Corte di Giustizia UE: tutti i Garanti nazionali potranno fare causa a Facebook C-645/19
Edizione provvisoria SENTENZA DELLA CORTE (Grande Sezione) 15 giugno 2021 (*)
«Rinvio pregiudiziale – Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Carta dei diritti fondamentali dell’Unione europea – Articoli 7, 8 e 47 – Regolamento (UE) 2016/679 – Trattamento transfrontaliero di dati personali – Meccanismo dello “sportello unico” – Cooperazione leale ed efficace tra le autorità di controllo – Competenze e poteri – Potere di agire in sede giudiziale» Nella causa C-645/19, avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dallo hof van beroep te Brussel (Corte di appello di Bruxelles, Belgio), con decisione dell’8 maggio 2019, pervenuta in cancelleria il 30 agosto 2019, nel procedimento Facebook Ireland Ltd., Facebook Inc., Facebook Belgium BVBA contro Gegevensbeschermingsautoriteit, LA CORTE (Grande Sezione), composta da K. Lenaerts, presidente, R. Silva de Lapuerta, vicepresidente, A. Arabadjiev, A. Prechal, M. Vilaras, M. Ilešič e N. Wahl, presidenti di sezione, E. Juhász, D. Šváby, S. Rodin, F. Biltgen, K. Jürimäe, C. Lycourgos, P.G. Xuereb e L.S. Rossi (relatrice), giudici,
avvocato generale: M. Bobek cancelliere: M. Ferreira, amministratrice principale vista la fase scritta del procedimento e in seguito all’udienza del 5 ottobre 2020, considerate le osservazioni presentate: – per Facebook Ireland Ltd, Facebook Inc. e Facebook Belgium BVBA, da
S. Raes, P. Lefebvre e D. Van Liedekerke, advocaten; – per la Gegevensbeschermingsautoriteit, da F. Debusseré e R. Roex,
advocaten; – per il governo belga, da J.-C. Halleux, P. Cottin e C. Pochet, in qualità di
agenti, assistiti da P. Paepe, advocaat; – per il governo ceco, da M. Smolek, O. Serdula e J. Vláčil, in qualità di
agenti; – per il governo italiano, da G. Palmieri, in qualità di agente, assistita da
G. Natale, avvocato dello Stato; – per il governo polacco, da B. Majczyna, in qualità di agente; – per il governo portoghese, da L. Inez Fernandes, A.C. Guerra, P. Barros
da Costa e L. Medeiros, in qualità di agenti; – per il governo finlandese, da A. Laine e M. Pere, in qualità di agenti; – per
la Commissione europea, da P.J.O. Van Nuffel, in qualità di agenti,
H. Kranenborg,
D. Nardi
e
sentite le conclusioni dell’avvocato generale, presentate all’udienza del 13 gennaio 2021, ha pronunciato la seguente
Sentenza 1 La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 55, paragrafo 1, degli articoli da 56 a 58 e da 60 a 66 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo
alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1 e rettifiche in GU 2016, L 314, pag. 72, GU 2018, L 127, pag. 2 e GU 2021, L 74, pag. 35) in combinato disposto con gli articoli 7, 8 e 47 della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»). 2 Tale domanda è stata presentata nell’ambito di una controversia tra Facebook Ireland Ltd, Facebook Inc. e Facebook Belgium BVBA, da un lato, e la Gegevensbeschermingsautoriteit (autorità per la protezione dei dati, Belgio) (in prosieguo: l’«APD»), succeduta alla Commissie ter bescherming van de persoonlijke levenssfeer (Commissione per la tutela della vita privata, Belgio) (in prosieguo: la «CPVP»), dall’altro, in merito ad un’azione inibitoria intentata dal presidente di quest’ultima e diretta a far cessare il trattamento di dati personali degli internauti nel territorio belga, effettuato dal social network Facebook, per mezzo di cookie, social plugin e pixel.
Contesto normativo Diritto dell’Unione
3 I considerando 1, 4, 10, 11, 13, 22, 123, 141 e 145 del regolamento 2016/679 così recitano: «(1) La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della [Carta] e l’articolo 16, paragrafo 1, [TFUE] stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. (...) (4) Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di
coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica. (...) (10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione [europea], il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione. (...) (11) Un’efficace protezione dei dati personali in tutta l’Unione presuppone il rafforzamento e la disciplina dettagliata dei diritti degli interessati e degli obblighi di coloro che effettuano e determinano il trattamento dei dati personali, nonché poteri equivalenti per controllare e assicurare il rispetto delle norme di protezione dei dati personali e sanzioni equivalenti per le violazioni negli Stati membri. (...) (13) Per assicurare un livello coerente di protezione delle persone fisiche in tutta l’Unione e prevenire disparità che possono ostacolare la libera circolazione dei dati personali nel mercato interno, è necessario un regolamento che garantisca certezza del diritto e trasparenza agli operatori economici, comprese le micro, piccole e medie imprese, offra alle persone fisiche in tutti gli Stati membri il medesimo livello di diritti azionabili e di obblighi e responsabilità dei titolari del trattamento e dei responsabili del trattamento e assicuri un controllo coerente del trattamento dei dati personali, sanzioni equivalenti in tutti gli Stati membri e una cooperazione efficace tra le autorità di controllo dei diversi Stati membri. (…) (...) (22) Qualsiasi trattamento di dati personali effettuato nell’ambito delle attività di uno stabilimento di un titolare del trattamento o responsabile del trattamento nel territorio dell’Unione dovrebbe essere conforme al presente regolamento, indipendentemente dal fatto che il trattamento avvenga
all’interno dell’Unione. Lo stabilimento implica l’effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile. A tale riguardo, non è determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica. (...) (123) Le autorità di controllo dovrebbero controllare l’applicazione delle disposizioni del presente regolamento e contribuire alla sua coerente applicazione in tutta l’Unione, così da tutelare le persone fisiche in relazione al trattamento dei loro dati personali e facilitare la libera circolazione di tali dati nel mercato interno. A tal fine, le autorità di controllo dovrebbero cooperare tra loro e con la Commissione [europea], senza che siano necessari accordi tra gli Stati membri sulla mutua assistenza o su tale tipo di cooperazione. (...) (141) Ciascun interessato dovrebbe avere il diritto di proporre reclamo a un’unica autorità di controllo, in particolare nello Stato membro in cui risiede abitualmente, e il diritto a un ricorso giurisdizionale effettivo a norma dell’articolo 47 della Carta qualora ritenga che siano stati violati i diritti di cui gode a norma del presente regolamento o se l’autorità di controllo non dà seguito a un reclamo, lo respinge in tutto o in parte o lo archivia o non agisce quando è necessario intervenire per proteggere i diritti dell’interessato. (...) (...) (145) Nelle azioni contro un titolare del trattamento o responsabile del trattamento, il ricorrente dovrebbe poter avviare un’azione legale dinanzi all’autorità giurisdizionale dello Stato membro in cui il titolare del trattamento o il responsabile del trattamento ha uno stabilimento o in cui risiede l’interessato, salvo che il titolare del trattamento sia un’autorità pubblica di uno Stato membro che agisce nell’esercizio dei suoi poteri pubblici». 4 L’articolo 3 di tale regolamento, intitolato «Ambito di applicazione territoriale», al suo paragrafo 1, prevede quanto segue: «Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del
trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione». 5 L’articolo 4 di detto regolamento definisce, al suo punto 16, la nozione di «stabilimento principale» e, al suo punto 23, quella di «trattamento transfrontaliero» nei seguenti termini: «16) “stabilimento principale”, a) per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell’Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale; b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell’Unione o, se il responsabile del trattamento non ha un’amministrazione centrale nell’Unione, lo stabilimento del responsabile del trattamento nell’Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento; (...) 23) “trattamento transfrontaliero”, a) trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure b) trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro».
6 L’articolo 51 del medesimo regolamento, intitolato «Autorità di controllo», prevede quanto segue: «1. Ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di sorvegliare l’applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all’interno dell’Unione (…). 2. Ogni autorità di controllo contribuisce alla coerente applicazione del presente regolamento in tutta l’Unione. A tale scopo, le autorità di controllo cooperano tra loro e con la Commissione, conformemente al capo VII. (...)». 7 L’articolo 55 del regolamento 2016/679, intitolato «Competenza», che fa parte del capo VI di tale regolamento, a sua volta intitolato «Autorità di controllo indipendenti», prevede quanto segue: «1. Ogni autorità di controllo è competente a eseguire i compiti assegnati e a esercitare i poteri a essa conferiti a norma del presente regolamento nel territorio del rispettivo Stato membro. 2. Se il trattamento è effettuato da autorità pubbliche o organismi privati che agiscono sulla base dell’articolo 6, paragrafo 1, lettera c) o e), è competente l’autorità di controllo dello Stato membro interessato. In tal caso, non si applica l’articolo 56». 8 L’articolo 56 del regolamento di cui trattasi, intitolato «Competenza dell’autorità di controllo capofila», è del seguente tenore: «1. Fatto salvo l’articolo 55, l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare del trattamento o responsabile del trattamento è competente ad agire in qualità di autorità di controllo capofila per i trattamenti transfrontalieri effettuati dal suddetto titolare del trattamento o responsabile del trattamento, secondo la procedura di cui all’articolo 60. 2. In deroga al paragrafo 1, ogni autorità di controllo è competente per la gestione dei reclami a essa proposti o di eventuali violazioni del presente regolamento se l’oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro.
3. Nei casi indicati al paragrafo 2 del presente articolo, l’autorità di controllo informa senza ritardo l’autorità di controllo capofila in merito alla questione. Entro un termine di tre settimane da quando è stata informata, l’autorità di controllo capofila decide se intende o meno trattare il caso secondo la procedura di cui all’articolo 60, tenendo conto dell’esistenza o meno di uno stabilimento del titolare del trattamento o responsabile del trattamento nello Stato membro dell’autorità di controllo che l’ha informata. 4. Qualora l’autorità di controllo capofila decida di trattare il caso, si applica la procedura di cui all’articolo 60. L’autorità di controllo che ha informato l’autorità di controllo capofila può presentare a quest’ultima un progetto di decisione. L’autorità di controllo capofila tiene nella massima considerazione tale progetto nella predisposizione del progetto di decisione di cui all’articolo 60, paragrafo 3. 5. Nel caso in cui l’autorità di controllo capofila decida di non trattarlo, l’autorità di controllo che ha informato l’autorità di controllo capofila tratta il caso conformemente agli articoli 61 e 62. 6. L’autorità di controllo capofila è l’unico interlocutore del titolare del trattamento o del responsabile del trattamento in merito al trattamento transfrontaliero effettuato da tale titolare del trattamento o responsabile del trattamento». 9 L’articolo 57 del regolamento 2016/679, intitolato «Compiti», al suo paragrafo 1, è così formulato: «1. Fatti salvi gli altri compiti indicati nel presente regolamento, sul proprio territorio ogni autorità di controllo: a) sorveglia e assicura l’applicazione del presente regolamento; (...) g) collabora, anche tramite scambi di informazioni, con le altre autorità di controllo e presta assistenza reciproca al fine di garantire l’applicazione e l’attuazione coerente del presente regolamento; (...)». 10 L’articolo 58 dello stesso regolamento, intitolato «Poteri», ai suoi paragrafi 1, 4 e 5, prevede quanto segue:
«1. Ogni autorità di controllo ha tutti i poteri di indagine seguenti: a) ingiungere al titolare del trattamento e al responsabile del trattamento e, ove applicabile, al rappresentante del titolare del trattamento o del responsabile del trattamento, di fornirle ogni informazione di cui necessiti per l’esecuzione dei suoi compiti; (...) d) notificare al titolare del trattamento o al responsabile del trattamento le presunte violazioni del presente regolamento; (...) 4. L’esercizio da parte di un’autorità di controllo dei poteri attribuitile dal presente articolo è soggetto a garanzie adeguate, inclusi il ricorso giurisdizionale effettivo e il giusto processo, previste dal diritto dell’Unione e degli Stati membri conformemente alla Carta. 5. Ogni Stato membro dispone per legge che la sua autorità di controllo abbia il potere di intentare un’azione o di agire in sede giudiziale o, ove del caso, stragiudiziale in caso di violazione del presente regolamento per far rispettare le disposizioni dello stesso». 11 Nel capo VII del regolamento 2016/679, intitolato «Cooperazione e coerenza», la sezione I, intitolata «Cooperazione», comprende gli articoli da 60 a 62 del regolamento in esame. Il suddetto articolo 60, intitolato «Cooperazione tra l’autorità di controllo capofila e le altre autorità di controllo interessate», così dispone: «1. L’autorità di controllo capofila coopera con le altre autorità di controllo interessate conformemente al presente articolo nell’adoperarsi per raggiungere un consenso. L’autorità di controllo capofila e le autorità di controllo interessate si scambiano tutte le informazioni utili. 2. L’autorità di controllo capofila può chiedere in qualunque momento alle altre autorità di controllo interessate di fornire assistenza reciproca a norma dell’articolo 61 e può condurre operazioni congiunte a norma dell’articolo 62, in particolare per lo svolgimento di indagini o il controllo dell’attuazione di una misura riguardante un titolare del trattamento o responsabile del trattamento stabilito in un altro Stato membro.
