Una sentenza della Corte di giustizia dell’Unione europea ha chiarito che i nmateria di protezione dei dati personali si può agire contro Facebook anche al di fuori dell’Irlanda, Stato in cui il social network ha la sua sede legale. Tutte le Autorità per la protezione dei dati personali degli altri Stati dell’UE possono quindi fare causa alla piattaforma di Mark Zuckerberg, nonostante quella “capofila” sia rappresentata in Irlanda dal Data Protection Commissioner.
Come è noto, uno dei nodi importanti affrontato dal GDPR è stato quello di assicurare che fossero chiari i rapporti tra le autorità di protezione dei dati dei vari paesi, sia sotto il profilo della ripartizione delle competenze tra esse, che sotto quello della conformità dei criteri adottati per applicare le norme del Regolamento UE, e sia per gli aspetti relativi alla qualificazione degli eventuali trattamenti illeciti di dati, che alla definizione delle sanzioni da adottare.
Spazio anche alle Authority nazionali per contrastare l’invadenza dei social network nella gestione dei dati. Le conclusioni dell’avvocato generale della corte Ue nella causa C-645/19 vanno in questa direzione escludendo che possa essere la sola Autorità capofila per la protezione dei dati (quella del paese di stabilimento della società) a potere intervenire.
Il 17 agosto la Autorità di protezione dei dati personali francese, la CNIL, ha comminato una sanzione di 600.000 euro alla catena alberghiera AccorHotels, che ha sede in Francia, per aver utilizzato una newsletter contenente offerte commerciali di suoi partners che veniva inviata automaticamente, senza alcun consenso esplicito da parte degli interessati e senza adeguata informativa sull’uso dei dati a tutti i clienti che avessero fatto una prenotazione direttamente presso uno dei suoi hotels o sul sito della stessa Accor per prenotare un stanza.
Quando più parti determinano congiuntamente le finalità e i mezzi del trattamento di dati personali necessari alla realizzazione di uno specifico progetto sono considerati “Contitolari” del Trattamento secondo il combinato disposto degli articoli 4, par. 1, nr. 7 e 26, par. 1, del GDPR. Tale ipotesi può configurarsi ad esempio nella coproduzione di un’opera da parte di Fondazioni Lirico Sinfoniche in cui i Coproduttori hanno tra i propri scopi istituzionali la promozione dell’arte e della cultura teatrale, musicale e dello spettacolo in genere, nonché l’educazione musicale della collettività.
