In presenza di determinate condizioni, un’autorità nazionale di controllo può esercitare il suo potere di intentare un’azione dinanzi ad un giudice di uno Stato membro in caso di presunta violazione dell’RGPD, pur non essendo l’autorità capofila per tale trattamento…
L’11 settembre 2015, il presidente della Commissione belga per la tutela della vita privata (in prosieguo: la «CPVP») ha intentato un’azione inibitoria nei confronti delle società Facebook Ireland, Facebook Inc. e Facebook Belgium dinanzi al Nederlandstalige rechtbank van eerste aanleg Brussel (Tribunale di primo grado di Bruxelles di lingua neerlandese, Belgio) volta a porre fine a violazioni, asseritamente commesse da Facebook, della normativa relativa alla protezione dei dati. Tali violazioni consistevano segnatamente nella raccolta e nell’uso di informazioni sul comportamento di navigazione degli utenti di Internet belgi, detentori o meno di un account Facebook, mediante varie tecnologie, quali i cookie, i social plugin[1] o i pixel.
Il 16 febbraio 2018, detto tribunale si è dichiarato competente a statuire su tale azione e, nel merito, ha dichiarato che il social network Facebook non aveva sufficientemente informato gli utenti di Internet belgi della raccolta e dell’uso delle informazioni di cui trattasi. Peraltro, il consenso prestato dagli utenti di Internet alla raccolta e al trattamento di dette informazioni è stato ritenuto non valido.
Il 2 marzo 2018, Facebook Ireland, Facebook Inc. e Facebook Belgium hanno interposto appello avverso tale sentenza dinanzi allo Hof van beroep te Brussel (Corte d’appello di Bruxelles, Belgio), giudice del rinvio nella presente causa. Dinanzi a tale giudice, l’Autorità belga per la protezione dei dati (in prosieguo: l’«APD») ha agito in qualità di successore legale del presidente della CPVP. Il giudice del rinvio si è dichiarato competente unicamente a statuire sull’appello interposto da Facebook Belgium.
Il giudice del rinvio ha nutrito dubbi in merito all’incidenza dell’applicazione del meccanismo dello «sportello unico» previsto dall’RGPD[2] sulle competenze dell’APD e si è posto, più in particolare, la questione se, per i fatti successivi all’entrata in vigore dell’RGPD, ossia il 25 maggio 2018, l’APD possa agire nei confronti di Facebook Belgium, dal momento che è Facebook Ireland ad essere stata individuata come titolare del trattamento dei dati interessati. Infatti, a partire da tale data e segnatamente in applicazione del principio dello «sportello unico» previsto dall’RGPD, solo il Commissario irlandese per la protezione dei dati sarebbe competente ad intentare un’azione inibitoria, sotto il controllo dei giudici irlandesi.
Nella sua sentenza, pronunciata in Grande Sezione, la Corte precisa i poteri delle autorità nazionali di controllo nell’ambito dell’RGPD. In tal senso, essa dichiara in particolare che, in presenza di determinate condizioni, detto regolamento autorizza un’autorità di controllo di uno Stato membro ad esercitare il suo potere di intentare un’azione dinanzi ad un giudice di tale Stato e di agire in sede giudiziale in caso di presunta violazione dell’RGPD, con riguardo ad un trattamento transfrontaliero di dati[3], pur non essendo l’autorità di controllo capofila per tale trattamento.
Giudizio della Corte
In primo luogo, la Corte precisa le condizioni in presenza delle quali un’autorità nazionale di controllo, priva della qualità di autorità capofila con riguardo a un trattamento transfrontaliero, deve esercitare il proprio potere di intentare un’azione dinanzi ad un giudice di uno Stato membro e, se del caso, di agire in sede giudiziale in caso di presunta violazione dell’RGPD al fine di garantire il rispetto di tale regolamento. Pertanto, da un lato, l’RGPD deve conferire a tale autorità di controllo la competenza ad adottare una decisione che accerti che tale trattamento viola le norme previste dal regolamento in parola e, dall’altro, tale potere deve essere esercitato nel rispetto delle procedure di cooperazione e di coerenza previste da tale regolamento[4].
Infatti, per i trattamenti transfrontalieri, l’RGPD prevede il meccanismo dello «sportello unico»[5], basato su una ripartizione delle competenze tra un’«autorità di controllo capofila» e le altre autorità nazionali di controllo interessate. Tale meccanismo richiede una cooperazione stretta, leale ed efficace tra dette autorità, al fine di garantire una protezione coerente ed omogenea delle norme relative alla protezione dei dati personali e di preservare così il suo effetto utile. L’RGPD stabilisce, a tal riguardo, la competenza di principio dell’autorità di controllo capofila ad adottare una decisione che accerti che un trattamento transfrontaliero viola le norme contenute in detto regolamento[6], mentre la competenza delle altre autorità nazionali di controllo ad adottare una siffatta decisione, anche in via provvisoria, costituisce l’eccezione[7]. Tuttavia, nell’esercizio delle sue competenze, l’autorità di controllo capofila non può sottrarsi a un dialogo indispensabile nonché a una cooperazione leale ed efficace con le altre autorità di controllo interessate. Di conseguenza, nell’ambito di detta cooperazione, l’autorità di controllo capofila non può ignorare le opinioni delle altre autorità di controllo interessate e qualsiasi obiezione pertinente e motivata formulata da una di queste ultime autorità ha l’effetto di bloccare, almeno temporaneamente, l’adozione del progetto di decisione dell’autorità di controllo capofila.
