BRUXELLES – Anche un’autorità nazionale per la privacy, e non soltanto quella irlandese, può fare causa a Facebook in caso di violazione della direttiva sulla protezione dei dati (Gdpr): lo ha stabilito la Corte di giustizia della Ue, in una sentenza che vede l’autorità belga di protezione dei dati contro Facebook Irlanda, Facebook Belgio e Facebook Inc per aver raccolto dati attraverso i cookie, in violazione della direttiva.
La Corte ha chiarito che, nonostante l’autorità irlandese sia “capofila” del trattamento dati visto che è Facebook Irlanda il titolare del trattamento, anche le altre autorità nazionali possono agire in tribunale.
Tutto nasce perché dall’entrata in vigore dell’RGPD, ossia il 25 maggio 2018, in applicazione del principio dello ‘sportello unico’ previsto dalla direttiva, “solo il commissario irlandese per la protezione dei dati sarebbe competente ad intentare un’azione inibitoria, sotto il controllo dei giudici irlandesi”. Quindi i giudici belgi hanno chiesto alla Corte se l’autorità belga della privacy fosse legittimata ad intentare un’azione oppure no.
Nella sua sentenza, pronunciata in Grande Sezione, la Corte precisa quindi i poteri delle autorità nazionali di controllo nell’ambito dell’RGPD. E dichiara in particolare che, “in presenza di determinate condizioni”, la direttiva “autorizza un’autorità di controllo di uno Stato membro ad esercitare il suo potere di intentare un’azione dinanzi ad un giudice di tale Stato e di agire in sede giudiziale in caso di presunta violazione dell’RGPD, con riguardo ad un trattamento transfrontaliero di dati, pur non essendo l’autorità di controllo capofila per tale trattamento”.
Tra le condizioni, ad esempio, c’è la competenza territoriale, ovvero “in caso di trattamento transfrontaliero di dati”, l’autorità di controllo di uno Stato membro può intentare un’azione giudiziaria anche se il titolare del trattamento di dati personali non ha uno stabilimento principale nel suo territorio, purché ne abbia uno in uno Stato Ue.
