This document is an excerpt from the EUR-Lex website
Document 62019CC0645
Opinion of Advocate General Bobek delivered on 13 January 2021.#Facebook Ireland Ltd and Others v Gegevensbeschermingsautoriteit.#Request for a preliminary ruling from the Hof van beroep te Brussel.#Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Charter of Fundamental Rights of the European Union – Articles 7, 8 and 47 – Regulation (EU) 2016/679 – Cross-border processing of personal data – ‘One-stop shop’ mechanism – Sincere and effective cooperation between supervisory authorities – Competences and powers – Power to initiate or engage in legal proceedings.#Case C-645/19.
Conclusioni dell’avvocato generale M. Bobek, presentate il 13 gennaio 2021.
Facebook Ireland Limited e a. contro Gegevensbeschermingsautoriteit.
Domanda di pronuncia pregiudiziale proposta dallo Hof van beroep te Brussel.
Rinvio pregiudiziale – Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Carta dei diritti fondamentali dell’Unione europea – Articoli 7, 8 e 47 – Regolamento (UE) 2016/679 – Trattamento transfrontaliero di dati personali – Meccanismo dello “sportello unico” – Cooperazione leale ed efficace tra le autorità di controllo – Competenze e poteri – Potere di agire in sede giudiziale.
Causa C-645/19.
Conclusioni dell’avvocato generale M. Bobek, presentate il 13 gennaio 2021.
Facebook Ireland Limited e a. contro Gegevensbeschermingsautoriteit.
Domanda di pronuncia pregiudiziale proposta dallo Hof van beroep te Brussel.
Rinvio pregiudiziale – Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Carta dei diritti fondamentali dell’Unione europea – Articoli 7, 8 e 47 – Regolamento (UE) 2016/679 – Trattamento transfrontaliero di dati personali – Meccanismo dello “sportello unico” – Cooperazione leale ed efficace tra le autorità di controllo – Competenze e poteri – Potere di agire in sede giudiziale.
Causa C-645/19.
ECLI identifier: ECLI:EU:C:2021:5
CONCLUSIONI DELL’AVVOCATO GENERALE
MICHAL BOBEK
presentate il 13 gennaio 2021 ( 1 )
Causa C‑645/19
Facebook Ireland Limited,
Facebook Inc.,
Facebook Belgium BVBA
contro
Gegevensbeschermingsautoriteit
[domanda di pronuncia pregiudiziale proposta dallo hof van beroep te Brussel (Corte d’appello di Bruxelles, Belgio)]
«Domanda di pronuncia pregiudiziale – Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Carta dei diritti fondamentali dell’Unione europea – Articoli 7, 8 e 47 – Regolamento (UE) 2016/679 – Articoli 55, 56, 58, 60, 61 e 66 – Autorità di controllo – Trattamento transfrontaliero dei dati – Sportello unico – Autorità di controllo capofila – Autorità di controllo interessata – Competenza – Poteri – Potere di agire in sede giudiziale»
I. Introduzione
1. |
Il regolamento generale sulla protezione dei dati ( 2 ) (in prosieguo: il «RGPD») consente a un’autorità di controllo di uno Stato membro di agire dinanzi a un giudice di tale Stato per una presunta violazione del suddetto regolamento in relazione al trattamento transfrontaliero dei dati, allorché tale autorità non è l’autorità di controllo capofila rispetto a tale trattamento? |
2. |
Oppure il nuovo meccanismo dello «sportello unico», annunciato come una delle principali innovazioni introdotte dal RGPD, impedisce il verificarsi di una situazione del genere? Qualora un titolare del trattamento fosse chiamato a difendersi contro un’azione legale in materia di trattamento transfrontaliero dei dati, intentata da un’autorità di controllo dinanzi a un giudice al di fuori del luogo di stabilimento principale del titolare del trattamento, costituirebbe tutto ciò uno «sportello di troppo» e pertanto incompatibile con il nuovo meccanismo del RGPD? |
II. Contesto normativo
A. Diritto dell’Unione
3. |
Nel preambolo del RGPD è evidenziato, fra l’altro, che: «[s]ebbene i suoi obiettivi e principi rimangano tuttora validi, la direttiva 95/46/CE non ha impedito la frammentazione dell’applicazione della protezione dei dati personali nel territorio dell’Unione, né ha eliminato l’incertezza giuridica» (considerando 9); è opportuno assicurare un’applicazione coerente e omogenea delle norme relative al trattamento dei dati personali in tutta l’Unione (considerando 10); le autorità di controllo dovrebbero controllare l’applicazione delle norme e contribuire alla loro coerente applicazione, così da tutelare le persone fisiche e facilitare la libera circolazione dei dati personali nel mercato interno (considerando 123); in situazioni di trattamento transfrontaliero «l’autorità di controllo dello stabilimento principale del titolare del trattamento o del responsabile del trattamento o dello stabilimento unico del titolare del trattamento o del responsabile del trattamento dovrebbe fungere da autorità capofila» e tale autorità deve «cooperare con le altre autorità interessate» (considerando 124). |
4. |
Ai sensi dell’articolo 51, paragrafo 1, del RGPD «[o]gni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di controllare l’applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all’interno dell’Unione (“autorità di controllo”)». |
5. |
Ai termini dell’articolo 55, paragrafo 1, del RGPD «[o]gni autorità di controllo è competente a eseguire i compiti assegnati e a esercitare i poteri a essa conferiti a norma del presente regolamento nel territorio del rispettivo Stato membro». |
6. |
L’articolo 56 del RGPD riguarda la competenza dell’autorità di controllo capofila. Il paragrafo 1 di tale disposizione così recita: «[f]atto salvo l’articolo 55, l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare e del trattamento o responsabile del trattamento è competente ad agire in qualità di autorità di controllo capofila per i trattamenti transfrontalieri effettuati dal suddetto titolare del trattamento o responsabile del trattamento, secondo la procedura di cui all’articolo 60». |
7. |
L’articolo 56, paragrafi da 2 a 5, dispone che, in deroga al paragrafo 1, «ogni autorità di controllo è competente per la gestione dei reclami a essa proposti o di eventuali violazioni del presente regolamento se l’oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro». Tali casi possono essere trattati dalle autorità di controllo capofila, che operano in ossequio alla procedura di cui all’articolo 60 del RGPD, o, «[n]el caso in cui l’autorità di controllo capofila decida di non trattar[e il caso]», dall’autorità di controllo locale, che opera conformemente agli articoli 61 e 62 del RGPD. |
8. |
L’articolo 56, paragrafo 6, stabilisce che «[l]’autorità di controllo capofila è l’unico interlocutore del titolare del trattamento o del responsabile del trattamento in merito al trattamento transfrontaliero effettuato da tale titolare del trattamento o responsabile del trattamento». |
9. |
L’articolo 58, paragrafo 5, del RGPD, relativo ai poteri delle autorità di controllo, così recita: «Ogni Stato membro dispone per legge che la sua autorità di controllo abbia il potere di intentare un’azione o di agire in sede giudiziale o, ove del caso, stragiudiziale in caso di violazione del presente regolamento per far rispettare le disposizioni dello stesso». |
10. |
Il capo VII del RGPD, rubricato «Cooperazione e coerenza» include gli articoli da 60 a 76. L’articolo 60, rubricato «Cooperazione tra l’autorità di controllo capofila e le altre autorità di controllo interessate», stabilisce la procedura dettagliata che le autorità di controllo capofila devono seguire in caso di trattamento transfrontaliero di dati. |
11. |
Dal canto suo, l’articolo 61, paragrafo 2, del RGPD, che riguarda l’assistenza reciproca, impone a ogni autorità di controllo di adottare «tutte le misure opportune necessarie per dare seguito alle richieste delle altre autorità di controllo senza ingiustificato ritardo e comunque entro un mese dal ricevimento della richiesta». L’articolo 61, paragrafo 8, del RGPD dispone che qualora l’autorità di controllo non fornisca le informazioni richieste, l’autorità di controllo richiedente può adottare misure provvisorie nel territorio del suo Stato membro; in tal caso, si considera che urga intervenire ai sensi dell’articolo 66, paragrafo 1. |
12. |
L’articolo 65 del RGPD, rubricato «Composizione delle controversie da parte del comitato», al paragrafo 1, lettera a), dispone che al fine di assicurare l’applicazione corretta e coerente del presente regolamento nei singoli casi, il comitato europeo per la protezione dei dati (in prosieguo: il «Comitato») adotta una decisione vincolante nei casi in cui, in particolare, un’autorità di controllo interessata abbia sollevato un’obiezione pertinente e motivata a un progetto di decisione dell’autorità di controllo capofila oppure l’autorità di controllo capofila abbia rigettato tale obiezione in quanto non pertinente o non motivata. |
13. |
L’articolo 66, paragrafo 1, riguardante la procedura d’urgenza, dispone che, in circostanze eccezionali, qualora ritenga che urga intervenire per proteggere i diritti e le libertà degli interessati, un’autorità di controllo interessata può, in deroga al meccanismo di coerenza, «adottare immediatamente misure provvisorie intese a produrre effetti giuridici nel proprio territorio, con un periodo di validità determinato che non supera i tre mesi». |
14. |
Il capo VIII del RGPD, rubricato «Mezzi di ricorso, responsabilità e sanzioni» include gli articoli da 77 a 84. L’articolo 77, paragrafo 1, offre a ogni interessato il diritto di proporre reclamo a un’autorità di controllo riguardo a possibili violazioni del regolamento rispetto al trattamento dei propri dati personali, «segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione». L’articolo 78, paragrafi 1 e 2, del RGPD offre a ogni persona fisica o giuridica il diritto a un ricorso giurisdizionale effettivo avverso, in particolare, una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda, nonché avverso un’autorità di controllo che non tratti un reclamo. |
B. Diritto nazionale
15. |
La Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (legge dell’8 dicembre 1992 relativa alla tutela della vita privata con riguardo al trattamento dei dati personali; in prosieguo: la «WVP») e successive modifiche, ha recepito la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ( 3 ). Tale legge, in particolare, istituiva la Commissione belga per la protezione della vita privata. Ai sensi dell’articolo 32, paragrafo 3, di tale legge, «[f]atta salva la competenza della giurisdizione ordinaria per l’applicazione dei principi generali di tutela della vita privata, il presidente della Commissione [per la protezione della vita privata] può sottoporre al giudice di primo grado qualsiasi controversia relativa all’applicazione della presente legge e alle sue misure di esecuzione». |
16. |
Ai sensi dell’articolo 3 della Wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit – (legge del 3 dicembre 2017 che istituisce l’Autorità per la protezione dei dati; in prosieguo: la «legge GBA»), in vigore il 25 maggio 2018 – è stata istituita la Gegevensbeschermingsautoriteit (Autorità per la protezione dei dati; prosieguo: la «GBA») per succedere alla Commissione per la protezione della vita privata. Conformemente all’articolo 6 di tale legge, la GBA «è competente a portare qualsiasi violazione dei principi fondamentali della protezione dei dati personali, nel quadro della presente legge e delle leggi recanti disposizioni sulla tutela del trattamento dei dati personali, a conoscenza delle autorità giudiziarie e, se del caso, ad agire in sede giudiziale per far applicare detti principi fondamentali». |
17. |
La legge GBA non conteneva alcuna specifica disposizione relativa alle azioni in sede giudiziale promosse sulla base dell’articolo 32, paragrafo 3, della WVP, ancora pendenti al 25 maggio 2018. |
18. |
La WVP è stata abrogata dalla Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (legge del 30 luglio 2018 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali). Tale legge attua le disposizioni del RGPD che impongono o consentono agli Stati membri di adottare norme più dettagliate in aggiunta alle norme comuni. |
III. Fatti, procedimento dinanzi ai giudici nazionali e questioni pregiudiziali
19. |
L’11 settembre 2015, il presidente della commissione belga per la protezione della vita privata, divenuta in seguito la GBA, ha intentato un’azione nei confronti di Facebook Inc., Facebook Ireland Ltd e Facebook Belgium BVBA (in prosieguo, congiuntamente: «Facebook») dinanzi al Nederlandstalige rechtbank van eerste aanleg Brussel (tribunale di primo grado di Bruxelles di lingua neerlandese, Belgio). Tale procedimento riguarda presunte violazioni della normativa sulla protezione dei dati commesse da Facebook, consistenti, in particolare, nella raccolta e nell’utilizzazione illecita di informazioni sul comportamento di navigazione privata degli utenti di Internet in Belgio mediante tecnologie quali i «cookie», i «social plugin» e i «pixel». |
20. |
In sintesi, la GBA sostiene che Facebook utilizza varie tecnologie per «osservare e seguire individui quando navigano da un sito Internet a un altro e utilizza, poi, le informazioni raccolte per tracciare un profilo di navigazione e, in base ad esso, mostra loro pubblicità mirate, senza informare adeguatamente gli interessati né ottenere un loro valido consenso. La GBA sostiene che Facebook si avvale di queste prassi a prescindere dal fatto che l’interessato si sia registrato o meno sulla rete sociale di Facebook. |
21. |
La GBA ha chiesto che fosse ingiunto a Facebook di cessare, per tutti gli utenti di Internet stabiliti nel territorio belga, di collocare, senza il loro consenso, cookie, che rimangono attivi per due anni, nei dispositivi utilizzati da tali utenti mentre navigano su una pagina Internet nel dominio Facebook.com o quando si ritrovano sul sito Internet di un terzo, nonché di raccogliere dati, in modo eccessivo, tramite social plugin e pixel su siti Internet di terzi. Inoltre, essa ha chiesto la distruzione di tutti i dati personali ottenuti mediante cookie e social plugin riguardanti ogni utente di Internet stabilito nel territorio belga. |
22. |
Con ordinanza cautelare del 9 novembre 2015, il presidente del Nederlandstalige rechtbank van eerste aanleg Brussel (tribunale di primo grado di Bruxelles di lingua neerlandese) ha dichiarato la sua competenza a trattare la controversia e la ricevibilità dell’azione nei confronti di tutti e tre i convenuti. Tale giudice ha altresì ordinato ai medesimi convenuti, in via cautelare, di cessare talune attività nei confronti degli utenti di Internet situati nel territorio belga. |
23. |
