Con una sentenza del 15 giugno scorso (causa C-645/19) la Corte di giustizia riunita in Grande sezione ha fornito indicazioni sul funzionamento del meccanismo dello sportello unico, o ‘one-stop-shop’per l’enforcement del GDPR nei casi di trattamenti transfrontalieri di dati personali.
La Corte ha richiamato l’attenzione sul dovere di cooperazione al quale sono soggette le autorità di controllo degli Stati membri, per assicurare l’applicazione corretta e coerente del Regolamento e l’efficace tutela dei diritti fondamentali delle persone.
GDPR, un bilancio dei primi tre anni di applicazione: effetti, traguardi e prossimi step
Ratio e disciplina dello sportello unico
Per i trattamenti di dati personali che coinvolgono più Stati membri – in quanto sono realizzati nell’ambito delle attività di un titolare o responsabile del trattamento con stabilimenti in più Stati membri, oppure sono effettuati nell’ambito delle attività di un unico stabilimento di un titolare o responsabile nell’UE ma hanno impatto significativo su interessati che si trovano in più Stati membri –vi è l’esigenza di evitare una moltiplicazione di interventi delle autorità di controllo, che comportano inefficienze del sistema e rischio di decisioni confliggenti.
Il GDPR opta, al riguardo, per la soluzione dello sportello unico: in linea di principio, i trattamenti transfrontalieri ricadono nella competenza di un’unica autorità di controllo ‘capofila’, che è quella dello Stato membro in cui il titolare o il responsabile del trattamento ha lo stabilimento principale (amministrazione centrale o sede delle decisioni su finalità e mezzi del trattamento) o lo stabilimento unico. Questa autorità è tenuta a coordinare strettamente nelle indagini le autorità di controllo degli altri Stati membri interessate allo specifico caso e a coinvolgerle nel processo decisionale. L’obiettivo è giungere a una decisione condivisa, alla quale il destinatario (titolare o responsabile del trattamento) dovrà conformare le attività di trattamento nell’Unione.
Nel caso di disaccordo tra le autorità coinvolte, che può riguardare ad esempio la portata della violazione contestata o la quantificazione della sanzione proposta, viene attivato un meccanismo di coerenza e la questione è sottoposta all’esame e alla successiva decisione vincolante dell’European Data Protection Board.
GDPR, con lo sportello unico rischio “strapotere” della Privacy irlandese
Il Regolamento prevede alcune eccezioni alla competenza dell’autorità di controllo capofila. In particolare, ciascuna autorità di controllo è competente a gestire i casi di rilievo locale, quando l’oggetto riguarda unicamente uno stabilimento nel suo Stato membro, oppure la violazione incide in modo sostanziale sugli interessati unicamente in tale Stato.
L’autorità capofila viene comunque informata e può decidere di occuparsi del caso, nel rispetto dei principi di cooperazione e coerenza. Inoltre, in circostanze eccezionali, per tutelare i diritti e le libertà degli interessati un’autorità non capofila può adottare in via d’urgenza misure provvisorie con effetti giuridici limitati al proprio territorio e validità massima di tre mesi; tali misure sono comunicate alle altre autorità di controllo interessate, all’EDPB e alla Commissione. Qualora abbia adottato una misura provvisoria e ritenga che debbano essere adottate misure definitive, l’autorità può chiedere un parere d’urgenza o una decisione vincolante d’urgenza dell’EDPB.
Il caso Facebook e i chiarimenti della Corte
La pronuncia della Corte di giustizia trae origine dall’azione inibitoria promossa contro Facebook Inc. (la casa madre negli USA), Facebook Irlanda e Facebook Belgio dall’autorità belga per la protezione dei dati personali davanti al Tribunale civile di primo grado di Bruxelles. L’autorità belga aveva chiesto al giudice di far cessare le violazioni asseritamente commesse da FB nei confronti degli utenti internet (sia titolari di un account sul social network, sia soggetti terzi) stabiliti in Belgio, in relazione alla raccolta di informazioni sul loro comportamento di navigazione mediante diverse tecnologie, quali cookie, social plugin o pixel.
A seguito dell’accoglimento della richiesta, le tre società hanno presentato ricorso alla Corte d’appello di Bruxelles. Quest’ultima ha espresso dubbi sulla competenza e la legittimazione ad agire dell’autorità belga, tenuto conto che la violazione contestata riguardava un trattamento transfrontaliero e, per il meccanismo dello sportello unico, la relativa competenza sarebbe spettata all’autorità di controllo irlandese in qualità di capofila (Facebook Irlanda è infatti il titolare del trattamento dei dati personali per i servizi del social network nell’UE). La Corte d’appello belga ha quindi presentato alla Corte di giustizia alcune questioni pregiudiziali.
La prima e più rilevante questione riguarda le condizioni alle quali il diritto europeo consente a un’autorità di controllo non capofila l’esercizio del potere di intentare un’azione o agire dinanzi a un giudice del suo Stato membro (ex art. 58.5 del Regolamento) contro le violazioni del GDPR relative a trattamenti transfrontalieri.
La Corte chiarisce che l’esercizio dei compiti e poteri conferiti alle autorità nazionali dal Regolamento (artt. 57 e 58) presuppone che un’autorità sia dotata della competenza rispetto a un determinato trattamento di dati personali. Nei casi di trattamenti transfrontalieri opera il meccanismo dello sportello unico, per il quale la competenza dell’autorità capofila costituisce la regola mentre la competenza delle altre autorità nazionali di controllo ha carattere eccezionale. Viene però sottolineato che l’autorità capofila, nell’esercizio delle sue competenze, “non può sottrarsi … a un dialogo indispensabile nonché a una cooperazione leale ed efficace con le altre autorità di controllo interessate” (par. 63 della sentenza).
