202606.15
0
0

Azioni rappresentative, GDPR e tutela dei consumatori: il Tribunale di Milano apre la strada al risarcimento collettivo per la “perdita di controllo” dei dati personali.

by in News

Nota aTribunale di Milano, Sezione XIV Civile, Specializzata in materia di Impresa, ordinanza del 11 dicembre 2025.

Dopo aver in passato cercato di approfondire il tema della legittimazione delle
associazione dei consumatori fra l’art. 80 del Regolamento Generale sulla Protezione dei
Dati (Regolamento UE 2016/679, c.d. GDPR) e l’art. 140-ter del Codice del Consumo
(D.Lgs. n. 206/2005), anche alla luce della sentenza della Corte di Giustizia dell’Unione
Europea (CGUE) del 28.4.2022, nella causa C-319/20 – Meta Platforms Ireland v.
Bundesverband der Verbraucherzentralen
(https://www.veltri.legal/2025/08/18/confronto-fra-tutela-consumeristica-eprotezione-dei-dati-personali-la-legittimazione-delle-associazioni-dei-consumatori/), si pone all’attenzione l’ordinanza del 11 dicembre 2025 del Tribunale Ordinario di Milano,
Sezione XIV Civile, Specializzata in materia di Impresa (https://share.google/CYFo1LmwT7d3ZdhjR).

Il provvedimento in questione si connota in termini di particolare innovatività con
riguardo al tema delle azioni rappresentative a tutela degli interessi collettivi dei
consumatori (introdotte dal D.Lgs. 10 marzo 2023, n. 28 che ha modificato il Codice del
Consumo recependo la Direttiva UE 2020/1828) in relazione alle violazioni del GDPR ed al
ristoro dei conseguenti danni non patrimoniali.
Nel merito, il Tribunale ha dichiarato ammissibile l’azione collettiva promossa
dall’associazione Verbraucherzentrale Südtirol (VZS) contro Meta Platforms Ireland
Limited (MPIL) a seguito del massivo episodio di data scraping di dati personali avvenuto
tra il 2018 e il 2019 in danno di circa 533 milioni di utenti della piattaforma ‘Facebook’.