Il 2 marzo 2016, Facebook ha impugnato tale ordinanza dinanzi allo hof van beroep te Brussel (Corte d’appello di Bruxelles, Belgio). Con sentenza del 29 giugno 2016, tale giudice ha riformato l’ordinanza di primo grado. In particolare, esso ha dichiarato di non essere competente riguardo alle azioni intentate nei confronti di Facebook Inc. e di Facebook Ireland Ltd, ma di esserlo, invece, quanto all’azione intentata nei confronti di Facebook Belgium BVBA. Il procedimento principale è stato, quindi, circoscritto all’azione nei confronti di Facebook Belgium BVBA. Il medesimo giudice ha altresì dichiarato che non vi era urgenza. |
24. |
Da quanto comprendo, la controversia attualmente pendente dinanzi allo hof van beroep te Brussel (Corte d’appello di Bruxelles) riguarda l’impugnazione di una successiva decisione nel merito resa dal giudice di primo grado. Nell’ambito del procedimento di appello, Facebook Belgium BVBA eccepisce, in particolare, che da quando è divenuto applicabile il nuovo meccanismo dello «sportello unico» del RGPD, la GBA ha perso la propria competenza a proseguire il procedimento principale, non essendo l’autorità di controllo capofila. Per quanto riguarda il trattamento transfrontaliero di cui trattasi, l’autorità di controllo capofila sarebbe l’Irish Data Protection Commission (Commissione irlandese per la protezione dei dati). Lo stabilimento principale del titolare del trattamento nell’Unione europea si trova in Irlanda (Facebook Ireland Ltd). |
25. |
Alla luce di quanto precede, lo hof van beroep te Brussel (Corte d’appello di Bruxelles) ha deciso di sospendere il giudizio e di sottoporre alla Corte le seguenti questioni pregiudiziali:
|
26. |
Facebook, la GBA, i governi belga, ceco, italiano, polacco, portoghese e finlandese, nonché la Commissione europea, hanno presentato osservazioni scritte. Facebook, la GBA e la Commissione hanno altresì svolto difese orali all’udienza del 5 ottobre 2020. |
IV. Analisi
27. |
In sintesi, la problematica essenziale che si pone nel procedimento principale è se la GBA possa proseguire un’azione giudiziale nei confronti di Facebook Belgium per quanto riguarda il trattamento transfrontaliero di dati personali che è avvenuto successivamente all’applicabilità del RGPD, dato che l’entità incaricata del trattamento dei dati è Facebook Ireland Ltd. |
28. |
Per affrontare tale problematica occorre valutare la portata e il funzionamento del meccanismo dello «sportello unico» a cui fa riferimento lo stesso RGPD al suo considerando 127. Tale meccanismo consiste in una serie di norme che fanno sorgere, in caso di trattamento transfrontaliero dei dati, un punto centrale di attuazione mediante un’autorità di controllo capofila (in prosieguo: l’«ACC»), che si trova all’interno del sistema di procedure di cooperazione e coerenza con le autorità di controllo interessate (in prosieguo: le «ACI»), inteso a garantire il coinvolgimento di tutte le autorità di controllo implicate. |
29. |
Ai sensi dell’articolo 56, paragrafo 1, del RGPD, un’autorità di controllo agisce in qualità di ACC rispetto al trattamento transfrontaliero effettuato dai titolari del trattamento e dai responsabili del trattamento aventi il loro stabilimento principale o il loro stabilimento unico nel suo territorio. Ai sensi dell’articolo 4, punto 22, del RGPD, un’autorità di controllo agisce in qualità di ACI laddove sia soddisfatta una delle seguenti condizioni alternative: «a) il titolare del trattamento o il responsabile del trattamento è stabilito sul territorio dello Stato membro di tale autorità di controllo; b) gli interessati che risiedono nello Stato membro dell’autorità di controllo sono o sono probabilmente influenzati in modo sostanziale dal trattamento; oppure c) un reclamo è stato proposto a tale autorità di controllo». |
30. |
Prima di esaminare il merito delle questioni pregiudiziali, sono necessarie talune osservazioni preliminari (A). Mi soffermerò, in seguito, sull’esame delle problematiche giuridiche sollevate dal giudice del rinvio. Mi concentrerò, in particolare, sulla prima questione pregiudiziale, in quanto la stessa si colloca al centro della controversia di cui è investito il giudice del rinvio (B). Successivamente, affronterò brevemente le altre questioni pregiudiziali, dato che, se la risposta alla prima questione fosse quella proposta nelle presenti conclusioni, una risposta a tali altre questioni diverrebbe superflua o quantomeno agevole (C). |
A. Osservazioni preliminari
31. |
Rilevo, innanzitutto, che incontro una certa difficoltà nel comprendere appieno alcuni elementi del procedimento principale. |
32. |
In primo luogo, devo constatare che la pertinenza delle questioni poste nel corso del procedimento principale non mi è del tutto chiara, dato che, tra le parti contro le quali ha agito la GBA, pare che solo Facebook Belgium sia ancora convenuta nel procedimento principale ( 4 ). Dal fascicolo di cui dispone la Corte sembrerebbe che tale società non sia né lo «stabilimento principale» del titolare del trattamento ai fini dell’articolo 4, punto 16, del RGPD, né, poiché pare essere uno stabilimento della stessa impresa, un possibile «contitolare del trattamento» ai sensi dell’articolo 26 del RGPD ( 5 ). |
33. |
Tuttavia, le questioni sottoposte in via pregiudiziale godono di una presunzione di rilevanza. Di conseguenza, la Corte rifiuta di statuire soltanto qualora, segnatamente, non siano rispettati i requisiti di cui all’articolo 94 del regolamento di procedura della Corte di giustizia o appaia in modo manifesto che l’interpretazione del diritto dell’Unione richiesta non ha alcuna relazione con i fatti o qualora le questioni siano di natura (interamente) ipotetica ( 6 ). La presente causa non rientra, a mio avviso, in tali situazioni. «Chi è chi» e «chi può essere perseguito per cosa di preciso» non è solo una valutazione fattuale rimessa in ultima analisi al giudice nazionale, ma è anche, in un certo senso, uno degli aspetti delle questioni sottoposte alla Corte. |
34. |
In secondo luogo, neppure l’aspetto temporale del procedimento principale è del tutto facile da cogliere. L’azione in giudizio è stata intentata mentre era vigente la direttiva 95/46. Tale azione è proseguita quando è entrato in vigore il RGPD. Tuttavia, attualmente, il procedimento parrebbe riguardare solo condotte poste in essere dopo che il nuovo quadro normativo è divenuto applicabile. In questione è, infatti, se la prosecuzione del procedimento da parte della GBA sia conforme alle disposizioni del RGPD, elemento, questo, sollevato dalla quarta questione pregiudiziale. Tuttavia, tali questioni sarebbero pertinenti nel procedimento principale solo se un’autorità nazionale intendesse portare a termine un procedimento in corso riguardante presunte violazioni precedenti al momento in cui il nuovo quadro normativo è divenuto applicabile. Se, tuttavia, il procedimento in corso riguardasse a questo punto solo presunte illegittimità verificatesi dopo la data in cui è divenuto applicabile il RGPD, eventualmente associato alla ricerca della inibitoria giudiziale (necessariamente in prospettiva) di tali pratiche, non è agevole comprendere perché la GBA, nei limiti in cui si ritiene competente a intervenire, non abbia posto fine al procedimento in corso e non abbia proceduto in applicazione delle pertinenti disposizioni del RGPD. |
35. |
In terzo luogo, nel corso dell’udienza, la GBA ha menzionato uno scambio che essa ha avuto con l’Autorità di controllo irlandese e con il Comitato riguardo ad una delle tecnologie utilizzate da Facebook per raccogliere i dati (cookie). È stato affermato che le due autorità di controllo non fossero d’accordo quanto al fatto se tale tecnologia rientrasse effettivamente nell’ambito di applicazione ratione materiae del RGPD. |
36. |
A tal proposito, e per quanto riguarda il caso in esame, vale la pena sottolineare che talune attività di trattamento dei dati possono effettivamente rientrare nell’ambito di applicazione ratione materiae di più di uno strumento legislativo dell’Unione, nel qual caso tutti questi strumenti sono, salvo ove diversamente previsto, contemporaneamente applicabili ( 7 ). In altri casi, invece, ad esempio laddove le attività di trattamento non riguardino dati personali ai sensi dell’articolo 4, punto 1, del RGPD, quest’ultimo, ovviamente, non è applicabile. |
37. |
Pertanto, qualora l’asserita illegittimità di taluni tipi di trattamento di dati derivi da altre disposizioni del diritto (dell’Unione o nazionale), le procedure e i meccanismi previsti dal RGPD non entrano in gioco. Il RGPD non può essere utilizzato come passerella per introdurre nel meccanismo dello «sportello unico» condotte che, pur implicando flussi di dati o anche il loro trattamento, non si pongono in contrasto con nessuno degli obblighi ivi previsti. |
38. |
Per decidere se un caso rientri o meno nell’ambito di applicazione ratione materiae del RGPD, un giudice nazionale – compreso qualsiasi giudice del rinvio – dovrebbe indagare sulla precisa fonte dell’obbligo giuridico che incombe a un operatore economico e che si assume violato da quest’ultimo. Se la fonte di tale obbligo non è il RGPD, logicamente, non sono applicabili nemmeno le procedure previste da tale strumento, connesse all’ambito di applicazione ratione materiae dello stesso. |
B. Sulla prima questione pregiudiziale
39. |
Con la prima questione pregiudiziale, il giudice del rinvio chiede, essenzialmente, se le disposizioni del RGPD, lette alla luce degli articoli 7, 8 e 47 della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»), consentano all’autorità di controllo di uno Stato membro di agire in sede giudiziale dinanzi a un giudice di tale Stato per presunta violazione del RGPD riguardo a un trattamento transfrontaliero dei dati, anche se essa non è l’«autorità di controllo capofila». |
40. |
A tal riguardo, la GBA, nonché i governi belga, italiano, polacco e portoghese sostengono che la Corte dovrebbe rispondere in senso affermativo, mentre Facebook, i governi ceco e finlandese, nonché la Commissione, sostengono la tesi opposta. |
41. |
Nella parte che segue, illustrerò perché non trovo convincente l’interpretazione del RGPD proposta dalla GBA e dai governi belga, italiano, polacco e portoghese: sia dal punto di vista letterale e sistematico (1), che da quello teleologico e storico (2), l’interpretazione del RGPD va chiaramente nella direzione opposta. Inoltre, né un’interpretazione del regolamento alla luce della Carta (3), né gli asseriti rischi di possibile insufficiente osservanza del RGPD (4) sono tali da rimettere in discussione, quantomeno attualmente, quella che ritengo essere la corretta interpretazione del RGPD. |
42. |
Ciò premesso, le conseguenze di tale particolare lettura del regolamento non sono, a mio parere, così estreme quanto quelle suggerite da Facebook, dai governi ceco e finlandese, nonché dalla Commissione. Di conseguenza, illustrerò perché la risposta da fornire al giudice del rinvio dovrebbe trovarsi in una posizione intermedia rispetto alle due posizioni avanzate nella presente causa: l’autorità di controllo di uno Stato membro ha il diritto di agire in sede giudiziale dinanzi a un giudice di tale Stato per una presunta violazione del RGPD riguardo al trattamento transfrontaliero dei dati, pur non essendo l’ACC, a condizione che ciò avvenga nei casi e secondo le procedure previste dal RGPD (5). |
1. Un’interpretazione letterale e sistematica del RGPD
43. |
Innanzitutto, ritengo che il tenore letterale delle pertinenti disposizioni, specialmente se lette nel loro contesto, deponga a favore di un’interpretazione del RGPD secondo la quale l’ACC detiene una competenza generale in materia di trattamento transfrontaliero e, implicitamente, le ACI dispongono di un potere di azione limitato in tal senso. |
44. |
L’articolo 56, paragrafo 1, del RGPD stabilisce che «l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare e del trattamento o responsabile del trattamento è competente ad agire in qualità di autorità di controllo capofila per i trattamenti transfrontalieri effettuati dal suddetto titolare del trattamento o responsabile del trattamento, secondo la procedura di cui all’articolo 60» ( 8 ). Ai sensi dell’articolo 56, paragrafo 6 «[l]’autorità di controllo capofila è l’unico interlocutore del titolare del trattamento o del responsabile del trattamento in merito al trattamento transfrontaliero effettuato da tale titolare del trattamento o responsabile del trattamento» ( 9 ). Il considerando 124 riprende tali disposizioni, affermando essenzialmente che, nel caso di trattamento transfrontaliero «l’autorità di controllo dello stabilimento principale del titolare del trattamento o del responsabile del trattamento o dello stabilimento unico del titolare del trattamento o del responsabile del trattamento dovrebbe fungere da autorità capofila» ( 10 ). |
45. |
La competenza generale dell’ACC riguardo al trattamento transfrontaliero dei dati è ulteriormente confermata dal fatto che i casi in cui la competenza, per quanto riguarda il trattamento transfrontaliero, è conferita ad altre autorità di controllo sono descritti come eccezioni alla regola generale. In particolare, l’articolo 55, paragrafo 2, del RGPD esclude la competenza dell’ACC per quanto riguarda taluni trattamenti di dati «effettuat[i] da autorità pubbliche». Inoltre, l’articolo 56, paragrafo 2, del RGPD dispone che, in deroga al principio secondo cui la competenza appartiene all’ACC «ogni autorità di controllo è competente per la gestione dei reclami a essa proposti o di eventuali violazioni del presente regolamento se l’oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro». |
46. |
Inoltre, l’articolo 66 del RGPD, che riguarda la «procedura d’urgenza», conferisce a ciascuna ACI «in circostanze eccezionali», laddove vi sia urgenza di intervenire per proteggere i diritti e le libertà degli interessati, il potere di adottare immediatamente misure provvisorie intese a produrre effetti giuridici nel proprio territorio, con un periodo di validità determinato che non supera i tre mesi, «in deroga» ai meccanismi di cooperazione e coerenza di cui agli articoli 60, 63, 64 e 65 del RGPD. |
47. |
Pertanto, mi pare piuttosto chiaro dalla lettera del RGPD che, con riguardo al trattamento transfrontaliero, la competenza dell’ACC è la regola mentre la competenza delle altre autorità di controllo è l’eccezione ( 11 ). |
48. |
Tuttavia, la GBA e taluni governi contestano tale interpretazione del RGPD. A loro avviso, il tenore delle pertinenti disposizioni suggerisce un diritto (quasi incondizionato) di qualsiasi autorità di controllo di proporre azioni in sede giudiziale avverso eventuali violazioni che riguardano i loro territori, indipendentemente dal carattere transfrontaliero o meno del trattamento. Essi si basano, essenzialmente, su due argomenti. |
49. |
In primo luogo, osservano che con l’espressione «[f]atto salvo l’articolo 55», incipit dell’articolo 56, paragrafo 1, si intende che la competenza conferita all’ACC da quest’ultima disposizione non può interferire su o limitare i poteri attribuiti dalla prima disposizione a ogni autorità di controllo, compreso quello di proporre un’azione in sede giudiziale. |
