With its recent judgment of 28 April 2022, rendered in case C-319/20, the Court of Justice of the European Union held that consumer associations could act against violations of the right to privacy, even in the absence of a specific delegation by the injured party, and even as a preventive measure.
The judgment was handed down following action for an injunction brought by German consumer protection associations against Meta Platform Ireland to prevent Meta Platform Ireland from infringing rules on protecting users’ data and those in the fight against unfair competition and consumer protection. The company in question, which controls various social networks in Europe, including Facebook and Instagram, is alleged to have infringed those rules by offering online games free of charge to users.
The Court, therefore, provided with the recent judgment an interpretation of Article 80 of Regulation (EU) 2016/679 (GDPR). That provision states, in paragraph 2, that Member States may provide that a non-profit making body, organization, or association, which is duly constituted under the law of a Member State, whose statutory objectives are in the public interest and which is active in the field of the protection of the rights and freedoms of data subjects with regard to the protection of personal data irrespective of the mandate given by the data subject, has the right to lodge, in that Member State, a complaint with the competent supervisory authority, and to exercise the rights referred to in Articles 78 and 79, if they consider that a data subject’s rights under the GDPR have been infringed as a result of the processing.
The Court has, therefore, clarified that – provided that there is a national law providing for it – the associations for the protection of consumers’ interests may take legal action also in the absence of a mandate expressly conferred by the injured party and independently from the violation of his specific rights, against the alleged author of an act prejudicial to the protection of personal data, by lodging a complaint with the supervisory authority or a civil action whenever they consider that the rights to the protection of personal data recognized to the data subject have been violated as a result of the processing.
However, as specified by the Court of Justice, the legitimacy of trade associations to bring proceedings must be based on national legislation providing for it. In our legal system, the legitimacy of consumer associations to take legal action, including by way of injunction, is provided for by the Consumer Code (Legislative Decree 206/2005) and the Code of Civil Procedure (Articles 840-bis et seq.). Therefore, as a result of the judgment mentioned above, Italian consumer associations will be able to lodge a complaint with the Italian Data Protection Authority or take legal action to protect the privacy rights of data subjects, under Article 80(2) of the GDPR, even in the absence of a specific mandate from the injured party.
****
PRIVACY E CLASS ACTION: AMMESSA ANCHE IN ASSENZA DI DELEGA
Con la recente sentenza del 28 aprile 2022, resa nella causa C-319/20, la Corte di Giustizia dell’Unione Europea ha ritenuto che le associazioni dei consumatori possono agire contro le violazioni del diritto alla privacy, anche in assenza di una specifica delega da parte del soggetto danneggiato, ed anche in via preventiva.
La sentenza in parola è stata emessa all’esito di un’azione inibitoria promossa da alcune associazioni di tutela dei consumatori tedesche nei confronti di Meta Platform Ireland, al fine di impedire in via preventiva la violazione, da parte di quest’ultima, delle norme sulla protezione dei dati personali degli utenti, nonché di quelle sulla lotta alla concorrenza sleale e sulla tutela dei consumatori. La società in questione, che controlla in Europa vari social tra i quali Facebook e Instagram, avrebbe infatti violato le norme suddette attraverso giochi online offerti gratuitamente agli utenti.
La Corte, dunque, ha fornito con la recente sentenza un’interpretazione dell’art. 80 del Regolamento (UE) 2016/679 (GDPR). Tale disposizione stabilisce, al paragrafo 2, che gli Stati membri possono prevedere che un organismo, organizzazione o associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, indipendentemente dal mandato conferito dall’interessato, abbia il diritto di proporre, in tale Stato membro, un reclamo all’autorità di controllo competente, e di esercitare i diritti di cui agli articoli 78 e 79, qualora ritenga che i diritti di cui un interessato gode a norma del GDPR siano stati violati in seguito al trattamento.
La Corte ha, pertanto, precisato sul tema che – purchè vi sia una normativa nazionale che lo preveda – le associazioni di tutela degli interessi dei consumatori possano agire in giudizio anche in assenza di un mandato espressamente conferito da parte del danneggiato ed indipendentemente dalla violazione di suoi specifici diritti, contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali, proponendo un reclamo all’autorità di controllo o un’azione civile ogni qualvolta ritengano che i diritti alla protezione dei dati personali riconosciuti all’interessato siano stati violati in seguito al trattamento.
Come precisato dalla Corte di Giustizia, tuttavia, la legittimazione ad agire delle associazioni di categoria deve trovare fondamento in una normativa nazionale che la preveda. Nel nostro ordinamento la legittimazione delle associazioni dei consumatori ad agire in giudizio, anche in via inibitoria, è prevista dal Codice del Consumo (D.Lgs. 206/2005) e dal Codice di Procedura Civile (agli artt. 840-bis e seguenti). Pertanto, per effetto della sentenza suddetta, le associazioni dei consumatori italiane potranno proporre reclamo al Garante per la protezione dei dati personali o promuovere azioni giudiziarie a tutela dei diritti alla privacy degli interessati, ai sensi dell’art. 80, paragrafo 2, del GDPR, anche in assenza di uno specifico mandato da parte del danneggiato.
For more information on this, please contact:
Avv.Pierangela Rodilosso
Senior Associate & Head of Privacy Team
E.: rodilosso@pglegal.it