–

per la Meta Platforms Ireland Ltd, da M. Braun, H.-G. Kamann e V. Wettner, Rechtsanwälte;

–

per il Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV, da P. Wassermann, Rechtsanwalt;

–

per il governo tedesco, da J. Möller e P.-L. Krüger, in qualità di agenti;

–

per il governo portoghese, da P. Barros da Costa, J. Ramos e C. Vieira Guerra, in qualità di agenti;

–

per la Commissione europea, da A. Bouchagiar, F. Erlbacher e H. Kranenborg, in qualità di agenti,

1

La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 80, paragrafo 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: l’«RGPD»), in combinato disposto con l’articolo 12, paragrafo 1, prima frase, e l’articolo 13, paragrafo 1, lettere c) ed e), di tale regolamento.

2

Tale domanda è stata presentata nell’ambito di una controversia che oppone la Meta Platforms Ireland Ltd, già Facebook Ireland Ltd, la cui sede sociale si trova in Irlanda, al Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV, (Unione federale delle centrali e delle associazioni di consumatori, Germania) (in prosieguo: l’«Unione federale») in merito alla violazione, da parte della Meta Platforms Ireland, della normativa tedesca in materia di protezione dei dati personali, costituente al tempo stesso una pratica commerciale sleale, una violazione di una legge in materia di tutela dei consumatori e una violazione del divieto di utilizzazione di condizioni generali di contratto nulle.

3

I considerando 10, 13, 39, 58, 60 e 142 dell’RGPD enunciano quanto segue:

(...)

(...)

(...)

(...)

(...)

4

L’articolo 1 di detto regolamento, intitolato «Oggetto e finalità», dispone, al paragrafo 1, quanto segue:

«Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati».

5

Ai sensi dell’articolo 4, punti 1, 2, 9 e 11, di detto regolamento:

«Ai fini del presente regolamento s’intende per:

(...)

(...)

6

L’articolo 5 del medesimo regolamento, rubricato «Principi applicabili al trattamento di dati personali», prevede:

«1.   I dati personali sono:

(...)

2.   Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)».

7

L’articolo 6, paragrafo 1, lettera a), dell’RGPD, intitolato «Liceità del trattamento», prevede quanto segue:

«Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

8

Il capo III del l’RGPD, il quale contiene gli articoli da 12 a 23, è intitolato «Diritti dell’interessato».

9

L’articolo 12 di tale regolamento, intitolato «Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato», enuncia, al paragrafo 1, quanto segue:

«Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato».

10

L’articolo 13 dello stesso regolamento, intitolato «Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato», dispone, al paragrafo 1, lettere c) ed e), quanto segue:

«In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:

(...)

(...)

11

Il capo VIII del citato regolamento, il quale contiene gli articoli da 77 a 84, reca il titolo «Mezzi di ricorso, responsabilità e sanzioni».

12

L’articolo 77 dell’RGPD, intitolato «Diritto di proporre reclamo all’autorità di controllo», dispone, al paragrafo 1, quanto segue:

«Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione».

13

L’articolo 78 di tale regolamento dal titolo «Diritto a un ricorso giurisdizionale effettivo nei confronti dell’autorità di controllo», enuncia, al paragrafo 1, quanto segue:

«Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ogni persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda».

14

L’articolo 79 del suddetto regolamento, intitolato «Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento», prevede, al paragrafo 1, quanto segue:

«Fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 77, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento».

15

L’articolo 80 del medesimo regolamento, rubricato «Rappresentanza degli interessati», è così formulato:

«1.   L’interessato ha il diritto di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, di proporre il reclamo per suo conto e di esercitare per suo conto i diritti di cui agli articoli 77, 78 e 79 nonché, se previsto dal diritto degli Stati membri, il diritto di ottenere il risarcimento di cui all’articolo 82.

2.   Gli Stati membri possono prevedere che un organismo, organizzazione o associazione di cui al paragrafo 1 del presente articolo, indipendentemente dal mandato conferito dall’interessato, abbia il diritto di proporre, in tale Stato membro, un reclamo all’autorità di controllo competente [ai sensi dell’articolo 77], e di esercitare i diritti di cui agli articoli 78 e 79, qualora ritenga che i diritti di cui un interessato gode a norma del presente regolamento siano stati violati in seguito al trattamento».

16

L’articolo 82 dell’RGPD, intitolato «Diritto al risarcimento e responsabilità», dispone, al paragrafo 1, quanto segue:

«Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento».

