NEWS

Il caso della sanzione ad AccorHotels costituisce un'applicazione virtuosa del meccanismo di 'One Stop Shop' previsto dal GDPR

Il 17 agosto la Autorità di protezione dei dati personali francese, la CNIL, ha comminato una sanzione di 600.000 euro alla catena alberghiera AccorHotels, che ha sede in Francia, per aver utilizzato una newsletter contenente offerte commerciali di suoi partners che veniva inviata automaticamente, senza alcun consenso esplicito da parte degli interessati e senza adeguata informativa sull’uso dei dati a tutti i clienti che avessero fatto una prenotazione direttamente presso uno dei suoi hotels o sul sito della stessa Accor per prenotare un stanza.

La catena alberghiera AccorHotels è stata sanzionata per violazione della privacy dei propri clienti

La newsletter era inviata automaticamente perché sui siti usati per le prenotazioni era contenuto un avviso circa l’invio della newsletter che si caratterizzava per avere il consenso del destinatario precompilato e, come già detto, per non contenere alcuna adeguata informazione circa l’uso dei dati raccolti attraverso l’utilizzazione da parte del cliente del sito finalizzato alla prenotazione delle stanze o di altri servizi offerti dalla catena Accor.

Non solo: sulla base delle indagini svolte la CNIL ha anche constatato che come conseguenza di problemi tecnici durati più settimane un numero rilevante di persone non ha potuto esercitare in modo efficace alcun potere di opposizione ai trattamenti.

Il caso è particolarmente interessante non solo per l’ammontare, certamente rilevante della sanzione, ma anche e soprattutto perché, avendo constatato che la violazione aveva riguardato consumatori e interessati residenti in numerosi e diversi Stati dell’Unione, la CNIL aveva giustamente attivato il meccanismo di cooperazione previsto dal Capo VII del GDPR e, in particolare, dagli art.60 e ss. relativi alla Leading Authority e al meccanismo detto “One Stop Shop”, previsto dal GDPR proprio per evitare difformità di trattamento tra i diversi Paesi e le divere Autorità dell’Unione rispetto a violazioni analoghe che si verifichino in una pluralità di Stati membri.

Nel caso di specie il ricorso al meccanismo dello One Stop Shop si era reso necessario proprio perché la società Accor, pur avendo sede in Francia, operava e opera anche in molti altri Stati membri e, di conseguenza, la violazione registrata in Francia dalla CNIL si era verificata anche in altri Stati membri.

Come previsto dall’art.60 del GDPR la CNIL ha informato le Autorità di controllo dei Paesi interessati, dichiarandosi disponibile anche a collaborare con loro in sede ispettiva, e ha poi inviato, conformemente al paragrafo 5 dell’art. 60, alle Autorità interessate il progetto di decisione, comprensivo ovviamente anche di una proposta relativa alla sanzione da comminare.

La CNIL è l'omologo francese del garante della privacy italiano

Una delle Autorità interessate si è dichiarata in disaccordo con il progetto della CNIL anche, e in particolare, per la non adeguatezza della sanzione in un primo tempo proposta.

Di conseguenza, a norma del paragrafo 2 dell’art. 64 del GDPR è stato fatto ricorso al Comitato europeo per la protezione dei dati (EDPB) previsto dall’art.64 del GDPR e che costituisce il pilastro del meccanismo di coerenza che è alla base del meccanismo OSS (One Stop Shop) previsto dal GDPR.

Lo EDPB (CEPD nell’acronimo francese) ha sostanzialmente condiviso i rilievi dell’Autorità dissenziente e ha stabilito che la CNIL provvedesse a riesaminare l’ammontare della sanzione prevista.

A seguito della decisione dello EDPB l’organismo interno alla CNIL definito “formazione ristretta”, competente a riesaminare il provvedimento sotto il profilo sanzionatorio così come richiesto dallo European Data Protection Board, fissando in 600.000 euro l’ammontare complessivo della sanzione.

Questa vicenda, spiega innanzitutto l’indubbiamente elevato importo della sanzione, ma richiama anche l’attenzione sul meccanismo di coerenza previsto dal GDPR e in particolare proprio sul sistema OSS.

