HomeSentenzeArticoliLegislazionePrivacyRicercaChi siamo
Corte di giustizia europea, Sez. IV, 28/4/2022 n. C-319/20
Le associazioni di tutela dei consumatori possono esercitare azioni rappresentative

Un’azione siffatta potrebbe essere instaurata indipendentemente dalla violazione concreta del
diritto alla protezione dei dati di un interessato e in assenza di un mandato conferito a tal fine

L'articolo 80, paragrafo 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che esso non osta ad una normativa nazionale che consente ad un'associazione di tutela degli interessi dei consumatori di agire in giudizio, in assenza di un mandato che le sia stato conferito a tale scopo e indipendentemente dalla violazione di specifici diritti degli interessati, contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali, facendo valere la violazione del divieto di pratiche commerciali sleali, la violazione di una legge in materia di tutela dei consumatori o la violazione del divieto di utilizzazione di condizioni generali di contratto nulle, qualora il trattamento di dati in questione sia idoneo a pregiudicare i diritti riconosciuti da tale regolamento a persone fisiche identificate o identificabili.

Materia: privacy / tutela dati personali

SENTENZA DELLA CORTE

(Terza Sezione)

 

28 aprile 2022 (*)

 

«Rinvio pregiudiziale – Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articolo 80 – Rappresentanza degli interessati da parte di un’associazione senza scopo di lucro – Azione rappresentativa intentata da un’associazione di tutela degli interessi dei consumatori in assenza di un mandato e indipendentemente dalla violazione di specifici diritti di un interessato – Azione fondata sul divieto delle pratiche commerciali sleali, sulla violazione di una legge in materia di tutela dei consumatori o sul divieto di utilizzo di condizioni generali di contratto nulle»

 

Nella causa C-319/20,

avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dal Bundesgerichtshof (Corte federale di giustizia, Germania), con decisione del 28 maggio 2020, pervenuta in cancelleria il 15 luglio 2020, nel procedimento

 

Meta Platforms Ireland Limited, già Facebook Ireland Limited,

 

contro

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.,

 

LA CORTE (Terza Sezione),

composta da A. Prechal, presidente della Seconda Sezione, facente funzione di presidente della Terza Sezione, J. Passer, F. Biltgen, L.S. Rossi (relatrice) e N. Wahl, giudici,

avvocato generale: J. Richard de la Tour

cancelliere: M. Krausenböck, amministratrice

vista la fase scritta del procedimento e in seguito all’udienza del 23 settembre 2021,

considerate le osservazioni presentate:

        per la Meta Platforms Ireland Limited, da H.-G. Kamann, M. Braun ed H. Frey, Rechtsanwälte, nonché da V. Wettner, Rechtsanwältin;

        per il Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V., da P. Wassermann, Rechtsanwalt;

 

        per il governo tedesco, da D. Klebs e J. Möller, in qualità di agenti;

        per il governo austriaco, da A. Posch e G. Kunnert, nonché da J. Schmoll, in qualità di agenti;

        per il governo portoghese, da L. Inez Fernandes nonché da C. Vieira Guerra, P. Barros da Costa e L. Medeiros, in qualità di agenti;

        per la Commissione europea, inizialmente da F. Erlbacher, H. Kranenborg e D. Nardi, poi da F. Erlbacher ed H. Kranenborg, in qualità di agenti,

sentite le conclusioni dell’avvocato generale, presentate all’udienza del 2 dicembre 2021,

ha pronunciato la seguente

 

Sentenza

1        La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 80, paragrafi 1 e 2, e dell’articolo 84, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: l’«RGPD»).

 

2        Tale domanda è stata presentata nell’ambito di una controversia che oppone la Meta Platforms Ireland Limited, già Facebook Ireland Limited, la cui sede sociale si trova in Irlanda, al Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (Unione federale delle centrali e delle associazioni di consumatori, Germania) (in prosieguo: l’«Unione federale»), in merito alla violazione, da parte della Meta Platforms Ireland, della normativa tedesca in materia di protezione dei dati personali, costituente al tempo stesso una pratica commerciale sleale, una violazione di una legge in materia di tutela dei consumatori e una violazione del divieto di utilizzazione di condizioni generali di contratto nulle.

 

 Contesto giuridico

 

 Diritto dell’Unione

 

 RGPD

 

3        I considerando 9, 10, 13 e 142 dell’RGPD enunciano quanto segue:

 

«(9)      Sebbene i suoi obiettivi e principi rimangano tuttora validi, la direttiva [95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31),] non ha impedito la frammentazione dell’applicazione della protezione dei dati personali nel territorio dell’Unione, né ha eliminato l’incertezza giuridica o la percezione, largamente diffusa nel pubblico, che in particolare le operazioni online comportino rischi per la protezione delle persone fisiche. La compresenza di diversi livelli di protezione dei diritti e delle libertà delle persone fisiche, in particolare del diritto alla protezione dei dati personali, con riguardo al trattamento di tali dati negli Stati membri può ostacolare la libera circolazione dei dati personali all’interno dell’Unione. Tali differenze possono pertanto costituire un freno all’esercizio delle attività economiche su scala dell’Unione, falsare la concorrenza e impedire alle autorità nazionali di adempiere agli obblighi loro derivanti dal diritto dell’Unione. Tale divario creatosi nei livelli di protezione è dovuto alle divergenze nell’attuare e applicare la direttiva [95/46].

 

(10)      Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e [di] rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione. (…)

 

(…)

 

(13)      Per assicurare un livello coerente di protezione delle persone fisiche in tutta l’Unione e prevenire disparità che possono ostacolare la libera circolazione dei dati personali nel mercato interno, è necessario un regolamento che garantisca certezza del diritto e trasparenza agli operatori economici, comprese le micro, piccole e medie imprese, offra alle persone fisiche in tutti gli Stati membri il medesimo livello di diritti azionabili e di obblighi e responsabilità dei titolari del trattamento e dei responsabili del trattamento e assicuri un monitoraggio coerente del trattamento dei dati personali, sanzioni equivalenti in tutti gli Stati membri e una cooperazione efficace tra le autorità di controllo dei diversi Stati membri. (…)

 

(…)

 

(142)      Qualora l’interessato ritenga che siano stati violati i diritti di cui gode a norma del presente regolamento, dovrebbe avere il diritto di dare mandato a un organismo, un’organizzazione o un’associazione che non abbiano scopo di lucro, costituiti in conformità del diritto di uno Stato membro, con obiettivi statutari di pubblico interesse, e che siano attivi nel settore della protezione dei dati personali, per proporre reclamo per suo conto a un’autorità di controllo, esercitare il diritto a un ricorso giurisdizionale per conto degli interessati o esercitare il diritto di ottenere il risarcimento del danno per conto degli interessati se quest’ultimo è previsto dal diritto degli Stati membri. Gli Stati membri possono prescrivere che tale organismo, organizzazione o associazione abbia il diritto di proporre reclamo in tale Stato membro, indipendentemente dall’eventuale mandato dell’interessato, e il diritto di proporre un ricorso giurisdizionale effettivo qualora abbia motivo di ritenere che i diritti di un interessato siano stati violati in conseguenza di un trattamento dei dati personali che violi il presente regolamento. [T]ale organismo, organizzazione o associazione può non essere autorizzato a chiedere il risarcimento del danno per conto di un interessato indipendentemente dal mandato dell’interessato».

