Trattamento transfrontaliero di dati personali

Trattamento transfrontaliero

Trattamento transfrontaliero di dati personali.

la competenza delle  autorità di controllo
di Federica De Stefani, avvocato e responsabile Aidr Regione Lombardia

Quale autorità di controllo risulta competente in caso di trattamento  transfrontaliero di dati personali? Esiste una competenza esclusiva in  capo all’autorità capofila?
La risposta a tali quesiti viene data dalla CGUE che interviene su una  questione che vede contrapposti il Garante belga e Facebook.

Con la Sentenza nella causa C-645/19 la Corte stabilisce che in  presenza di determinate condizioni, un’autorità nazionale di  controllo, pur non essendo l’autorità capofila per tale trattamento,  può esercitare il proprio potere di intentare un’azione dinanzi a un  giudice di uno Stato membro, in caso di presunta violazione del  Regolamento.

advertisement

Il caso
La vicenda prende le mosse dall’azione inibitoria intentata nel 2015  dal presidente della Commissione belga per la tutela della vita  privata nei confronti delle società Facebook Ireland, Facebook Inc. e  Facebook Belgium innanzi al Tribunale di primo grado di Bruxelles, per  violazione della normativa sulla protezione dei dati. Nello specifico  le violazioni lamentate riguardavano la raccolta e l’utilizzo di  informazioni sul comportamento di navigazione degli utenti di Internet  belgi, detentori o meno di un account Facebook, mediante varie  tecnologie, quali i cookie, i social plugin o i pixel.

Nel 2018 il Tribunale belga ha dichiarato la propria competenza  statuendo, nel merito, che Facebook non aveva sufficientemente  informato gli utenti di Internet belgi della raccolta e dell’uso delle  informazioni e che il consenso prestato dagli utenti non poteva essere  ritenuto valido.

Facebook Ireland, Facebook Inc. e Facebook Belgium, come era  prevedibile, hanno proposto appello contro tale decisione, ma la Corte  d’Appello ha dichiarato la propria competenza unicamente a decidere  l’appello presentato da Facebook Belgium.

Il punto
La questione riguarda la competenza di un’autorità di controllo,  diversa dall’autorità capofila, a proporre azione giudiziaria ed è su  questo aspetto che si articola la pronuncia della CGUE.

Il giudice del rinvio, infatti, ha nutrito dubbi in merito  all’incidenza dell’applicazione del meccanismo dello «sportello unico»  previsto Regolamento europeo 2016/679 sulle competenze dell’Autorità  Belga e si è posto, più in particolare, la questione se, per i fatti  successivi all’entrata in vigore del Regolamento, ossia il 25 maggio  2018, l’Autorità per la protezione dei dati possa agire nei confronti  di Facebook Belgium, dal momento che è Facebook Ireland ad essere  stata individuata come titolare del trattamento dei dati interessati.  Infatti, a partire da tale data e segnatamente in applicazione del  principio dello «sportello unico» previsto dal Regolamento, solo il  Commissario irlandese per la protezione dei dati sarebbe competente ad  intentare un’azione inibitoria, sotto il controllo dei giudici  irlandesi.

L’autorità capofila
Per comprendere la portata della pronuncia è indispensabile chiarire  il concetto di “autorità di controllo capofila”.
Nell’ipotesi in cui il titolare del trattamento effettui dei  trattamenti transfrontalieri (ossia oltre i confini nazionali)  l’autorità di controllo capofila è l’autorità dello stabilimento  principale (del titolare o responsabile del trattamento) che si trova  nel territorio dell’Unione. A questa autorità viene trasferita la  competenza per quanto riguarda i “trattamenti transfrontalieri” di  dati personali svolti da quel titolare o responsabile.
L’obiettivo della devoluzione di competenze a favore dell’autorità  capofila è garantire l’esistenza di uno “sportello unico” per i  trattamenti transfrontalieri di dati personali in modo tale che la  stessa sia considerata l’unico interlocutore del titolare del  trattamento o del responsabile del trattamento in merito al  trattamento transfrontaliero effettuato da tale titolare o  responsabile, restando, in ogni caso, ferme alcune eccezioni che

La pronuncia della Corte
La Corte, attraverso un articolato procedimento di analisi delle  singole norme e dei principi cardine del Regolamento, arriva a  pronunciarsi nel senso di riconoscere che, in presenza di determinate  condizioni, il Regolamento autorizza un’autorità di controllo di uno  Stato membro, sebbene diversa dall’autorità capofila, a esercitare il  suo potere di intentare un’azione giudiziaria dinanzi ad un giudice di  tale Stato in caso di presunta violazione del medesimo Regolamento.
La Corte basa la propria pronuncia su alcuni punti essenziali.

1- Potere di intentare una causa da parte di un’autorità che non  riveste la qualifica di capofila
Nell’ipotesi di trattamento transfrontaliero di dati personali,  un’autorità di controllo diversa dall’autorità capofila può agire in  giudizio solamente:
nel caso in cui il Regolamento conferisca alla stessa il potere di  accertare che il trattamento in questione violi le norme dello  Regolamento stesso;
l’esercizio di tale potere avvenga nel pieno rispetto delle procedure  di cooperazione e di coerenza.

2- Stabilimento nello Stato membro al quale appartiene l’autorità di controllo
Il potere di agire giudizialmente da parte di un’autorità di controllo  diversa dall’autorità di controllo capofila, non richiede che il  titolare del trattamento o il responsabile del trattamento  transfrontaliero di dati personali oggetto di tale azione disponga di  uno stabilimento principale o di un altro stabilimento nel territorio  di tale Stato membro. È comunque richiesto che disponga di uno  stabilimento nel territorio dell’Unione.

3- Violazione del Regolamento
Il potere di agire dell’autorità di controllo diversa dall’autorità di  controllo capofila può essere esercitato non solo nei confronti dello  stabilimento principale del titolare del trattamento che si trovi  nello Stato membro di appartenenza di tale autorità, ma anche nei  confronti di un altro stabilimento di tale titolare, a condizione che  l’azione giudiziaria riguardi un trattamento di dati effettuato  nell’ambito delle attività di detto stabilimento e l’autorità di cui  trattasi sia competente ad esercitare questo potere. Condizione  indispensabile per l’esercizio di tale potere è l’applicazione del  Regolamento 2016/679.

4- Azioni intentate prima dell’entrata in vigore del Regolamento
La Corte precisa inoltre che l’azione che sia stata esercitata da  un’autorità diversa, prima dell’entrata in vigore del Regolamento, può  essere mantenuta, in forza del diritto dell’Unione.

5-Riconoscimento delle disposizioni del singolo Stato membro
La Corte, infine, riconosce l’effetto diretto della disposizione del  Regolamento in forza della quale ciascuno Stato membro dispone, per  legge, che la sua autorità di controllo abbia il potere di intentare  un’azione e, se del caso, di agire in sede giudiziale in caso di  violazione del predetto regolamento. Di conseguenza, siffatta autorità  può invocare tale disposizione per intentare o proseguire un’azione  nei confronti di privati, anche qualora essa non sia stata  specificamente attuata nella normativa dello Stato membro interessato.