Durante lo svolgimento della sua 41esima sessione plenaria, l’European Data Protection Board ha adottato la prima decisione nell’ambito del meccanismo di composizione delle controversie implementato dall’articolo 65 del GDPR. Il caso coinvolge l’Autorità garante Irlandese e il gigante dei social network Twitter
Durante la 41esima sessione plenaria, l’European Data Protection Board (di seguito “EDPB” o “comitato”), nell’ambito delle attività di cooperazione e coerenza, previste dal Capo VII del Regolamento europeo 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (di seguito “Regolamento”), ha adottato la sua prima composizione delle controversie ai sensi dell’art. 65 del Regolamento. Tale decisione è stata adottata da due terzi dei suoi componenti e riguarda un caso che coinvolge l’Autorità di Controllo Irlandese.
L’applicazione della normativa sulla composizione delle controversie.
L’articolo 65 GDPR riguarda la composizione delle controversie da parte dell’EDPB, nell’ambito dello svolgimento delle attività collegate al cosiddetto “cross-border data processing cases”, ossia casi in cui il trattamento di dati personali effettuato da un determinato soggetto giuridico, in qualità di titolare o di responsabile del trattamento, coinvolga interessati localizzati in più di un paese membro. Si potrebbe definire, quindi, un trattamento di dati transfrontaliero all’interno dello Spazio economico europeo.
In questi casi, il Regolamento, ai sensi degli articoli 60, 61 e 62, riconosce il diritto alle Autorità di controllo di ogni Stato membro interessato di partecipare alle operazioni congiunte o di chiedere alle altre autorità di controllo di fornire assistenza reciproca.
Infatti, il GDPR stabilisce un obbligo di cooperazione tra le autorità di controllo europee, come modalità adottata al fine di garantire un’applicazione omogenea del Regolamento, nonché lo stesso livello di protezione dei dati personali dentro tutto il territorio europeo.
Rispetto a tale obbligo, qualora si verifichi un trattamento di dati personali che ricorra nei presupposti territoriali sopra indicati e che venga sottoposto all’attenzione dell’Autorità di controllo capofila, quest’ultima dovrà condividere informazioni utili sulla questioni e coordinarsi con le Altre autorità interessate al trattamento.
L’Autorità avrà l’onere di svolgere il processo di cooperazione e funzionerà come punto di contatto tra il titolare/responsabile del trattamento e le altre Autorità coinvolte.
Queste ultime, invece, opereranno come punto di contatto tra l’Autorità Capofila e i soggetti interessati localizzati nel territorio di ciascuno Stato membro.
L’Autorità Capofila, a conclusione delle indagini, dovrà, inoltre, trasmettere alle altre autorità di controllo interessate un progetto di decisione per ottenere il loro parere e dovrà tenere conto delle loro opinioni. Alle Autorità di controllo interessate sarà concesso anche la possibilità di sollevare, nei termini dell’articolo 60, «obiezioni pertinenti» al progetto di decisione. Qualora l’Autorità Capofila non accetti le obiezioni presentate da una o più autorità interessate, il comitato assume la funzione di organo destinato alla composizione delle controversia, svolgendo una funzione di “decisore ultimo”, al fine di assicurare un’applicazione coerente e corretta del Regolamento in casi determinati.
Le ipotesi in cui l’European Data Protection Board potrà svolgere la funzione di “decisore ultimo” sono quelle elencate al paragrafo 1 dell’articolo 65:
a) se un’Autorità di controllo interessata ha sollevato un’obiezione pertinente e motivata a un progetto di decisione dell’Autorità di controllo capofila e quest’ultima non abbia dato seguito all’obiezione o abbia rigettato tale obiezione in quanto non pertinente o non motivata. La decisione vincolante riguarda tutte le questioni oggetto dell’obiezione pertinente e motivata, in particolare se sussista una violazione del Regolamento;
b) se vi sono opinioni contrastanti in merito alla competenza delle Autorità di controllo interessate per lo stabilimento principale;
c) se un’Autorità di controllo competente non richiede il parere del comitato nei casi di cui all’articolo 64, paragrafo 1, o non si conforma al parere del comitato, emesso a norma dell’articolo 64. In tal caso qualsiasi autorità di controllo interessata o la Commissione può comunicare la questione al comitato.
La decisione emanata dall’EDPB sarà giuridicamente vincolante per tutte le autorità coinvolte e il provvedimento finale, poi adottato dall’Autorità Capofila, dovrà basarsi sulla citata decisione.
Il caso.
La controversia è nata in seguito alla presentazione del progetto di decisione dell’Autorità di controllo irlandese, in qualità di Autorità Capofila, in relazione a un caso concernente Twitter.
Le indagini sono iniziate a novembre 2018, dopo che l’Autorità irlandese ha ricevuto da Twitter diverse notifiche di data breach. Twitter, nel gennaio 2019, ha notificato, ancora una volta un data breach alla stessa autorità, la quale ha aperto un’ulteriore indagine per verificare il livello di compliance dell’azienda all’articolo 33 del Regolamento.
Nel maggio 2020 l’Autorità irlandese, seguendo il procedimento previsto all’articolo 60, par. 3 del Regolamento, ha condiviso con le Autorità interessate il suo progetto di decisione.
Queste ultime hanno presentato diverse obiezioni motivate al progetto di decisione presentato dall’Autorità Capofila, in particolare in merito agli articoli del Regolamento considerati violati da Twitter, il ruolo di titolare del trattamento di dati personali assunto dalla stessa e la quantificazione della sanzione proposta dall’Autorità irlandese per il caso.
L’Autorità Capofila ha rigettato le obiezioni – considerando che le stesse non erano “pertinenti o motivate” – sottoponendo il tema al comitato, il quale ha iniziato, nel settembre 2020, la procedura di composizione della controversia prevista dall’articolo 65 del Regolamento.
La decisione vincolante nel merito è stata adottata il 9 novembre 2020, il quale ha informato che formalmente e senza ritardo notificherà la propria posizione sul caso all’Autorità Capofila.
Il provvedimento finale che sarà adottato dall’Autorità irlandese nei confronti di Twitter sarà redatto tenendo in conto delle indicazioni fornite dall’EDPB nella decisione vincolante.
Il comitato ancora non ha pubblicato la decisione vincolante che notificherà all’Autorità irlandese sul proprio sito e ha dato atto che lo farà soltanto dopo che all’azienda Twitter sia stato correttamente notificato il provvedimento adottato nei suoi confronti. Dopo tale notifica, l’Autorità Capofila, insieme alle altre autorità di controllo interessate, dovranno, quindi, notificare l’EDPB sullo status della vicenda.
Soltanto dopo aver preso atto che siano state osservate tutte le fasi previste per la procedura il comitato divulgherà la decisione ex articolo 65.