 

4        L’articolo 1 di detto regolamento, intitolato «Oggetto e finalità», dispone, al paragrafo 1, quanto segue:

 

«Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati».

 

5        L’articolo 4, punto 1, dell’RGPD recita:

 

«Ai fini del presente regolamento s’intende per:

 

1)      “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale».

 

6        Il capo III dell’RGPD, il quale contiene gli articoli da 12 a 23, è intitolato «Diritti dell’interessato».

 

7        L’articolo 12 di tale regolamento, intitolato «Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato», enuncia, al paragrafo 1, quanto segue:

 

«Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato».

 

8        L’articolo 13 dell’RGPD, intitolato «Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato», dispone, al paragrafo 1, lettere c) ed e), quanto segue:

 

«In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:

 

(...)

 

c)      le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

 

(...)

 

e)      gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali (...)».

 

9        Il capo VIII del citato regolamento, il quale contiene gli articoli da 77 a 84, reca il titolo «Mezzi di ricorso, responsabilità e sanzioni».

 

10      L’articolo 77 dell’RGPD, intitolato «Diritto di proporre reclamo all’autorità di controllo», dispone, al paragrafo 1, quanto segue:

 

«Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento [di dati personali] che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione».

 

11      L’articolo 78 dell’RGPD, dal titolo «Diritto a un ricorso giurisdizionale effettivo nei confronti dell’autorità di controllo», enuncia, al paragrafo 1, quanto segue:

 

«Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ogni persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda».

 

12      L’articolo 79 dell’RGPD, intitolato «Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento», prevede, al paragrafo 1, quanto segue:

 

«Fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 77, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento [dei suoi dati personali]».

 

13      L’articolo 80 dell’RGPD, rubricato «Rappresentanza degli interessati», è così formulato:

 

«1.      L’interessato ha il diritto di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, di proporre il reclamo per suo conto e di esercitare per suo conto i diritti di cui agli articoli 77, 78 e 79 nonché, se previsto dal diritto degli Stati membri, il diritto di ottenere il risarcimento di cui all’articolo 82.

 

2.      Gli Stati membri possono prevedere che un organismo, organizzazione o associazione di cui al paragrafo 1 del presente articolo, indipendentemente dal mandato conferito dall’interessato, abbia il diritto di proporre, in tale Stato membro, un reclamo all’autorità di controllo competente [ai sensi dell’articolo 77], e di esercitare i diritti di cui agli articoli 78 e 79, qualora ritenga che i diritti di cui un interessato gode a norma del presente regolamento siano stati violati in seguito al trattamento».

 

14      L’articolo 82 del medesimo regolamento, intitolato «Diritto al risarcimento e responsabilità», dispone, al paragrafo 1, quanto segue:

 

«Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento».

 

15      L’articolo 84 dell’RGPD, dal titolo «Sanzioni», enuncia, al paragrafo 1, quanto segue:

 

«Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive».

 

 Direttiva 2005/29/CE

 

16      L’obiettivo della direttiva 2005/29/CE del Parlamento europeo e del Consiglio, dell’11 maggio 2005, relativa alle pratiche commerciali sleali delle imprese nei confronti dei consumatori nel mercato interno e che modifica la direttiva 84/450/CEE del Consiglio e le direttive 97/7/CE, 98/27/CE e 2002/65/CE del Parlamento europeo e del Consiglio e il regolamento (CE) n. 2006/2004 del Parlamento europeo e del Consiglio («direttiva sulle pratiche commerciali sleali») (GU 2005, L 149, pag. 22), è, ai sensi del suo articolo 1, contribuire al buon funzionamento del mercato interno e assicurare un livello elevato di tutela dei consumatori mediante l’armonizzazione delle disposizioni legislative, regolamentari e amministrative degli Stati membri in materia di pratiche commerciali sleali lesive degli interessi economici dei consumatori.

 

17      Ai sensi dell’articolo 5 della direttiva 2005/29, intitolato «Divieto delle pratiche commerciali sleali», è previsto quanto segue:

 

«1.      Le pratiche commerciali sleali sono vietate.

 

2.      Una pratica commerciale è sleale se:

 

a)      è contraria alle norme di diligenza professionale,

 

e

 

b)      falsa o è idonea a falsare in misura rilevante il comportamento economico, in relazione al prodotto, del consumatore medio che raggiunge o al quale è diretta o del membro medio di un gruppo qualora la pratica commerciale sia diretta a un determinato gruppo di consumatori.

 

(...)

 

5.      L’allegato I riporta l’elenco di quelle pratiche commerciali che sono considerate in ogni caso sleali. (...)».

 

18      L’articolo 11, paragrafo 1, di detta direttiva, intitolato «Applicazione», così dispone:

 

«1.      Gli Stati membri assicurano che esistano mezzi adeguati ed efficaci per combattere le pratiche commerciali sleali al fine di garantire l’osservanza delle disposizioni della presente direttiva nell’interesse dei consumatori.

 

Tali mezzi includono disposizioni giuridiche ai sensi delle quali le persone o le organizzazioni che secondo la legislazione nazionale hanno un legittimo interesse a contrastare le pratiche commerciali sleali, inclusi i concorrenti, possono:

 

a)      promuovere un’azione giudiziaria contro tali pratiche commerciali sleali,

 

e/o

 

b)      sottoporre tali pratiche commerciali sleali al giudizio di un’autorità amministrativa competente a giudicare in merito ai [reclami] oppure a promuovere un’adeguata azione giudiziaria.

 

Spetta a ciascuno Stato membro decidere a quali di questi mezzi si debba ricorrere e se sia opportuno che l’organo giurisdizionale o amministrativo possa esigere che si ricorra in via preliminare ad altri mezzi previsti per risolvere le controversie, compresi quelli di cui all’articolo 10. Il ricorso a tali mezzi è indipendente dal fatto che i consumatori interessati si trovino nel territorio dello Stato membro in cui è stabilito il professionista o in un altro Stato membro.

 

(...)».