3. L’autorità di controllo capofila comunica senza ritardo le informazioni utili sulla questione alle altre autorità di controllo interessate. Trasmette senza indugio alle altre autorità di controllo interessate un progetto di decisione per ottenere il loro parere e tiene debitamente conto delle loro opinioni. 4. Se una delle altre autorità di controllo interessate solleva un’obiezione pertinente e motivata al progetto di decisione entro un termine di quattro settimane dopo essere stata consultata conformemente al paragrafo 3 del presente articolo, l’autorità di controllo capofila, ove non dia seguito all’obiezione pertinente e motivata o ritenga l’obiezione non pertinente o non motivata, sottopone la questione al meccanismo di coerenza di cui all’articolo 63. 5. L’autorità di controllo capofila, qualora intenda dare seguito all’obiezione pertinente e motivata sollevata, trasmette un progetto di decisione riveduto alle altre autorità di controllo interessate per ottenere il loro parere. Tale progetto di decisione riveduto è soggetto alla procedura di cui al paragrafo 4 entro un termine di due settimane. 6. Se nessuna delle altre autorità di controllo interessate ha sollevato obiezioni al progetto di decisione trasmesso dall’autorità di controllo capofila entro il termine di cui ai paragrafi 4 e 5, si deve considerare che l’autorità di controllo capofila e le autorità di controllo interessate concordano su tale progetto di decisione e sono da esso vincolate. 7. L’autorità di controllo capofila adotta la decisione e la notifica allo stabilimento principale o allo stabilimento unico del titolare del trattamento o responsabile del trattamento, a seconda dei casi, e informa le altre autorità di controllo interessate e il comitato [del]la decisione in questione, compresa una sintesi dei fatti e delle motivazioni pertinenti. L’autorità di controllo cui è stato proposto un reclamo informa il reclamante riguardo alla decisione. 8. In deroga al paragrafo 7, in caso di archiviazione o di rigetto di un reclamo, l’autorità di controllo cui è stato proposto il reclamo adotta la decisione e la notifica al reclamante e ne informa il titolare del trattamento. 9. Se l’autorità di controllo capofila e le autorità di controllo interessate convengono di archiviare o rigettare parti di un reclamo e di intervenire su altre parti di tale reclamo, è adottata una decisione separata per ciascuna di tali parti della questione. (...)
10. Dopo aver ricevuto la notifica della decisione dell’autorità di controllo capofila a norma dei paragrafi 7 e 9, il titolare del trattamento o responsabile del trattamento adotta le misure necessarie per garantire la conformità alla decisione per quanto riguarda le attività di trattamento nel contesto di tutti i suoi stabilimenti nell’Unione. Il titolare del trattamento o responsabile del trattamento notifica le misure adottate per conformarsi alla decisione all’autorità di controllo capofila, che ne informa le altre autorità di controllo interessate. 11. Qualora, in circostanze eccezionali, un’autorità di controllo interessata abbia motivo di ritenere che urga intervenire per tutelare gli interessi degli interessati, si applica la procedura d’urgenza di cui all’articolo 66. (...)». 12 L’articolo 61 di detto regolamento, intitolato «Assistenza reciproca», al suo paragrafo 1, così recita: «Le autorità di controllo si scambiano le informazioni utili e si prestano assistenza reciproca al fine di attuare e applicare il presente regolamento in maniera coerente, e mettono in atto misure per cooperare efficacemente tra loro. L’assistenza reciproca comprende, in particolare, le richieste di informazioni e le misure di controllo, quali le richieste di autorizzazioni e consultazioni preventive e le richieste di effettuare ispezioni e indagini». 13 L’articolo 62 del medesimo regolamento, intitolato «Operazioni congiunte delle autorità di controllo», è del seguente tenore: «1. Se del caso, le autorità di controllo conducono operazioni congiunte, incluse indagini congiunte e misure di contrasto congiunte, cui partecipano membri o personale di autorità di controllo di altri Stati membri. 2. Qualora il titolare del trattamento o responsabile del trattamento abbia stabilimenti in vari Stati membri o qualora esista la probabilità che il trattamento abbia su un numero significativo di interessati in più di uno Stato membro un impatto negativo sostanziale, un’autorità di controllo di ogni Stato membro in questione ha il diritto di partecipare alle operazioni congiunte. (...) (…)». 14 La sezione 2 del capo VII del regolamento 2016/679, intitolata «Coerenza», comprende gli articoli da 63 a 67 del regolamento medesimo. L’articolo 63, intitolato «Meccanismo di coerenza», è formulato come segue:
«Al fine di contribuire all’applicazione coerente del presente regolamento in tutta l’Unione, le autorità di controllo cooperano tra loro e, se del caso, con la Commissione mediante il meccanismo di coerenza stabilito nella presente sezione». 15 Ai sensi dell’articolo 64, paragrafo 2, del suddetto regolamento: «Qualsiasi autorità di controllo, il presidente del comitato [europeo per la protezione dei dati] o la Commissione può richiedere che le questioni di applicazione generale o che producono effetti in più di uno Stato membro siano esaminate dal comitato [europeo per la protezione dei dati] al fine di ottenere un parere, in particolare se un’autorità di controllo competente non si conforma agli obblighi relativi all’assistenza reciproca ai sensi dell’articolo 61 o alle operazioni congiunte ai sensi dell’articolo 62». 16 L’articolo 65 dello stesso regolamento, intitolato «Composizione delle controversie da parte del comitato», al suo paragrafo 1, così dispone: «Al fine di assicurare l’applicazione corretta e coerente del presente regolamento nei singoli casi, il comitato [europeo per la protezione dei dati] adotta una decisione vincolante nei seguenti casi: a) se, in un caso di cui all’articolo 60, paragrafo 4, un’autorità di controllo interessata ha sollevato un’obiezione pertinente e motivata a un progetto di decisione dell’autorità capofila e l’autorità capofila di controllo non abbia dato seguito all’obiezione o l’autorità capofila abbia rigettato tale obiezione in quanto non pertinente o non motivata. La decisione vincolante riguarda tutte le questioni oggetto dell’obiezione pertinente e motivata, in particolare se sussista una violazione del presente regolamento; b) se vi sono opinioni contrastanti in merito alla competenza delle autorità di controllo interessate per lo stabilimento principale; (...)». 17 L’articolo 66 del regolamento 2016/679, intitolato «Procedura d’urgenza», ai suoi paragrafi 1 e 2, stabilisce quanto segue: «1. In circostanze eccezionali, qualora ritenga che urga intervenire per proteggere i diritti e le libertà degli interessati, un’autorità di controllo interessata può, in deroga al meccanismo di coerenza di cui agli articoli 63, 64 e 65, o alla procedura di cui all’articolo 60, adottare immediatamente misure
provvisorie intese a produrre effetti giuridici nel proprio territorio, con un periodo di validità determinato che non supera i tre mesi. L’autorità di controllo comunica senza ritardo tali misure e la motivazione della loro adozione alle altre autorità di controllo interessate, al comitato [europeo per la protezione dei dati] e alla Commissione. 2. Qualora abbia adottato una misura ai sensi del paragrafo 1 e ritenga che urga adottare misure definitive, l’autorità di controllo può chiedere un parere d’urgenza o una decisione vincolante d’urgenza del comitato [europeo per la protezione dei dati], motivando tale richiesta». 18 L’articolo 77 del predetto regolamento, intitolato «Diritto di proporre reclamo all’autorità di controllo», è del seguente tenore: «1. Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione. 2. L’autorità di controllo a cui è stato proposto il reclamo informa il reclamante dello stato o dell’esito del reclamo, compresa la possibilità di un ricorso giurisdizionale ai sensi dell’articolo 78». 19 L’articolo 78 di tale regolamento, intitolato «Diritto a un ricorso giurisdizionale effettivo nei confronti dell’autorità di controllo», così dispone: «1. Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ogni persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda. 2. Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ciascun interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora l’autorità di controllo che sia competente ai sensi degli articoli 55 e 56 non tratti un reclamo o non lo informi entro tre mesi dello stato o dell’esito del reclamo proposto ai sensi dell’articolo 77. 3. Le azioni nei confronti dell’autorità di controllo sono promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’autorità di controllo è stabilita.
4. Qualora siano promosse azioni avverso una decisione di un’autorità di controllo che era stata preceduta da un parere o da una decisione del comitato [europeo per la protezione dei dati] nell’ambito del meccanismo di coerenza, l’autorità di controllo trasmette tale parere o decisione all’autorità giurisdizionale». 20 L’articolo 79 dello stesso regolamento, intitolato «Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento», così recita: «1. Fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 77, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento. 2. Le azioni nei confronti del titolare del trattamento o del responsabile del trattamento sono promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui il titolare del trattamento o il responsabile del trattamento ha uno stabilimento. In alternativa, tali azioni possono essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’interessato risiede abitualmente, salvo che il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica di uno Stato membro nell’esercizio dei pubblici poteri». Diritto belga
21 La wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (legge relativa alla tutela della vita privata con riguardo ai trattamenti di dati personali), dell’8 dicembre 1992 (Belgisch Staatsblad, 18 marzo 1993, pag. 5801), come modificata dalla legge dell’11 dicembre 1998 (Belgisch Staatsblad, 3 febbraio 1999, pag. 3049) (in prosieguo: la «legge dell’8 dicembre 1992»), ha recepito nel diritto belga la direttiva 95/46/ CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31). 22 La legge dell’8 dicembre 1992 ha istituito la CPVP, un organismo indipendente incaricato di garantire che i dati personali siano trattati nel rispetto di tale legge, in modo da salvaguardare la vita privata dei cittadini.
23 L’articolo 32, paragrafo 3, della legge dell’8 dicembre 1992 così disponeva: «Fatta salva la competenza dei giudici ordinari per l’applicazione dei principi generali in materia di tutela della vita privata, il presidente della [CPVP] può sottoporre al giudice di primo grado qualsiasi controversia relativa all’applicazione della presente legge e delle sue misure di esecuzione». 24 La wet tot oprichting van de Gegevensbeschermingsautoriteit (legge che istituisce l’autorità per la protezione dei dati), del 3 dicembre 2017 (Belgisch Staatsblad, 10 gennaio 2018, pag. 989; in prosieguo: la «legge del 3 dicembre 2017»), entrata in vigore il 25 maggio 2018, ha istituito l’APD quale autorità di controllo, ai sensi del regolamento 2016/679. 25 L’articolo 3 della legge del 3 dicembre 2017 prevede quanto segue: «Presso la Camera dei rappresentanti è istituita un’“Autorità per la protezione dei dati”. Essa succede alla [CPVP]». 26 L’articolo 6 della legge del 3 dicembre 2017 così dispone: «L’[APD] è competente a intentare un’azione dinanzi alle autorità giudiziarie in caso di violazioni dei principi fondamentali della protezione dei dati personali, nel quadro della presente legge e delle leggi recanti disposizioni sulla tutela del trattamento dei dati personali e, se del caso, ad agire in sede giudiziale per far rispettare detti principi fondamentali». 27 Nessuna disposizione specifica è prevista per i procedimenti giurisdizionali già avviati dal presidente della CPVP alla data del 25 maggio 2018 sulla base dell’articolo 32, paragrafo 3, della legge dell’8 dicembre 1992. Per quanto riguarda unicamente le denunce o le domande presentate all’APD stessa, l’articolo 112 della legge del 3 dicembre 2017 così recita: «Il capo VI non si applica alle denunce o alle domande ancora pendenti presso l’[APD] al momento dell’entrata in vigore della presente legge. Le denunce o le domande di cui al comma 1 sono trattate dall’[APD], in qualità di successore legale della [CPVP], secondo la procedura applicabile prima dell’entrata in vigore della presente legge». 28 La legge dell’8 dicembre 1992 è stata abrogata dalla wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (legge relativa alla tutela delle persone fisiche con riguardo al trattamento di dati personali), del 30 luglio 2018 (Belgisch Staatsblad, 5
settembre 2018, pag. 68616; in prosieguo: la «legge del 30 luglio 2018»). Quest’ultima legge mira ad attuare nel diritto belga le disposizioni del regolamento 2016/679 che impongono o consentono agli Stati membri di adottare norme più dettagliate, ad integrazione di tale regolamento.
