Un modo concreto per fare un primo bilancio su pregi e difetti del GDPR, a un anno dalla piena vigenza, e per azzardare qualche previsione sul futuro, è quello di guardare al contenzioso generato dal Regolamento presso la Corte di Giustizia UE nel corso del suo primo anno di vita.
Dopotutto, in ambito giuridico, il contenzioso rappresenta la cartina al tornasole della qualità di un quadro normativo e delle criticità che esso presenta. Questo è ancora più vero nell’ambito del diritto europeo alla protezione dei dati personali, un ambito in cui si è passati in un arco di tempo relativamente breve da una quasi totale assenza di decisioni giudiziarie (“where have all the judges gone?”, scriveva Lee Bygrave 19 anni fa) ad un’ampia giurisprudenza della Corte di giustizia, la quale ha tracciato le linee guida fondamentali del processo di riforma che ha portato all’adozione del GDPR.
Gli aspetti centrali del Gdpr al vaglio della Corte Ue
Da questo punto di vista, è interessante notare come già nei primi 12 mesi di vigenza del GDPR molti degli aspetti centrali del Regolamento siano già stati sottoposti, direttamente o indirettamente, allo scrutinio della Corte di giustizia dell’Unione Europea attraverso lo strumento del rinvio pregiudiziale, ovvero di quella procedura che consente ad una giurisdizione nazionale di interrogare la Corte di giustizia sull’interpretazione o sulla validità del diritto europeo. È attraverso questa procedura che in passato la Corte ha preso decisioni con effetti dirompenti sul diritto alla protezione dei dati personali, come dichiarare invalida la Direttiva 2006/24/EC sulla conservazione dei dati o riconoscere il cosiddetto “diritto all’oblio”. La Corte si è quindi dimostrata pronta ad intervenire in maniera decisa sullo sviluppo di questa branca del diritto, ed è legittimo attendersi che continui a farlo, soprattutto nei primi anni di vigenza del Regolamento.
Passare in rassegna quali siano i quesiti sul GDPR a cui la Corte dovrà dare risposta nel corso del prossimo paio d’anni può quindi essere utile non solo a comprendere quali siano le criticità e le ambiguità del Regolamento già riscontrate dai giudici nazionali, ma anche a prevedere quali saranno alcuni dei temi al centro del dibattito nel corso dei prossimi anni, visto che in Europa molti dei progressi in materia sono stati fatti su impulso di decisioni giurisprudenziali. È con questo obbiettivo in mente che il prosieguo di questo articolo vuole offrire una panoramica dei casi più interessanti pendenti davanti alla Corte.
Compatibilità tra normativa nazionale privacy e GDPR
Uno dei principali compiti demandati alla Corte di Giustizia è quello di verificare la compatibilità delle norme nazionali di attuazione di una Direttiva europea o di un Regolamento europeo con la Direttiva od il Regolamento in questione, o più in generale col Diritto dell’Unione. Questo controllo avviene spesso negli anni immediatamente successivi all’entrata in vigore della normativa europea di riferimento. Ad esempio, nei primi anni successivi all’entrata in vigore della Direttiva 95/46/CE (ovvero la Direttiva sulla protezione dei dati personali, oggi sostituita dal GDPR), la Corte si è occupata di verificare se le norme che istituivano le autorità garanti della privacy in Austria, Germania e Ungheria fossero in linea con i requisiti della Direttiva.
Con il passaggio dalla Direttiva 95/46/CE al GDPR è mutata la natura dello strumento normativo di riferimento, con la conseguenza che gli Stati membri non sono più completamente liberi di scegliere le modalità di attuazione del contenuto dello strumento normativo: le norme nazionali di attuazione di un Regolamento, in via di principio, possono essere adottate solo se espressamente autorizzate, cosa che avviene solo in via eccezionale. Si è quindi ridotto di molto lo spazio di manovra concesso agli Stati membri nel regolamentare il trattamento di dati personali.