 

19      L’allegato I della direttiva 2005/29, che contiene l’elenco delle pratiche commerciali considerate in ogni caso sleali, dispone, al punto 26, quanto segue:

 

«Effettuare ripetute e sgradite sollecitazioni commerciali per telefono, via fax, per posta elettronica o mediante altro mezzo di comunicazione a distanza, fuorché nelle circostanze e nella misura in cui siano giustificate dalla legge nazionale ai fini dell’esecuzione di un’obbligazione contrattuale, fatti salvi (…) le direttive 95/46/CE (...)».

 

 Direttiva 2009/22/CE

 

20      L’articolo 1 della direttiva 2009/22/CE del Parlamento europeo e del Consiglio, del 23 aprile 2009, relativa a provvedimenti inibitori a tutela degli interessi dei consumatori (GU 2009, L 110, pag. 30), dal titolo «Ambito d’applicazione», recita:

 

«1.      La presente direttiva ha per oggetto il ravvicinamento delle disposizioni legislative, regolamentari e amministrative degli Stati membri relative ai provvedimenti inibitori di cui all’articolo 2, volti a tutelare gli interessi collettivi dei consumatori contemplati nelle direttive elencate nell’allegato I, onde garantire il corretto funzionamento del mercato interno.

 

2.      Ai fini della presente direttiva, per violazione si intende qualsiasi atto contrario alle disposizioni delle direttive elencate nell’allegato I, quali recepite negli ordinamenti nazionali degli Stati membri, che leda gli interessi collettivi di cui al paragrafo 1».

 

21      L’articolo 7 della direttiva 2009/22, intitolato «Disposizioni relative a una più ampia legittimazione ad agire», è così formulato:

 

«La presente direttiva non osta al mantenimento in vigore o all’adozione da parte degli Stati membri di norme che conferiscano sul piano nazionale una più ampia legittimazione ad agire agli enti abilitati nonché a qualsiasi altro interessato».

 

22      L’allegato I della direttiva 2009/22 contiene l’elenco delle direttive dell’Unione contemplate dall’articolo 1 di quest’ultima. Il punto 11 di tale allegato menziona la direttiva 2005/29.

 

 Direttiva (UE) 2020/1828

 

23      I considerando 11, 13 e 15 della direttiva (UE) 2020/1828 del Parlamento europeo e del Consiglio, del 25 novembre 2020, relativa alle azioni rappresentative a tutela degli interessi collettivi dei consumatori e che abroga la direttiva 2009/22/CE (GU 2020, L 409, pag. 1), enunciano quanto segue:

 

«(11)      La presente direttiva non dovrebbe sostituire i meccanismi procedurali nazionali esistenti volti a proteggere gli interessi collettivi o individuali dei consumatori. In considerazione delle tradizioni giuridiche degli Stati membri, essa dovrebbe lasciare loro la discrezionalità di configurare il meccanismo procedurale per azioni rappresentative prescritte dalla presente direttiva nell’ambito di un meccanismo procedurale esistente o nell’ambito di un nuovo meccanismo procedurale per provvedimenti inibitori o provvedimenti risarcitori collettivi, oppure come un meccanismo procedurale distinto, purché almeno un meccanismo procedurale nazionale per azioni rappresentative sia conforme alla presente direttiva. (…) Qualora a livello nazionale fossero previsti meccanismi procedurali aggiuntivi a quello richiesto dalla presente direttiva, l’ente legittimato dovrebbe poter scegliere quale meccanismo procedurale usare.

 

(...)

 

(13)      L’ambito di applicazione della presente direttiva dovrebbe tener conto dei recenti sviluppi in materia di protezione dei consumatori. Poiché i consumatori si muovono oggi in un mercato più vasto e sempre più digitalizzato, per offrire loro un livello elevato di protezione è necessario che, oltre al diritto generale dei consumatori, la presente direttiva copra settori quali la protezione dei dati, i servizi finanziari, i viaggi e il turismo, l’energia e le telecomunicazioni. (...)

 

(...)

 

(15)      La presente direttiva dovrebbe lasciare impregiudicati gli atti giuridici elencati nell’allegato I e non dovrebbe pertanto modificare o ampliare le definizioni stabilite in tali atti giuridici né sostituire il meccanismo di applicazione che potrebbe essere contenuto in tali atti. Per esempio, i meccanismi di applicazione previsti dal[l’RGPD] o basati su quest’ultimo potrebbero, se del caso, continuare a essere usati per la tutela degli interessi collettivi dei consumatori».

 

24      L’articolo 2 della medesima direttiva, intitolato «Ambito di applicazione», prevede, al paragrafo 1, quanto segue:

 

«La presente direttiva si applica alle azioni rappresentative intentate nei confronti di professionisti per violazioni delle disposizioni del diritto dell’Unione di cui all’allegato I, comprese tali disposizioni quali recepite nel diritto nazionale, che ledono o possono ledere gli interessi collettivi dei consumatori. La presente direttiva non pregiudica le disposizioni del diritto dell’Unione di cui all’allegato I. (...)».

 

25      L’articolo 24, paragrafo 1, della citata direttiva, intitolato «Recepimento», così dispone:

 

«Gli Stati membri adottano e pubblicano, entro il 25 dicembre 2022, le disposizioni legislative, regolamentari e amministrative necessarie per conformarsi alla presente direttiva. Essi comunicano immediatamente alla Commissione il testo di tali disposizioni.

 

Essi applicano tali disposizioni a decorrere dal 25 giugno 2023.

 

(...)».

 

26      L’allegato I della direttiva 2020/1828, che contiene l’elenco delle disposizioni di diritto dell’Unione contemplate dall’articolo 2, paragrafo 1, di questa stessa direttiva, cita, al punto 56, l’RGPD.

 

 Diritto tedesco

 

 Legge relativa alle azioni inibitorie

 

27      L’articolo 2 del Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (legge relativa alle azioni inibitorie in caso di violazioni della normativa a tutela dei consumatori e di altre violazioni), del 26 novembre 2001 (BGBl. 2001 I, pag. 3138), nella versione applicabile ai fatti di cui al procedimento principale (in prosieguo: la «legge sulle azioni inibitorie»), stabilisce quanto segue:

 

«(1)      Chiunque, con modalità diverse dall’applicazione o dalla raccomandazione di condizioni generali di contratto, violi disposizioni volte a tutelare i consumatori (leggi sulla tutela dei consumatori), può essere soggetto a un’ingiunzione di astensione dalla condotta lesiva per l’avvenire nonché ad un ordine di cessazione immediata della condotta lesiva nell’interesse della tutela dei consumatori. (…)

 

(2)      Ai fini della presente disposizione, per leggi sulla tutela dei consumatori si intendono in particolare:

 

(...)

