Le Authority garanti tra limiti di ruolo e tutela della privacy
La Corte di giustizia, nella decisione commentata ieri su questo giornale, ammettendo, a certe condizioni, che un’Autorità garante, pur non essendo la “capofila”, possa esercitare il suo potere di intentare un’azione dinanzi a un giudice nazionale, ha provato a dare una risposta al seguente quesito: quale l’equilibrio più corretto tra applicazione coerente e omogenea della disciplina europea in materia di protezione dati ed esigenza di garantire, in ogni caso, un adeguato livello di protezione al diritto alla privacy digitale che la Carta dei diritti dell’Unione promuove, a tutti gli effetti, a diritto fondamentale? La Corte di giustizia riesce a dare una risposta convincente, interpretando in modo conforme al Bill of Rights dell’Unione le disposizioni del Gdpr in tema di sportello unico. Un meccanismo, quest’ultimo, che si fonda sulla ripartizione delle competenze tra un’ « Autorità di controllo capofila » e le altre Autorità degli Stati membri coinvolte in caso di trattamento transfrontaliero di dati. L’Autorità di controllo capofila è quella dello Stato in cui vi è lo stabilimento principale del controller.
Il punto fondamentale da chiarire era se la ripartizione di competenze tra Autorità capofila e Autorità di controllo che presiede a questo meccanismo, volto evidentemente a una semplificazione delle procedure e a una maggiore coerenza delle decisioni, implicasse che la prima, vale a dire la capofila, fosse sempre e soltanto l’unica Autorità a poter, per cosi dire, “interloquire”, con il titolare del trattamento. L’importanza della decisione della Corte è, rispondendo negativamente a questa domanda, fare emergere come il meccanismo dello sportello unico non sia un monolite che attribuisce sempre e comunque la prima e l’ultima parola all’Autorità capofila, ma piuttosto un complesso sistema di coordinamento e di ripartizione di competenze.
Allo stesso modo la Corte di giustizia è assai saggia nel non cadere nella trappola preparata dall’Autorità di controllo belga per cui tale meccanismo di coordinamento, attribuendo comunque l’esclusività, seppure tendenziale, dell’interlocuzione all’Autorità capofila, si scontrerebbe con le disposizioni della Carta dei diritti dell’Unione a tutela della privacy, della protezione dati e del principio di effettività della tutela giurisdizionale. La tutela di tali valori costituzionali è rintracciata, dai giudici di Lussemburgo, proprio all’interno delle maglie del Gdpr, nell’equilibrio di cui si parlava in apertura tra, per un verso, omogeneità dell’applicazione della disciplina rilevante e, per altro verso, coinvolgimento di tutte le Autorità nel sistema di protezione dei diritti in gioco.
Un equilibrio che si fonda su due indicazioni assai rilevanti che provengono da Lussemburgo. Innanzitutto, responsabilizzazione dell’Autorità capofila che ha, per cosi dire, una speciale responsabilità, per l’appunto, a promuovere un’efficace tutela dei diritti fondamentali. Pena l’incoraggiare, nelle parole della Corte « una pratica di forum
shopping, in particolare da parte dei titolari del trattamento, al fine di eludere tali diritti fondamentali » . Quindi l’Autorità capofila deve essere cane da guardia che non solo abbai, ma sia anche in grado di mordere. In secondo luogo, e forse l’aspetto più interessante della decisione, il processo di responsabilizzazione dell’Autorità capofila si lega a una visione, strettamente connessa, della stessa non come istituzione che “balla da sola” ma che, in una dimensione corale, non può sottrarsi « a un dialogo indispensabile nonché a una cooperazione leale ed efficace con le altre Autorità di controllo interessate » .
Si tratta di un punto molto importante perché si attribuisce sostanza a quel dialogo orizzontale tra Autorità di protezione che il Gdpr ha provato a rafforzare dal punto di vista istituzionale, ma che va ovviamente poi testato, come in questo caso, anche al di fuori del board delle Autorità garanti.
In conclusione, sembra emergere un orientamento della Corte di giustizia che prova a emanciparsi da quella prospettiva unidirezionale di tutela della privacy digitale che ha caratterizzato le decisioni rilevanti più recenti e che guardi con maggiore ampiezza al sistema di protezione dei diritti fondamentali, cercando dunque un bilanciamento, spesso a geometria variabile, tra istanze frequentemente in conflitto.
Se in futuro si riuscisse ad ampliare ancora di più la visione in merito alla “costellazione” dei diritti in gioco che spesso sono coinvolti in questi casi, come, per esempio, libertà di espressione e diritto di iniziativa economica, l’obiettivo di una tutela sistemica, in grado di inquadrare detta costellazione nel suo insieme, potrebbe essere presto realizzato.