Procedimento principale e questioni pregiudiziali
29 L’11 settembre 2015, il presidente della CPVP ha intentato un’azione inibitoria nei confronti delle società Facebook Ireland, Facebook Inc. e Facebook Belgium dinanzi al Nederlandstalige rechtbank van eerste aanleg Brussel (Tribunale di primo grado di Bruxelles di lingua neerlandese, Belgio). Poiché la CPVP non era dotata di personalità giuridica, spettava al suo presidente proporre ricorsi al fine di garantire il rispetto della normativa in materia di protezione dei dati personali. Tuttavia, la CPVP stessa ha chiesto l’intervento volontario nel procedimento avviato dal suo presidente. 30 Tale azione inibitoria mirava a porre fine a quanto descritto dalla CPVP, segnatamente, come una «violazione grave e su larga scala, da parte di Facebook, della normativa in materia di tutela della vita privata» consistente nella raccolta, da parte di tale social network, di informazioni sul comportamento di navigazione sia dei titolari di un account Facebook sia dei non utenti dei servizi Facebook mediante diverse tecnologie, quali i cookie, i social plugin (ad esempio, i pulsanti «Mi piace» o «Condividi») o anche i pixel. Tali elementi consentono a detto social network di ottenere taluni dati di un internauta che consulti una pagina di un sito Internet che li contiene, come l’indirizzo di tale pagina, l’«indirizzo IP» del visitatore di detta pagina nonché la data e l’ora della consultazione di cui trattasi. 31 Con sentenza del 16 febbraio 2018, il Nederlandstalige rechtbank van eerste aanleg Brussel (Tribunale di primo grado di Bruxelles di lingua neerlandese) si è dichiarato competente a statuire su detta azione inibitoria, nella parte in cui riguardava Facebook Ireland, Facebook Inc. e Facebook Belgium, e ha dichiarato irricevibile la domanda di intervento volontario presentata dalla CPVP. 32 Nel merito, tale giudice ha dichiarato che il social network in questione non informava sufficientemente gli internauti belgi relativamente alla raccolta delle informazioni di cui trattasi e all’uso di tali informazioni. Peraltro, non è stato ritenuto valido il consenso prestato dagli internauti alla raccolta e al trattamento
di dette informazioni. Di conseguenza, è stato ingiunto a Facebook Ireland, a Facebook Inc. e a Facebook Belgium, in primo luogo, di cessare, nei confronti di qualsiasi internauta stabilito nel territorio belga, di inserire, senza il consenso dell’utente, cookie che rimangono attivi per due anni sul dispositivo da esso utilizzato quando naviga su una pagina Internet del nome di dominio Facebook.com o quando giunge sul sito di un terzo, nonché di inserire cookie e di raccogliere dati mediante social plugin, pixel o mezzi tecnologici analoghi sui siti Internet di terzi, in misura eccessiva rispetto agli obiettivi in tal modo perseguiti dal social network Facebook; in secondo luogo, di fornire informazioni che potrebbero ragionevolmente indurre in errore le persone considerate quanto alla portata reale dei meccanismi messi a disposizione da tale social network per l’utilizzo di cookie e, in terzo luogo, di distruggere tutti i dati personali ottenuti per mezzo di cookie e social plugin. 33 Il 2 marzo 2018, Facebook Ireland, Facebook Inc. e Facebook Belgium hanno interposto appello avverso tale sentenza dinanzi allo hof van beroep te Brussel (Corte di appello di Bruxelles, Belgio). Dinanzi a tale giudice, l’APD agisce in qualità di successore legale sia del presidente della CPVP, che aveva promosso l’azione inibitoria, sia della stessa CPVP. 34 Il giudice del rinvio si è dichiarato competente a statuire sull’appello interposto unicamente nella parte riguardante Facebook Belgium. Per contro, esso si è dichiarato incompetente a conoscere di tale appello per quanto riguarda Facebook Ireland e Facebook Inc. 35 Prima di pronunciarsi sul merito della controversia di cui al procedimento principale, il giudice del rinvio si pone la questione se l’APD disponga della legittimazione e dell’interesse ad agire richiesti. Secondo Facebook Belgium, l’azione inibitoria proposta sarebbe irricevibile per quanto riguarda i fatti anteriori al 25 maggio 2018, in quanto, a seguito dell’entrata in vigore della legge del 3 dicembre 2017 e del regolamento 2016/679, sarebbe stato abrogato l’articolo 32, paragrafo 3, della legge dell’8 dicembre 1992, che costituisce la base giuridica che consente di intentare un’azione siffatta. Per quanto riguarda i fatti successivi al 25 maggio 2018, Facebook Belgium fa valere che l’APD non avrebbe competenza e non disporrebbe del diritto di intentare tale azione tenuto conto del meccanismo dello «sportello unico» ora previsto in applicazione delle disposizioni del regolamento 2016/679. Sulla base di tali disposizioni, infatti, solo il Data Protection Commissioner (Commissario per la protezione dei dati, Irlanda) sarebbe competente ad intentare un’azione inibitoria nei confronti della
Facebook Ireland, essendo quest’ultima l’unica titolare del trattamento dei dati personali degli utenti del social network in questione nell’Unione. 36 Il giudice del rinvio ha dichiarato che l’APD non aveva dimostrato di avere l’interesse ad agire richiesto per intentare tale azione inibitoria nei limiti in cui quest’ultima verteva su fatti anteriori al 25 maggio 2018. Per quanto riguarda i fatti successivi a tale data, il giudice del rinvio nutre nondimeno dubbi in merito all’incidenza dell’entrata in vigore del regolamento 2016/679, in particolare dell’applicazione del meccanismo dello «sportello unico» che tale regolamento prevede, sulle competenze dell’APD nonché sul potere di quest’ultima di intentare una siffatta azione inibitoria. 37 In particolare, secondo il giudice del rinvio, la questione che si pone ora è se, per i fatti successivi al 25 maggio 2018, l’APD possa agire nei confronti della società Facebook Belgium, dal momento che Facebook Ireland è stata individuata come titolare del trattamento dei dati in questione. Dopo tale data e in forza del principio dello «sportello unico», sembrerebbe che, ai sensi dell’articolo 56 del regolamento 2016/679, sia competente unicamente il Commissario per la protezione dei dati, sotto il controllo dei soli giudici irlandesi. 38 Il giudice del rinvio ricorda che, nella sentenza del 5 giugno 2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388), la Corte ha dichiarato che l’«autorità di controllo tedesca» era competente a pronunciarsi su una controversia in materia di protezione dei dati personali, sebbene il titolare del trattamento dei dati in questione avesse sede in Irlanda e la sua controllata con sede in Germania, ossia la Facebook Germany GmbH, si occupasse soltanto della vendita di spazi pubblicitari e di altre attività di marketing nel territorio tedesco. 39 Tuttavia, nella causa che ha dato luogo a tale sentenza, la Corte era investita di una domanda di pronuncia pregiudiziale vertente sull’interpretazione delle disposizioni della direttiva 95/46, che è stata abrogata dal regolamento 2016/679. Il giudice del rinvio si chiede in quale misura l’interpretazione che la Corte ha fornito in detta sentenza sia ancora pertinente per quanto riguarda l’applicazione del regolamento 2016/679. 40 II giudice del rinvio richiama anche una decisione del «Bundeskartellamt» (Autorità federale garante della concorrenza, Germania) del 6 febbraio 2019 (la cosiddetta decisione «Facebook») in cui tale autorità garante della concorrenza ha dichiarato, in sostanza, che l’impresa interessata abusava della propria
posizione concentrando dati provenienti da fonti diverse, il che, in futuro avrebbe potuto aver luogo soltanto con il consenso esplicito degli utenti, fermo restando che l’utente che non vi acconsente non può essere escluso dai servizi Facebook. Il giudice del rinvio rileva che, manifestamente, detta autorità garante della concorrenza si è ritenuta competente, nonostante il meccanismo dello «sportello unico». 41 Inoltre, il giudice del rinvio ritiene che l’articolo 6 della legge del 3 dicembre 2017, che consente, in linea di principio, all’APD, se del caso, di agire in sede giudiziale, non implichi che la sua azione possa, in ogni caso, essere intentata dinanzi ai giudici belgi, poiché il meccanismo dello «sportello unico» sembrerebbe imporre che una siffatta azione sia intentata dinanzi al giudice del luogo in cui viene effettuato il trattamento dei dati. 42 Ciò premesso, lo hof van beroep te Brussel (Corte di appello di Bruxelles) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali: «1) Se gli articoli [55, paragrafo 1], da 56 a 58 e da 60 a 66 del [regolamento 2016/679], in combinato disposto con gli articoli 7, 8 e 47, della [Carta], debbano essere interpretati nel senso che un’autorità di controllo, che, in forza della normativa nazionale adottata in esecuzione dell’articolo [58, paragrafo 5], di tale regolamento, abbia il potere di agire in sede giudiziale dinanzi a un giudice del suo Stato membro contro le violazioni di detto regolamento, non può esercitare tale potere con riguardo a un trattamento transfrontaliero se essa non è l’autorità di controllo capofila per il trattamento transfrontaliero di cui trattasi. 2) Se, a tal riguardo, assuma rilevanza la circostanza che il titolare di detto trattamento transfrontaliero non abbia in tale Stato membro lo stabilimento principale, ma solo un altro stabilimento. 3) Se, a tal riguardo, assuma rilevanza la circostanza che l’autorità nazionale di controllo intenti l’azione nei confronti dello stabilimento principale del titolare del trattamento o nei confronti dello stabilimento nel proprio Stato membro. 4) Se, a tal riguardo, assuma rilevanza la circostanza che l’autorità nazionale di controllo abbia già intentato l’azione prima della data di entrata in vigore (il 25 maggio 2018) del regolamento [2016/679].
5) In caso di risposta affermativa alla prima questione, se l’articolo [58, paragrafo 5], del regolamento 2016/679 abbia effetto diretto, cosicché un’autorità nazionale di controllo può invocare detto articolo per intentare o proseguire un’azione nei confronti di privati, anche se l’articolo [58, paragrafo 5], del regolamento 2016/679 non sia stato specificamente trasposto nella normativa degli Stati membri, pur essendo la trasposizione obbligatoria. 6) In caso di risposta affermativa alle questioni che precedono, se l’esito di siffatti procedimenti possa ostare ad una conclusione opposta dell’autorità di controllo capofila nel caso in cui tale autorità capofila esamini le medesime attività di trattamento transfrontaliero o attività analoghe, conformemente al meccanismo previsto agli articoli 56 e 60 del regolamento 2016/679».
Sulla prima questione
43 Con la sua prima questione, il giudice del rinvio chiede, in sostanza, se l’articolo 55, paragrafo 1 e gli articoli da 56 a 58 nonché da 60 a 66 del regolamento 2016/679, in combinato disposto con gli articoli 7, 8 e 47 della Carta, debbano essere interpretati nel senso che un’autorità di controllo di uno Stato membro – che, in forza della normativa nazionale adottata in esecuzione dell’articolo 58, paragrafo 5, di tale regolamento, abbia il potere di intentare un’azione dinanzi a un giudice di tale Stato membro e, se del caso, di agire in sede giudiziale in caso di presunta violazione di detto regolamento – può esercitare tale potere per quanto riguarda un trattamento di dati transfrontaliero, sebbene non sia l’«autorità di controllo capofila», a norma dell’articolo 56, paragrafo 1, del medesimo regolamento, per quanto riguarda un siffatto trattamento di dati. 44 A tal riguardo, occorre ricordare, in via preliminare, che, da un lato, a differenza della direttiva 95/46, che era stata adottata sul fondamento dell’articolo 100 A del Trattato CE, relativo all’armonizzazione del mercato comune, la base giuridica del regolamento 2016/679 è l’articolo 16 TFUE, il quale sancisce il diritto di ogni persona alla tutela dei dati personali e autorizza il Parlamento europeo e il Consiglio dell’Unione europea a fissare norme relative alla protezione delle persone fisiche con riguardo al trattamento di tali dati da parte delle istituzioni, degli organi e degli organismi dell’Unione, nonché da parte degli Stati membri, nell’esercizio di attività che rientrano nell’ambito di
applicazione del diritto dell’Unione, e norme relative alla libera circolazione di detti dati. D’altro lato, il considerando 1 di tale regolamento afferma che «[l]a protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale» e ricorda che l’articolo 8, paragrafo 1, della Carta nonché l’articolo 16, paragrafo 1, TFUE stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. 45 Di conseguenza, come risulta dall’articolo 1, paragrafo 2, del regolamento 2016/679, in combinato disposto con i considerando 10, 11 e 13 di tale regolamento, quest’ultimo affida alle istituzioni, agli organi e agli organismi dell’Unione, nonché alle autorità competenti degli Stati membri, il compito di assicurare un livello elevato di tutela dei diritti garantiti dall’articolo 16 TFUE e dall’articolo 8 della Carta. 46 Inoltre, come enunciato dal considerando 4 del regolamento in parola, quest’ultimo rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti nella Carta. 47 È in questo contesto che l’articolo 55, paragrafo 1, del regolamento 2016/679 stabilisce la competenza di principio di ogni autorità di controllo ad eseguire i compiti ed esercitare i poteri a essa conferiti, a norma di tale regolamento, nel territorio del rispettivo Stato membro (v., in tal senso, sentenza del 16 luglio 2020, Facebook Ireland e Schrems, C-311/18, EU:C:2020:559, punto 147). 48 Tra i compiti conferiti a tali autorità di controllo figurano, in particolare, il compito di sorvegliare l’applicazione del regolamento 2016/679 e di vigilare sul rispetto di quest’ultimo, previsto all’articolo 57, paragrafo 1, lettera a), di tale regolamento, nonché il compito di collaborare, anche tramite scambi di informazioni, con le altre autorità di controllo e prestare assistenza reciproca al fine di garantire l’applicazione coerente di detto regolamento e delle misure adottate per garantirne il rispetto, previsto all’articolo 57, paragrafo 1, lettera g), del medesimo regolamento. Tra i poteri conferiti a tali autorità di controllo al fine di assolvere detti compiti figurano diversi poteri di indagine, previsti all’articolo 58, paragrafo 1, del regolamento 2016/679, nonché il potere di intentare un’azione dinanzi alle autorità giudiziarie e, se del caso, di agire in sede giudiziale in caso di violazione di tale regolamento per far rispettare le disposizioni dello stesso, previsto all’articolo 58, paragrafo 5, di detto regolamento.
49 L’esercizio di tali compiti e poteri presuppone tuttavia che un’autorità di controllo disponga della competenza per quanto riguarda un determinato trattamento di dati. 50 A tal riguardo, fatta salva la norma sulla competenza di cui all’articolo 55, paragrafo 1, del regolamento 2016/679, l’articolo 56, paragrafo 1, di tale regolamento prevede, per i «trattamenti transfrontalieri» ai sensi del suo articolo 4, punto 23, il meccanismo dello «sportello unico», basato su una ripartizione delle competenze tra un’«autorità di controllo capofila» e le altre autorità di controllo interessate. In forza di siffatto meccanismo, l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare del trattamento o del responsabile del trattamento è competente ad agire in qualità di autorità di controllo capofila per quanto attiene al trattamento transfrontaliero effettuato da detto titolare del trattamento o responsabile del trattamento, secondo la procedura di cui all’articolo 60 del regolamento in parola. 51 Quest’ultimo articolo stabilisce la procedura di cooperazione tra l’autorità di controllo capofila e le altre autorità di controllo interessate. Nell’ambito di tale procedura, l’autorità di controllo capofila è tenuta, in particolare, a cercare di raggiungere un consenso. A tal fine, conformemente all’articolo 60, paragrafo 3, del regolamento 2016/679, essa trasmette senza indugio un progetto di decisione alle altre autorità di controllo interessate per ottenere il loro parere e tiene debitamente conto delle loro opinioni. 52 In particolare, dagli articoli 56 e 60 del regolamento 2016/679 risulta che, per i «trattamenti transfrontalieri», ai sensi dell’articolo 4, punto 23, di tale regolamento, e fatto salvo l’articolo 56, paragrafo 2, di quest’ultimo, le varie autorità di controllo nazionali interessate devono cooperare, secondo la procedura prevista da tali disposizioni, al fine di raggiungere un consenso e una decisione unica che vincoli tutte le suddette autorità, il cui rispetto deve essere garantito dal titolare del trattamento per quanto riguarda le attività di trattamento effettuate nell’ambito di tutti i suoi stabilimenti nell’Unione. Inoltre, l’articolo 61, paragrafo 1, di detto regolamento obbliga le autorità di controllo, in particolare, a comunicarsi le informazioni utili nonché a prestarsi reciproca assistenza al fine di attuare e applicare il medesimo regolamento in modo coerente in tutta l’Unione. L’articolo 63 del regolamento 2016/679 precisa che è a tal fine previsto il meccanismo di coerenza, stabilito agli articoli 64 e 65 di quest’ultimo [sentenza del 24 settembre 2019, Google (Portata territoriale della deindicizzazione), C-507/17, EU:C:2019:772, punto 68].