 

11.      le disposizioni che disciplinano la liceità:

 

a)      della raccolta dei dati personali di un consumatore da parte di un’impresa, o

 

b)      del trattamento o dell’utilizzo di dati personali di un consumatore raccolti da un imprenditore,

 

qualora i dati siano raccolti, trattati o utilizzati per fini pubblicitari, per ricerche di mercato e sondaggi, ai fini della gestione di un’agenzia di informazioni, per la realizzazione di profili personali e profili utente, per qualsiasi altro commercio di dati o per scopi commerciali analoghi».

 

28      Il Bundesgerichtshof (Corte federale di giustizia, Germania) fa presente che, a norma dell’articolo 3, paragrafo 1, prima frase, punto 1, della legge sulle azioni inibitorie, gli organismi aventi legittimazione ad agire, ai sensi dell’articolo 4 di tale legge, possono, da un lato, chiedere, a norma dell’articolo 1 della medesima legge, la cessazione dell’utilizzo di condizioni generali di contratto nulle ai sensi dell’articolo 307 del Bürgerliches Gesetzbuch (codice civile) e, dall’altro, chiedere la cessazione delle violazioni della normativa in materia di tutela dei consumatori, ai sensi dell’articolo 2, paragrafo 2, della legge in parola.

 

 Legge contro la concorrenza sleale

 

29      L’articolo 3, paragrafo 1, del Gesetz gegen den unlauteren Wettbewerb (legge contro la concorrenza sleale), del 3 luglio 2004 (BGB1. 2004 I, pag. 1414), nella versione applicabile alla controversia di cui al procedimento principale (in prosieguo: la «legge contro la concorrenza sleale»), stabilisce:

 

«Le pratiche commerciali sleali sono illecite».

 

30      L’articolo 3a della legge contro la concorrenza sleale è così formulato:

 

«Commette un atto sleale colui il quale violi una disposizione di legge che sia altresì destinata a disciplinare il comportamento sul mercato nell’interesse dei soggetti partecipanti al mercato stesso, nel caso in cui la violazione sia idonea a pregiudicare in maniera sensibile gli interessi dei consumatori, di altri soggetti partecipanti al mercato o dei concorrenti».

 

31      L’articolo 8 della legge contro la concorrenza sleale enuncia quanto segue:

 

«(1)      Chiunque ponga in essere una pratica commerciale illecita ai sensi dell’articolo 3 o dell’articolo 7 può essere soggetto ad un ordine di cessazione immediata della condotta lesiva e, in caso di pericolo di recidiva, anche ad un’ingiunzione di astensione dalla condotta lesiva per l’avvenire. (...)

 

(...)

 

(3)      Le misure inibitorie previste dal paragrafo 1 possono essere richieste:

 

(...)

 

3.      dagli enti qualificati che forniscano la prova di essere compresi nell’elenco degli enti qualificati, conformemente all’articolo 4 della [legge sulle azioni inibitorie] (...)».

 

 Legge sui media elettronici

 

32      Il Bundesgerichtshof (Corte federale di giustizia) osserva che l’articolo 13, paragrafo 1, del Telemediengesetz (legge sui media elettronici), del 26 febbraio 2007 (BGBl. 2007 I, pag. 179), era applicabile fino all’entrata in vigore dell’RGPD. A partire da questa data, la disposizione di cui sopra è stata sostituita dagli articoli da 12 a 14 dell’RGPD.

 

33      L’articolo 13, paragrafo 1, prima frase, della legge sui media elettronici recita:

 

«Il fornitore di servizi è tenuto, all’inizio della sessione, ad informare l’utente in forma generalmente comprensibile in merito alla tipologia, alla portata e agli obiettivi della raccolta e dell’utilizzo dei dati personali, nonché in merito al trattamento dei suoi dati in Stati non rientranti nell’ambito di applicazione della direttiva [95/46], salvo che una tale informativa abbia già avuto luogo».

 

 Procedimento principale e questione pregiudiziale

 

34      La società Meta Platforms Ireland, che gestisce l’offerta dei servizi del social nework on line Facebook nell’Unione, è la titolare del trattamento dei dati personali degli utenti di tale social network nell’Unione. La società Facebook Germany GmbH, che ha la propria sede in Germania, promuove sotto l’indirizzo www.facebook.de la vendita di spazi pubblicitari. La piattaforma Internet Facebook contiene, segnatamente all’indirizzo Internet www.facebook.de, uno spazio denominato «App-Zentrum» (Area Applicazioni) nel quale la Meta Platforms Ireland mette a disposizione degli utenti giochi gratuiti forniti da terzi. Al momento della consultazione dell’Area Applicazioni di alcuni di questi giochi, l’utente vede apparire l’indicazione secondo cui l’utilizzazione dell’applicazione in questione permette alla società fornitrice di giochi di ottenere un certo numero di dati personali e la autorizza a procedere a pubblicazioni di dati a nome di tale utente, quali il suo punteggio ed altre informazioni. Tale utilizzazione ha come conseguenza che il suddetto utente accetta le condizioni generali dell’applicazione e la sua politica in materia di protezione dei dati. Inoltre, nel caso di un certo gioco, appare l’indicazione secondo cui l’applicazione è autorizzata a pubblicare comunicazioni di status, foto e altre informazioni a nome dello stesso utente.

 

35      L’Unione federale, organismo legittimato ad agire ai sensi dell’articolo 4 della legge sulle azioni inibitorie, ritiene che le indicazioni fornite dai giochi in questione nell’Area Applicazioni siano sleali, segnatamente dal punto di vista del mancato rispetto delle condizioni di legge che si applicano all’ottenimento di un valido consenso dell’utente ai sensi delle disposizioni disciplinanti la protezione dei dati. Inoltre, detto organismo ritiene che l’indicazione secondo cui l’applicazione è autorizzata a pubblicare a nome dell’utente alcune informazioni personali di quest’ultimo costituisca una condizione generale che penalizza indebitamente l’utente.

 

36      In tale contesto, l’Unione federale ha proposto dinanzi al Landgericht Berlin (Tribunale del Land di Berlino, Germania) un’azione inibitoria contro la Meta Platforms Ireland, fondata sull’articolo 3a della legge contro la concorrenza sleale, sull’articolo 2, paragrafo 2, prima frase, punto 11, della legge sulle azioni inibitorie, nonché sul codice civile. Tale azione è stata proposta indipendentemente dalla violazione concreta del diritto alla tutela dei dati di un interessato e senza un mandato conferito da tale persona.

 

37      Il Landgericht Berlin (Tribunale del Land di Berlino) ha condannato la Meta Platforms Ireland conformemente alle conclusioni presentate dall’Unione federale. L’appello proposto dalla Meta Platforms Ireland dinanzi al Kammergericht Berlin (Tribunale superiore del Land di Berlino, Germania) è stato respinto. La Meta Platforms Ireland ha allora proposto dinanzi al giudice del rinvio un ricorso per cassazione contro la decisione di rigetto adottata dal giudice d’appello.

