L’art. 80, par. 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che esso non osta ad una normativa nazionale che consente ad un’associazione di tutela degli interessi dei consumatori di agire in giudizio, in assenza di un mandato che le sia stato conferito a tale scopo e indipendentemente dalla violazione di specifici diritti degli interessati, contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali, facendo valere la violazione del divieto di pratiche commerciali sleali, la violazione di una legge in materia di tutela dei consumatori o la violazione del divieto di utilizzazione di condizioni generali di contratto nulle, qualora il trattamento di dati in questione sia idoneo a pregiudicare i diritti riconosciuti da tale regolamento a persone fisiche identificate o identificabili.
Sommario 1. Premessa: dalla “commercializzazione” alla “consumerizzazione” dei dati personali – 2. Il caso di specie – 3. Segue. Le conclusioni della Corte – 4. Diritto dei consumatori e data protection – 5. Il rilievo della direttiva (UE) 2019/770 e della privacy by design – 6. Le ragioni di una tutela collettiva integrata … e non solo.
1. Premessa: dalla “commercializzazione” alla “consumerizzazione” dei dati personali
Il dibattito sulla protezione dei dati personali si è sensibilmente evoluto e sta oggi vivendo una nuova stagione.
Dopo che, sull’onda di spinte provenienti essenzialmente dal legislatore unionale, il dato personale è stato inserito a pieno nella dinamica negoziale, la discussione si concentra ora sulla riconduzione dell’operazione economica rappresentata dal rilascio del consenso al trattamento in cambio della concessione di un servizio o di scontistica sul prezzo dello stesso nell’ambito di un rapporto di consumo[1]. Dal fenomeno studiato dalla dottrina e descritto come “commercializzazione” o “patrimonializzazione” dei dati personali[2] si è passati dunque allo studio dell’intersezione tra data protection e consumer protection – un tempo considerate discipline separate e oggi invece alleate nella prospettiva di garantire una “tutela multilivello” dell’interessato-consumatore[3] – che presenta molteplici risvolti di estrema rilevanza: dalla contestualizzazione dei dati personali nell’ambito delle dinamiche contrattuali, alle sovrapposizioni e/o integrazioni sul versante rimediale.
La sentenza della Corte di Giustizia dell’UE in commento[4] è di recente intervenuta a meglio definire le interferenze e sovrapposizioni che si manifestano fra le due discipline, aggiungendo nuovi spunti di riflessione a quelli già offerti, sul piano del diritto interno, da altre pronunce giurisprudenziali[5] nonché da decisioni delle autorità amministrative competenti[6].
Di particolare interesse è l’angolatura affrontata dalla decisione, che consente di considerare un aspetto ancora poco analizzato, relativo all’estensione collettiva della tutela in favore del consumatore-data subject. La pronuncia interviene proprio a meglio definire la portata della legittimazione che le associazioni a tutela dei consumatori hanno ad agire, e nello specifico ad avviare azioni inibitorie, contro possibili lesioni della protezione dei dati personali degli interessati, ponendo il problema della tutela rappresentativa in prospettiva preventiva.
2. Il caso di specie
Nel caso in esame, dinanzi al giudice nazionale si contrapponevano Meta Platform Ireland – già Facebook Ireland, titolare del trattamento dei dati personali degli utenti del relativo social network nell’ambito dell’UE – e l’Unione federale delle associazioni dei consumatori tedesca, che, sulla scorta di una legge nazionale entrata in vigore antecedentemente al regolamento (UE) 2016/679 (GDPR)[7], aveva intrapreso un’azione contro Meta, ritenendo illegittima la modalità di raccolta del consenso al trattamento operato da Facebook di tali dati degli utenti.
In particolare, l’associazione consumeristica lamentava una violazione della normativa tedesca in materia di protezione dei dati personali, costituente al tempo stesso una pratica commerciale sleale ai sensi dell’art. 5 della direttiva 2005/29/CE, una violazione di una legge in materia di tutela dei consumatori[8] e una violazione del divieto di utilizzazione di condizioni generali di contratto nulle[9].
Premesso che Facebook ospita regolarmente app che mettono gratuitamente a disposizione dell’utente giochi forniti da terzi, previo consenso da parte dell’utente medesimo al trattamento di alcuni dati personali, come ad esempio il punteggio ottenuto, la versione tedesca del social network ospitava una app che induceva l’utilizzatore, accettando le condizioni generali dell’applicazione, ad autorizzare anche la pubblicazione di informazioni ulteriori, quali il proprio status, le proprie foto e il proprio nome. Da questa specifica situazione ha avuto origine l’azione inibitoria dell’associazione contro Meta, rivolta ad interrompere la prosecuzione delle condotte consistenti nella pubblicazione dei suddetti dati personali aggiuntivi.
Dopo due gradi di giudizio favorevoli all’associazione rappresentativa dei consumatori, davanti alla Cassazione tedesca (Bundesverfassungsgericht) si è posta la questione relativa alla capacità dell’associazione stessa di intraprendere un giudizio pur senza aver ricevuto uno specifico mandato da parte di un utente, alla luce dell’entrata in vigore del GDPR nelle more del giudizio.
Soprattutto, ci si domandava se la legittimazione ad agire dell’associazione consumeristica – che secondo il giudice del rinvio sussisteva alla data della presentazione del suo ricorso ai sensi della legge tedesca – fosse venuta meno in corso di giudizio, a seguito dell’entrata in vigore del GDPR ed in particolare del relativo art. 80.
Pertanto, la Corte nazionale ha sospeso il procedimento principale e ha sottoposto alla Corte di Giustizia la questione pregiudiziale relativa alla possibilità o meno, per una associazione a tutela dei consumatori, di agire in giudizio contro l’autore di atti anche solo potenzialmente pregiudizievoli rispetto alla tutela dei dati personali, operando così in via anticipata rispetto alla concreta violazione dei dati personali di una persona anche in difetto di uno specifico mandato.
La vicenda ha dunque ad oggetto il seguente nodo centrale: se l’associazione tedesca a tutela dei consumatori possa o meno agire contro Meta pur in assenza di un mandato che le sia stato conferito a questo scopo e indipendentemente da che siano avvenute in concreto violazioni di specifici diritti degli interessati.
