Azione legale: una nuova dinamica per le azioni collettive?

Osservatorio Legale n. 53 – Novembre 2022

Azione legale: una nuova dinamica per le azioni collettive? In Francia e in Europa, il ricorso legale in materia di protezione dei dati personali è ancora raro.

Sebbene la stampa riporti regolarmente notizie di sanzioni contro i giganti della tecnologia, tali sanzioni sono principalmente opera delle autorità di vigilanza.

In particolare, i danni sono spesso difficili da valutare in materia di violazione della privacy, dati i costi delle azioni legali.

La situazione potrebbe cambiare presto, con il recepimento a livello nazionale della direttiva (UE) 2020/1828 sulle azioni rappresentative.

Gli Stati membri hanno tempo fino al 25 dicembre di quest'anno per conformarsi a questa direttiva, che mira a proteggere gli interessi collettivi dei consumatori.

In Francia, le azioni collettive esistono già e il loro ambito di applicazione si è progressivamente ampliato. Sono state introdotte con la legge del 17 marzo 2014 sulla tutela dei consumatori.

È stato gradualmente esteso a diversi ambiti, tra cui i dati personali, dalla legge del 18 novembre 2016, che ha creato un nuovo articolo 43ter nella legge sulla protezione dei dati.

Il testo limita tuttavia il diritto di intentare un'azione collettiva alle associazioni di tutela dei consumatori riconosciute, alle associazioni costituite da più di cinque anni e il cui scopo statutario è la tutela della privacy, nonché alle organizzazioni sindacali che rappresentano i dipendenti o i dipendenti pubblici.

Tale quadro giuridico non prevedeva il risarcimento dei danni alle persone interessate.

Ciò è ora possibile grazie alla legge del 20 giugno 2018 che adegua la legge sulla protezione dei dati al GDPR.

L'azione collettiva consente ora di ottenere il risarcimento dei danni materiali e morali dinanzi ai tribunali.

Il GDPR consente inoltre di ottenere tale ricorso incaricando enti, organizzazioni o associazioni di presentare un reclamo per loro conto all'autorità di controllo.

La Francia non è quindi oggi la nazione meno favorita in termini di azioni rappresentative, come dimostrano, ad esempio, le azioni di organizzazioni come La Quadrature du Net, molto attiva nel campo della protezione dei dati.

Altri Paesi, invece, vanno oltre.

L’azione collettiva in Francia si basa su un “opt-in” e coinvolge solo coloro che aderiscono esplicitamente alla procedura, a differenza della "class action" che include a priori tutti i soggetti che corrispondono al profilo delle parti lese, e dà loro la possibilità di recedere dalla procedura. In tal caso, si parla di "opt-out".

Mentre questi due tipi di procedure sono ancora relativamente rari in Europa, l'azione collettiva nel senso di una procedura di "opt-out" è ancora più rara.

Nei Paesi Bassi sono consentiti entrambi i tipi di ricorso.

Negli ultimi due anni sono state costituite diverse fondazioni con l'obiettivo di intentare azioni collettive.

Queste fondazioni hanno, ad esempio, attaccato il comportamento anticoncorrenziale di Apple e Google, le pratiche di raccolta dati di TikTok, Salesforce e Oracle, nonché di Airbus e Airbnb.

Il fatto che l'organizzazione rappresentativa possa richiedere il risarcimento danni per un'intera categoria di ricorrenti, a meno che questi ultimi non si "ritirino", rappresenta un cambiamento significativo per le azioni collettive per la protezione dei dati, in cui i risarcimenti individuali sono generalmente bassi.

La natura economicamente sostenibile di tali azioni ha reso i Paesi Bassi la principale giurisdizione europea per le azioni collettive.e si registra un aumento dei finanziamenti di terze parti a questo tipo di organizzazione.

Oggi Twitter è stata citata in giudizio nei Paesi Bassi per aver tracciato i suoi utenti.

Lo stesso vale per altre app popolari, tra cui Shazam e Vinted, ma anche per app più sensibili come Grindr e per le app di monitoraggio del ciclo mestruale.

La direttiva europea consente ai paesi dell'UE di scegliere tra il modello opt-in o opt-out, fatta eccezione per l'azione inibitoria che - logicamente - prevede un opt-out.

È opportuno sottolineare che il testo offre alle organizzazioni la possibilità di intentare azioni transfrontaliere e consente loro di scegliere tra diverse giurisdizioni. : l'azione può essere proposta nello Stato membro in cui la società convenuta ha la sede legale, ma anche in qualsiasi Stato membro in cui essa abbia una succursale e nello Stato di domicilio della persona lesa.

La Francia dovrà quindi prepararsi a gestire i ricorsi paneuropei.