  1. La legittimazione ad agire delle associazioni dei consumatori senza mandato.
    Il primo quesito risolto dal Tribunale di Milano concerne la legittimazione attiva delle
    associazioni dei consumatori a promuovere azioni inibitorie e risarcitorie (id est,
    compensative) in materia di privacy senza aver preventivamente ricevuto un mandato
    specifico da parte dei singoli interessati.
    Al riguardo, la difesa di MPIL ha eccepito l’inammissibilità dell’azione rappresentativa per
    carenza di legittimazione della ricorrente, sul presupposto che l’art. 80, paragrafo 1, del
    GDPR non consentirebbe ad associazioni senza scopo di lucro di agire per il risarcimento
    del danno senza un preventivo mandato conferito dal titolare del diritto.
    Il Tribunale di Milano ha disatteso tale eccezione, valorizzando il principio di
    complementarità tra la tutela dei dati personali e la tutela dei consumatori.
    Il Collegio ha richiamato l’evoluzione della giurisprudenza della Corte di Giustizia
    dell’Unione Europea e in particolare proprio la sentenza Meta Platforms (C-319/20), la
    quale ha chiarito che l’art. 80, paragrafo 2, del GDPR non osta a una normativa nazionale
    che consenta alle associazioni di consumatori di agire in giudizio contro l’autore di una
    violazione della protezione dei dati personali, anche in assenza di mandato e
    indipendentemente dalla violazione di specifici diritti degli interessati, avvalendosi di
    norme a tutela dei consumatori o contro le pratiche commerciali sleali.
    Nelle conclusioni dell’Avvocato Generale nella causa C-319/20, è stato in particolare
    evidenziato come “le interazioni tra la normativa in materia di protezione dei dati
    personali, quella in materia di tutela dei consumatori e quella in materia di concorrenza
    sono frequenti e numerose, posto che una stessa condotta può rientrare
    contemporaneamente nelle norme di diritto appartenenti a questi diversi settori” e “tali
    interazioni contribuiscono a rendere più efficace la protezione dei dati personali”.
    Su tali basi, nell’ordinanza in esame, è stato possibile confermare che l’art. 140-quater del
    Codice del Consumo riconosce la legittimazione ad agire alle associazioni iscritte
    nell’elenco ex art. 137 (come la VZS) per la tutela degli interessi collettivi dei consumatori
    nelle materie di cui all’allegato II-septies del medesimo Codice del Consumo (che include
    espressamente il GDPR).
    La disciplina italiana consente quindi agli enti legittimati di proporre in via cumulativa
    azioni inibitorie e compensative senza la necessità di un mandato preliminare. Il consenso
    e l’adesione dei singoli consumatori (meccanismo di opt-in) intervengono solo in una fase
    successiva all’ordinanza di ammissibilità.
    Questa struttura garantisce un’applicazione altamente efficace delle norme sulla
    protezione dei dati, superando gli ostacoli procedurali che avrebbero di fatto paralizzato
    le azioni collettive in caso di violazioni massive (i.e.: data breach globale).
  2. La tipologia di danno risarcibile ai sensi dell’art. 82 GDPR: “perdita di controllo” e
    “timore”.
    Il secondo profilo meritevole di rilievo dell’ordinanza attiene alla perimetrazione del
    danno immateriale risarcibile con il superamento della tesi del danno in re ipsa e della
    “soglia di gravità”.
    In linea con la giurisprudenza eurounitaria ed interna, il Tribunale di Milano ha ribadito
    che la mera violazione delle disposizioni del GDPR non costituisce di per sé un danno
    risarcibile (escludendo la figura del danno in re ipsa).
    Chi agisce ai sensi dell’art. 82 GDPR ha l’onere di dimostrare l’esistenza di un danno
    effettivo, sebbene minimo, e il nesso di causalità con la violazione.
    Tuttavia, nella valutazione della domanda risarcitoria, devono essere superate le
    tradizionali barriere civilistiche nazionali che subordinano il ristoro del pregiudizio non
    patrimoniale al superamento di una “soglia minima di gravità” o di “serietà del danno”.
    Il Tribunale di Milano, conformandosi ai principi espressi dalla Corte di Giustizia (cause C200/23, C-300/21, C-687/21 e C-741/21, ma vedi anche C-655/23, C-200/23, C-456/23 ed
    altre), ha ribadito che:
  • la nozione di danno immateriale ha definizione autonoma e uniforme nel diritto
    dell’Unione;
  • essa non può essere circoscritta ai soli danni di una certa gravità e non esiste
    alcuna soglia minima (de minimis) al di sotto della quale il danno immateriale non
    è risarcibile;
  • il risarcimento ex art. 82 GDPR svolge una funzione esclusivamente compensativa
    (volta a ripristinare integralmente la situazione del danneggiato) e non punitiva.
    Nello specifico caso dello scraping subito dagli utenti di ‘Facebook’, è stata dedotta la
    “perdita di controllo” sui dati personali ed il “timore” a tale perdita.
    La giurisprudenza della CGUE (causa C-340/21) aveva già chiarito che il timore di un
    potenziale utilizzo abusivo dei propri dati da parte di terzi a seguito di un data breach può,
    di per sé, integrare un danno immateriale.
    Nel dicembre 2025, MPIL, parte resistete nel procedimento promosso nei suoi confronti
    da VZS, concluso dall’ordinanza in esame, ne aveva chiesto la sospensione in attesa della
    decisione pregiudiziale nella causa C-273/25, volta a chiarire se la sola e temporanea
    perdita di controllo configurasse un danno risarcibile. E tale questione è stata
    definitivamente risolta dalla CGUE con la sentenza del 19 marzo 2026 ove è sancito che:
    “il danno immateriale subito dall’interessato ai sensi di tale disposizione include la perdita
    del controllo dei suoi dati personali o la sua incertezza quanto alla questione se i suoi dati
    siano stati oggetto di trattamento, purché sia dimostrato, in particolare, che tale
    interessato ha effettivamente subito un siffatto danno e che il suo comportamento non
    ha costituito la causa determinante di tale danno”.
    La perdita di controllo o lo stato di incertezza sul trattamento costituiscono un danno
    risarcibile, a patto che l’interessato provi la sussistenza di sentimenti negativi,
    turbamento o insoddisfazione concretamente patiti e che l’evento non sia imputabile a
    un comportamento abusivo dello stesso interessato.
    Per dare applicazione pratica a tali principi in un’ottica di standardizzazione e serialità
    compatibile con l’azione di classe, il Tribunale di Milano ha ritenuto di poter suddividere
    i consumatori aderenti in due classi distinte: da un lato, quelli i cui dati personali sono
    stati effettivamente oggetto di scraping e che abbiano subito un danno immateriale
    (turbamento, sentimenti negativi, timore di usi abusivi); dall’altro, quelli che abbiano
    sofferto sentimenti negativi o insoddisfazione per il solo timore della perdita di controllo
    dei propri dati, pur in assenza di un accertato scraping effettivo del loro specifico profilo.
    Sotto il profilo probatorio, per l’ammissione alle classi, il Tribunale ha richiesto elementi
    concreti ed oggettivi volti a dimostrare il danno morale (desumibile anche in via
    presuntiva), quali l’essersi attivati inviando richieste di informazioni a seguito del
    comunicato del 2021 o l’aver provveduto alla variazione delle proprie credenziali di
    contatto nel periodo successivo al breach. Al contrario, non è risarcibile il timore
    derivante da un rischio puramente ipotetico in cui sia accertato che nessun terzo sia
    venuto a conoscenza dei dati (causa C-687/21).
  1. Conclusioni: l’impatto pratico della pronuncia.
    L’ordinanza in commento accelera in modo decisivo l’effettività della tutela dei dati
    personali in Italia, offrendo alle associazioni dei consumatori una corsia preferenziale per
    sanzionare condotte illecite e conseguire il ristoro dei danni non patrimoniali che ne
    derivano anche in relazioni ad eventi massivi di data breach in coerenza con il trend
    europeo che vede la tutela dei dati personali non più solo come un diritto formale, ma
    come un asset fondamentale della persona che, se violato, genera un obbligo risarcitorio
    effettivo e standardizzabile.