Corte Europea di Giustizia, Grande Sezione: Sentenza del 15 giugno 2021, Facebook Ireland Ltd., Facebook Inc., Facebook Belgium BVBA v. Gegevensbeschermingsautoriteit
Il fatto
La pronuncia della Corte Europea oggetto di commento scaturisce da un contenzioso che ha visto coinvolti, da un lato, Facebook Ireland Ltd, Facebook Inc. e Facebook Belgium BVBA, dall’altro, la Gegevensbeschermingsautoriteit (ossia l’autorità belga di controllo circa la protezione dei dati personali istituita dal Regolamento 2016/679; in altri termini il Garante privacy belga), in merito ad un’azione inibitoria intentata dal presidente di quest’ultima e diretta a far cessare il trattamento di dati personali degli internauti nel territorio belga effettuato dal social network Facebook. La suddetta autorità (di seguito: CPVP) lamentava continue e gravi violazioni della normativa di tutela della vita privata, consistenti nella raccolta di informazioni sul comportamento di navigazione sia dei titolari di un account Facebook, sia dei non utenti mediante diverse tecnologie, quali i cookie, i social plugin o i pixel.
Chiamato a pronunciarsi nel merito, il Tribunale di primo grado di Bruxelles, dichiarava che il social network in questione non aveva sufficientemente informato gli internauti belgi relativamente alla raccolta delle informazioni di cui trattasi e all’uso di tali informazioni, perciò il Tribunale non riteneva valido il consenso prestato dagli internauti alla raccolta e al trattamento di tali informazioni.
Di conseguenza, il Tribunale belga ingiungeva a Facebook di cessare di inserire, senza il consenso dell’utente, cookie che rimangono attivi per due anni nel dispositivo da esso utilizzato per la navigazione, nonché di inserire cookie e di raccogliere dati mediante social plugin, pixel o altri mezzi tecnologici analoghi, e in secondo luogo di cessare di fornire informazioni che potrebbero ragionevolmente indurre in errore le persone, infine, di distruggere tutti i dati personali ottenuti per mezzo di cookie e social plugin.
Non soddisfatti della decisione del tribunale belga, Facebook Ireland, Facebook Inc. e Facebook Belgium impugnavano la medesima dinanzi alla Corte di Appello di Bruxelles, che a propria volta rinviava la questione alla Corte europea.
La questione oggetto di indagine da parte del giudice europeo riguarda, in primo luogo, se il Garante privacy belga disponga della legittimazione e dell’interesse ad agire richiesti. Nello specifico, richiamando precedenti sentenze che hanno sciolto dubbi analoghi in merito alle disposizioni della direttiva 95/46, successivamente abrogate dal regolamento 2016/679, il giudice del rinvio si chiede in quale misura l’interpretazione fornita in dette sentenze sia ancora pertinente per quanto riguarda l’applicazione del regolamento 2016/679. Nello specifico il giudice si chiede se il Garante privacy belga possa promuovere la suddetta azione inibitoria, trattandosi di fatti anteriori al 25 maggio 2018, data in cui è entrato in vigore il regolamento 2016/679, abrogando la normativa in materia precedentemente dettata dalla direttiva 95/46.
In secondo luogo, il giudice europeo si interroga se sia lecito per il Garante privacy belga agire nei confronti di Facebook Belgium, essendo Facebook Ireland unica titolare del trattamento dei dati in questione.
Le questioni pregiudiziali e la decisione della Corte Europea
Gli articoli 55, paragrafo 1, da 56 a 58 e da 60 a 66 del Regolamento Europeo 2016/679 si occupano di dettare la disciplina in merito alla ripartizione delle competenze tra le varie autorità di controllo, configurando, nello specifico, la particolare competenza dell’«autorità di controllo capofila», responsabile per i trattamenti transfrontalieri di dati personali, attribuendo compiti e poteri specifici a ciascuna autorità.
