Class action in Europa e GDPR: la Corte UE dà il via libera alle associazioni dei consumatori per agire a fini inibitori contro la violazione della privacy, anche in assenza di delega specifica e in via preventiva.
Class action e GDPR: il caso tedesco
La sentenza della Corte di Giustizia UE relativa alla causa C319/20 origina dal ricorso che alcune associazioni tedesche di tutela dei consumatori hanno presentato contro Meta Platforms Ireland. Questa ultima è la società europea che gestisce e controlla i social di Meta in Europa. Lo scopo del ricorso era impedire in forma preventiva la violazione della privacy dei consumatori, delle norme contro la concorrenza sleale e per la tutela dei consumatori. L’accusa delle associazioni è che Meta userebbe alcuni giochi online gratuiti per raccogliere dati sugli utenti tramite modalità illegittime.
L’interpretazione dell’articolo 80 del GDPR
La Corte, nell’affrontare il ricorso delle associazioni, ha dovuto risolvere una questione spinosa collegata all’articolo 80 del GDPR. La domanda alla quale la Corte ha risposto è stata: in Europa sono possibili class action sulle violazioni del GDPR? Il GDPR sancisce o meno la legittimazione attiva delle associazioni di consumatori? Intendendo per “legittimazione attiva” il diritto da parte delle associazioni di consumatori di proporre ricorso:
- senza una delega specifica della persona riguardata;
- in via preventiva.
L’articolo 80 del GDPR prevede che:
“Gli Stati membri possono prevedere che un organismo, organizzazione o associazione di cui al paragrafo 1 del presente articolo, indipendentemente dal mandato conferito dall’interessato, abbia il diritto di proporre, in tale Stato membro, un reclamo all’autorità di controllo competente, e di esercitare i diritti di cui agli articoli 78 e 79, qualora ritenga che i diritti di cui un interessato gode a norma del presente regolamento siano stati violati in seguito al trattamento”.
Inoltre, l’art.80 prevede due possibilità a tutela degli interessati:
- l’azione diretta del singolo, che può dare mandato ad un organismo o ad una associazione senza scopo di lucro e i cui principi statutari siano di interesse e rilevanza pubblica in termini di protezione dei diritti e delle libertà degli interessati;
- la possibilità che gli stati membri prevedano organismi o associazioni ad hoc, indipendentemente da un mandato dell’interessato, con diritto di adire al Garante ed esercitare i diritti dell’interessato.
La necessità di una normativa nazionale
In sunto le associazioni hanno legittimazione attiva per procedere ad azioni inibitorie e preventive. Ad una condizione, però. Occorre una normativa nazionale che indirizzi il tema. Detto in parole semplici, perché una associazione di categoria possa agire in via inibitoria tramite class action è necessaria una legge nazionale che preveda esplicitamente questa possibilità.
Leggi qui il testo completo della sentenza > SENTENZA DELLA CORTE (Terza Sezione) 28 aprile 2022
E’ questa, una indicazione specifica verso gli Stati Membri UE, un vero e proprio invito ad emanare una legge attuativa dell’articolo 80 del GDPR. Non a caso già nel 2021 il Parlamento UE ha sollecitato gli Stati Membri ad avvalersi dell’art.80, con particolare attenzione al paragrafo 2.
Il precedente: il caso austriaco
C’è un precedente in tema e risale al 2021: parliamo della sentenza del Tribunale commerciale di Vienna del 26 Maggio 2021. Con la sentenza relativa al caso 57 Cg 32/20m, il giudice austriaco già aveva proceduto ad interpretare l’articolo 80 del GDPR. In questo caso il tribunale austriaco è giunto alle stesse conclusioni della Corte UE con una differenza. Le azioni legali promosse da un istituto austriaco di protezione dei consumatori possono anche basarsi su violazioni del GDPR pur in mancanza di una legge nazionale che attui l’articolo 80, paragrafo 2 del GDPR.
In breve, per la giustizia austriaca:
- è possibile accentrare un contezioso sulla privacy nelle mani di un ente rappresentativo;
- è possibile presentare reclamo per violazioni del GDPR anche in mancanza di una legge attuativa nazionale.
Class action e privacy: la situazione in Italia
Insomma, per la Corte UE, in Europa sono possibili e legittime le class action a difesa della privacy dei consumatori da parte di associazioni o organizzazioni. E in Italia? Il nostro ordinamento già consente alle associazioni dei consumatori di presentare reclamo ed agire in giudizio. Anche nel caso di azioni inibitorie. E’ il Codice del Consumo, D.L 206 del 2005, a prevedere questa possibilità, in combinato con gli art. 840 bis e successivi del Codice di Procedura Civile.
L’art 840 è chiaro:
“I diritti individuali omogenei sono tutelabili anche attraverso l’azione di classe, secondo le disposizioni del presente titolo. A tale fine, un’organizzazione o un’associazione senza scopo di lucro i cui obiettivi statutari comprendano la tutela dei predetti diritti o ciascun componente della classe può agire nei confronti dell’autore della condotta lesiva per l’accertamento della responsabilità e per la condanna al risarcimento del danno e alle restituzioni”.
In sunto la nostra normativa è già adeguata e le associaizoni di consumatori possono agire in via inibitoria e preventiva ai sensi dell’art.80 GDPR.
C’è un però: la nostra legislazione prevede che si possa agire a tutela di interessi collettivi senza che sia avvenuta diretta lesione dei diritti dei singoli. E’ come una azione contro una potenziale violazione dei diritti dei consumatori. Molto diveso dal concetto di class action all’americana, quindi. Un’associazione di consumatori può quindi costringere un’azienda ad interrompere un dato trattamento o condotta scorretta senza mandato dei singoli, ma non potrà invece attivarsi per richiedere il risarcimento dei danni.