17

L’articolo 84 dell’RGPD, dal titolo «Sanzioni», enuncia, al paragrafo 1, quanto segue:

«Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive».

18

L’articolo 2 del Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz) – UKlaG) (legge relativa alle azioni inibitorie in caso di violazioni della normativa a tutela dei consumatori e di altre violazioni), del 26 novembre 2001 (BGBl. 2001 I, pag. 3138), nella versione applicabile ai fatti di cui al procedimento principale (in prosieguo: la «legge sulle azioni inibitorie»), stabilisce quanto segue:

«(1)   Chiunque, con modalità diverse dall’applicazione o dalla raccomandazione di condizioni generali di contratto, violi disposizioni volte a tutelare i consumatori (leggi sulla tutela dei consumatori), può essere soggetto a un’ingiunzione di astensione dalla condotta lesiva per l’avvenire nonché ad un ordine di cessazione immediata della condotta lesiva nell’interesse della tutela dei consumatori. (...)

(2)   Ai fini della presente disposizione, per leggi sulla tutela dei consumatori, si intendono in particolare:

(...)

11. le disposizioni che disciplinano la liceità:

19

Il Bundesgerichtshof (Corte federale di giustizia, Germania) fa presente che, a norma dell’articolo 3, paragrafo 1, prima frase, punto 1, della legge sulle azioni inibitorie, gli organismi aventi legittimazione ad agire, ai sensi dell’articolo 4 di tale legge, possono, da un lato, chiedere, a norma dell’articolo 1 della medesima legge, la cessazione dell’utilizzo di condizioni generali di contratto nulle ai sensi dell’articolo 307 del Bürgerliches Gesetzbuch (codice civile) e, dall’altro, chiedere la cessazione delle violazioni della normativa in materia di tutela dei consumatori, ai sensi dell’articolo 2, paragrafo 2, della legge in parola.

20

L’articolo 3, paragrafo 1, del Gesetz gegen den unlauteren Wettbewerb (legge contro la concorrenza sleale), del 3 luglio 2004 (BGB1. 2004 I, pag. 1414), nella versione applicabile alla controversia di cui al procedimento principale (in prosieguo: la «legge contro la concorrenza sleale»), stabilisce:

«Le pratiche commerciali sleali sono illecite».

21

L’articolo 3a della legge contro la concorrenza sleale è così formulato:

«Commette un atto sleale colui il quale violi una disposizione di legge che sia altresì destinata a disciplinare il comportamento sul mercato nell’interesse dei soggetti partecipanti al mercato stesso, nel caso in cui la violazione sia idonea a pregiudicare in maniera sensibile gli interessi dei consumatori, di altri soggetti partecipanti al mercato o dei concorrenti».

22

L’articolo 8 di tale legge così recita:

«(1)   Chiunque ponga in essere una pratica commerciale illecita ai sensi dell’articolo 3 o dell’articolo 7 può essere soggetto ad un ordine di cessazione immediata della condotta lesiva e, in caso di pericolo di recidiva, anche ad un’ingiunzione di astensione dalla condotta lesiva per l’avvenire. (...)

(...)

(3)   Le misure inibitorie previste dal paragrafo 1 possono essere richieste:

(...)

23

Il Bundesgerichtshof (Corte federale di giustizia) osserva che l’articolo 13, paragrafo 1, del Telemediengesetz (legge sui media elettronici), del 26 febbraio 2007 (BGBl. 2007 I, pag. 179), era applicabile fino all’entrata in vigore dell’RGPD. A partire da tale data, la disposizione di cui sopra è stata sostituita dagli articoli da 12 a 14 dell’RGPD.

24

Conformemente all’articolo 13, paragrafo 1, prima frase, della legge sui media elettronici:

«Il fornitore di servizi è tenuto, all’inizio dell’utilizzo, ad informare l’utente in forma generalmente comprensibile in merito alla tipologia, alla portata e agli obiettivi della raccolta e dell’utilizzo dei dati personali nonché del trattamento dei suoi dati in Stati non rientranti nell’ambito di applicazione della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31), salvo che una tale informativa abbia già avuto luogo».

