La Meta Platforms Ireland, già Facebook Ireland, è la titolare del trattamento di dati personali degli utenti del social network on line Facebook nell’Unione.
L’Unione federale delle centrali e delle associazioni di consumatori (Germania) ha proposto un’azione inibitoria contro la Meta Platforms Ireland, contestandole di aver violato, nell’ambito della messa a disposizione degli utenti di giochi gratuiti forniti da terzi [1], delle norme relative alla protezione dei dati personali, alla lotta contro la concorrenza sleale e alla tutela dei consumatori.
La Corte federale di giustizia (Germania) osserva che l’azione proposta dall’Unione federale sarebbe fondata, ma nutre dei dubbi riguardo alla sua ricevibilità.
Infatti, detto giudice si interroga in merito alla questione se un’associazione per la tutela degli interessi dei consumatori, come l’Unione federale, disponga ancora, successivamente all’entrata in vigore del regolamento generale sulla protezione dei dati (RGPD) [2], del potere di agire in giudizio, instaurando un’azione dinanzi ai giudici civili, di fronte a violazioni di tale regolamento, e ciò indipendentemente dalla violazione concreta di diritti di soggetti individualmente interessati e in assenza di un mandato conferito da questi ultimi. Inoltre, detto giudice osserva che dall’RGPD è possibile dedurre che incombe principalmente alle autorità di controllo verificare l’applicazione di tale regolamento.
Mediante la sua sentenza in data odierna, la Corte constata che l’RGPD non osta ad una normativa nazionale, la quale permetta ad un’associazione di tutela degli interessi dei consumatori di agire in giudizio, in assenza di un mandato che le sia stato conferito a questo scopo e indipendentemente dalla violazione di specifici diritti degli interessati, contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali, facendo valere la violazione del divieto delle pratiche commerciali sleali, la violazione di una legge in materia di tutela dei consumatori o la violazione del divieto di utilizzazione di condizioni generali di contratto nulle, qualora il trattamento di dati in questione sia idoneo a pregiudicare i diritti che delle persone fisiche identificate o identificabili si vedono riconosciuti dal regolamento summenzionato.
In via preliminare, la Corte rileva che l’RGPD ha realizzato un’armonizzazione in linea di principio completa delle normative nazionali in materia di protezione dei dati personali. Tuttavia, alcune disposizioni dell’RGPD offrono la possibilità agli Stati membri di prevedere norme nazionali supplementari che lascino a questi ultimi un margine di discrezionalità circa il modo in cui tali disposizioni possono essere attuate, a condizione che le norme nazionali adottate non pregiudichino il contenuto e gli obiettivi del regolamento summenzionato. In proposito, essi hanno segnatamente la possibilità di prevedere un meccanismo di azione rappresentativa contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali, enunciando al contempo un certo numero di requisiti che devono essere rispettati.
La Corte sottolinea anzitutto che un’associazione per la tutela degli interessi dei consumatori, come l’Unione federale, rientra nella nozione di «organismo legittimato ad agire» ai sensi dell’RGPD in quanto essa persegue un obiettivo di interesse pubblico consistente nell’assicurare i diritti dei consumatori. Infatti, la violazione di norme relative alla tutela dei consumatori o alle pratiche commerciali sleali può essere correlata alla violazione di una norma relativa alla protezione dei dati personali.
La Corte evidenzia poi che l’instaurazione di un’azione rappresentativa presuppone che un’associazione siffatta, indipendentemente da qualsiasi mandato che le sia stato conferito, «ritenga» che i diritti di un interessato previsti dall’RGPD siano stati violati a motivo del trattamento dei suoi dati personali, senza che sia necessario identificare, individualmente e preliminarmente, la persona specificamente interessata dal suddetto trattamento di dati ed allegare l’esistenza di una specifica violazione dei diritti riconosciuti dalle norme in materia di protezione dei dati.
Un’interpretazione siffatta è conforme all’obiettivo perseguito dall’RGPD consistente segnatamente nell’assicurare un elevato livello di protezione dei dati personali.
Infine, secondo la Corte, l’RGPD non osta a delle disposizioni nazionali, le quali prevedano l’esercizio di azioni rappresentative dinanzi a violazioni dei diritti conferiti da tale regolamento tramite, eventualmente, norme aventi una finalità di protezione dei consumatori o di lotta contro le pratiche commerciali sleali.
[1] Al momento della consultazione dell’Area Applicazioni di alcuni di questi giochi, l’utente vede apparire l’indicazione secondo cui l’utilizzazione dell’applicazione in questione permette alla società fornitrice di giochi di ottenere un certo numero di dati personali e la autorizza a procedere alla pubblicazione di alcuni di questi dati a nome dell’utente in questione. Tale utilizzazione implicava l’accettazione, da parte dell’utente, delle condizioni generali dell’applicazione e della sua politica in materia di protezione dei dati.
[2] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1).