3. Segue. Le conclusioni della Corte
Nella propria decisione, la Corte offre in primis un’efficace ricognizione del pure scarso contesto normativo delineato dal GDPR, il cui capo VIII disciplina i mezzi di ricorso che consentono la protezione dei diritti dell’interessato.
Come noto, la tutela dei diritti dell’interessato può essere reclamata direttamente da questi oppure da un ente legittimato, in presenza o in assenza di un mandato a tal fine, ai sensi dell’art. 80. Inoltre, in base al par. 2 di tale norma, gli Stati membri possono prevedere che qualsiasi organismo, organizzazione o associazione, indipendentemente dal mandato conferito dall’interessato, abbia il diritto di proporre un reclamo dinanzi all’autorità di controllo, ai sensi dell’arti. 77, e di esercitare i diritti di cui agli artt. 78 e 79, qualora esso ritenga che i diritti di cui un interessato gode a norma del regolamento siano stati violati[10].
Come ricordato dalla pronuncia, in forza dell’articolo 288 TFUE, ma in primis in ragione della natura stessa dei regolamenti in quanto fonti del diritto dell’UE, le disposizioni dei regolamenti producono un effetto immediato negli ordinamenti giuridici nazionali e non richiedono misure di applicazione o recepimento. Ciò non esclude comunque che talune previsioni, pur inserite in regolamenti, possano richiedere, per la loro attuazione, l’adozione di misure di applicazione da parte degli Stati membri[11].
Proprio questo è il caso dell’art. 80, par. 2, GDPR, il quale lascia agli Stati membri un margine di discrezionalità relativamente alla sua attuazione. In particolare, come rilevato dalla Corte di giustizia, affinché l’azione rappresentativa senza mandato in materia di protezione dei dati personali possa essere esercitata, è necessario che gli Stati membri facciano uso della facoltà loro offerta di prevedere nel loro diritto nazionale tale modalità di rappresentanza degli interessati.
Ovviamente, come osservato anche dall’avvocato generale nelle sue conclusioni, gli Stati membri che si avvalgano di tale facoltà dovranno farlo in modo da non pregiudicare il contenuto e gli obiettivi del regolamento.
Nel caso di specie, il legislatore tedesco non aveva adottato, a seguito dell’entrata in vigore del GDPR, alcuna disposizione di attuazione interna dell’art. 80, par. 2. In effetti, la normativa nazionale in discussione nel procedimento principale era in vigore già nel 2001, e permetteva alle associazioni di tutela degli interessi dei consumatori di agire in giudizio contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali. Si trattava dunque di verificare se tale normativa nazionale rientrasse nel margine di discrezionalità riconosciuto a ciascuno Stato membro dall’art. 80, par. 2, GDPR.
Ora, come ricordato dalla Corte, tale disposizione fissa determinati requisiti relativi all’ambito di applicazione ratione personae e ratione materiae che gli Stati membri – i quali disciplinino un meccanismo di azione rappresentativa contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali – dovranno rispettare. A siffatto vaglio viene dunque sottoposta la legislazione tedesca in questione, la quale, benché precedente all’entrata in vigore del GDPR, ad avviso della Corte deve risultare conforme alle norme da quest’ultimo dettate.
Per quanto riguarda l’ambito di applicazione ratione personae, la legittimazione ad agire spetta ad un organismo, ad un’organizzazione o ad una associazione che soddisfi i criteri elencati indicati all’art. 80, par. 1. In particolare, si fa riferimento a «un organismo, un’organizzazione o un’associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali»[12]. E la Corte di giustizia ritiene che un’associazione di tutela degli interessi dei consumatori come l’Unione federale, «può rientrare in tale nozione in quanto persegue un obiettivo di interesse pubblico consistente nell’assicurare i diritti e le libertà degli interessati nella loro qualità di consumatori, posto che la realizzazione di un tale obiettivo può essere correlata alla protezione dei dati personali di questi ultimi».
La Corte riconosce esplicitamente il profondo collegamento che unisce, da un lato, le violazioni a danno dei consumatori e/o le istanze di contrasto alle pratiche commerciali sleali – che possono essere perseguite tramite il ricorso ad azioni inibitorie collettive – e dall’altro, le violazioni della normativa in materia di protezione dei dati personali dei consumatori coinvolti da questo tipo di pratiche.
Relativamente all’ambito di applicazione ratione materiae del meccanismo di cui all’art. 80, par. 2, GDPR, la Corte segnala la necessità che l’ente che agisce, indipendentemente da qualsiasi mandato che gli sia stato conferito, ritenga violati i diritti di un interessato, a seguito di un trattamento di dati a cui il data subject è stato sottoposto, e evidenzia come ai fini dell’esercizio dell’azione rappresentativa da parte dell’ente non si possa richiedere che l’ente stesso proceda alla previa identificazione della persona specificamente interessata da un trattamento di dati asseritamente contrario alle disposizioni del GDPR.
A tal fine, viene significativamente richiamata la nozione di «interessato», ai sensi dell’art. 4, punto 1 GDPR, che comprende non soltanto una «persona fisica identificata», ma anche una «persona fisica identificabile». Secondo la pronuncia, la semplice individuazione di una categoria o di un gruppo di persone pregiudicate dal trattamento lesivo può essere sufficiente ai fini della proposizione di suddetta azione rappresentativa.
Inoltre, aggiunge la decisione, l’esercizio di questa azione rappresentativa non è neppure subordinato all’esistenza di una violazione concreta dei diritti dell’interessato produttiva di conseguenze pregiudizievoli, bensì presuppone soltanto che l’ente di cui trattasi «ritenga» che i diritti di un interessato siano stati violati da un trattamento dei suoi dati personali contrario alle disposizioni del GDPR. Non è dunque necessario dimostrare che l’interessato abbia subito un danno reale, in una data situazione, a causa della lesione dei suoi diritti.
D’altronde, come chiarito, una simile interpretazione è conforme allo stesso obiettivo fondamentale del GDPR, che si propone di assicurare un elevato livello di protezione del diritto di qualsiasi interessato alla tutela dei dati personali che lo riguardano.
