Skip to content

Ricorsi contro violazioni GDPR

I bollettini di House of Data Imperiali sono degli estratti delle Puntate del Servizio di Informazione Giuridica (SIG), a cura dell’Avv. Rosario Imperiali d’Afflitto.

Il SIG è fruibile tramite abbonamento.

Ricorsi contro violazioni GDPR

I numerosi ricorsi promossi verso autorità di controllo nazionali, da parte di onlus internazionali come NoyB, La Quadrature du Net, Privacy International e altri, sono testimonianza pratica del disposto dell’articolo 80, paragrafo 1, del GDPR che consente all’interessato di esercitare i propri mezzi di ricorso riconosciutigli dal regolamento, conferendo mandato a organismi senza scopo di lucro attivi in ambito di protezione dei dati personali.

CGUE sui ricorsi “privacy” delle onlus

In questo contesto, il 28 aprile 2022 la Corte di Giustizia dell’Unione (CGUE) ha emesso la sentenza sulla causa C-319/20 relativa a un rinvio pregiudiziale presentato dalla Corte federale tedesca (Bundesgerichtshof) nella controversia intentata dall’associazione dei consumatori “Unione federale delle centrali e delle associazioni di consumatori” (di seguito “Unione federale”) contro Meta Platforms Ireland Limited, già Facebook Ireland Limited.

Quesiti pregiudiziali della causa C-319/20

Il giudice del rinvio tedesco ha chiesto alla CGUE se il GDPR preclude ad uno Stato membro di prevedere che un’organizzazione di consumatori senza scopo di lucro possa agire:

  • per una violazione in materia di protezione dei dati personali, costituente al tempo stesso una pratica commerciale sleale, una violazione in materia di tutela dei consumatori e una violazione al divieto di condizioni generali di contratto nulle
  • senza aver ricevuto mandato dall’interessato
  • senza comprovare l’effettiva violazione.

La risposta della Corte è stata in senso affermativo riguardo a tutti e tre i quesiti.

Fatti

Nell’ambito dei servizi offerti dal social network, Facebook Germany GmbH – consociata tedesca del gruppo – promuove sotto l’indirizzo www.facebook.de spazi pubblicitari: tra questi, quello denominato “App-Zentrum” (Area Applicazioni) mette a disposizione degli utenti giochi gratuiti forniti da terzi. L’utilizzo dell’applicazione comporta l’accettazione da parte dell’utente delle condizioni generali e della politica in materia di dati personali; in tal modo, la società fornitrice dei giochi acquisisce il diritto di utilizzare e pubblicare una serie di dati dell’utente, quali comunicazioni di status, il suo punteggio, foto e altre informazioni.

L’Unione federale, che in base alla legge tedesca sul consumo è organismo legittimato ad agire sulle azioni inibitorie a tutela dei consumatori, ha citato in giudizio la società Meta Platforms Ireland ritenendo che le indicazioni fornite dai giochi nell’Area Applicazioni fossero “sleali” per violazione delle regole sul valido consenso dell’interessato ai sensi del GDPR; in aggiunta, l’indicazione secondo cui l’applicazione è autorizzata a pubblicare a nome dell’utente alcune sue informazioni personali costituirebbe una condizione generale che penalizza indebitamente il consumatore, in quanto tale viziata da nullità.

Iter giudiziario

L’azione inibitoria della legge tedesca contro la concorrenza sleale, proposta dall’Unione federale in primo grado presso il Tribunale del Land di Berlino, ha avuto esito positivo. L’appello di Meta contro tale decisione dinanzi al Tribunale superiore del Land di Berlino è stato respinto. Successivamente, il social network ha presentato ricorso per cassazione contro la decisione di rigetto adottata dal giudice di appello.

Quest’ultimo giudice, mentre incidentalmente ha ritenuto fondata l’azione dell’Unione federale, ha sollevato dubbi circa la sua ricevibilità (cioè la legittimazione dell’Unione federale a proporre tale azione), non potendo escludere che l’entrata in vigore del GDPR possa aver fatto perdere la legittimazione dell’Unione federale, segnatamente, a seguito dell’articolo 80, paragrafo 2, del regolamento.

Questione pregiudiziale

Nella causa C-319/20, il Bundesgerichtshof quale giudice del rinvio chiede alla CGUE una pronuncia pregiudiziale con cui si precisi se l’articolo 80 del GDPR non consenta allo Stato membro di conferire ad associazioni senza scopo di lucro il potere di agire, in caso di violazioni al GDPR, contro l’autore della violazione:

  1. basandosi su disposizioni a tutela del consumatore
  2. indipendentemente dalla prova di tale violazione
  3. in assenza di un mandato dell’interessato.

Cioè, in sintesi, è stato chiesto alla CGUE se, partendo dalla tutela dei consumatori, un’organizzazione legittimata ad agire a tutela degli stessi in base alla normativa nazionale, possa fare valere diritti di interessati ai sensi del GDPR, sulla base di una presunta violazione e pur senza mandato.

Per continuare a leggere questo articolo devi essere abbonato al Servizio di Informazione Giuridica.

Sei già abbonato?