Dovrà inoltre adattare il suo quadro giuridico alla principio del “chi perde paga” per quanto riguarda le spese legali e le spese processuali, e prevedere un procedura di scoperta, come esiste nei paesi di Common Law, e che consente, con decisione motivata del giudice, la produzione di documenti utili alla controversia (come l'identità delle parti lese).

Mentre nei prossimi mesi saranno chiarite le condizioni di applicazione della direttiva, sembra già certo che essa avrà un impatto sul numero di azioni rappresentative in Europa.

Sarebbe opportuno prepararsi e monitorarne attentamente il recepimento in Francia.

E anche

Francia:

La CNIL ha multato DISCORD INC. per 800.000 euro per non aver rispettato diversi obblighi del GDPR, in particolare per quanto riguarda i periodi di conservazione dei dati e la sicurezza dei dati personali.

La CNIL sottolinea inoltre una mancanza di protezione dei dati di default: gli utenti non sono stati informati che le loro conversazioni potevano ancora essere ascoltate quando pensavano di aver abbandonato una chat vocale.

Infine, l'azienda è stata criticata per non aver effettuato un'analisi d'impatto prima di implementare i trattamenti.

Il 24 novembre la Commissione ha inoltre pubblicato un piano d'azione volto a sostenere la conformità delle applicazioni mobili e a tutelare la privacy degli utenti.

Intende approfondire le proprie competenze, supportare i professionisti e informare i cittadini, ad esempio attraverso guide e raccomandazioni.

Infine, effettuerà controlli mirati e, se necessario, adotterà misure repressive nei confronti delle organizzazioni che non rispettano i propri obblighi.

A seguito di numerose denunce, la CNIL ha chiarito le condizioni in base alle quali gli enti di assicurazione sanitaria integrativa possono raccogliere dati sanitari.

Rileva che i testi applicabili non sono sufficientemente precisi e raccomanda l'adozione di una legge.

Il 1° gennaio 2023 segnerà la fine delle ricevute cartacee.

Questa misura "anti-spreco" solleva interrogativi sulla tutela della privacy, perché i rivenditori saranno in grado di identificare l'intera clientela, compresi coloro che non possiedono una carta fedeltà.

La CNIL ha sottolineato nel suo libro bianco che un indirizzo e-mail raccolto allo scopo di inviare una ricevuta o un pagamento elettronico non può essere utilizzato a fini di prospezione commerciale, essendo questi due scopi ben distinti.

Sarà importante ottenere il consenso dell'interessato o, nel caso di prospezioni riguardanti prodotti o servizi analoghi a quelli già forniti dall'azienda, informarlo preventivamente al momento della raccolta delle finalità e della possibilità di opposizione.

La Corte di Cassazione, nella sentenza del 7 novembre, ha ritenuto che il codice di sblocco della schermata iniziale di un telefono possa costituire una "chiave di decrittazione".

Se è probabile che sia stato utilizzato per preparare o commettere un crimine o un illecito, il suo possessore è tenuto a fornire agli investigatori il codice di sblocco per la schermata iniziale.

Se rifiuta di comunicare questo codice, commette il reato di "rifiuto di consegnare un accordo segreto di decrittazione", punibile con una multa e la reclusione.

Europa:

Il 16 novembre 2022 è entrato in vigore il Regolamento sui servizi digitali (DSA).

Il presente regolamento prevede nuove responsabilità per le piattaforme digitali, al fine di limitare la diffusione di contenuti e prodotti illegali, aumentare la tutela dei minori e offrire agli utenti più scelta e informazioni migliori.

Il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato le sue raccomandazioni sulla procedura di approvazione e sugli elementi da includere nelle norme vincolanti d'impresa (BCR) per i titolari del trattamento dei dati.

Il documento è aperto alla consultazione pubblica fino al 10 gennaio 2023.

Il Garante europeo della protezione dei dati (GEPD) ha pubblicato il suo parere sulla proposta di regolamento sulla sicurezza informatica.

Il testo mira a definire i requisiti di sicurezza informatica a livello dell'UE per un'ampia gamma di prodotti hardware e software, quali browser, sistemi operativi, firewall, sistemi di gestione di rete, contatori intelligenti o router.

Il GEPD raccomanda di integrare i principi di protezione dei dati nel presente testo fin dalla progettazione e per impostazione predefinita.

Ha inoltre sottolineato che un certificato europeo di sicurezza informatica non può sostituire la certificazione GDPR.

Il GEPD ha inoltre commentato la proposta di regolamento che istituisce un quadro comune per i servizi di media: Nel suo parere del 14 novembre, sottolinea l'inadeguatezza delle misure previste per proteggere i giornalisti, le loro fonti e i fornitori di servizi di media.

Si raccomanda di chiarire che qualsiasi giornalista trarrebbe beneficio da questa protezione e si sollecita un'ulteriore riduzione delle eccezioni che consentono l'intercettazione delle comunicazioni tramite spyware o altre forme di sorveglianza.

