RGPD e protezione dei dati: la competenza è della corte ove ha sede il titolare o il responsabile del trattamento?
Pubblicato il 15/01/21 00:00 [Doc.8536]
di Redazione IL CASO.it
Corte di giustizia dell'Unione europea
COMUNICATO STAMPA n. 1/21
Lussemburgo, 13 gennaio 2021
Conclusioni dell'avvocato generale nella causa C-645/19 Facebook Ireland Limited, Facebook Inc., Facebook Belgium BVBA/Gegevensbeschermingsautoriteit
Per l'avvocato generale Bobek, l'autorità per la protezione dei dati dello Stato in cui il titolare del trattamento o il responsabile del trattamento ha il suo stabilimento principale nell'Unione europea detiene una competenza generale per agire in sede giudiziale per violazioni del RGPD in relazione al trattamento transfrontaliero dei dati
Le altre autorità nazionali per la protezione dei dati interessate hanno tuttavia il diritto di intentare tali azioni nel rispettivo Stato membro nei casi in cui il RGPD consenta loro specificamente di farlo
Nel settembre 2015, l'autorità belga per la protezione dei dati ha intentato un'azione dinanzi ai giudici belgi nei confronti di alcune società appartenenti al gruppo Facebook (Facebook), segnatamente Facebook Inc., Facebook Ireland Ltd, stabilimento principale del gruppo nell'Unione europea, e Facebook Belgium BVBA (Facebook Belgium). In tale procedimento, l'autorità per la protezione dei dati ha chiesto che fosse ingiunto a Facebook di cessare, per tutti gli utenti di stabiliti in Belgio, di collocare, senza il loro consenso, determinati cookie sul dispositivo che tali individui utilizzano quando navigano su una pagina Internet nel dominio Facebook.com o quando si ritrovano sul sito Internet di un terzo, nonché di raccogliere dati in modo eccessivo mediante social plugin e pixel su siti Internet di terzi. Inoltre, essa ha chiesto la distruzione di tutti i dati personali ottenuti mediante cookie e social plugin, per ogni utente di Internet stabilito in Belgio.
Il procedimento in questione è attualmente pendente dinanzi allo Hof van beroep te Brussel (Corte d'appello di Bruxelles, Belgio). La sua portata si limita, tuttavia, a Facebook Belgium, giacché tale giudice ha precedentemente dichiarato di non essere competente riguardo alle azioni nei confronti di Facebook Inc. e Facebook Ireland Ltd. In tale contesto, Facebook Belgium afferma che, a decorrere dalla data in cui il regolamento generale sulla protezione dei dati (RGPD) 1 è divenuto applicabile, l'autorità belga per la protezione dei dati ha perso la propria competenza a proseguire il procedimento giurisdizionale in questione nei confronti di Facebook. Essa sostiene che, ai sensi del RGPD, solo l'autorità per la protezione dei dati dello Stato dello stabilimento principale di Facebook nell'Unione europea (la cosiddetta autorità «capofila» per la protezione dei dati nell'Unione per Facebook), vale a dire l'Irish Data Protection Commission (Commissione irlandese per la protezione dei dati), è autorizzata ad agire in sede giudiziale nei confronti di Facebook per violazioni del RGPD in relazione al trattamento transfrontaliero dei dati.
In tali circostanze, lo Hof van beroep te Brussel ha chiesto alla Corte di giustizia se il RGPD precluda effettivamente a un'autorità nazionale per la protezione dei dati, che non sia l'autorità capofila per la protezione dei dati, di agire in sede giudiziale nel suo Stato membro contro le violazioni delle relative norme in materia di trattamento transfrontaliero dei dati.
Nelle sue odierne conclusioni, l'avvocato generale Bobek ritiene, in primo luogo, che emerge dal tenore letterale 2 del RGPD, che l'autorità capofila per la protezione dei dati detiene una competenza generale in materia di trattamento transfrontaliero dei dati, incluso agire in sede giudiziale per violazione del RGPD e che, implicitamente, le altre autorità per la protezione dei dati interessate dispongono di un potere di agire in tal senso più limitato.
