Il fornitore non è sempre responsabile del trattamento

One-stop shop mechanism: quale competenza del Garante nazionale nelle questioni privacy con rilevanza transfrontaliera?

Anche questa volta si tratta di Facebook, azienda non nota per il rispetto della privacy dei suoi utenti. Il caso, di cui più sotto fornisco una rapida descrizione, riguarda la possibilità di intervento dei garanti privacy nazionali nelle azioni a carattere transfrontaliero, cioè proprio quelle rivolte per lo più contro i giganti del web.

I garanti, in tali casi, utilizzano il c.d. sportello unico, alias one-stop shop mechanism (OSS) previsto agli artt. 55 e ss. del GDPR, ovvero una procedura che consente il coordinamento tra autorità di controllo europee (cioè il nostro Garante privacy e i suoi omologhi in UE) per la tutela dei dati personali compiuti da soggetti stranieri in territorio o verso cittadini dell’Unione. In particolare il meccanismo in questione consente, all’Autorità di Controllo Capofila (ACC, e in inglese, Lead Supervisory Authority – LSA) – ovvero l’autorità dello Stato ove ha sede lo stabilimento unico o principale del titolare o del responsabile del trattamento – di agire verso quest’ultimo anche su impulso di altra autorità di controllo avente sede nello Stato in cui il trattamento illegittimo si è consumato (o dove ha residenza il soggetto interessato).

Il fatto

L’11 settembre 2015 il presidente della commissione belga per la protezione della vita privata, divenuta in seguito la GBA, ha intentato un’azione nei confronti di Facebook (Facebook Inc., Facebook Ireland Ltd e Facebook Belgium BVBA) dinanzi al tribunale di primo grado di Bruxelles. Tale procedimento riguarda presunte violazioni della normativa sulla protezione dei dati commesse da Facebook e consistenti, in particolare, nella raccolta e nell’utilizzazione illecita di informazioni sul comportamento di navigazione privata degli utenti Internet in Belgio mediante tecnologie quali i «cookie», i «social plugin» e «pixel».

In sintesi, la GBA sostiene che Facebook ha utilizzato varie tecnologie per «osservare e seguire individui quando navigano da un sito Internet a un altro e utilizza, poi, le informazioni raccolte per tracciare un profilo di navigazione e, in base ad esso, mostra loro pubblicità mirate, senza informare adeguatamente gli interessati né ottenere un loro valido consenso». La GBA sostiene inoltre che Facebook si avvale di queste prassi a prescindere dal fatto che l’interessato si sia registrato o meno sulla sua piattaforma social.

Nel caso di specie, la ACC è senz’altro quella irlandese (l’Irish Data Protection Commission), poiché è lì che ha la sede principale Facebook in Europa. Il giudizio è tuttavia in corso in Belgio e, nel suo ambito, è stata formulata la domanda di pronuncia pregiudiziale dalla Corte di Appello di Bruxelles sull’interpretazione del meccanismo OSS (causa C-645/19).

La questione controversa e il parere dell’Avvocato Generale

Ci si chiede se il meccanismo OSS consenta solo all’ACC di agire innanzi alla giustizia ordinaria del suo paese per la violazione del GDPR contro Facebook o se, a tali fini, l’iniziativa possa essere rimessa anche all’Autorità di Controllo Interessata (ACI, e in inglese, Supervisory Authority Concerned – SAC), ovvero quella che ha per prima segnalato alla ACC il trattamento illegittimo.

Chiamato ad esprimersi su tale punto l’avvocato generale della Corte di giustizia dell’Unione europea Michal Bobek ha emesso un parere non vincolante (il 13 gennaio scorso, qui) sui casi che consentirebbero alle ACI di agire in relazione ad un’azione transfrontaliera.