 

38      Il giudice del rinvio ritiene che l’azione dell’Unione federale sia fondata, nella misura in cui la Meta Platforms Ireland ha violato l’articolo 3a della legge contro la concorrenza sleale, nonché l’articolo 2, paragrafo 2, prima frase, punto 11, della legge sulle azioni inibitorie, ed ha utilizzato una condizione generale di contratto nulla, ai sensi dell’articolo 1 della legge sulle azioni inibitorie.

 

39      Tuttavia, detto giudice nutre dei dubbi in merito alla ricevibilità dell’azione dell’Unione federale. Infatti, esso ritiene che non sia escluso che l’Unione federale, che ai sensi dell’articolo 8, paragrafo 3, della legge contro la concorrenza sleale e dell’articolo 3, paragrafo 1, prima frase, punto 1, della legge sulle azioni inibitorie era effettivamente legittimata ad agire alla data della presentazione del suo ricorso, abbia perduto tale legittimazione in corso di giudizio, a seguito dell’entrata in vigore dell’RGPD e, segnatamente, dell’articolo 80, paragrafi 1 e 2, nonché dell’articolo 84, paragrafo 1, di tale regolamento. Se così fosse, il giudice del rinvio dovrebbe accogliere il ricorso per cassazione proposto dalla Meta Platforms Ireland e respingere l’azione proposta dall’Unione federale, dato che, secondo le pertinenti norme procedurali del diritto tedesco, la legittimazione ad agire deve persistere fino alla fine dell’ultimo grado di giudizio.

 

40      Secondo il giudice del rinvio, la risposta al riguardo non risulta chiaramente da una valutazione del tenore letterale, dell’economia generale, nonché della finalità delle disposizioni dell’RGPD.

 

41      Per quanto riguarda il tenore letterale delle disposizioni dell’RGPD, il giudice del rinvio rileva che l’esistenza della legittimazione ad agire degli organismi, delle organizzazioni o delle associazioni senza scopo di lucro che siano state validamente costituite in conformità del diritto di uno Stato membro, a norma dell’articolo 80, paragrafo 1, dell’RGPD, presuppone che l’interessato abbia dato mandato ad un organismo, ad un’organizzazione o ad un’associazione affinché eserciti in suo nome i diritti contemplati dagli articoli da 77 a 79 dell’RGPD nonché il diritto di ottenere un risarcimento di cui all’articolo 82 dell’RGPD qualora questo sia previsto dal diritto di uno Stato membro.

 

42      Orbene, il giudice del rinvio sottolinea che la legittimazione ad agire ai sensi dell’articolo 8, paragrafo 3, punto 3, della legge contro la concorrenza sleale non prevede un siffatto ricorso su mandato e a nome di un interessato al fine di far valere i suoi diritti personali. Al contrario, la norma suddetta conferirebbe ad un’associazione, in virtù di un diritto che sarebbe suo proprio e discenderebbe dall’articolo 3, paragrafo 1, nonché dall’articolo 3a della legge contro la concorrenza sleale, una legittimazione ad agire contro violazioni delle disposizioni dell’RGPD a titolo oggettivo, indipendentemente dalla violazione di specifici diritti di determinati interessati e da un mandato conferito da questi ultimi.

 

43      Inoltre, il giudice del rinvio osserva che l’articolo 80, paragrafo 2, dell’RGPD non prevede la legittimazione ad agire di un’associazione al fine di far applicare le norme sulla protezione dei dati personali a titolo oggettivo, dal momento che tale disposizione presuppone che i diritti di un interessato previsti dall’RGPD siano stati effettivamente violati a causa di uno specifico trattamento di dati.

 

44      D’altro canto, la legittimazione ad agire di un’associazione, quale quella prevista dall’articolo 8, paragrafo 3, della legge contro la concorrenza sleale, non può risultare dall’articolo 84, paragrafo 1, dell’RGPD, a mente del quale gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del regolamento e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Infatti, la legittimazione ad agire di un’associazione, quale quella prevista dall’articolo 8, paragrafo 3, della legge contro la concorrenza sleale, non può essere considerata come costituente una «sanzione», ai sensi della citata disposizione dell’RGPD.

 

45      Per quanto riguarda l’economia generale delle disposizioni dell’RGPD, il giudice del rinvio ritiene che dal fatto che tale regolamento abbia armonizzato segnatamente i poteri delle autorità di controllo possa dedursi che incombe principalmente a tali autorità verificare l’applicazione delle disposizioni del regolamento stesso. Tuttavia, l’inciso «fatto salvo ogni altro ricorso», che compare all’articolo 77, paragrafo 1, all’articolo 78, paragrafi 1 e 2, nonché all’articolo 79, paragrafo 1, dell’RGPD, potrebbe smentire la tesi secondo cui detto regolamento avrebbe dettato una disciplina esaustiva dei rimedi esperibili per ottenere il rispetto delle norme in questione.

 

46      Per quanto riguarda l’obiettivo delle disposizioni dell’RGPD, il giudice del rinvio rileva che l’effetto utile di quest’ultimo potrebbe deporre a favore dell’esistenza di una legittimazione ad agire delle associazioni in virtù delle norme in materia di concorrenza, in conformità dell’articolo 8, paragrafo 3, punto 3, della legge contro la concorrenza sleale, indipendentemente dalla violazione di specifici diritti degli interessati, in quanto ciò lascerebbe sussistere un rimedio aggiuntivo esperibile per ottenere il rispetto delle norme, al fine di assicurare un livello quanto più elevato possibile di protezione dei dati personali, in conformità del considerando 10 dell’RGPD. Nondimeno, ammettere la legittimazione ad agire delle associazioni sulla scorta della normativa in materia di concorrenza potrebbe confliggere con l’obiettivo di armonizzazione perseguito dall’RGPD.

 

47      Alla luce di tali circostanze, il Bundesgerichtshof (Corte federale di giustizia) ha deciso di sospendere il procedimento e di sottoporre alla Corte la seguente questione pregiudiziale:

 

«Se le disposizioni del capo VIII [dell’RGPD], e in particolare l’articolo 80, paragrafi 1 e 2, nonché l’articolo 84, paragrafo 1, di tale regolamento, ostino a norme nazionali, le quali – oltre ai poteri di intervento delle autorità di controllo preposte alla sorveglianza e all’attuazione di detto regolamento, e in aggiunta ai mezzi di ricorso a disposizione degli interessati – conferiscano, da un lato, ai concorrenti e, dall’altro, ad associazioni, organismi ed organi camerali legittimati in base alla normativa nazionale il potere di agire, in caso di violazioni [dell’RGPD], contro l’autore della violazione, indipendentemente dalla lesione di diritti specifici di singoli interessati e in assenza di un mandato dell’interessato, proponendo un ricorso dinanzi ai giudici civili fondato sul divieto di pratiche commerciali sleali, o sulla violazione di una legge di tutela dei consumatori, o sul divieto di applicare condizioni generali di contratto nulle».