53 L’applicazione del meccanismo dello «sportello unico» richiede pertanto, come confermato dal considerando 13 del regolamento 2016/679, una leale ed efficace cooperazione tra l’autorità di controllo capofila e le altre autorità di controllo interessate. Di conseguenza, come rilevato dall’avvocato generale al paragrafo 111 delle sue conclusioni, l’autorità di controllo capofila non può ignorare le opinioni delle altre autorità di controllo interessate e qualsiasi obiezione pertinente e motivata formulata da una di queste ultime autorità ha l’effetto di bloccare, almeno temporaneamente, l’adozione del progetto di decisione dell’autorità di controllo capofila. 54 Pertanto, conformemente all’articolo 60, paragrafo 4, del regolamento 2016/679, qualora una delle altre autorità di controllo interessate formuli, entro un termine di quattro settimane dopo essere stata consultata, una siffatta obiezione pertinente e motivata in merito al progetto di decisione, l’autorità di controllo capofila, qualora non segua l’obiezione pertinente e motivata o ritenga che tale obiezione non sia pertinente o motivata, sottopone la questione al meccanismo di coerenza di cui all’articolo 63 di tale regolamento, al fine di ottenere dal comitato europeo per la protezione dei dati una decisione vincolante, adottata in base all’articolo 65, paragrafo 1, lettera a), di detto regolamento. 55 Ai sensi dell’articolo 60, paragrafo 5, del regolamento 2016/679, quando l’autorità di controllo capofila intende invece seguire l’obiezione pertinente e motivata formulata, essa sottopone alle altre autorità di controllo interessate un progetto di decisione riveduto al fine di ottenere il loro parere. Tale progetto di decisione riveduto è soggetto alla procedura di cui all’articolo 60, paragrafo 4, del medesimo regolamento entro un termine di due settimane. 56 Conformemente all’articolo 60, paragrafo 7, di detto regolamento, in linea di principio, spetta all’autorità di controllo capofila adottare una decisione riguardo al trattamento transfrontaliero di cui trattasi, notificarla allo stabilimento principale o allo stabilimento unico del titolare del trattamento o del responsabile del trattamento, a seconda dei casi, e informare le altre autorità di controllo interessate e il comitato europeo per la protezione dei dati della decisione in questione, comunicando anche una sintesi dei fatti e dei motivi pertinenti. 57 Ciò premesso, occorre sottolineare che il regolamento 2016/679 prevede eccezioni al principio della competenza decisionale dell’autorità di controllo
capofila nell’ambito del meccanismo dello «sportello unico» previsto all’articolo 56, paragrafo 1, di detto regolamento. 58 Tra tali eccezioni figura, in primo luogo, l’articolo 56, paragrafo 2, del regolamento 2016/679, il quale prevede che un’autorità di controllo che non è l’autorità di controllo capofila sia competente per la gestione dei reclami a essa proposti e riguardanti un trattamento transfrontaliero di dati personali o un’eventuale violazione di tale regolamento, se l’oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente in tale Stato membro. 59 In secondo luogo, l’articolo 66 del regolamento 2016/679 prevede, in deroga ai meccanismi di coerenza di cui agli articoli 60 e da 63 a 65 di tale regolamento, una procedura d’urgenza. Tale procedura d’urgenza consente, in circostanze eccezionali, qualora l’autorità di controllo interessata ritenga che urga intervenire per proteggere i diritti e le libertà degli interessati, di adottare immediatamente misure provvisorie intese a produrre effetti giuridici nel proprio territorio, con un periodo di validità determinato che non superi i tre mesi, in quanto l’articolo 66, paragrafo 2, del regolamento 2016/679 prevede inoltre che, qualora un’autorità di controllo abbia adottato una misura in forza del paragrafo 1 e ritenga che debbano essere adottate misure definitive, essa può chiedere un parere d’urgenza o una decisione vincolante d’urgenza del comitato europeo per la protezione dei dati, motivando tale richiesta. 60 Tuttavia, tale competenza delle autorità di controllo deve essere esercitata nel rispetto di una leale ed efficace cooperazione con l’autorità di controllo capofila, conformemente alla procedura di cui all’articolo 56, paragrafi da 3 a 5, del regolamento 2016/679. Infatti, in tale ipotesi, in applicazione dell’articolo 56, paragrafo 3, di detto regolamento, l’autorità di controllo interessata deve informare senza ritardo l’autorità di controllo capofila, la quale, entro tre settimane dal momento in cui è stata informata, decide se tratterà o meno il caso. 61 Orbene, in forza dell’articolo 56, paragrafo 4, del regolamento 2016/679, se l’autorità di controllo capofila decide di trattare il caso, si applica la procedura di cooperazione prevista all’articolo 60 del regolamento in parola. In tale contesto, l’autorità di controllo che ha informato l’autorità di controllo capofila può sottoporle un progetto di decisione e quest’ultima deve tenere nella massima considerazione tale progetto quando elabora il progetto di decisione di cui all’articolo 60, paragrafo 3, di detto regolamento.
62 Per contro, in applicazione dell’articolo 56, paragrafo 5, del regolamento 2016/679, se l’autorità di controllo capofila decide di non trattare il caso, l’autorità di controllo che l’ha informata lo tratta conformemente agli articoli 61 e 62 di tale regolamento, i quali richiedono alle autorità di controllo il rispetto delle regole di reciproca assistenza e di cooperazione nell’ambito di operazioni congiunte, al fine di garantire una cooperazione efficace tra le autorità interessate. 63 Da quanto precede deriva che, da un lato, in materia di trattamento transfrontaliero di dati personali, la competenza dell’autorità di controllo capofila ad adottare una decisione che constati che un siffatto trattamento viola le norme relative alla tutela dei diritti delle persone fisiche con riguardo al trattamento di dati personali contenute nel regolamento 2016/679 costituisce la regola, mentre la competenza delle altre autorità di controllo interessate ad adottare una tale decisione, anche in via provvisoria, costituisce l’eccezione. D’altro lato, pur se la competenza di principio dell’autorità di controllo capofila è confermata all’articolo 56, paragrafo 6, del regolamento 2016/679, ai sensi del quale l’autorità di controllo capofila è l’«unico interlocutore» del titolare del trattamento o del responsabile per il trattamento transfrontaliero effettuato da tale titolare del trattamento o responsabile del trattamento, tale autorità deve esercitare siffatta competenza nell’ambito di una stretta cooperazione con le altre autorità di controllo interessate. In particolare, l’autorità di controllo capofila non può sottrarsi, nell’esercizio delle sue competenze, come rilevato al punto 53 della presente sentenza, a un dialogo indispensabile nonché a una cooperazione leale ed efficace con le altre autorità di controllo interessate. 64 A tal riguardo, dal considerando 10 del regolamento 2016/679 risulta che quest’ultimo mira, in particolare, a garantire un’applicazione coerente ed omogenea delle norme in materia di protezione delle libertà e dei diritti fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione e a rimuovere gli ostacoli ai flussi di dati personali all’interno di quest’ultima. 65 Orbene, siffatto obiettivo e l’effetto utile del meccanismo dello «sportello unico», potrebbero essere compromessi se un’autorità di controllo, che, riguardo a un trattamento di dati transfrontaliero, non è l’autorità di controllo capofila, potesse esercitare il potere previsto all’articolo 58, paragrafo 5, del regolamento 2016/679 al di fuori dei casi in cui essa è competente ad adottare una decisione come quella di cui al punto 63 della presente sentenza. Infatti, l’esercizio di un potere siffatto mira a giungere ad una decisione giurisdizionale vincolante, la
quale è altrettanto idonea a pregiudicare detto obiettivo nonché detto meccanismo quanto una decisione adottata da un’autorità di controllo che non è l’autorità di controllo capofila. 66 Contrariamente a quanto sostiene l’APD, la circostanza che un’autorità di controllo di uno Stato membro che non è l’autorità di controllo capofila possa esercitare il potere previsto all’articolo 58, paragrafo 5, del regolamento 2016/679 solo nel rispetto delle norme sulla ripartizione delle competenze decisionali previste, in particolare, dagli articoli 55 e 56 di tale regolamento, in combinato disposto con l’articolo 60 di quest’ultimo, è conforme agli articoli 7, 8 e 47 della Carta. 67 Da un lato, per quanto riguarda l’argomento vertente su una presunta violazione degli articoli 7 e 8 della Carta, occorre ricordare che detto articolo 7 garantisce a ogni persona il diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni, mentre l’articolo 8, paragrafo 1, della Carta, così come l’articolo 16, paragrafo 1, TFUE, riconosce espressamente a ogni persona il diritto alla protezione dei dati personali che la riguardano. Orbene, discende in particolare dall’articolo 51, paragrafo 1, del regolamento 2016/679 che le autorità di controllo sono incaricate di sorvegliare l’applicazione di tale regolamento, in particolare, al fine di tutelare i diritti fondamentali delle persone fisiche con riguardo al trattamento dei loro dati personali. Ne consegue che, conformemente a quanto esposto al punto 45 della presente sentenza, le norme sulla ripartizione delle competenze decisionali tra l’autorità di controllo capofila e le altre autorità di controllo, previste in detto regolamento, lasciano impregiudicata la responsabilità gravante su ciascuna di tali autorità di contribuire ad un livello elevato di protezione di detti diritti, nel rispetto di tali norme nonché dei requisiti di cooperazione e di assistenza reciproca ricordati al punto 52 della presente sentenza. 68 Ciò significa, in particolare, che il meccanismo dello «sportello unico» non può in alcun caso comportare che un’autorità nazionale di controllo, in particolare l’autorità di controllo capofila, non assuma la responsabilità, che le incombe in forza del regolamento 2016/679, di contribuire ad un’efficace tutela delle persone fisiche contro violazioni dei loro diritti fondamentali ricordati al punto precedente della presente sentenza, pena l’incoraggiare una pratica di forum shopping, in particolare da parte dei titolari del trattamento, al fine di eludere tali diritti fondamentali e l’applicazione effettiva delle disposizioni di detto regolamento che vi danno attuazione.
69 D’altro lato, per quanto riguarda l’argomento vertente su una presunta violazione del diritto a un ricorso effettivo, garantito dall’articolo 47 della Carta, neppure esso può essere accolto. Infatti, la delimitazione, esposta ai punti 64 e 65 della presente sentenza, della possibilità per un’autorità di controllo diversa dall’autorità di controllo capofila di esercitare il potere previsto all’articolo 58, paragrafo 5, del regolamento 2016/679, per quanto riguarda un trattamento transfrontaliero di dati personali, lascia impregiudicato il diritto riconosciuto ad ogni persona, all’articolo 78, paragrafi 1 e 2, di tale regolamento, di proporre un ricorso giurisdizionale effettivo, in particolare, avverso una decisione giuridicamente vincolante di un’autorità di controllo che lo riguarda o contro il mancato trattamento di un reclamo da parte dell’autorità di controllo che dispone della competenza decisionale in forza degli articoli 55 e 56 di detto regolamento, letti congiuntamente con l’articolo 60 di quest’ultimo. 70 Ciò avviene, in particolare, nell’ipotesi di cui all’articolo 56, paragrafo 5, del regolamento 2016/679, secondo la quale, come rilevato al punto 62 della presente sentenza, l’autorità di controllo che ha fornito l’informazione sulla base dell’articolo 56, paragrafo 3, di tale regolamento, può trattare il caso conformemente agli articoli 61 e 62 di quest’ultimo, se l’autorità di controllo capofila decide, dopo esserne stata informata, che non lo tratterà essa stessa. Nell’ambito di un siffatto trattamento, non si può peraltro escludere che l’autorità di controllo considerata possa, se del caso, decidere di esercitare il potere conferitole dall’articolo 58, paragrafo 5, del regolamento 2016/679. 71 Ciò precisato, occorre sottolineare che non può essere escluso l’esercizio del potere di un’autorità di controllo di uno Stato membro di rivolgersi ai giudici del suo Stato qualora, dopo aver richiesto la reciproca assistenza dell’autorità di controllo capofila, in forza dell’articolo 61 del regolamento 2016/679, quest’ultima non le fornisca le informazioni richieste. In tale ipotesi, in forza dell’articolo 61, paragrafo 8, del regolamento in esame, l’autorità di controllo interessata può adottare una misura provvisoria nel territorio del suo Stato membro e, se ritiene che sia urgente adottare misure definitive, tale autorità può, conformemente all’articolo 66, paragrafo 2, di detto regolamento, chiedere al comitato europeo per la protezione dei dati un parere d’urgenza o una decisione vincolante d’urgenza. Inoltre, ai sensi dell’articolo 64, paragrafo 2, del medesimo regolamento, un’autorità di controllo può chiedere che qualsiasi questione di applicazione generale o produttiva di effetti in più Stati membri sia esaminata dal comitato europeo per la protezione dei dati al fine di ottenere un parere, in particolare qualora un’autorità di controllo competente non si conformi agli obblighi relativi all’assistenza reciproca posti a suo carico
dall’articolo 61 di quest’ultimo. Orbene, a seguito dell’adozione di un siffatto parere o di una siffatta decisione, e purché il comitato europeo per la protezione dei dati vi sia favorevole dopo aver preso in considerazione tutte le circostanze pertinenti, l’autorità di controllo considerata deve poter adottare le misure necessarie al fine di garantire il rispetto delle norme relative alla tutela dei diritti delle persone fisiche con riguardo al trattamento di dati personali contenute nel regolamento 2016/679 e, a tale titolo, esercitare il potere conferitole dall’articolo 58, paragrafo 5, del predetto regolamento. 72 La ripartizione delle competenze e delle responsabilità tra le autorità di controllo, infatti, si basa necessariamente sulla premessa di una cooperazione leale ed efficace tra tali autorità nonché con la Commissione, al fine di garantire l’applicazione corretta e coerente del suddetto regolamento, come confermato dall’articolo 51, paragrafo 2, di quest’ultimo. 73 Nel caso di specie, spetterà al giudice del rinvio stabilire se le norme sulla ripartizione delle competenze nonché le procedure e i meccanismi pertinenti previsti dal regolamento 2016/679 siano stati correttamente applicati nell’ambito del procedimento principale. In particolare, sarà suo compito verificare se, benché l’APD non sia l’autorità di controllo capofila in tale causa, il trattamento in questione, nella misura in cui riguarda comportamenti del social network Facebook successivi al 25 maggio 2018, rientri segnatamente nella situazione descritta al punto 71 della presente sentenza. 74 A tal riguardo, la Corte osserva che, nel suo parere 5/2019 del 12 marzo 2019, sull’interazione tra la direttiva relativa alla vita privata e alle comunicazioni elettroniche e il regolamento generale sulla protezione dei dati, in particolare per quanto concerne competenze, compiti e poteri delle autorità per la protezione dei dati, il comitato europeo per la protezione dei dati ha dichiarato che la memorizzazione e la lettura di dati personali mediante cookie rientravano nell’ambito di applicazione della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU 2002, L 201, pag. 37) e non nel meccanismo dello «sportello unico». Per contro, tutte le operazioni precedenti e le successive attività di trattamento di tali dati personali mediante altre tecnologie rientrano effettivamente nell’ambito di applicazione del regolamento 2016/679 e, di conseguenza, nel meccanismo dello «sportello unico». Dato che la sua domanda di assistenza reciproca riguardava tali successive operazioni di trattamento dei dati personali, nel mese di aprile 2019
l’APD ha chiesto al Commissario per la protezione dei dati di dar seguito alla sua domanda il più rapidamente possibile, richiesta che sarebbe rimasta senza riscontro. 75 Alla luce di tutte le considerazioni che precedono, occorre rispondere alla prima questione posta dichiarando che l’articolo 55, paragrafo 1 e gli articoli da 56 a 58 nonché da 60 a 66 del regolamento 2016/679, in combinato disposto con gli articoli 7, 8 e 47 della Carta, devono essere interpretati nel senso che un’autorità di controllo di uno Stato membro, la quale, in forza della normativa nazionale adottata in esecuzione dell’articolo 58, paragrafo 5, di tale regolamento, abbia il potere di intentare un’azione dinanzi a un giudice di tale Stato membro e, se del caso, di agire in sede giudiziale in caso di presunta violazione di detto regolamento, può esercitare tale potere con riguardo al trattamento transfrontaliero di dati, pur non essendo l’«autorità di controllo capofila» ai sensi dell’articolo 56, paragrafo 1, dello stesso regolamento con riguardo a siffatto trattamento di dati, purché ciò avvenga in una delle situazioni in cui il regolamento 2016/679 conferisce a tale autorità di controllo la competenza ad adottare una decisione che accerti che il trattamento in questione viola le norme in esso contenute, nonché nel rispetto delle procedure di cooperazione e di coerenza previste da tale regolamento.
