In casi eccezionali, i Garanti privacy europei possono rinunciare al meccanismo di applicazione “one stop shop” del GDPR. Ciò significa che, solo se si presentano determinate condizioni, un’autorità di controllo anche se non svolge il ruolo di autorità capofila in un procedimento per un presunto trattamento illecito di dati transfrontaliero, può portare in tribunale il responsabile di quel trattamento.
Lo ha sancito la Corte di giustizia dell’Unione europea, con una sentenza resa pubblica ieri, sottolineando come comunque l’autorità non leader autorizzata a portare avanti i casi debba comunque avere riguardo delle procedure di cooperazione e coerenza. La leva che ha portato alla decisione è una controversia tra il Garante privacy del Belgio e Facebook.
La sentenza rappresenta “un importante traguardo nell’interpretazione, e conseguente applicazione, del meccanismo del cosiddetto one stop shop, che poneva in capo alle autorità capofila il potere di intentare azioni nei confronti delle società aventi sede sul proprio territorio nazionale”, spiega l’avvocata esperta di data protection Marina Carbone.
LEGGI la sentenza della Corte di giustizia UE – PDF
L’antefatto: il Garante privacy belga contro Facebook
Infatti, l’11 settembre 2015, il presidente della Commissione belga per la privacy ha chiesto al tribunale un’ingiunzione contro Facebook Ireland, Facebook Inc. e Facebook Belgium, accusando le società di presunte violazioni delle leggi sulla data protection. Come spiegato in una comunicazione ufficiale della Corte di giustizia europea, “tali violazioni consistevano, tra l’altro, nella raccolta e nell’utilizzo di informazioni sul comportamento di navigazione degli utenti internet del Belgio, che fossero o meno titolari di un account Facebook, per mezzo di varie tecnologie, come i cookies, social plug-in o pixel”. Il tribunale si era successivamente espresso il 16 febbraio 2018, dichiarando la propria competenza sul caso e valutando che Facebook non avesse informato in modo adeguato gli utenti belgi della raccolta e dell’utilizzo dei dati. Il giudice inoltre ha rilevato come il consenso fornito dagli utenti non fosse valido.
In seguito, le società hanno presentato ricorso in Appello contro la sentenza. La Corte ha mostrato incertezza sull’effetto dell’applicazione del meccanismo dello “one stop shop” previsto dal GDPR sulla competenza del Garante belga e, in particolare, se, “rispetto ai fatti successivi alla data di entrata in vigore del GDPR, ossia 25 maggio 2018, l’autorità per la protezione dei dati possa intentare un’azione contro Facebook Belgium, poiché è Facebook Ireland a esser stata individuata come responsabile del trattamento dei dati in questione – prosegue il comunicato ufficiale della Corte di giustizia europea -. Da quella data, e in particolare secondo la regola dello “one-stop shop” prevista dal GDPR, solo il Data Protection Commissioner irlandese aveva la competenza per proporre un’azione inibitoria, con riserva di controllo da parte dei tribunali irlandesi”.
La decisione della Corte di giustizia europea
Nella sua sentenza, la Corte di Giustizia precisa che il GDPR autorizzi “a determinate condizioni, un’autorità di controllo di uno Stato membro ad esercitare il suo potere di portare qualsiasi presunta violazione del GDPR dinanzi a un giudice di tale Stato e di avviare un’azione legale in relazione a un caso di trattamento transfrontaliero di dati, anche se tale autorità non è quella di controllo principale in relazione a tale trattamento”, si legge nella comunicazione della Corte.
Il meccanismo del one-stop shop “era stato ampiamente criticato in quanto, secondo una prima interpretazione restrittiva, avrebbe consentito a società come Facebook, Google ed Apple, che svolgono trattamenti transfrontalieri di dati, di ‘poter scegliere come sede principale in Europa un Paese non molto grande, con un’Autorità Privacy non di grandi dimensioni, e poter beneficiare di un’attenzione particolare da parte del governo del Paese’,come affermato dall’ex presidente dell’Autorità Garante Italiana Antonello Soro – precisa Carbone -. In poche parole, un pericoloso meccanismo concorrenziale che avrebbe visto le autorità contendersi il ruolo di capofila, in violazione dello scopo dichiarato del principio dello sportello unico, ovvero garantire un’applicazione uniforme e armonica del GDPR, oltre che del generale principio di cooperazione e condivisione fra autorità”.
La Corte di Giustizia Europea ha preferito però “interpretare tale meccanismo in modo estensivo, affermando che in determinate situazioni (nel caso di specie, dinanzi ad un trattamento transfrontaliero di dati), anche alle Autorità nazionali possa essere data la facoltà di esercitare il proprio potere nei confronti di un titolare/responsabile, rendendosi sufficiente, a tal scopo, la sola presenza di uno stabilimento principale o di un altro stabilimento nel territorio dell’Unione – prosegue Carbone -. Sulla scorta di tale interpretazione, che va ad abbattere parzialmente i confini territoriali degli Stati Membri, sarà, dunque, possibile, per le singole Autorità nazionali, operare nel vero rispetto delle procedure di cooperazione previste dal GDPR, garantendo maggior tutela ai cittadini europei oltre che un’applicazione coerente e sistematica del Regolamento e dei suoi principi”.