25

La società Meta Platforms Ireland, che gestisce l’offerta dei servizi del social network on line Facebook nell’Unione, è la titolare del trattamento dei dati personali degli utenti di tale social network nell’Unione. La Facebook Germany GmbH, che ha la propria sede in Germania, promuove sotto l’indirizzo www.facebook.de la vendita di spazi pubblicitari. La piattaforma Internet Facebook conteneva, segnatamente all’indirizzo Internet www.facebook.de, uno spazio denominato «App-Zentrum» (Area Applicazioni) nel quale la Meta Platforms Ireland metteva a disposizione degli utenti applicazioni di giochi gratuite fornite da terzi. Al momento della consultazione di tale spazio, l’utente era informato del fatto che, utilizzando alcune di tali applicazioni, egli consentiva a queste ultime di raccogliere diversi dati personali e che le autorizzava a pubblicare a suo nome alcuni di tali dati, quali il suo punteggio nonché, per uno dei giochi in questione, il suo status e le sue foto. Egli veniva altresì informato che, utilizzando le applicazioni di cui trattasi, accettava le condizioni generali di tali applicazioni e la loro politica in materia di protezione dei dati.

26

L’Unione federale, organismo legittimato ad agire ai sensi dell’articolo 4 della legge sulle azioni inibitorie, ha ritenuto che le informazioni fornite dalle applicazioni di giochi interessate nell’Area Applicazioni fossero sleali, in particolare in quanto non rispettavano le condizioni legali per ottenere un valido consenso dell’utente in forza delle disposizioni che disciplinano la protezione dei dati personali. Inoltre, essa ha considerato che le informazioni secondo le quali tali applicazioni erano autorizzate a pubblicare in nome degli utenti alcuni dei loro dati personali costituivano una condizione generale che penalizzava indebitamente tali utenti.

27

In tale contesto, l’Unione federale ha proposto dinanzi al Landgericht Berlin (Tribunale del Land di Berlino, Germania) un’azione inibitoria, fondata sull’articolo 3a della legge contro la concorrenza sleale, sull’articolo 2, paragrafo 2, prima frase, punto 11, della legge sulle azioni inibitorie nonché sul codice civile, al fine, in particolare, di vietare alla Meta Platforms Ireland di presentare, nell’Area Applicazioni, applicazioni di giochi come le applicazioni di cui trattasi. Tale azione è stata proposta indipendentemente dalla violazione concreta del diritto alla protezione dei dati di un interessato e senza un mandato conferito da tale persona.

28

Il Landgericht Berlin (Tribunale del Land di Berlino) ha accolto le domande dell’Unione federale. L’appello proposto dalla Meta Platforms Ireland dinanzi al Kammergericht Berlin (Tribunale superiore del Land di Berlino, Germania) è stato respinto. La Meta Platforms Ireland ha allora proposto dinanzi al giudice del rinvio un ricorso per cassazione contro la decisione di rigetto adottata dal giudice d’appello.

29

Il giudice del rinvio ha ritenuto che l’azione dell’Unione federale fosse fondata, in quanto la Meta Platforms Ireland aveva violato l’articolo 3a della legge contro la concorrenza sleale nonché l’articolo 2, paragrafo 2, prima frase, punto 11, della legge sulle azioni inibitorie, e aveva utilizzato una condizione generale di contratto nulla, ai sensi dell’articolo 1 della legge sulle azioni inibitorie.

30

Tuttavia, detto giudice ha espresso dubbi in merito alla ricevibilità dell’azione dell’Unione federale. Infatti, esso ha ritenuto che non fosse escluso che l’Unione federale, che ai sensi dell’articolo 8, paragrafo 3, della legge contro la concorrenza sleale e dell’articolo 3, paragrafo 1, prima frase, punto 1, della legge sulle azioni inibitorie era effettivamente legittimata ad agire alla data della presentazione del suo ricorso, avesse perduto tale legittimazione in corso di giudizio, a seguito dell’entrata in vigore dell’RGPD e, segnatamente, dell’articolo 80, paragrafi 1 e 2, nonché dell’articolo 84, paragrafo 1, di tale regolamento. Se così fosse stato, il giudice del rinvio avrebbe dovuto accogliere il ricorso per cassazione proposto dalla Meta Platforms Ireland e respingere l’azione inibitoria proposta dall’Unione federale, dato che, secondo le pertinenti norme procedurali del diritto tedesco, la legittimazione ad agire deve persistere fino alla fine dell’ultimo grado di giudizio.