Sulla seconda questione
76 Con la sua seconda questione, il giudice del rinvio chiede, in sostanza, se l’articolo 58, paragrafo 5, del regolamento 2016/679 debba essere interpretato nel senso che, in caso di trattamento transfrontaliero di dati, l’esercizio del potere di un’autorità di controllo di uno Stato membro, diversa dall’autorità di controllo capofila, di agire in sede giudiziale, ai sensi di tale disposizione, richieda che il titolare del trattamento transfrontaliero di dati personali, nei cui confronti tale azione è intentata, disponga di uno «stabilimento principale», a norma dell’articolo 4, punto 16, del regolamento 2016/679, nel territorio di tale Stato membro oppure di un altro stabilimento in tale territorio. 77 A tal riguardo, occorre ricordare che, ai sensi dell’articolo 55, paragrafo 1, del regolamento 2016/679, ciascuna autorità di controllo è competente ad eseguire i compiti e ad esercitare i poteri ad essa conferiti a norma di tale regolamento nel territorio dello Stato membro di appartenenza.
78 L’articolo 58, paragrafo 5, del regolamento 2016/679 prevede, inoltre, il potere di ciascuna autorità di controllo di intentare un’azione dinanzi a un giudice dello Stato membro di appartenenza e, se del caso, di agire in sede giudiziale in caso di presunta violazione di tale regolamento per far rispettare le disposizioni dello stesso. 79 Orbene, occorre rilevare che l’articolo 58, paragrafo 5, del regolamento 2016/679 è formulato in termini generali e che il legislatore dell’Unione non ha subordinato l’esercizio di tale potere da parte di un’autorità di controllo di uno Stato membro alla condizione che l’azione di quest’ultima sia intentata nei confronti di un titolare del trattamento che disponga di uno «stabilimento principale», ai sensi dell’articolo 4, punto 16, di tale regolamento, o di un altro stabilimento nel territorio di tale Stato membro. 80 Tuttavia, un’autorità di controllo di uno Stato membro può esercitare il potere conferitole dall’articolo 58, paragrafo 5, del regolamento 2016/679 solo se è dimostrato che tale potere rientra nell’ambito di applicazione territoriale di tale regolamento. 81 L’articolo 3 del regolamento 2016/679, che disciplina l’ambito di applicazione territoriale del predetto regolamento, al suo paragrafo 1, prevede al riguardo che quest’ultimo si applichi al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento di un titolare del trattamento o di un responsabile del trattamento nel territorio dell’Unione, indipendentemente dal fatto che il trattamento abbia luogo o meno nell’Unione. 82 A tale titolo, il considerando 22 del regolamento 2016/679 precisa che detto stabilimento implica l’effettivo e reale svolgimento di un’attività nel quadro di un’organizzazione stabile e che la forma giuridica adottata per tale organizzazione, che si tratti di una succursale o di una filiale dotata di personalità giuridica, non è determinante al riguardo. 83 Ne consegue che, conformemente all’articolo 3, paragrafo 1, del regolamento 2016/679, l’ambito di applicazione territoriale di tale regolamento è determinato, fatte salve le ipotesi di cui ai paragrafi 2 e 3 di tale articolo, dalla condizione che il titolare del trattamento o il responsabile del trattamento transfrontaliero disponga di uno stabilimento nel territorio dell’Unione. 84 Occorre pertanto rispondere alla seconda questione posta dichiarando che l’articolo 58, paragrafo 5, del regolamento 2016/679 deve essere interpretato nel senso che, in caso di trattamento transfrontaliero di dati, l’esercizio del potere di
un’autorità di controllo di uno Stato membro, diversa dall’autorità di controllo capofila, di intentare un’azione giudiziaria, ai sensi di tale disposizione, non esige che il titolare del trattamento o il responsabile per il trattamento transfrontaliero di dati personali, nei cui confronti tale azione viene intentata, disponga di uno stabilimento principale o di un altro stabilimento nel territorio di detto Stato membro.
Sulla terza questione
85 Con la sua terza questione, il giudice del rinvio chiede, in sostanza, se l’articolo 58, paragrafo 5, del regolamento 2016/679 debba essere interpretato nel senso che, in caso di trattamento transfrontaliero di dati, l’esercizio del potere di un’autorità di controllo di uno Stato membro, diversa dall’autorità di controllo capofila, di intentare un’azione dinanzi a un giudice di tale Stato membro e, se del caso, di agire in sede giudiziale in caso di presunta violazione del predetto regolamento ai sensi di tale disposizione, esige che l’autorità di controllo interessata diriga la propria azione giudiziaria contro lo stabilimento principale del titolare del trattamento oppure contro lo stabilimento che si trova nel proprio Stato membro. 86 Dalla decisione di rinvio risulta che tale questione è sollevata nell’ambito di una discussione tra le parti sulla questione se il giudice del rinvio sia competente ad esaminare l’azione inibitoria nei limiti in cui essa è intentata contro Facebook Belgium, tenuto conto del fatto che, da una parte, all’interno dell’Unione, la sede sociale del gruppo Facebook è situata in Irlanda e che Facebook Ireland è l’unica responsabile della raccolta e del trattamento dei dati personali per tutto il territorio dell’Unione e, dall’altra, che, secondo una ripartizione interna a tale gruppo, lo stabilimento situato in Belgio sarebbe stato creato, in via principale, per consentire a tale gruppo di mantenere relazioni con le istituzioni dell’Unione e, in via accessoria, per promuovere le attività pubblicitarie e di marketing dello stesso gruppo destinate a persone residenti in Belgio. 87 Come rilevato al punto 47 della presente sentenza, l’articolo 55, paragrafo 1, del regolamento 2016/679 stabilisce la competenza di principio di ciascuna autorità di controllo ad eseguire i compiti e ad esercitare i poteri ad essa conferiti, conformemente a tale regolamento, nel territorio del rispettivo Stato membro.
88 Per quanto riguarda il potere di un’autorità di controllo di uno Stato membro di intentare un’azione giudiziaria, ai sensi dell’articolo 58, paragrafo 5, del regolamento 2016/679, occorre ricordare, come rilevato dall’avvocato generale al paragrafo 150 delle sue conclusioni, che tale disposizione è formulata in termini generali e non precisa gli enti nei confronti dei quali le autorità di controllo debbano o possano agire in giudizio in relazione a qualsiasi violazione di tale regolamento. 89 Di conseguenza, detta disposizione non limita l’esercizio del potere di agire in sede giudiziale nel senso che un’azione siffatta possa essere intentata unicamente nei confronti di uno «stabilimento principale» oppure nei confronti di un altro «stabilimento» del titolare del trattamento. Al contrario, in forza della medesima disposizione, qualora l’autorità di controllo di uno Stato membro disponga della competenza necessaria a tal fine, in applicazione degli articoli 55 e 56 del regolamento 2016/679, essa può esercitare i poteri conferitile da tale regolamento nel suo territorio nazionale, indipendentemente dallo Stato membro in cui è stabilito il titolare del trattamento o il responsabile del trattamento. 90 Tuttavia, l’esercizio del potere conferito a ciascuna autorità di controllo dall’articolo 58, paragrafo 5, del regolamento 2016/679 presuppone che tale regolamento sia applicabile. A tal riguardo, e come sottolineato al punto 81 della presente sentenza, l’articolo 3, paragrafo 1, di detto regolamento prevede che quest’ultimo si applichi al trattamento dei dati personali effettuato «nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione». 91 Alla luce dell’obiettivo perseguito dal regolamento 2016/679, consistente nel garantire una tutela efficace delle libertà e dei diritti fondamentali delle persone fisiche, segnatamente del diritto alla tutela della vita privata e alla protezione dei dati personali, la condizione secondo cui il trattamento di dati personali deve essere effettuato «nell’ambito delle attività» dello stabilimento considerato non può ricevere un’interpretazione restrittiva (v., per analogia, sentenza del 5 giugno 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, punto 56 e giurisprudenza ivi citata). 92 Nel caso di specie, dalla decisione di rinvio e dalle osservazioni scritte presentate da Facebook Belgium risulta che quest’ultima è incaricata, in via principale, di intrattenere relazioni con le istituzioni dell’Unione e, in via
accessoria, di promuovere le attività pubblicitarie e di marketing del suo gruppo destinate alle persone residenti in Belgio. 93 Il trattamento di dati personali di cui trattasi nel procedimento principale, che nel territorio dell’Unione è effettuato esclusivamente da Facebook Ireland e che consiste nella raccolta di informazioni sul comportamento di navigazione tanto dei titolari di un account Facebook quanto dei non utenti dei servizi Facebook mediante tecnologie diverse, quali, in particolare, i social plugin e i pixel, ha proprio lo scopo di consentire al social network di cui trattasi di rendere più efficiente il proprio sistema pubblicitario, diffondendo le comunicazioni in modo mirato. 94 Orbene, occorre rilevare che, da un lato, un social network come Facebook genera una parte sostanziale dei suoi redditi grazie, in particolare, alla pubblicità ivi diffusa e che l’attività svolta dallo stabilimento situato in Belgio è diretta a garantire, in tale Stato membro, anche se solo in via accessoria, la promozione e la vendita di spazi pubblicitari che servono a rendere redditizi i servizi Facebook. D’altro lato, l’attività svolta in via principale da Facebook Belgium, consistente nell’intrattenere relazioni con le istituzioni dell’Unione e nel costituire un punto di contatto con queste ultime, mira, in particolare, a determinare la politica di trattamento dei dati personali da parte di Facebook Ireland. 95 Ciò posto, le attività dello stabilimento del gruppo Facebook situato in Belgio devono essere considerate inscindibilmente connesse al trattamento dei dati personali di cui trattasi nel procedimento principale, per il quale il titolare del trattamento è Facebook Ireland per quanto riguarda il territorio dell’Unione. Pertanto, un trattamento siffatto deve essere considerato effettuato «nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento», ai sensi dell’articolo 3, paragrafo 1, del regolamento 2016/679. 96 Alla luce di tutte le considerazioni che precedono, occorre rispondere alla terza questione posta dichiarando che l’articolo 58, paragrafo 5, del regolamento 2016/679 deve essere interpretato nel senso che il potere di un’autorità di controllo di uno Stato membro, diversa dall’autorità di controllo capofila, di intentare un’azione dinanzi ad un giudice di tale Stato membro e, se del caso, di agire in sede giudiziale, ai sensi di tale disposizione, in caso di presunta violazione di detto regolamento può essere esercitato tanto nei confronti dello stabilimento principale del titolare del trattamento che si trovi nello Stato membro di appartenenza di tale autorità quanto nei confronti di un altro
stabilimento di tale titolare, purché l’azione giudiziaria riguardi un trattamento di dati effettuato nell’ambito delle attività di detto stabilimento e l’autorità di cui trattasi sia competente ad esercitare siffatto potere, conformemente a quanto esposto in risposta alla prima questione posta.
