Diritto ed Economia dell'ImpresaISSN 2499-3158
G. Giappichelli Editore

indietro

stampa articolo indice fascicolo leggi articolo leggi fascicolo


Reg. (UE) 2016/679: rimedi di natura privatistica e competenza internazionale in ambiente online (di Ennio Piovesani, Dottorando presso l’Università degli Studi di Torino e la Üniversität zu Köln)


Introdotti i rimedi di natura privatistica previsti nel reg. (UE) 2016/679 (RGPD) ed affrontate le principali questioni interpretative poste dall’art. 79, par. 2 RGPD, l’attenzione si concentra sul problema della ripartizione della competenza internazionale tra i giudici degli Stati membri dell’Unione europea, in ipotesi di azioni per il risarcimento del danno derivante dalla violazione del Regolamento in ambiente online.

Reg. (UE) 2016/679: private law remedies and international jurisdiction in the online environment

After having introduced the private law remedies provided for in Reg. (EU) No. 2016/679 (GDPR), and after having addressed the main interpretative questions arising from Art. 79(2) RGPD, the focus is shifted on the issue of the allocation of international jurisdiction among the courts of the Member States of the European Union, in cases of actions for damages arising from the breach of the GDPR in the online environment.

SOMMARIO:

1. Introduzione - 2. Rimedi di natura privatistica - 2.1. Ricorso giurisdizionale - 2.2. Risarcimento del danno - 2.3. Rappresentanza degli interessati - 3. Competenza internazionale - 3.1. «Azioni» - 3.2. «Autorità giurisdizionali» - 3.3. Specialità - 4. (continua) in ambiente online - 4.1. Norme del RB1bis - 4.2. Raffronto - 4.3. Integrazione/coordinamento - 5. Osservazioni conclusive - NOTE


1. Introduzione

Il presente contributo offre, in primo luogo, un’introduzione ai rimedi di natura privatistica previsti nel reg. (UE) 2016/679 [1] (in prosieguo: RGPD o Regolamento). Ai fini di tale introduzione appare utile far riferimento all’ordi­namento tedesco, giacché, al tempo in cui si scrive [2], il RGPD sembrerebbe aver suscitato una maggiore attenzione in Germania, rispetto ad altri Stati membri dell’Unione europea. In effetti, in Germania, il Regolamento è stato già preso in considerazione dalle corti nazionali ed ampiamente commentato dalla dottrina [3]. Affrontate le principali questioni interpretative poste dall’art. 79, par. 2, RGPD [4] il presente contributo si concentra, in secondo luogo, sul problema della ripartizione della competenza internazionale, tra i giudici degli Stati membri, in ipotesi di azioni esercitate contro il titolare od il responsabile del trattamento (in prosieguo, ber brevità: titolare), per ottenere il risarcimento del danno derivante dalla violazione del Regolamento in ambiente online [5].


2. Rimedi di natura privatistica

«Fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile», l’art. 79, par. 1, prevede il diritto «di ogni interessato ad un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento». In quanto ai ricorsi in concreto esperibili, il RGPD contempla espressamente il diritto del­l’interessato di agire per ottenere il risarcimento del danno ai sensi dell’art. 82, par. 1. L’art. 80, par. 1 prevede altresì il diritto dell’interessato di dare mandato ad un Ente ai fini dell’esperimento dei ricorsi di cui all’art. 79, par. 1, incluso il ricorso volto ad ottenere il risarcimento del danno ai sensi dell’art. 82.


