Associazioni in prima linea per la tutela della privacy. Possono agire in giudizio anche senza la delega dei singoli e ottenere provvedimenti a favore della generalità degli interessati. Non solo: possono agire anche se manca l’armonizzazione della norma al Gdpr. Il principio è stato applicato da un giudice austriaco (tribunale commerciale di Vienna, sentenza del 26 maggio 2021, relativa al caso 57 Cg 32/20m), chiamato a interpretare l’articolo 80 del regolamento Ue sulla protezione dei dati n. 2016/679 (Gdpr).
La possibilità di azioni promosse da enti rappresentativi di determinate categorie, in diretta applicazione del Gdpr, consente di dare una chance di tutela a diritti di risarcimento i quali, se di piccolo importo, vengono per lo più abbandonati. Si pensi al settore del telemarketing selvaggio: non è stato estirpato nonostante 25 anni di vigenza di norme europee e italiane sulla privacy (che contengono norme contro le telefonate indesiderate); d’altra parte si deve constatare che non basta nemmeno qualche sanzione milionaria stile Gdpr, che ha scarsissimo impatto sulla reputazione commerciale di un certo operatore.
Al contrario è vero e notorio che quando il danno unitario è di piccolo importo e diffuso tra una moltitudine di interessati, questi ultimi, molto spesso, temendo che le spese da sostenere per il risarcimento superino i possibili introiti, non agiscono e chi ci guadagna è l’autore, che risparmia una cifra pari alla somma di tutti i danni individuali non pagati (e le somme possono essere ragguardevoli). Dove il danno per il singolo è lieve o infimo, un imprenditore spregiudicato può contare sull’effetto disincentivante la tutela costituito dalle disutilità collaterali all’esercizio del diritto. Se, però, il contenzioso è promosso da un ente, che sfrutta economie processuali di scala, e se la decisione può avere effetti a pioggia, si sterilizza l’aspettativa di assenza di rischio di contenzioso.
La sentenza austriaca ha l’obiettivo di dichiarare la possibilità di accentrare il contenzioso «privacy» nelle mani di un ente rappresentativo. In effetti, il tribunale commerciale di Vienna ha stabilito che le azioni legali promosse da un istituto austriaco per la protezione dei consumatori, ai sensi della legge austriaca sulla protezione dei consumatori, possono anche essere basate su violazioni del Gdpr, nonostante la mancanza di attuazione in Austria dell’articolo 80, paragrafo 2, Gdpr. Si tratta, dunque, di norma che si applica direttamente nei singoli stati Ue a prescindere da una norma nazionale di armonizzazione legislativa.
Si tratta di un piccolo passo in avanti. Solo qualche mese fa, il 25 marzo 2021, il Parlamento dell’Unione europea ha stigmatizzato l’inerzia dei parlamenti nazionali e lo ha fatto approvando la Risoluzione sulla relazione di valutazione della Commissione concernente l’attuazione del regolamento generale sulla protezione dei dati, due anni dopo la sua applicazione. Alla valutazione iniziale sintetica positiva per il Gdpr segue un lungo elenco di cose che sono state fatte senza coordinamento e di cose che non sono state fatte. A quest’ultimo riguardo il Parlamento si è rammaricato del fatto che la maggior parte degli Stati Ue abbia deciso di non dare attuazione all’articolo 80, paragrafo 2, del Gdpr.
Contestualmente il Parlamento Ue ha invitato tutti gli Stati membri ad avvalersi dell’articolo 80, paragrafo 2, e ad attuare il diritto di proporre reclami e di adire i tribunali senza essere incaricati da un interessato.
L’articolo 80 Gdpr prevede due strade per la tutela degli interessati. La prima è quella tradizionale per cui il singolo, se non promuove una causa direttamente, può dare mandato (reclamo al Garante, causa in tribunale) a un organismo, un’organizzazione o un’associazione senza scopo di lucro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali.
La seconda strada (paragrafo 2) prevede che gli stati membri prevedano che un organismo, organizzazione o associazione, indipendentemente dal mandato conferito dall’interessato, abbia il diritto di proporre un reclamo al Garante e di esercitare i diritti dell’interessato. Per quanto il secondo paragrafo dell’articolo 80 non preveda espressamente l’azione per il risarcimento del danno, è evidente che sono comprese tutte le altre azioni per tutelare i diritti dell’interessato lesi da una violazione della privacy. Senza contare che molto spesso una pronuncia inibitoria o interdittiva è incisiva tanto quanto una condanna a pagare una somma di denaro. In questo quadro si inserisce la sentenza austriaca, secondo la quale i poteri di azione delle associazioni dei consumatori riguardano anche i casi di violazione della privacy: non a caso, spiega la sentenza, il considerando 42 del Gdpr fa esplicito riferimento alla diretta sulle clausole abusive nei contratti stipulati con i consumatori (93/13/Cee).
La conclusione è una strada aperta alle associazioni dei consumatori già da subito, senza aspettare lungaggini parlamentari. Ciò anche per dare un seguito concreto a quei casi in cui il Garante irroga sanzioni alle imprese autrici di illeciti privacy, ma senza che i consumatori percepiscano una reale inversione di marcia nella tutela dei loro dati.
Fonte: Italia Oggi del 26 luglio 2021 – di Antonio Ciccia Messina