31

Pertanto, con decisione del 28 maggio 2020, il Bundesgerichtshof (Corte federale di giustizia) ha deciso di sospendere il procedimento e di sottoporre alla Corte una questione pregiudiziale relativa all’interpretazione dell’articolo 80, paragrafi 1 e 2, e dell’articolo 84, paragrafo 1, dell’RGPD.

32

Con la sua sentenza del 28 aprile 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322), la Corte ha risposto a tale questione dichiarando che l’articolo 80, paragrafo 2, dell’RGPD deve essere interpretato nel senso che esso non osta ad una normativa nazionale che consente ad un’associazione di tutela degli interessi dei consumatori di agire in giudizio, in assenza di un mandato che le sia stato conferito a tale scopo e indipendentemente dalla violazione di specifici diritti degli interessati, contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali, facendo valere la violazione del divieto di pratiche commerciali sleali, la violazione di una legge in materia di tutela dei consumatori o la violazione del divieto di utilizzazione di condizioni generali di contratto nulle, qualora il trattamento di dati in questione sia idoneo a pregiudicare i diritti riconosciuti da tale regolamento a persone fisiche identificate o identificabili.

33

Alla luce di tale sentenza, il giudice del rinvio ritiene che la legittimazione ad agire di un ente ai sensi dell’articolo 80, paragrafo 2, dell’RGPD non sia soggetta alla condizione che un siffatto ente proceda alla previa identificazione individuale della persona interessata da un trattamento di dati che si presume contrario alle disposizioni dell’RGPD. La nozione di «interessato» ai sensi dell’articolo 4, punto 1, dell’RGPD, comprenderebbe quindi non soltanto una «persona fisica identificata», ma anche una «persona fisica identificabile», ossia una persona fisica «che può essere identificata», direttamente o indirettamente, tramite un riferimento ad un identificativo, quale, segnatamente, un nome, un numero di identificazione, dati relativi all’ubicazione o un identificativo on line. Date tali circostanze, la designazione di una categoria o di un gruppo di persone pregiudicate da tale trattamento potrebbe essere sufficiente ai fini della proposizione di un’azione rappresentativa. Nel caso di specie, l’Unione federale avrebbe proceduto all’identificazione di un siffatto gruppo o di una siffatta categoria.

34

Tuttavia, secondo il giudice del rinvio, la citata sentenza della Corte non ha esaminato la condizione enunciata all’articolo 80, paragrafo 2, dell’RGPD, secondo la quale, al fine di esperire i mezzi di ricorso previsti da tale regolamento, un’associazione per la tutela degli interessi dei consumatori deve ritenere che i diritti di un interessato previsti in detto regolamento siano stati violati «in seguito al trattamento».

35

Da un lato, tale giudice ritiene che dalla suddetta sentenza non risulti chiaramente se una violazione dell’obbligo derivante dall’articolo 12, paragrafo 1, prima frase, e dall’articolo 13, paragrafo 1, lettere c) ed e), dell’RGPD, di comunicare all’interessato, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, le informazioni relative alla finalità di un trattamento dei dati personali nonché ai destinatari di tali dati, costituisca una violazione «in seguito al trattamento», e se la nozione di «trattamento», ai sensi dell’articolo 4, punto 2, di tale regolamento, includa situazioni che precedono la raccolta di tali dati.

36

Dall’altro lato, tale giudice ritiene che non sia chiaro se, in un caso come quello di cui trattasi nel procedimento principale, la violazione dell’obbligo di informazione sia avvenuta «in seguito» ad un trattamento di dati personali, ai sensi dell’articolo 80, paragrafo 2, dell’RGPD. A tal riguardo, esso sottolinea che, sebbene una siffatta formulazione possa lasciar intendere che l’ente che propone un’azione rappresentativa debba, affinché tale azione sia ricevibile, far valere la violazione dei diritti di un interessato che risulta da un’operazione di trattamento di dati personali, ai sensi dell’articolo 4, punto 2, di tale regolamento, e che è quindi successiva a una siffatta operazione, l’obiettivo di detto regolamento, di garantire in particolare un livello elevato di protezione dei dati personali, potrebbe deporre a favore dell’estensione della legittimazione ad agire di tale ente nel caso di una violazione dell’obbligo di informazione, laddove tale obbligo debba essere soddisfatto prima di qualsiasi operazione di trattamento di dati personali.

