Home > Economia e Finanza > Trattamento transfrontaliero di dati personali: la competenza delle autorità di controllo

Trattamento transfrontaliero di dati personali: la competenza delle autorità di controllo

scritto da: AIDR | segnala un abuso

Trattamento transfrontaliero di dati personali: la competenza delle autorità di controllo

Con la Sentenza nella causa C-645/19 la Corte stabilisce che in presenza di determinate condizioni, un’autorità nazionale di controllo, pur non essendo l’autorità capofila per tale trattamento, può esercitare il proprio potere di intentare un’azione dinanzi a un giudice di uno Stato membro, in caso di presunta violazione del Regolamento.


di Federica De Stefani, avvocato e responsabile Aidr Regione Lombardia

Quale autorità di controllo risulta competente in caso di trattamento transfrontaliero di dati personali? Esiste una competenza esclusiva in capo all’autorità capofila? La risposta a tali quesiti viene data dalla CGUE che interviene su una questione che vede contrapposti il Garante belga e Facebook. Con la Sentenza nella causa C-645/19 la Corte stabilisce che in presenza di determinate condizioni, un’autorità nazionale di controllo, pur non essendo l’autorità capofila per tale trattamento, può esercitare il proprio potere di intentare un’azione dinanzi a un giudice di uno Stato membro, in caso di presunta violazione del Regolamento.

Il caso

La vicenda prende le mosse dall’azione inibitoria intentata nel 2015 dal presidente della Commissione belga per la tutela della vita privata nei confronti delle società Facebook Ireland, Facebook Inc. e Facebook Belgium innanzi al Tribunale di primo grado di Bruxelles, per violazione della normativa sulla protezione dei dati. Nello specifico le violazioni lamentate riguardavano la raccolta e l’utilizzo di informazioni sul comportamento di navigazione degli utenti di Internet belgi, detentori o meno di un account Facebook, mediante varie tecnologie, quali i cookie, i social plugin o i pixel. Nel 2018 il Tribunale belga ha dichiarato la propria competenza statuendo, nel merito, che Facebook non aveva sufficientemente informato gli utenti di Internet belgi della raccolta e dell'uso delle informazioni e che il consenso prestato dagli utenti non poteva essere ritenuto valido. Facebook Ireland, Facebook Inc. e Facebook Belgium, come era prevedibile, hanno proposto appello contro tale decisione, ma la Corte d’Appello ha dichiarato la propria competenza unicamente a decidere l’appello presentato da Facebook Belgium.

Il punto

La questione riguarda la competenza di un’autorità di controllo, diversa dall’autorità capofila, a proporre azione giudiziaria ed è su questo aspetto che si articola la pronuncia della CGUE. Il giudice del rinvio, infatti, ha nutrito dubbi in merito all'incidenza dell'applicazione del meccanismo dello «sportello unico» previsto Regolamento europeo 2016/679 sulle competenze dell’Autorità Belga e si è posto, più in particolare, la questione se, per i fatti successivi all'entrata in vigore del Regolamento, ossia il 25 maggio 2018, l’Autorità per la protezione dei dati possa agire nei confronti di Facebook Belgium, dal momento che è Facebook Ireland ad essere stata individuata come titolare del trattamento dei dati interessati. Infatti, a partire da tale data e segnatamente in applicazione del principio dello «sportello unico» previsto dal Regolamento, solo il Commissario irlandese per la protezione dei dati sarebbe competente ad intentare un’azione inibitoria, sotto il controllo dei giudici irlandesi.

L’autorità capofila

Per comprendere la portata della pronuncia è indispensabile chiarire il concetto di “autorità di controllo capofila”. Nell’ipotesi in cui il titolare del trattamento effettui dei trattamenti transfrontalieri (ossia oltre i confini nazionali) l’autorità di controllo capofila è l'autorità dello stabilimento principale (del titolare o responsabile del trattamento) che si trova nel territorio dell’Unione. A questa autorità viene trasferita la competenza per quanto riguarda i "trattamenti transfrontalieri" di dati personali svolti da quel titolare o responsabile. L'obiettivo della devoluzione di competenze a favore dell'autorità capofila è garantire l'esistenza di uno "sportello unico" per i trattamenti transfrontalieri di dati personali in modo tale che la stessa sia considerata l'unico interlocutore del titolare del trattamento o del responsabile del trattamento in merito al trattamento transfrontaliero effettuato da tale titolare o responsabile, restando, in ogni caso, ferme alcune eccezioni che

 
La pronuncia della Corte La Corte, attraverso un articolato procedimento di analisi delle singole norme e dei principi cardine del Regolamento, arriva a pronunciarsi nel senso di riconoscere che, in presenza di determinate condizioni, il Regolamento autorizza un’autorità di controllo di uno Stato membro, sebbene diversa dall’autorità capofila, a esercitare il suo potere di intentare un’azione giudiziaria dinanzi ad un giudice di tale Stato in caso di presunta violazione del medesimo Regolamento. La Corte basa la propria pronuncia su alcuni punti essenziali.