La Corte di appello di Bruxelles, interrogata sulla questione, ha sottoposto all’attenzione della Corte Europea una serie di questioni, pregiudiziali, con riguardo all’interpretazione degli articoli sopracitati del Regolamento 2016/679, e nello specifico, di nostro interesse, cinque:
- con il primo interrogativo, viene richiesto se un’autorità di controllo (il Garante privacy nazionale), che in forza della normativa nazionale abbia il potere di agire in sede giudiziale dinanzi a un giudice del suo Stato membro, possa esercitare tale potere anche con riguardo a un trattamento transfrontaliero, sebbene non sia l’autorità di controllo capofila;
- con il secondo, la Corte d’appello si chiede se assuma rilevanza la circostanza che il titolare di detto trattamento transfrontaliero non abbia in tale Stato membro lo stabilimento principale, ma solo un altro stabilimento;
- con il terzo, il giudice del rinvio si interroga se assuma rilevanza la circostanza che l’autorità nazionale di controllo intenti l’azione nei confronti dello stabilimento principale o nei confronti dello stabilimento nel proprio Stato membro;
- con il quarto interrogativo, viene richiesto se assuma rilevanza la circostanza che l’autorità nazionale di controllo abbia già intentato l’azione prima dell’entrata in vigore del regolamento;
- con il quinto infine, il giudice del rinvio si chiede se l’articolo 58 abbia effetto diretto, così da consentire a un’autorità nazionale di controllo di intentare un’azione nei confronti di privati.
In primo luogo, la Corte Europea si propone di esaminare e di sciogliere i dubbi avanzati in ordine all’interpretazione degli articoli sopra individuati. Nello specifico, la Corte ribadisce che la base giuridica su cui si sviluppa il regolamento 2016/679 è l’art. 16 TFUE, il quale sancisce il diritto di ogni persona alla tutela dei dati personali, e lo configura come diritto fondamentale. Sulla base di ciò, il regolamento affida alle istituzioni, agli organi e agli organismi, nonché alle autorità competenti degli Stati membri il compito di assicurare un livello elevato di tutela dei diritti sanciti dall’art. 16 TFUE e dall’art. 8 della Carta.
È in questi termini e in questo contesto che, secondo la Corte Europea, deve essere interpretato quanto disposto dall’art. 55, paragrafo 1 del regolamento 2016/679. Esso sancisce, infatti, competenze e compiti delle autorità di controllo, tra cui il compito di sorvegliare l’applicazione del regolamento e di vigilare sul rispetto di quest’ultimo, di collaborare con le altre autorità di controllo e di prestare assistenza reciproca per garantire una coerente applicazione del regolamento. Inoltre, l’articolo sopra citato configura diversi poteri di indagine, e il potere di intentare un’azione dinanzi alle autorità giudiziarie.
Fatto salvo quanto disposto dall’art. 55, paragrafo 1, l’art. 56 stabilisce una procedura di cooperazione tra le diverse autorità di controllo, infatti, nel caso di trattamenti transfrontalieri, si prevede il meccanismo dello «sportello unico», basato su una ripartizione delle competenze tra un’ «autorità di controllo capofila» e le altre autorità di controllo interessate.
L’obiettivo è quello di cercare di raggiungere un consenso e una decisione unica, e per fare ciò le autorità di controllo nazionali interessate devono cooperare, comunicandosi informazioni utili e prestandosi reciproca assistenza. L’autorità di controllo capofila, sebbene titolare di una posizione di maggiore rilievo, non può comunque ignorare l’opinione delle altre autorità di controllo interessate e qualsiasi obiezione pertinente e motivata formulata da queste ultime.
Infatti, proprio nel caso in cui una delle altre autorità di controllo sollevi un’obiezione motivata e pertinente, l’autorità di controllo ha due alternative, se non intende seguire l’obiezione deve sottoporre la questione al meccanismo di coerenza, disciplinato dall’art. 63 del regolamento, di modo tale da ottenere una decisione vincolante. Nel caso in cui, invece, decida di seguire l’obiezione sottoporrà alle altre autorità di controllo un progetto di decisione, al fine di ottenere il loro parere.
