Corte Ue e privacy
Tutte le authority nazionali possono agire contro i social network
Brutte notizie ieri dalla Corte di giustizia europea per i social network. Tutte le Autorità nazionali dell’Unione a tutela della privacy potranno agire in giudizio per contestare il trattamento dei dati e non solo quella del Paese dove è collocata la sede legale della società. Nel caso si trattava dell’ormai proverbiale Irlanda, visto che a essere chiamata in causa è stata Facebook. La Corte, con la sentenza nella causa C- 645/ 19, ha infatti affermato che, a determinate condizioni, un’autorità nazionale di controllo può esercitare il suo potere di intraprendere un’azione davanti a un giudice di uno Stato membro in caso di presunta violazione del Gpdr, pur non essendo l’Autorità capofila per tale trattamento.
A monte della pronuncia dei giudici europei c’è l’azione inibitoria avviata, nel settembre 2015, dalla Commissione belga per la tutela della vita privata nei confronti delle società Facebook Ireland, Facebook Inc. e Facebook Belgium, indirizzata a porre termine a violazioni della normativa relativa alla protezione dei dati. Violazioni che consistevano nella raccolta e nell’uso di informazioni sul comportamento di navigazione degli utenti di internet belgi, detentori o meno di un account Facebook, attraverso varie tecnologie, come i cookie, i social plugin o i pixel.
La Corte d’appello di Bruxelles ha sollecitato l’intervento della Corte Ue, dubitando che l’Authority belga, per fatti successivi all’entrata in vigore del Regolamento generale sulla protezione dati e cioè il 25 maggio 2018, possa agire nei confronti di Facebook Belgium, dal momento che è Facebook Ireland ad essere stata individuata come titolare del trattamento dei dati interessati.
Infatti, a partire da tale data e segnatamente in applicazione del principio dello « sportello unico » previsto dal Gdpr, solo il Commissario irlandese per la protezione dei dati sarebbe competente ad intentare un’azione inibitoria, sotto il controllo dei giudici irlandesi.
Per la Corte Ue, a dovere essere richiamato è il dovere di leale collaborazione tra le Autorità dei singoli Paesi dell’Unione e l’Autorità capofila, per cui, tra l’altro, « l’autorità di controllo capofila non può ignorare le opinioni delle altre autorità di controllo interessate e qualsiasi obiezione pertinente e motivata formulata da una di queste ultime autorità ha l’effetto di bloccare, almeno temporaneamente, l’adozione del progetto di decisione dell’autorità di controllo capofila » .
Inoltre, la Corte afferma una certa libertà di azione giuridica tra gli Stati dell’Unione. Infatti, in caso di trattamento transfrontaliero di dati, l’esercizio del potere di un’Autorità di controllo di uno Stato membro, diversa dall’Autorità di controllo capofila, di intraprendere un’azione giudiziaria non richiede che il titolare del trattamento o il responsabile del trattamento transfrontaliero di dati personali oggetto di questa azione disponga di uno stabilimento principale o di un altro stabilimento nel territorio di questo Stato membro. « Tuttavia, l’esercizio di tale potere deve rientrare nell’ambito di applicazione territoriale del Regolamento, il che presuppone che il titolare del trattamento o il responsabile del trattamento transfrontaliero disponga di uno stabilimento nel territorio dell’Unione » .
In sostanza per fare causa a Facebook non servirà più che abbia una sede o un ufficio sul territorio del Paese in cui opera l’Autorità nazionale, basterà che ce ne sia uno aperto in un qualsiasi Stato membro.