37

Di conseguenza, il Bundesgerichtshof (Corte federale di giustizia) ha deciso di sospendere nuovamente il procedimento e di sottoporre alla Corte la seguente questione pregiudiziale:

«Se venga fatta valere una violazione [dei diritti di un interessato] “in seguito al trattamento” ai sensi dell’articolo 80, paragrafo 2, dell’RGPD, qualora un’associazione di tutela degli interessi dei consumatori fondi il proprio ricorso sull’asserita violazione dei diritti di un interessato, adducendo il mancato adempimento degli obblighi di informazione relativi alla finalità del trattamento dei dati e al destinatario dei dati personali ai sensi dell’articolo 12, paragrafo 1, prima frase, dell’RGPD in combinato disposto con l’articolo 13, paragrafo 1, lettera c) ed e), dell’RGPD».

38

Con la sua questione, il giudice del rinvio chiede, in sostanza, se l’articolo 80, paragrafo 2, dell’RGPD debba essere interpretato nel senso che la condizione secondo cui un ente legittimato, per poter proporre un’azione rappresentativa ai sensi di tale disposizione, deve affermare di ritenere che i diritti di cui, a norma di tale regolamento, gode un interessato da un trattamento di dati personali, siano stati violati «in seguito al trattamento», ai sensi di detta disposizione, è soddisfatta qualora una siffatta azione sia fondata sulla violazione dell’obbligo incombente al titolare del trattamento in forza dell’articolo 12, paragrafo 1, prima frase, e dell’articolo 13, paragrafo 1, lettere c) ed e), del medesimo regolamento, di comunicare all’interessato, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, le informazioni relative alla finalità di tale trattamento di dati nonché ai destinatari di tali dati, al più tardi al momento della raccolta di questi ultimi.

39

Al fine di rispondere a tale questione, occorre ricordare, in via preliminare, che l’RGPD disciplina, in particolare, i mezzi di ricorso che consentono di tutelare i diritti dell’interessato qualora i dati personali che lo riguardano siano stati oggetto di un trattamento asseritamente contrario alle disposizioni di tale regolamento. La protezione di tali diritti può quindi essere richiesta o direttamente dall’interessato, che ha il diritto di proporre esso stesso un reclamo a un’autorità di controllo di uno Stato membro, conformemente all’articolo 77 dell’RGPD, o un ricorso dinanzi ai giudici nazionali, in forza degli articoli 78 e 79 di tale regolamento, o da un ente legittimato, in presenza o in assenza di un mandato a tal fine, ai sensi dell’articolo 80 di detto regolamento.

40

In particolare, l’articolo 80, paragrafo 2, dell’RGPD offre la possibilità agli Stati membri di prevedere un meccanismo di azione rappresentativa contro il presunto autore di un atto pregiudizievole per la protezione dei dati personali, fissando al contempo un certo numero di requisiti relativi all’ambito di applicazione ratione personae e ratione materiae da rispettare a tal fine (sentenza del 28 aprile 2022, Meta Platforms Ireland,C‑319/20, EU:C:2022:322, punto 63).

41

A tal proposito, per quanto riguarda, in primo luogo, l’ambito di applicazione ratione personae di tale meccanismo, la legittimazione ad agire viene riconosciuta ad un organismo, ad un’organizzazione o ad una associazione che soddisfi i criteri elencati all’articolo 80, paragrafo 1, dell’RGPD. In particolare, come già constatato dalla Corte, un’associazione di tutela degli interessi dei consumatori, come l’Unione federale, può rientrare in tale nozione in quanto persegue un obiettivo di interesse pubblico consistente nell’assicurare i diritti e le libertà degli interessati nella loro qualità di consumatori, posto che la realizzazione di un tale obiettivo può essere correlata alla protezione dei dati personali di questi ultimi (sentenza del 28 aprile 2022, Meta Platforms Ireland,C‑319/20, EU:C:2022:322, punti 64 e 65).

42

Per quanto riguarda, in secondo luogo, l’ambito di applicazione ratione materiae di detto meccanismo, l’esercizio dell’azione rappresentativa prevista dall’articolo 80, paragrafo 2, dell’RGPD da parte di un ente rispondente ai requisiti menzionati al paragrafo 1 di tale articolo presuppone che tale ente, indipendentemente da qualsiasi mandato che gli sia stato conferito, «ritenga che i diritti di cui un interessato gode a norma [di tale] regolamento siano stati violati in seguito al trattamento» dei suoi dati personali (sentenza del 28 aprile 2022, Meta Platforms Ireland,C‑319/20, EU:C:2022:322, punto 67).