 

 Sulla questione pregiudiziale

 

48      A titolo preliminare, occorre rilevare che, come risulta, in particolare, dal punto 36 nonché dai punti da 41 a 44 della presente sentenza, la controversia di cui al procedimento principale contrappone un’associazione di tutela degli interessi dei consumatori, quale l’Unione federale, alla Meta Platforms Ireland e verte sulla questione se una tale associazione possa agire contro la società summenzionata in assenza di un mandato che le sia stato conferito a questo scopo e indipendentemente dalla violazione di specifici diritti degli interessati.

 

49      Date tali circostanze, come giustamente rilevato dalla Commissione nelle sue osservazioni scritte, la risposta alla questione pregiudiziale dipende soltanto dall’interpretazione dell’articolo 80, paragrafo 2, dell’RGPD, dato che le disposizioni di cui all’articolo 80, paragrafo 1, dell’RGPD e all’articolo 84 dell’RGPD non sono pertinenti nel caso di specie. Infatti, da un lato, l’applicazione dell’articolo 80, paragrafo 1, dell’RGPD presuppone che l’interessato abbia conferito mandato all’organismo, all’organizzazione o all’associazione senza scopo di lucro contemplati da tale disposizione, affinché il soggetto così designato intraprenda a nome di detto interessato le azioni giuridiche previste dagli articoli da 77 a 79 dell’RGPD. Orbene, è pacifico che ciò non è avvenuto nella fattispecie oggetto del procedimento principale, dal momento che l’Unione federale agisce indipendentemente da qualsiasi mandato dell’interessato. Dall’altro lato, è pacifico che l’articolo 84 dell’RGPD contempla le sanzioni amministrative e penali applicabili alle violazioni di tale regolamento, aspetto che non viene neppure esso in questione nel procedimento principale.

 

50      Inoltre, occorre rilevare che nella controversia di cui al procedimento principale non viene in questione la legittimazione ad agire di un concorrente. Di conseguenza, occorre rispondere soltanto a quella parte della questione che verte sulla legittimazione ad agire delle associazioni, degli organismi e degli organi camerali legittimati in virtù del diritto nazionale, contemplati dall’articolo 80, paragrafo 2, dell’RGPD.

 

51      Ne consegue che la questione sollevata dal giudice di rinvio deve essere intesa come mirante a stabilire, in sostanza, se l’articolo 80, paragrafo 2, dell’RGPD debba essere interpretato nel senso che esso osta ad una normativa nazionale che consente ad un’associazione di tutela degli interessi dei consumatori di agire in giudizio, in assenza di un mandato che le sia stato conferito a tale scopo e indipendentemente dalla violazione di specifici diritti di un interessato, contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali, facendo valere la violazione del divieto di pratiche commerciali sleali, la violazione di una legge in materia di tutela dei consumatori o la violazione del divieto di utilizzazione di condizioni generali di contratto nulle.

 

52      Al fine di rispondere a tale quesito, occorre ricordare che, come risulta dal considerando 10 dell’RGPD, tale regolamento mira, segnatamente, ad assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione ed a rimuovere gli ostacoli alla circolazione dei dati personali all’interno di quest’ultima.

 

53      In tale contesto, il capo VIII di detto regolamento disciplina, segnatamente, i mezzi di ricorso che permettono di tutelare i diritti dell’interessato qualora i dati personali che lo riguardano siano stati oggetto di un trattamento asseritamente contrario alle disposizioni del regolamento stesso. La tutela di questi diritti può dunque essere reclamata o direttamente dall’interessato, oppure da un ente legittimato, in presenza o in assenza di un mandato a tal fine, a titolo dell’articolo 80 dell’RGPD.

 

54      Così, anzitutto, l’interessato ha il diritto di presentare esso stesso un reclamo dinanzi ad un’autorità di controllo di uno Stato membro oppure un ricorso dinanzi ai giudici civili nazionali. Più precisamente, tale persona dispone, nell’ordine, del diritto di presentare un reclamo presso un’autorità di controllo, ai sensi dell’articolo 77 dell’RGPD, del diritto ad un ricorso giurisdizionale effettivo contro un’autorità di controllo, a norma dell’articolo 78 dell’RGPD, del diritto ad un ricorso giurisdizionale effettivo contro un titolare del trattamento o un responsabile del trattamento, previsto dall’articolo 79 dell’RGPD, e del diritto di ottenere dal titolare del trattamento o dal responsabile del trattamento il risarcimento del danno subito, in conformità dell’articolo 82 dell’RGPD.

 

55      Inoltre, in conformità dell’articolo 80, paragrafo 1, dell’RGPD, l’interessato ha il diritto di conferire mandato ad un organismo, a un’organizzazione o ad un’associazione senza scopo di lucro, a certe condizioni, affinché tali soggetti presentino un reclamo o esercitino, a suo nome, i diritti previsti dagli articoli sopra citati.

 

56      Infine, a norma dell’articolo 80, paragrafo 2, dell’RGPD, gli Stati membri possono prevedere che qualsiasi organismo, organizzazione o associazione, indipendentemente dal mandato conferito dall’interessato, abbia il diritto di proporre, nello Stato membro di cui trattasi, un reclamo dinanzi all’autorità di controllo, ai sensi dell’articolo 77 di detto regolamento, e di esercitare i diritti di cui agli articoli 78 e 79 di quest’ultimo, qualora esso ritenga che i diritti di cui un interessato gode a norma di tale regolamento siano stati violati in seguito al trattamento dei dati personali riguardanti l’interessato stesso.

 

57      A questo proposito, occorre rilevare che l’RGPD, come risulta dal suo articolo 1, paragrafo 1, letto alla luce, segnatamente, dei suoi considerando 9, 10 e 13, mira ad assicurare un’armonizzazione delle normative nazionali relative alla protezione dei dati personali che sia, in linea di principio, completa. Tuttavia, talune disposizioni di detto regolamento offrono la possibilità agli Stati membri di prevedere norme nazionali supplementari, più rigorose ovvero a carattere derogatorio, che lasciano a questi ultimi un margine di discrezionalità circa il modo in cui tali disposizioni possono essere attuate («clausole di apertura»).

 

58      Occorre infatti ricordare che, secondo una consolidata giurisprudenza della Corte, in forza dell’articolo 288 TFUE e proprio in ragione della natura dei regolamenti e della loro funzione nel sistema delle fonti del diritto dell’Unione, le disposizioni dei regolamenti hanno, in generale, un effetto immediato negli ordinamenti giuridici nazionali, senza che le autorità nazionali abbiano bisogno di adottare misure di applicazione. Nondimeno, alcune di queste disposizioni possono richiedere, per la loro attuazione, l’adozione di misure di applicazione da parte degli Stati membri (sentenza del 15 giugno 2021, Facebook Ireland e a., C-645/19, EU:C:2021:483, punto 110 nonché la giurisprudenza ivi citata).