50. |
Tale argomento non mi pare convincente. |
51. |
L’articolo 55, paragrafo 1, stabilisce il principio secondo il quale ogni autorità di controllo «è competente a eseguire i compiti assegnati e a esercitare i poteri a essa conferiti a norma del presente regolamento nel territorio del rispettivo Stato membro». Tali compiti sono poi elencati all’articolo 57 del RGPD. I poteri sono elencati al successivo articolo 58. Tra i compiti affidati figura, in particolare, quello di sorvegliare e assicurare l’applicazione del RGPD [articolo 57, paragrafo 1, lettera a)]. A norma dell’articolo 58 sono conferiti alle autorità di controllo vari poteri di indagine (paragrafo 1), correttivi (paragrafo 2), autorizzativi e consultivi (paragrafo 3), nonché il potere di agire in sede giudiziale (paragrafo 5). |
52. |
In sostanza, tali disposizioni – a cui si riferisce implicitamente l’articolo 55 – racchiudono tutti i compiti e i poteri conferiti alle autorità di controllo in virtù del RGPD. Se si accogliesse l’interpretazione avanzata dalla GBA e da taluni governi, non resterebbe praticamente nulla per la competenza generale dell’ACC, privando così l’articolo 56 di qualsivoglia significato. L’ACC non sarebbe né l’«unico» interlocutore, né la «capofila» delle altre autorità di controllo. Il suo ruolo sarebbe verosimilmente ridotto a quello di un «punto di informazione», senza un incarico chiaramente definito. |
53. |
L’importanza del ruolo attribuito all’ACC e, implicitamente, del meccanismo dello sportello unico, risulta ancor più evidente leggendo congiuntamente e contestualmente tali disposizioni. |
54. |
Ne è un primo indizio la preminenza attribuita all’articolo 56 nel sistema del RGPD. L’articolo 56 è la seconda disposizione che figura nella pertinente sezione del RGPD (capo VI, rubricato «Autorità di controllo indipendenti», sezione 2, rubricata «Competenza, compiti e poteri»), e si colloca immediatamente dopo la disposizione generale sulle «competenze» e prima delle altre disposizioni generali sui «compiti» e sui «poteri». Pertanto, il legislatore dell’Unione ha inteso sottolineare la centralità della competenza dell’ACC, ancor prima di illustrare i compiti e i poteri specifici di tutte le autorità di controllo. |
55. |
Ancor più importante, la rilevanza del ruolo dell’ACC è altresì corroborata dalle disposizioni contenute nel capo VII del RGPD, rubricato «Cooperazione e coerenza», che definiscono i diversi procedimenti e meccanismi che le autorità di controllo devono seguire al fine di garantire una coerente applicazione del RGPD. In particolare, l’articolo 60, prima disposizione di tale capo a cui rinvia l’articolo 56, paragrafo 1, disciplina la procedura di «[c]ooperazione tra l’autorità di controllo capofila e le altre autorità di controllo interessate». |
56. |
È evidente che si tratti della procedura da seguire ove sia necessaria un’azione di contrasto rispetto al trattamento transfrontaliero. Tale procedura, al pari delle altre procedure previste al capo VII del RGPD, non è facoltativa. I termini imperativi che figurano, in particolare, all’articolo 51, paragrafo 2, e all’articolo 63 del RGPD, indicano inequivocabilmente, infatti, che le autorità di controllo devono cooperare e devono farlo utilizzando (obbligatoriamente) le procedure e i meccanismi a tal fine istituiti. |
57. |
Pertanto, l’espressione «[f]atto salvo l’articolo 55», di cui all’articolo 56, paragrafo 1, ha un significato diverso rispetto a quello suggerito dalla GBA. A mio avviso, tale formula, nel contesto in cui si colloca, significa semplicemente che, anche se in un singolo caso, è l’ACC a essere competente per quel caso che implica un trattamento transfrontaliero ai sensi dell’articolo 56 del RGPD, tutte le autorità di controllo conservano, ovviamente, i poteri generali loro conferiti dall’articolo 55 (e dell’articolo 58) del RGPD. |
58. |
Ai sensi dell’articolo 55, paragrafo 1, del RGPD, gli Stati membri devono consentire all’autorità di controllo di eseguire i compiti assegnati e di esercitare i poteri a essa conferiti a norma del regolamento. Tale disposizione conferisce, quindi, a qualsiasi autorità di controllo un potere (o competenza) generale di agire relativamente al proprio territorio, e ciò è valido indipendentemente («fatto salvo») dal fatto se il trattamento sia transfrontaliero e, ove lo sia, l’autorità in questione funga da ACC o da ACI ( 12 ). Tuttavia, l’articolo 55 del RGPD non disciplina le situazioni e le modalità in cui tale potere di agire sarà di volta in volta esercitato. Infatti, tali aspetti sono regolati da altre disposizioni del RGPD, in particolare quelle del capo VII. Secondo tali disposizioni, se un’autorità di controllo possa esercitare il potere generale di agire e il modo in cui lo esercita dipende, tra l’altro, per un determinato titolare o responsabile del trattamento, dalla circostanza se tale autorità sia l’ACC o l’ACI ( 13 ). |
59. |
A tal proposito, e in merito all’esito, condivido pertanto l’opinione del Comitato il quale, in un recente parere, ha fatto riferimento all’articolo 56, paragrafo 1, del RGPD quale «norma imperativa» e «lex specialis»: tale disposizione «prevale [sulla norma generale di cui all’articolo 55 del RGPD] ogniqualvolta si verifichi una situazione di trattamento che soddisfi le condizioni ivi specificate» ( 14 ). |
60. |
Di conseguenza, ritengo che la GBA e alcuni governi diano un’interpretazione erronea degli articoli 55 e 56, paragrafo 1, del RGPD. Tali intervenienti isolano dal suo contesto la prima parte dell’inciso dell’articolo 56, paragrafo 1, al fine di invertire il rapporto tra regola ed eccezione. In tal modo risulta diluito il contenuto prescrittivo di diverse disposizioni del RGPD e si inficia l’obiettivo, sottolineato tra l’altro nel considerando 10 dello stesso, di garantire un’applicazione più coerente e omogenea delle norme sulla protezione dei dati. Ciò equivarrebbe, in sostanza, a un ritorno al precedente regime della direttiva 95/46. |
61. |
In secondo luogo, la GBA e alcuni governi sostengono che dallo stesso tenore letterale dell’articolo 58, paragrafo 5, del RGPD consegue che tutte le autorità di controllo devono poter agire in sede giudiziale contro qualsiasi potenziale violazione delle norme sulla protezione dei dati che riguardano il loro territorio, indipendentemente dalla natura (locale o transfrontaliera) del trattamento. Ne conseguirebbe, a loro avviso, che anche se si interpretasse il meccanismo dello sportello unico come limite ai poteri delle altre autorità di controllo in relazione al trattamento transfrontaliero, tali limiti riguarderebbero solo l’azione amministrativa e non quella giudiziale. |
62. |
Neppure questo secondo argomento, a mio parere, può essere accolto. Presenta il medesimo «vizio» del precedente: leggere una specifica disposizione del RGPD in «isolamento clinico» rispetto al resto del regolamento e, al contempo, offrirne una interpretazione oltremodo estensiva. |
63. |
L’articolo 58, paragrafo 5, del RGPD stabilisce che: «[o]gni Stato membro dispone per legge che la sua autorità di controllo abbia il potere di intentare un’azione o di agire in sede giudiziale o, ove del caso, stragiudiziale in caso di violazione del presente regolamento per far rispettare le disposizioni dello stesso». |
64. |
Tale disposizione impone agli Stati membri, da un lato, di autorizzare le autorità di controllo a mantenere stretti rapporti con le autorità giudiziarie (comprese, eventualmente, le autorità penali) e, dall’altro, di conferire alle autorità di controllo la legittimazione (non solo passiva, ma anche attiva) a stare in giudizio dinanzi alle loro autorità giurisdizionali. In altri termini, le autorità di controllo dovrebbero, in linea di principio, essere in grado di confrontarsi con le autorità giudiziarie e, se del caso, agire in sede giudiziale. Ritengo che una disposizione così espressa sia stata considerata necessaria dal legislatore dell’Unione poiché, malgrado il tenore dell’articolo 28, paragrafo 3, della direttiva 95/46 ( 15 ), esistevano significative differenze tra le legislazioni degli Stati membri in materia, che a loro volta hanno creato problemi di insufficiente applicazione ( 16 ). Il caso in esame, instaurato in vigenza di tale direttiva, offre un esempio in proposito: esso ha sollevato, ai sensi del diritto nazionale, problemi di legittimazione processuale della Commissione per la protezione della vita privata e di adeguatezza del fondamento giuridico dell’azione promossa dal suo presidente. |
65. |
Tuttavia, analogamente a quanto già affermato in precedenza ( 17 ), l’articolo 58, paragrafo 5, del RGPD stabilisce i poteri che devono essere conferiti senza eccezioni a tutte le autorità di controllo, in tale fase, a prescindere dalla (o prima della) determinazione se, in uno specifico caso, tale autorità sia l’ACC competente, l’ACI, oppure potenzialmente non interessata affatto. L’articolo 58, paragrafo 5, del RGPD non disciplina i casi e le modalità di esercizio di tale potere di agire in sede giudiziale. Ciò è presumibilmente anche il motivo per cui tale disposizione include l’espressione «ove del caso». Tutto ciò è oggetto di altre disposizioni del RGPD. |
66. |
Inoltre, né la lettera né la struttura dell’articolo 58 del RGPD suggeriscono che si possa operare una distinzione – come sostenuto dalla GBA –- tra i poteri amministrativi delle autorità (che sarebbero soggetti ai vincoli derivanti dal meccanismo dello sportello unico) e il potere di agire in sede giudiziale (che non sarebbe soggetto a tali vincoli). Tale disposizione elenca, paragrafo dopo paragrafo, i diversi poteri che devono essere conferiti alle autorità di controllo, raggruppandoli secondo la finalità (di indagine, correttivi, consultivi, ecc.). Il tenore letterale di tali paragrafi è abbastanza simile, affermando in sostanza che ogni autorità di controllo deve disporre dei poteri ivi previsti. |
67. |
Non ravviso quindi alcun fondamento per interpretare il paragrafo 5 dell’articolo 58 in modo diverso rispetto ai paragrafi da 1 a 3 della medesima disposizione. Delle due, l’una: o ogni singola autorità di controllo gode di tutti quei poteri senza il vincolo del meccanismo dello sportello unico, oppure tutti quei poteri devono essere esercitati secondo le modalità e nei limiti stabiliti dal regolamento. |
68. |
Per le ragioni illustrate ai precedenti paragrafi 51 e 52, la prima ipotesi non può essere accolta. Infatti, da una lettura nel suo contesto dell’articolo 58 del RGPD, risulta chiaro che, semmai, è vero il contrario rispetto a quanto sostenuto dalla GBA e da alcuni governi. |
69. |
Ciascuna autorità di controllo contribuisce, infatti, all’applicazione corretta e coerente del regolamento. A tal fine, ciascuna autorità di controllo – indipendentemente dal suo ruolo quale ACC o ACI in un caso specifico – deve, ad esempio, esaminare i reclami proposti dinanzi ad essa e farlo con la diligenza richiesta ( 18 ). Infatti, anche nel caso in cui le presunte violazioni riguardino il trattamento transfrontaliero e un’autorità non sia l’ACC, le altre autorità di controllo dovrebbero essere in grado di esaminare la questione al fine di fornire un contributo significativo quando chiamate a farlo nell’ambito dei meccanismi di cooperazione e coerenza ( 19 ), oppure di adottare misure urgenti. Tuttavia, spetta poi all’ACC, in generale, adottare decisioni vincolanti per applicare il RGPD nei confronti del responsabile del trattamento o del titolare del trattamento ( 20 ). In particolare, come emerge dalla recente sentenza nella causa Facebook Ireland e Schrems, spetta all’«autorità nazionale di controllo competente (…) se del caso, proporre un ricorso dinanzi ai giudici nazionali» ( 21 ). Pertanto, la tesi secondo cui le autorità di controllo potrebbero ignorare i meccanismi di cooperazione e coerenza qualora intendano intentare un’azione in sede giudiziale non può conciliarsi né con la lettera del RGPD né con la giurisprudenza della Corte. |
70. |
Peraltro, da un punto di vista più pratico, sarebbe illogico impedire a un’autorità di avviare un procedimento amministrativo, al fine di discutere con gli operatori interessati della presunta violazione delle norme in materia di protezione dei dati, ma consentire a quella stessa autorità di agire immediatamente in sede giudiziale per il medesimo fatto. Il contenzioso è spesso uno strumento di ultima istanza, al quale un’autorità può ricorrere qualora una problematica non possa essere trattata in modo efficace mediante discussioni (formali o informali) e decisioni a livello amministrativo. |
71. |
La distinzione suggerita dalla GBA, che non consentirebbe a un’autorità di controllo di indagare, preparare, elaborare e decidere (in via amministrativa), ma le consentirebbe invece di agire immediatamente in giudizio, si avvicina pericolosamente a trasformare le autorità amministrative in personaggi piuttosto discutibili da film western, che prima sparano e, semmai, (forse) dopo parlano («quando si spara si spara, non si parla» ( 22 )). Non credo che si tratti di un mezzo ragionevole o adeguato per le autorità amministrative di trattare presunte violazioni delle norme in materia di protezione dei dati. |
72. |
Inoltre, e soprattutto, consentire alle autorità di controllo di adire liberamente i loro giudici nazionali, mentre non possono avvalersi dei loro poteri amministrativi senza passare dover attraverso i meccanismi di cooperazione e coerenza previsti dal regolamento, aprirebbe la strada a una facile elusione di tali meccanismi. In particolare, in caso di disaccordo su un progetto di decisione, sia l’ACC sia (ciascuna) ACI potrebbero «prendere in pugno la situazione» e agire dinanzi ai giudici nazionali, aggirando in tal modo la procedura prevista all’articolo 60, paragrafo 4, e all’articolo 65 del RGPD. |
73. |
Ciò, a sua volta, priverebbe di senso una delle principali funzioni del Comitato – organo istituito dal RGPD – composto dalla figura di vertice di un’autorità di controllo per ciascuno Stato membro e dal Garante europeo della protezione dei dati ( 23 ). Uno dei compiti del Comitato è, precisamente, monitorare e assicurare l’applicazione corretta del RGPD in caso di disaccordo fra differenti autorità di controllo ( 24 ). In tali casi, il Comitato funge da foro per la composizione delle controversie e da organo decisionale. Se si seguisse l’interpretazione avanzata dalla GBA e da alcuni governi, il meccanismo di cui all’articolo 65 del RGPD potrebbe essere del tutto eluso: ogni autorità potrebbe agire per conto proprio, aggirando il Comitato. |
74. |
La situazione da ciò risultante parrebbe essere il contrario di ciò che il legislatore dell’Unione ha inteso conseguire con il nuovo sistema, come sarà illustrato nella sezione successiva. |
