Confronto fra tutela consumeristica e protezione dei dati personali. La legittimazione delle associazioni dei consumatori
Art. 80 del Regolamento Generale sulla Protezione dei Dati (GDPR) e art. 140-ter del Codice del Consumo
- Confronto tra l’art. 80 del GDPR e l’art. 140-ter del Codice del Consumo: tutela collettiva dei diritti dei cittadini.
La tutela dei diritti dei cittadini nel contesto della protezione dei dati personali e dei consumatori ha assunto, nel tempo, una dimensione sempre più collettiva. Due strumenti giuridici fondamentali in questo ambito sono l’art. 80 del Regolamento (UE) 2016/679 (GDPR) e l’art. 140-ter del Codice del Consumo italiano (D.Lgs. n. 206/2005). Entrambi prevedono forme di azione rappresentativa per la difesa degli interessi di gruppi di soggetti, ma si collocano in contesti diversi e presentano importanti differenze.
- Art. 80 GDPR: rappresentanza nel trattamento dei dati personali.
L’art. 80 del GDPR disciplina la possibilità per l’interessato di essere rappresentato da un organismo, un’organizzazione o un’associazione senza scopo di lucro, purché costituiti conformemente al diritto di uno Stato membro, per l’esercizio dei diritti di cui agli artt. da 77 a 79 del medesimo GDPR. Tali diritti riguardano:
- il diritto di proporre un reclamo all’autorità di controllo;
- il diritto di proporre un ricorso giurisdizionale effettivo contro un’autorità di controllo o contro un titolare/responsabile del trattamento.
Gli aspetti rilevanti della previsione in esame sono
- facoltatività della rappresentanza: l’interessato può decidere di agire personalmente o tramite un soggetto rappresentativo;
- condizioni per i soggetti rappresentativi: devono avere nel loro statuto finalità legate alla tutela dei diritti e delle libertà degli interessati in relazione alla protezione dei dati;
- possibilità di azione autonoma (2° comma): gli Stati membri possono autorizzare tali organismi a presentare reclami o ricorsi indipendentemente dal mandato dell’interessato.
Per tale ultimo profilo, consta chel’Italia non ha dato attuazione a questa facoltà.
- Art. 140-ter Codice del Consumo: azione rappresentativa per la tutela dei consumatori.
L’art. 140-ter del Codice del Consumo, riformulato nel 2023 in attuazione della Direttiva (UE) 2020/1828 sulle azioni rappresentative, prevede la possibilità per enti qualificati (italiani o di altri Stati membri) di promuovere azioni rappresentative a tutela degli interessi collettivi dei consumatori nei confronti di professionisti che abbiano violato disposizioni rilevanti, comprese quelle in materia di protezione dei dati personali, quando connesse al consumo.
Gli aspetti rilevanti della previsione in esame sono
- soggetti legittimati: solo enti qualificati, iscritti in un apposito elenco, possono agire in giudizio;
- tutela di interessi collettivi: l’azione non riguarda il singolo diritto soggettivo ma l’interesse generale dei consumatori;
- ambito applicativo: più ampio rispetto al solo GDPR, include pubblicità ingannevole, clausole vessatorie, vendite aggressive, violazioni ambientali, etc.;
- efficacia transfrontaliera: gli enti qualificati possono agire anche in altri Stati membri.
- È possibile procedere ad una sintetica e schematica comparazione delle due norme.
| Art. 80 GDPR | Art. 140-ter Cod. Consumo | |
| Ambito | Protezione dei dati personali | Tutela collettiva dei diritti dei consumatori (inclusa la privacy) |
| Legittimazione attiva | Associazioni o enti senza scopo di lucro (non necessariamente iscritti a registri ufficiali) | Solo enti qualificati iscritti all’elenco ufficiale |
| Natura dell’azione | Individuale o rappresentativa su mandato; eventuale azione autonoma se prevista dal diritto nazionale | Collettiva e autonoma, senza mandato dei singoli consumatori |
| Recepimento in Italia | 1° comma recepito; 2° comma (azione autonoma) non recepito | Completamente recepito in linea con la Direttiva (UE) 2020/1828 |
| Finalità | Tutela dei diritti dell’interessato | Cessazione e prevenzione di pratiche illecite lesive dei diritti dei consumatori |
- La sentenza CGUE APP ZentrUM (C‑319/20)
La sentenza della Corte di Giustizia dell’Unione Europea (CGUE) del 28.4.2022, nella causa C‑319/20 – Meta Platforms Ireland v. Bundesverband der Verbraucherzentralen (APP ZentrUM), ha fornito spunti interessanti sulla legittimazione ad agire delle associazioni di consumatori in materia di protezione dei dati.
In particolare, la CGUE ha stabilito che “l’articolo 80, paragrafo 2, del regolamento (UE) 2016/679 […] non osta ad una normativa nazionale che consente ad un’associazione di tutela degli interessi dei consumatori di agire in giudizio, in assenza di un mandato che le sia stato conferito a tale scopo e indipendentemente dalla violazione di specifici diritti degli interessati, contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali, facendo valere la violazione del divieto di pratiche commerciali sleali, la violazione di una legge in materia di tutela dei consumatori o la violazione del divieto di utilizzazione di condizioni generali di contratto nulle, qualora il trattamento di dati in questione sia idoneo a pregiudicare i diritti riconosciuti da tale regolamento a persone fisiche identificate o identificabili”.
Secondo i giudici europei,la “violazione delle norme aventi per scopo la tutela dei consumatori o la lotta contro le pratiche commerciali sleali – violazione che un’associazione di tutela degli interessi dei consumatori […] mira a prevenire e a sanzionare segnatamente mediante il ricorso alle azioni inibitorie previsto dalla normativa nazionale applicabile – può essere correlata, come nel caso di specie, alla violazione delle norme in materia di protezione dei dati personali di tali consumatori”.
Ciò a dire che un’associazione di consumatori può agire in giudizio contro una violazione del GDPR senza dover ricevere uno specifico mandato da parte degli interessati, anche se lo Stato membro non ha dato attuazione all’art. 80, 2° comma GDPR.
Gli aspetti rilevanti della decisione in esame sono
- l’azione collettiva è compatibile con il GDPR, anche se avviata sulla base di una normativa nazionale sulla tutela dei consumatori;
- l’associazione può agire autonomamente, senza essere delegata dai singoli interessati, se persegue l’obiettivo di tutelare i diritti degli utenti alla protezione dei dati in un contesto commerciale;
- la legittimazione non si fonda direttamente sul GDPR, ma è consentita dalla combinazione del diritto nazionale e del diritto dell’UE (in particolare, dalla Direttiva 2009/22/CE, ora sostituita dalla Direttiva 2020/1828).
Pur rafforzando il ruolo delle associazioni di consumatori come attori centrali nella tutela della privacy, superando la rigidità interpretativa dell’art. 80, c2o comma GDPR, il limite testuale della decisione sta nel riferimento espresso al solo “agire in giudizio” e non già anche al “reclamo all’autorità di controllo competente” menzionato dal predetto 2° comma dell’art. 80 GDPR.
Ne risulta un possibile iatus di tutela: l’associazione di consumatori, in difetto di mandato specifico ed a fronte di una violazione delle norme in materia di protezione dei dati personali, potrebbe agire in giudizio per la tutela – anche inibitoria – consumieristica, ma non proporre reclamo all’autorità garante nazionale.
D’altra parte, l’eventuale reclamo al garante, proposto senza specifico mandato, seppur respinto per difetto di legittimazione in capo all’associazione, meriterebbe comunque di poter essere ‘convertito’ quanto meno in una segnalazione e così ‘conservato’.