2.1. Ricorso giurisdizionale

Il ricorso, o meglio i ricorsi evocati all’art. 79, par. 1 [6], sono quelli previsti nell’ordinamento dello Stato membro del giudice adito. In Italia ed in Germania, le misure (interne) di adeguamento al RGDP – rispettivamente, il d.lgs. n. 101/2018 [7] e la DSAnpUG-EU [8] –, introducono accorgimenti processuali relativi ai ricorsi, nonché ai rimedi di natura privatistica previsti nel Regolamento [9]. Per quanto concerne l’ordinamento italiano, ai sensi degli artt. 152 d.lgs. n. 196/2003 [10] e 10 d.lgs. n. 150/2011 [11] – così come modificati, rispettivamente, dall’art. 13, co. 1, lett. h) e dall’art. 17 d.lgs. n. 101/2018 – i ricorsi di cui all’art. 79, par. 1, incluse le azioni per il risarcimento del danno di cui all’art. 82, sono: – soggetti al rito del lavoro (art. 10, co. 1, d.lgs. n. 150/2011); – di competenza del Tribunale del luogo in cui il titolare abbia residenza o sede, oppure, in via alternativa, del Tribunale del luogo in cui l’interessato abbia residenza (art. 10, co. 2, d.lgs. n. 150/2011) [12]; e, – definiti con sentenza inappellabile (art. 10, co. 10, d.lgs. n. 150/2011). In Germania, la DSAnpUG-EU modifica la Bundesdatenschutzgesetz [13] (Legge federale sulla protezione dei dati personali; in prosieguo: BDSG). Ai sensi del § 44 BDSG: – il titolare può essere convenuto davanti al giudice del luogo in cui il titolare abbia uno stabilimento, oppure, in via alternativa, davanti al giudice del luogo in cui l’interessato abbia residenza abituale (§ 44 Abs. 1 BDSG); – la regola sulla competenza (interna) non si applica nell’ipotesi in cui il titolare sia un’autorità pubblica nell’esercizio dei suoi pubblici poteri (§ 44 Abs. 2 BDSG); e, – le notifiche di atti diretti al titolare che non abbia stabilimenti all’interno dell’Unione europea [14] possono compiersi anche presso il rappresentante designato a norma dell’art. 27, par. 1, RGPD (§ 44 Abs. 3 BDSG). Tra i ricorsi di cui all’art. 79, par. 1, in concreto ipotizzabili, figurano anche quelli volti ad ottenere una misura cautelare di natura inibitoria [15] – in Italia, ad esempio, un’ordinanza ex art. 700 c.p.c., che ordini la rimozione ed inibisca [continua ..]


2.2. Risarcimento del danno

Il rimedio del risarcimento del danno è previsto nel già citato art. 82 [18]. Il primo paragrafo dell’articolo infatti recita: «[c]hiunque subisca un danno materiale o immateriale causato da una violazione del […] regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento» [19]. L’art. 82 introduce una norma di diritto sostanziale uniforme a cui va data un’interpretazione autonoma [20]. Diventano così superflui i precedenti rinvii, in materia di protezione dei dati personali, alle disposizioni interne sulla responsabilità civile – in Italia agli artt. 2050 e 2059 c.c. [21] ed in Germania ai §§ 823 e 253 BGB [22] – salvo per gli aspetti (dell’obbligazione risarcitoria) non contemplati dalla norma eurounitaria, ad esempio, su tutti, i criteri di liquidazione del danno [23]. In ipotesi connotate dall’elemento d’estraneità, eventuali lacune devono essere colmate dalla legge applicabile in virtù del diritto internazionale privato autonomo dello Stato membro del giudice adito [24] – e cioè, in Italia, dalla legge applicabile ai sensi degli artt. 13, co. 2, lett. c) e 62 l. 31 maggio 1995, n. 219 [25]; e, in Germania, da quella applicabile ai sensi degli artt. 40 e ss. EGBGB. Il generico riferimento a «chiunque» nell’art. 82, par. 1, suggerisce che, oltre agli interessati ed agli Enti di cui all’art. 80 (v. infra § 2.3.), anche soggetti terzi possono promuovere azioni per ottenere il risarcimento del danno derivante dalla violazione del Regolamento [26]. Ad esempio, l’impresa che subisca un danno derivante dalla violazione delle norme del RGPD, da parte dell’im­presa concorrente, può agire contro quest’ultima, ai sensi dell’art. 82, per il ristoro del pregiudizio sofferto [27]. Nell’ordinamento italiano, in effetti, la violazione delle norme del RGPD potrebbe rilevare anche ai sensi delle norme civilistiche sulla concorrenza sleale [28]. In particolare, può integrare illecito concorrenziale ai sensi dell’art. 2598, n. 3, c.c., la condotta dell’impresa che tragga vantaggio competitivo dalla violazione di norme di diritto pubblico [29], incluse le norme [continua ..]