1- Potere di intentare una causa da parte di un’autorità che non riveste la qualifica di capofila

Nell’ipotesi di trattamento transfrontaliero di dati personali, un’autorità di controllo diversa dall’autorità capofila può agire in giudizio solamente: nel caso in cui il Regolamento conferisca alla stessa il potere di accertare che il trattamento in questione violi le norme dello Regolamento stesso; l’esercizio di tale potere avvenga nel pieno rispetto delle procedure di cooperazione e di coerenza.

2- Stabilimento nello Stato membro al quale appartiene l’autorità di controllo

Il potere di agire giudizialmente da parte di un’autorità di controllo diversa dall'autorità di controllo capofila, non richiede che il titolare del trattamento o il responsabile del trattamento transfrontaliero di dati personali oggetto di tale azione disponga di uno stabilimento principale o di un altro stabilimento nel territorio di tale Stato membro. È comunque richiesto che disponga di uno stabilimento nel territorio dell'Unione.

3- Violazione del Regolamento

Il potere di agire dell’autorità di controllo diversa dall'autorità di controllo capofila può essere esercitato non solo nei confronti dello stabilimento principale del titolare del trattamento che si trovi nello Stato membro di appartenenza di tale autorità, ma anche nei confronti di un altro stabilimento di tale titolare, a condizione che l’azione giudiziaria riguardi un trattamento di dati effettuato nell’ambito delle attività di detto stabilimento e l’autorità di cui trattasi sia competente ad esercitare questo potere. Condizione indispensabile per l'esercizio di tale potere è l’applicazione del Regolamento 2016/679.

4- Azioni intentate prima dell’entrata in vigore del Regolamento

La Corte precisa inoltre che l’azione che sia stata esercitata da un’autorità diversa, prima dell’entrata in vigore del Regolamento, può essere mantenuta, in forza del diritto dell'Unione.

5-Riconoscimento delle disposizioni del singolo Stato membro

La Corte, infine, riconosce l’effetto diretto della disposizione del Regolamento in forza della quale ciascuno Stato membro dispone, per legge, che la sua autorità di controllo abbia il potere di intentare un’azione e, se del caso, di agire in sede giudiziale in caso di violazione del predetto regolamento. Di conseguenza, siffatta autorità può invocare tale disposizione per intentare o proseguire un’azione nei confronti di privati, anche qualora essa non sia stata specificamente attuata nella normativa dello Stato membro interessato.

Fonte notizia: https://www.aidr.it/trattamento-transfrontaliero-di-dati-personali-la-competenza-delle-autorita-di-controllo/


dati personali | tutela | aidr |



Commenta l'articolo

 

Potrebbe anche interessarti

Recupero SMS Cancellati e Chat da Cellulare, Smartphone e Tablet a Roma


Conoscere e rispettare la tutela dei dati personali


Cashback è lo specchietto delle allodole della privacy


Sanzione al MISE per € 75.000,00 cosa dice il Garante della Privacy


CMP presenta la sua Heritage Ski Capsule ispirata a Mondrian


Data Subject Access Request (DSAR): l’essenziale


 