La conclusione, pacifica, della Corte, è che la violazione di una norma relativa alla protezione dei dati personali può simultaneamente comportare la violazione di norme relative alla tutela dei consumatori o l’applicazione della disciplina sulle pratiche commerciali sleali. Pertanto, l’art. 80 par. 2, GDPR non osta a che le associazioni di tutela degli interessi dei consumatori possano agire contro violazioni dei diritti previsti dal GDPR anche tramite norme aventi per finalità la tutela dei consumatori o la lotta contro le pratiche commerciali sleali, e l’azione collettiva potrà essere esercitata indipendentemente sia dal riscontro di specifiche lesioni dei diritti del data subject sia dal conferimento di mandati relativi.
4. Diritto dei consumatori e data protection
La questione affrontata dalla Corte di giustizia si era già posta all’attenzione del tribunale commerciale di Vienna, che, con una decisione del 26 maggio 2021 ha stabilito che le azioni promosse da un ente collettivo austriaco per la tutela dei consumatori possono essere basate anche su violazioni del GDPR, nonostante la mancata attuazione dell’art. 80, par. 2, del GDPR in Austria[13]. Nel caso austriaco l’attività con la quale si combinano i dati degli utenti con un data set di un altro titolare del trattamento è stata ritenuta una condotta illegittima, a causa, tra l’altro, della mancanza di base giuridica del trattamento[14] e della violazione del principio di accuratezza.
Secondo l’orientamento austriaco, l’art. 80 GDPR si applica direttamente nei singoli stati dell’UE a prescindere dalla sussistenza di una norma nazionale di armonizzazione legislativa. Si tratta di una conclusione ancora più incisiva di quella a cui è giunta la Corte di giustizia nel caso in esame, poiché, come accennato, nell’ordinamento austriaco mancano specifici riferimenti normativi, anche antecedenti al GDPR – presenti invece nell’ordinamento tedesco – che legittimino un’azione collettiva consumeristica diretta contro violazioni della data protection.
In sostanza, nel caso austriaco, l’estensione della legittimazione ad agire collettivamente da parte delle associazioni a tutela dei consumatori anche dinanzi alle violazioni in materia dei dati personali è stata ritenuta automatica.
A tale conclusione si è giunti attraverso la valorizzazione del considerando 42 del GDPR, che contiene un esplicito riferimento alla direttiva sulle clausole abusive nei contratti con i consumatori (93/13/CEE). Invero, siffatta valorizzazione appare forse persino eccessiva, dal momento che il richiamo alla direttiva 93/13/CEE è limitato all’affermazione della necessità che la dichiarazione di consenso sia predisposta dal titolare del trattamento in una forma comprensibile e facilmente accessibile, che usi un linguaggio semplice e chiaro e soprattutto che non contenga clausole abusive[15].
Non che manchino, comunque, significativi punti di contatto fra la disciplina consumeristica e quella in materia di dati personali. È ben possibile, ed anzi frequente, la sovrapposizione, o meglio la moltiplicazione di ruoli di un soggetto che sia, al contempo, contraente-consumatore e data subject.
Ed in effetti data protection e consumer protection non risultano così distanti, in termini di rationes e tecniche rimediali che improntano le relative discipline; anzi, si riscontra una certa vicinanza fra i due ambiti, e, in tale direzione, come già anticipato, viene da qualche tempo invocata una maggiore compenetrazione, almeno a livello rimediale, fra diritto consumeristico e legislazione in materia di trattamento dei dati personali.
In verità, una differenza di base si riscontrerebbe con riguardo al versante applicativo[16], laddove, se è vero che l’interessato deve essere indefettibilmente una persona fisica – al pari del consumatore – il GDPR presenta un ambito di applicazione più ampio della disciplina consumeristica, in quanto non conosce limitazioni concernenti lo scopo perseguito dall’interessato. È pur vero, però, che nei casi qui in considerazione, la tutela consumeristica si applica al dato quando questo è “ceduto” (rectius, quando il consenso al trattamento dello stesso è rilasciato) in cambio di un servizio, quindi proprio quando il data subject compie un atto di consumo in senso stretto.
In ogni caso, semplificando, entrambe le normative, quella in materia di consumer protection e quella sulla data protection, possono essere lette, in ottica unificante, come volte alla regolazione di un mercato in cui occorre garantire un’effettiva tutela tanto dei consumatori, soggetti strutturalmente deboli, quanto dei loro dati personali, nel più ampio contesto finalizzato alla corretta costruzione di un mercato unico digitale[17]. In definitiva, anche la disciplina in tema di protezione dei dati personali, pur avente ad oggetto la proiezione di un diritto fondamentale della persona, nell’intento del legislatore unionale si pone anch’essa nel quadro dell’assicurazione del regolare funzionamento del mercato[18].
Conferma l’avvicinamento del trattamento dei dati personali al fenomeno consumeristico, nel segno della standardizzazione, il fatto che anche il trattamento stesso – come meglio si dirà in seguito – ha ormai assunto le vesti di un fenomeno di massa[19].
Altro significativo elemento di vicinanza fra le discipline in questione riguarda il rilievo in esse attribuito all’informazione[20]. Quello che da tempo è un principio cardine della materia consumeristica[21], e che già era presente al legislatore della direttiva 95/46/CE, oggi permea significativamente la disciplina del GDPR[22], che fa continui richiami all’esigenza non solo che le informazioni necessarie siano fornite all’interessato, ma anche che tali informazioni siano connotate da semplicità e comprensibilità, con uso di formule che riecheggiano l’approccio paternalistico[23] – pure da taluni ampiamente contestato – caratteristico del settore consumeristico. Come puntualmente osservato, chiarezza e semplicità delle informazioni diventano in tal modo pilastri di un sano sistema informativo, essenziale per la circolazione sia dei beni e servizi di consumo, sia del corretto trattamento de dati personali[24].
Ancora, potrebbe individuarsi un altro fondamento comune tra le due normative nell’attenzione posta alla sicurezza[25]: da un lato il proclamato «diritto fondamentale» dei consumatori alla sicurezza e alla qualità dei prodotti e dei servizi (art. 2, lett. b), cod. cons.)[26], dall’altro l’enfasi posta dal GDPR sull’obbligo del titolare di adottare le opportune misure di sicurezza (art. 32), in un’ottica pienamente conforme al principio di “responsabilizzazione”[27].