Quali siano i limiti entro cui gli Stati membri possano derogare al GDPR o introdurre norme ulteriori in materia di privacy sarà molto probabilmente uno dei temi più importanti di cui la Corte si occuperà nei prossimi anni. Il caso Fashion ID (C-40/17) presenta alla Corte una prima occasione per affrontare questo tema, almeno en passant. In particolare, la Corte potrebbe decidere di chiarire i limiti entro cui l’Articolo 80 del Regolamento consenta alla normativa nazionale di riconoscere ad associazioni senza scopo di lucro la legittimazione ad avviare un procedimento giudiziario nei confronti del presunto autore di una violazione della normativa in materia di protezione dei dati, al fine di tutelare gli interessi dei consumatori.
A questo proposito, è bene notare come svariate normative nazionali di attuazione del GDPR contengano norme difficilmente compatibili con una rigida applicazione del principio secondo cui le norme di attuazione di un Regolamento europeo possono essere adottate sole se espressamente autorizzate. Si pensi ai requisiti di pseudonimizzazione imposti dalla normativa tedesca, in assenza di una specifica autorizzazione nel GDPR, o alle numerose definizioni nazionali di termini già definiti dal GDPR. Sarà quindi interessante vedere quanta flessibilità sia disposta a concedere la Corte agli Stati membri che hanno introdotto norme supplementari o derogatorie rispetto al GDPR.
I requisiti del consenso
Com’è noto, il consenso dell’interessato è una delle basi giuridiche che autorizzano il trattamento dei dati personali; di fatto, quella più utilizzata. Nonostante ciò, i requisiti da soddisfare perché il consenso venga ritenuto valido sono da tempo circondati da un alone di incertezza, pur essendo stati meglio delineati nel GDPR rispetto alla normativa previgente (ovvero, la Direttiva 95/46/CE).
Dato il ruolo centrale del consenso all’interno del sistema di protezione dei dati personali vigente, è stato richiesto alla Corte di giustizia europea di chiarire ulteriormente quali siano esattamente i requisiti del consenso, sia ai sensi del GDPR che della Direttiva 95/46/CE. In particolare, nel caso Planet49 (C-673/17) e nel caso Orange Romania (C-61/19) la Corte sarà chiamata a spiegare quali siano le condizioni che devono essere soddisfatte per poter considerare che una manifestazione di volontà sia specifica, informata e liberamente espressa, soprattutto qualora tale manifestazione di volontà sia espressa su Internet tramite caselle di spunta preselezionate.
Il rapporto tra diritto alla protezione dei dati personali e altri diritti
Come indica lo stesso considerando 4 del GDPR, “il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità”.
Attuare in pratica questo bilanciamento tra diritti non è però cosa facile. Sarà quindi compito della Corte di giustizia fissare le linee guida su come bilanciare diritti diversi. Ad esempio, nel caso Ordre des barreaux francophones and germanophone (C-520/18), attualmente pendente, la Corte è chiamata a bilanciare il diritto alla privacy con quello alla sicurezza. Il rapporto tra questi due diritti sta assumendo un’importanza sempre maggiore nella società dell’informazione: le risposte che fornirà la Corte al riguardo saranno quindi determinanti per capire quali siano i limiti che è legittimo imporre al diritto alla privacy in nome della sicurezza collettiva e individuale.
Riconciliare il diritto alla privacy con il diritto all’informazione e alla libertà d’espressione rappresenta un’altra sfida cruciale nell’era di Internet, a cui è necessario dare risposte concrete. Non sorprende, pertanto, che negli ultimi anni siano stati portati davanti alla Corte di giustizia numerosi casi che sollevano questioni giuridiche connesse a tale tema. Ad esempio, la Corte tornerà ad occuparsi di questo tema nel caso G.C. (C-136/17) relativo all’estensione del diritto di ottenere la cancellazioni di taluni link dall’elenco di risultati visualizzabili sulla pagina di un motore di ricerca in seguito ad una specifica ricerca.
