Privacy, Authority può adire giudice nazionale anche se non è capofila del trattamento dati transfrontaliero
Cgue precisa a quali condizioni il Rgdp consente al Garante di attivare l'azione giudiziale all'interno del proprio Stato membro
La sentenza sulla causa C-645/19 della Corte di giustizia dell'Unione europea afferma che la protezione dei dati personali oggetto di trattamenti transfrontalieri consente alle autorità garanti nazionali di rivolgersi ai giudici del proprio Paese, anche se l'autorità "capofila" è in un altro Paese membro. Ma a determinate condizioni che la Cgue precisa con la sentenza pregiudiziale relativa a una controversia tra Facebook (Facebook Ireland Ldt, Facebook Inc. e Facebook Belgium) e l'autorità belga per la protezione dei dati in merito a un'azione inibitoria intentata dal presidente di quest'ultima e diretta a far cessare il trattamento di dati personali degli internauti nel territorio belga, effettuato dal social network Facebook, per mezzo di cookie, social plugin e pixel. Punto nodale è lo stabilimento del titolare del trattamento che determini l'applicazione del regolamento.
La Cgue afferma - legittimando così la competenza dell'Authority belga - che in presenza di determinate condizioni, un'autorità nazionale di controllo può esercitare il suo potere di intentare un'azione dinanzi a un giudice di uno Stato membro in caso di presunta violazione dell'Rgpd, pur non essendo l'autorità capofila per tale trattamento.
Presupposto è che l'Rgdp conferisca a tale autorità di controllo la competenza ad adottare una decisione che accerti che un dato trattamento violi le norme previste dal regolamento e che tale potere venga esercitato nel rispetto delle "procedure di cooperazione e di coerenza" previste dal regolamento stesso.
La regola e l'eccezione
Nei trattamenti transfrontalieri di dati personali la competenza ad adottare decisioni contro violazioni del regolamento è attribuita di principio all'autorità di controllo capofila, mentre la medesima competenza delle altre autorità nazionali di controllo coinvolte costituisce l'eccezione, anche in caso di decisioni da adottare in via provvisoria.
In tale meccanismo di supremazia dell'autorità di controllo capofila questa non può però sottrarsi a un dialogo, che la Cgue definisce "indispensabile" in aggiunta a un dovere di cooperazione leale ed efficace con le altre autorità di controllo interessate. Nello specifico il contenuto della cooperazione comporta che l'autorità di controllo capofila non possa ignorare le opinioni delle altre autorità di controllo interessate e qualsiasi obiezione pertinente e motivata formulata da una di queste ultime autorità ha l'effetto di bloccare, almeno temporaneamente, l'adozione del progetto di decisione dell'autorità di controllo capofila. Cioè scatta un obbligo di valutazione delle diverse posizioni offerte.
La soluzione offerta dalle norme di ripartizione delle competenze decisionali tra l'autorità di controllo capofila e le altre autorità di controllo deve garantire all'interessato il diritto alla protezione dei dati personali e a un ricorso effettivo.
La Corte precisa che, in caso di trattamento transfrontaliero di dati, l'esercizio del potere di un'autorità di controllo di uno Stato membro, diversa dall'autorità di controllo capofila, di intentare un'azione giudiziaria non richiede che il titolare del trattamento o il responsabile del trattamento transfrontaliero di dati personali oggetto di tale azione disponga di uno stabilimento principale o di un altro stabilimento nel territorio di tale Stato membro.
Ma l'esercizio di tale potere deve rientrare nell'ambito di applicazione territoriale dell'RGPD, il che presuppone che il titolare del trattamento o il responsabile del trattamento transfrontaliero disponga di uno stabilimento nel territorio dell'Unione. L'azione dell'authority non capofila davanti ai giudici nazionali può essere esercitata tanto nei confronti dello stabilimento principale del titolare del trattamento che si trovi nello Stato membro di appartenenza di tale autorità quanto nei confronti di un altro stabilimento di tale titolare, se questo tratta i dati oggetto della controversia.
Il caso Facebook sollevato in Belgio
La legittimazione dell'autorità nazionale belga deriva dall'applicabilità del l'Rgdp visto che le attività dello stabilimento del gruppo Facebook situato in Belgio sono inscindibilmente connesse al trattamento dei dati personali in esame nel procedimento principale, per il quale il titolare del trattamento è Facebook Ireland per quanto riguarda il territorio dell'Unione. Infatti, tale trattamento è effettuato «nell'ambito delle attività di uno stabilimento da parte di un titolare del trattamento», e, pertanto, rientra nell'area del regolamento.
Il regime dei procedimenti pendenti
La Cgue, infine, chiarisce che le azioni intentate dal garante non capofila davanti ai giudici del proprio Stato membro, prima della data di entrata in vigore dell'Rgdp, possono essere mantenute sulla base delle disposizioni della direttiva sulla protezione dei dati , la quale rimane applicabile per quanto riguarda le violazioni delle norme in essa contenute fino alla data in cui tale direttiva è stata abrogata.
-U57014522851VLn-735x735@IlSole24Ore-Web.jpg?r=86x86)