 

59      È questo il caso, segnatamente, dell’articolo 80, paragrafo 2, dell’RGPD, il quale lascia agli Stati membri un margine di discrezionalità relativamente alla sua attuazione. Più specificamente, perché l’azione rappresentativa senza mandato in materia di protezione dei dati personali prevista da tale disposizione possa essere esercitata, gli Stati membri devono far uso della facoltà che quest’ultima offre loro di prevedere nel loro diritto nazionale tale modalità di rappresentanza degli interessati.

 

60      Tuttavia, come osservato dall’avvocato generale ai paragrafi 51 e 52 delle sue conclusioni, gli Stati membri, allorché esercitano la facoltà ad essi conferita da una siffatta clausola di apertura, devono avvalersi del loro margine di discrezionalità alle condizioni ed entro i limiti previsti dalle disposizioni dell’RGPD e devono dunque legiferare in modo da non pregiudicare il contenuto e gli obiettivi di tale regolamento.

 

61      Nel caso di specie, come è stato confermato dal governo tedesco all’udienza nella presente causa, il legislatore tedesco non ha adottato, a seguito dell’entrata in vigore dell’RGPD, disposizioni particolari intese specificamente ad attuare, nel proprio ordinamento giuridico, l’articolo 80, paragrafo 2, di tale regolamento. Infatti, la normativa nazionale in discussione nel procedimento principale, adottata al fine di assicurare la trasposizione della direttiva 2009/22, permette già alle associazioni di tutela degli interessi dei consumatori di agire in giudizio contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali. Detto governo sottolinea, inoltre, che, nella sua sentenza del 29 luglio 2019, Fashion ID (C-40/17, EU:C:2019:629), vertente sull’interpretazione delle disposizioni della direttiva 95/46, la Corte ha statuito che queste ultime non ostano alla succitata normativa nazionale.

 

62      Date tali circostanze, come rilevato dall’avvocato generale al paragrafo 60 delle sue conclusioni, occorre, in sostanza, verificare se le norme nazionali controverse nel procedimento principale rientrino nel margine di discrezionalità riconosciuto a ciascuno Stato membro dall’articolo 80, paragrafo 2, dell’RGPD ed interpretare così tale disposizione tenendo conto del suo tenore letterale, nonché dell’economia generale e degli obiettivi di tale regolamento.

 

63      A questo proposito, occorre rilevare che l’articolo 80, paragrafo 2, dell’RGPD offre la possibilità agli Stati membri di prevedere un meccanismo di azione rappresentativa contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali, fissando al contempo un certo numero di requisiti relativi all’ambito di applicazione ratione personae e ratione materiae da rispettare a tal fine.

 

64      Per quanto riguarda, in primo luogo, l’ambito di applicazione ratione personae di un siffatto meccanismo, la legittimazione ad agire viene riconosciuta ad un organismo, ad un’organizzazione o ad una associazione che soddisfi i criteri elencati all’articolo 80, paragrafo 1, dell’RGPD. In particolare, tale disposizione fa riferimento a «un organismo, un’organizzazione o un’associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali».

 

65      Orbene, occorre constatare che un’associazione di tutela degli interessi dei consumatori, come l’Unione federale, può rientrare in tale nozione in quanto persegue un obiettivo di interesse pubblico consistente nell’assicurare i diritti e le libertà degli interessati nella loro qualità di consumatori, posto che la realizzazione di un tale obiettivo può essere correlata alla protezione dei dati personali di questi ultimi.

 

66      Infatti, la violazione delle norme aventi per scopo la tutela dei consumatori o la lotta contro le pratiche commerciali sleali – violazione che un’associazione di tutela degli interessi dei consumatori, come l’Unione federale, mira a prevenire e a sanzionare segnatamente mediante il ricorso alle azioni inibitorie previsto dalla normativa nazionale applicabile – può essere correlata, come nel caso di specie, alla violazione delle norme in materia di protezione dei dati personali di tali consumatori.

 

67      Per quanto riguarda, in secondo luogo, l’ambito di applicazione ratione materiae di detto meccanismo, l’esercizio dell’azione rappresentativa prevista dall’articolo 80, paragrafo 2, dell’RGPD da parte di un ente rispondente ai requisiti menzionati al paragrafo 1 di questo stesso articolo presuppone che tale ente, indipendentemente da qualsiasi mandato che gli sia stato conferito, «ritenga che i diritti di cui un interessato gode a norma [di tale] regolamento siano stati violati in seguito al trattamento» dei suoi dati personali.

 

68      A questo proposito, occorre precisare, in primis, che, ai fini dell’esercizio di un’azione rappresentativa ai sensi dell’articolo 80, paragrafo 2, dell’RGPD, non si può richiedere che un tale ente proceda alla previa identificazione individuale della persona specificamente interessata da un trattamento di dati asseritamente contrario alle disposizioni dell’RGPD.

 

69      Infatti, è sufficiente rilevare che la nozione di «interessato», ai sensi dell’articolo 4, punto 1, di tale regolamento, ricomprende non soltanto una «persona fisica identificata», ma anche una «persona fisica identificabile», ossia una persona fisica «che può essere identificata», direttamente o indirettamente, tramite un riferimento ad un identificativo, quale, segnatamente, un nome, un numero di identificazione, dati relativi all’ubicazione o un identificativo on line. Date tali circostanze, anche la designazione di una categoria o di un gruppo di persone pregiudicate da tale trattamento può essere sufficiente ai fini della proposizione di detta azione rappresentativa.

 

70      In secundis, in virtù dell’articolo 80, paragrafo 2, dell’RGPD, l’esercizio di un’azione rappresentativa non è neppure subordinato all’esistenza di una violazione concreta dei diritti di cui una persona beneficia sulla base delle norme in materia di protezione dei dati.

 

71      Infatti, come risulta dal tenore letterale stesso di detta disposizione, ricordato al punto 67 della presente sentenza, la proposizione di un’azione rappresentativa presuppone soltanto che l’ente di cui trattasi «ritenga» che i diritti di un interessato previsti dal regolamento in parola siano stati violati in seguito al trattamento dei suoi dati personali, e dunque che tale ente faccia valere l’esistenza di un trattamento di dati contrario a disposizioni del regolamento stesso.

 

72      Ne consegue che, per riconoscere la legittimazione ad agire ad un tale ente, in virtù della succitata disposizione, è sufficiente far valere che il trattamento di dati controverso è idoneo a pregiudicare i diritti che persone fisiche identificate o identificabili si vedono riconosciuti dal suddetto regolamento, senza che sia necessario provare un danno reale subito dall’interessato, in una situazione determinata, a causa della lesione dei suoi diritti.