5. Il rilievo della direttiva (UE) 2019/770 e della privacy by design
Le “interferenze”, in ottica di reciproca integrazione fra consumer protection e data protection si fanno ancor più consistenti se si considera la direttiva (UE) 2019/770, relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali, attuata, nel diritto interno, col d.lgs. n. 173/2021, che ha inserito nel codice del consumo il nuovo «Capo I-bis – Dei Contratti di fornitura di contenuto digitale e di servizi digitali», che contiene gli articoli 135 octies e ss.
In realtà il decreto attuativo non sposta, o meglio non implementa i termini della questione dell’intreccio fra data protection e consumer protection, limitandosi a riprodurre pedissequamente i contenuti degli articoli della direttiva, e perdendo in parte quell’ispirazione più ampia che la direttiva esprimeva anche nei propri considerando.
La direttiva resta comunque solido punto di riferimento per avanzare riflessioni in materia.
L’impianto normativo della direttiva infatti, prendendo atto delle potenzialità, ma anche dei rischi che si profilano per il consumatore, in contesti tecnologicamente avanzati, ha come obiettivo quello di conseguire diritti contrattuali nazionali pienamente armonizzati in determinati settori chiave.
Premesso che la direttiva in esame è connotata da un ambito applicativo più circoscritto della direttiva 93/13/CE – concernente, quest’ultima, tutti i contratti stipulati con i consumatori – essa sembra segnare un’evoluzione della tutela consumeristica.
In effetti, l’articolato normativo allude ad un’ampia valutazione che è da compiersi sul regolamento contrattuale nel suo complesso, il quale dovrà risultare in primis conforme ai requisiti fissati dalla direttiva stessa. La valutazione di conformità da operarsi sui contenuti contrattuali non si arresta tuttavia ai requisiti per così dire “interni” alla direttiva, ma si spinge oltre, sino a postulare la piena corrispondenza anche ai requisiti che scaturiscono da un vero e proprio “corpo normativo esterno”, ossia il GDPR[28].
La difformità del contenuto o del servizio digitale può provenire dunque anche dal mancato allineamento con la normativa in materia di trattamento di dati personali.
Dunque, la conformità alla direttiva (UE) 2019/770 è conformità anzitutto del contratto di fornitura; e, dal momento che la direttiva fa esplicito riferimento agli obblighi previsti dal GDPR, in caso di conflitto, alla relativa prevalenza di questa disciplina sulla direttiva stessa, se ne ricava che anche la mancata conformità del contenuto/servizio digitale agli obblighi previsti in materia di data protection integra una difformità, sub specie di difetto di conformità oggettivo, ai sensi della direttiva (UE) 2019/770.
Peraltro, il considerando 48 è esplicito nel fare riferimento proprio ai « … casi in cui la mancata conformità agli obblighi di cui al regolamento (UE) 2016/679 potrebbe allo stesso tempo rendere il contenuto digitale o il servizio digitale inadeguato alla sua finalità prevista e costituire pertanto un difetto di conformità ai requisiti di conformità oggettivi, che prevedono che il contenuto digitale o il servizio digitale sia adeguato alle finalità per le quali è abitualmente utilizzato un contenuto digitale o un servizio digitale dello stesso tipo».
D’altronde, se l’art. 16, c. 2, della direttiva (UE) 2019/770 (art. 135-noviesdecies, c. 3, cod. cons.) definisce il regolamento (UE) 2016/679 vincolante in caso di risoluzione del contratto di fornitura del contenuto o servizio digitale, non si vede perché non rendere altrettanto vincolanti i requisiti della data protection già in fase di perfezionamento del contratto.
In tale prospettiva, le irregolarità parametrate su un diverso corpo normativo diverrebbero fonte di difetto di conformità del contenuto/servizio digitale ai sensi della relativa direttiva, con le conseguenti applicazioni dei rimedi da essa previsti. In altri termini, il ripristino della conformità dei beni e dei servizi di consumo garantirà l’esecuzione di prestazioni contrattuali prive di vizi sotto il profilo della protezione dei dati.
I requisiti previsti dalla direttiva (UE) 2019/770 viaggiano dunque su un doppio binario: uno interno alla direttiva stessa (art. 6 ss.) e uno esterno, coincidente con gli obblighi della data protection.
Si tratterebbe di una lettura d’altronde a sua volta pienamente conforme con il principio cardine, proclamato dal GDPR, della privacy by design[29], nel senso che l’effettiva conformità al GDPR dovrà concretizzarsi innanzitutto nelle scelte di progettazione del servizio o del bene[30], il quale dovrà essere strutturato ad esempio sulla minimizzazione dei dati raccolti, o sull’uso di tecniche di crittografia e/o pseudonimizzazione, per quanto possibile, nella trasmissione degli stessi all’Internet Service Provider.
Si tratta allora di immettere sul mercato un prodotto o servizio che risulti non solo rispondente ai requisiti di conformità puntualmente prescritti, ma, più in generale, compliant dal punto di vista dei trattamenti dei dati.
La data protection dovrà dunque acquisire un ruolo autonomo appunto nel design, inteso come progettazione ma anche come applicazione di opportune business policies o strategie organizzative finalizzate alla realizzazione di un servizio/contenuto digitale conforme.
Da ciò deriverebbe anche un significativo incoraggiamento, in favore dei produttori, verso l’adozione di criteri di tipo proattivo, anziché reattivo, nell’ottica appunto di prevenire potenziali lesioni ai danni degli interessati. In questa direzione, la nozione di sicurezza del prodotto da tenere a riferimento non è più la mera sicurezza informatica o la sicurezza del solo processo di trattamento dei dati, ma, in un’ottica più ampia, la sicurezza che deriva dalla garanzia del rispetto dei diritti e delle libertà fondamentali della persona, che dall’operatività di quel servizio o prodotto possono essere compromessi.
6. Le ragioni di una tutela collettiva integrata … e non solo
La necessità di adottare un approccio non escludente, ma integrato, che combini principi e tutele consumeristiche e della data protection, è confermata significativamente anche un passaggio della direttiva (UE) 2020/1828 del Parlamento europeo e del Consiglio del 25 novembre 2020 relativa alle azioni rappresentative a tutela degli interessi collettivi dei consumatori e che abroga la direttiva 2009/22/CE[31]. Nel considerando 13 di tale Direttiva si legge infatti che «nel settore dei servizi digitali il mercato al consumo ha subito un’evoluzione e vi è una crescente necessità di applicare in modo più efficace il diritto dei consumatori, comprese le norme in materia di protezione dei dati» ed è prevista l’applicazione della direttiva stessa nelle ipotesi in cui sia violata una norma del regolamento (UE) 2016/679, che «tuteli l’interesse dei consumatori», e l’interessato sia un consumatore.