Sulla quarta questione
97 Con la sua quarta questione, il giudice del rinvio chiede, in sostanza, se l’articolo 58, paragrafo 5, del regolamento 2016/679 debba essere interpretato nel senso che, nel caso in cui un’autorità di controllo di uno Stato membro che non è l’«autorità di controllo capofila», ai sensi dell’articolo 56, paragrafo 1, di tale regolamento, abbia intentato un’azione giudiziaria relativa a un trattamento transfrontaliero di dati personali prima del 25 maggio 2018, ossia prima della data in cui detto regolamento è divenuto applicabile, tale circostanza è idonea ad influire sulle condizioni in cui detta autorità di controllo di uno Stato membro può esercitare il potere di agire in sede giudiziale conferitole dal suddetto articolo 58, paragrafo 5. 98 Dinanzi a tale giudice, le società Facebook Ireland, Facebook Inc. e Facebook Belgium sostengono infatti che l’applicazione del regolamento 2016/679 a partire dal 25 maggio 2018 avrebbe come conseguenza che il mantenimento di un’azione intentata prima di tale data è irricevibile o addirittura infondato. 99 Occorre rilevare, in via preliminare, che l’articolo 99, paragrafo 1, del regolamento 2016/679 prevede che quest’ultimo entri in vigore il ventesimo giorno successivo alla sua pubblicazione nella Gazzetta ufficiale dell’Unione europea. Poiché tale regolamento è stato pubblicato nella suddetta Gazzetta ufficiale il 4 maggio 2016, esso è quindi entrato in vigore il 25 maggio successivo. Inoltre, l’articolo 99, paragrafo 2, di detto regolamento prevede che quest’ultimo si applichi a decorrere dal 25 maggio 2018. 100 A tal riguardo, va ricordato che una nuova norma giuridica si applica a decorrere dall’entrata in vigore dell’atto che la istituisce e che, sebbene non si applichi alle situazioni giuridiche sorte e definitivamente acquisite in vigenza della precedente norma, essa si applica agli effetti futuri delle medesime, nonché alle situazioni giuridiche nuove, a meno che la nuova norma, fatto salvo il principio di irretroattività degli atti giuridici, sia accompagnata da disposizioni particolari che determinano specificamente le sue condizioni di applicazione nel tempo. In particolare, le norme procedurali si considerano generalmente
applicabili alla data in cui esse entrano in vigore, a differenza delle norme sostanziali, che, secondo la comune interpretazione, riguardano situazioni consolidatesi anteriormente alla loro entrata in vigore solo se dalla loro formulazione, dalla loro finalità o dal loro impianto sistematico risulti chiaramente che va loro attribuito tale effetto [sentenza del 25 febbraio 2021, Caisse pour l’avenir des enfants (Impiego alla nascita), C-129/20, EU:C:2021:140, punto 31 e giurisprudenza ivi citata]. 101 Il regolamento 2016/679 non contiene alcuna norma transitoria né alcuna altra norma che disciplini lo status dei procedimenti giurisdizionali avviati prima che esso fosse applicabile e che erano ancora in corso alla data in cui è divenuto applicabile. In particolare, nessuna disposizione di tale regolamento prevede che esso abbia l’effetto di porre fine a tutti i procedimenti giurisdizionali pendenti alla data del 25 maggio 2018 che riguardano presunte violazioni di norme che disciplinano il trattamento di dati personali previste dalla direttiva 95/46, e ciò anche se i comportamenti costitutivi di tali presunte violazioni perdurano oltre tale data. 102 Nel caso di specie, l’articolo 58, paragrafo 5, del regolamento 2016/679 prevede norme che disciplinano il potere di un’autorità di controllo di intentare un’azione o di agire in sede giudiziale o, ove del caso, stragiudiziale in caso di violazione di tale regolamento per far rispettare le disposizioni dello stesso. 103 Ciò posto, occorre distinguere tra le azioni intentate da un’autorità di controllo di uno Stato membro per violazioni delle norme sulla protezione dei dati personali commesse da titolari del trattamento o dai responsabili prima della data in cui il regolamento 2016/679 è divenuto applicabile e quelle intentate per violazioni commesse dopo tale data. 104 Nella prima ipotesi, dal punto di vista del diritto dell’Unione, un’azione giudiziaria, come quella di cui trattasi nel procedimento principale, può essere mantenuta sulla base delle disposizioni della direttiva 95/46, la quale rimane applicabile per quanto riguarda le violazioni commesse fino alla data della sua abrogazione, ossia il 25 maggio 2018. Nella seconda ipotesi, un’azione siffatta può essere intentata, in forza dell’articolo 58, paragrafo 5, del regolamento 2016/679, unicamente a condizione che, come è stato sottolineato nell’ambito della risposta alla prima questione posta, tale azione rientri in una situazione in cui, a titolo di eccezione, tale regolamento conferisce a un’autorità di controllo di uno Stato membro, che non sia l’«autorità di controllo capofila», una competenza ad adottare una decisione che accerti che il trattamento di dati di cui
trattasi viola le norme contenute in detto regolamento per quanto riguarda la tutela dei diritti delle persone fisiche con riguardo al trattamento dei dati personali e nel rispetto delle procedure previste dal medesimo regolamento. 105 Alla luce di tutte le considerazioni che precedono, occorre rispondere alla quarta questione posta dichiarando che l’articolo 58, paragrafo 5, del regolamento 2016/679 deve essere interpretato nel senso che, qualora un’autorità di controllo di uno Stato membro, che non sia l’«autorità di controllo capofila» ai sensi dell’articolo 56, paragrafo 1, di tale regolamento, abbia intentato un’azione giudiziaria riguardante un trattamento transfrontaliero di dati personali prima del 25 maggio 2018, ossia prima della data in cui detto regolamento è divenuto applicabile, detta azione può, dal punto di vista del diritto dell’Unione, essere mantenuta in base alle disposizioni della direttiva 95/46, la quale rimane applicabile per quanto riguarda le violazioni delle norme in essa contenute commesse fino alla data di abrogazione di detta direttiva. Tale azione può, inoltre, essere intentata da detta autorità per violazioni commesse dopo tale data sulla base dell’articolo 58, paragrafo 5, del regolamento 2016/679, purché ciò avvenga in una delle situazioni in cui, a titolo di eccezione, tale regolamento conferisce a un’autorità di controllo di uno Stato membro, che non sia l’«autorità di controllo capofila», una competenza ad adottare una decisione che accerti che il trattamento di dati di cui trattasi viola le norme contenute in detto regolamento per quanto riguarda la tutela dei diritti delle persone fisiche con riguardo al trattamento di dati personali e nel rispetto delle procedure di cooperazione e di coerenza previste dal medesimo regolamento, circostanza che spetta al giudice del rinvio verificare.
Sulla quinta questione
106 Con la sua quinta questione, il giudice del rinvio chiede, in sostanza, in caso di risposta affermativa alla prima questione posta, se l’articolo 58, paragrafo 5, del regolamento 2016/679 debba essere interpretato nel senso che tale disposizione ha effetto diretto, cosicché un’autorità nazionale di controllo può invocare detta disposizione per intentare o proseguire un’azione nei confronti di privati, anche se la medesima disposizione non sia stata specificamente attuata nella legislazione dello Stato membro interessato. 107 A norma dell’articolo 58, paragrafo 5, del regolamento 2016/679 ogni Stato membro dispone per legge che la sua autorità di controllo abbia il potere di intentare un’azione o di agire in sede giudiziale o, ove del caso, stragiudiziale in
caso di violazione di tale regolamento per far rispettare le disposizioni dello stesso. 108 In via preliminare, occorre rilevare che, come sostiene il governo belga, l’articolo 58, paragrafo 5, del regolamento 2016/679 è stato attuato nell’ordinamento giuridico belga dall’articolo 6 della legge del 3 dicembre 2017. Infatti, ai sensi di tale articolo 6, che presenta una formulazione sostanzialmente identica a quella dell’articolo 58, paragrafo 5, del regolamento 2016/679, l’APD ha il potere di intentare un’azione dinanzi alle autorità giudiziarie, in caso di violazioni dei principi fondamentali della protezione dei dati personali, nel quadro della suddetta legge e delle leggi recanti disposizioni sulla protezione del trattamento dei dati personali e, se del caso, ad agire in sede giudiziale per far rispettare detti principi fondamentali. Di conseguenza, si deve ritenere che l’APD possa fondarsi su una disposizione del diritto nazionale, come l’articolo 6 della legge del 3 dicembre 2017, che attua l’articolo 58, paragrafo 5, del regolamento 2016/679 nel diritto belga, per agire in sede giudiziale al fine di far rispettare tale regolamento. 109 Inoltre, e a fini di completezza, occorre rilevare che, ai sensi dell’articolo 288, secondo comma, TFUE, un regolamento è obbligatorio in tutti i suoi elementi ed è direttamente applicabile in ciascuno degli Stati membri, cosicché le sue disposizioni non necessitano, in linea di principio, di alcuna misura di applicazione degli Stati membri. 110 In proposito, si deve ricordare che, secondo consolidata giurisprudenza della Corte, in forza dell’articolo 288 TFUE e per la natura stessa dei regolamenti e della loro funzione nel sistema delle fonti del diritto dell’Unione, le disposizioni dei regolamenti producono, in via generale, effetti immediati negli ordinamenti giuridici nazionali, senza che le autorità nazionali debbano adottare misure di applicazione. Tuttavia, talune di tali disposizioni possono richiedere, per la loro attuazione, l’adozione di misure di applicazione da parte degli Stati membri (sentenza del 15 marzo 2017, Al Chodor, C-528/15, EU:C:2017:213, punto 27 e giurisprudenza ivi citata). 111 Orbene, come rilevato, in sostanza, dall’avvocato generale al paragrafo 167 delle sue conclusioni, l’articolo 58, paragrafo 5, del regolamento 2016/679 prevede una norma specifica e direttamente applicabile in forza della quale le autorità di controllo devono avere la legittimazione ad agire dinanzi ai giudici nazionali e la capacità di stare in giudizio in forza del diritto nazionale.
112 Dall’articolo 58, paragrafo 5, del regolamento 2016/679 non risulta che gli Stati membri debbano stabilire con un’esplicita disposizione quali siano le circostanze in cui le autorità di controllo nazionali possono agire in sede giudiziale ai sensi della disposizione in esame. È sufficiente che l’autorità di controllo abbia la possibilità, conformemente alla normativa nazionale, di intentare un’azione dinanzi alle autorità giudiziarie e, se del caso, di agire in sede giudiziale o di avviare, in altro modo, un procedimento diretto a far rispettare le disposizioni di detto regolamento. 113 Alla luce di tutte le considerazioni che precedono, occorre rispondere alla quinta questione posta dichiarando che l’articolo 58, paragrafo 5, del regolamento 2016/679 deve essere interpretato nel senso che tale disposizione ha effetto diretto, cosicché un’autorità di controllo nazionale può invocarla per intentare o proseguire un’azione nei confronti di privati, anche qualora detta disposizione non sia stata specificamente attuata nella normativa dello Stato membro interessato.
Sulla sesta questione
114 Con la sesta questione, il giudice del rinvio chiede, in sostanza, in caso di risposta affermativa alle questioni dalla prima alla quinta, se l’esito di un procedimento giudiziario, avviato da un’autorità di controllo di uno Stato membro, vertente su un trattamento transfrontaliero di dati personali possa ostare a che l’autorità di controllo capofila adotti una decisione in cui giunge ad un accertamento in senso contrario, nel caso in cui essa indaghi sulle stesse attività di trattamento transfrontaliero o su attività analoghe, conformemente al meccanismo previsto agli articoli 56 e 60 del regolamento 2016/679. 115 A tal riguardo, occorre ricordare che, secondo una giurisprudenza costante, le questioni relative al diritto dell’Unione godono di una presunzione di rilevanza. Il rifiuto della Corte di statuire su una questione pregiudiziale posta da un giudice nazionale è possibile solo quando appaia in modo manifesto che l’interpretazione del diritto dell’Unione richiesta non ha alcuna relazione con la realtà effettiva o con l’oggetto della controversia nel procedimento principale, qualora il problema sia di natura ipotetica o anche laddove la Corte non disponga degli elementi di fatto o di diritto necessari per fornire una risposta utile alle questioni che le vengono sottoposte (sentenze del 16 giugno 2015, Gauweiler e a., C-62/14, EU:C:2015:400, punto 25, e del 7 febbraio 2018, American Express, C-304/16, EU:C:2018:66, punto 32).
116 Inoltre, conformemente a una giurisprudenza parimenti costante, la ratio del rinvio pregiudiziale non consiste nell’esprimere pareri a carattere consultivo su questioni generali o ipotetiche, bensì nella necessità di dirimere concretamente una controversia (sentenza del 10 dicembre 2018, Wightman e a., C-621/18, EU:C:2018:999, punto 28 e giurisprudenza ivi citata). 117 Nel caso di specie, occorre sottolineare che, come osservato dal governo belga, la sesta questione posta si basa su circostanze le quali non è stato affatto dimostrato siano presenti nell’ambito del procedimento principale, vale a dire che, per il trattamento transfrontaliero oggetto di tale controversia, vi sia un’autorità di controllo capofila che non solo indaghi sulle stesse attività di trattamento transfrontaliero di dati personali che sono oggetto del procedimento giudiziario avviato dall’autorità di controllo dello Stato membro interessato, o su attività analoghe, ma intenda altresì adottare una decisione che giunga ad un accertamento in senso contrario. 118 Ciò premesso, occorre rilevare che la sesta questione posta non ha alcuna relazione con la realtà effettiva o con l’oggetto della causa principale e riguarda un problema ipotetico. Di conseguenza, tale questione deve essere dichiarata irricevibile.