Le ragioni per cui il GDPR ha previsto questo meccanismo sono note e non riguardano solo l’obiettivo, sempre centrale nel GDPR, di evitare frammentazioni del Mercato Unico anche solo relativamente alle sanzioni diverse eventualmente comminate per una medesima violazione. La ragione principale dell’innovazione introdotta dal GDPR è stata ed è quella di evitare che, come avveniva in precedenza sotto l’impero della Direttiva 46/95 le imprese straniere potessero, scegliendo lo Stato europeo nel quale collocare la propria sede principale in UE, scegliere anche la Autorità di controllo. Ma, andando ancora più a fondo, la ragione principale è stata proprio quella di evitare una sorta di gara tra Stati dell’UE a spingere le proprie Autorità ad interpretazioni e applicazioni del GDPR favorevoli alle imprese in modo da attrarre sul proprio territorio gli investimenti collegati alla scelta del Paese come sede principale in UE.

Considerata in questo senso è evidente che la vicenda legata alla decisione CNIL relativamente al caso Accor, mostra la validità del sistema OSS.

Se mai la prima decisione della CNIL fosse stata troppo “favorevole” ad Accor, almeno sotto il profilo dell’ammontare, l’intervento di un’altra Autorità e la decisione dello EDPB ha invece mostrato la piena capacità di funzionamento del sistema OSS, imponendo alla CNIL un ripensamento efficace proprio rispetto alla sanzione da comminare. Ripensamento importante e necessario, se dobbiamo ritenere, come dobbiamo, che la seconda decisione adottata dalla CNIL su invito dello EDPB sia perfettamente (e meglio) aderente al contenuto del GDPR e alle caratteristiche della violazione accertata.

Il caso appare particolarmente importante per più motivi.

Innanzitutto perché le sanzioni in questo caso si sono basate sia sulla violazione dell’ordinamento francese (e, più specificamente, dell’art.34-5 del Codice delle poste e delle Comunicazioni elettroniche francese) sia sulla violazione degli art. 12 e 13 del GDPR in materia di informativa da dare agli interessati, che sulla violazione degli art. 12 e 13 del GDPR a seguito della mancanza di risposta del gruppo Accor a un reclamo presentato da un interessato, sia per la violazione degli art.12 e 21 del GDPR per la mancanza di risposta della società a ulteriori precedenti reclami degli interessati, sia, infine, per la violazione dell’art. 32 del GDPR perché dalle indagini CNIL è emerso che Accor non utilizzava misure di sicurezza sufficienti e anzi consentiva agli interessati di comunicare alla società i propri documenti di identità senza prevedere alcuna cifratura.

Emerge da questo quadro la duttilità del sistema OSS che consente sia di tutelare gli ordinamenti interni degli Stati interessati sia di garantire il rispetto dei vincoli comuni previsti dal GDPR. Soprattutto va sottolineato che la sanzione finale comminata è la risultante delle violazioni specifiche richiamate, senza differenza tra quelle relative a norme interne francesi e quelle contenute nel GDPR.

Ovviamente il caso qui esposto in modo necessariamente molto sommario dimostra da un lato la positiva duttilità del meccanismo OSS ma dall’altro anche la sua complessità di applicazione e gestione, specialmente laddove, come in questo caso è avvenuto, vi siano violazioni alle normative europee, che quindi interessano gli Stati membri, ma anche violazioni relative al solo ordinamento interno del Paese interessato, che quindi interessano quest’ultimo.

Francesco Pizzetti

(Nella foto: Francesco Pizzetti, Presidente emerito del Garante per la protezione dei dati personali. Ha guidato l'Autorità dal 2005 al 2012)

Fortunatamente il caso Accor non ha dato finora luogo a particolari rilievi e quindi vi sono ottime ragioni per ritenere che esso possa costituire, anche nella sua complessità, un interessante caso di applicazione virtuosa dello OSS previsto dal GDPR.

Merita segnalare però che proprio il sistema di coerenza come delineato nel GDPR, e in particolare il meccanismo dello OSS, sono da tempo al centro dell’attenzione della Autorità di protezione dati e dello EDPB, come testimonia il fatto tra il 26 e il 28 aprile 2022 si è svolta a Vienna una Conferenza nel corso della quale i vertici delle Autorità di protezione dati del SEE hanno preso importanti decisioni per rafforzare e potenziare la cooperazione tra di loro.

