Il 3 gennaio è stata pubblicata sulla gazzetta ufficiale europea una causa che è ormai storica: quella che contrappone Whatsapp Irlanda e Edpb, i garanti privacy europei.
La questione è di fondamentale importanza perché concerne direttamente il modo col quale deve applicarsi il meccanismo, fondamentale nel GDPR, della Leading Authority e dei poteri dello EDPB ad esso conferiti dalll’art.65 del GDPR per la composizione delle controversie tra le Autorità nazionali sorte proprio nell’ambito dell’applicazione del principio della Leading Authority.
Whatsapp contro garanti privacy europei: perché è importante
Sappiamo che del primo novembre la notizia che WhatsApp Ireland Ltd ha convenuto davanti alla Corte di Giustizia della UE il Comitato europeo per la protezione dei dati per ottenere l’annullamento della decisione vincolante dello EDPB 1/2021 del 28 luglio 2021, relativa alla controversa sulla decisione della Autorità di controllo irlandese concernente la WhatApp Ireland ai sensi dell’art. 65, paragrafo 1 lettera a) del regolamento UE 2016/679 (GDPR).
Whatsapp e i Garanti europei: lo one stop shop “irlandese” mostra tutti i suoi limiti
Inoltre la questione assume un particolare rilievo per il fatto che il ricorso alla Cote di Giustizia è stato proposto da WhatsApp contro una decisione dello EDPB che riforma, aumentando notevolmente la sanzione comminata, il progetto di decisione della Autorità Irlandese nei confronti di WhatsApp per violazione da parte di questa società della normativa GDPR. La competenza irlandese è radicata peraltro nel fatto che WhatsApp Irland ha sede nel territorio irlandese e dunque anche nel territorio della UE, superando così, nel fornire i suoi servizi, il complesso tema del trasferimento dei dati all’estero.
È ben notto peraltro che proprio l’atteggiamento tradizionalmente “comprensivo” che ha sempre caratterizzato la Autorità irlandese verso le OTT con sede principale in USA è alla base della scelta, da parte di queste ultime, dell’Irlanda come Stato nel quale porre la loro sede in UE e ha costituito e costituisce una forte spinta all’incremento dei proventi che l’Irlanda trae dalle imposte legate al fatto che queste società hanno sede nel suo territorio.
Nel caso specifico lo EDPB con la decisone del 28 luglio 2021 aveva riformato il progetto di decisione adottato dall’Autorità Irlandese e aveva comminato a WhatsApp una sanzione ben superiore rispetto alle violazioni accettate dalla stessa Autorità Irlandese, in conformità peraltro proprio all’art. 65 del GDPR.
WhatsApp ha successivamente impugnato la decisione dello EDPB davanti alla Corte di Giustizia con una serie di rilievi che, soprattutto se valutati nella loro complessità, mettono profondamente in crisi il ruolo dello EDPB e lo stesso meccanismo di “composizione delle controversie” da parte del Comitato.
I motivi del ricorso di Whatsapp
I motivi del ricorso, secondo quanto pubblicato nella G.U.U.E. (gazzetta europea) sono 7 e riguardano l’accusa di:
- eccesso di competenza da parte dello EDPB rispetto a quanto previsto dall’art. 65 (motivo 1);
- violazione degli art. 13 (informazioni da fornire quando i dati sono raccolti presso l’interessato), paragrafo 1, lettera d) e art.12 (Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato), paragrafo 1 in quanto lo EDPB interpreterebbe in modo troppo estensivo queste disposizioni e quindi avrebbe ampliato troppo gli obblighi di trasparenza di WhatsApp;
- violazione da parte dello EDPB dell’art.4, paragrafo 1 del GDPR (definizione di dato personale) ampliando tropo la nozione di “dato personale”;
- violazione da parte dello EDPB dell’art.48 della Carta dei diritti UE (presunzione di innocenza) perché esso avrebbe spostato su WhatsApp l’onere di provare che il trattamento fatto rende “puramente ipotetico” il rischio di reidentificazione degli interessati;
- violazione da parte dello EDPB del principio di buona amministrazione sancito dall’art.41 della Carta , non rispettando il diritto di WhatsApp di essere ascoltata, disattendendo i propri obblighi di esaminare con cura e imparzialità gli elementi di prova e di fornire una motivazione adeguata;
- violazione dell’art. 83 del GDPR (Condizioni generali per infliggere sanzioni amministrative pecuniarie) e dei principi contenuti nel GDPR rispetto alla determinazione delle sanzioni;
- violazione da parte dello EDPB del principio di certezza del diritto dovuta al fatto che lo EDPB non avrebbe riconosciuto che la sua decisione si basa su una interpretazione inedita e imprevedibile di alcune disposizioni del GDPR sicché la violazione stessa non era prevedibile prima della pronuncia.
