TUTELA DEI DATI PERSONALI
Corte di Giustizia UE: anche l’omessa informativa privacy è una violazione che abilita le associazioni rappresentative a ricorrere - anche senza mandato dell’interessato – ai sensi dell’articolo 80, comma 2, del GDPR.
Il Bundesgerichtshof (Corte federale di giustizia, Germania) ha sollevato presso la CGUE una questione pregiudiziale relativa all’interpretazione dell’articolo 80, paragrafo 2, del GDPR. Conformemente a tale disposizione, gli Stati membri possono prevedere che un organismo, organizzazione o associazione, indipendentemente dal mandato conferito dall’interessato, abbia il diritto di proporre, nello Stato membro in questione, un reclamo all’autorità di controllo, ai sensi dell’articolo 77 del GDPR, e di esercitare i diritti di cui agli articoli 78 e 79 dello stesso, qualora ritenga che i diritti di cui un interessato gode a norma di tale regolamento siano stati violati in “seguito al trattamento di dati personali”.
La domanda di pronuncia pregiudiziale era stata presentata nell’ambito di una controversia in Germania tra Meta e l’Unione federale delle organizzazioni e associazioni di consumatori tedeschi in merito all’asserita violazione, da parte di Meta Platforms Ireland, della normativa tedesca in materia di protezione dei dati personali, che costituisce, allo stesso tempo, una pratica commerciale sleale, una violazione di una legge in materia di protezione dei consumatori e una violazione del divieto di utilizzazione di condizioni generali di contratto nulle.
Nell’ambito di tale ricorso, il giudice del rinvio ha espresso dubbi in merito alla ricevibilità dell’azione dell’Unione federale. Esso si chiedeva, in particolare, se la legittimazione ad agire dell’Unione federale potesse derivare dall’articolo 80, paragrafo 2, del RGPD anche in caso di semplice omissione da parte del titolare del trattamento di rendere l’informativa sul trattamento ai sensi degli articoli 12 e 13 del GDPR. È per tale ragione ha sottoposto alla Corte di Giustizia una questione pregiudiziale al fine di un’interpretazione di detta disposizione.
La CGUE ha concluso che l’articolo 80, comma 2 del HGDPR deve essere interpretato nel senso che la condizione secondo cui un ente legittimato, per poter proporre un’azione rappresentativa in forza di tale disposizione, deve far valere di ritenere che i diritti di un interessato previsti da tale regolamento siano stati violati «in seguito al trattamento», ai sensi di detta disposizione, è soddisfatta qualora tale ente faccia valere che la violazione dei diritti di tale persona interviene “in occasione di un trattamento” di dati personali e che essa deriva dall’inadempimento dell’obbligo incombente al titolare del trattamento ai sensi dell’articolo 12, paragrafo 1, prima frase, e dell’articolo 13, paragrafo 1, lettere c) ed e), di detto regolamento, di comunicare all’interessato da tale trattamento di dati, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, le informazioni relative alla finalità di tale trattamento di dati nonché ai destinatari di tali dati, al più tardi al momento della raccolta di questi ultimi.
La domanda di pronuncia pregiudiziale era stata presentata nell’ambito di una controversia in Germania tra Meta e l’Unione federale delle organizzazioni e associazioni di consumatori tedeschi in merito all’asserita violazione, da parte di Meta Platforms Ireland, della normativa tedesca in materia di protezione dei dati personali, che costituisce, allo stesso tempo, una pratica commerciale sleale, una violazione di una legge in materia di protezione dei consumatori e una violazione del divieto di utilizzazione di condizioni generali di contratto nulle.
Nell’ambito di tale ricorso, il giudice del rinvio ha espresso dubbi in merito alla ricevibilità dell’azione dell’Unione federale. Esso si chiedeva, in particolare, se la legittimazione ad agire dell’Unione federale potesse derivare dall’articolo 80, paragrafo 2, del RGPD anche in caso di semplice omissione da parte del titolare del trattamento di rendere l’informativa sul trattamento ai sensi degli articoli 12 e 13 del GDPR. È per tale ragione ha sottoposto alla Corte di Giustizia una questione pregiudiziale al fine di un’interpretazione di detta disposizione.
La CGUE ha concluso che l’articolo 80, comma 2 del HGDPR deve essere interpretato nel senso che la condizione secondo cui un ente legittimato, per poter proporre un’azione rappresentativa in forza di tale disposizione, deve far valere di ritenere che i diritti di un interessato previsti da tale regolamento siano stati violati «in seguito al trattamento», ai sensi di detta disposizione, è soddisfatta qualora tale ente faccia valere che la violazione dei diritti di tale persona interviene “in occasione di un trattamento” di dati personali e che essa deriva dall’inadempimento dell’obbligo incombente al titolare del trattamento ai sensi dell’articolo 12, paragrafo 1, prima frase, e dell’articolo 13, paragrafo 1, lettere c) ed e), di detto regolamento, di comunicare all’interessato da tale trattamento di dati, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, le informazioni relative alla finalità di tale trattamento di dati nonché ai destinatari di tali dati, al più tardi al momento della raccolta di questi ultimi.