2. Un’interpretazione teleologica e storica del RGPD
75. |
Come risulta dal considerando 9 del RGPD, il legislatore dell’Unione ha considerato che, sebbene «i suoi obiettivi e principi rimangano tuttora validi, la direttiva 95/46/CE non ha impedito la frammentazione dell’applicazione della protezione dei dati personali nel territorio dell’Unione, né ha eliminato l’incertezza giuridica o la percezione, largamente diffusa nel pubblico (…) [dei] rischi per la protezione delle persone fisiche». |
76. |
La necessità di garantire coerenza diventa così la questione principale dello strumento giuridico destinato a sostituire la direttiva 95/46. Tale obiettivo è stato considerato importante da una duplice prospettiva: da un lato, garantire un livello omogeneo ed elevato di protezione delle persone fisiche e, dall’altro, rimuovere gli ostacoli ai flussi di dati personali all’interno dell’Unione, garantendo certezza del diritto e trasparenza per gli operatori economici ( 25 ). |
77. |
Tale ultimo aspetto merita di essere sottolineato. Ai sensi della direttiva 95/46, gli operatori economici attivi in tutta l’Unione erano tenuti a conformarsi ai diversi corpi di norme nazionali di trasposizione di tale direttiva ed a confrontarsi, al contempo, con tutte le autorità nazionali in materia di protezione dei dati. Tale situazione non era solo costosa, gravosa e dispendiosa in termini di tempo per gli operatori economici, ma anche un’inevitabile fonte di incertezza e conflitti per tali operatori e i loro clienti ( 26 ). |
78. |
I limiti del sistema istituito dalla direttiva 95/46 sono apparsi anche in varie sentenze della Corte. Nella sentenza Weltimmo, la Corte ha stabilito che i poteri delle autorità di protezione dei dati fossero strettamente limitati dal principio di territorialità: tali autorità potevano agire solo contro le violazioni avvenute all’interno del proprio territorio, dovendo in tutti gli altri casi chiedere l’intervento delle autorità degli altri Stati membri ( 27 ). Nella sentenza Wirtschaftsakademie Schleswig-Holstein, la Corte ha dichiarato che, in caso di trattamento transfrontaliero, ogni autorità di protezione dei dati poteva esercitare i propri poteri nei confronti di un organismo nel suo territorio, indipendentemente dalle opinioni e dalle azioni dell’autorità di protezione dei dati dello Stato membro in cui è stabilito l’organismo responsabile di tale trattamento ( 28 ). |
79. |
Tuttavia, nel mondo virtuale del trattamento dei dati, è spesso problematico suddividere le competenze delle varie autorità lungo linee territoriali ( 29 ). Inoltre, la mancanza di chiari meccanismi di coordinamento tra le autorità nazionali era fonte di incongruenze e incertezza. |
80. |
L’introduzione del meccanismo dello sportello unico, con il ruolo significativo attribuito all’ACC e i meccanismi di cooperazione istituiti per coinvolgere le altre autorità di controllo, intendeva, quindi, affrontare proprio tali problematiche ( 30 ). Nella sentenza Google (Portata territoriale della deindicizzazione), la Corte ha sottolineato l’importanza dei meccanismi di cooperazione e coerenza per l’applicazione corretta e coerente del RGPD, nonché il loro carattere obbligatorio ( 31 ). Più di recente, nella causa Facebook Ireland e Schrems, l’avvocato generale Saugmandsgaard Øe ha del pari sottolineato che i meccanismi di cooperazione e coerenza previsti dal capo VII del RGPD sono destinati a evitare il rischio che le varie autorità di controllo adottino approcci diversi in relazione al trattamento transfrontaliero ( 32 ). |
81. |
È vero che, come sottolineato dalla GBA, nel corso del procedimento legislativo sia il Consiglio che il Parlamento hanno cercato di limitare la competenza dell’ACC come inizialmente prospettata dalla Commissione. Tuttavia, le modifiche infine introdotte nel testo definitivo del RGPD non rimettono in discussione l’interpretazione dello stesso illustrata in precedenza ma, piuttosto, la confermano. |
82. |
Secondo la proposta originaria della Commissione, il meccanismo dello sportello unico implicava che un’unica autorità di controllo (l’ACC) dovesse essere responsabile della verifica delle attività del titolare o del responsabile del trattamento in tutta l’Unione europea e a prendere le relative decisioni ( 33 ). Tale proposta, tuttavia, ha dato luogo a discussioni in seno al Consiglio e al Parlamento. |
83. |
Il Consiglio, in definitiva, ha approvato un testo sulla base di una proposta avanzata dalla presidenza ( 34 ). Tale proposta non metteva affatto in discussione il meccanismo dello sportello unico in quanto tale, che era definito dal Consiglio «uno dei pilastri centrali» del nuovo quadro normativo ( 35 ). Fondamentalmente, la proposta della presidenza ha condotto, in definitiva, a due serie di emendamenti piuttosto specifici. |
84. |
In primo luogo, il Consiglio intendeva introdurre alcune eccezioni alla competenza generale dell’ACC: riguardo al trattamento effettuato dalle autorità pubbliche e riguardo alle situazioni locali. Il Consiglio proponeva, quindi, di introdurre due disposizioni che non figuravano nella proposta della Commissione ( 36 ), ovvero gli attuali articolo 55, paragrafo 2, e articolo 56, paragrafo 2, del RGPD ( 37 ). |
85. |
In secondo luogo, il Consiglio intendeva mitigare il ruolo e la competenza dell’ACC, rendendo la procedura più inclusiva. Il testo della proposta della Commissione era considerato alquanto ambiguo su tale punto, atto probabilmente a far sorgere una competenza esclusiva dell’ACC in materia di trattamento transfrontaliero dei dati. Pertanto, varie correzioni sono state apportate al testo al fine di rafforzare la «prossimità» tra gli interessati e le autorità di controllo ( 38 ). Tra l’altro, è stato notevolmente accresciuto il coinvolgimento delle altre autorità di controllo nel processo decisionale. |
86. |
Anche il Parlamento, dal canto suo, sosteneva l’istituzione del meccanismo dello sportello unico, con un ampliamento del ruolo dell’ACC, ma proponeva di rafforzare il sistema di cooperazione tra le autorità di controllo. Sia la motivazione della bozza di relazione del Parlamento ( 39 ) che la risoluzione legislativa del Parlamento europeo del 12 marzo 2014 ( 40 ) sono piuttosto chiare al riguardo. |
87. |
In sostanza, con l’intervento del Consiglio e del Parlamento, il meccanismo dello sportello unico, in precedenza fortemente orientato verso l’ACC, veniva trasformato in un meccanismo, più equilibrato, fondato su due pilastri: è mantenuto il ruolo preminente dell’ACC per quanto riguarda il trattamento transfrontaliero ma, attualmente, esso è accompagnato da un ruolo rafforzato delle altre autorità di controllo che partecipano attivamente al processo attraverso i meccanismi di cooperazione e coerenza, con l’attribuzione al Comitato di un ruolo di arbitro e guida in caso di disaccordo. |
88. |
Pertanto, un’interpretazione teleologica e storica del RGPD conferma l’importanza del meccanismo dello sportello unico e, di conseguenza, la competenza generale dell’ACC riguardo al trattamento transfrontaliero dei dati. L’interpretazione delle disposizioni del RGPD avanzata dalla GBA e da alcuni governi non è conciliabile con la volontà del legislatore dell’Unione, quale ricavabile dal preambolo e dalle disposizioni del regolamento, nonché dai lavori preparatori. |
89. |
Concludo, quindi, che un approccio letterale, contestuale, teleologico e storico all’interpretazione delle pertinenti disposizioni del RGPD conferma che le autorità di controllo sono tenute a rispettare le norme sulla competenza nonché sui meccanismi e le procedure di cooperazione e coerenza previste da detto regolamento. In presenza di un trattamento transfrontaliero, tali autorità devono agire nel quadro fissato dal RGPD. |
90. |
Tuttavia, la GBA e taluni governi hanno addotto due ulteriori serie di argomenti che depongono, a loro avviso, in favore di un rafforzamento del potere di tutte le autorità di controllo di agire unilateralmente, anche per quanto attiene al trattamento transfrontaliero. Nelle sezioni che seguono illustrerò i motivi per cui tali argomenti non dovrebbero rimettere in discussione l’interpretazione del RGPD che ho proposto in precedenza, certamente non al momento attuale. |
3. Un’interpretazione del RGPD orientata dalla Carta
91. |
La GBA sostiene che, per garantire il rispetto degli articoli 7, 8 e 47 della Carta, è necessario un potere incondizionato delle autorità di controllo di agire in sede giudiziale nei confronti dei responsabili del trattamento e dei titolari del trattamento, anche nel caso in cui il trattamento sia transfrontaliero. Parrebbero esservi due principali preoccupazioni alla base delle argomentazioni della GBA su questo tema, sebbene nessuna di queste sia stata pienamente articolata nelle sue osservazioni ( 41 ). |
92. |
La prima preoccupazione della GBA pare riguardare la riduzione del numero di autorità che possono agire riguardo a una determinata condotta. In tale affermazione pare esserci una supposizione implicita, ovvero che un livello elevato di protezione richiede una molteplicità di autorità che possono far rispettare il RGPD, anche agendo parallelamente. Detto in termini semplici, più autorità lo perseguono, più il livello di protezione è elevato. |
93. |
Non ritengo che sia necessariamente così, almeno per quanto riguarda il livello di protezione. |
94. |
È vero che, come dichiarato dalla Corte, la legislazione dell’Unione sulla protezione dei dati, letta alla luce degli articoli 7 e 8 della Carta, è intesa a garantire un livello elevato di protezione, in particolare, del diritto fondamentale al rispetto della vita privata con riguardo al trattamento dei dati personali ( 42 ). |
95. |
Ciononostante, il legislatore dell’Unione ha ritenuto che, al fine di garantire un «livello [...] elevato di protezione delle persone fisiche», è necessario «un quadro più solido e coerente in materia di protezione dei dati» ( 43 ). A tal fine, il quadro stabilito dal RGPD è inteso a garantire coerenza a tutti i livelli: per le persone fisiche, per gli operatori economici, per i titolari del trattamento e i responsabili del trattamento, nonché per le autorità di controllo ( 44 ). Riguardo a queste ultime, il RGPD intende, come confermato al considerando 116, promuovere una «più stretta cooperazione» fra le stesse ( 45 ). |
96. |
Di conseguenza, a differenza di quanto sostenuto dalla GBA, il perseguimento di un livello elevato di protezione dei diritti e delle libertà degli interessati è – agli occhi del legislatore dell’Unione – pienamente compatibile con il funzionamento del meccanismo dello sportello unico illustrato in precedenza. Consentendo un approccio più coerente, efficace e trasparente in materia, i meccanismi di cooperazione e coerenza enunciati nel RGPD dovrebbero contribuire a una rafforzata enfasi sulla promozione e salvaguardia dei diritti sanciti, in particolare, agli articoli 7 e 8 della Carta. |
97. |
In altri termini, un livello coerente e uniforme di protezione non osta certamente a che tale protezione sia fissata a un livello elevato. La questione è semplicemente stabilire il punto in cui tale livello uniforme debba essere collocato. Dopotutto, è dubbio che la coesistenza di diverse azioni non collegate, e potenzialmente contraddittorie, da parte delle autorità di controllo favorirebbe realmente l’obiettivo di garantire un livello elevato di protezione dei diritti dei singoli. Si potrebbe dire che la coerenza e la chiarezza, garantite dalle autorità di controllo che agiscono di concerto, sono più utili al perseguimento di tale obiettivo. |
98. |
La seconda preoccupazione espressa dalla GBA solleva problematiche di prossimità tra i soggetti che propongono un reclamo e le autorità che, in definitiva, agiranno in risposta a tale reclamo. La questione è, in sostanza, se i singoli possano utilmente agire in giudizio contro l’azione o l’inerzia delle autorità di controllo rispetto ai loro reclami. |
99. |
Invero, l’articolo 78 del RGPD conferma il diritto delle persone fisiche o giuridiche a un ricorso giurisdizionale effettivo nei confronti di un’autorità di controllo. Inoltre, per essere conformi all’articolo 47 della Carta, i rimedi previsti dal RGPD non possono richiedere agli interessati il rispetto di norme dettagliate che, tenuto conto del loro status di persone fisiche, possono pregiudicare eccessivamente il diritto a un giudice (ad esempio, aumentando i costi o ritardando l’azione) ( 46 ). |
100. |
Orbene, nessuno degli argomenti (piuttosto vaghi) dedotti da ciascuna parte a tal riguardo spiega chiaramente perché l’interpretazione del RGPD sostenuta da Facebook, dai governi ceco e finlandese, nonché dalla Commissione sarebbe in contrasto con l’articolo 47 della Carta. |
101. |
Anzitutto, il RGPD prevede espressamente il diritto degli interessati di agire contro tanto i titolari del trattamento quanto i responsabili del trattamento, nonché contro le autorità di controllo. Sul piano strutturale, pertanto, non è chiaro in che modo il RGPD non rispetterebbe l’articolo 47 della Carta. |
102. |
Per quanto riguarda il diritto degli interessati ad agire nei confronti dei titolari del trattamento e dei responsabili del trattamento, è data agli stessi la scelta di farlo dinanzi alle autorità giurisdizionali dello Stato membro in cui il titolare del trattamento o il responsabile del trattamento ha uno stabilimento o in cui risiede l’interessato ( 47 ). Tale norma sembra piuttosto favorevole, o quantomeno non problematica, per gli interessati ( 48 ). |
103. |
Per quanto riguarda il diritto degli interessati ad agire nei confronti delle autorità di controllo, la situazione è più complessa. Innanzitutto, gli interessati hanno il diritto di contestare sia le azioni sia l’inerzia delle autorità di controllo. In particolare, possono agire nei confronti di qualsiasi autorità di controllo che «non dà seguito a un reclamo, lo respinge in tutto o in parte o lo archivia o non agisce quando è necessario intervenire per proteggere i diritti dell’interessato» ( 49 ). |
104. |
Tuttavia, le azioni nei confronti delle autorità di controllo, a differenza di quelle nei confronti dei titolari del trattamento e dei responsabili del trattamento, devono essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’autorità di controllo è stabilita ( 50 ). Sebbene tale norma possa sembrare meno favorevole per i singoli, occorre tener presente che, ai sensi dell’articolo 60, paragrafi 8 e 9, del RGPD, ove un reclamo presentato da un interessato sia integralmente o parzialmente rigettato o archiviato, la relativa decisione è adottata e notificata all’interessato ad opera dell’autorità di controllo cui è stato proposto il reclamo. Ciò vale indipendentemente dalla circostanza che tale autorità sia o meno l’ACC, consentendo così (se del caso) all’interessato di agire giudizialmente nel proprio Stato membro. |