43

A tal riguardo, la Corte ha chiarito che l’esercizio di un’azione rappresentativa non è subordinato segnatamente all’esistenza di una «violazione concreta» dei diritti di cui una persona beneficia sulla base delle norme in materia di protezione dei dati, di modo che, per riconoscere la legittimazione ad agire di un tale ente, è sufficiente far valere che il trattamento di dati controverso è idoneo a pregiudicare i diritti che persone fisiche identificate o identificabili si vedono riconosciuti dal suddetto regolamento, senza che sia necessario provare un danno reale subito dall’interessato, in una situazione determinata, a causa della lesione dei suoi diritti (sentenza del 28 aprile 2022, Meta Platforms Ireland,C‑319/20, EU:C:2022:322, punti 70 e 72).

44

Tuttavia, come già dichiarato dalla Corte, la proposizione di un’azione rappresentativa presuppone che l’ente menzionato «ritenga» che i diritti di un interessato previsti dall’RGPD siano stati violati in seguito al trattamento dei suoi dati personali, e dunque che tale ente faccia valere «l’esistenza di un trattamento di dati» che esso ritiene essere contrario a disposizioni del regolamento stesso (v., in tal senso, sentenza del 28 aprile 2022, Meta Platforms Ireland,C‑319/20, EU:C:2022:322, punto 71), poiché un siffatto trattamento non può avere carattere puramente ipotetico, come rilevato dall’avvocato generale al paragrafo 48 delle sue conclusioni.

45

In concreto, come risulta dai termini dell’articolo 80, paragrafo 2, dell’RGPD, la proposizione di un’azione rappresentativa sulla base di tale disposizione comporta che la violazione dei diritti che l’interessato trae da tale regolamento avvenga in occasione di un trattamento di dati personali.

46

Tale interpretazione è corroborata dal confronto delle diverse versioni linguistiche dell’articolo 80, paragrafo 2, dell’RGPD nonché dal suo considerando 142, il quale enuncia che gli enti rispondenti ai requisiti menzionati all’articolo 80, paragrafo 1, di tale regolamento devono avere motivo di ritenere che i diritti di un interessato previsti da detto regolamento siano stati violati in conseguenza di un «trattamento dei dati personali che violi il [medesimo] regolamento».

47

Ciò chiarito, al fine di rispondere alla questione pregiudiziale, occorre ancora verificare se la violazione dell’obbligo incombente al titolare del trattamento in forza dell’articolo 12, paragrafo 1, prima frase, e dell’articolo 13, paragrafo 1, lettere c) ed e), dell’RGPD, di comunicare all’interessato, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, le informazioni relative alla finalità di un trattamento dei dati personali nonché ai destinatari di tali dati, al più tardi al momento della raccolta di tali dati, costituisca una violazione dei diritti di tale persona «in seguito al trattamento», ai sensi dell’articolo 80, paragrafo 2, dell’RGPD.

48

In via preliminare, occorre ricordare che l’obiettivo perseguito dall’RGPD, quale risulta dal suo articolo 1 nonché dal suo considerando 10, consiste, segnatamente, nel garantire un elevato livello di protezione dei diritti e delle libertà fondamentali delle persone fisiche, in particolare del loro diritto alla vita privata, con riguardo al trattamento dei dati personali (v., in tal senso, sentenza del 7 marzo 2024, IAB Europe,C‑604/22, EU:C:2024:214, punto 53).

49

A tal fine, i capi II e III di tale regolamento enunciano, rispettivamente, i principi che disciplinano il trattamento dei dati personali e i diritti dell’interessato che devono essere rispettati in qualsiasi trattamento di dati personali. In particolare, fatte salve le deroghe previste all’articolo 23 di detto regolamento, qualsiasi trattamento di dati personali deve, da un lato, essere conforme ai principi applicabili al trattamento di tali dati enunciati all’articolo 5 del regolamento stesso e soddisfare le condizioni di liceità elencate al suo articolo 6 e, dall’altro, rispettare i diritti dell’interessato di cui agli articoli da 12 a 22 dell’RGPD [v., in tal senso, sentenze del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 208, nonché del 24 febbraio 2022, Valsts ieņēmumu dienests (Trattamento dei dati personali a fini fiscali),C‑175/20, EU:C:2022:124, punti 50 e 61 nonché giurisprudenza ivi citata].

