Con Sentenza della Corte di giustizia nella causa C-645/19 del 15 giugno 2021 Facebook Ireland e a, la CGE precisa i poteri delle autorità nazionali di controllo nell’ambito dell’RGPD.
In particolare, chiarisce che in presenza di determinate condizioni, un’autorità nazionale di controllo può esercitare il suo potere di intentare un’azione dinanzi ad un giudice di uno Stato membro in caso di presunta violazione dell’RGPD (Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016), pur non essendo l’autorità capofila per tale trattamento.
Il sunto della Sentenza è reperibile sul sito della CGE: di seguito i passaggi principali del ragionamento della Corte.
Nell'articolo
La causa C-645/19 del 15 giugno 2021 Facebook Ireland
L’11 settembre 2015, il presidente della Commissione belga per la tutela della vita privata (la «CPVP») ha intentato un’azione inibitoria nei confronti di Facebook Ireland, Facebook Inc. e Facebook Belgium dinanzi al Tribunale di primo grado di Bruxelles per porre fine a violazioni della normativa relativa alla protezione dei dati. In particolare, la raccolta e uso di informazioni sul comportamento di navigazione degli utenti di Internet belgi, detentori o meno di un account Facebook, mediante varie tecnologie, quali i cookie, i social plugin o i pixel.
Il ricorso contro la sentenza
- Il 16 febbraio 2018, il tribunale ha dichiarato che il social network Facebook non aveva sufficientemente informato gli utenti di Internet belgi della raccolta e dell’uso delle informazioni di cui trattasi. Il consenso prestato dagli utenti di Internet alla raccolta e al trattamento di dette informazioni è stato ritenuto non valido.
- Il 2 marzo 2018, Facebook Ireland, Facebook Inc. e Facebook Belgium hanno fatto ricorso contro la sentenza dinanzi alla Corte d’appello di Bruxelles, Belgio che ha fatto valere la sua competenza solo sull’appello di Facebook Belgium. Nel frattempo al posto del CVCP è subentrata t’Autorità belga per la protezione dei dati.
Il ricorso e il dubbio sull’applicazione dello “sportello unico”
Il giudice del rinvio
- ha nutrito dubbi in sull’applicazione del meccanismo dello «sportello unico» previsto dall’RGPD sulle competenze dell’APD
- e si è chiesto se, per i fatti successivi all’entrata in vigore dell’RGPD, ossia il 25 maggio 2018, l’APD possa agire nei confronti di Facebook Belgium (è infatti Facebook Ireland ad essere stata individuata come titolare del trattamento dei dati interessati).
Dal 25 maggio 2018, infatti, in applicazione del principio dello «sportello unico» previsto dall’RGPD, solo il Commissario irlandese per la protezione dei dati sarebbe competente ad intentare un’azione inibitoria, sotto il controllo dei giudici irlandesi.
Il giudizio della CGE causa C-645/19 del 15 giugno 2021
La Corte di Giustizia precisa le condizioni in presenza delle quali un’autorità nazionale di controllo, priva della qualità di autorità capofila con riguardo a un trattamento transfrontaliero, deve esercitare il proprio potere di
- intentare un’azione dinanzi ad un giudice di uno Stato membro
- o e, se del caso, di agire in sede giudiziale in caso di presunta violazione dell’RGPD.
Competenze per le violazioni del Regolamento
- Il RGPD deve conferire a tale autorità di controllo la competenza ad adottare una decisione che accerti che tale trattamento viola le norme previste dal regolamento;tale potere deve essere esercitato nel rispetto delle procedure di cooperazione e di coerenza previste da tale regolamento.
Il meccanismo dello Sportello unico
- per i trattamenti transfrontalieri, l’RGPD prevede il meccanismo dello «sportello unico» basato su una ripartizione delle competenze tra un’«autorità di controllo capofila» e le altre autorità nazionali di controllo interessate, ma nell’esercizio delle sue competenze, l’autorità di controllo capofila non può sottrarsi a un dialogo indispensabile nonché a una cooperazione leale ed efficace con le altre autorità di controllo interessate.
- Pertanto, l’autorità di controllo capofila non può ignorare le opinioni delle altre autorità di controllo interessate e qualsiasi obiezione pertinente e motivata formulata da una di queste ultime autorità può bloccare, almeno temporaneamente, l’adozione del progetto di decisione dell’autorità di controllo capofila.
- Inoltre, la circostanza che un’autorità di controllo di uno Stato membro, che non sia l’autorità di controllo capofila con riguardo ad un trattamento transfrontaliero di dati, possa esercitare il potere di intentare un’azione dinanzi ad un giudice di tale Stato e di agire in sede giudiziale in caso di presunta violazione dell’RGPD è conforme agli articoli 7, 8 e 47 della Carta dei diritti fondamentali dell’Unione europea.
Azione giudiziaria di autorità di controllo diversa da capofila: limiti e possibilità
In caso di trattamento transfrontaliero di dati, l’esercizio del potere di un’autorità di controllo di uno Stato membro, diversa dall’autorità di controllo capofila, di intentare un’azione giudiziaria:
- non richiede che il titolare del trattamento o il responsabile del trattamento transfrontaliero di dati personali oggetto di tale azione disponga di uno stabilimento principale o di un altro stabilimento nel territorio di tale Stato membro.
- deve rientrare nell’ambito di applicazione territoriale dell’RGPD, (quindi il titolare del trattamento o il responsabile del trattamento transfrontaliero deve disporre di uno stabilimento nel territorio dell’Unione).
- può essere esercitato
- tanto nei confronti dello stabilimento principale del titolare del trattamento che si trovi nello Stato membro di appartenenza di tale autorità;
- quanto nei confronti di un altro stabilimento di tale titolare, (purché l’azione giudiziaria riguardi un trattamento di dati effettuato nell’ambito delle attività di detto stabilimento e l’autorità di cui trattasi sia competente ad esercitare siffatto potere).
- presuppone che l’RGPD sia applicabile.
- [Nel caso di specie, poiché le attività dello stabilimento del gruppo Facebook situato in Belgio sono inscindibilmente connesse al trattamento dei dati personali in esame nel procedimento principale, per il quale il titolare del trattamento è Facebook Ireland per quanto riguarda il territorio dell’Unione, tale trattamento è effettuato «nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento», e, pertanto, rientra effettivamente nell’ambito di applicazione dell’RGPD].
In caso di azioni giudiziali intentate prima dell’entrata in vigore del GDPR
Qualora un’autorità di controllo di uno Stato membro che non sia l’«autorità di controllo capofila» abbia intentato, prima della data di entrata in vigore dell’RGPD, l’azione giudiziaria relativa ad un trattamento transfrontaliero di dati personali:
- può essere mantenuta, in forza del diritto dell’Unione, sulla base delle disposizioni della direttiva sulla protezione dei dati, (applicabile per quanto riguarda le violazioni delle norme in essa contenute fino alla data in cui tale direttiva è stata abrogata);
- può essere intentata per violazioni commesse dopo la data di entrata in vigore dell’RGPD, (purché in una delle situazioni in cui, a titolo di eccezione, tale regolamento conferisce alla stessa autorità la competenza ad adottare una decisione che accerti che il trattamento di dati in questione viola le norme contenute nel regolamento, e nel rispetto delle procedure di cooperazione ).
Poteri delle autorità di controllo
La CGE riconosce (ai sensi del Regolamento che:
- ciascuno Stato membro può disporre, per legge, che la sua autorità di controllo abbia il potere di intentare un’azione e, se del caso, di agire in sede giudiziale in caso di violazione del RGDP.
- L’autorità può invocare tale disposizione per intentare o proseguire un’azione nei confronti di privati, anche qualora essa non sia stata specificamente attuata nella normativa dello Stato membro interessato.
Giornalista e Formatore certificato in Sicurezza sul lavoro
a.mazzuca@insic.it
M. 3351739668