Sulle spese
119 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione. Per questi motivi, la Corte (Grande Sezione) dichiara: 1) L’articolo 55, paragrafo 1, e gli articoli da 56 a 58 nonché da 60 a 66 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), in combinato disposto con gli articoli 7, 8 e 47 della Carta dei diritti fondamentali dell’Unione europea, devono essere interpretati nel senso che un’autorità di controllo di uno Stato membro, la quale, in forza della normativa nazionale adottata in esecuzione dell’articolo 58, paragrafo 5, di tale
regolamento, abbia il potere di intentare un’azione dinanzi ad un giudice di tale Stato membro e, se del caso, di agire in sede giudiziale in caso di presunta violazione di detto regolamento, può esercitare tale potere con riguardo al trattamento transfrontaliero di dati, pur non essendo l’«autorità di controllo capofila» ai sensi dell’articolo 56, paragrafo 1, dello stesso regolamento con riguardo a siffatto trattamento di dati, purché ciò avvenga in una delle situazioni in cui il regolamento 2016/679 conferisce a tale autorità di controllo la competenza ad adottare una decisione che accerti che il trattamento in questione viola le norme in esso contenute, nonché nel rispetto delle procedure di cooperazione e di coerenza previste da tale regolamento. 2) L’articolo 58, paragrafo 5, del regolamento 2016/679 deve essere interpretato nel senso che, in caso di trattamento transfrontaliero di dati, l’esercizio del potere di un’autorità di controllo di uno Stato membro, diversa dall’autorità di controllo capofila, di intentare un’azione giudiziaria, ai sensi di tale disposizione, non esige che il titolare del trattamento o il responsabile per il trattamento transfrontaliero di dati personali, nei cui confronti tale azione viene intentata, disponga di uno stabilimento principale o di un altro stabilimento nel territorio di detto Stato membro. 3) L’articolo 58, paragrafo 5, del regolamento 2016/679 deve essere interpretato nel senso che il potere di un’autorità di controllo di uno Stato membro, diversa dall’autorità di controllo capofila, di intentare un’azione dinanzi ad un giudice di tale Stato membro e, se del caso, di agire in sede giudiziale, ai sensi di tale disposizione, in caso di presunta violazione di detto regolamento può essere esercitato tanto nei confronti dello stabilimento principale del titolare del trattamento che si trovi nello Stato membro di appartenenza di tale autorità quanto nei confronti di un altro stabilimento di tale titolare, purché l’azione giudiziaria riguardi un trattamento di dati effettuato nell’ambito delle attività di detto stabilimento e l’autorità di cui trattasi sia competente ad esercitare siffatto potere, conformemente a quanto esposto in risposta alla prima questione pregiudiziale posta. 4) L’articolo 58, paragrafo 5, del regolamento 2016/679 deve essere interpretato nel senso che, qualora un’autorità di controllo di uno Stato membro, che non sia l’«autorità di controllo capofila» ai sensi dell’articolo 56, paragrafo 1, di tale regolamento, abbia intentato
un’azione giudiziaria riguardante un trattamento transfrontaliero di dati personali prima del 25 maggio 2018, ossia prima della data in cui detto regolamento è divenuto applicabile, detta azione può, dal punto di vista del diritto dell’Unione, essere mantenuta in base alle disposizioni della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, la quale rimane applicabile per quanto riguarda le violazioni delle norme in essa contenute commesse fino alla data di abrogazione di detta direttiva. Tale azione può, inoltre, essere intentata da detta autorità per violazioni commesse dopo tale data sulla base dell’articolo 58, paragrafo 5, del regolamento 2016/679, purché ciò avvenga in una delle situazioni in cui, a titolo di eccezione, tale regolamento conferisce a un’autorità di controllo di uno Stato membro, che non sia l’«autorità di controllo capofila», una competenza ad adottare una decisione che accerti che il trattamento di dati di cui trattasi viola le norme contenute in detto regolamento per quanto riguarda la tutela dei diritti delle persone fisiche con riguardo al trattamento di dati personali e nel rispetto delle procedure di cooperazione e di coerenza previste dal medesimo regolamento, circostanza che spetta al giudice del rinvio verificare. 5) L’articolo 58, paragrafo 5, del regolamento 2016/679 deve essere interpretato nel senso che tale disposizione ha effetto diretto, cosicché un’autorità di controllo nazionale può invocarla per intentare o proseguire un’azione nei confronti di privati, anche qualora detta disposizione non sia stata specificamente attuata nella normativa dello Stato membro interessato. Firme
* Lingua processuale: il neerlandese.
Edizione provvisoria
CONCLUSIONI DELL’AVVOCATO GENERALE MICHAL BOBEK presentate il 13 gennaio 2021(1) Causa C-645/19 Facebook Ireland Limited, Facebook Inc., Facebook Belgium BVBA contro Gegevensbeschermingsautoriteit [domanda di pronuncia pregiudiziale proposta dallo Hof van beroep te Brussel (Corte d’appello di Bruxelles, Belgio)]
«Domanda di pronuncia pregiudiziale — Tutela delle persone fisiche con riguardo al trattamento dei dati personali — Carta dei diritti fondamentali dell’Unione europea — Articoli 7, 8 e 47 — Regolamento (UE) 2016/679 — Articoli 55, 56, 58, 60, 61 e 66 — Autorità di controllo — Trattamento transfrontaliero dei dati — Sportello unico — Autorità di controllo capofila — Autorità di controllo interessata — Competenza — Poteri — Potere di agire in sede giudiziale»
I. Introduzione 1. Il regolamento generale sulla protezione dei dati (2) (in prosieguo: il «RGPD») consente a un’autorità di controllo di uno Stato membro di agire dinanzi a un giudice di tale Stato per una presunta violazione del suddetto regolamento in relazione al trattamento transfrontaliero dei dati, allorché tale autorità non è l’autorità di controllo capofila rispetto a tale trattamento?
2. Oppure il nuovo meccanismo dello «sportello unico», annunciato come una delle principali innovazioni introdotte dal RGPD, impedisce il verificarsi di una situazione del genere? Qualora un titolare del trattamento fosse chiamato a difendersi contro un’azione legale in materia di trattamento transfrontaliero dei dati, intentata da un’autorità di controllo dinanzi a un giudice al di fuori del luogo di stabilimento principale del titolare del trattamento, costituirebbe tutto ciò uno «sportello di troppo» e pertanto incompatibile con il nuovo meccanismo del RGPD? II. Contesto normativo A. Diritto dell’Unione 3. Nel preambolo del RGPD è evidenziato, fra l’altro, che: «[s]ebbene i suoi obiettivi e principi rimangano tuttora validi, la direttiva 95/46/CE non ha impedito la frammentazione dell’applicazione della protezione dei dati personali nel territorio dell’Unione, né ha eliminato l’incertezza giuridica» (considerando 9); è opportuno assicurare un’applicazione coerente e omogenea delle norme relative al trattamento dei dati personali in tutta l’Unione (considerando 10); le autorità di controllo dovrebbero controllare l’applicazione delle norme e contribuire alla loro coerente applicazione, così da tutelare le persone fisiche e facilitare la libera circolazione dei dati personali nel mercato interno (considerando 123); in situazioni di trattamento transfrontaliero «l’autorità di controllo dello stabilimento principale del titolare del trattamento o del responsabile del trattamento o dello stabilimento unico del titolare del trattamento o del responsabile del trattamento dovrebbe fungere da autorità capofila» e tale autorità deve «cooperare con le altre autorità interessate» (considerando 124). 4. Ai sensi dell’articolo 51, paragrafo 1, del RGPD «[o]gni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di controllare l’applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all’interno dell’Unione (“autorità di controllo”)». 5. Ai termini dell’articolo 55, paragrafo 1, del RGPD «[o]gni autorità di controllo è competente a eseguire i compiti assegnati e a esercitare i poteri a essa conferiti a norma del presente regolamento nel territorio del rispettivo Stato membro». 6. L’articolo 56 del RGPD riguarda la competenza dell’autorità di controllo capofila. Il paragrafo 1 di tale disposizione così recita: «[f]atto salvo l’articolo 55, l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare e del trattamento o responsabile del
trattamento è competente ad agire in qualità di autorità di controllo capofila per i trattamenti transfrontalieri effettuati dal suddetto titolare del trattamento o responsabile del trattamento, secondo la procedura di cui all’articolo 60». 7. L’articolo 56, paragrafi da 2 a 5, dispone che, in deroga al paragrafo 1, «ogni autorità di controllo è competente per la gestione dei reclami a essa proposti o di eventuali violazioni del presente regolamento se l’oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro». Tali casi possono essere trattati dalle autorità di controllo capofila, che operano in ossequio alla procedura di cui all’articolo 60 del RGPD, o, «[n]el caso in cui l’autorità di controllo capofila decida di non trattar[e il caso]», dall’autorità di controllo locale, che opera conformemente agli articoli 61 e 62 del RGPD. 8. L’articolo 56, paragrafo 6, stabilisce che «[l]’autorità di controllo capofila è l’unico interlocutore del titolare del trattamento o del responsabile del trattamento in merito al trattamento transfrontaliero effettuato da tale titolare del trattamento o responsabile del trattamento». 9. L’articolo 58, paragrafo 5, del RGPD, relativo ai poteri delle autorità di controllo, così recita: «Ogni Stato membro dispone per legge che la sua autorità di controllo abbia il potere di intentare un’azione o di agire in sede giudiziale o, ove del caso, stragiudiziale in caso di violazione del presente regolamento per far rispettare le disposizioni dello stesso». 10. Il capo VII del RGPD, rubricato «Cooperazione e coerenza» include gli articoli da 60 a 76. L’articolo 60, rubricato «Cooperazione tra l’autorità di controllo capofila e le altre autorità di controllo interessate», stabilisce la procedura dettagliata che le autorità di controllo capofila devono seguire in caso di trattamento transfrontaliero di dati. 11. Dal canto suo, l’articolo 61, paragrafo 2, del RGPD, che riguarda l’assistenza reciproca, impone a ogni autorità di controllo di adottare «tutte le misure opportune necessarie per dare seguito alle richieste delle altre autorità di controllo senza ingiustificato ritardo e comunque entro un mese dal ricevimento della richiesta». L’articolo 61, paragrafo 8, del RGPD dispone che qualora l’autorità di controllo non fornisca le informazioni richieste, l’autorità di controllo richiedente può adottare misure provvisorie nel territorio del suo Stato membro; in tal caso, si considera che urga intervenire ai sensi dell’articolo 66, paragrafo 1.
12. L’articolo 65 del RGPD, rubricato «Composizione delle controversie da parte del comitato», al paragrafo 1, lettera a), dispone che al fine di assicurare l’applicazione corretta e coerente del presente regolamento nei singoli casi, il comitato europeo per la protezione dei dati (in prosieguo: il «Comitato») adotta una decisione vincolante nei casi in cui, in particolare, un’autorità di controllo interessata abbia sollevato un’obiezione pertinente e motivata a un progetto di decisione dell’autorità di controllo capofila oppure l’autorità di controllo capofila abbia rigettato tale obiezione in quanto non pertinente o non motivata. 13. L’articolo 66, paragrafo 1, riguardante la procedura d’urgenza, dispone che, in circostanze eccezionali, qualora ritenga che urga intervenire per proteggere i diritti e le libertà degli interessati, un’autorità di controllo interessata può, in deroga al meccanismo di coerenza, «adottare immediatamente misure provvisorie intese a produrre effetti giuridici nel proprio territorio, con un periodo di validità determinato che non supera i tre mesi». 14. Il capo VIII del RGPD, rubricato «Mezzi di ricorso, responsabilità e sanzioni» include gli articoli da 77 a 84. L’articolo 77, paragrafo 1, offre a ogni interessato il diritto di proporre reclamo a un’autorità di controllo riguardo a possibili violazioni del regolamento rispetto al trattamento dei propri dati personali, «segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione». L’articolo 78, paragrafi 1 e 2, del RGPD offre a ogni persona fisica o giuridica il diritto a un ricorso giurisdizionale effettivo avverso, in particolare, una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda, nonché avverso un’autorità di controllo che non tratti un reclamo. B. Diritto nazionale 15. La Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (legge dell’8 dicembre 1992 relativa alla tutela della vita privata con riguardo al trattamento dei dati personali, in prosieguo: la «WVP») e successive modifiche, ha recepito la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (3). Tale legge, in particolare, istituiva la Commissione belga per la protezione della vita privata. Ai sensi dell’articolo 32, paragrafo 3, di tale legge, «[f]atta salva la competenza della giurisdizione ordinaria per l’applicazione dei principi generali di tutela della vita privata, il presidente della Commissione [per la protezione della vita privata] può sottoporre al giudice di primo grado qualsiasi controversia relativa all’applicazione della presente legge e alle sue misure di esecuzione».
16. Ai sensi dell’articolo 3 della Wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit – (legge del 3 dicembre 2017 che istituisce l’Autorità per la protezione dei dati, in prosieguo: la «legge GBA»), in vigore il 25 maggio 2018 – è stata istituita la Gegevensbeschermingsautoriteit (Autorità per la protezione dei dati; prosieguo: la «GBA») per succedere alla Commissione per la protezione della vita privata. Conformemente all’articolo 6 di tale legge, la GBA «è competente a portare qualsiasi violazione dei principi fondamentali della protezione dei dati personali, nel quadro della presente legge e delle leggi recanti disposizioni sulla tutela del trattamento dei dati personali, a conoscenza delle autorità giudiziarie e, se del caso, ad agire in sede giudiziale per far applicare detti principi fondamentali». 17. La legge GBA non conteneva alcuna specifica disposizione relativa alle azioni in sede giudiziale promosse sulla base dell’articolo 32, paragrafo 3, della WVP, ancora pendenti al 25 maggio 2018. 18. La WVP è stata abrogata dalla Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (legge del 30 luglio 2018 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali). Tale legge attua le disposizioni del RGPD che impongono o consentono agli Stati membri di adottare norme più dettagliate in aggiunta alle norme comuni. III. Fatti, procedimento dinanzi ai giudici nazionali e questioni pregiudiziali 19. L’11 settembre 2015 il presidente della commissione belga per la protezione della vita privata, divenuta in seguito la GBA, ha intentato un’azione nei confronti di Facebook Inc., Facebook Ireland Ltd e Facebook Belgium BVBA (in prosieguo, congiuntamente: «Facebook») dinanzi al Nederlandstalige rechtbank van eerste aanleg Brussel (tribunale di primo grado di Bruxelles di lingua neerlandese, Belgio). Tale procedimento riguarda presunte violazioni della normativa sulla protezione dei dati commesse da Facebook, consistenti, in particolare, nella raccolta e nell’utilizzazione illecita di informazioni sul comportamento di navigazione privata degli utenti di Internet in Belgio mediante tecnologie quali i «cookie», i «social plugin» e i «pixel». 20. In sintesi, la GBA sostiene che Facebook utilizza varie tecnologie per «osservare e seguire individui quando navigano da un sito Internet a un altro e utilizza, poi, le informazioni raccolte per tracciare un profilo di navigazione e, in base ad esso, mostra loro pubblicità mirate, senza informare adeguatamente gli interessati né ottenere un loro valido consenso. La GBA sostiene che Facebook si avvale di
queste prassi a prescindere dal fatto che l’interessato si sia registrato o meno sulla rete sociale di Facebook. 21. La GBA ha chiesto che fosse ingiunto a Facebook di cessare, per tutti gli utenti di Internet stabiliti nel territorio belga, di collocare, senza il loro consenso, cookie, che rimangono attivi per due anni, nei dispositivi utilizzati da tali utenti mentre navigano su una pagina Internet nel dominio Facebook.com o quando si ritrovano sul sito Internet di un terzo, nonché di raccogliere dati, in modo eccessivo, tramite social plugin e pixel su siti Internet di terzi. Inoltre, essa ha chiesto la distruzione di tutti i dati personali ottenuti mediante cookie e social plugin riguardanti ogni utente di Internet stabilito nel territorio belga. 22. Con ordinanza cautelare del 9 novembre 2015, il presidente del Nederlandstalige rechtbank van eerste aanleg Brussel (tribunale di primo grado di Bruxelles di lingua neerlandese) ha dichiarato la sua competenza a trattare la controversia e la ricevibilità dell’azione nei confronti di tutti e tre i convenuti. Tale giudice ha altresì ordinato ai medesimi convenuti, in via cautelare, di cessare talune attività nei confronti degli utenti di Internet situati nel territorio belga. 23. Il 2 marzo 2016, Facebook ha impugnato tale ordinanza dinanzi allo Hof van beroep te Brussel (Corte d’appello di Bruxelles, Belgio). Con sentenza del 29 giugno 2016, tale giudice ha riformato l’ordinanza di primo grado. In particolare, esso ha dichiarato di non essere competente riguardo alle azioni intentate nei confronti di Facebook Inc. e di Facebook Ireland Ltd, ma di esserlo, invece, quanto all’azione intentata nei confronti di Facebook Belgium BVBA. Il procedimento principale è stato, quindi, circoscritto all’azione nei confronti di Facebook Belgium BVBA. Il medesimo giudice ha altresì dichiarato che non vi era urgenza. 24. Da quanto comprendo, la controversia attualmente pendente dinanzi allo Hof van beroep te Brussel (Corte d’appello di Bruxelles) riguarda l’impugnazione di una successiva decisione nel merito resa dal giudice di primo grado. Nell’ambito del procedimento di appello, Facebook Belgium BVBA eccepisce, in particolare, che da quando è divenuto applicabile il nuovo meccanismo dello «sportello unico» del RGPD, la GBA ha perso la propria competenza a proseguire il procedimento principale, non essendo l’autorità di controllo capofila. Per quanto riguarda il trattamento transfrontaliero di cui trattasi, l’autorità di controllo capofila sarebbe l’Irish Data Protection Commission (Commissione irlandese per la protezione dei dati). Lo stabilimento principale del titolare del trattamento nell’Unione europea si trova in Irlanda (Facebook Ireland Ltd).
