Data protection e diritto

Privacy e class action: lo stato dell’arte in Europa e in Italia

Le violazioni della privacy personali a livello globale stanno trainando un aumento delle richieste di risarcimento. Cosa sta succedendo a livello europeo e nel nostro Paese, riguardo alle richieste collettive per la protezione dei dati

15 Nov 2021
Gianluigi Marino

Partner, Head of Data Protection practice, Osborne Clarke

privacy e action

Le richieste di risarcimento a seguito di violazioni della privacy personali sono in crescita su scala internazionale, anche se la forma di queste azioni e l’esperienza per le imprese differiscono molto tra le varie giurisdizioni del vecchio continente.

Vediamo cosa sta succedendo a livello europeo, dal Regno Unito alla Germania, dal Belgio ai Paesi Bassi, senza dimenticare l’Italia, in merito alle richieste di risarcimento collettivo (mass claims) per la protezione dei dati.

I nostri dati sul cloud delle big tech, anche l’Europa (EDPS) vuole vederci chiaro

Privacy e diritto nel Regno Unito

Anche se tecnicamente non si tratta di Unione europea, includere la Gran Bretagna in questa ricognizione appare ancora sensato. Infatti, di tutte le giurisdizioni a noi più vicine, è nel Regno Unito che le richieste di risarcimento di massa in relazione a questioni riguardanti i dati hanno probabilmente fatto più progressi.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Se un’azienda subisce una violazione della sicurezza dei dati o altra violazione della normativa in materia di privacy e questa diventa pubblica, è molto probabile che debba affrontare delle richieste di risarcimento. Molti di questi reclami sono ancora altamente speculativi.

Aspettando la sentenza della Corte Suprema Uk

A tal proposito, in UK sono in attesa di una sentenza della Corte Suprema che, tra le altre cose, determinerà quanto possa essere facile o meno nella giurisdizione britannica presentare class action così come negli Stati Uniti, e se gli interessati possano recuperare i danni anche per la semplice perdita di controllo sui loro dati.

Nel frattempo, gli interessati i cui diritti sui dati sono stati violati in un modo che causi loro “distress” possono teoricamente cercare di ottenere i danni per questo. Tuttavia ricade su questi ultimi interessati l’onere della prova delle loro allegazioni; e qualsiasi danno concesso tende finora ad essere molto basso.

Class action e privacy in Germania

La Germania ha visto alcune richieste collettive di risarcimento, di solito a seguito di attività di hacking e fughe di dati. Tuttavia, non c’è una lunga tradizione di azioni collettive, infatti esistono solo limitate opzioni per portare azioni di massa in tribunale.

Le opzioni per i ricorrenti sono le seguenti:

  • procedere con una complessa riunione delle parti;
  • instaurare molti ricorsi identici (pratica che richiede tempo e denaro);
  • intraprendere un’azione dichiarativa modello (una sorta di procedura opt-in introdotta nel 2018).

Tuttavia, l’adozione di quest’ultima opzione è stata limitata in quanto i danni non sono riconosciuti direttamente ai ricorrenti bensì devono essere avviati procedimenti autonomi conseguenti alla sentenza della azione dichiarativa modello.

L’attuazione della direttiva europea 2020/1828 sulle azioni rappresentative porterà probabilmente in Germania a un aumento delle richieste di risarcimento di massa in materia di protezione dei dati.

Attualmente, ci sono state circa 40 decisioni dei tribunali tedeschi, secondo le quali i danni non materiali debbano essere risarciti in danni, e per quale importo.

L’approccio dei tribunali tedeschi

La situazione è ancora incerta. Alcuni tribunali ritengono che una semplice perdita di controllo sui dati dovrebbe dar luogo a un risarcimento, altri ritengono che alcuni danni siano troppo lievi (per esempio, in relazione alla ricezione di una sola email non richiesta). Questo secondo approccio appare simile a quello della Cassazione italiana.

In una decisione del febbraio 2021, la Corte costituzionale federale tedesca ha chiesto che la questione di una soglia di rilevanza del danno (materiality threshold) sia deferita alla Corte di giustizia UE (CJEU). Fino alla pronuncia della Corte di Giustizia, i tribunali nazionali tedeschi non potranno negare a un ricorrente i danni con l’argomento che la violazione è troppo lieve. I tribunali hanno finora riconosciuto danni tra i 400 e i 4mila euro, e in un caso la quantificazione si è spinta fino a 5mila euro.

In molti casi è controverso stabilire chi abbia l’onere della prova. Di solito è il ricorrente ma ci sono alcuni tribunali che hanno costretto il titolare del trattamento dei dati a dimostrare la sua conformità con il GDPR. La questione non è di secondaria importanza ai fini della diffusione di questi rimedi giurisdizionali e del calcolo del rischio da parte delle società.

Gdpr e azioni collettive in Spagna

La Spagna non ha una tradizione di azioni di massa. Quelle che sono state portate avanti finora tendono a riguardare il diritto dei consumatori piuttosto che la normativa in materia di protezione dei dati.

Ci sono, tuttavia, alcune recenti controversie in materia di privacy, per esempio quella instaurata da un’associazione di consumatori in relazione al caso Cambridge Analytica. I ricorrenti in Spagna nella maggior parte dei casi chiedono “danni morali” in relazione a una violazione del GDPR.