Ebbene, l’AG ha ritenuto che la competenza della ACC vada considerata la regola, e la competenza delle altre autorità di controllo, l’eccezione[1]. Un’opinione che non ha soddisfatto l’ACI belga poiché, se da un lato rafforza il ruolo dello sportello unico, rischia di sottrarre la tutela all’impulso del paese o del cittadino dove il trattamento illegittimo si è consumato. Bobek ha tuttavia suggerito di considerare una futura riforma del meccanismo OSS ammettendo che «se i pericoli relativi alla sottoapplicazione del GDPR suggeriti dall’autorità belga dovessero concretizzarsi, l’intero sistema del meccanismo OSS sarebbe maturo per una revisione importante».

Le 6 eccezioni

L’AG non si è limitato ad una enunciazione di principio, ma ha opportunamente elencato i casi in cui le ACI possono rivolgersi al giudice nazionale del loro Stato, e cioè:

  • quando agiscono al di fuori dell’ambito di applicazione materiale del GDPR (ad esempio in ambito e-Privacy);
  • quando il trattamento è effettuato da autorità pubbliche o da privati nell’esercizio di pubblici poteri (art. 55 GDPR);
  • quando nessuna autorità di controllo può agire in qualità di ACC perché non esiste uno stabilimento del titolare o del responsabile nell’Unione europea;
  • quando devono essere adottate misure urgenti ex 66 GDPR;
  • quado un’ACI si trovi di fronte a una persistente inerzia dell’ACC competente;
  • infine, quando l’ACC decida di non trattare il caso ad essa rimesso conformemente all’articolo 56, paragrafo 5, del GDPR.

Una considerazione finale

I casi elencati dall’AG, consentono senz’altro di ridurre molto il ruolo dell’ACC consentendo un intervento autonomo e diffuso delle autorità di controllo nazionali sull’operato delle piattaforme web (e in generale su quello di operatori extracomunitari che trattano dati di cittadini europei).

È interessante notare al riguardo che la proposta di regolamento europeo «relativo a un mercato unico dei servizi digitali » recentemente pubblicato (qui), la quale contiene molti principi che sono ispirati dal GDPR, non introduce un meccanismo OSS, ma conferisce invece l’applicazione delle questioni transfrontaliere alla Commissione europea[2].

Tale fatto – da leggersi unitamente alle eccezioni dell’AG nel caso in rassegna e alle perplessità espresse dalla ricorrente GBA – suggerisce forse un riconoscimento implicito da parte della Commissione Europea che il meccanismo OSS previsto per il GDPR non funziona?

Parere dell’Avvocato Generale sul caso C‑645/19 (Facebook vs. GBA)

Francesco Rampone – f.rampone@lascalaw.com

© RIPRODUZIONE RISERVATA

[1] L’articolo 66, paragrafo 1, GDPR, riguardante la procedura d’urgenza, dispone che, in circostanze eccezionali, qualora ritenga che urga intervenire per proteggere i diritti e le libertà degli interessati, un’autorità di controllo interessata può, in deroga al meccanismo di coerenza, «adottare immediatamente misure provvisorie intese a produrre effetti giuridici nel proprio territorio, con un periodo di validità determinato che non supera i tre mesi». Tale articolo rafforza la tesi dell’eccezionalità del ricorso al giudice locale da parte delle autorità non capofila.

[2] In generale, recita il considerando 103: «È opportuno attribuire alla Commissione competenze di esecuzione al fine di garantire condizioni uniformi di esecuzione del presente regolamento. È altresì opportuno che tali competenze siano esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio». Stessa formula è contenuta nella proposta di Regolamento europeo «relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche» (qui).

 

 

Print Friendly, PDF & Email

Condividi su

Potrebbe interessarti anche
Il TAR detta regole restrittive per i DPO persone giuridiche

Con proprio provvedimento del 29 aprile scorso, il Garante privacy ha definitivamente approvato il ...

Privacy

Il fornitore non è sempre responsabile del trattamento

Fastweb sanzionata per oltre 4.5 milioni di euro. È assai utile analizzare il lungo e articolato...

Privacy

Il fornitore non è sempre responsabile del trattamento

COVID e iniziative del Garante È recentemente circolata la notizia di tre sanzioni pecuniarie da...

Coronavirus

X