Dopo due anni di trattative con Microsoft, il comitato congiunto dell'Autorità federale tedesca per la protezione dei dati e di 16 enti regolatori statali ha rilasciato una dichiarazione che probabilmente avrà implicazioni di vasta portata: i titolari del trattamento dei dati non possono attualmente utilizzare legalmente MS365 ai sensi del GDPR.

Il 14 novembre, l'autorità olandese per la protezione dei dati ha emesso un avvertimento al proprio governo, dissuadendolo dall'utilizzare i servizi cloud americani. Esorta il governo a ricorrere ad alternative europee.

L'autorità ungherese per la protezione dei dati ha ordinato al gestore di un sito web di previsioni meteo di interrompere il trasferimento di dati negli Stati Uniti tramite Google.

L'Autorità per la protezione dei dati (DPA) ha rilevato che il gestore del sito web ha utilizzato Google Analytics senza implementare adeguate misure di sicurezza per il trasferimento dei dati verso gli Stati Uniti.

Il 17 novembre, il Consiglio irlandese per le libertà civili ha sottolineato in una lettera alla Commissione europea che Meta violava il GDPR e non poteva conformarsi al regolamento sui mercati digitali (DMA).

L'ICCL cita documenti giudiziari recentemente desecretati in California, secondo cui Meta non ha risposto a una richiesta di informazioni sul funzionamento di 149 dei suoi sistemi di elaborazione dati, il che indica che il funzionamento di tali sistemi non era comprensibile agli esseri umani.

La Commissione irlandese per la protezione dei dati ha emesso la sua decisione il 25 novembre nell'ambito dell'indagine sul data scraping di Facebook, che riguarda la disponibilità online dei dati personali di oltre 530 milioni di utenti.

I principi in gioco riguardavano la protezione dei dati fin dalla progettazione e per impostazione predefinita, come previsto dal GDPR.

La decisione impone sanzioni amministrative per un totale di 265 milioni di euro e misure correttive.

Meta si trova ad affrontare altre tre procedure di violazione del GDPR in Europa.

Riguardano le condizioni generali di Facebook ma anche di Instagram e WhatsApp.

Si prevede che le conclusioni dell'EDPB su quest'ultimo punto saranno pubblicate il 5 dicembre e sono attese con impazienza. 

Riguardano la base giuridica per la raccolta di dati dagli utenti dei social media.

Meta ha modificato questa base giuridica, passando dal consenso alla necessità di trattamento ai sensi di un contratto, con ripercussioni legali che, se approvate dalle autorità di protezione dei dati, andrebbero ben oltre il contesto di questo caso.

Il 17 novembre l'Information Commissioner's Office ha pubblicato un aggiornamento delle sue linee guida sui trasferimenti internazionali.

Questo aggiornamento include una nuova sezione sulle valutazioni del rischio di trasferimento (TRA) e uno strumento per i controllori.

Il Regno Unito ha concluso un accordo sul trasferimento dei dati personali con la Corea, che entrerà in vigore il 19 dicembre.

Afferma che il suo accordo è "più ampio" di quello dell'UE, consentendo alle aziende di trasferire dati relativi alle informazioni creditizie.

Internazionale:

Google ha accettato di pagare la cifra record di 391,5 milioni di dollari in un accordo per le violazioni della privacy in 40 stati degli Stati Uniti.

Il caso riguarda le pratiche di geolocalizzazione dell'azienda: secondo i procuratori generali, gli utenti sono stati ingannati sulle condizioni per disattivare la geolocalizzazione nelle impostazioni del loro account.

Le autorità europee per la protezione dei dati hanno avvertito che le due app Ehteraz e Hayya imposte dalle autorità del Qatar per l'ingresso nel Paese generano massicce violazioni della privacy, consentendo un ampio accesso ai dati degli utenti, compresi i dati sulla posizione e i dati sulle chiamate.

La CNIL ha raccomandato alle persone che si recano in Qatar di utilizzare un telefono vuoto o resettato.

Il Global Privacy Control, creato nell'ottobre 2020, sta ora vedendo crescere il suo utilizzo grazie alla sua adozione da parte dei principali editori e delle piattaforme di gestione del consenso online.

Il GPC consente agli utenti di rifiutare la vendita di informazioni personali a livello di browser con un clic, per tutti o alcuni siti web.

A differenza dei gestori di opt-out, che spesso caricano contenuti e iniziano a raccogliere dati prima che l'utente abbia la possibilità di rinunciare, GPC rispetta la scelta dell'utente prima che il sito venga caricato.

Anna Cristina Lacoste

Partner dello studio legale Olivier Weber Avocat, Anne Christine Lacoste è un avvocato specializzato in diritto dei dati; è stata responsabile delle relazioni internazionali presso il Garante europeo della protezione dei dati e ha lavorato all'attuazione del GDPR nell'Unione europea.