Deroga al “one stop shop”: le condizioni
La Corte ha presentato le condizioni che determinano se un’autorità nazionale di controllo, anche se non leader relativamente a un’indagine di presunto trattamento illecito transfrontaliero, possa comunque portare in tribunale il caso. In primis, l’autorità di controllo deve avere la competenza ad adottare una decisione con cui si constata che il trattamento oggetto del caso viola le regole sulla data protection, conferita dal GDPR.
Cooperazione tra autorità
L’autorità deve esercitare la sua competenza rispettando i processi di cooperazione e coerenza, in compliance al GDPR. Ricordiamo infatti he il principio del one-stop shop è basato sulla ripartizione di competenze tra un’autorità capofila e le altre autorità di controllo interessate in uno specifico caso. Fondamentale la collaborazione tra queste autorità: il GDPR attribuisce alla capofila la competenza principale per adottare la decisione, tuttavia non può ignorare le opinioni delle altre autorità che hanno diritto di veto.
La compliance alla Carta dei diritti fondamentali dell’UE
Un’autorità non capofila può portare in tribunale un caso di presunta violazione al GDPR nell’ambito di trattamenti transfrontalieri solo “se tale esercizio è conforme alle norme sulla ripartizione delle competenze tra l’autorità di controllo principale e le altre autorità di controllo”, spiega la Corte di Giustizia UE, richiedendo anche la compatibilità “con gli articoli 7, 8 e 47 della Carta dei diritti fondamentali dell’UE, che garantiscono alle persone interessate il diritto alla protezione dei loro dati personali e il diritto a un ricorso effettivo”.
Il fattore territoriale
La Corte ha dichiarato anche che “in caso di trattamento transfrontaliero di dati, l’esercizio del potere di un’autorità di controllo di uno Stato membro, diversa dall’autorità di controllo capofila, di intentare un’azione giudiziaria non richiede che il titolare del trattamento o il responsabile del trattamento transfrontaliero di dati personali oggetto di tale azione disponga di uno stabilimento principale o di un altro stabilimento nel territorio di tale Stato membro. Tuttavia, l’esercizio di tale potere deve rientrare nell’ambito di applicazione territoriale del GDPR, il che presuppone che il titolare del trattamento o il responsabile del trattamento transfrontaliero disponga di uno stabilimento nel territorio dell’Unione”.
E sempre a proposito di territorialità, la Corte di giustizia UE specifica che “in caso di trattamento transfrontaliero di dati, il potere di un’autorità di controllo di uno Stato membro, diversa dall’autorità di controllo capofila, di intentare un’azione dinanzi ad un giudice di tale Stato e, se del caso, di agire in sede giudiziale in caso di presunta violazione del GDPR, può essere esercitato tanto nei confronti dello stabilimento principale del titolare del trattamento che si trovi nello Stato membro di appartenenza di tale autorità quanto nei confronti di un altro stabilimento di tale titolare, purché l’azione giudiziaria riguardi un trattamento di dati effettuato nell’ambito delle attività di detto stabilimento e l’autorità di cui trattasi sia competente ad esercitare siffatto potere”. Il presupposto ovviamente è che il GDPR sia applicabile.
Cosa succede se l’azione legale è stata intrapresa prima o dopo il GDPR
Se l’attività dell’autorità non capofila è stata avviata in una data precedente all’entrata in vigore del GDPR, l’azione legale può proseguire “sulla base delle disposizioni della Data protection direcvtive, che resta applicabile in relazione alle violazioni delle norme previste da tale direttiva commesse fino alla data di abrogazione del testo. Inoltre, tale azione può essere intentata da tale autorità per le violazioni commesse dopo la data di entrata in vigore del GDPR, purché tale azione sia proposta in una delle situazioni in cui, eccezionalmente, tale regolamento conferisce a tale autorità la competenza ad adottare una decisione che constata che il trattamento dei dati in questione è in violazione delle norme previste da tale regolamento e che le procedure di cooperazione e di procedure di cooperazione e di coerenza previste dal regolamento sono rispettate”, precisa la Corte.
Ambito di competenza e legislazioni nazionali
La Corte in conclusione ricorda che per il GDPR ogni Stato membro per legge deve prevedere che il proprio Garante privacy possa portare gli illeciti all’attenzione delle autorità giudiziarie, perciò è possibile intentare cause avvalendosi di tale disposizione anche se non è stata implementata in modo specifico nella legislazione dello Stato membro interessato.