La portata territoriale del GDPR
Il tema della portata territoriale del GDPR è uno di quelli più critici, ma anche uno di quelli più controversi. Secondo alcuni, con il passaggio dalla Direttiva 95/46/CE al GDPR l’ambito di applicazione del diritto europeo alla protezione dei dati personali ha conosciuto un’espansione eccessiva, andando ad applicarsi anche ad attività che non hanno direttamente a che fare con la privacy dei cittadini europei. Le linee guida sulla portata territoriale del GDPR recentemente pubblicate dal Comitato europeo per la protezione dei dati (EDPB) offrono alcuni chiarimenti utili sull’ambito di applicazione del Regolamento. Molti punti restano però da chiarire. Ad esempio, la domanda di pronuncia pregiudiziale formulata dal Conseil d’Ètat francese nel caso Google (C-507/17) fornirà alla Corte l’occasione di precisare il campo di applicazione ratione loci del diritto europeo alla protezione dei dati personali, ed in particolare se il cosiddetto “diritto all’oblio” debba essere limitato all’Unione europea. Ad essere precisi, il caso riguarda l’ambito di applicazione della Direttiva 95/46/CE, ma le risposte che la Corte fornirà avranno certamente risvolti importanti anche per quanto riguarda l’interpretazione del GDPR.
Competenze, compiti e poteri delle autorità di controllo
Più di metà del testo del GDPR riguarda questioni procedurali, dai poteri delle autorità di controllo ai compiti del Comitato europeo per la protezione dei dati. Si tratta per la gran parte di procedure quasi interamente nuove, sconosciute alla Direttiva 95/46/CE, ma con risvolti di importanza fondamentale. Ad esempio, per consentire alle autorità di controllo di esercitare i poteri ed assolvere i compiti ad esse attribuiti dal Regolamento è necessario che i criteri per identificare l’autorità o le autorità competenti siano chiari, soprattutto per quanto riguarda le investigazioni con risvolti transnazionali. Il rinvio pregiudiziale da parte della Corte d’Appello di Bruxelles offre alla Corte di giustizia l’occasione di chiarire quali siano, nell’ambito di un’investigazione afferente a trattamenti transfrontalieri, i poteri delle autorità di controllo diverse dalla ”autorità capofila” (in inglese, “lead authority”), ovvero diverse dell’autorità dello “stabilimento principale” del titolare o del responsabile del trattamento.
Adeguatezza dei meccanismi per il trasferimento di dati personali verso paesi terzi
Ai sensi del GDPR, per poter trasferire dati verso paesi terzi è necessario seguire uno dei meccanismi fissati dal Regolamento. Uno di questi meccanismi è quello delle “decisioni di adeguatezza”: il trasferimento di dati personali verso un paese terzo è ammesso se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo garantiscono un livello di protezione adeguato. Il Privacy Shield è un esempio di decisione di adeguatezza per il trasferimento di dati negli Stati Uniti, adottata dalla Commissione in sostituzione del vecchio protocollo Safe Harbor dichiarato invalido dalla Corte di giustizia.
Il meccanismo del Privacy Shield è stato contestato da più parti, ed è stato richiesto alla Corte di giustizia di esprimersi sulla validità dello stesso in due cause separate: la causa La Quadrature du Net (T-738/16) e la causa Facebook Ireland e Schrems (C-311/18). Se la Corte dovesse decidere di annullare anche questo meccanismo per lo scambio di dati tra UE ed USA, ciò determinerebbe nuovamente una situazione di incertezza giuridica, con conseguenze negative sui flussi di dati transatlantici. Si tratta quindi di casi da seguire con attenzione. La prima udienza del caso T-738/16 è stata fissata per il 1 luglio 2019.
Dopo questa breve panoramica sui casi pendenti davanti alla Corte di giustizia, appare chiaro come siano molti ed importanti i nodi da sciogliere da parte da parte della Corte. Visto che molti di questi nodi riguardano aspetti centrali del GDPR, si può certamente dire che la futura tenuta del Regolamento dipende molto dalle risposte che la Corte sarà in grado di dare. Non rimane quindi che seguire con attenzione i casi elencati in questo articolo.
