di Vincenzo Tiani
Da quando è in vigore il Gdpr, il regolamento europeo per la protezione dei dati, le aziende che vogliono offrire i propri servizi in Europa, siano esse europee o straniere, possono eleggere una sede principale in uno dei 27 Stati membri ottenendo di interloquire solamente con il garante privacy di quel Paese anche nei casi in cui la violazione del Gdpr sia avvenuta in un altro Stato. Si tratta del meccanismo del cosiddetto “sportello unico” (one-stop shop). Questo meccanismo offre senza dubbio un vantaggio enorme alle aziende che in questo modo possono insediarsi nello Stato che preferiscono, e dove si parla una lingua a loro conosciuta, senza dover trovare ventisei studi legali diversi per ognuno degli Stati membri.
Per questo una sentenza della Corte di giustizia europea sul tema, emessa il 15 giugno, era particolarmente attesa. Il caso ruotava proprio intorno alla possibilità per un’Autorità per la protezione dei dati personali di un Paese membro diverso da quello dell’autorità capofila di poter portare in giudizio un’azienda per violazione del Gdpr. Se la Corte di giustizia si fosse pronunciata a favore di questa possibilità, annacquando il meccanismo dello sportello unico, moltissime aziende si sarebbero trovate di fronte alla possibilità di dover affrontare un giudizio nei tribunali di tutti quei Paesi in cui offrono i propri servizi e non solo nel Paese dove hanno stabilito la loro sede principale.
Il caso
Il caso risale al 2015, quando il Garante della privacy del Belgio ha portato in giudizio Facebook per non aver sufficientemente informato i propri utenti del fatto di essere tracciati anche fuori dal social network di Zuckerberg. Dopo la vittoria del garante in primo grado è entrato in vigore il Gdpr il 25 maggio 2018, perciò la Corte d’appello ha preferito chiedere alla Corte di giustizia europea se il tribunale belga fosse ancora competente per il caso. Con il Gdpr toccherebbe al Garante irlandese dover procedere contro Facebook, poiché l’azienda ha stabilito la sua sede principale europea a Dublino.
La sentenza della corte
La corte ha ribadito che il sistema dello sportello unico non è in discussione ma che, come previsto dal Gdpr, i garanti dei diversi Stati membri dell’Unione devono collaborare in modo leale ed efficace. Il dialogo tra le autorità è ritenuto dalla corte indispensabile. La corte afferma che qualsiasi autorità garante può procedere in giudizio quando il Gdpr lo consente, purché l’azienda abbia uno stabilimento all’interno dell’Unione europea. E non vi è bisogno che tale possibilità sia stabilita dalla legge nazionale. L’autorità sarante può portare in giudizio sia la sede principale, in questo caso Facebook Irlanda, sia le secondarie, in questo caso la filiale belga. L’autorità può inoltre continuare la sua azione legale per le condotte tenute prima dell’entrata in vigore del Gdpr.
Tutti vinti e vincitori
Questa sentenza ha visto tutte le parti gioire. Per Facebook, come commentato a Euractiv, la buona notizia è che la Corte ha ribadito la persistenza del sistema dello sportello unico allontanando il pericolo di dover affrontare 27 autorità differenti. L’associazione di consumatori Beuc è stata altrettanto felice di vedere il riconoscimento della possibilità per tutte le autorità, nei casi specifici previsti dal Gdpr, di poter procedere in modo autonomo senza dover passare la mano ai garanti dell’Irlanda o del Lussemburgo, competenti per le big tech in Europa ma accusati di aver fatto troppo poco in questi tre anni.
La Corte da un lato ha voluto salvare lo “sportello unico”, dall’altro ha sottolineato che quel sistema funziona solo se l’autorità capofila collabora speditamente per l’applicazione effettiva del Gdpr. Sembra quindi importante che la capofila non faccia da collo di bottiglia visto che la Carta dei diritti fondamentali dell’Unione europea garantisce all’interessato il diritto alla protezione dei dati e a un ricorso effettivo. Ora il garante belga studierà bene le ripercussioni della sentenza sul suo caso davanti alla corte d’appello e valuterà i prossimi passi.
…
Originariamente pubblicato su Wired Italia
Licenza Creative Commons Attribution, Non Commercial, Non Derivs 3.0