2.3. Rappresentanza degli interessati

L’art. 80 è rubricato «Rappresentanza degli interessati» [44]. Il primo paragrafo dell’articolo riconosce il diritto dell’interessato di dare mandato ad «un organismo, un’organizzazione o un’associazione senza scopo di lucro» (in prosieguo: Ente) di esperire, per suo conto, i rimedi di cui agli artt. 79, par. 1, e 82 [45]. All’interno dell’art. 80, par. 1, deve ritenersi inclusa anche l’ipotesi in cui più interessati diano mandato allo stesso Ente [46]. L’art. 80, par. 1, quindi contempla sia l’azione rappresentativa promossa per conto del singolo interessato sia l’azione collettiva esperita per conto di più interessati [47]. Il secondo paragrafo dell’art. 80 prevede inoltre la possibilità per l’Ente di ricorrere ai sensi dell’art. 79, par. 1 [48], indipendentemente dall’esistenza di un mandato conferito dall’interessato (o dagli interessati), ma senza far menzione della possibilità di agire per ottenere il risarcimento del danno ai sensi dell’art. 82. I parr. 1 e 2 dell’art. 80 precisano che le possibilità ivi contemplate sussistono a condizione che le stesse siano riconosciute dall’ordinamento dello Stato membro del giudice adito. L’ordinamento italiano riconosce entrambe le possibilità previste all’art. 80. In particolare, l’art. 10, co. 5, d.lgs. n. 150/2011 – così come modificato dall’art. 17 d.lgs. n. 101/2018 – prevede espressamente la possibilità per l’interessato di «dare mandato a un ente del terzo settore […] che sia attivo nel settore della tutela dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, di esercitare per suo conto l’azione […]». Per quanto concerne l’azione di classe, l’istituto è stato di recente riformato con l. n. 31/2019 [49] ed è ragionevole ritenere che i nuovi artt. 840-bis e 840-sexdecies c.p.c. permetteranno [50] all’Ente di esercitare l’azione collettiva inibitoria e risarcitoria ai sensi dell’art. 80, par. 1, per conto degli interessati, nonché di promuovere l’azione, indipendentemente dall’esistenza di un mandato conferito dagli stessi [continua ..]


3. Competenza internazionale

A fianco dei rimedi di natura privatistica sopra descritti, il RGDP introduce, all’art. 79, par. 2 [53], una norma speciale sulla competenza internazionale in materia civile [54] che così recita: «Le azioni nei confronti del titolare del trattamento o del responsabile del trattamento sono promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui il titolare del trattamento o il responsabile del trattamento ha uno stabilimento. In alternativa, tali azioni possono essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’interessato risiede abitualmente, salvo che il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica di uno Stato membro nell’esercizio dei pubblici poteri». L’art. 79, par. 2, riflette, sul piano giurisdizionale, l’obiettivo di protezione perseguito dal Regolamento [55]. La norma infatti favorisce l’interessato, consentendogli di agire presso il “proprio” foro; davanti al giudice dello Stato membro in cui risiede abitualmente.


3.1. «Azioni»

L’ambito d’applicazione oggettivo dell’art. 79, par. 2, è circoscritto alle azioni esercitate contro le violazioni del RGPD [56]: i ricorsi di cui all’art. 79, par. 1, incluse le azioni per il risarcimento del danno di cui all’art. 82 [57]. Per quanto concerne queste ultime, l’art. 82, par. 6, così recita: «Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all’articolo 79, paragrafo 2». L’art. 79, par. 2, non precisa quale sia l’elemento d’estraneità richiesto affinché possa trovare applicazione. L’elemento pare sussistere nel caso in cui l’interessato risieda abitualmente in uno Stato (non necessariamente uno Stato membro [58]) diverso da quello in cui il titolare abbia uno stabilimento; nonché nel caso in cui, pur trovandosi nello stesso Stato membro residenza abituale e stabilimento, il fatto generatore del danno o le sue conseguenze dannose abbiano luogo in un diverso Stato membro [59]. L’ambito d’applicazione soggettivo è determinato con riferimento all’iden­tità del resistente: il titolare (o il responsabile del trattamento). Non è necessario che il titolare abbia uno stabilimento in uno Stato membro: il titolare dello Stato terzo può essere convenuto, in ogni caso, davanti al giudice dello Stato membro in cui l’interessato abbia residenza abituale [60]. Piuttosto, ai fini del­l’art. 79, par. 2, il titolare non deve essere un’autorità pubblica nell’eserci­zio dei suoi pubblici poteri [61]. L’art. 79, par. 2, invece non precisa l’identità del possibile ricorrente [62]. Non v’è dubbio questi possa essere l’interessato. Tuttavia, nel caso in cui l’in­teressato non risiedesse abitualmente in uno Stato membro, la norma offrirebbe un solo foro: il giudice dello Stato membro in cui il titolare abbia uno stabilimento. Invece, nel caso in cui neppure il titolare avesse uno stabilimento in uno Stato membro, la norma non offrirebbe alcun foro [63]. Quest’ultima ipotesi infatti esula dall’ambito d’applicazione soggettivo dell’art. 79, par. 2. V’è da chiedersi [continua ..]