La Conferenza è stata così importante da essersi conclusa con la adozione di una specifica “Dichiarazione dei Garanti europei sulla cooperazione nell’attuazione del GDPR” pubblicata sul sito dello EDPB e delle Autorità garanti con la data del 28 aprile 2022.

La dichiarazione in questione è molto esplicita sulla volontà delle Autorità di “rafforzare e potenziare la cooperazione su alcuni casi ritenuti strategici, utilizzando in manierata mirata tutti gli strumenti di cooperazione disponibili e indicando alcune buone pratiche da implementare”.

A questo fine, prosegue la dichiarazione e soprattutto “per continuare a garantire una attuazione efficace e coerente del GDPR, e rendere la cooperazione tra le Autorità ancora più intensa”, l’EDPB indica alcuni punti fissi delle modalità con le quali la cooperazione tra le Autorità dovrà svilupparsi.

Nel caso della vicenda AccorHotels il meccanismo del One Stop Shop si è dimostrato efficace

A questo fine e in questo quadro, continua la Dichiarazione:

Saranno individuati congiuntamente e su base regolare i casi transfrontalieri di importanza strategica, sui quali la cooperazione avrà natura prioritaria con il supporto del Comitato”. “A tale scopo – continua la dichiarazione- sono stati indicati e saranno precisati ulteriormente, alcuni criteri qualitativi e quantitativi (per esempio numero elevato di interessati coinvolti, problemi strutturali o ricorrenti in più Stati membri, casi che vedono la interazione fra protezione ei dati e altri ambiti giuridici, ecc….)”.

La Dichiarazione promette inoltre che “per la gestione di questi casi strategici sarà definito un piano di azione, sotto il coordinamento dell’autorità capofila volta per volta competente, in modo da assicurare massima efficienza e tempestività”.

Inoltre la Dichiarazione ribadisce “la necessità della massima condivisione di tutte le informazioni utili, fin dalle fasi iniziali della trattazione di questi casi, per garantire una decisione consensuale e rapida”.

A questo fine si precisa anche la concorde volontà delle Autorità di “consentire la conduzione di attività investigative e istruttorie in forma congiunta, anche attraverso la costituzione di appositi gruppi di lavoro "ad hoc” e di “Task force”.

Inoltre si precisa che “sarà facilitato il ricorso a tutti gli strumenti previsti dal GDPR, comprese le operazioni congiunte previste dall’art.62, che potranno esser condotte anche in modo più flessibile e con la partecipazione di un numero ridotto di autorità”.

Tra le misure da facilitare e rendere più flessibili si citano anche il meccanismo di risoluzione delle controversie di cui all’art. 65 del GDPR e le procedure di urgenza di cui all’art.66”,

Non mancano nella Dichiarazione anche impegni metodologici per sviluppare fattivamente la cooperazione tra Autorità e rendere quindi lo OSS un sistema in grado di accrescere l’effettiva tutela del GDPR senza imporre procedure toppo lente, farraginose e, in ultima analisi, interdittive di una effettiva ed efficace vigilanza.

La parola d’ordine dell’ultima parte della Dichiarazione è infatti quelle di incentivare la cooperazione tra le Autorità. Facilitando e in qualche modo anticipando l’applicazione del meccanismo dello OSS e quindi, così facendo, incentivando anche la vigilanza coordinata e omogenea sulla applicazione del GDPR come normativa di tutela dei dati vigente in tutto il Mercato Unico Europeo.

Si afferma infatti che: “saranno esaminate alcune questioni giuridiche e interpretative di carattere generale potenziando il ricorso ai pareri del Comitato dell’art. 64, secondo paragrafo (quindi si pensa di far intervenire più spesso, e anche in via generale e anche in modo preventivo, lo EDPB, utilizzando il suo potere di esprimere pareri generali sulla corretta applicazione delle norme del GDPR)”.

Inoltre “le strategie e i piani nazionali e ispettivi e di enforcement saranno messi ulteriormente a fattore comune per definire priorità a livello di Comitato, su base annuale, e tali priorità potranno a loro volta indirizzare i programmi nazionali in questo ambito, anche attraverso un quadro comune in materia di enforcement e strumenti comuni per le attività ispettive”.

Si aggiunge poi che “per facilitare lo scambio di informazioni nei casi transfrontalieri, sarà sviluppato un modello europeo per la presentazione dei reclami, utilizzabile su base volontaria, e saranno potenziati gli strumenti informatici a disposizione del Comitato”.