Respingendo le argomentazioni dell’autorità belga, la Corte sottolinea come questo assetto non pregiudichi la tutela dei diritti fondamentali della persona.
Da un lato, con riferimento ai diritti al rispetto della vita privata e familiare e alla protezione dei dati personali (artt. 7 e 8 della Carta dei diritti fondamentali dell’UE), le norme sulla ripartizione delle competenze decisionali non fanno venir meno la responsabilità che grava sulle autorità di controllo di contribuire a un elevato livello di protezione dei diritti, nel rispetto dei requisiti di cooperazione e assistenza reciproca: il meccanismo dello sportello unico non può in alcun caso comportare che un’autorità di controllo, in particolare la capofila, non assuma tale responsabilità. In caso contrario, sottolinea la Corte, verrebbe incoraggiata la pratica del forum shopping, in particolare da parte dei titolari del trattamento, al fine di eludere i diritti fondamentali e l’applicazione effettiva delle disposizioni del GDPR che vi danno attuazione.
Dall’altro lato, i limiti alla possibilità di azione di un’autorità di controllo non capofila rispetto ai trasferimenti transfrontalieri non comportano una violazione del diritto a un ricorso giurisdizionale effettivo (art. 47 della Carta). Il GDPR, infatti, riconosce espressamente a ogni persona il diritto di proporre un ricorso giurisdizionale effettivo contro una decisione vincolante o contro il mancato trattamento di un reclamo da parte dell’autorità di controllo che dispone della competenza decisionale.
La ripartizione delle competenze
La Corte si sofferma poi sugli strumenti e le procedure volti a consentire che, a fronte dell’inottemperanza agli obblighi di assistenza reciproca da parte dell’autorità capofila, l’autorità di controllo interessata adotti le misure necessarie a garantire il rispetto del GDPR. Viene sottolineato che “la ripartizione delle competenze e delle responsabilità tra le autorità di controllo … si basa necessariamente sulla premessa di una cooperazione leale ed efficace” per garantire l’applicazione corretta e coerente del Regolamento (par. 72 della sentenza).
È rimesso al giudice del rinvio il compito di stabilire se nel caso di specie le norme sulla ripartizione delle competenze nonché le procedure e i meccanismi previsti dal GDPR siano stati correttamente applicati dalle autorità coinvolte e, quindi, se l’autorità belga, pur non essendo la capofila, abbia legittimamente esercitato i suoi poteri nei confronti di Facebook.
Altri aspetti del sistema dello sportello unico affrontati dalla Corte riguardano l’individuazione del soggetto contro cui deve essere diretta l’eventuale azione di un’autorità di controllo non capofila. La Corte esclude anzitutto che il titolare del trattamento debba avere nel territorio dello Stato membro di appartenenza di tale autorità lo stabilimento principale o un altro stabilimento: ciò che conta è che la fattispecie rientri nell’ambito di applicazione territoriale del GDPR ossia, ai sensi dell’articolo 3 del Regolamento, che il trattamento sia effettuato nell’ambito delle attività di uno stabilimento del titolare o responsabile nel territorio dell’Unione. Inoltre, se questa condizione è soddisfatta – come avviene nel caso di specie, in cui le attività di Facebook Belgio devono essere considerate inscindibilmente connesse al trattamento di dati personali oggetto del procedimento principale, che nel territorio dell’Unione è effettuato esclusivamente da Facebook Irlanda – l’autorità di controllo non capofila può promuovere l’azione tanto nei confronti dello stabilimento principale del titolare che si trovi nel suo Stato membro di appartenenza quanto nei confronti di un altro stabilimento del titolare.
Ulteriori chiarimenti sono resi dalla Corte per quanto concerne l’ambito temporale di applicazione della disciplina dello sportello unico (violazioni commesse dopo l’entrata in vigore del GDPR) e sull’effetto diretto della disposizione del Regolamento che prevede il potere delle autorità di controllo di intentare un’azione o agire in sede giudiziale o stragiudiziale in caso di violazione del Regolamento.
Il monito alla cooperazione
La sentenza mette in luce i presupposti del meccanismo dello sportello unico, esprimendo un forte monito al rispetto dei doveri di cooperazione tra le autorità di controllo nazionali. La regola che assegna la competenza all’autorità capofila si accompagna, nella costruzione del GDPR, a disposizioni dettagliate sulle modalità di confronto e dialogo con le altre autorità interessate, fino al punto che “qualsiasi obiezione pertinente e motivata formulata da una di queste ultime autorità ha l’effetto di bloccare, almeno temporaneamente, l’adozione del progetto di decisione dell’autorità di controllo capofila” (par. 53 della sentenza).
Al contempo, e sempre nel rispetto delle procedure di cooperazione, vi sono spazi in cui un’autorità non capofila può intervenire sui trasferimenti transfrontalieri e attivare le misure previste dal Regolamento a fronte della mancata assistenza dell’autorità capofila. L’obiettivo comune è assicurare l’applicazione coerente del Regolamento e la protezione efficace dei diritti delle persone: questo obiettivo non può ammettere inerzie o ostruzionismi di singole autorità.