La Corte di Giustizia dell’Unione europea ha emesso una sentenza che potrebbe portare ad un aumento dei procedimenti contro le aziende che non rispettano il Regolamento generale sulla protezione dei dati (RGPD). In presenza di determinate condizioni, i garanti della privacy dei singoli paesi possono intentare una causa dinanzi al giudice, anche se non sono l’autorità capofila per il trattamento transfrontaliero dei dati.
Più potere alle autorità nazionali
La sentenza della Corte di Giustizia dell’Unione europea rappresenta lo step finale di una vicenda iniziata a settembre 2015. L’autorità belga per la protezione dei dati personali aveva chiesto al tribunale di bloccare la raccolta delle informazioni effettuata da Facebook attraverso varie tecnologie, tra cui cookie e social plugin (Mi piace e Condividi).
Il giudice aveva accolto la richiesta del garante, ovvero l’azione inibitoria contro Facebook Inc. (Stati Uniti), Facebook Ireland e Facebook Belgium. In seguito all’appello presentato dall’azienda di Menlo Park, il giudice aveva dichiarato la sua competenza solo sull’appello di Facebook Belgium, esprimendo dubbi sull’applicazione del cosiddetto principio dello “sportello unico” previsto dal Regolamento generale sulla protezione dei dati.
In base all’articolo 56, solo l’autorità capofila può intentare una causa dinanzi al giudice. L’autorità capofila è quella del paese in cui l’azienda ha la sede principale. Quindi, nel caso in esame, solo il garante irlandese poteva avviare un’azione inibitoria, in quanto il quartier generale di Facebook si trova in Irlanda.
Questo vincolo è stato più volte criticato perché rappresenta un “collo di bottiglia”. Il garante irlandese deve esaminare numerose denunce e quindi impiega troppo tempo per completare i procedimenti (alcuni su Facebook e Google risalgono a oltre tre anni fa).
La Corte di Giustizia ha precisato che le autorità nazionali possono esercitare il loro potere, anche se non sono autorità capofila per il trattamento transfrontaliero dei dati. I garanti della privacy possono avviare azioni contro le big tech, ma solo in casi urgenti, come fatto dall’autorità italiana contro TikTok. Tuttavia la sentenza non indica chiaramente quali sono i criteri da seguire per valutare l’urgenza.