Facebook, in campo i garanti nazionali per violazioni dati
Per l’Avvocato generale la competenza non è solo dell’Authority capofila
Spazio anche alle Authority nazionali per contrastare l’invadenza dei social network nella gestione dei dati. Le conclusioni dell’avvocato generale della corte Ue nella causa C-645/19 vanno in questa direzione escludendo che possa essere la sola Autorità capofila per la protezione dei dati (quella del paese di stabilimento della società) a potere intervenire.
Nella controversia in discussione, l’autorità per la protezione dei dati del Belgio ha chiesto di imporre a Facebook di cessare, per tutti gli utenti stabiliti in Belgio, di collocare, senza il loro consenso, determinati cookie sul dispositivo utilizzato quando navigano su una pagina internet nel dominio Facebook.com o quando si ritrovano sul sito Internet di un terzo; a Facebook va inoltre impedito di raccogliere dati in modo eccessivo mediante social plugin e pixel su siti internet di terzi. Infine l’autorità belga chiede la distruzione di tutti i dati personali ottenuti attraverso cookie e social plugin, per ogni utente di internet stabilito in Belgio.
Facebook Belgium, unica società rispetto alla quale la Corte d’appello di Bruxelles ha affermato la propria competenza, ha però sostenuto che, sulla base del Rgpd (Regolamento generale sulla protezione dati), solo l’autorità per la protezione dei dati dello Stato dello stabilimento principale di Facebook nell’Unione europea, l’Irish data protection commission (Commissione irlandese per la protezione dei dati), è autorizzata ad agire in sede giudiziale nei confronti di Facebook per violazioni del Rgpd in relazione al trattamento transfrontaliero dei dati.
In primo luogo, sottolineano le conclusioni, è certo vero che, sulla base del Rgpd, emerge che l’autorità capofila per la protezione dei dati ha una competenza generale in materia di trattamento transfrontaliero dei dati, compresa l’azione in giudizio per violazione del Regolamento stesso, e che, implicitamente, le altre autorità per la protezione dei dati interessate dispongono di un potere di intervento in questo senso più limitato.
Tuttavia, per l’Avvocato generale, l’autorità capofila per la protezione dei dati non può essere considerata l’unico organo incaricato dell’applicazione del Rgpd in situazioni transfrontaliere e deve cooperare strettamente con le altre autorità per la protezione dei dati interessate, il cui contributo è determinante in quest’ambito.
Più in particolare, le autorità nazionali per la protezione dei dati, anche quando non agiscono in qualità di autorità capofila, possono comunque proporre azioni dinanzi alle autorità giurisdizionali del loro rispettivo Stato membro in caso di trattamento transfrontaliero in varie situazioni. Le conclusioni le dettagliano, ammettendo l’intervento quando le autorità nazionali per la protezione dei dati 1) agiscono al di fuori dell’ambito di applicazione materiale del Rgpd; 2) quando indagano sul trattamento transfrontaliero dei dati effettuato da autorità pubbliche, nell’interesse pubblico, nell'esercizio di pubblici poteri o da parte di titolari del trattamento che non sono stabiliti nell’Unione; 3) se adottano misure urgenti o intervengono dopo la decisione dell’autorità capofila per la protezione dei dati di non trattare un caso.