento che l’ente legittimato vorrebbe ottenere, non riguardano l’indicazione dei singoli consumatori lesi dalla violazione in questione, ma piuttosto informazioni quali il luogo dell’evento dannoso o l’indicazione del gruppo di consumatori interessati dall’azione rappresentativa (v., altresì, considerando 65 della direttiva 2020/1828). Osservo inoltre che, anche nel caso di azioni rappresentative volte a ottenere provvedimenti risarcitori, il considerando 49 della direttiva 2020/1828 indica che «[l]’ente legittimato non dovrebbe essere tenuto a identificare individualmente ogni consumatore interessato dall’azione rappresentativa per promuovere la stessa». V., a tal riguardo, Gsell, B., op. cit., in particolare pag. 1370.

 

44      V. articolo 2, paragrafo 1, della direttiva 2020/1828.

 

45      V. considerando 3 della direttiva 2009/22, che precisa che le azioni inibitorie rientrano nell’ambito di applicazione di quelle volte a tutelare gli «interessi collettivi dei consumatori», definiti questi ultimi come «interessi che non sono la mera somma degli interessi di singoli lesi da una violazione». All’articolo 3, punto 3, della direttiva 2020/1828, la nozione di «interessi collettivi dei consumatori» è definita come «gli interessi generali dei consumatori e, in particolare ai fini dei provvedimenti risarcitori, gli interessi di un gruppo di consumatori».

 

46      Il corsivo è mio.

 

47      V. Helberger, N., Zuiderveen Borgesius, F., e Reyna, A., «The Perfect Match? A Closer Look at the Relationship Between EU Consumer Law and Data Protection Law», Common Market Law Review, vol. 54, Issue 5, Kluwer Law International, Alphen aan den Rijn, 2017, pagg. da 1427 a 1465, che osservano che «[o]ne feature that unites consumer law and data protection law is the pivotal role of information as a means to mitigate information asymmetries and to empower the individual» (pag. 1437).

 

48      V. Neun, A., e Lubitzsch, K., «Die neue EU-Datenschutz-Grundverordnung – Rechtsschutz und Schadensersatz», Betriebs-Berater, Deutscher Fachverlag, Francoforte sul Meno, 2017, pagg. da 2563 a 2569, in particolare pag. 2567.

 

49      V. sentenza del 15 giugno 2021, Facebook Ireland e a. (C-645/19, EU:C:2021:483, punto 45).

 

50      V. sentenza del 15 giugno 2021, Facebook Ireland e a. (C-645/19, EU:C:2021:483, punto 91).

 

51      V. conclusioni dell’avvocato generale Bobek nella causa Fashion ID (C-40/17, EU:C:2018:1039, paragrafo 33).

 

52      Per esempi di azioni avviate da associazioni per la tutela degli interessi dei consumatori, v. Helberger, N., Zuiderveen Borgesius, F., e Reyna, A., op. cit., in particolare pagg. 1452 e 1453.

 

53      V., sulla complementarità tra le azioni in materia di protezione dei dati personali e quelle dirette alla cessazione delle pratiche commerciali sleali, van Eijk, N., Hoofnagle, C. J., e Kannekens, E., «Unfair Commercial Practices: A Complementary Approach to Privacy Protection», European Data Protection Law Review, Lexxion, Berlino, vol. 3, Issue 3, 2017, pagg. da 325 a 337, che osservano che «[t]hrough applying rules on unfair commercial practices, the enforcement of privacy issues could become more effective» (pag. 336).

 

54      Direttiva del Parlamento europeo e del Consiglio, dell’11 maggio 2005, relativa alle pratiche commerciali sleali delle imprese nei confronti dei consumatori nel mercato interno e che modifica la direttiva 84/450/CEE del Consiglio e le direttive 97/7/CE, 98/27/CE e 2002/65/CE del Parlamento europeo e del Consiglio e il regolamento (CE) n. 2006/2004 del Parlamento europeo e del Consiglio («direttiva sulle pratiche commerciali sleali») (GU 2005, L 149, pag. 22). V. documento di lavoro dei servizi della Commissione – Orientamenti per l’attuazione/applicazione della direttiva 2005/29/CE relativa alle pratiche commerciali sleali che accompagna il documento Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale e al Comitato delle Regioni. Un approccio globale per stimolare il commercio elettronico transfrontaliero per i cittadini e le imprese in Europa [SWD(2016) 163 final], in particolare punto 1.4.10, pagg. da 26 a 31. La Commissione sottolinea ivi la necessità di un trattamento leale dei dati, che implica che l’interessato deve ricevere un certo numero di informazioni utili, segnatamente sulle finalità del trattamento dei dati personali considerato (pag. 28). La Commissione osserva altresì che «[l]a violazione, da parte di un professionista, della direttiva [95/46] o della direttiva [2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU 2002, L 201, pag. 37)] non sempre significa, di per sé, che la pratica costituisca anche una violazione della [direttiva 2005/29]». Tuttavia, secondo la Commissione, «la violazione delle norme in materia di protezione dei dati andrebbe presa in considerazione quando si valuta il carattere sleale di una pratica commerciale ai sensi [della direttiva 2005/29], in particolare nel caso in cui il professionista esegua il trattamento dei dati dei consumatori in violazione degli obblighi in materia di protezione dei dati, cioè a fini di invio di materiale pubblicitario o per qualsiasi altra finalità commerciale, come la profilazione, i prezzi personalizzati o le applicazioni relative ai megadati» (pag. 30).

 

55      V., segnatamente, a tal riguardo, Helberger, N., Zuiderveen Borgesius, F., e Reyna, A., op. cit., i quali osservano che «data protection law and consumer law could apply in parallel, and could ideally complement each other and offer a sufficiently diverse toolbox of rights and remedies to provide a high level of protection of consumers in digital markets» (pag. 1429). V., altresì, van Eijk, N., Hoofnagle, C. J., e Kannekens, E., op. cit., in particolare pag. 336. Per una descrizione della complementarità tra le norme in materia di protezione dei dati personali nei settori delle comunicazioni elettroniche e le norme che vietano le pratiche commerciali sleali delle imprese nei confronti dei consumatori, v. le mie conclusioni nella causa StWL Städtische Werke Lauf a.d. Pegnitz (C-102/20, EU:C:2021:518).

 

56      V. Martial-Braz, N., op. cit., in particolare, pag. 23.

 

57      V. sentenza del 15 giugno 2021, Facebook Ireland e a. (C-645/19, EU:C:2021:483, punto 44).

 

58      V. considerando 14 della direttiva 2020/1828, secondo cui quest’ultima «dovrebbe (...) tutelare soltanto gli interessi delle persone fisiche che sono state o possono essere danneggiate [dalle violazioni delle disposizioni del diritto dell’Unione di cui all’allegato I] se dette persone sono consumatori ai sensi [di tale] direttiva».

HomeSentenzeArticoliLegislazioneLinksRicercaScrivici