50

A tal riguardo, occorre sottolineare che, in forza dell’articolo 5, paragrafo 1, lettera a), dell’RGPD, i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. Inoltre, conformemente al punto b) di tale articolo 5, paragrafo 1, tali dati devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in un modo che non sia incompatibile con tali finalità.

51

Per quanto riguarda l’interpretazione dell’articolo 5, paragrafo 1, lettera b), dell’RGPD, la Corte ha dichiarato che tale disposizione impone, in particolare, che le finalità del trattamento siano indicate chiaramente e individuate, al più tardi, al momento della raccolta dei dati personali [sentenza del 24 febbraio 2022, Valsts ieņēmumu dienests (Trattamento dei dati personali a fini fiscali),C‑175/20, EU:C:2022:124, punti 64 e 65].

52

Inoltre, conformemente all’articolo 5, paragrafo 2, dell’RGPD, grava sul titolare del trattamento l’onere di dimostrare che tali dati sono raccolti per finalità determinate, esplicite e legittime e che sono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato.

53

Dall’articolo 5 dell’RGPD risulta quindi che un trattamento di dati personali deve soddisfare, in particolare, requisiti concreti in materia di trasparenza nei confronti dell’interessato da un siffatto trattamento. A tal fine, nel suo capo III, l’RGPD, da un lato, prevede obblighi precisi per il titolare del trattamento e, dall’altro, riconosce una serie di diritti all’interessato da un trattamento di dati personali, tra i quali figura, segnatamente, il diritto di ottenere dal titolare del trattamento informazioni sulle finalità di tale trattamento e sui destinatari concreti ai quali i dati personali che lo riguardano sono stati o saranno comunicati (sentenza del 22 giugno 2023, Pankki S,C‑579/21, EU:C:2023:501, punto 48).

54

In particolare, l’articolo 13, paragrafo 1, lettere c) ed e), dell’RGPD prevede l’obbligo per il titolare del trattamento, in caso di raccolta presso l’interessato di dati che lo riguardano, di informare quest’ultimo, rispettivamente, delle finalità del trattamento cui sono destinati tali dati e della base giuridica di tale trattamento nonché dei destinatari o delle categorie di destinatari di detti dati.

55

Inoltre, l’articolo 12, paragrafo 1, di tale regolamento impone al titolare del trattamento di adottare misure appropriate affinché, segnatamente, le informazioni di cui al punto precedente e fornite all’interessato siano concise, trasparenti, intelligibili, facilmente accessibili e formulate con un linguaggio semplice e chiaro.

56

Come dichiarato dalla Corte, l’articolo 12, paragrafo 1, dell’RGPD, che è l’espressione del principio di trasparenza, ha lo scopo di garantire che l’interessato sia messo in grado di comprendere pienamente le informazioni che gli vengono inviate (sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punto 38).

57

L’importanza del rispetto di un siffatto obbligo di informazione è altresì confermata dal considerando 60 dell’RGPD, il quale enuncia che il principio del trattamento corretto e trasparente implica che l’interessato sia informato dell’esistenza del trattamento e delle sue finalità, sottolineando che il titolare del trattamento dovrebbe fornire eventuali ulteriori informazioni necessarie ad assicurare un trattamento corretto e trasparente, prendendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati (sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punto 36).

58

Da quanto precede risulta, in primo luogo, che l’obbligo di informazione che incombe al titolare del trattamento nei confronti degli interessati da un trattamento di dati personali costituisce il corollario del diritto di informazione riconosciuto a tali soggetti dagli articoli 12 e 13 dell’RGPD e che fa quindi parte dei diritti che l’azione rappresentativa prevista all’articolo 80, paragrafo 2, di detto regolamento mira a tutelare. Inoltre, come risulta dai punti 56 e 57 della presente sentenza, il rispetto di tale obbligo garantisce, più in generale, il rispetto dei principi di trasparenza e di correttezza del trattamento, previsti all’articolo 5, paragrafo 1, di detto regolamento.

59

In secondo luogo, come rilevato dall’avvocato generale al paragrafo 47 delle sue conclusioni, l’asserita violazione del diritto degli interessati di essere sufficientemente informati di tutte le circostanze che accompagnano un trattamento di dati personali, segnatamente della finalità di quest’ultimo e del destinatario di tali dati, può ostare all’espressione di un consenso «informato», ai sensi dell’articolo 4, punto 11, dell’RGPD, il che può rendere illecito tale trattamento, ai sensi dell’articolo 5, paragrafo 1, di tale regolamento.

