CORTE DI GIUSTIZIA UE/ L’AZIONE È INDIPENDENTE DAI DANNI PATITI DALL’INTERESSATO
di Antonio Ciccia Messina
Via libera alle class action privacy. È questo l’effetto della sentenza della Corte di giustizia dell’Unione europea del 28 aprile 2022, resa nella causa C-319/20, che ha affermato che le associazioni di tutela dei consumatori possono esercitare azioni contro lesioni della privacy, anche in assenza di una delega specifica di una persona danneggiata e anche in via preventiva (e cioè indipendentemente da un danno patito da un interessato).
La pronuncia si pone sulla scia di una analoga del tribunale commerciale di Vienna, del 26 maggio 2021 (si veda ItaliaOggi Sette del 26/7/2021) e spiega la portata dell’articolo 80 del regolamento Ue sulla protezione dei dati n. 2016/679 (Gdpr). La vicenda trattata dalla Corte Ue ha riguardato Meta (ex Facebook) Platforms Ireland, contro cui alcune associazioni di consumatori tedesche hanno proposto un’azione inibitoria, contestando, a proposito di giochi gratuiti messi a disposizione degli utenti, la violazione delle norme relative alla privacy, alla lotta contro la concorrenza sleale e alla tutela dei consumatori. Il problema affrontato dai giudici è se, a seguito della operatività del Gdpr, un’associazione dei consumatori abbia il potere di agire in giudizio, per violazioni della privacy, indipendentemente dalla violazione concreta di diritti di soggetti individualmente interessati e in assenza di un mandato conferito da questi ultimi. La Corte Ue ha risolto i quesiti in senso affermativo, precisando che ogni stato europeo può attuare l’articolo 80 del Gdpr e prevedere che un’associazione, indipendentemente dal mandato di un interessato, abbia il diritto di proporre un’azione civile e anche un reclamo al garante della privacy, per violazioni dei dati personali. Peraltro, precisa la sentenza della Corte, affinché l’azione senza mandato possa essere esercitata, gli stati membri devono prevederla nel loro diritto interno.
La corte Ue è orientata, dunque, nel senso della necessità di una legge nazionale attuativa dell’articolo 80 Gdpr, ma non mancano pronunce con sfumature diverse. In effetti, il tribunale di Vienna, nella sentenza del 26/5/2021, ha stabilito che le azioni promosse da un istituto austriaco di tutela dei consumatori, ai sensi della legge austriaca sulla protezione dei consumatori, possono anche essere basate su violazioni del Gdpr, nonostante la mancanza di attuazione in Austria dell’articolo 80, paragrafo 2, Gdpr. Secondo questo orientamento l’articolo 80 si applica direttamente nei singoli stati Ue a prescindere da una norma nazionale di armonizzazione legislativa. In sostanza, nel caso austriaco, sussisteva già una legittimazione delle associazioni dei consumatori per materie diverse dalla privacy e l’estensione è stata ritenuta automatica: ciò sulla base del considerando 42 del Gdpr, che fa esplicito riferimento alla direttiva sulle clausole abusive nei contratti con i consumatori (93/13/CEE).
Una conclusione identica a quella austriaca vale per l’Italia: in effetti, il codice del consumo (dlgs 206/2005) e il Codice civile (articoli 840-bis e seguenti, sulla class action) prevedono già la legittimazione delle associazioni dei consumatori, anche a promuovere azioni inibitorie. Combinando le pronunce citate, le associazioni hanno la strada aperta e possono, già da subito, senza aspettare leggi nazionali, promuovere iniziative giudiziarie e dare così una chance di tutela a diritti i quali, se di piccolo importo, vengono per lo più trascurati. Ciò consente anche di dare un seguito a quei casi in cui il Garante irroga sanzioni alle imprese per violazioni della privacy, ma senza che i consumatori abbiano un ristoro diretto degli illeciti subiti.
Il testo della decisione su www.italiaoggi.it/documenti-italiaoggi
Fonte: 