La considerazione dell’interessato-consumatore e la logica “combinata” prospettata in termini di tutele, inducono a riflettere sull’angolatura di aggregazione, fortemente incentivata dalla sentenza in esame, che si appunta sulla dimensione collettiva della tutela offerta ai soggetti coinvolti, così da contribuire al raggiungimento dell’obiettivo finale consistente nella strutturazione di un sistema di protezione efficace dell’utente[32].
D’altronde, a monte, è la stessa capacità offensiva della società tecnologica a manifestare uno sviluppo in termini massivi e seriali; ed in tal senso gli eventuali illeciti perpetrati anche dai giganti del web sono destinati a colpire folle di danneggiati indefinite, che sfuggono alle maglie dei rimedi a base individualistica come quello aquiliano[33]. La scarsa utilità dell’azione del singolo contro i Big Players è poi di tutta evidenza.
La stessa Corte di giustizia, nella decisione in commento, evidenzia la maggiore efficacia di un’azione collettiva, precisando che «l’esercizio di una siffatta azione rappresentativa, consentendo di prevenire un gran numero di violazioni dei diritti degli interessati a seguito del trattamento dei loro dati personali, potrebbe rivelarsi più efficace del ricorso che un’unica persona individualmente e concretamente pregiudicata da una violazione del suo diritto alla protezione dei suoi dati personali può esperire contro l’autore di tale violazione».
Sono in effetti sempre più numerosi gli studi, anche nello specifico settore dei dati personali e specie in materia di Big Data, che evidenziano la necessità di guardare all’orizzonte collettivo dell’utilizzo dei dati e delle forme di protezione degli interessati. Ed ancora, nell’ottica della compenetrazione fra data protection e consumer protection, è l’ingresso dei consumatori nel mercato dei dati personali a portare con sé, inevitabilmente, il ricorso a strumenti di tutela collettiva, i quali traggono origine proprio dal settore consumeristico.
In un contesto in cui il data subject è considerato non nella sua individualità, ma come punto di riferimento di informazioni, la cui aggregazione è utile per lo svolgimento di attività ulteriori, come la profilazione di massa, lo scopo delle limitazioni poste alla commercializzazione dei dati personali pare dunque essere, oltre alla tutela del singolo, quello di evitare che grazie alla mole di informazioni raccolte i titolari del trattamento pongano in essere condotte pregiudizievoli per la collettività, al fine di garantire un più corretto funzionamento del mercato[34].
È comunque evidente che ad offese “di massa” meglio si risponda con strumenti di azione e tutela a loro volta collettivi.
A maggior ragione una simile conclusione potrebbe valere laddove l’accennato percorso di massificazione e “spersonalizzazione” riguardi i dati stessi che, nei contesti aggregati possono divenire anonimi. La raccolta di grandi quantitativi di dati è infatti idonea a generare il fenomeno del c.d. Group Privacy, il quale può condurre persino ad escludere l’applicazione del GDPR, nonché le relative tutele spettanti al data subject, posto che può essere difficile identificare la corrispondenza tra il diritto leso e il titolare dello stesso[35]. Laddove venga allora meno lo status di data subject e permanga quello di consumatore, resterebbe la possibilità di ricorrere, in generale, almeno a tutele collettive contro le lesioni subite dal consumatore.
Considerato che il quadro normativo in materia di azioni collettive è destinato a mutare nel percorso di recepimento della direttiva (UE) 2020/1828, vi è però, almeno a livello nazionale, un riferimento di sicuro rilievo, dato dalla l. 31/2019[36]. La riforma italiana operata nel 2019 – che interviene anche nel tentativo di correggere i fallimenti della previgente normativa[37] – presenta una portata assai ampia e riscrive, in sostanza, la disciplina di due tipologie di azioni collettive, ossia l’azione di classe e l’azione inibitoria collettiva, entrambe oggi regolate all’interno del codice di procedura civile, agli artt. 840-bis ss. La collocazione sistematica delle previsioni in questione rende evidente l’intento di rendere le azioni collettive italiane un rimedio dotato di portata generale, essendo caduti i limiti soggettivi e oggettivi posti dall’art. 140-bis, c. 2, cod. cons.
Non a caso, con specifico riguardo all’azione di classe, l’art. 840-bis c.p.c. prevede l’azionabilità per la tutela di qualsiasi tipo di diritti individuali, purché non più collettivi ma omogenei. L’azione in questione
realizza l’unione in un unico procedimento di situazioni sostanziali individuali esercitate cumulativamente: l’obiettivo sembra essere quello di istituire una vera e propria complementarità tra azione individuale e azione di classe, senza che le due azioni siano legate da rapporti gerarchici.
Con precipuo riguardo al settore della data protection, nonostante la proliferazione delle violazioni diffuse dei diritti degli interessati e, più in generale, delle prescrizioni in materia, e nonostante gli ampi margini applicativi lasciati dall’art. 80 GDPR, la possibilità per i data subject di azionare forme di tutela aggregata è disciplinata specificamente soltanto in alcuni Stati membri, fra cui non rientra l’Italia[38].
E allora, la decisione in commento potrebbe valere a prospettare conclusioni significative specie sul versante applicativo della tutela collettiva in favore del consumatore-interessato.
D’altronde, come sopra ricordato, la Corte di giustizia ha riconosciuto la legittimazione dell’associazione consumeristica ad agire – pur in assenza di mandato e anche di violazioni concrete – sulla base di una legge tedesca antecedente al GDPR. Addirittura, la corte austriaca, per quanto si tratti di un giudice di merito, ha avallato tale legittimazione persino in assenza di una specifica legge che disciplinasse l’azione collettiva per violazioni della normativa in materia di protezione di dati personali.
Nel nostro ordinamento, si potrebbero trarre argomenti a sostegno di un’interpretazione che consenta di ritenere l’art. 80, par. 2, GDPR direttamente applicabile, pur in assenza di specifiche normative attuative, ma semplicemente sulla scorta delle norme già in vigore, in particolare degli stessi art. 840-bis ss. c.p.c. già inseriti nel diritto interno dalla riforma del 2019 – nonostante l’assenza in essi di richiami espressi alle violazioni in materia di dati personali – e, più in generale, in conformità con la sopra delineata ottica integrata di protezione.