Come si vede si tratta di una serie corposa di motivi di impugnazione della decisione dello EDPB e questo rende la vicenda ancora più rilevante.
Alcune delle violazioni denunciate riguardano infatti specificamente il ruolo dello EDPB e le interpretazioni da esso date ad alcune disposizioni del GDPR che riguardano anche i suoi stessi poteri.
Altre ragioni di impugnativa riguardano invece la lettura da darsi di alcuni principi fondamentali della Carta dei diritti come quello della imparzialità dell’amministrazione, della certezza del diritto, della determinazione delle sanzioni.
Per questo la causa che pende davanti alla Corte di Giustizia è particolarmente importante e tocca in profondità aspetti essenziali del diritto unionale.
Il ruolo di EDPB
Più importante ancora, però, è che al centro della questione sta -è inutile tacerlo- il ruolo stesso dello EDPB e l’estensione del principio di uniformità nell’applicazione del GDPR da parte di tutte le Autorità garanti.
Proprio quest’ultimo è il punto più importante della questione. Il GDPR è nato dalla consapevolezza che la UE, come il resto del mondo, stava per entrare nella Digital Age e che questo avrebbe richiesto regole uniformi e uniformemente applicate per garantire a tutti la possibilità di poter contare su una efficace e omogenea tutela dei propri dati e, quindi, poter aver fiducia nei trattamenti digitali dei dati che sono l’architrave della società digitale.
Inoltre, come ripete spesso la Presidente von der Leyen, la UE è nata per dar vita al Mercato Unico europeo, ritenuto la risposta migliore alle devastanti conseguenze di due guerre mondiali combattute per risolvere (senza riuscirci) il conflitto fra Francia e Germania sul possesso delle risorse della RUHR e dell’Alsazia.
Il passaggio della UE all’epoca Digitale impone dunque la costruzione di una Mercato Unico Digitale che assicuri, anche nella nuova epoca, le stesse condizioni fondative della UE proprie del Mercato Unico europeo.
Di qui il pacchetto di proposte regolatorie presentato dalla Commissione nel 2020 e definito come Digital Package, che dovrebbe essere in larga misura definitivamente approvato nel prossimo semestre a presidenza francese della UE.
Necessaria un’applicazione certa delle regole
Non vi è dubbio tuttavia che la costruzione di un efficace Digital Market europeo, basato essenzialmente sulla forza regolatoria dell’Unione, richiede anche una adeguata capacità di garantire una applicazione certa, prevedibile e uniforme delle regole in tutto l’ambito del mercato regolato.
A tal fine il GDPR non si è limitato a predisporre una regolazione applicabile in modo uniforme su tutto il territorio unionale e sottoposta alla vigilanza di Autorità nazionali di garanzia indipendenti dai governi nazionali. Esso è andato molto più in là prevedendo anche, proprio attraverso lo EDPB, strumenti di armonizzazione dei modi di applicazione del GDPR, assicurando che l’attività di tutte le Autorità sia inquadrata in regole comuni di attuazione del GDPR e conferendo allo EDPB poteri adeguati a tal fine.
Inoltre lo EDPB è stato concepito anche come l’organo di chiusura del nuovo meccanismo normativo finalizzato a rendere irrilevante la scelta del territorio su cui collocare in UE la sede di una società perché se è vero che l’attività di trattamento dei dati è sottoposta al meccanismo della Leading Authority è sempre previsto un successivo controllo uniformante dell’EDPB.
Anche questo aspetto, così centrale nel quadro del GDPR, è ora sotto esame da parte della Corte di Giustizia che è chiamata a pronunciarsi su aspetti essenziali del meccanismo.
Non è ancora possibile prevedere come la controversia davanti alla Corte di Giustizia si svilupperà e quali potranno essere le conclusioni alle quali perverrà la Corte.
Al momento è solo evidente che la questioni esaminata è di vitale importanza sia per lo EDPB che per le Autorità nazionali e, in ultima analisi, per la Unione stessa, oggi impegnata a fondo nello sforzo di implementare la sua capacità di competizione globale nell’Epoca Digitale.
Quello che è certo è che di tutto questo sono ben consapevoli le Autorità di garanzia della UE e tutto lo EDPB.
Per questo la vicenda WhatsApp versus EDPB è vista dallo stesso EDPB come di particolare importanza e per questo, anche nell’ambio dello EDPB, tutte le Autorità hanno messo a disposizione le loro risorse tecniche e le competenze dei loro funzionari per rafforzare la difesa dello EDPB davanti alla Corte di Giustizia. La stessa Autorità italiana sta collaborando con grande impegno a questo sforzo.
La partita è di importanza vitale e sarà bene che tanto la Autorità italiana quanto chi in Italia si occupa istituzionalmente o professionalmente di questi temi vigili attentamente sugli svolgimenti che avrà.
Noi oggi, con questo scritto, abbiamo appena iniziato a farlo.