Il regolamento 2016/679 configura anche una serie di eccezioni al principio della competenza decisionale dell’autorità di controllo capofila nell’ambito del meccanismo dello «sportello unico». Nello specifico, l’art. 56 prevede che possa intervenire un’autorità di controllo, diversa da quella capofila, nel caso in cui l’oggetto del trattamento transfrontaliero di dati personali riguardi unicamente uno stabilimento nel suo Stato membro o incida in modo sostanziale sugli interessati unicamente in tale Stato membro.
Sempre in deroga al meccanismo di ripartizione delle competenze sopra individuato, l’art. 66 del regolamento prevede anche una procedura d’urgenza, alla quale è possibile ricorrere nel caso in cui vi sia esigenza di intervenire subito per proteggere i diritti e le libertà degli interessati.
In ogni caso l’obiettivo è quello di garantire un’applicazione coerente ed omogenea delle norme in materia di protezione delle libertà e dei diritti fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione.
La Corte, quindi, afferma che la circostanza che un’autorità di controllo di uno Stato membro, diversa dall’autorità di controllo capofila, possa esercitare il potere di intervento previsto dall’art. 58 è perfettamente conforme anche agli artt. 7, 8 e 47 della Carta dei Diritti Fondamentali dell’Unione Europea.
Di conseguenza, secondo la Corte gli articoli 55 paragrafo 1, da 56 a 58 e da 60 a 66 del regolamento devono essere interpretati nel senso che un’autorità di controllo di uno Stato membro può esercitare potere di controllo con riguardo al trattamento transfrontaliero di dati pur non essendo l’autorità di controllo capofila, purché avvenga in una delle situazioni espressamente configurate.
In relazione al secondo interrogativo, la Corte Europea rileva che l’esercizio del potere di intervento in materia di trattamento transfrontaliero di dati personali da parte di un’autorità di controllo di uno Stato membro non è subordinato alla condizione che l’azione di quest’ultima sia intentata nei confronti di un titolare del trattamento che disponga di uno «stabilimento principale», o di un altro stabilimento del territorio di tale Stato membro. Ma è sufficiente che si definisca l’ambito di applicazione territoriale del regolamento: e l’art. 3 di quest’ultimo prevede che esso trovi applicazione in materia di trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento di un titolare o di un responsabile del trattamento nel territorio dell’Unione.
Sulla terza questione la Corte Europea ha riconosciuto che l’art. 58 del regolamento 2016/679 è formulato in termini generali, senza precisare gli enti nei confronti dei quali le autorità di controllo debbano o possano agire in giudizio in relazione a qualsiasi violazione del regolamento. Di conseguenza, di fronte all’interrogativo posto, ovvero se sia necessario che l’azione giudiziaria sia intentata nei confronti dello stabilimento principale del titolare (o del responsabile) del trattamento oppure contro lo stabilimento che si trova nel proprio Stato membro, la Corte afferma che detta disposizione non limita in alcun modo l’esercizio del potere di agire in sede giudiziale. Perciò, l’unica condizione per poter intentare l’azione giudiziaria è che il trattamento di dati personali sia effettuato «nell’ambito di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione».
Circa il quarto quesito, la Corte è chiamata a pronunciarsi sulla validità o meno dell’azione giudiziaria relativa a un trattamento di dati personali transfrontaliero intentata prima della data di entrata in vigore del regolamento europeo 2016/679, 25 maggio 2018.
A tal riguardo, la Corte sottolinea che, di regola, una nuova norma giuridica trova applicazione a decorrere dall’entrata in vigore dell’atto che la istituisce ed essa si applica agli effetti giuridici futuri anche delle situazioni giuridiche già sorte e definitivamente acquisite in vigenza della precedente norma, oltre che alle situazioni giuridiche nuove, a meno che non sia accompagnata da disposizioni particolari che determinano le sue condizioni di applicazione nel tempo.