60

Infatti, la validità del consenso prestato dall’interessato dipende, tra l’altro, dalla questione se tale soggetto abbia previamente ottenuto le informazioni riguardanti tutte le circostanze relative al trattamento dei dati in questione alle quali aveva diritto, in forza degli articoli 12 e 13 dell’RGPD, e che gli consentono di dare un consenso con piena cognizione di causa.

61

Nei limiti in cui un trattamento di dati personali effettuato in violazione del diritto di informazione che l’interessato trae dagli articoli 12 e 13 dell’RGPD viola i requisiti stabiliti all’articolo 5 di tale regolamento, occorre considerare la violazione di tale diritto d’informazione come una violazione dei diritti dell’interessato «in seguito al trattamento», ai sensi dell’articolo 80, paragrafo 2, di detto regolamento.

62

Ne consegue che il diritto dell’interessato da un trattamento di dati personali, derivante dall’articolo 12, paragrafo 1, prima frase, e dall’articolo 13, paragrafo 1, lettere c) ed e), dell’RGPD, di ottenere dal titolare del trattamento, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, le informazioni relative alla finalità di un siffatto trattamento nonché ai destinatari di tali dati, costituisce un diritto la cui violazione consente di ricorrere al meccanismo d’azione rappresentativa previsto all’articolo 80, paragrafo 2, di tale regolamento.

63

Tale interpretazione è confermata, da un lato, dall’obiettivo dell’RGPD, ricordato al punto 48 della presente sentenza, di garantire una tutela efficace delle libertà e dei diritti fondamentali delle persone fisiche e, in particolare, un livello elevato di protezione del diritto di ogni persona alla vita privata con riguardo al trattamento dei dati personali che la riguardano.

64

Dall’altro lato, una siffatta interpretazione è altresì conforme alla funzione preventiva dell’azione rappresentativa prevista all’articolo 80, paragrafo 2, dell’RGPD instaurata da associazioni di tutela degli interessi dei consumatori, come nel caso di specie l’Unione federale (sentenza del 28 aprile 2022, Meta Platforms Ireland,C‑319/20, EU:C:2022:322, punto 76).

65

Alla luce di quanto precede, occorre rispondere alla questione pregiudiziale dichiarando che l’articolo 80, paragrafo 2, dell’RGPD deve essere interpretato nel senso che la condizione secondo cui un ente legittimato, per poter proporre un’azione rappresentativa in forza di tale disposizione, deve far valere di ritenere che i diritti di un interessato previsti da tale regolamento siano stati violati «in seguito al trattamento», ai sensi di detta disposizione, è soddisfatta qualora tale ente faccia valere che la violazione dei diritti di tale persona interviene in occasione di un trattamento di dati personali e che essa deriva dall’inadempimento dell’obbligo incombente al titolare del trattamento ai sensi dell’articolo 12, paragrafo 1, prima frase, e dell’articolo 13, paragrafo 1, lettere c) ed e), di detto regolamento, di comunicare all’interessato da tale trattamento di dati, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, le informazioni relative alla finalità di tale trattamento di dati nonché ai destinatari di tali dati, al più tardi al momento della raccolta di questi ultimi.

66

Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi, la Corte (Quarta Sezione) dichiara:

L’articolo 80, paragrafo 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),

dev’essere interpretato nel senso che:

la condizione secondo cui un ente legittimato, per poter proporre un’azione rappresentativa in forza di tale disposizione, deve far valere di ritenere che i diritti di un interessato previsti da tale regolamento siano stati violati «in seguito al trattamento», ai sensi di detta disposizione, è soddisfatta qualora tale ente faccia valere che la violazione dei diritti di tale persona interviene in occasione di un trattamento di dati personali e che essa deriva dall’inadempimento dell’obbligo incombente al titolare del trattamento ai sensi dell’articolo 12, paragrafo 1, prima frase, e dell’articolo 13, paragrafo 1, lettere c) ed e), di detto regolamento, di comunicare all’interessato da tale trattamento di dati, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, le informazioni relative alla finalità di tale trattamento di dati nonché ai destinatari di tali dati, al più tardi al momento della raccolta di questi ultimi.