In sintesi
- L'art. 80 GDPR riconosce la rappresentanza degli interessati tramite associazioni.
- Mandato dell'interessato a organismo senza scopo di lucro (par. 1).
- Esercita diritti ex artt. 77, 78, 79 e riceve risarcimento ex art. 82.
- SM possono prevedere rappresentanza senza mandato (par. 2).
- Materie: tutto il portafoglio di rimedi GDPR.
- Class action e tutela collettiva: NOYB esempio paradigmatico.
Testo dell'articoloVigente
Articolo 80 del Regolamento (UE) 2016/679 (GDPR) — Rappresentanza degli interessati.
Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Commento
La rappresentanza come strumento collettivo
L'art. 80 GDPR riconosce all'interessato il diritto di dare mandato a un organismo, un'organizzazione o un'associazione senza scopo di lucro, costituita in modo conforme al diritto SM e attiva nel settore della protezione dei dati e dei diritti e delle libertà degli interessati per esercitare per suo conto i diritti agli artt. 77, 78, 79 e ricevere il risarcimento ai sensi dell'art. 82, ove previsto dal diritto SM. È leva di tutela collettiva: le associazioni dei consumatori possono difendere singoli e gruppi.
Mandato dell'interessato (par. 1)
Il par. 1 fissa il mandato: l'interessato autorizza espressamente l'organismo. Il mandato è scritto e specifica il perimetro (diritti esercitati, durata, eventuali limitazioni). Le associazioni più rappresentative (Altroconsumo, Unione Consumatori, ANEC, ecc.) sviluppano modelli standardizzati. Il modello è funzionale alla tutela individuale tramite competenze specialistiche.
Organismi e enti senza scopo di lucro
Gli organismi rappresentativi sono associazioni senza scopo di lucro attive nel settore della protezione dei dati. Devono essere costituite in conformità al diritto SM e avere obiettivi statutari di protezione dei dati. Le associazioni dei consumatori, le ONG sulla privacy, le associazioni per i diritti digitali sono soggetti tipici. NOYB (None Of Your Business), fondata da Schrems, è esempio paradigmatico a livello europeo.
Class action e rappresentanza facoltativa SM (par. 2)
Il par. 2 prevede la facoltà di SM di consentire azioni di rappresentanza anche senza mandato dell'interessato (cd. rappresentanza facoltativa, idiosyncratic representation). In tal caso, l'associazione agisce nell'interesse oggettivo di tutela dei dati. Pochi SM hanno esercitato la facoltà; la Direttiva 2020/1828 sui rimedi collettivi armonizza la disciplina. In Italia, D.Lgs. 28/2023.
Materie e diritti azionabili
Le materie e i diritti azionabili includono: reclami (art. 77), ricorsi contro Autorità (art. 78), ricorsi contro titolare/responsabile (art. 79), risarcimento (art. 82). Praticamente tutto il portafoglio di rimedi GDPR. La rappresentanza copre quindi sia tutela amministrativa sia tutela giurisdizionale. La giurisprudenza CGUE ha consolidato la legittimazione.
Impatto sulla tutela collettiva
L'impatto sulla tutela collettiva è significativo. Le grandi cause GDPR sono spesso class action: data breach massivi, profilazione di milioni di utenti, trasferimenti illegali. NOYB ha attivato cause contro Big Tech ottenendo decisioni rilevanti. In Italia, associazioni di consumatori hanno proposto azioni collettive su cookies, pubblicità ingannevole, abusi su minori. Il rafforzamento del rimedio collettivo è priorità europea.
Regola pratica e checklist operativa
Compliance art. 80: per titolari: monitoring di azioni di rappresentanza, preparazione per class action, assicurazioni, processi proattivi di gestione dei diritti. Per interessati: considerare associazioni per cause complesse o di massa.
Accountability e documentazione
Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.
Coordinamento con il Codice Privacy italiano
L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.
Casi pratici
Caso 1: Tizio: associazione consumatori
Tizio autorizza Altroconsumo a esercitare i suoi diritti contro grande piattaforma. Art. 80, par. 1: mandato espresso. Rappresentanza tutelativa.
Caso 2: Caio: NOYB e class action
Caio aderisce a class action NOYB contro Meta. Migliaia di partecipanti. Art. 80 + Direttiva 2020/1828. Tutela collettiva di massa.
Caso 3: Sempronio: rappresentanza senza mandato
Sempronio, associazione, propone azione di rappresentanza in SM che ha esercitato facoltà del par. 2. Senza mandato individuale, ma nell'interesse oggettivo.
Caso 4: Commento applicativo
L'art. 80 è leva di tutela collettiva. Class action multiplicano l'effetto delle sanzioni e producono cambiamento sistemico. Per titolari, rischio crescente.
Domande frequenti
Cosa è la rappresentanza ex art. 80?
Diritto dell'interessato di dare mandato a organismo senza scopo di lucro per esercitare i diritti del GDPR (artt. 77-79) e ricevere risarcimento (art. 82).
Quali organismi possono rappresentare?
Associazioni senza scopo di lucro attive nel settore della protezione dei dati, costituite secondo il diritto SM. Associazioni consumatori, ONG privacy, associazioni diritti digitali.
Serve mandato?
Sì, di norma (par. 1). Alcuni SM hanno previsto rappresentanza senza mandato (par. 2). La Direttiva 2020/1828 armonizza.
Quali diritti possono esercitare?
Reclami (art. 77), ricorsi contro Autorità (art. 78), ricorsi contro titolare (art. 79), risarcimento (art. 82). Tutto il portafoglio.
Esempi di rappresentanza?
NOYB di Schrems, ONG europea che ha attivato cause rilevanti. In Italia, associazioni consumatori (Altroconsumo, Codacons) e ONG privacy.
Vedi anche