105. |
Tali meccanismi di trasferimento della competenza ad adottare le decisioni e, ove necessario, ad adottare potenzialmente decisioni a due livelli (l’ACC nei confronti del titolare del trattamento o del responsabile del trattamento, e l’autorità locale nei confronti del reclamante) sembrano specificamente intesi a evitare che gli interessati debbano «fare il giro» delle aule di giustizia dell’Unione europea al fine di intentare un’azione nei confronti delle autorità di controllo che restano inerti. |
106. |
Riconosco, tuttavia, che una siffatta soluzione può portare a diverse questioni di ordine pratico. Quale sarà l’esatto contenuto di ciascuna di tali decisioni? Tale contenuto sarebbe identico ( 51 ), o diverso? Un interessato sarebbe legittimato a mettere in discussione tutti gli aspetti che ritenesse pertinenti al suo caso, compresi quelli che fanno effettivamente parte della decisione dell’ACC? Oppure la decisione dell’autorità di controllo cui l’interessato ha proposto reclamo costituirebbe essenzialmente una «scatola vuota», che si limita a trattare in modo formale il reclamo individuale, mentre il contenuto effettivo è presente nella decisione dell’ACC? In tal caso, l’interessato, per avere accesso a un «ricorso giurisdizionale effettivo» ai sensi dell’articolo 78 del RGPD e dell’articolo 47 della Carta, dovrebbe comunque adire l’autorità giudiziaria dello Stato membro in cui ha sede l’ACC? Come funzionerebbero le norme per l’accesso a un ricorso giurisdizionale effettivo per quanto riguarda il riesame di eventuali decisioni sottostanti, sia a livello orizzontale (tra le autorità di controllo che agiscono congiuntamente) che a livello verticale (per quanto riguarda il riesame di un parere o di una decisione del Comitato nell’ambito del meccanismo di coerenza che precede e, probabilmente, determina effettivamente la decisione finale di un’autorità di controllo) ( 52 )? |
107. |
Non mancano potenziali problematiche spinose. L’esperienza pratica potrebbe, un giorno, rivelare reali problemi con la qualità o addirittura con il livello della tutela giurisdizionale del nuovo sistema. Attualmente, tuttavia, tali questioni restano meramente ipotetiche. In questa fase, e certamente nell’ambito della presente causa, non è stato sottoposto alla Corte nessun elemento che mostri problematiche concrete al riguardo. |
4. Una possibile insufficiente applicazione del RGPD
108. |
La GBA sostiene, in sintesi, che l’applicazione del RGPD nelle situazioni transfrontaliere non possa essere lasciata quasi esclusivamente all’ACC e agli interessati eventualmente oggetto del trattamento. È proprio a ciascuna autorità di controllo, infatti, che spetta agire al fine di tutelare i diritti dei soggetti che possono essere pregiudicati dal trattamento dei dati. In particolare, un’autorità di controllo non può adempiere correttamente al proprio compito se in ogni ipotesi la decisione di avviare o meno un’azione contro una sospettata violazione, e la modalità di tale azione, sia rimessa alla valutazione di un’altra autorità. |
109. |
A mio avviso, tale argomento rappresenta, essenzialmente, una diretta contestazione del nuovo meccanismo di cooperazione introdotto dal RGPD. La mia replica al riguardo è articolata su due livelli: da un lato, per quanto riguarda il livello della normativa vigente, si potrebbe affermare che il RGPD contiene meccanismi volti a evitare tali scenari; dall’altro, per quanto riguarda l’effettivo funzionamento e gli effetti dei nuovi sistemi, tali timori sono, in questa fase, prematuri e ipotetici. |
110. |
In primo luogo, occorre anzitutto precisare che il fatto che un’autorità di controllo non sia l’ACC nei confronti di un determinato titolare del trattamento o responsabile del trattamento non implica affatto, come sostenuto dalla GBA, che le violazioni del RGPD che comportano un reato non possano essere adeguatamente perseguite. Il potere di «intentare un’azione o di agire in sede giudiziale (...) in caso di violazione del presente regolamento», enunciato all’articolo 58, paragrafo 5, include chiaramente il potere di confrontarsi con le autorità penali come il pubblico ministero. Tale potere è coerente con il compito delle autorità di controllo di sorvegliare e assicurare l’applicazione del RGPD nel loro territorio e non pregiudica il buon funzionamento dei meccanismi di cooperazione e coerenza stabiliti al capo VII del RGPD. A tal riguardo, è a malapena necessario sottolineare che, sebbene tali meccanismi siano obbligatori per le autorità di controllo, non si applicano alle altre autorità degli Stati membri, in particolare a quelle incaricate di perseguire i reati. |
111. |
In secondo luogo – e soprattutto – quando il sistema istituito dal RGPD è integralmente rispettato, è abbastanza chiaro che l’ACC non è l’unico organo incaricato dell’applicazione del RGPD in situazioni transfrontaliere. L’ACC è, piuttosto, un primus inter pares. In generale, un’ACC potrà agire (per via amministrativa o giudiziale) solo con il consenso delle ACI. Nell’ambito della procedura di cui all’articolo 60 del RGPD, l’ACC è tenuta a cercare un consenso ( 53 ). Essa non può ignorare le opinioni delle ACI. Non solo l’ACC «tiene debitamente conto» di tali opinioni, ma qualsiasi obiezione formale espressa da un’ACI ha l’effetto di bloccare temporaneamente l’adozione del progetto di decisione dell’ACC. In ultima analisi, le persistenti divergenze di opinioni tra le autorità sono regolate da un organo specifico (il Comitato) composto dai rappresentanti di tutte le autorità di controllo dell’Unione. Pertanto, la posizione dell’ACC a tal riguardo non è preminente rispetto a quella di qualsiasi altra autorità ( 54 ). |
112. |
Come affermato dall’ex Garante europeo della protezione dei dati, P. Hustinx, all’interno dello schema del RGPD, il ruolo di un’ACC «non dovrebbe essere inteso come una competenza esclusiva, ma come un modo strutturato di cooperare con altre autorità di controllo competenti a livello locale» ( 55 ). Il RGPD prevede una responsabilità condivisa per sorvegliare l’applicazione del RGPD e garantirne una coerente applicazione. A tal fine, alle autorità di controllo sono affidati compiti e conferiti determinati poteri; sono loro concessi taluni diritti, ma esse sono anche gravate da determinati doveri. Tra tali doveri figura, in particolare, l’obbligo di rispettare talune procedure e meccanismi destinati a garantire la coerenza. L’intenzione di un’autorità di adottare un approccio «individuale» ( 56 ) per quanto riguarda l’applicazione (giudiziale) del RGPD, senza cooperare con le altre autorità, non può conciliarsi né con la lettera né con lo spirito di tale regolamento. |
113. |
Come rammentato ai precedenti paragrafi 76 e 77, il RGPD si basa su un delicato equilibrio tra la necessità di garantire un livello elevato di protezione delle persone fisiche e l’esigenza di rimuovere gli ostacoli ai flussi di dati personali all’interno dell’Unione. Questi due obiettivi, come risulta in particolare dal considerando 10 e dall’articolo 1, paragrafo 1, del RGPD, sono indissolubilmente connessi. Le autorità nazionali di controllo devono, pertanto, assicurare un giusto equilibrio fra tali obiettivi, come costantemente sottolineato dalla Corte sin dalle sue prime sentenze in materia di protezione dei dati ( 57 ). L’articolo 51, paragrafo 1, del RGPD, nel definire la missione delle autorità di controllo, riflette tale approccio ( 58 ). |
114. |
In terzo luogo, il RGPD non prevede soltanto meccanismi che consentono di risolvere le divergenze relative alle modalità di applicazione, vale a dire mediare tra opinioni e pareri contrastanti espressi dalle autorità di controllo. Esso include, altresì, meccanismi volti a superare situazioni di inerzia amministrativa. Si tratta, in particolare, delle situazioni in cui un’ACC, per mancanza di esperienza e/o di personale, o per qualsivoglia ragione, non intraprenda alcuna azione significativa al fine di indagare su eventuali violazioni del RGPD e, se del caso, applicare le norme di quest’ultimo. |
115. |
In linea di principio, il RGPD esige, in caso di trattamento transfrontaliero, che l’ACC agisca prontamente. In particolare, ai sensi dell’articolo 60, paragrafo 3, del RGPD, un’ACC «comunica senza ritardo le informazioni utili sulla questione alle altre autorità di controllo interessate [e trasmette] senza indugio alle altre autorità di controllo interessate un progetto di decisione per ottenere il loro parere e tiene debitamente conto delle loro opinioni» ( 59 ). |
116. |
Nel caso in cui un’ACC non rispetti tale obbligo o, più in generale, non agisca ove necessario, esiste un rimedio per le ACI che intendono procedere a un’indagine e, ove possibile, a misure di contrasto ( 60 )? Ritengo vi siano almeno due diversi percorsi che tali autorità potrebbero seguire, senza che tali percorsi si escludano a vicenda. |
117. |
Da una parte, ai sensi dell’articolo 61, paragrafi 1 e 2, del RGPD, un’autorità di controllo può richiedere a un’altra autorità di controllo di fornire «informazioni utili e [prestare] assistenza reciproca al fine di attuare e applicare [il RGPD]» ( 61 ) Tale richiesta può assumere la forma di una richiesta di informazioni, incluso «sullo svolgimento di un’indagine», o di altre misure di assistenza (come lo svolgimento di ispezioni e indagini o mettere in atto misure per cooperare efficacemente). Ogni richiesta di questo tipo deve ricevere una risposta da parte dell’autorità interpellata «senza ingiustificato ritardo e comunque entro un mese dal ricevimento della richiesta». |
118. |
Ai sensi dell’articolo 61, paragrafi 5 e 8, del RGPD, la mancata risposta entro il termine impartito, o un rifiuto di dare seguito alla domanda, consente all’autorità richiedente di «adottare misure provvisorie nel territorio del suo Stato membro ai sensi dell’articolo 55, paragrafo 1». In tali casi «[s]i considera [...] che urga intervenire ai sensi dell’articolo 66, paragrafo 1, e che sia necessaria una decisione vincolante d’urgenza da parte del Comitato a norma dell’articolo 66, paragrafo 2» ( 62 ). |
119. |
Ritengo che tale meccanismo possa anche essere utilizzato (ed è probabilmente inteso per essere utilizzato ( 63 )) da un’ACI nei confronti di un’ACC. La mancata azione da parte dell’ACC in un determinato caso di trattamento transfrontaliero, nonostante una richiesta in tal senso di un’ACI, può quindi consentire a quest’ultima di adottare le misure urgenti ritenute necessarie per tutelare gli interessati. L’esistenza di circostanze eccezionali, che giustificano la necessità urgente di agire è, infatti, presunta e non deve essere provata. |
120. |
Dall’altra parte, l’articolo 64, paragrafo 2, del RGPD consente a qualsiasi autorità di controllo (o al presidente del Comitato o alla Commissione) di «richiedere che le questioni di applicazione generale o che producono effetti in più di uno Stato membro siano esaminate dal Comitato al fine di ottenere un parere, in particolare se un’autorità di controllo competente non si conforma agli obblighi relativi all’assistenza reciproca ai sensi dell’articolo 61 (...)» ( 64 ). |
121. |
Non è del tutto chiaro se la decisione del Comitato sia legalmente vincolante per l’ACC interessata ( 65 ). Tuttavia, ai sensi dell’articolo 65, paragrafo 1, lettera c) del RGPD, se un’autorità di controllo competente non si conforma al parere del Comitato emesso a norma dell’articolo 64, qualsiasi ACI (o la Commissione) può comunicare la questione al Comitato e avviare, così, la procedura di composizione delle controversie a tal fine prevista. Tale ultima procedura condurrebbe, infine, a una decisione vincolante ( 66 ). |
122. |
Ciò detto, occorre riconoscere che i due meccanismi supra illustrati (articoli 61 e 66 del RGPD, da un lato, e articoli 64 e 65 del RGPD, dall’altro) sono alquanto complessi. Il loro effettivo funzionamento non è sempre completamente chiaro. Pertanto, se, sulla carta, le summenzionate disposizioni sembrano idonee a evitare tali problemi, solo la futura applicazione delle stesse dirà se, nella pratica, si riveleranno delle «tigri di carta». |
123. |
Ciò mi porta al secondo livello dell’argomentazione sviluppata relativamente all’insufficiente applicazione e al suo carattere piuttosto ipotetico e non suffragato, quantomeno allo stato attuale. Devo riconoscere che, a mio parere, se dovessero verificarsi i rischi relativi all’insufficiente applicazione del RGPD delineati dalla GBA e da alcuni altri intervenienti, l’intero sistema sarebbe maturo per una profonda revisione. |
124. |
Da un punto di vista strutturale, ciò potrebbe effettivamente avvenire se la nuova struttura dovesse portare a «covi» normativi per alcuni operatori che, dopo aver effettivamente scelto essi stessi la propria autorità nazionale di regolamentazione, localizzando su tale base il loro stabilimento principale all’interno dell’Unione, anziché essere controllati, sarebbero di fatto protetti piuttosto efficacemente da una determinata ACC nei confronti delle altre autorità di regolamentazione. Pochi sarebbero in disaccordo riguardo al fatto che una concorrenza normativa, sotto forma di corsa al ribasso tra gli Stati membri, sarebbe tanto nociva e pericolosa quanto l’incoerenza normativa – il genere di mancanza di coordinamento e coerenza che caratterizzava il modello precedente. Una rete di regimi normativi potrebbe essere in grado di evitare incoerenze e divergenze mediante una promozione del consenso e della cooperazione. Tuttavia, il prezzo del consenso tende a essere il blocco delle autorità attive, specialmente in un sistema in cui è necessaria una concertazione rafforzata per giungere a qualsiasi decisione. Nell’ambito di tali sistemi, una responsabilità collettiva può condurre a un’irresponsabilità collettiva e, in definitiva, all’inerzia. |
125. |
Tuttavia, per quanto riguarda tali rischi, il quadro normativo istituito dal RGPD è ancora agli inizi. Non è facile prevedere – soprattutto per un giudice, nel contesto di un unico, o alquanto singolare procedimento – come funzioneranno nella pratica e quanto saranno efficaci i meccanismi istituiti da tale regolamento. All’interno di un quadro del genere, simile alle potenziali questioni relative alla protezione dei diritti fondamentali e all’interpretazione conforme alla Carta ( 67 ), la cautela è d’obbligo. |
126. |
A mio avviso, non sarebbe una buona idea se la Corte modificasse in modo significativo tale quadro – prodotto (delicato e accuratamente forgiato) di un lungo e intenso processo legislativo – procedendo a un’interpretazione delle singole frasi estrapolate dal loro contesto e, allo stato attuale, sulla base di supposizioni e di congetture. Ciò è ancora più vero se l’interpretazione proposta da talune parti è semplicemente quella di, in sostanza, eliminare dal regolamento alcune parti fondamentali ritornando così, de facto, al precedente sistema della direttiva 95/46 che, nella sua dimensione istituzionale, era stato espressamente e chiaramente abbandonato dal legislatore dell’Unione. |