La portata della pronuncia in esame potrebbe peraltro risultare più ampia di quanto appaia ad una prima lettura e schiudere ad un’alternativa ulteriore, rispetto al pure valido approccio integrato delle violazioni e delle correlative tutele[39].
In un passaggio delle conclusioni della pronuncia si legge infatti che le associazioni di tutela degli interessi dei consumatori sono legittimate ad agire «contro violazioni dei diritti previsti dal GDPR per il tramite, eventualmente[40], di norme aventi per finalità la tutela dei consumatori o la lotta contro le pratiche commerciali sleali». Il passaggio appare di notevole rilevanza: con esso la Corte sembra in effetti alludere al fatto che non necessariamente la tutela collettiva dei diritti degli interessati debba passare attraverso ulteriori, connesse violazioni di norme poste a tutela dei consumatori, anche nella forma delle pratiche commerciali sleali. Se ne potrebbe cioè ricavare che il cumulo delle violazioni – della data protection da un lato e, dall’altro, della consumer protection e/o della disciplina sulle pratiche commerciali sleali – e dunque la correlativa integrazione delle tutele, sia solo, appunto, eventuale.
Ciò avrebbe ricadute pratiche di non poco conto. Premesso che è quanto mai verosimile che violazioni dei principi della data protection concretizzino anche lesioni dei diritti del consumatore e condotte rilevanti ai fini delle pratiche commerciali sleali, si potrebbe ipotizzare che le associazioni rispettose dei requisiti di cui all’art. 80, par. 2, GDPR attive non come nel caso di specie nella materia consumeristica bensì esclusivamente nel settore della protezione dei dati personali, possano agire collettivamente per la tutela dei diritti dei data subject, indipendentemente da che le condotte lesive del titolare del trattamento integrino violazioni di ulteriori discipline. D’altronde, come ricordato, lo specifico riferimento dell’art. 80, par. 2, GDPR è proprio a associazioni attive «nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali»[41].
[1] G. Versaci, La contrattualizzazione dei dati personali dei consumatori, Napoli, 2020, 137 ss., P.F. Giuggioli, Tutela della privacy e consumatore, in E. Tosi (a cura di), Privacy digitale, Riservatezza e protezione dei dati personali tra GDPR e nuovo Codice Privacy, Milano, 2019, 264 ss., C. Alvisi, Dati personali e diritti dei consumatori, in V. Cuffaro – R. D’Orazio – V. Ricciuto (a cura di), I dati personali nel diritto europeo, Torino, 2019, 669 ss. Di recente, con specifica attenzione alla garanzia di conformità, v. R. Grisafi, Il dato personale come presunto corrispettivo economico e le nuove fonti di integrazione eteronome del contratto nella fornitura di contenuti e servizi digitali. Il caso della disciplina della garanzia di conformità, in Judicium, 2022.
[2] Il tema è particolarmente discusso in dottrina. Fra i vari contributi in materia cfr. V. Ricciuto, L’equivoco della privacy. Persona Vs dato personale, Napoli, 2022, 105 ss., R. Senigaglia, La dimensione patrimoniale del diritto alla protezione dei dati personali, in Contr. impr., 2020, 760 ss., V. Ricciuto, I dati personali come oggetto di operazione economica. La lettura del fenomeno nella prospettiva del contratto e del mercato, in N. Zorzi Galgano (a cura di), Persona e mercato dei dati. Riflessioni sul GDPR, Padova, 2019, 95 ss., G. Resta, I dati personali oggetto del contratto. Riflessioni sul coordinamento tra la direttiva (UE) 2019/770 e il regolamento (UE) 2016/679, in A. D’Angelo – V. Roppo (a cura di), Annuario del contratto 2018, Torino, 2019, 128 ss., G. Resta – V. Zeno-Zencovich, Volontà e consenso nella fruizione dei servizi in rete, in Riv. trim. dir. proc. civ., 2018, 411 ss., A. De Franceschi, La circolazione dei dati personali tra privacy e contratto, Napoli, 2017, passim.
Correlato anche se non integralmente sovrapponibile al profilo della commercializzazione è il tema della “proprietarizzazione” dei dati personali, su cui v. N. Purtova, The Illusion of Personal Data as No One’s Property: Reframing the Data Protection Discourse, in Law, Innovation and Technology, 2015, 87 ss., C. Camardi, Cose, beni e nuovi beni, tra diritto europeo e diritto interno, in Eur. dir. priv., 2018, 955 ss.; H. Zech, Data as a Tradeable Commodity, in A. De Franceschi (a cura di), European Contract Law and the Digital Single Market, Cambridge-Antwerp-Portland, 2016, 51 ss., V. Janeček. – G. Malgieri, Commerce in Data and the Dynamically Limited Alienability Rule, in German Law Journal, 2020, 929 ss.
[3] A. Metzger, Data as Counter-Performance: What Rights and Duties do Parties Have?, in Journal of Intellectual Property, Information Technology and E-Commerce Law, 2017, 2 ss., F. Bravo, Lo “scambio di dati personali” nei contratti di fornitura di servizi digitali e il consenso dell’interessato tra autorizzazione e contratto, in Contr. impr., 2019, 34 ss., Id., La «compravendita» di dati personali?, in Dir. Internet, 2020, 521 ss.
[4] Per un riferimento a questa specifica pronuncia proprio nel quadro della «c.d. dottrina delle protezioni multilivello, già sposata dalle corti ed autorità di vigilanza nazionali», v. R. Montinaro, I sistemi di raccomandazione nelle interazioni tra professionisti e consumatori: il punto di vista del diritto dei consumi (e non solo), in Pers. mercato, 2022, 354.
La decisione è stata di recente oggetto di analisi da parte di M. Federico, Rappresentanza degli interessati, diritti individuali e group data protection, in Pers. mercato, 2022, 674 ss.
[5] Si v. la nota Cass. civ., sez. I, 2 luglio 2018, n. 17278, in Nuova giur. civ. comm., 2018, 1775 ss., con commento di F. Zanovello, Consenso libero e specifico alle email promozionali, e in Giur. it., 2019, 530 ss., con nota di S. Thobani, Operazioni di tying e libertà del consenso. Per un’ampia e meditata indagine sul tema C. Irti, Consenso “negoziato” e circolazione dei dati personali, Torino, 2021, 61 ss.