Infine la Dichiarazione, dopo aver auspicato anche una maggiore omogeneità quanto alle procedure di controllo e di eventuale ricorso giurisdizionale, giunge al nocciolo essenziale di tutta questa tematica ed afferma: “Si è infine sottolineata la necessità di una integrazione organica sia delle norme del GDPR sia delle autorità di protezione dati nell’architettura normativa che si viene delineando a livello europeo per il mercato digitale (Data Act, Digital Markets Act, Digital Services Act, Regolamento sull’Intelligenza Artificiale, Data Governance Act, con una chiara distribuzione di competenze tra tutti i soggetti regolatori che sia in grado di garantire una cooperazione efficace”.

Proprio quest’ultimo punto è il cuore stesso della Dichiarazione di Vienna e di tutto il ragionamento qui svolto.

Il processo sempre più accelerato di integrazione del Mercato Unico Europeo, legato anche all’evoluzione rapidissima della società digitale, e il corposo pacchetto di proposte regolatorie attualmente in via di approvazione definitiva da parte degli organi decisionali della UE sta mostrando in modo sempre più evidente che l’intuizione di operare per evitare ogni frammentazione del mercato digitale europeo è assolutamente essenziale.

Tuttavia le vicende in atto e soprattutto le norme contenute in molti provvedimenti del Digital Package così come le difficoltà di funzionamento del meccanismo OSS dimostrano sempre di più due esigenze fondamentali: la prima è quella di inserire nel quadro UE meccanismi di adeguamento rapido, permanente ed effettivo delle regole comuni all’evoluzione della tecnologia digitale; la seconda è quella, per la quale lottano le Autorità di controllo anche nella Dichiarazione di Vienna, di andare oltre il sistema, di per sé limitatamente efficace dello OSS per approdare a nuove e più ampie forme di cooperazione tra le autorità di controllo.

Si tratta di una linea già presente anche nelle proposte della Commissione, ma in quelle proposte posta alla base di un rafforzamento dei poteri della Commissione UE, anche attraverso lo sviluppo degli atti delegati, mentre le Autorità sembrano essere viste essenzialmente come strutture di cooperazione con la Commissione.

Le vicende qui ricostruite e soprattutto la Conferenza di Vienna e la Dichiarazione che ne è scaturita, dimostrano invece che le Autorità non vedono con favore un loro sostanziale declassamento al ruolo di esperti europei della Commissione e sono intenzionate a battersi per mantenere il ruolo di garanti nazionali e, attraverso lo EDPB, anche europeo della corretta applicazione della normativa europea.

In questo quadro va anche sottolineato che lo sforzo in atto da parte delle Autorità, molto evidente nella Dichiarazione di Vienna, non riguarda solo la tutela dei dati personali ma la tutela generale dei dati nell’ambito della società digitale.

È questo un secondo, importantissimo aspetto dell’evoluzione in atto del ruolo delle Autorità, che ovviamente riguarda molto da vicino anche i Data Protection Officer, i quali devono sempre di più abituarsi a considerare le proprie funzioni e il loro ruolo quale quello di protettori dei dati (e delle modalità dei loro usi) nella società digitale ben più che in quello, più noto e tradizionale, di protettori dei dati personali.

Anche le vicende qui ricostruite ci dicono che molto, moltissimo, sta cambiando nel quadro UE relativa all’uso dei dati e che questi cambiamenti devono essere costantemente seguiti e compresi dai DPO, sempre più destinati ad essere anche protettori dei dati nella società digitale, comprese le reti di trasmissione, le misure di sicurezza e gli obblighi di informativa sulle tecnologie usate, connessi a questa nuova realtà.

Note sull'Autore

Francesco Pizzetti Francesco Pizzetti

Professore ordinario di diritto costituzionale a Torino e docente alla Luiss. Presidente Autorita' Garante per la protezione dei dati personali dal 18 aprile 2005 al 17 giugno 2012.

Prev I medici di famiglia devono ‘curare’ non solo la salute dei pazienti, ma anche la loro privacy
Next Pubblicità digitale 'Out Of Home': strumento di marketing 'privacy-friendly'

Vademecum per prenotare online le vacanze senza brutte sorprese

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy