Lo scorso 15 giugno, con la sentenza nella causa C-645/19, la Corte di Giustizia dell’Unione europea  si è pronunciata in merito alle condizioni di esercizio dei poteri delle autorità nazionali di controllo per il trattamento transfrontaliero dei dati personali.
Nello specifico, la CGUE ha stabilito che, al ricorrere di determinate condizioni, un’autorità nazionale di controllo – pur non essendo l’autorità capofila – può intentare un’azione dinnanzi ad un giudice di uno Stato membro per la violazione del Regolamento UE 679/2016.

Di Ariella Fonsi

La vicenda oggetto della pronuncia della CGUE

L’11 settembre 2015, il presidente della Commissione belga per la privacy aveva intentato un’azione inibitoria nei confronti di Facebook Ireland, Facebook Inc. e Facebook Belgio dinanzi al Tribunale di primo grado di Bruxelles, volta a porre fine a un’asserita violazione grave e su larga scala del Regolamento.

Nello specifico, veniva contestata alle Società la raccolta di informazioni sul comportamento di navigazione sia dei titolari di un account Facebook sia di soggetti non utenti, tramite tecnologie quali cookie e social plugin che consentono di ottenere diversi dati (tra cui l’indirizzo IP del visitatore della pagina, nonché la data e l’ora della consultazione della stessa).

A seguito dell’accoglimento della domanda del presidente della Commissione, il 2 marzo 2018 le Società hanno proposto appello dinnanzi alla Corte di appello di Bruxelles e, in detto giudizio, l’Autorità belga per la protezione dei dati ha agito in qualità di successore legale della Commissione.

In tale contesto, la Corte di appello si è chiesta se, per i fatti successivi al 25 maggio 2018, l’Autorità belga possa agire nei confronti della branch belga di Facebook alla luce del meccanismo cosiddetto dello “sportello unico” previsto ora dal GDPR e sulla base del quale l’azione dovrebbe essere intentata dal Commissario per la protezione dei dati irlandese nei confronti di Facebook Ireland – luogo in cui vi è la sede legale di Facebook – essendo quest’ultima il titolare dei dati personali degli utenti/cittadini UE.

Alla luce di quanto premesso, la Corte di appello di Bruxelles ha sospeso il procedimento, sollevando al contempo le seguenti questioni pregiudiziali:

  1. se un’autorità di controllo, che abbia il potere di agire in sede giudiziale dinanzi a un giudice del suo Stato membro, non può esercitare tale potere con riguardo a un trattamento transfrontaliero se essa non è l’autorità di controllo capofila per il trattamento transfrontaliero di cui trattasi;
  2. se assuma rilevanza la circostanza che il titolare di detto trattamento transfrontaliero non abbia in tale Stato membro lo stabilimento principale;
  3. se assuma rilevanza la circostanza che l’autorità nazionale di controllo intenti l’azione nei confronti dello stabilimento principale del titolare del trattamento o nei confronti dello stabilimento nel proprio Stato membro;
  4. se assuma rilevanza la circostanza che l’autorità nazionale di controllo abbia già intentato l’azione prima della data di entrata in vigore del GDPR;
  5. in caso di risposta affermativa alla prima questione, se l’articolo 58, paragrafo 5, GDPR[1] abbia effetto diretto, cosicché un’autorità nazionale di controllo può invocare detto articolo per intentare o proseguire un’azione nei confronti di privati;
  6. se l’esito di siffatti procedimenti possa ostare ad una conclusione opposta dell’autorità di controllo capofila nel caso in cui tale autorità capofila esamini le medesime attività di trattamento transfrontaliero o attività analoghe.

La prima questione sottoposta alla CGUE

Con riferimento alla prima questione, la Corte ha preliminarmente rilevato che l’articolo 56, paragrafo 1, GDPR prevede per i trattamenti transfrontalieri il citato meccanismo dello sportello unico, basato su una ripartizione delle competenze tra un’autorità di controllo capofila e le altre autorità di controllo interessate.

In particolare, in forza di siffatto meccanismo, l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare del trattamento è competente ad agire in qualità di autorità di controllo capofila per quanto attiene al trattamento transfrontaliero effettuato da detto titolare del trattamento secondo la procedura di cui all’articolo 60, Regolamento e richiede, in ogni caso, una leale ed efficace cooperazione tra l’autorità di controllo capofila e le altre autorità di controllo interessate.

In tale contesto, l’autorità di controllo capofila non può ignorare le opinioni delle altre autorità di controllo interessate, compresa qualsiasi obiezione pertinente e motivata formulata da una di queste e, qualora non segua tali obiezioni o ritenga che le stesse non siano pertinenti o motivate, sottopone la questione al meccanismo di coerenza di cui all’articolo 63, GDPR al fine di ottenere dall’European Data Protection Board una decisione vincolante ai sensi dell’articolo 65, paragrafo 1, lettera a), GDPR[2].

