L'enforcement del GDPR: dalla cooperazione dei Garanti della concorrenza alla proposta di nuove norme procedurali

Il Regolamento (UE) 2016/679, meglio noto come "GDPR" (acronimo di General Data Protection Regulation) si applica da ormai oltre cinque anni. Sebbene oggigiorno l'attenzione alla tutela dei dati personali da parte di imprese e operatori del diritto sia più alta rispetto al passato, anche in considerazione dell'elevato rischio sanzionatorio in caso di violazione di tale normativa, l'attività di sorveglianza e di ispezione delle autorità di controllo della protezione di dati personali è costante.

Dall'ultima relazione annuale del Garante privacy italiano emerge che nel corso del 2022 sono state effettuate 140 ispezioni e adottati 317 provvedimenti di natura correttiva e sanzionatoria, che hanno portato alla riscossione di sanzioni per un totale di quasi 9 milioni 500 mila euro.

D'altronde, l'attività di controllo e di enforcement è necessaria in considerazione della discrezionalità lasciata ai soggetti coinvolti nel trattamento di dati personali nel valutare come dare attuazione alle norme. Il legislatore europeo ha infatti costruito l'intero impianto del GDPR sul c.d. principio di accountability, che, anziché dettare prescrizioni e obblighi specifici, mira a responsabilizzare gli attori del trattamento, permettendo loro di adottare un sistema complessivo di misure (giuridiche, organizzative, tecniche) per la protezione dei dati personali, con l'onere poi di dimostrarne l'efficacia e la conformità al GDPR.

Garantire la corretta applicazione del GDPR è inoltre un prerequisito per assicurare la fiducia della collettività nel più ampio processo di digitalizzazione e per garantire condizioni di parità per tutti i soggetti che trattano i dati personali.

Conseguentemente, in tale contesto, un controllo sulla corretta interpretazione ed attuazione delle norme diventa necessaria.

L'attività di enforcement è infatti parte centrale del GDPR che dedica i capi VI e VII alle autorità di controllo, ai loro poteri e ai meccanismi di cooperazione. Tale materia è stata poi recentemente oggetto di attenzione da parte dei giudici e del legislatore europei con una serie di provvedimenti e atti che si illustrano di seguito.

Con una recente pronuncia emessa nell'ambito della causa C-252/21 , la Corte di Lussemburgo ha ampliato le possibilità di controllo dell'osservanza delle norme a tutela dei dati personali estendendone, entro certi limiti, il potere anche ad autorità amministrative diverse da quelle preposte alla tutela dei dati personali.

Nell'ambito di una controversia relativa allo sfruttamento abusivo di posizione dominante da parte di Meta Platforms Ireland, i giudici europei hanno infatti riconosciuto che l'autorità garante della concorrenza – davanti alla quale in Germania era emersa la violazione – possa esaminare "anche la conformità del comportamento di tale impresa a norme diverse da quelle rientranti nel diritto della concorrenza, quali le norme previste dal GDPR".
Tuttavia, qualora l'autorità nazionale garante della concorrenza ravvisi una violazione del GDPR, essa non si sostituisce alle autorità di controllo privacy "limitandosi a rilevare la non conformità al GDPR di un trattamento di dati al solo scopo di constatare un abuso di posizione dominante ed imponendo misure volte a far cessare tale abuso".

D'altronde, come specifica la Corte di Giustizia, "l'accesso ai dati personali e la possibilità di trattamento di tali dati sono diventati un parametro significativo della concorrenza fra imprese dell'economia digitale. Pertanto, escludere le norme in materia di protezione dei dati personali dal contesto giuridico che le autorità garanti della concorrenza devono prendere in considerazione in sede di esame di un abuso di posizione dominante ignorerebbe la realtà di tale evoluzione economica e potrebbe pregiudicare l'effettività del diritto della concorrenza all'interno dell'Unione".

Sebbene non sussistano norme specifiche al riguardo né nel GDPR né in altri strumenti del diritto europeo, i giudici hanno ritenuto che tra autorità amministrative – benché afferenti a materie diverse – viga un principio di leale collaborazione, in virtù del quale queste sono tenute a "rispettarsi ed assistersi reciprocamente nell'adempimento dei compiti derivanti dai Trattati, adottare ogni misura atta ad assicurare l'esecuzione degli obblighi conseguenti, in particolare, agli atti delle istituzioni dell'Unione, nonché astenersi da qualsiasi misura che rischi di mettere in pericolo la realizzazione degli obiettivi dell'Unione".

Per questo motivo, qualora un'autorità nazionale garante della concorrenza ritenga necessario esaminare la conformità di un comportamento di un'impresa alle disposizioni del GDPR, essa deve verificare se tale comportamento o un comportamento simile sia già stato oggetto di una decisione da parte dell'autorità di controllo competente o, ancora, della Corte. Se così fosse, essa non può discostarsene, pur restando libera di trarne le proprie conclusioni sotto il profilo dell'applicazione del diritto della concorrenza. In caso di dubbio, invece, sarà tenuta a consultare tali autorità e a chiederne la cooperazione.

Dal punto di vista normativo, invece, l'attività di enforcement trova un booster nella proposta di Regolamento del 4 luglio 2023 " che stabilisce norme procedurali aggiuntive relative all'applicazione del GDPR " .

Nata con l'obiettivo di rendere più efficiente e armonizzata la gestione dei casi transfrontalieri nell'Unione europea, la proposta mira ad appianare le significative differenze emerse a livello nazionale nelle procedure amministrative e nell'interpretazione del meccanismo di cooperazione tra le autorità garanti per la protezione dei dati personali, differenze da cui di fatto derivano rilevanti conseguenze per i diritti delle parti oggetto dell'indagine e dei reclamanti in quanto interessati.

Tra le disposizioni principali, la proposta elabora un modello comune di reclamo transfrontaliero e un meccanismo di composizione amichevole dei reclami; definisce più specificamente gli obblighi di cooperazione tra le autorità, disciplinando lo scambio di informazioni e osservazioni, l'elaborazione di sintesi delle questioni chiave e la procedura di gestione del consenso o del disaccordo nelle indagini; introduce il diritto dei soggetti coinvolti nel procedimento di essere ascoltati e di accedere al fascicolo amministrativo.

Si tratta di un tassello volto senz'altro a conferire maggiore concretezza alla normativa in materia di protezione dei dati personali, presentandosi come una possibile anticipazione dei contenuti del riesame complessivo del GDPR, previsto per il 2024.

_____
*A cura dell' Avv. Laura Greco, DigitalMediaLaws

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più