La Corte precisa inoltre che la circostanza che un’autorità di controllo di uno Stato membro, che non sia l’autorità di controllo capofila con riguardo ad un trattamento transfrontaliero di dati, possa esercitare il potere di intentare un’azione dinanzi ad un giudice di tale Stato e di agire in sede giudiziale in caso di presunta violazione dell’RGPD solo nel rispetto delle norme di ripartizione delle competenze decisionali tra l’autorità di controllo capofila e le altre autorità di controllo[8] è conforme agli articoli 7, 8 e 47 della Carta dei diritti fondamentali dell’Unione europea, che garantiscono all’interessato, rispettivamente, il diritto alla protezione dei dati personali e il diritto ad un ricorso effettivo.
In secondo luogo, la Corte dichiara che, in caso di trattamento transfrontaliero di dati, l’esercizio del potere di un’autorità di controllo di uno Stato membro, diversa dall’autorità di controllo capofila, di intentare un’azione giudiziaria[9] non richiede che il titolare del trattamento o il responsabile del trattamento transfrontaliero di dati personali oggetto di tale azione disponga di uno stabilimento principale o di un altro stabilimento nel territorio di tale Stato membro. Tuttavia, l’esercizio di tale potere deve rientrare nell’ambito di applicazione territoriale dell’RGPD[10], il che presuppone che il titolare del trattamento o il responsabile del trattamento transfrontaliero disponga di uno stabilimento nel territorio dell’Unione.
In terzo luogo, la Corte dichiara che, in caso di trattamento transfrontaliero di dati, il potere di un’autorità di controllo di uno Stato membro, diversa dall’autorità di controllo capofila, di intentare un’azione dinanzi ad un giudice di tale Stato e, se del caso, di agire in sede giudiziale in caso di presunta violazione dell’RGPD, può essere esercitato tanto nei confronti dello stabilimento principale del titolare del trattamento che si trovi nello Stato membro di appartenenza di tale autorità quanto nei confronti di un altro stabilimento di tale titolare, purché l’azione giudiziaria riguardi un trattamento di dati effettuato nell’ambito delle attività di detto stabilimento e l’autorità di cui trattasi sia competente ad esercitare siffatto potere.
Tuttavia, la Corte precisa che l’esercizio di tale potere presuppone che l’RGPD sia applicabile. Nel caso di specie, poiché le attività dello stabilimento del gruppo Facebook situato in Belgio sono inscindibilmente connesse al trattamento dei dati personali in esame nel procedimento principale, per il quale il titolare del trattamento è Facebook Ireland per quanto riguarda il territorio dell’Unione, tale trattamento è effettuato «nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento», e, pertanto, rientra effettivamente nell’ambito di applicazione dell’RGPD.
In quarto luogo, la Corte dichiara che, qualora un’autorità di controllo di uno Stato membro che non sia l’«autorità di controllo capofila» abbia intentato, prima della data di entrata in vigore dell’RGPD, un’azione giudiziaria relativa ad un trattamento transfrontaliero di dati personali, tale azione può essere mantenuta, in forza del diritto dell’Unione, sulla base delle disposizioni della direttiva sulla protezione dei dati[11], la quale rimane applicabile per quanto riguarda le violazioni delle norme in essa contenute fino alla data in cui tale direttiva è stata abrogata. Inoltre, siffatta azione può essere intentata da tale autorità per violazioni commesse dopo la data di entrata in vigore dell’RGPD, sempreché ciò avvenga in una delle situazioni in cui, a titolo di eccezione, tale regolamento conferisce alla stessa autorità la competenza ad adottare una decisione che accerti che il trattamento di dati in questione viola le norme contenute in detto regolamento, nonché nel rispetto delle procedure di cooperazione previste da quest’ultimo.
In quinto luogo, la Corte riconosce l’effetto diretto della disposizione dell’RGPD in forza della quale ciascuno Stato membro dispone, per legge, che la sua autorità di controllo abbia il potere di intentare un’azione e, se del caso, di agire in sede giudiziale in caso di violazione del predetto regolamento. Di conseguenza, siffatta autorità può invocare tale disposizione per intentare o proseguire un’azione nei confronti di privati, anche qualora essa non sia stata specificamente attuata nella normativa dello Stato membro interessato.
[1] Ad esempio, i pulsanti «Mi piace» o «Condividi».
[2] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: l’«RGPD»). Ai sensi dell’articolo 56, paragrafo 1, dell’RGPD: «Fatto salvo l’articolo 55, l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare del trattamento o responsabile del trattamento è competente ad agire in qualità di autorità di controllo capofila per i trattamenti transfrontalieri effettuati dal suddetto titolare del trattamento o responsabile del trattamento, secondo la procedura di cui all’articolo 60».
[3] Ai sensi dell’articolo 4, punto 23, dell’RGPD.
[4] Previste agli articoli 56 e 60 dell’RGPD.
[5] Articolo 56, paragrafo 1, dell’RGPD.
[6] Articolo 60, paragrafo 7, dell’RGPD.
[7] L’articolo 56, paragrafo 2, e l’articolo 66 dell’RGPD stabiliscono le eccezioni al principio della competenza decisionale dell’autorità di controllo capofila.
[8] Previste agli articoli 55 e 56, in combinato disposto con l’articolo 60 dell’RGPD.
[9] In forza dell’articolo 58, paragrafo 5, dell’RGPD.
[10] L’articolo 3, paragrafo 1, dell’RGPD prevede che detto regolamento si applichi al trattamento dei dati personali effettuato «nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione».
[11] Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31).