Limiti al one-stop-shop: a certe condizioni, un garante privacy può portare presunte violazioni del GDPR dinanzi a un giudice del suo Stato
Il GDPR autorizza “a determinate condizioni, un’autorità di controllo di uno Stato membro ad esercitare il suo potere di portare qualsiasi presunta violazione del GDPR dinanzi a un giudice di tale Stato e di avviare un’azione legale in relazione a un caso di trattamento transfrontaliero di dati, anche se tale autorità non è quella di controllo principale in relazione a tale trattamento”. Questo è quanto affermato nella recente sentenza C-645/19 dalla Corte di Giustizia (CGUE) relativamente a un caso riguardante Facebook e l’autorità di controllo belga.
La decisione della CGUE muove i passi da una controversia sorta in seno al Tribunale di primo grado di Bruxelles nel 2015 tra l’autorità di controllo belga, Facebook Ireland, Facebook Inc. e Facebook Belgium, avente ad oggetto delle presunte violazioni del GDPR ad opera del colosso high-tech statunitense. Il 16 febbraio 2018, detto tribunale si è dichiarato competente a pronunciarsi su tale azione e, nel merito, ha dichiarato che il social network non aveva sufficientemente informato gli utenti di Internet belgi della raccolta e dell’uso delle informazioni di cui trattasi.
In seguito alla sentenza, Facebook ha presentato ricorso in Appello, sfociato nel rinvio pregiudiziale alla CGUE. Il giudice del rinvio ha nutrito dubbi in merito all’incidenza del meccanismo del one-stop-shop previsto dal GDPR sulle competenze dell’autorità di controllo belga e si è posto, più in particolare, la questione se, per i fatti successivi all’entrata in vigore del GDPR (i.e., 25 maggio 2018) l’autorità potesse agire nei confronti di Facebook Belgium, dal momento che è Facebook Ireland (avente stabilimento principale in Irlanda) ad essere stata individuata come titolare del trattamento dei dati interessati. Infatti, a partire da tale data e segnatamente in applicazione del principio del One-Stop-Shop, solo l’autorità di controllo irlandese sarebbe stata competente ad intentare tale azione. Per i trattamenti transfrontalieri, il GDPR prevede il meccanismo del One-stop-shop, basato su una ripartizione delle competenze tra le autorità capofila, legittimate ad intentare azioni legali in casi di presunte violazioni del GDPR, e le altre autorità nazionali di controllo interessate. Il GDPR stabilisce, a tal riguardo, la competenza di principio dell’autorità di controllo capofila ad adottare una decisione che accerti che un trattamento transfrontaliero viola le norme contenute in detto regolamento, mentre la competenza delle altre autorità nazionali di controllo ad adottare una siffatta decisione, anche in via provvisoria, costituisce l’eccezione.
Tuttavia, nell’esercizio delle proprie competenze, la leading authority non può sottrarsi a un dialogo indispensabile nonché a una cooperazione leale ed efficace con le altre autorità di controllo interessate. Di conseguenza, sottolinea la CGUE, nell’ambito di detta cooperazione, l’autorità di controllo capofila non può ignorare le opinioni delle altre autorità di controllo interessate e qualsiasi obiezione pertinente e motivata formulata da una di queste ultime autorità ha l’effetto di bloccare, almeno temporaneamente, l’adozione del progetto di decisione dell’autorità di controllo capofila. Nella sua decisione, la CGUE dichiara che, in caso di trattamento transfrontaliero di dati, l’esercizio del potere di un’autorità di controllo di uno Stato membro, diversa dall’autorità di controllo capofila, di intentare un’azione giudiziaria non richiede che il titolare del trattamento o il responsabile del trattamento transfrontaliero di dati personali oggetto di tale azione disponga di uno stabilimento principale o di un altro stabilimento nel territorio di tale Stato membro, purché l’esercizio del potere rientri nei margini di applicazione del GDPR. In tal senso, è presupposto che il titolare del trattamento o il responsabile del trattamento transfrontaliero disponga di uno stabilimento nel territorio dell’Unione.
Tale potere di contestazione, inoltre, può essere esercitato tanto nei confronti dello stabilimento principale del titolare del trattamento che si trovi nello Stato membro di appartenenza di tale autorità quanto nei confronti di un altro stabilimento di tale titolare, purché l’azione giudiziaria riguardi un trattamento di dati effettuato nell’ambito delle attività di detto stabilimento e l’autorità di cui trattasi sia competente ad esercitare siffatto potere.
Nel caso di specie, poiché le attività dello stabilimento del gruppo Facebook situato in Belgio sono inscindibilmente connesse al trattamento dei dati personali in esame nel procedimento principale, per il quale il titolare del trattamento è Facebook Ireland, tale trattamento è effettuato “nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento”, rientrando nei margini di applicazione del GDPR.
Tale azione può, in aggiunta, essere mantenuta in forza del diritto dell’Unione, sulla base delle disposizioni della Direttiva sulla protezione dei dati a quale rimane applicabile per quanto riguarda le violazioni delle norme in essa contenute fino alla data in cui tale direttiva è stata abrogata.
La nuova linea interpretativa adottata dalla CGUE potrà sortire un effetto corrosivo sul sistema di ripartizione della competenza territoriale tra autorità privacy europee basato sul principio del One-stop-shop. D’altro canto, la chiave fornita dal giudice europeo è chiaramente preordinata a garantire un’applicazione più omogenea e coerente del GDPR e dei suoi principi, incoraggiando una maggiore cooperazione tra autorità di controllo.
Su un simile argomento potrebbe essere interessante l’articolo “Il rapporto della Commissione europea sui primi due anni del GDPR mette in luce le lacune del sistema e i possibili margini di miglioramento”.