127. |
Come illustrato nelle precedenti sezioni delle presenti conclusioni, tale chiarissimo disegno legislativo, palesato sia dalla lettera che dalla struttura del RGPD, nonché dalla documentata intenzione legislativa, fornisce anche una risposta ad altre potenziali questioni strutturali, come quelle relative al corretto bilanciamento tra controllo pubblico e privato dell’osservanza delle norme in materia di protezione dei dati e del RGPD. Ha senso che sia limitare a una singola autorità e, quindi, a un solo Stato membro, l’azione pubblica volta a far rispettare la normativa, la cui attuazione avrà luogo solo dopo una procedura amministrativa lunga e complessa, mentre è probabile che l’azione privata volta a far rispettare le medesime norme avverrebbe, nella pratica, più velocemente e dinanzi ai giudici (civili) di tutti gli Stati membri? Le autorità nazionali di controllo dovrebbero avere un accesso al giudice più limitato di ogni singolo consumatore privato? Non sarà così portata dinanzi ai giudici nazionali (e potenzialmente dinanzi alla Corte di giustizia in via pregiudiziale) la maggior parte delle cause in materia di protezione dei dati intentate direttamente da soggetti privati, aggirando completamente le autorità nazionali di regolamentazione a tal fine istituite, poiché queste ultime sono ancora in fase di cooperazione e coordinamento delle loro posizioni? Nell’ambito di un regime siffatto, non vi è il rischio che l’azione privata volta a far rispettare le norme si sostituisca interamente a quella pubblica? |
128. |
Comunque sia, il legislatore dell’Unione ha compiuto una scelta istituzionale e strutturale chiara e, a mio avviso, non vi è alcun dubbio su ciò che intendesse conseguire. In tali circostanze, metaforicamente parlando, si dovrebbe dare all’infante il beneficio del dubbio, quantomeno per il momento. Ove, tuttavia, le cose dovessero volgere al peggio – e ciò dovrebbe essere comprovato da fatti e argomenti solidi –, non credo che la Corte chiuderebbe un occhio su qualsivoglia lacuna dovesse manifestarsi nella tutela dei diritti fondamentali garantiti dalla Carta e nella loro effettiva applicazione da parte delle competenti autorità di regolamentazione. Se si tratti ancora, a quel punto, di una questione di interpretazione conforme alla Carta di disposizioni di diritto derivato, o una questione di validità delle pertinenti disposizioni, o anche di parti di uno strumento di diritto derivato, è un quesito per un’altra causa. |
5. Conclusione intermedia
129. |
Tutti gli elementi interpretativi delineati convergono, quindi, verso lo stesso risultato: l’ACC detiene una competenza generale sul trattamento transfrontaliero. Tutte le autorità di controllo (indipendentemente dal loro ruolo di ACC o di ACI) devono agire, specialmente in caso di trattamento transfrontaliero, secondo le procedure e i meccanismi previsti dal RGPD. |
130. |
Ciò premesso, è sempre precluso, in via di principio, a un’autorità di controllo che non sia l’ACC agire dinanzi ai giudici nazionali nei confronti di un titolare del trattamento o di un responsabile del trattamento nel caso in cui il trattamento sia di natura transfrontaliera? |
131. |
No, non lo è. |
132. |
In primo luogo, naturalmente le autorità di controllo possono adire un giudice nazionale quando agiscono al di fuori dell’ambito di applicazione materiale del RGPD, sempre che ciò sia consentito dalla legge nazionale e non sia precluso dal diritto dell’Unione, ad esempio perché il trattamento non riguarda dati personali o perché il trattamento dei dati personali è svolto nell’ambito delle attività di cui all’articolo 2, paragrafo 2, del RGPD ( 68 ). |
133. |
In secondo luogo, nonostante il carattere transfrontaliero del trattamento, nei casi previsti all’articolo 55, paragrafo 2, del RGPD (trattamento effettuato da autorità pubbliche, ma anche qualsiasi trattamento effettuato nell’interesse pubblico o nell’esercizio di pubblici poteri), la competenza regolamentare resta attribuita all’autorità di controllo locale, il che include naturalmente anche, ove necessario, la capacità di agire in sede giudiziale. |
134. |
In terzo luogo, vi sono casi in cui, nonostante l’esistenza di un trattamento transfrontaliero di dati personali rientranti nell’ambito applicativo del RGPD, nessuna autorità di controllo può agire in qualità di ACC. Poiché il meccanismo di cooperazione e coerenza previsto dal RGPD si applica unicamente ai titolari del trattamento con uno o più stabilimenti nell’Unione europea, non esiste un’ACC per quanto riguarda un trattamento transfrontaliero da parte di titolari del trattamento che non hanno uno stabilimento nell’Unione europea. Ciò significa che i titolari del trattamento senza alcuno stabilimento nell’Unione devono confrontarsi con le autorità di controllo locali di ciascuno Stato membro in cui operano ( 69 ). |
135. |
In quarto luogo, qualsiasi autorità di controllo può adottare misure urgenti qualora ricorrano le condizioni appropriate. Esistono, inoltre, situazioni in cui l’urgenza delle misure è presunta. Ciò può verificarsi, ad esempio, nel caso in cui un’ACI si trovi, potenzialmente, di fronte a una persistente inerzia dell’ACC competente. Poiché l’articolo 66, paragrafo 1, del RGPD prevede una deroga al meccanismo di coerenza, è corretto presumere che, in una situazione eccezionale del genere, l’intera gamma dei poteri attribuiti a un’autorità di controllo (che in circostanze normali non deve essere esercitata poiché ciò è precluso dalle norme speciali sulla competenza di un’ACC per il trattamento transfrontaliero) sia ripristinata e possa essere temporaneamente esercitata. Ciò include, beninteso, il potere di intentare un’azione giudiziale ai sensi dell’articolo 58, paragrafo 5, del RGPD. |
136. |
Infine, in quinto luogo, per scrupolo di completezza si potrebbe sottolineare che è altresì possibile che un’autorità di controllo che ha informato l’ACC possa anche ottenere (o, piuttosto, conservare) il potere di agire in giudizio qualora l’ACC «decida di non trattar[e il caso]» conformemente all’articolo 56, paragrafo 5, del RGPD. A prima vista, tale ultima disposizione ben potrebbe offrire spazio per un accordo effettivo tra le due autorità di controllo su quale delle due si trovi nella posizione migliore per trattare un caso. |
137. |
In sintesi, le disposizioni sul RGPD non includono alcun divieto generale per altre autorità di controllo, in particolare per le ACI, di intentare azioni in sede giudiziale contro potenziali violazioni delle norme sulla protezione dei dati. Al contrario, sono espressamente o implicitamente previste nel RGPD varie situazioni in cui sono autorizzate a farlo ( 70 ). |
138. |
In generale, tuttavia, è di fondamentale importanza che, nei casi in cui si applicano le procedure e i meccanismi previsti dal RGPD (in particolare quelli di cui ai capi VI e VII), tanto l’ACC quanto le ACI li seguano diligentemente. Le norme del RGPD sono molto chiare quanto al fatto che nessuna di tali autorità deve agire al di fuori o in violazione di tale quadro normativo. |
139. |
Ciò posto, verificare se la GBA abbia o meno rispettato tali procedure e meccanismi nel caso in esame – aspetto sul quale si è dibattuto in udienza, ma che rimane alquanto sfocato in considerazione del peculiare contesto procedurale della presente causa ( 71 ) – spetterà, tuttavia, al giudice del rinvio. |
140. |
Di conseguenza, la risposta alla prima questione dovrebbe essere che le disposizioni del RGPD consentono all’autorità di controllo di uno Stato membro di agire in sede giudiziale dinanzi a un giudice di tale Stato per una presunta violazione del RGPD riguardo al trattamento transfrontaliero dei dati, malgrado essa non sia l’ACC, a condizione che ciò avvenga nei casi e secondo le procedure previste dal RGPD. |
C. Sulle altre questioni pregiudiziali
1. Sulla seconda questione pregiudiziale
141. |
Con la seconda questione pregiudiziale, il giudice del rinvio chiede se la risposta alla prima questione sarebbe diversa nel caso in cui il titolare di detto trattamento transfrontaliero non abbia lo stabilimento principale in tale Stato membro, ma solo un altro stabilimento. |
142. |
Alla luce della soluzione proposta per la prima questione, la risposta da dare alla seconda è piuttosto chiara: in linea di principio no, sempre che lo «stabilimento principale» ai sensi dell’articolo 4, punto 16, del RGPD sia effettivamente situato in un altro Stato membro. |
143. |
La circostanza che un titolare del trattamento abbia uno stabilimento secondario in uno Stato membro non incide, in linea di principio, sulla capacità dell’autorità di controllo locale di agire in sede giudiziale, ai sensi dell’articolo 58, paragrafo 5, del RGPD, in relazione a una determinata situazione di trattamento transfrontaliero. In altri termini, in caso di trattamento transfrontaliero dei dati, la portata dei poteri conferiti a un’autorità di controllo e il modo in cui tali poteri dovrebbero essere esercitati non dipendono, generalmente, dal fatto se il titolare del trattamento o il responsabile del trattamento, che ha lo stabilimento principale in un altro Stato membro, abbia anche uno stabilimento nello Stato membro di tale autorità. |
144. |
Tuttavia, analogamente a quanto già detto in precedenza ( 72 ), come elemento preliminare a tale conclusione, un giudice nazionale deve, anzitutto, accertare quale stabilimento sia effettivamente lo stabilimento principale ai fini di una determinata operazione di trattamento. A tal proposito, l’articolo 4, punto16, lettera a), del RGPD adotta un’interpretazione dinamica ( 73 ) di ciò che è considerato stabilimento principale, che non deve necessariamente coincidere con la struttura societaria statica di un’impresa. |
145. |
Inoltre, la circostanza che il titolare del trattamento o il responsabile del trattamento abbia uno stabilimento (secondario) nel territorio dell’autorità di controllo significa che tale autorità è una ACI ai sensi dell’articolo 4, punto 22, del RGPD. Alle ACI sono conferiti poteri significativi nell’ambito delle procedure previste dal capo VII del RGPD ( 74 ). |
146. |
Inoltre, l’articolo 56, paragrafo 2, del RGPD prevede un’eccezione alla competenza generale dell’ACC per quanto riguarda il trattamento transfrontaliero: «ogni autorità di controllo è competente per la gestione dei reclami a essa proposti o di eventuali violazioni del [RGPD] se l’oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro». Tale competenza deve, a sua volta, essere esercitata conformemente alla procedura stabilita ai paragrafi da 3 a 5 della medesima disposizione ( 75 ). |
2. Sulla terza questione pregiudiziale
147. |
Con la terza questione pregiudiziale, il giudice del rinvio chiede se la risposta alla prima questione sarebbe diversa nel caso in cui l’autorità nazionale di controllo intenti l’azione giudiziale nei confronti dello stabilimento principale del titolare del trattamento o nei confronti dello stabilimento nel proprio Stato membro. |
148. |
Alla luce della soluzione proposta per la prima questione e nei limiti in cui la terza questione non si sovrapponga, in realtà, alla seconda, anche la terza questione richiede una risposta negativa. |
149. |
Ancora una volta, purché sia stato in effetti accertato sulla base dei fatti del caso che lo stabilimento principale per una determinata operazione di trattamento ai sensi dell’articolo 4, punto 16, del RGPD sia effettivamente situato in un altro Stato membro, l’autorità nazionale di controllo dello Stato membro in cui è situato uno stabilimento del titolare del trattamento non è l’ACC, ma potrebbe diventare un’ACI. Nell’ambito di tale valutazione, tuttavia, la competenza ad agire dell’autorità di controllo non dipende dal fatto se l’azione giudiziale sia intentata nei confronti dello stabilimento principale del titolare del trattamento o nei confronti dello stabilimento nel proprio Stato membro ( 76 ). |
150. |
Per scrupolo di completezza, si potrebbe aggiungere che l’articolo 58, paragrafo 5, del RGPD è formulato in modo ampio e non precisa le entità nei confronti delle quali le autorità di controllo dovrebbero o potrebbero agire. Ciò ha condotto a un interessante dibattito nelle osservazioni di alcune parti su una questione che, a mio avviso, pur se non è priva di importanza, non necessita che di essere esaminata dalla Corte nella presente causa. La questione è la seguente: le autorità di controllo possono, sempre che siano effettivamente competenti a farlo ai sensi delle norme del RGPD, agire unicamente nei confronti dello stabilimento (o degli stabilimenti) del titolare del trattamento o del responsabile del trattamento situati nel loro territorio, o possono agire anche nei confronti degli stabilimenti situati all’estero? |
151. |
Da un lato, i governi belga, italiano e polacco sottolineano che l’articolo 55, paragrafo 1, del RGPD limita la competenza territoriale di ogni autorità di controllo al suo territorio. Essi ne deducono che le autorità di controllo possono agire solo nei confronti degli stabilimenti locali. |
152. |
Tuttavia, il tenore letterale della norma non è, a mio avviso, così chiaro: si parla di esercizio dei poteri conferiti dal regolamento «nel territorio del rispettivo Stato membro». Non interpreto questa disposizione nel senso che essa precluda necessariamente un’azione nei confronti di uno stabilimento situato in un altro Stato membro. L’elemento di territorialità incluso nell’articolo 55, paragrafo 1, del RGPD, letto alla luce dell’ambito di applicazione generale del RGPD di cui all’articolo 1, paragrafo 1 e all’articolo 3, che fa scattare la competenza di un’autorità di controllo in un determinato caso, riguarda gli effetti del trattamento dei dati nel territorio di uno Stato membro. Tale elemento non opera come limite alle azioni nei confronti di titolari del trattamento o responsabili del trattamento stabiliti fuori dai confini nazionali. |
153. |
Dall’altro lato, la GBA suggerisce che ciascuna autorità ha il potere di agire contro qualsiasi violazione del RGPD che abbia luogo nel suo territorio, a prescindere dalla circostanza se il titolare del trattamento o il responsabile del trattamento abbia uno stabilimento nel suo territorio. Ciò implica che un’autorità potrebbe agire anche nei confronti di stabilimenti situati all’estero. A tal riguardo, la GBA fa riferimento alla sentenza della Corte nella causa Wirtschaftsakademie Schleswig-Holstein ( 77 ). In tale decisione, la Corte ha ritenuto che gli articoli 4 e 28 della direttiva 95/46 consentissero all’autorità di controllo di uno Stato membro di esercitare il potere di promuovere azioni giudiziarie nei confronti di uno stabilimento di tale impresa situato nel territorio di tale Stato membro. Ciò era possibile anche se tale stabilimento era unicamente incaricato della vendita di spazi pubblicitari e di altre attività di commercializzazione nel territorio di tale Stato membro, mentre la responsabilità esclusiva per la raccolta e il trattamento di dati personali apparteneva, per tutto il territorio dell’Unione, a uno stabilimento situato in un altro Stato membro. |