Nel caso di specie il regolamento 2016/679 non contiene norme transitorie né altre norme che disciplinano lo status dei procedimenti giurisdizionali avviati prima che esso fosse applicabile e che erano ancora in corso al momento in cui è divenuto applicabile, e nessuna disposizione il cui effetto sia quello di porre fine a tutti i procedimenti giurisdizionali pendenti alla data del 25 maggio 2018, di entrata in vigore del regolamento. Di conseguenza l’azione inibitoria avanzata nel caso di specie deve ritenersi ammissibile.
Ciò posto, è comunque necessario distinguere tra le azioni intentate da un’autorità di uno Stato membro per violazioni delle norme sulla protezione dei dati personali commesse prima della data di entrata in vigore del regolamento e quelle intentate per violazioni commesse dopo tale data.
Nella prima ipotesi, contrariamente a quanto sostenuto da Facebook Ireland, Facebook Inc. e Facebook Belgium, un’azione giudiziaria può essere mantenuta sulla base delle disposizioni della direttiva 95/46, la quale rimane applicabile per le violazioni delle norme in essa contenute commesse fino alla sua abrogazione; nella seconda ipotesi, invece, tale azione giudiziaria può essere mantenuta unicamente a condizione che tale azione rientri in una delle ipotesi eccezionali prese in considerazione dal regolamento.
Infine, sulla quinta questione presentatagli, la Corte Europea ha ritenuto che l’art. 58 ha effetti diretti, cosicché l’autorità nazionale di controllo può invocare detta disposizione per intentare o proseguire un’azione nei confronti di privati. Ciò dipende dal fatto che, secondo una consolidata giurisprudenza della Corte, in forza dell’art. 288 TFUE e per la natura stessa dei regolamenti e della loro funzione, le disposizioni dei regolamenti producono effetti immediati negli ordinamenti giuridici nazionali, senza che sia necessario adottare misure di applicazione.
In virtù di tutto quanto sopra esposto, la Corte Europea ha dunque risposto in questi termini agli interrogativi che le erano stati presentati, dichiarando che quanto disposto dagli articoli 55 paragrafo 1, e gli articoli da 56 a 58 e da 60 a 66 del regolamento europeo devono considerarsi perfettamente conformi a quanto disposto dalla Carta dei Diritti Fondamentali dell’Unione Europea, e quindi essere interpretati nel senso che un’autorità di controllo di uno Stato membro, pur non essendo l’«autorità di controllo capofila» ha il potere di intentare un’azione davanti a un giudice di tale Stato membro e di agire in sede giudiziale, a prescindere dal fatto che il titolare o il responsabile del trattamento abbia uno stabilimento principale o un altro stabilimento nel territorio di detto Stato membro. Inoltre la Corte, in tale occasione, ha disposto che l’azione giudiziaria, in questo caso intentata dal il Garante privacy belga, possa essere mantenuta in base alle disposizioni della direttiva 95/46, sebbene riguardante un trattamento di dati precedente al 25 maggio 2018, e precedente all’entrata in vigore del regolamento e infine ha riconosciuto che l’art. 58 dispone effetti diretti, consentendo all’autorità di controllo di intentare un’azione inibitoria anche nei confronti di soggetti privati.
Volume consigliato
Dall’e-commerce al punto vendita on-line – e-Book in pdf
L’ebook affronta la nuova tematica della cybersecurity connessa al mondo privacy in relazione al web, approfondendo sia gli aspetti giuridici che quelli tecnici propri del marketing, offrendo un chiaro quadro della normativa e spunti interessanti per ,muoversi al meglio in rete. Coordinatore Damiano MarinelliAvvocato cassazionista, mediatore ed arbitro. Già Docente universitario, è Presidente dell’Associazione Legali Italiani (www.associazionelegaliitaliani.it) e Consigliere Nazionale dell’Unione Nazionale Consumatori. Specializzato in Diritto civile e commerciale, è autore di numerose pubblicazioni, nonché relatore in convegni e seminari (www.areaconsulenze.it – marinelli@areaconsulenze.it).
Damiano Marinelli, Chiara Gambelunghe, Daniele Giancola, Michele Spigarelli | 2021 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento