Corte di Giustizia Ue: i garanti privacy nazionali possono fare causa a Facebook pur non essendo l'autorità capofila
Una sentenza della Corte di giustizia dell’Unione europea nella causa C-645/19 ha chiarito che in materia di protezione dei dati personali si può agire contro Facebook anche al di fuori dell’Irlanda, Stato in cui il social network ha la sua sede legale. Tutte le Autorità per la protezione dei dati personali degli altri Stati dell’UE possono quindi fare causa alla piattaforma di Mark Zuckerberg, nonostante quella “capofila” sia rappresentata in Irlanda dal Data Protection Commissioner.
Una sentenza di rilievo, che aprirà certamente una nuova fase nella protezione dei dati e nella tutela della privacy in tutta Europa, più snella, efficace e soprattutto in grado di reagire in tempi più brevi alle tante problematiche che riguardano la tutela dei dati personali, sempre più minacciati dai giganti di internet.
Nella sentenza, pronunciata in Grande Sezione, la Corte ha deciso che “in presenza di determinate condizioni” la direttiva “autorizza un’autorità di controllo di uno Stato membro ad esercitare il suo potere di intentare un’azione dinanzi ad un giudice di tale Stato e di agire in sede giudiziale in caso di presunta violazione dell’RGPD, con riguardo ad un trattamento transfrontaliero di dati, pur non essendo l’autorità di controllo capofila per tale trattamento”.
Per fare causa a Facebook, sostanzialmente, non serve che la società abbia una sede o un ufficio sul territorio dello Stato in cui opera l’Autorità nazionale, basta che ce ne sia uno aperto in uno Stato qualsiasi dell’Unione.
Si supera la possibile ambiguità dell'interpretazione fin qui utilizzata del concetto di “sportello unico” previsto dal Gdpr e di competenza territoriale, che prevedeva l’esclusività del Commissario irlandese per la protezione dati in termini di competenza nel procedere contro Facebook o altre Big Tech con sede legale in Irlanda.
Il tutto è nato da una causa intentata dall'autorità di controllo del Belgio contro Facebook Irlanda, Facebook Belgio e Facebook Inc per la raccolta non autorizzata di dati personali tramite i cookie e la violazione del Regolamento europeo per la protezione dei dati (Gdpr).
La Corte Ue ha deciso che “nonostante l’autorità irlandese sia “capofila” del trattamento dati, visto che è Facebook Irlanda il titolare del trattamento in questione, anche le autorità nazionali degli altri Stati dell’Unione possono agire in tribunale.
Una sentenza che potrebbe facilmente essere estesa ad altre grandi società tecnologiche che oggi dominano la rete, tra cui Google, Apple, Twitter, che come Facebook hanno magari sede legale in Irlanda e che da oggi in poi, però, potranno essere chiamate in tribunale per ogni eventuale violazione della privacy da parte delle Autorità competenti di tutti gli Stati dell’Unione.