In ogni caso, il Regolamento prevede eccezioni al principio della competenza dell’autorità di controllo capofila nell’ambito del meccanismo dello sportello unico, tra cui:

  1. se l’oggetto riguarda unicamente uno stabilimento nello Stato membro dell’autorità di controllo o incide in modo sostanziale sugli interessati unicamente in tale Stato membro (l’articolo 56, paragrafo 2, GDPR);
  2. la procedura d’urgenza di cui all’articolo 66, GDPR che consente, in circostanze eccezionali e qualora l’autorità di controllo interessata ritenga di intervenire per proteggere i diritti e le libertà degli interessati, di adottare immediatamente misure provvisorie intese a produrre effetti giuridici nel proprio territorio.

In definitiva, la Corte ha statuito che un’autorità di controllo di uno Stato membro che non sia l’autorità capofila ha il potere di intentare un’azione dinanzi a un giudice di tale Stato membro e, se del caso, di agire in sede giudiziale, purché ciò avvenga in una delle situazioni in cui il Regolamento conferisce a tale autorità di controllo la competenza ad adottare una decisione che accerti che il trattamento in questione viola le norme del GDPR e nel rispetto delle procedure di cooperazione e di coerenza previste dallo stesso.

Le ulteriori questioni poste al vaglio della Corte

Con riferimento alla seconda questione, la Corte ha dichiarato che l’articolo 58, paragrafo 5, GDPR deve essere interpretato nel senso che l’esercizio del potere di un’autorità di controllo – diversa dall’autorità di controllo capofila – di intentare un’azione giudiziaria non esige che il titolare del trattamento transfrontaliero di dati personali, nei cui confronti tale azione viene rivolta, disponga di uno stabilimento principale o di un altro stabilimento nel territorio di detto Stato membro: ciò che è necessario è che tale potere rientri nell’ambito di applicazione territoriale del GDPR ai sensi dell’articolo 3, paragrafo 1 dello stesso e che, pertanto, il titolare disponga di uno stabilimento nell’UE.

Quanto alla terza questione, la CGUE ha chiarito che, ai sensi dell’articolo 58, paragrafo 5, GDPR, l’autorità di controllo diversa da quella capofila può agire in sede giudiziale sia nei confronti dello stabilimento principale del titolare del trattamento sia contro lo stabilimento che si trova nel proprio Stato membro, purché il Regolamento trovi applicazione.

Nel caso oggetto di attenzione della Corte, il trattamento deve essere considerato effettuato nell’ambito di applicazione del GDPR, in quanto le attività di Facebook Belgio sono inscindibilmente connesse al trattamento dei dati personali oggetto del procedimento principale, per il quale il titolare del trattamento in UE è Facebook Ireland[3].

Inoltre, con riferimento alla quarta e quinta questione sottoposte al vaglio della Corte, quest’ultima ha statuito, rispettivamente, che:

  • qualora un’autorità di controllo di uno Stato membro, che non sia l’autorità di controllo capofila, abbia intentato un’azione giudiziaria riguardante un trattamento transfrontaliero di dati personali prima del 25 maggio 2018, detta azione può essere mantenuta in base alle disposizioni della Direttiva 95/46/CE;
  • l’articolo 58, paragrafo 5, GDPR ha effetto diretto, cosicché un’autorità di controllo nazionale può invocarlo per intentare o proseguire un’azione anche qualora detta disposizione non sia stata specificamente attuata nella normativa dello Stato membro interessato.

Infine, occorre dar conto, per quanto attiene alla sesta e ultima questione, che la Corte ha dichiarato la stessa irricevibile poiché non avrebbe ha alcuna relazione con l’oggetto della causa principale e riguarderebbe un problema ipotetico, posto non vi è un’autorità di controllo capofila che indaghi sulle stesse attività di trattamento e che intenda adottare una decisione in senso contrario.

 

[1] L’articolo 58, paragrafo 5, GDPR prevede nello specifico che “ogni Stato membro dispone per legge che la sua autorità di controllo abbia il potere di intentare un’azione o di agire in sede giudiziale o, ove del caso, stragiudiziale in caso di violazione del presente regolamento per far rispettare le disposizioni dello stesso”.

[2] In particolare, l’articolo 65, paragrafo 1, lett. a) prevede che “al fine di assicurare l’applicazione corretta e coerente del presente regolamento nei singoli casi, il comitato adotta una decisione vincolante nei seguenti casi: a) se, in un caso di cui all’articolo 60, paragrafo 4, un’autorità di controllo interessata ha sollevato un’obiezione pertinente e motivata a un progetto di decisione dell’autorità di controllo capofila e l’autorità capofila di controllo non abbia dato seguito all’obiezione o abbia rigettato tale obiezione in quanto non pertinente o non motivata. La decisione vincolante riguarda tutte le questioni oggetto dell’obiezione pertinente e motivata, in particolare se sussista una violazione del presente regolamento”.

[3] Nello specifico, Facebook Ireland è l’unica responsabile della raccolta e del trattamento dei dati personali per tutto il territorio dell’UE e Facebook Belgium risulta, in via principale, competente a intrattenere relazioni con le istituzioni dell’Unione e, in via accessoria, a promuovere le attività pubblicitarie e di marketing per gli utenti residenti in Belgio.

Immagine di Christian Lue su Unsplash 

Author Ariella Fonsi

More posts by Ariella Fonsi