Quanto al fatto che il RGPD conferisce a qualsiasi autorità per la protezione dei dati il potere di agire in sede giudiziale avverso eventuali violazioni che riguardano i loro territori, l'avvocato generale precisa che, per quanto riguarda il trattamento transfrontaliero dei dati, tale potere è espressamente limitato, proprio al fine di consentire all'autorità capofila per la protezione dei dati di esercitare i propri compiti in tal senso.
In secondo luogo, l'avvocato generale rammenta che il motivo essenziale per l'introduzione del meccanismo dello sportello unico creato dal RGPD, in cui è stato attribuito un ruolo significativo all'autorità capofila per la protezione dei dati e sono stati istituiti meccanismi di cooperazione per coinvolgere le altre autorità per la protezione dei dati, era quello di affrontare alcune carenze derivanti dalla precedente legislazione 3. Gli operatori economici erano infatti tenuti a conformarsi ai diversi corpi di norme nazionali di trasposizione di tale direttiva ed a confrontarsi, al contempo, con tutte le autorità nazionali per la protezione dei dati, situazione dimostratasi costosa, gravosa e dispendiosa in termini di tempo per tali operatori, nonché un'inevitabile fonte d'incertezza e conflitti fra gli stessi e i loro clienti.
Per quanto riguarda l'accesso a un giudice da parte delle persone interessate coinvolte, l'avvocato generale sottolinea che tali soggetti possono agire direttamente nei confronti dei titolari del trattamento e dei responsabili del trattamento dinanzi, tra l'altro, alle autorità giurisdizionali dello Stato membro in cui risiedono. Inoltre, l'avvocato generale osserva che le persone interessate possono presentare un reclamo dinanzi all'autorità per la protezione dei dati del loro Stato membro anche nel caso in cui l'autorità capofila per la protezione dei dati sia l'autorità di un altro Stato membro. Qualora il reclamo dovesse essere respinto, la relativa decisione sarà adottata e notificata al reclamante dalla prima autorità ed è così possibile per il reclamante di impugnarla dinanzi alle autorità giurisdizionali del luogo in cui lo stesso è stabilito.
In terzo luogo, l'avvocato generale sottolinea che l'autorità capofila per la protezione dei dati non può essere ritenuta l'unico organo incaricato dell'applicazione del RGPD in situazioni transfrontaliere e deve, nel rispetto delle pertinenti norme e dei termini stabiliti dal RGPD, cooperare strettamente con le altre autorità per la protezione dei dati interessate, il cui contributo è determinante in quest'ambito.
In quarto luogo, l'avvocato generale rileva che le autorità nazionali per la protezione dei dati, anche quando non agiscono in qualità di autorità capofila, possono comunque proporre azioni dinanzi alle autorità giurisdizionali del loro rispettivo Stato membro in caso di trattamento transfrontaliero in varie situazioni. Tali situazioni sono, in particolare, le seguenti: qualora le autorità nazionali per la protezione dei dati i) agiscano al di fuori dell'ambito di applicazione materiale del RGPD; ii) indaghino riguardo al trattamento transfrontaliero dei dati effettuato da autorità pubbliche, nell'interesse pubblico, nell'esercizio di pubblici poteri o da parte di titolari del trattamento che non sono stabiliti nell'Unione; iii) adottino misure urgenti; o iv) intervengano a seguito della decisione dell'autorità capofila per la protezione dei dati di non trattare un caso.
A tali condizioni, l'avvocato generale ritiene che il RGPD consenta all'autorità per la protezione dei dati di uno Stato membro di agire in sede giudiziale dinanzi a un giudice di tale Stato per una presunta violazione del RGPD riguardo al trattamento transfrontaliero dei dati, anche se essa non è l'autorità capofila per la protezione dei dati cui è attribuito il potere generale di intentare tali azioni, a condizione che ciò avvenga nei casi in cui il RGPD le conferisce specificatamente competenze a tal fine e secondo le corrispondenti procedure stabilite dal RGPD.
© Riproduzione Riservata