154. |
La GBA ha ragione nel sostenere che, nei limiti in cui il RGPD prevede, sul punto, disposizioni analoghe a quelle della direttiva 95/46 ( 78 ), i principi affermati dalla Corte nella sentenza Wirtschaftsakademie Schleswig-Holstein dovrebbero applicarsi, mutatis mutandis, anche per il RGPD. Tuttavia, tale sentenza si limitava a chiarire quando uno stabilimento locale possa essere portato in giudizio dall’autorità, sebbene il trattamento (per la maggior parte) sia effettuato da uno stabilimento situato altrove nell’Unione europea. Tale sentenza non ha, almeno espressamente, né confermato né escluso che l’autorità di controllo possa agire nei confronti di tale ultimo stabilimento. |
155. |
Tuttavia, ritengo che il nuovo meccanismo dello sportello unico, creando un punto centrale di applicazione delle norme, implichi necessariamente che un’autorità di controllo possa agire anche nei confronti di stabilimenti situati all’estero. Non sono sicuro che il nuovo sistema potrebbe funzionare correttamente se dovesse precludere la possibilità per le autorità, e in particolare per l’ACC, di agire nei confronti di stabilimenti situati altrove ( 79 ). |
3. Sulla quarta questione pregiudiziale
156. |
Con la quarta questione pregiudiziale, il giudice del rinvio chiede se la risposta alla prima questione sarebbe diversa nel caso in cui l’autorità nazionale di controllo abbia già intentato l’azione legale prima della data di entrata in vigore del RGPD. |
157. |
In via preliminare, occorre sottolineare che, nel RGPD, non esistono norme transitorie o altre norme che disciplinino lo stato dei procedimenti giurisdizionali in corso al momento dell’entrata in vigore del nuovo quadro normativo. |
158. |
Alla luce di ciò che precede, la risposta alla questione sollevata dovrebbe, a mio parere, essere «dipende». |
159. |
Da un lato, per quanto riguarda le violazioni – commesse dai titolari del trattamento o dai responsabili del trattamento – delle norme sulla protezione dei dati avvenute prima della data in cui il RGPD è divenuto applicabile, ritengo che tali procedimenti possano continuare. Non riesco a cogliere alcun legittimo motivo per costringere le autorità a porre fine ad azioni applicative che si riferiscono a condotte passate che erano (asseritamente) illecite al momento della loro commissione e avverso le quali tali autorità erano (all’epoca) competenti ad agire. Una diversa soluzione porterebbe a una sorta di amnistia nei confronti di talune violazioni della normativa sulla protezione dei dati. |
160. |
D’altro lato, una situazione diversa si pone per quanto riguarda le azioni promosse contro violazioni non ancora realizzate, in quanto esse avvengono dopo la data in cui il RGPD è divenuto applicabile ( 80 ). A tal proposito, come in ogni altra situazione in cui nuove norme sono applicabili a situazioni sorte in vigenza del nuovo regime giuridico, le nuove norme sostanziali saranno applicabili solo ai fatti verificatisi dopo che il nuovo strumento normativo è divenuto applicabile ( 81 ). |
161. |
Spetta al giudice del rinvio accertare quale delle due ipotesi rispecchi effettivamente lo stato attuale del procedimento principale ( 82 ). Se fosse la prima, direi che il procedimento in corso possa proseguire, sicuramente dal punto di vista del diritto dell’Unione europea, a condizione che si limiti a un possibile accertamento di violazioni passate. Se fosse la seconda, il procedimento nazionale non dovrebbe essere proseguito. Il nuovo quadro normativo ha, infatti, istituito un sistema diverso di competenze e poteri, cosicché un’ACI non può agire contro violazioni risultanti da un trattamento transfrontaliero fuori dalle specifiche situazioni, e se non in ossequio alle procedure e ai meccanismi previsti a tal fine. |
162. |
La soluzione opposta comporterebbe una proroga de facto del regime istituito dalla direttiva 95/46, nonostante il fatto che tanto il diritto dell’Unione europea quanto il diritto nazionale lo abbiano espressamente abrogato e sostituito con uno nuovo. Dopotutto, nel caso in cui la GBA dovesse effettivamente ottenere un’ingiunzione che vietasse a Facebook di adottare in futuro (e, fra l’altro, per quanto tempo?) le pratiche di cui trattasi nel procedimento principale, non interferirebbe ciò con la competenza sulla (stessa) condotta che il RGPD ha conferito, a decorrere dal 25 maggio 2018, all’ACC e alle ACI, potenzialmente accompagnata da decisioni (o provvedimenti giurisdizionali) confliggenti provenienti da diversi Stati membri? |
4. Sulla quinta questione pregiudiziale
163. |
Con la quinta questione pregiudiziale, posta per il caso in cui la risposta alla prima fosse affermativa, il giudice del rinvio mira a chiarire se l’articolo 58, paragrafo 5, del RGPD abbia effetto diretto, cosicché un’autorità nazionale di controllo possa invocarlo per intentare o proseguire un’azione nei confronti di privati, anche se tale disposizione non sia stata specificamente trasposta nel diritto nazionale. |
164. |
Si rammenta che l’articolo 58, paragrafo 5, così recita: «Ogni Stato membro dispone per legge che la sua autorità di controllo abbia il potere di intentare un’azione o di agire in sede giudiziale o, ove del caso, stragiudiziale in caso di violazione del presente regolamento per far rispettare le disposizioni dello stesso». |
165. |
Facebook, nonché i governi ceco e portoghese, osservano che tale disposizione impone chiaramente agli Stati membri di fare qualcosa: apprestare disposizioni che consentano alle autorità di agire. Per essere pienamente operativo, il potere di agire può anche esigere che alcune norme nazionali determinino, in particolare, i giudici competenti, le condizioni per proporre l’azione e le procedure da seguire. |
166. |
Alla luce della soluzione proposta per la prima questione pregiudiziale, non è in realtà necessario rispondere alla quinta questione. Tuttavia, per scrupolo di completezza, non vedo, da parte mia, alcun problema nel concordare con la GBA sul fatto che il contenuto prescrittivo di tale particolare disposizione di diritto dell’Unione europea è abbastanza univoco e direttamente applicabile. A tal proposito, occorre tener presente che, in generale, una disposizione di diritto dell’Unione è dotata di effetto diretto qualora, dal punto di vista sostanziale, sia sufficientemente chiara, precisa e incondizionata da poter essere invocata nei confronti di una disposizione nazionale confliggente, o qualora attribuisca diritti che i singoli possano far valere nei confronti dello Stato ( 83 ). |
167. |
A prescindere dal fatto che la disposizione è inclusa in un regolamento (atto che, ai sensi dell’articolo 288 TFUE è «obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri» ( 84 )), mi pare che un precetto specifico e immediatamente applicabile possa essere dedotto dall’articolo 58, paragrafo 5, del RGPD. Tale precetto è molto semplice: le autorità di controllo devono avere legittimazione ad agire dinanzi ai giudici nazionali, nonché la capacità di intentare azioni in sede giudiziale ai sensi del diritto nazionale. L’azione intentata dinanzi a un giudice nazionale non può essere dichiarata improcedibile per carenza di personalità giuridica. |
168. |
Pur concordando con Facebook e con i governi ceco e portoghese sul fatto che gli Stati membri possono prevedere ulteriori e speciali norme, condizioni o regole sulla competenza per le azioni intentate dalle autorità di controllo, tali norme non sono affatto necessarie perché la norma, avente effetto diretto, di cui all’articolo 58, paragrafo 5, del RGPD spieghi i suoi effetti. In mancanza di norme ad hoc introdotte dal legislatore nazionale, saranno naturalmente applicabili a qualsiasi azione promossa dalle autorità di controllo le norme di applicazione suppletiva dei pertinenti codici di procedura nazionali (siano essi codici del processo amministrativo o persino, automaticamente, codici di procedura civile). Così, ad esempio, in assenza di specifiche norme di attuazione in materia di competenza, è lecito ritenere che sarebbe applicabile la norma generale di applicazione suppletiva che si trova in qualsiasi codice di procedura (civile), ossia che, salvo disposizione contraria, il giudice competente è quello del luogo in cui è stabilito il convenuto. |
5. Sulla sesta questione pregiudiziale
169. |
Con la sesta e ultima questione pregiudiziale, il giudice del rinvio chiede se, nel caso in cui l’autorità di controllo nazionale abbia il potere di agire, l’esito di siffatti procedimenti impedisca all’autorità capofila di pervenire ad una conclusione opposta, nel caso in cui tale autorità capofila esamini le medesime attività di trattamento transfrontaliero o attività analoghe conformemente al meccanismo previsto agli articoli 56 e 60 del RGPD. |
170. |
Alla luce della soluzione proposta per la prima questione, non è necessario rispondere alla presente questione. |
171. |
Tuttavia, la problematica da essa sollevata fa emergere, ancora una volta, le ragioni per le quali occorre rispondere alla prima questione nel senso supra proposto. Se si dovesse escludere il carattere obbligatorio dei meccanismi di coerenza e cooperazione previsti dal RGPD, rendendo in tal modo il meccanismo dello sportello unico «facoltativo» o, di fatto, quasi inesistente, sarebbe fortemente minata la coerenza dell’intero sistema. Le norme sulla competenza attualmente contenute nel RGPD sarebbero, in sostanza, sostituite da una parallela «corsa alla prima sentenza» da parte di tutte le autorità di controllo. In definitiva, chiunque «tagliasse per primo il traguardo» di una sentenza definitiva nella propria giurisdizione diverrebbe poi l’effettiva ACC per il resto dell’Unione europea, come suggerito dalla sesta questione? |
V. Conclusioni
172. |
Propongo alla Corte di rispondere alle questioni pregiudiziali sottoposte dallo hof van beroep te Brussel (Corte d’appello di Bruxelles, Belgio) nel modo seguente:
|
( 1 ) Lingua originale: l’inglese.
( 2 ) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1).
( 3 ) GU 1995, L 281, pag. 31.
( 4 ) Per le ragioni esposte in precedenza, v. paragrafo 23 delle presenti conclusioni.
( 5 ) A tal riguardo, la Corte ha sempre dichiarato che, ai sensi della direttiva 95/46, la nozione di «controller» ossia «responsabile del trattamento» («titolare del trattamento» nel RGPD) doveva essere interpretata in senso ampio – v., ad esempio, le recenti sentenze del 29 luglio 2019, Fashion ID (C‑40/17, EU:C:2019:629, punti 65, 66 e 70), e del 10 luglio 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, punto 66). Non vedo alcuna ragione per cui lo stesso non debba valere per il RGPD.
( 6 ) V., ad esempio, sentenza del 25 luglio 2018, Confédération paysanne e a. (C‑528/16, EU:C:2018:583, punti 72 e 73 e giurisprudenza citata), o del 1o ottobre 2019, Blaise e a. (C‑616/17, EU:C:2019:800, punto 35).
( 7 ) Ad esempio, nelle mie conclusioni nella causa Fashion ID, ho illustrato le ragioni per cui tanto le norme della direttiva 95/46 quanto della cosiddetta direttiva ePrivacy [direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002 (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU 2002, L 201, pag. 37)], all’epoca vigenti, potessero essere potenzialmente applicabili in un caso riguardante il posizionamento di cookie (C‑40/17, EU:C:2018:1039, paragrafi da 111 a 115). A tal riguardo, più in generale, v. Comitato europeo per la protezione dei dati, parere 5/2019 sull’interazione tra la direttiva e-Privacy ed il RGPD, in particolare per quanto riguarda la competenza, i compiti e i poteri delle autorità incaricate della protezione dei dati, del 12 marzo 2019. V., altresì, documento 02/2013 del gruppo di lavoro articolo 29 per la protezione dei dati, che fornisce linee guida per la gestione dei cookies e l’ottenimento del relativo consenso, 1676/13/EN WP 208, 2 ottobre 2013.
( 8 ) Il corsivo è mio.
( 9 ) Il corsivo è mio.
( 10 ) Il corsivo è mio.
( 11 ) In dottrina, v. Bensoussan, A. (a cura di), Règlement européen sur la protection des données – Textes, commentaires et orientations pratiques, 2a ed., Bruylant, Bruxelles, 2017, pag. 363.
( 12 ) V., in maniera analoga, Hijmans, H., «Comment to Article 56 of the GDPR», in Kuner, C., Bygrave, L., Docksey, C. (a cura di), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, pag. 921.
( 13 ) Per analogia con il diritto amministrativo generale (o con i codici di Procedura giudiziaria), un organo potrebbe avere il potere (generale) di agire in determinati modi, ma potrebbe non avere necessariamente la competenza (rationae materiae, personae, temporis, loci...) per esercitare tale potere e per decidere su uno specifico caso. Così, ad esempio, il fatto che un giudice penale disponga del potere di emettere una sentenza penale non implica necessariamente che esso sia altresì competente a farlo nel caso di un determinato reato commesso da una determinata persona (in quanto potrebbe rientrare nella competenza di un altro giudice).
( 14 ) Comitato europeo per la protezione dei dati, parere 8/2019 sulla competenza di un’autorità di controllo in caso di mutamento delle circostanze relative allo stabilimento principale o unico del 9 luglio 2019, paragrafi 19 e 20.
( 15 ) Tale disposizione, nella parte pertinente, recitava: «[O]gni autorità di controllo dispone in particolare (...) del potere di promuovere azioni giudiziarie in caso di violazione delle disposizioni nazionali di attuazione della presente direttiva ovvero di adire per dette violazioni le autorità giudiziarie».
( 16 ) V. Prima relazione sull’applicazione della direttiva sulla tutela dei dati (95/46/CE) della Commissione europea, del 15 maggio 2003, COM(2003) 265 definitivo, pagg. 12 e 13, e il relativo allegato «Analisi e studio di impatto sull’applicazione della Direttiva CE 95/46 negli Stati membri», pag. 40. V., altresì, agenzia dell’Unione europea per i diritti fondamentali, accesso ai rimedi per la protezione dei dati negli Stati membri dell’Unione - Relazione, 2012, in particolare pagg. da 20 a 22.
( 17 ) V. supra, paragrafi 51, 57 e 58 delle presenti conclusioni.
( 18 ) Sentenze del 6 ottobre 2015, Schrems (C‑362/14, EU:C:2015:650, punto 63), e del 16 luglio 2020, Facebook Ireland e Schrems (C‑311/18, EU:C:2020:559, punto 109).