[6] Cfr. il provvedimento dell’AGCM Facebook-condivisione dati con terzi, 29 novembre 2018, n. 27432, con il quale l’autorità ha confermato che l’uso dei dati degli utenti per finalità di marketing configura un «rapporto di consumo tra il professionista e l’utente che utilizza i servizi di [Facebook] (tramite sito e app), anche in assenza di corrispettivo monetario» e ha contestato a Facebook due condotte ritenute pratiche commerciali scorrette. Sulla vicenda si sono pronunziate le sentenze coeve Tar Lazio, Sez. I, 10 gennaio 2020, n. 260 e Tar Lazio, Sez. I, 10 gennaio 2020, n. 261, in Giur. it., 2021, 321 ss., con nota di C. Solinas, Circolazione dei dati personali, onerosità del contratto e pratiche commerciali scorrette. Alle sentenze gemelle del Tar è seguita poi la pronuncia del Cons. Stato, Sez. VI, 29 marzo 2021, n. 2631, che ha confermato la decisione del Tar, anche se con argomentazioni che appaiono in parte divergenti.
Ampie riflessioni sulle decisioni dei giudici amministrativi in v. F. Bravo, La «compravendita» di dati personali?, cit., 2020, 521 ss. L’A. esamina le due pronunce del Tar Lazio e, pur apprezzando proprio la coesistenza e compatibilità, rilevata da esse, di discipline diverse (data protection, diritto contrattuale generale e diritto consumeristico sub specie di disciplina in materia di pratiche commerciali sleali), tale da dar luogo a una cumulabilità delle tutele in favore dell’interessato-contraente-consumatore, critica però la riconduzione, operata dalle pronunce stesse, della pattuizione in oggetto allo schema della compravendita, che viene ritenuta semplicistica e fuorviante. Sulla decisione del Consiglio di Stato v. inoltre R. Pardolesi – A. D’Avola, Protezione dei dati personali, tutela della concorrenza e del consumatore (alle prese con i ‘dark pattern’): parallele convergenti?, in Foro it., 2021, 338 ss. e G. Scorza, Facebook non è gratis? in Dir. Internet, 2021, 547 ss.
[7] Secondo la legge tedesca del 2001, chiunque violi disposizioni volte a tutelare i consumatori (leggi sulla tutela dei consumatori), può essere soggetto a un’ingiunzione di astensione dalla condotta lesiva per l’avvenire nonché ad un ordine di cessazione immediata della condotta lesiva nell’interesse della tutela dei consumatori. Per leggi sulla tutela dei consumatori si intendono in particolare le disposizioni che disciplinano la liceità: a) della raccolta dei dati personali di un consumatore da parte di un’impresa, o b) del trattamento o dell’utilizzo di dati personali di un consumatore raccolti da un imprenditore.
[8] In particolare era contestata la violazione dell’art. 13, par. 1, del Telemediengesetz (legge sui media elettronici), del 26 febbraio 2007, applicabile, secondo quanto rilevato dalla decisione in commento, fino all’entrata in vigore del GDPR, e poi sostituita proprio dagli art. da 12 a 14 del GDPR stesso. È significativo, nella vicenda in questione, come la violazione consumeristica contestata coincida in effetti a pieno con la lesione di diritti del data subject.
[9] Il divieto è sancito dal par. 307 del BGB.
[10] Sull’art. 80 GDPR, v. F. Casarosa, La tutela aggregata dei dati personali nel Regolamento UE 2016/679: una base per l’introduzione di rimedi collettivi?, in A. Mantelero – D. Poletti (a cura di), Regolare la tecnologia: il Reg. UE 2016/679 e la protezione dei dati personali. Un dialogo fra Italia e Spagna, Pisa, 2018, 235 ss.
[11] CGUE, C-645/19, Facebook Ireland e a. (2021), § 110 nonché la giurisprudenza ivi citata. Questa evenienza, infatti, è stata da tempo giudicata compatibile con l’art. 249 TCE dalla Corte di giustizia la quale ha stabilito che «l’applicabilità diretta di un regolamento non impedisce che il testo stesso del regolamento conferisca il potere a una istituzione comunitaria o a uno Stato membro di adottare misure di esecuzione». CGUE, C-230/78, Ue, Eridania (1979). Sulla non autosufficienza dei regolamenti cfr. F. Astone, Il processo normativo dell’Unione Europea e le procedure nazionali per l’esecuzione degli obblighi comunitari, Torino, 2008, 109.
[12] I requisiti che siffatte associazioni devono possedere presentano una indubbia vicinanza – specie con riguardo all’assenza di scopo di lucro – alle caratteristiche che devono rivestire i nuovi intermediari dei dati previsti dal regolamento (UE) 868/2022 (Data Governance Act). In argomento D. Poletti, Gli intermediari dei dati, in European Journal of Privacy Law & Technologies, 2022, 2 ss.
[13] Una sintesi in inglese della decisione austriaca è reperibile nel sito gdprhub.eu.
[14] Sull’art. 6 del GDPR cfr. M. Dell’Utri, Principi generali e condizioni di liceità del trattamento dei dati personali, in V. Cuffaro – R. D’Orazio – V. Ricciuto (a cura di), I dati personali nel diritto europeo, cit., 221 ss. e L. Bolognini, Basi giuridiche del trattamento, in L. Bolognini – E. Pelino – C. Bistolfi, Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016, 93 ss.
[15] Lo scrutinio di vessatorietà almeno sulla dichiarazione di consenso dell’interessato appare ulteriormente incoraggiato proprio dal considerando 42 del GDPR, secondo cui «In conformità della direttiva 93/13/CEE del Consiglio è opportuno prevedere una dichiarazione di consenso predisposta dal titolare del trattamento in una forma comprensibile e facilmente accessibile, che usi un linguaggio semplice e chiaro e non contenga clausole abusive». Più in generale, sulla possibilità che anche la privacy policy e la dichiarazione di consenso dell’interessato possano contenere clausole da reputarsi vessatorie ai sensi del codice del consumo v. P.F. Giuggioli, Tutela della privacy e consumatore, cit., 275, S. Thobani, I requisiti del consenso al trattamento dei dati personali, Santarcangelo di Romagna, 2016, 109 e già F. Bilotta, Consenso e condizioni generali di contratto, in V. Cuffaro – V. Ricciuto – V. Zeno-Zencovich (a cura di), Il trattamento dei dati personali, Torino, 1998, 103.