 

73      Un’interpretazione siffatta è conforme agli obblighi derivanti dall’articolo 16 TFUE e dall’articolo 8 della Carta dei diritti fondamentali dell’Unione europea e, dunque, all’obiettivo perseguito dall’RGPD che consiste nell’assicurare un’efficace protezione dei diritti e delle libertà fondamentali delle persone fisiche, nonché, segnatamente, nel garantire un elevato livello di protezione del diritto di qualsiasi persona alla tutela dei dati personali che la riguardano (v., in tal senso, sentenza del 15 giugno 2021, Facebook Ireland e a., C-645/19, EU:C:2021:483, punti 44, 45 e 91).

 

74      Orbene, il fatto di legittimare delle associazioni di tutela degli interessi dei consumatori, come l’Unione federale, a instaurare, mediante un meccanismo di ricorso rappresentativo, azioni intese a far cessare trattamenti di dati contrari alle disposizioni del regolamento summenzionato, indipendentemente dalla violazione dei diritti di una persona individualmente e concretamente pregiudicata da tale violazione, contribuisce incontestabilmente a rafforzare i diritti degli interessati e ad assicurare loro un elevato livello di protezione.

 

75      Inoltre, occorre rilevare che l’esercizio di una siffatta azione rappresentativa, consentendo di prevenire un gran numero di violazioni dei diritti degli interessati a seguito del trattamento dei loro dati personali, potrebbe rivelarsi più efficace del ricorso che un’unica persona individualmente e concretamente pregiudicata da una violazione del suo diritto alla protezione dei suoi dati personali può esperire contro l’autore di tale violazione.

 

76      Infatti, come osservato dall’avvocato generale al paragrafo 76 delle sue conclusioni, la funzione preventiva delle azioni instaurate da associazioni di tutela degli interessi dei consumatori, come l’Unione federale, non potrebbe essere garantita nel caso in cui l’azione rappresentativa prevista dall’articolo 80, paragrafo 2, dell’RGPD permettesse di far valere soltanto la violazione dei diritti di una persona individualmente e concretamente pregiudicata da tale violazione.

 

77      In terzo luogo, resta da verificare, come richiesto dal giudice del rinvio, se l’articolo 80, paragrafo 2, dell’RGPD osti all’esercizio di un’azione rappresentativa indipendentemente da una violazione concreta di un diritto di un interessato e da un mandato conferito da quest’ultimo, nel caso in cui la violazione delle norme in materia di protezione dei dati sia stata fatta valere nell’ambito di un’azione intesa a controllare l’applicazione di altre norme giuridiche volte a garantire la tutela dei consumatori.

 

78      A questo scopo, occorre rilevare anzitutto che, come si è osservato, in sostanza, al punto 66 della presente sentenza, la violazione di una norma relativa alla protezione dei dati personali può simultaneamente comportare la violazione di norme relative alla tutela dei consumatori o alle pratiche commerciali sleali.

 

79      Pertanto, come rilevato dall’avvocato generale al paragrafo 72 delle sue conclusioni, detta disposizione non osta a che gli Stati membri esercitino la facoltà che essa offre loro nel senso che le associazioni di tutela degli interessi dei consumatori siano legittimate ad agire contro violazioni dei diritti previsti dall’RGPD per il tramite, eventualmente, di norme aventi per finalità la tutela dei consumatori o la lotta contro le pratiche commerciali sleali, quali quelle previste dalla direttiva 2005/29 e dalla direttiva 2009/22.

 

80      Tale interpretazione dell’articolo 80, paragrafo 2, dell’RGPD è d’altronde corroborata dalla direttiva 2020/1828, che abroga e sostituisce, a partire dal 25 giugno 2023, la direttiva 2009/22. In tale contesto, occorre osservare che, ai sensi dell’articolo 2, paragrafo 1, della direttiva 2020/1828, quest’ultima si applica alle azioni rappresentative intentate nei confronti di professionisti per violazioni delle disposizioni del diritto dell’Unione di cui all’allegato I della medesima direttiva, il quale menziona, al punto 56, l’RGPD.

 

81      Certo, la direttiva 2020/1828 non è applicabile alla controversia di cui al procedimento principale e il suo termine di trasposizione non è ancora scaduto. Tuttavia, essa contiene vari elementi che confermano che l’articolo 80 dell’RGPD non impedisce l’esercizio di azioni rappresentative complementari nel settore della tutela dei consumatori.

 

82      Infatti, se invero, come risulta dal considerando 11 di detta direttiva, resta pur sempre possibile prevedere un meccanismo procedurale delle azioni rappresentative complementare nel settore della tutela dei consumatori, i meccanismi di applicazione previsti nell’RGPD o fondati su quest’ultimo, come quello previsto dall’articolo 80 di tale regolamento, non possono essere sostituiti o modificati, come viene precisato dal considerando 15 della direttiva sopra citata, e possono dunque essere utilizzati ai fini della protezione degli interessi collettivi dei consumatori.

 

83      Alla luce dell’insieme delle considerazioni sopra esposte, occorre rispondere alla questione sollevata dichiarando che l’articolo 80, paragrafo 2, dell’RGPD deve essere interpretato nel senso che esso non osta ad una normativa nazionale che consente ad un’associazione di tutela degli interessi dei consumatori di agire in giudizio, in assenza di un mandato che le sia stato conferito a tale scopo e indipendentemente dalla violazione di specifici diritti degli interessati, contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali, facendo valere la violazione del divieto di pratiche commerciali sleali, la violazione di una legge in materia di tutela dei consumatori o la violazione del divieto di utilizzazione di condizioni generali di contratto nulle, qualora il trattamento di dati in questione sia idoneo a pregiudicare i diritti riconosciuti da tale regolamento a persone fisiche identificate o identificabili.

 

 Sulle spese

 

84      Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

 

Per questi motivi, la Corte (Terza Sezione) dichiara:

L’articolo 80, paragrafo 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che esso non osta ad una normativa nazionale che consente ad un’associazione di tutela degli interessi dei consumatori di agire in giudizio, in assenza di un mandato che le sia stato conferito a tale scopo e indipendentemente dalla violazione di specifici diritti degli interessati, contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali, facendo valere la violazione del divieto di pratiche commerciali sleali, la violazione di una legge in materia di tutela dei consumatori o la violazione del divieto di utilizzazione di condizioni generali di contratto nulle, qualora il trattamento di dati in questione sia idoneo a pregiudicare i diritti riconosciuti da tale regolamento a persone fisiche identificate o identificabili.

 

Firme

 

*      Lingua processuale: il tedesco.

HomeSentenzeArticoliLegislazioneLinksRicercaScrivici