( 19 ) In alcuni casi, un’ACI ha il diritto di (e, pertanto, dovrebbe essere in grado di) presentare all’ACC un progetto di decisione: v. articolo 56, paragrafi da 2 a 4 del RGPD.
( 20 ) V., in tal senso, considerando 125 del RGPD.
( 21 ) Sentenza del 16 luglio 2020 (C‑311/18, EU:C:2020:559, punto 120) (il corsivo è mio). Parimenti, chiarendo che spetta all’autorità di controllo competente reagire a una violazione del RGPD e scegliere il mezzo più appropriato per farlo, v. conclusioni dell’avvocato generale Saugmandsgaard Øe nella causa Facebook Ireland e Schrems (C‑311/18, EU:C:2019:1145, paragrafi 147 e 148). Si comparino tali affermazioni con la sentenza del 6 ottobre 2015, Schrems (C‑362/14, EU:C:2015:650, punto 65) in cui la Corte ha stabilito che, ai sensi della direttiva 95/46, (qualsiasi) autorità di controllo nazionale deve poter promuovere azioni giudiziarie.
( 22 ) Come recitava la famosa battuta ne «Il buono, il brutto il cattivo» (film del 1966 diretto da Sergio Leone, con Clint Eastwood, Lee Van Cleef ed Eli Wallach, prodotto da Produzioni Europee Associate e United Artists).
( 23 ) Articolo 68 del RGPD.
( 24 ) V., in particolare, articolo 70, paragrafo 1, lettera a) del RGPD.
( 25 ) V. Relazione della Commissione di cui alla Proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati), COM(2012) 11 final. V., altresì, considerando 10, 13 e 123 del RGPD.
( 26 ) Riguardo a questa problematica v., in via generale, Giurgiu, A. e Larsen, T., «Roles and Powers of National Data Protection Authorities – Moving from Directive 95/46/EC to the GDPR: Stronger and More “European” DPAs as Guardians of Consistency?»European Data Protection Law Review, 2016, pagg. da 342 a 352, pag. 349; e Voigt, P., von dem Bussche, A., The EU General Data Protection Regulation (GDPR) – A Practical Guide, Springer, 2017, pagg. da 190 a 192.
( 27 ) Sentenza del 1o ottobre 2015 (C‑230/14, EU:C:2015:639, punti da 42 a 60).
( 28 ) Sentenza del 5 giugno 2018 (C‑210/16, EU:C:2018:388, punti da 65 a 74).
( 29 ) V., ad esempio, Miglio, A., «The Competence of Supervisory Authorities and the One-stop-shop Mechanism», in EU Law Live – Weekend edition, n. 28, 2020, pagg. da 10 a 14, pag. 11.
( 30 ) V. conclusioni dell’avvocato generale Bot nella causa Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2017:796, paragrafo 103).
( 31 ) Sentenza del 24 settembre 2019 (C‑507/17, EU:C:2019:772, punto 68).
( 32 ) C‑311/18, EU:C:2019:1145, paragrafo 155.
( 33 ) V. considerando 97 e 98 della proposta della Commissione (v. supra, nota a piè pagina 25).
( 34 ) V. documenti del Consiglio 15656/1/14 REV 1, del 28 novembre 2014, e 16526/14, del 4 e 5 dicembre 2014, pagg. 2, 8 e 9.
( 35 ) Ibidem, pag. 1.
( 36 ) V. documento del Consiglio 5419/1/16 REV 1 dell’8 aprile 2016, pagg. da 203 a 205.
( 37 ) V. supra, paragrafo 45 delle presenti conclusioni.
( 38 ) Documento del Consiglio 15656/1/14 REV 1, del 28 novembre 2014, pag. 2.
( 39 ) V. documento A7-0402/2013 del 22 novembre 2013, il quale si riferisce al meccanismo dello sportello unico come «un enorme passo avanti verso una coerente applicazione della legislazione sulla tutela dei dati all’interno dell’UE».
( 40 ) Documento EP-PE_TC1-COD(2012)0011 del 12 marzo 2014 (v., in particolare, emendamenti 148, 149, 158, 159 e 167).
( 41 ) Analogamente, presumo semplicemente che le disposizioni e i diritti della Carta invocati siano quelli degli interessati, che un’autorità di controllo è chiamata a tutelare, e non che l’autorità di controllo stessa sia titolare di tali diritti. L’idea che autorità amministrative, vale a dire emanazioni statali, beneficino di diritti (dell’uomo) fondamentali che potrebbero invocare nei confronti dello Stato (o piuttosto una nei confronti dell’altra o, in caso di effetto diretto orizzontale, anche nei confronti dei singoli) è infatti piuttosto singolare. A mio avviso, la risposta dovrebbe essere chiaramente negativa, ma riconosco che esistono approcci diversi all’interno degli Stati membri. Ad ogni modo, nell’ambito della presente causa, tale questione può non essere approfondita ulteriormente.
( 42 ) V., in tal senso, sentenza del 6 ottobre 2015, Schrems (C‑362/14, EU:C:2015:650, punto 39).
( 43 ) V. considerando 7, 9 e 10 del RGPD (il corsivo è mio).
( 44 ) V., in tal senso, considerando 10, 11 e 13 del RGPD.
( 45 ) Il corsivo è mio.
( 46 ) V., in tal senso, sentenza del 27 settembre 2017, Puškár (C‑73/16, EU:C:2017:725, punti da 54 a 76 e giurisprudenza citata).
( 47 ) V. articolo 79 e considerando 145 del RGPD.
( 48 ) Tenendo presente, al contempo, che in termini pratici, tale soluzione coincide con quello che sarebbe tipicamente il (di fatto protettivo) forum actoris nei contratti conclusi dai consumatori ai sensi del regime del regolamento di Bruxelles – v., in generale, sentenza del 25 gennaio 2018, Schrems (C‑498/16, EU:C:2018:37).
( 49 ) V. considerando 141 e 143 del RGPD, nonché sentenza del 16 luglio 2020, Facebook Ireland e Schrems (C‑311/18, EU:C:2020:559, punto 110).
( 50 ) V. considerando 143 e articolo 78 del RGPD.
( 51 ) Per un siffatto approccio in un altro contesto (decentralizzato) di regolamentazione, v. le mie conclusioni nella causa Astellas Pharma (C‑557/16, EU:C:2017:957).
( 52 ) Riguardo a quest’ultima problematica, l’articolo 78, paragrafo 4, stabilisce che «[q]ualora siano promosse azioni avverso una decisione di un’autorità di controllo che era stata preceduta da un parere o da una decisione del Comitato nell’ambito del meccanismo di coerenza, l’autorità di controllo trasmette tale parere o decisione all’autorità giurisdizionale». In concreto, ciò probabilmente costituisce l’unico mezzo di controllo giurisdizionale delle decisioni del Comitato, dal momento che, come conferma in modo inquietante il considerando 143 del RGPD, «qualsiasi persona fisica o giuridica» (quindi anche gli interessati) può, qualora siano soddisfatte le condizioni previste dall’articolo 263 TFUE, impugnare una decisione giuridicamente vincolante del Comitato dinanzi agli organi giurisdizionali dell’Unione. Tuttavia, alla luce dell’interpretazione restrittiva da parte della Corte delle condizioni per la legittimazione ad agire delle persone di cui all’articolo 263, quarto comma, TFUE, non è facile individuare le situazioni in cui i singoli potrebbero essere considerati direttamente interessati dalle decisioni del Comitato, poiché queste ultime decisioni dovranno in ogni caso essere «applicate» alla situazione di uno specifico interessato mediante una successiva decisione dell’ACC o di un’ACI. In una situazione del genere, come in molti altri settori del diritto dell’Unione [in modo critico su questo aspetto, v. le mie conclusioni nella causa Région de Bruxelles-Capitale/Commissione (C‑352/19 P, EU: C: 2020: 588, paragrafi da 137 a 147)], l’unico modo per impugnare una decisione del Comitato sarebbe, in definitiva, attraverso una domanda di pronuncia pregiudiziale ai sensi dell’articolo 267 TFUE, nel limite in cui un giudice nazionale più curioso intenda «sollevare il velo» del proprio sindacato giurisdizionale, steso su di esso dall’autorità nazionale di controllo sotto forma di parere del Comitato «trasmesso» ai sensi dell’articolo 78, paragrafo 4, del RGPD.
( 53 ) V., in particolare, articolo 60, paragrafo 1, del RGPD.
( 54 ) Hijmans, H., «Comment to Article 56 of the GDPR», in Kuner, C., Bygrave, L., Docksey, C. (a cura di), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, pag. 918
( 55 ) Hustinx, P., «EU Data Protection Law: The Review of Directive 95/46/EC and the General Data Protection Regulation», in Cremona, M. (a cura di), New Technologies and EU Law, 2017, Oxford University Press, Oxford, pag. 123 (traduzione libera).
( 56 ) Per tale espressione, v. «Dibattito orientativo sul meccanismo di sportello unico» del Consiglio, doc. 10139/14 del 26 maggio 2014, pag. 4.
( 57 ) V., ad esempio, sentenza del 9 marzo 2010, Commissione/Germania (C‑518/07, EU:C:2010:125, punto 24). Più recentemente, sentenza del 6 ottobre 2015, Schrems (C‑362/14, EU:C:2015:650, punto 42).
( 58 ) V. supra, paragrafo 4 delle presenti conclusioni.
( 59 ) Il corsivo è mio.
( 60 ) In tale contesto, aggiungerei semplicemente che le autorità di controllo che ricevono un reclamo – indipendentemente dalla loro posizione di ACC o ACI – non solo sono tenute a esaminare tale reclamo con la dovuta diligenza (v. supra, paragrafo 69 delle presenti conclusioni), ma sono anche tenute a «vigilare sul pieno rispetto del RGPD con tutta la diligenza richiesta» (v., in tal senso, sentenza del 16 luglio 2020, Facebook Ireland e Schrems (C‑311/18, EU:C:2020:559, punto 112) (il corsivo è mio).
( 61 ) Il corsivo è mio.
( 62 ) Il corsivo è mio.
( 63 ) V. Tosoni, L., «Comment to Article 60 of GDPR», in Kuner, C., Bygrave, L., Docksey, C. (a cura di), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, pag. 969.
( 64 ) Il corsivo è mio.
( 65 ) Dipendendo ciò, come chiarito dal considerando 138 del RGPD, dal tipo di misura interessata. Tuttavia, in termini realistici, sarebbe piuttosto sorprendente se un’ACC scegliesse di ignorare una decisione del Comitato, anche se non formalmente vincolante nell’ambito del RGPD (anche perché ciò che non è inizialmente vincolante potrebbe diventarlo in seguito).
( 66 ) V., in maniera analoga, più dettagliatamente, Van Eecke, P., Šimkus, A., «Comment to Article 64», in Kuner, C., Bygrave, L., Docksey, C. (a cura di), The EU General Data Protection Regulation (GDPR – A Commentary, Oxford University Press, Oxford, 2020, pag. 1011.
( 67 ) V. supra, paragrafi 106 e 107 delle presenti conclusioni.
( 68 ) V. supra, paragrafi da 35 a 38 delle presenti conclusioni.
( 69 ) V., altresì, Gruppo di lavoro articolo 29 per la protezione dei dati, Linee guida per l’individuazione dell’autorità di controllo capofila in relazione a uno specifico titolare del trattamento o responsabile del trattamento, WP 244 rev.01, del 5 aprile 2017, pag. 10.
( 70 ) Peraltro, non pretendo che gli esempi appena esposti rappresentino un elenco tassativo. Non potrebbe esistere un’ulteriore situazione in cui la decisione finale, presa in un determinato caso di trattamento transfrontaliero – sia essa mediante accordo tra l’ACC e le ACI, oppure a seguito di una composizione delle controversie da parte del Comitato – potrebbe affidare a una o più ACI il compito di eseguire determinati atti di contrasto nei rispettivi territori, incluso, ad esempio, la proposizione di azioni in sede giudiziale?
( 71 ) Come specificato in precedenza, paragrafi da 31 a 38 delle presenti conclusioni.
( 72 ) V. supra, paragrafi 32 e 33 delle presenti conclusioni.
( 73 ) Come dovrebbe essere, in generale, per qualsiasi trattamento in quanto tale, e la relativa definizione di (con)titolare del trattamento. Un efficace controllo delle finalità e degli strumenti del trattamento deve essere condotto rispetto a una determinata operazione di trattamento, e non in termini astratti e statici rispetto a un «trattamento» indefinito - v. sentenza del 29 luglio 2019, Fashion ID (C‑40/17, EU:C:2019:629, punti da 71 a 74).
( 74 ) V. supra, paragrafi 111 e 112 delle presenti conclusioni.
( 75 ) V. supra, paragrafi 45 e 84 delle presenti conclusioni.
( 76 ) Si ritorna così, indirettamente, alla problematica iniziale relativa all’esatto motivo per cui tale stabilimento è in effetti oggetto di un procedimento in un tale Stato membro dopo che il RGPD è divenuto applicabile, come discusso in precedenza ai paragrafi da 32 a 34 delle presenti conclusioni.
( 77 ) Sentenza del 5 giugno 2018 (C‑210/16, EU:C:2018:388).
( 78 ) Si raffronti, in particolare, il nuovo articolo 3, paragrafo 1, con il precedente articolo 4, paragrafo 1, lettera a), nonché il nuovo articolo 58, paragrafo 6, con il precedente articolo 28, paragrafo 3, terzo trattino.
( 79 ) Tuttavia, come suggerito in precedenza alla nota a piè pagina 70, è altrettanto ipotizzabile che un processo decisionale coordinato possa sfociare in misure di contrasto coordinate.
( 80 ) V., per analogia, sentenza del 14 febbraio 2012, Toshiba Corporation e a. (C‑17/10, EU:C:2012:72, in particolare punto 60).
( 81 ) Per una dettagliata discussione, corredata di esempi, v. le mie conclusioni nella causa Nemec (C 256/15, EU:C:2016:619, paragrafi da 27 a 44).
( 82 ) V., altresì, supra, paragrafo 34 delle presenti conclusioni.
( 83 ) Nel dettaglio, v. le mie conclusioni nella causa Klohn (C‑167/17, EU:C:2018:387, paragrafi da 36 a 46).
( 84 ) Sebbene, ovviamente, l’applicabilità diretta non sia l’effetto diretto, e le stesse condizioni per l’effetto diretto si applicano alle disposizioni dei regolamenti che prevedono o richiedono una loro attuazione – v., ad esempio, sentenze dell’11 gennaio 2001, Monte Arcosu (C‑403/98, EU:C:2001:6, punti da 26 a 28); del 28 ottobre 2010, SGS Belgium e a. (C‑367/09, EU:C:2010:648, punti 33 e ss.); o del 14 aprile 2011, Vlaamse Dierenartsenvereniging e Janssens (C‑42/10, C‑45/10 e C‑57/10, EU:C:2011:253, punti da 48 a 50).