3.2. «Autorità giurisdizionali»

L’art. 79, par. 2, consente di agire davanti ai giudici dello Stato membro in cui si trovi lo stabilimento del titolare, oppure, in alternativa, davanti ai giudici dello Stato membro in cui l’interessato risieda abitualmente. Delle nozioni di stabilimento e residenza abituale va data un’interpretazione autonoma [72]. Ai fini del primo periodo dell’art. 79, par. 2, per stabilimento non si intende quello principale di cui all’art. 4, n. 16, ma, semplicemente, «uno» stabilimento [73]. Secondo l’orientamento maggioritario [74], ai fini dell’art. 79, par. 2, occorre far riferimento alla giurisprudenza della Corte di giustizia sulla dir. n. 95/46/CE. Infatti, la Corte di giustizia si è più volte pronunciata adottando una concezione ampia, o meglio «flessibile» di stabilimento di cui al considerando n. 19 dir. n. 95/46/CE [75], oggi riprodotto al considerando n. 22 RGPD. Secondo la Corte di giustizia, in breve, stabilimento non è soltanto quello in cui il trattamento illecito abbia avuto luogo [76], ma anche quello in cui siano state condotte attività «inscindibilmente connesse» al trattamento [77]. Un esempio è quello dello stabilimento che si limiti a svolgere attività di promozione dei servizi del titolare, nel cui ambito sia avvenuto il trattamento illecito [78]. Così, nel caso in cui il titolare abbia più stabilimenti, lo stabilimento di cui all’art. 79, par. 2, secondo periodo, potrebbe essere diverso da quello in cui sia stato compiuto il fatto generatore del danno (cf. fig. 1). Il secondo periodo dell’art. 79, par. 2, come esaminato sopra, assicura, all’interessato che abbia residenza abituale in uno Stato membro, la possibilità di citare il titolare davanti al giudice di uno Stato membro, in ogni caso, anche quando il titolare non abbia uno stabilimento all’interno dell’Unione. Il Regolamento non spiega cosa debba intendersi per «residenza abituale», di cui peraltro manca una definizione unitaria nel diritto dell’Unione. La Corte di giustizia ha però pronunciato massime di carattere generale, che possono fare da guida, ad esempio: «[l]a residenza abituale è il luogo in cui l’interessato ha fissato, con voluto carattere di stabilità, il centro abituale o permanente dei propri [continua ..]


3.3. Specialità

L’art. 79, par. 2 si pone in rapporto di specialità rispetto alle norme sulla giurisdizione contenute nel già citato RB1bis. La norma del RGPD infatti ripartisce la giurisdizione, tra i giudici degli Stati membri, in ipotesi di azioni esercitate contro la violazione dello stesso Regolamento, mentre il RB1bis trova applicazione con riferimento ad azioni in materia civile (e commerciale) [80]. Anche l’ambito di applicazione soggettivo dell’art. 79, par. 2, è più ristretto: la norma si applica in ipotesi di azioni esercitate ai danni di titolari; mentre, in linea di principio, il RB1bis si applica a prescindere dall’attività esercitata dal convenuto. Benché il RGPD non disciplini espressamente il proprio rapporto con il RB1bis, il considerando n. 147 RGPD contiene una clausola di conflitto che riprende quella di cui all’art. 67 RB1bis, così formulato: «Il presente regolamento non pregiudica l’applicazione delle disposizioni che, in materie particolari, disciplinano la competenza […] e che sono contenute negli atti dell’Unio­ne […]». Le norme del RGPD quindi superano quelle del RB1bis, allorché la contestuale applicazione delle seconde possa pregiudicare l’applicazione delle prime [81]. Una simile situazione di pregiudizio ha luogo quando la contestuale applicazione delle norme del RB1bis impedirebbe all’attore di rivolgersi ai giudici individuati all’art. 79, par. 2, RGPD, compromettendo così il favore che la norma accorda all’attore. Questa è la situazione in cui, ad esempio, con una clausola di scelta del foro esclusiva ai sensi dell’art. 25 RB1bis, si pretenda di derogare la giurisdizione dei giudici individuati all’art. 79, par. 2, RGPD [82]. Sul punto si è pronunciata la Commercial Court dell’Inghilterra e del Galles, il 12 aprile 2019, nel caso Ramona v. Rielantco [83] – la prima pronuncia (nota) sull’art. 79, par. 2, RGPD. In quel caso, la Sig.ra Ang, una casalinga inglese con residenza abituale in Inghilterra [84], creava un account sulla piattaforma di trading online UFX, dove poi investiva i propri risparmi in Bitcoin futures [85]. L’impresa gerente la piattaforma, la società cipriota Rielantco, chiudeva [continua ..]


4. (continua) in ambiente online

Come si realizza, in concreto, l’integrazione/il coordinamento dell’art. 79, par. 2, RGPD con il RB1bis, è in seguito esaminato con specifico riferimento alle azioni connotate dall’elemento d’estraneità ed esercitate contro il titolare per ottenere il risarcimento del danno derivante dalla violazione del RGPD in ambiente online. Con questa formula, “ambiente online”, si allude all’ipotesi in cui il fatto generatore del danno, piuttosto che le sue conseguenze dannose, coinvolgano l’uso di Internet. Lo scenario più ricorrente sembra essere quello in cui il titolare gerente un sito – spesso un social network – illecitamente raccolga, trasmetta o riveli a terzi dati personali, con pregiudizio per un ampio numero di interessati. A meno che tra il titolare e gli interessati esista un contratto e la violazione del RGPD possa quindi integrare un inadempimento contrattuale [93], il ristoro del danno sofferto dagli interessati-danneggiati può avvenire secondo le regole della responsabilità extracontrattuale, così come espressamente previsto all’art. 82 dello stesso Regolamento. Quando sussista un elemento d’estraneità ed occorra quindi determinare quale giudice, tra i giudici degli Stati membri, sia (internazionalmente) competente a conoscere simili azioni risarcitorie, oltre all’art. 79, par. 2, RGPD, “entrano in gioco” anche gli artt. 4, par. 1, e 7, nn. 2 e 5 RB1bis.


4.1. Norme del RB1bis

L’art. 4, par. 1, RB1bis consente di convenire in giudizio la persona domiciliata nello Stato membro, davanti ai giudici di quello stesso Stato. Ai sensi dell’art. 63 RB1bis, la persona giuridica «è domiciliata nel luogo in cui si trova: la sua sede statutaria; la sua amministrazione centrale; oppure, il suo centro d’attività principale». In virtù dell’art. 5, par. 1, RB1bis, nel caso in cui il convenuto sia domiciliato in uno Stato membro, l’attore può agire, anziché davanti al foro generale di cui all’art. 4, par. 1, davanti ai cc.dd. fori alternativi [94]. Secondo il considerando n. 16, al fine di garantire certezza del diritto e prevedibilità del foro, i fori alternativi dovrebbero basarsi sul «collegamento stretto tra l’autorità giurisdizionale e la controversia […] aspetto […] importante nelle controversie in materia di obbligazioni extracontrattuali derivanti da violazioni della privacy e dei diritti della personalità, compresa la diffamazione». Nel caso di simili controversie, i fori alternativi sono quelli di cui ai nn. 2 e 5 dell’art. 7 RB1bis. L’art. 7, n. 2, RB1bis conferisce giurisdizione in materia extracontrattuale in capo al giudice dello Stato membro «del luogo in cui l’evento dannoso è avvenuto o può avvenire». Sin dal caso Mines de potasse, la Corte di giustizia ha interpretato la formula dell’art. 7, n. 2, RB1bis seguendo il “principio dell’ubiquità”: il danneggiato può agire davanti al giudice dello Stato membro del luogo del fatto generatore del danno, oppure, in alternativa, davanti al giudice dello Stato membro del luogo di concretizzazione del danno [95]. Nel caso eDate [96], la Corte ha dato una particolare interpretazione dell’art. 7, par. 2, RB1bis, con riferimento alle azioni per il risarcimento del danno derivante dalla violazione dei diritti della personalità per mezzo di contenuti caricati online [97]. Seguendo questo orientamento, il danneggiato può agire davanti ai giudici dello Stato membro dove si trovi: 1. lo stabilimento del danneggiante dal quale il contenuto sia stato caricatoonline(in prosieguo: stabilimento del caricamento); 2. il centro degli interessi del danneggiato (in prosieguo: centro degli interessi); oppure; 3. [continua ..]


4.2. Raffronto

Nel raffrontare l’art. 79, par. 2, RGPD con gli artt. 4, par. 1 e 7, nn. 2 e 5 RB1bis, si osserva, anzitutto, una significativa differenza nell’ambito d’appli­cazione soggettivo: diversamente dalla norma del RGPD, le predette norme del RB1bis trovano applicazione soltanto nei casi in cui il convenuto sia domiciliato in uno Stato membro. Nell’ipotesi in cui il titolare-danneggiante sia dunque domiciliato in uno Stato membro, mutuando la giurisprudenza eDate, l’attore-danneggiato potrebbe esercitare l’azione per il risarcimento del danno derivante dalla violazione del RGPD in ambiente online, davanti ai giudici dello Stato membro dove si trovi: 1. il domicilio del titolare; 2. lo stabilimento del titolare dal quale siano stati caricati – o meglio, trasmessi o rivelati –onlinei dati personali dell’interessato [108]; 3. il centro degli interessi dello stesso danneggiato; oppure, 4. il luogo in cui i dati siano (o siano stati) accessibilionline[109]. A questi 4 fori, si “aggiungono” i 2 fori individuati all’art. 79, par. 2, RGPD, e cioè i giudici dello Stato membro dove si trovi: 5. lo stabilimento del titolare; oppure, 6. la residenza abituale dell’interessato. A ben vedere, i 2 fori dell’art. 79, par. 2, RGPD non si aggiungono ma si “sovrappongono” ai 4 fori del RB1bis; i primi infatti tendono a coincidere con i secondi [110] (cf. figg. 1 e 2). In dettaglio, il punto di collegamento dello stabilimento del titolare di cui all’art. 79, par. 2, primo periodo, RGPD, racchiude e tendenzialmente coincide con il punto di collegamento: – del domicilio del convenuto di cui all’art. 4, par. 1, RB1bis; – del luogo dell’agenzia, succursale o altra sede di cui all’art. 7, n. 5, RB1bis; – del luogo del fatto generatore del danno; e, nella specie, – dello stabilimento del caricamento ex art. 7, n. 2, RB1bis [111]. Invece, il punto di collegamento della residenza abituale di cui all’art. 79, par. 2, secondo periodo, RGPD, tende a coincidere con il punto di collegamento: – del luogo di concretizzazione del danno; e, nella specie, – del centro degli interessi dell’interessato ex art. 7, n. 2, RB1bis [112]. Soltanto il punto di collegamento dello Stato membro di [continua ..]


4.3. Integrazione/coordinamento

Dal raffronto emerge come gli artt. 4, par. 1 e 7, nn. 2 e 5, RB1bis non pregiudichino l’applicazione dell’art. 79, par. 2, RGPD. Le predette norme del RB1bis non precludono infatti la possibilità per l’attore di rivolgersi ai giudici individuati dal RGPD. Eppure, certa dottrina si è espressa in senso sfavorevole alla contestuale applicazione degli artt. 79, par. 2, RGPD e 7, n. 2, RB1bis [113]. In particolare, un autore ritiene che, seguendo la giurisprudenza eDate, la contestuale applicazione accorderebbe all’attore un «unreasonably overextended jurisdictional privilege» [114]. Affermazioni di questo tenore non convincono. A parere di chi scrive, in concreto, nella maggior parte dei casi, l’applicazione contestuale degli artt. 79, par. 2, RGPD e 7, n. 2, RB1bis, non rischia di concedere all’attore un vantaggio «unreasonaly overextended». Il rischio è mitigato: –   dal rapporto di tendenziale coincidenza tra i fori individuati agli artt. 79, par. 2, RGPD e 7, n. 2, RB1bis; –   nel caso in cui il titolare abbia più stabilimenti, dalla difficoltà che l’attore potrebbe incontrare nell’individuazione, in concreto, dello stabilimento nel quale sia stata svolta un’attività «inscindibilmente connessa» all’illecita rivelazione o trasmissione online di dati personali (ai fini dell’art. 79, par. 2, primo periodo, RGPD), nonché dello stabilimento dal quale siano stati illecitamente trasmessi o rivelati online i dati personali (ai fini dell’art. 7, n. 2, RB1bis); e, –   dall’approccio “a mosaico” che rende meno “conveniente” rivolgersi ai giudici dello Stato membro di accessibilità ai sensi dell’art. 7, n. 2, RB1bis. Non sussiste dunque alcuna decisiva ragione per escludere la contestuale applicazione degli artt. 79, par. 2, RGPD e 7, n. 2, RB1bis, nonché 4, par. 1, e 7, n. 5 dello stesso RB1bis. Più dubbia è invece la possibilità di estendere l’approccio “a mosaico” all’art. 79, par. 2, RGPD, e cioè nelle ipotesi in cui: – lo Stato membro dello stabilimento del titolare-convenuto non sia quello del domicilio dello stesso titolare e neppure quello dello [continua ..]


5. Osservazioni conclusive

Da un lato, il RGPD non assicura un livello di tutela uniforme all’interno dell’Unione. Infatti, ad esempio, i provvedimenti adottati all’esito di un ricorso giurisdizionale ai sensi dell’art. 79, par. 1, potrebbero essere disponibili in uno Stato membro, ma non in un altro; i criteri di liquidazione del danno di cui all’art. 82 potrebbero essere più “generosi” in uno Stato membro e meno in un altro; in uno Stato membro l’Ente di cui all’art. 80 potrebbe promuovere l’azione, ma non anche in un altro Stato membro. Dall’altro lato, l’art. 79, par. 2, consente un margine di forum shopping. Tale margine è aumentato per effetto della contestuale applicazione delle norme giurisdizionali del RB1bis, specie in ipotesi di azioni per il risarcimento del danno derivante dalla violazione del RGPD in ambiente online. L’aumento del margine di forum shopping è tutto sommato contenuto se si considera come i punti di collegamento di cui all’art. 79, par. 2, RGPD tendano a coincidere con quelli di cui al RB1bis. In ogni caso, manovre di forum shopping potrebbero essere incoraggiate proprio dalla mancanza di un livello di tutela uniforme all’interno dell’Unione. Tali manovre possono essere condotte dal singolo interessato, nonché dall’Ente di cui all’art. 80 RGPD. In particolare, l’Ente potrebbe sfruttare il margine di forum shopping dell’art. 79, par. 2, RGPD aumentato dalla contestuale applicazione delle norme giurisdizionali del RB1bis, per “convogliare” le pretese di interessati, residenti abitualmente in diversi Stati, davanti ai giudici di un unico Stato membro, il cui ordinamento consenta di esercitare l’azione ai sensi dell’art. 80 RGPD. Di tutto ciò sembra essere consapevole il pioniere della c.d. data protection litigation in Europa, il Dr. Schrems, il quale ha di recente fondato l’ONG NOYB. Come si legge al punto 2.2. del «Public Project Summary» [117] della ONG austriaca: «Article 80 can be used to form “group actions” or “collective complaints”, if a large number of users [sic] are represented by NOYB (“mass mandate”). This option also allows to choose favorable jurisdictions [118]. Subject to national law, member states can also grant NGOs [continua ..]


NOTE