I testi pubblicati sono redatti nella loro lingua originale e non sono oggetto di alcuna traduzione

L’azione di gruppo “dati personali” è stata introdotta con la legge per la modernizzazione della giustizia del XXI secolo. È prevista all’articolo 37 della legge n. 78-17 del 6 gennaio 1978 relativa all’informatica, ai file e alle libertà (cfr. Ord. n. 2018-1125, 12 dicembre 2018, art. 1, entrata in vigore il 1° giugno 2019).​

​

​In origine, essa poteva perseguire solo la cessazione delle violazioni, ma successivamente la legge n. 2018-493 del 20 giugno 2018 relativa alla protezione dei dati personali ha esteso il suo ambito di applicazione consentendo di richiedere anche il risarcimento dei danni. Quando l’azione mira al risarcimento dei danni subiti, può essere promossa solo se il fatto generatore del danno è successivo all’entrata in vigore del GDPR, il 24 maggio 2018.

​

​L’azione di gruppo “dati personali” mira alla cessazione delle violazioni, mediante ingiunzioni di fare o non fare, delle disposizioni del regolamento (UE) 2016/679 del 27 aprile 2016 o della legge Informatique et libertés, e/o al risarcimento dei danni materiali e morali subiti da persone fisiche (poste in una situazione analoga). Ad esempio, l’azione di gruppo può perseguire la cessazione di violazioni del diritto all’informazione, all’opposizione, all’accesso, alla rettifica e alla comunicazione delle informazioni personali contenute nei file informatici, o del diritto di esercitare tali diritti per via elettronica, nonché il risarcimento dei danni derivanti. Lo stesso vale per l’accesso alle informazioni relative alle finalità del trattamento, alle categorie di dati personali trattati e ai destinatari o alle categorie di destinatari a cui i dati sono comunicati.

​

​Il gruppo può essere costituito da persone fisiche identificate o identificabili – o dai loro eredi.

​

La qualità per agire è riconosciuta a tre tipi di organizzazioni:

• associazioni dichiarate da almeno 5 anni aventi nel loro statuto la protezione della vita privata o dei dati personali;

• associazioni di consumatori rappresentative a livello nazionale e riconosciute, quando il trattamento dei dati personali riguarda i consumatori;

• organizzazioni sindacali di lavoratori o funzionari rappresentative ai sensi del Codice del lavoro.

​

L’azione di gruppo è rivolta al “titolare del trattamento” e/o al “responsabile del trattamento”, ai sensi del GDPR.

​

Il risarcimento avviene nell’ambito della procedura individuale di riparazione.

​

Ad oggi, sarebbero state promosse due azioni di gruppo:

• Internet Society France contro Facebook per mancato rispetto del Regolamento generale sulla protezione dei dati (GDPR);

• UFC-Que Choisir contro Google, sostenendo che il consenso degli utenti alla raccolta e al trattamento dei dati personali, in particolare per finalità pubblicitarie mirate, non è stato ottenuto in conformità al GDPR.