I ricorrenti presentano un reclamo presso l’Autorità di controllo in materia di protezione dei dati (DPA) e ottengono una decisione a loro favore. In seguito presentano un ricorso in tribunale per chiedere i danni morali, che non possono essere riconosciuti dalla DPA spagnola.

I danni morali sono assegnati caso per caso. La valutazione dei danni non è soggetta a soglie specifiche, al contrario di quanto avviene, per esempio, in relazione agli incidenti stradali. I danni morali sono di solito molto bassi, se paragonati al tempo e ai costi legali della controversia.

Quando nelle richieste di risarcimento per violazione dei dati vengono riconosciuti risarcimenti con importi elevati corrispondenti ai danni morali, di solito è perché il tribunale sta tenendo in considerazione aspetti e violazioni ulteriori rispetto a quelle in materia di protezione dei dati personali.

In breve, si tratta di una giurisdizione ancora acerba in relazione a questo tipo di azioni, in cui questa tipologia di rischio è tuttora contenuta.

Risarcimenti simbolici per violazioni privacy in Belgio

Anche in questo caso, le azioni collettive non sono comuni. Ve ne sono state alcune, soprattutto dopo la crisi economica del 2008, ma le complessità della legge belga limitano la portata di tali azioni.

Il codice di procedura belga è stato modificato nel 2014 e le azioni collettive possono ora essere intentate da un numero limitato di organizzazioni. Le azioni sono di natura opt-in e l’ente che presenta la richiesta di risarcimento collettivo deve dimostrare di avere un mandato specifico da ogni individuo che pretende di rappresentare.

Secondo la legge belga, gli individui possono anche chiedere i danni morali, ma questi non sono calcolati in maniera realistica, e spesso vengono riconosciuti nella misura simbolica di solo un euro. I giudici sono di solito molto conservatori nel riconoscere i danni morali.

Come in altre giurisdizioni, l’autorità di controllo belga può imporre sanzioni a un data controller o data processor, ma non può riconoscere danni agli interessati. La via per recuperare eventuali somme a titolo di danni è sempre quello di un reclamo in tribunale, ma si tratta di un percorso oneroso e, pertanto, finora intrapreso di rado.

Aumento di class action nei Paesi Bassi

Chiudiamo questa breve panoramica con i Paesi Bassi dove c’è stato un aumento delle azioni collettive.

La legge olandese prevede un sistema per intentare azioni collettive a nome di un gruppo di persone. Sulla base del Class Actions (Settlement of Large-scale Losses or Damage) Act, un’organizzazione può intentare una class action davanti ai tribunali olandesi e chiedere, per esempio, una pronuncia circa il fatto che il convenuto è responsabile di una violazione in materia di protezione dei dati personali e quindi è obbligato a risarcire i danni degli individui del gruppo ricorrente.

C’è anche la possibilità che l’organizzazione richiedente concluda un accordo che il tribunale olandese dichiara vincolante. La legge olandese prevede anche il risarcimento dei danni non pecuniari. Nelle cause riguardanti la protezione dei dati, gli importi assegnati ai singoli sono generalmente limitati (in media 500 euro).

Tuttavia, in un’azione collettiva, questo può portare (in aggregato) a somme considerevoli a titolo di risarcimento. Ha fatto scalpore la recente notizia di una class action iniziata in Olanda dalla organizzazione no-profit Stichting Massaschade & Consument in relazione alle asserite violazioni compiute da TikTok nei confronti di 4 milioni e mezzo di utenti olandesi. Le richieste dei ricorrenti sono piuttosto alte (da 1.250 a 1.750 euro a persona, a seconda dell’età).

Vedremo come andrà la causa. Nel frattempo un elemento da sottolineare è quello che, stando alle notizie pubblicamente disponibili, questa azione è finanziata da un soggetto esterno (che otterrà una parte una percentuale dei danni eventualmente riconosciuti).

Il caso Italia

Anche in Italia le class action hanno avuto vita dura, come in altre giurisdizioni europee. L’azione di classe risarcitoria e inibitoria collettiva è stata oggetto di riforma (legge 31/2019) e la sua disciplina non si trova più nel Codice del Consumo bensì nel Codice di Procedura Civile, in vigore dallo scorso maggio.

Non si tratta più di un rimedio destinato ai soli consumatori, ma si tratta di una struttura opt-in (cioè per beneficiare dell’esito dell’azione di classe, il singolo membro della classe deve aderirvi) e l’azione deve essere presentata al Tribunale delle Imprese della sede del resistente. Il rito è quello sommario di cognizione.

Premesso che i tribunali italiani non sono storicamente inclini a concedere significativi risarcimenti per violazioni in materia di protezione dei dati personali, sarà interessante vedere se questo nuovo rimedio potrà essere utilizzato anche in ambito privacy.

Finora una class action di successo in materia di protezione dei dati personali in Italia non è all’ordine del giorno, ma non è detto che la situazione cambi nel prossimo futuro e, a poco a poco, anche l’Italia non diventi una giurisdizione “a rischio” da questo punto di vista, come Regno Unito e Paesi Bassi.

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software
@RIPRODUZIONE RISERVATA

Articolo 1 di 4