Se ritieni meritevole il nostro lavoro fai una donazione


Recenti

Stesso autore

Estate 2021 tra COVID e attacchi hacker

Estate 2021 tra COVID e attacchi hacker
Essenziale il ruolo dell’Agenzia per la cybersicurezza nazionale di Mauro Nicastri, Presidente Aidr L’estate 2021 la ricorderemo anche per gli attacchi informatici che hanno preso di mira, nel periodo della pandemia, ospedali, strutture mediche e strutture che si occupano dello sviluppo e della distribuzione del vaccino contro il Covid 19. L’ultimo episodio ha interessato il Ced della Regione Lazio, mandando in tilt tutti i sistemi compresi quelli del portale Salute Lazio e della rete vaccinale. Si lavora ininterrottamente da oltre ventiquattro ore per consentire al sistema di poter continuare ad erogare i servizi, in un momento della pandemia estremamente delicato, mentre l’indagine aperta dalla Procura di Roma inizia a vagliare alcune ipotesi, pur non sbilanciandosi. La questione, oltre l’emergenza di queste ore, è racchiusa nei dati evidenziati nell’intervista a La Repubblica della direttrice della Polizia Postale Nunzia Ciardi: gli attacchi informatici con la pandemia sono aumentati del 246%. Guardando ad un fenomeno in crescita vorticosa, diventa essenziale il ruolo dell’Agenzia per la cybersicurezza nazionale istituita dal Governo Draghi. L’organismo, alla cui istituzione in tempi rapidi si è lavorato anche per dare attuazione al Piano Nazionale di Ripresa e Resilienza, ha infatti un obiettivo fondamentale: costruire le fondamenta di un nuovo sistema in grado di proteggere il Paese, nel momento in cui l’intero sistema pubblico e privato è chiamato alla transizione digitale. Sarebbe impensabile infatti, traghettare la nostra economia in chiave digitale, se non ponessimo al contempo uno scudo contro gli attacchi hacker. L’ultimo episodio ha interessato il Ced della Regione Lazio, mandando in tilt tutti i sistemi compresi quelli del portale Salute Lazio e della rete vaccinale. Essenziale il ruolo dell’Agenzia per la cybersicurezza nazionaledi Mauro Nicastri, Presidente AidrL’estate 2021 la ricorderemo anche per gli attacchi informatici che hanno preso di mira, nel periodo della pandemia, ospedali, strutture mediche e strutture che si occupano dello sviluppo e della distribuzione del vaccino contro il Covid 19. L’ultimo episodio ha interessato il Ced della Regione Lazio, (continua)

Lo smart working post pandemia, approfondimento a Digitale Italia

Lo smart working post pandemia, approfondimento a Digitale Italia
A Digitale Italia, il format web ideato da Aidr, una puntata dedicata allo smart working. Ospiti del format: Laura Carletti, CSR & HR Randstad Group Italia e Sergio Alberto Codella: segretario generale Aidr. Carletti- Randstad Italia: il mercato del lavoro cambierà velocementeUna rivoluzione dettata dalla pandemia. L’Italia ha scoperto lo smart working più per necessità, che per scelta nel corso dell’ultimo anno a mezzo. In che modo milioni di italiani hanno vissuto questo nuovo approccio, quali ripercussioni avrà nei prossimi anni l’introduzione sempre più consistente del lavoro agile? A Digital (continua)

La casa intelligente: è tempo di abbattere le barriere

La casa intelligente: è tempo di abbattere le barriere
La Legge di Bilancio 2021(art.1 comma 66 lettera d), con i successivi chiarimenti del Ministero dell’Economia e dell’Agenzia delle Entrate, prevedono che tutti i condomini, anche se di età non superiore ai 65 anni, possono usufruire del “superbonus” 110% di Federica De Pasquale – Responsabile Osservatorio sul condominio digitaleNonostante anche in Italia vi sia un notevole incremento del settore Smart Home, simile a quello dei principali Paesi occidentali, in termini assoluti siamo ancora agli ultimi posti in Europa.Con questa espressione, che preferisco nella versione italiana di “Casa Intelligente”, si vogliono identificare tutti (continua)

Monnezza 2.0, la gestione dei rifiuti in chiave digitale

Monnezza 2.0, la gestione dei rifiuti in chiave digitale
Tutto sommato, la differenza tra la gestione dei dati e la gestione dei rifiuti non è poi tanto diversa: può sembrare paradossale, ma entrambi, seppur per aspetti diversi, hanno un valore enorme e creano ricchezza. di Alessandro Capezzuoli, funzionario ISTAT e responsabile osservatorio dati professioni e competenze AidrEra il 1987 e Aldo Fabrizi, visibilmente commosso da quella commozione che soltanto le emozioni ingenue di un anziano vicino alla fine del viaggio può esprimere, fece un’ultima apparizione in televisione, recitando un sonetto ispirato alla celebre canzone “Buongiorno tristezza”, cantata d (continua)

Covid Digital Disruption

Covid Digital Disruption
La pandemia è stata per molte aziende un banco di prova per misurare la loro capacità di far evolvere rapidamente il modello organizzativo, i processi e la tecnologia pena il rischio di non sopravvivere. Di Vito Coviello,Socio AIDR e Responsabile Osservatorio Tecnologie Digitali nel settore dei Trasporti e della Logistica.No, non è un gioco di parole come potrebbe apparire, ma reale necessità in tempi di pandemia.Lo scorso anno è stato l’anno cui le aziende di ogni settore hanno dovuto mettere rapidamente in campo  ogni misura idonea per fronteggiare l’emergenza Covid per  non  (continua)