La tutela dei diritti soggettivi attribuiti ai singoli dal nuovo regolamento generale sulla protezione dei dati personali può essere promossa in giudizio anche da persone giuridiche che perseguono come fine istituzionale la protezione dei consumatori. Secondo le conclusioni sulla causa C-319/20 presentate alla Corte di giustizia Ue dall'Avvocato generale va data risposta affermativa al rinvio pregiudiziale del giudice tedesco che domandava se anche nella vigenza nel nuovo regolamento Ue sulla privacy sussista il diritto delle associazioni di consumatori ad agire in giudizio contro pratiche commerciali che violano i diritti attribuiti ai singoli dalla normativa Ue.
Per proteggere dati personali da condotte pregiudizievoli le associazioni di tutela dei consumatori possono esercitare azioni rappresentative. Questo, secondo la Corte giustizia dell'Unione europea Causa C-319/20, anche indipendentemente dalla violazione concreta del diritto alla privacy di un interessato e senza mandato specifico.
L'identità degli iscritti alle associazioni è inviolabile. È quanto ribadisce il Garante della privacy a conclusione della riunione del collegio svoltasi il 19 marzo 2021 alla quale hanno preso parte il presidente Pasquale Stanzione, la vicepresidente Ginevra Cerrina Feroni, i componenti Guido Scorza e Agostino Ghiglia e il segretario generale Fabio Mattei. L'Autorità ha confermato il parere 19-2021 espresso lo scorso 14 gennaio su richiesta del ministero della giustizia in relazione allo schema di decreto, da adottare di concerto con il ministero dello sviluppo, sulle organizzazioni che partecipano a una class action e che pertanto devono figurare in un elenco pubblico istituito presso il ministero della giustizia.
Associazioni in prima linea per la tutela della privacy. Possono agire in giudizio anche senza la delega dei singoli e ottenere provvedimenti a favore della generalità degli interessati. Non solo: possono agire anche se manca l'armonizzazione della norma al Gdpr. Il principio è stato applicato da un giudice austriaco (tribunale commerciale di Vienna, sentenza del 26 maggio 2021, relativa al caso 57 Cg 32/20m), chiamato a interpretare l'articolo 80 del regolamento Ue sulla protezione dei dati n. 2016/679 (Gdpr).
L'Autorità belga per la protezione dei dati ha multato un'associazione che, sostenendo di avere un legittimo interesse, aveva inviato messaggi di marketing diretto a degli ex donatori che anni prima avevano contribuito a delle raccolte fondi, i quali nel frattempo avevano però esercitato il loro diritto di opposizione al trattamento ai sensi dell’21 del Gdpr, richiedendo al titolare la cancellazione dei loro dati personali ai sensi dell’art.17 del Gdpr.
L'associazione "Persone & Privacy" ha annunciato di aver avviato un servizio, interamente gratuito, di informazione e assistenza in materia di "privacy ed emergenza Coronavirus" a disposizione di datori di lavoro, pubbliche amministrazioni, responsabili della protezione dei dati, uffici privacy, consulenti privacy, uffici del personale, consulenti aziendali, associazioni di categoria, lavoratori e loro associazioni.
Non sono esenti dalle sanzioni del Garante della protezione dei dati personali neppure le associazioni che di solito tutelano esse stesse i cittadini e li difendono dalle violazioni in materia di privacy. Lo ha sperimentato Altroconsumo, che ha ricevuto una multa da 100.000 euro dall’autorità di Piazza Venezia.
Il Garante per la privacy olandese (Autoriteit Persoonsgegevens) ha imposto una sanzione di 525.000 euro alla KNLTB, che è l'associazione di gestione nazionale del tennis nei Paesi Bassi, per aver ceduto illecitamente i dati personali dei propri iscritti.
Incorre in sanzioni il titolare del trattamento che trascura l'istanza di accesso proposta ai sensi del regolamento europeo sulla protezione dei dati. Anche se la domanda è complessa perché l'interessato chiede pure copia dei documenti conservati. Lo ha evidenziato il Garante privacy con l'ordinanza ingiunzione n. 236 del 16 giugno 2022.