[16] P.F. Giuggioli, Tutela della privacy e consumatore, cit., 264 ss.
[17] C. Alvisi, Dati personali e diritti dei consumatori, cit., 675-676. In proposito, anche la Comunicazione Strategia per il mercato unico digitale della Commissione europea del 6 maggio 2015.
[18] In materia consumeristica, v. la puntuale analisi critica di C. Camardi, La protezione dei consumatori tra diritto civile e regolazione del mercato. A proposito dei recenti interventi sul codice del consumo, in Jus civile, 2013, 305 ss. Cfr. anche Id., Contratti con i consumatori e contratti tra imprese. Rilievi critici sul paradigma dell’asimmetria contrattuale, in Aa.Vv., Il diritto civile oggi, Napoli, 2006, 893 ss. Con precipuo riguardo all’avvicinamento al settore della data protection cfr. M. Ratti, Personal Data and Consumer Protection: What do They Have in Common?, in Aa. Vv., Personal Data in Competition, Consumer Protection and Intellectual Property Law, Berlino, 2018, 377 ss.
[19] S. Thobani, Diritti della personalità e contratto. Dalle fattispecie più tradizionali al trattamento in massa dei dati personali, Torino, 2019, passim.
[20] Sui relativi punti di contatto v. P.F. Giuggioli, Tutela della privacy e consumatore, cit., 268 ss.
[21] R. Senigaglia, Informazione contrattuale nella net economy, in Eur. dir. priv., 2002, 229 ss., e più di recente l’analisi, sebbene limitata ai contenuti della direttiva 2011/83/UE, di R. Alessi, Gli obblighi di informazione tra regole di protezione del consumatore e diritto contrattuale europeo uniforme e opzionale, in Eur. dir. priv., 2013, 311 ss. Cfr. anche, con riguardo all’informazione in fase precontrattuale, T. Febbrajo, La fase preliminare al rapporto di consumo: informazione, educazione e pubblicità, in G. Villanacci, Manuale di diritto del consumo, Napoli, 2007, 69 ss.
[22] Si v. l’art. 7, ma anche i considerando 42 e 58 GDPR.
[23] R. Caterina, Paternalismo e antipaternalismo nel diritto privato, in Riv. dir. civ., 2005, 771 ss. e Id., Architettura delle scelte e tutela del consumatore, in Cons. dir. mercato, Argomenti, 2, 2012, 73 ss.
[24] P.F. Giuggioli, Tutela della privacy e consumatore, cit., 273.
[25] C. Alvisi, Dati personali e diritti dei consumatori, cit., 719 ss.
[26] F. Cafaggi, Product safety, private standard setting and information networks, EUI Working Papers, Law, 2008, 4 ss.
[27] Sull’accountability v. G. Finocchiaro, Il principio di accountability, in Giur it., 2019, 2778 ss.
[28] V. oggi art. 135-novies, c. 6, cod. cons.
[29] Sulla c.d. privacy by design, v. G. D’Acquisto – M. Naldi, Big Data e Privacy by Design. Anonimizzazione, Pseudonimizzazione, Sicurezza, Torino, 2017, 31 ss.
[30] Nonostante i più scarsi richiami al GDPR, simili considerazioni possono considerarsi valevoli anche per i beni digitali di cui alla direttiva (UE) 2019/771, sulla cui attuazione cfr. G. De Cristofaro, Verso la riforma della disciplina delle vendite mobiliari b-to-c: l’attuazione della dir. Ue 2019/771, in Riv. dir. civ., 2021, 205 ss.
[31] Tale direttiva, in vigore dal 24 dicembre 2020, deve essere applicata negli Stati membri a partire dal 25 giugno 2023. Sul punto, cfr. C. Angiolini, Trattamento dei dati personali e rapporto di consumo: dalla dir. 1993/13 alla dir. 2020/1828, in G. Salvi (a cura di), Il diritto contrattuale dei consumi ed i suoi attuali confini, Napoli, 2022, 27 ss.
[32] Sul punto v. il commento di M. Federico, Rappresentanza degli interessati, diritti individuali e group data protection, cit., 676 ss.
[33] Cfr. A. Mantelero, Personal data for decisional purposes in the age of analytics: From an individual to a collective dimension of data protection, in Computer Law & Security Rev., 2016, 245 ss.
[34] Così S. Thobani, Il mercato dei dati personali: tra tutela dell’interessato e tutela dell’utente, in questa Rivista, 3, 2019, 131 ss.
[35] B. Mittelstadt, From Individual to Group Privacy in Big Data Analytics, in Philos. Technol., 2017, 30, p. 475 ss. V. inoltre, supra, nota 33.
[36] Sull’inibitoria v. in particolare M. Stella, La nuova azione inibitoria collettiva ex art. 840 sexiesdecies c.p.c. tra tradizione e promesse di deterrenza, in Corr. Giur., 2019, 1453 ss. e, più in generale sull’azione di classe cfr. C. Consolo, La terza edizione della azione di classe è legge ed entra nel c.p.c. Uno sguardo d’insieme ad una amplissima disciplina, in Corr. giur., 2019, 737 ss.
[37] A.D. De Santis, L’azione di classe a dieci anni dalla sua entrata in vigore, in Foro it., 2019, 2180 ss.
[38] F. Casarosa, La tutela aggregata dei dati personali nel Regolamento UE 2016/679: una base per l’introduzione di rimedi collettivi?, cit., 237.
[39] Sull’integrazione delle tutele e dei rimedi v. M. Federico, Rappresentanza degli interessati, diritti individuali e group data protection, cit., 678 ss.
[40] Il corsivo è aggiunto.
[41] È pur vero che anche nei paesi in cui si è provveduto a dare maggiore concretezza alla previsione del regolamento (UE) 2016/679, la normativa di riferimento applicata è quella dedicata alla tutela del consumatore estesa anche alla tutela dei dati personali. È il caso della actione de groupe francese, che, come riporta F. Casarosa, La tutela aggregata dei dati personali nel Regolamento UE 2016/679: una base per l’introduzione di rimedi collettivi?, cit., 237.