Privacy, secondo la Corte Ue le associazioni dei consumatori possono agire in giudizio contro Facebook

I giudici di Lussemburgo hanno stabilito che un’azione legale nei confronti di Meta può essere avviata da un’associazione di tutela dei consumatori anche senza mandato.

Un’associazione di consumatori può agire in giudizio contro Facebook per violazione dei dati personali. A stabilirlo è la sentenza della Corte di giustizia dell’Unione europea del 28 aprile 2022, che ha affermato che le associazioni di tutela dei consumatori possono esercitare azioni contro lesioni della privacy, anche “in assenza di un mandato che le sia stato conferito a questo scopo e indipendentemente dalla violazione di specifici diritti degli interessati, contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali”.

La vicenda a cui fa riferimento la sentenza riguarda Meta (ex Facebook) Platforms Ireland, contro cui alcune associazioni di consumatori tedesche avevano proposto un’azione inibitoria, contestandole, a proposito di giochi gratuiti messi a disposizione degli utenti, di aver violato alcune norme relative alla privacy, alla lotta contro la concorrenza sleale e alla tutela dei consumatori.

Il problema affrontato dai giudici è se, a seguito dell’entrata in vigore del Gdpr, un’associazione dei consumatori possa agire in giudizio, per violazioni della privacy, indipendentemente dalla violazione concreta di diritti di soggetti individualmente interessati e in assenza di un mandato conferito da questi ultimi.

In proposito la  “Corte constata che il Gdpr non osta a una normativa nazionale, la quale permetta ad un’associazione di tutela degli interessi dei consumatori di agire in giudizio, in assenza di un mandato che le sia stato conferito a questo scopo e indipendentemente dalla violazione di specifici diritti degli interessati, contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali”, si legge nella sentenza.

Il regolamento Ue sulla privacy, spiegano i giudici di Lussemburgo, ha armonizzato le norme nazionali sulla protezione dei dati.  Alcune disposizioni, però, consentono agli Stati di prevedere norme nazionali con un margine di discrezionalità su come attuare le disposizioni del regolamento. “Gli Stati – si legge nella sentenza – hanno la possibilità di prevedere un meccanismo di azione rappresentativa contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali, enunciando al contempo un certo numero di requisiti che devono essere rispettati”.

La Corte precisa anche che “un’associazione per la tutela degli interessi dei consumatori”, come l’Unione federale tedesca, rientra nella nozione di “organismo legittimato ad agire” ai sensi del Gdpr in quanto essa persegue l’obiettivo di assicurare i diritti dei consumatori. E “la violazione di norme relative alla tutela dei consumatori o alle pratiche commerciali sleali può essere correlata alla violazione di una norma relativa alla protezione dei dati personali”.