25. Alla luce di quanto precede, lo Hof van beroep te Brussel (Corte d’appello di Bruxelles) ha deciso di sospendere il giudizio e di sottoporre alla Corte le seguenti questioni pregiudiziali: «1) Se gli articoli [55, paragrafo 1], da 56 a 58 e da 60 a 66 del RGPD, in combinato disposto con gli articoli 7, 8 e 47, della Carta dei diritti fondamentali dell’Unione europea, debbano essere interpretati nel senso che un’autorità di controllo, che, in forza della normativa nazionale adottata in esecuzione dell’articolo [58, paragrafo 5], di detto regolamento, abbia il potere di agire in sede giudiziale dinanzi a un giudice del suo Stato membro contro le violazioni di tale regolamento, non può esercitare tale potere con riguardo a un trattamento transfrontaliero se essa non è l’autorità capofila per il trattamento transfrontaliero di cui trattasi. 2) Se, a tal riguardo, assuma rilevanza la circostanza che il titolare di detto trattamento transfrontaliero non abbia in tale Stato membro lo stabilimento principale, ma solo un altro stabilimento. 3) Se, a tal riguardo, assuma rilevanza la circostanza che l’autorità nazionale di controllo intenti l’azione nei confronti dello stabilimento principale del titolare del trattamento o nei confronti dello stabilimento nel proprio Stato membro. 4) Se, a tal riguardo, assuma rilevanza la circostanza che l’autorità nazionale di controllo abbia già intentato l’azione prima della data di entrata in vigore del suddetto regolamento (25 maggio 2018). 5) In caso di risposta affermativa alla prima questione, se l’articolo [58, paragrafo 5], del RGPD abbia effetto diretto, cosicché un’autorità nazionale di controllo può invocare detto articolo per intentare o proseguire un’azione nei confronti di privati, anche se l’articolo [58, paragrafo 5], del RGPD non sia stato specificamente trasposto nella normativa degli Stati membri, pur essendo la trasposizione obbligatoria. 6) In caso di risposta affermativa alle questioni che precedono, se l’esito di siffatti procedimenti potrebbe ostare ad una conclusione opposta dell’autorità capofila nel caso in cui tale autorità capofila esamini le medesime attività di trattamento transfrontaliero o attività analoghe, conformemente al meccanismo previsto agli articoli 56 e 60 del RGPD». 26. Facebook, la GBA, i governi belga, ceco, italiano, polacco, portoghese e finlandese, nonché la Commissione europea, hanno presentato osservazioni scritte.
Facebook, la GBA e la Commissione hanno altresì svolto difese orali all’udienza del 5 ottobre 2020. IV. Analisi 27. In sintesi, la problematica essenziale che si pone nel procedimento principale è se la GBA possa proseguire un’azione giudiziale nei confronti di Facebook Belgium per quanto riguarda il trattamento transfrontaliero di dati personali che è avvenuto successivamente all’applicabilità del RGPD, dato che l’entità incaricata del trattamento dei dati è Facebook Ireland Ltd. 28. Per affrontare tale problematica occorre valutare la portata e il funzionamento del meccanismo dello «sportello unico» a cui fa riferimento lo stesso RGPD al suo considerando 127. Tale meccanismo consiste in una serie di norme che fanno sorgere, in caso di trattamento transfrontaliero dei dati, un punto centrale di attuazione mediante un’autorità di controllo capofila (in prosieguo: l’«ACC»), che si trova all’interno del sistema di procedure di cooperazione e coerenza con le autorità di controllo interessate (in prosieguo: le «ACI»), inteso a garantire il coinvolgimento di tutte le autorità di controllo implicate. 29. Ai sensi dell’articolo 56, paragrafo 1, del RGPD, un’autorità di controllo agisce in qualità di ACC rispetto al trattamento transfrontaliero effettuato dai titolari del trattamento e dai responsabili del trattamento aventi il loro stabilimento principale o il loro stabilimento unico nel suo territorio. Ai sensi dell’articolo 4, punto 22, del RGPD, un’autorità di controllo agisce in qualità di ACI laddove sia soddisfatta una delle seguenti condizioni alternative: «a) il titolare del trattamento o il responsabile del trattamento è stabilito sul territorio dello Stato membro di tale autorità di controllo; b) gli interessati che risiedono nello Stato membro dell’autorità di controllo sono o sono probabilmente influenzati in modo sostanziale dal trattamento; oppure c) un reclamo è stato proposto a tale autorità di controllo». 30. Prima di esaminare il merito delle questioni pregiudiziali, sono necessarie talune osservazioni preliminari (A). Mi soffermerò, in seguito, sull’esame delle problematiche giuridiche sollevate dal giudice del rinvio. Mi concentrerò, in particolare, sulla prima questione pregiudiziale, in quanto la stessa si colloca al centro della controversia di cui è investito il giudice del rinvio (B). Successivamente, affronterò, brevemente, le altre questioni pregiudiziali, dato che, se la risposta alla prima questione fosse quella proposta nelle presenti conclusioni, una risposta a tali altre questioni diverrebbe superflua o quantomeno agevole (C). A. Osservazioni preliminari
31. Rilevo, innanzitutto, che incontro una certa difficoltà nel comprendere appieno alcuni elementi del procedimento principale. 32. In primo luogo, devo constatare che la pertinenza delle questioni poste nel corso del procedimento principale non mi è del tutto chiara, dato che, tra le parti contro le quali ha agito la GBA, pare che solo Facebook Belgium sia ancora convenuta nel procedimento principale (4). Dal fascicolo di cui dispone la Corte sembrerebbe che tale società non sia né lo «stabilimento principale» del titolare del trattamento ai fini dell’articolo 4, punto 16, del RGPD, né, poiché pare essere uno stabilimento della stessa impresa, un possibile «contitolare del trattamento» ai sensi dell’articolo 26 del RGPD (5). 33. Tuttavia, le questioni sottoposte in via pregiudiziale godono di una presunzione di rilevanza. Di conseguenza, la Corte rifiuta di statuire soltanto qualora, segnatamente, non siano rispettati i requisiti di cui all’articolo 94 del regolamento di procedura della Corte di giustizia o appaia in modo manifesto che l’interpretazione del diritto dell’Unione richiesta non ha alcuna relazione con i fatti o qualora le questioni siano di natura (interamente) ipotetica (6). La presente causa non rientra, a mio avviso, in tali situazioni. «Chi è chi» e «chi può essere perseguito per cosa di preciso» non è solo una valutazione fattuale rimessa in ultima analisi al giudice nazionale, ma è anche, in un certo senso, uno degli aspetti delle questioni sottoposte alla Corte. 34. In secondo luogo, neppure l’aspetto temporale del procedimento principale è del tutto facile da cogliere. L’azione in giudizio è stata intentata mentre era vigente la direttiva 95/46. Tale azione è proseguita quando è entrato in vigore il RGPD. Tuttavia, attualmente, il procedimento parrebbe riguardare solo condotte poste in essere dopo che il nuovo quadro normativo è divenuto applicabile. In questione è, infatti, se la prosecuzione del procedimento da parte della GBA sia conforme alle disposizioni del RGPD, elemento, questo, sollevato dalla quarta questione pregiudiziale. Tuttavia, tali questioni sarebbero pertinenti nel procedimento principale solo se un’autorità nazionale intendesse portare a termine un procedimento in corso riguardante presunte violazioni precedenti al momento in cui il nuovo quadro normativo è divenuto applicabile. Se, tuttavia, il procedimento in corso riguardasse a questo punto solo presunte illegittimità verificatesi dopo la data in cui è divenuto applicabile il RGPD, eventualmente associato alla ricerca della inibitoria giudiziale (necessariamente in prospettiva) di tali pratiche, non è agevole comprendere perché la GBA, nei limiti in cui si ritiene competente a intervenire, non abbia posto fine al procedimento in corso e non abbia proceduto in applicazione delle pertinenti disposizioni del RGPD.
35. In terzo luogo, nel corso dell’udienza, la GBA ha menzionato uno scambio che essa ha avuto con l’Autorità di controllo irlandese e con il Comitato riguardo ad una delle tecnologie utilizzate da Facebook per raccogliere i dati (cookie). È stato affermato che le due autorità di controllo non fossero d’accordo quanto al fatto se tale tecnologia rientrasse effettivamente nell’ambito di applicazione ratione materiae del RGPD. 36. A tal proposito, e per quanto riguarda il caso in esame, vale la pena sottolineare che talune attività di trattamento dei dati possono effettivamente rientrare nell’ambito di applicazione ratione materiae di più di uno strumento legislativo dell’Unione, nel qual caso tutti questi strumenti sono, salvo ove diversamente previsto, contemporaneamente applicabili (7). In altri casi, invece, ad esempio laddove le attività di trattamento non riguardino dati personali ai sensi dell’articolo 4, punto 1, del RGPD, quest’ultimo, ovviamente, non è applicabile. 37. Pertanto, qualora l’asserita illegittimità di taluni tipi di trattamento di dati derivi da altre disposizioni del diritto (dell’Unione o nazionale), le procedure e i meccanismi previsti dal RGPD non entrano in gioco. Il RGPD non può essere utilizzato come passerella per introdurre nel meccanismo dello «sportello unico» condotte che, pur implicando flussi di dati o anche il loro trattamento, non si pongono in contrasto con nessuno degli obblighi ivi previsti. 38. Per decidere se un caso rientri o meno nell’ambito di applicazione ratione materiae del RGPD, un giudice nazionale – compreso qualsiasi giudice del rinvio – dovrebbe indagare sulla precisa fonte dell’obbligo giuridico che incombe a un operatore economico e che si assume violato da quest’ultimo. Se la fonte di tale obbligo non è il RGPD, logicamente, non sono applicabili nemmeno le procedure previste da tale strumento, connesse all’ambito di applicazione ratione materiae dello stesso. B. Sulla prima questione pregiudiziale 39. Con la prima questione pregiudiziale, il giudice del rinvio chiede, essenzialmente, se le disposizioni del RGPD, lette alla luce degli articoli 7, 8 e 47 della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»), consentano all’autorità di controllo di uno Stato membro di agire in sede giudiziale dinanzi a un giudice di tale Stato per presunta violazione del RGPD riguardo a un trattamento transfrontaliero dei dati, anche se essa non è l’«autorità di controllo capofila».
40. A tal riguardo, la GBA, nonché i governi belga, italiano, polacco e portoghese sostengono che la Corte dovrebbe rispondere in senso affermativo, mentre Facebook, i governi ceco e finlandese, nonché la Commissione, sostengono la tesi opposta. 41. Nella parte che segue, illustrerò perché non trovo convincente l’interpretazione del RGPD proposta dalla GBA e dai governi belga, italiano, polacco e portoghese: sia dal punto di vista letterale e sistematico (1), che da quello teleologico e storico (2), l’interpretazione del RGPD va chiaramente nella direzione opposta. Inoltre, né un’interpretazione del regolamento alla luce della Carta (3), né gli asseriti rischi di possibile insufficiente osservanza del RGPD (4) sono tali da rimettere in discussione, quantomeno attualmente, quella che ritengo essere la corretta interpretazione del RGPD. 42. Ciò premesso, le conseguenze di tale particolare lettura del regolamento non sono, a mio parere, così estreme quanto quelle suggerite da Facebook, dai governi ceco e finlandese, nonché dalla Commissione. Di conseguenza, illustrerò perché la risposta da fornire al giudice del rinvio dovrebbe trovarsi in una posizione intermedia rispetto alle due posizioni avanzate nella presente causa: l’autorità di controllo di uno Stato membro ha il diritto di agire in sede giudiziale dinanzi a un giudice di tale Stato per una presunta violazione del RGPD riguardo al trattamento transfrontaliero dei dati, pur non essendo l’ACC, a condizione che ciò avvenga nei casi e secondo le procedure previste dal RGPD (5). 1. Un’interpretazione letterale e sistematica del RGPD 43. Innanzitutto, ritengo che il tenore letterale delle pertinenti disposizioni, specialmente se lette nel loro contesto, deponga a favore di un’interpretazione del RGPD secondo la quale l’ACC detiene una competenza generale in materia di trattamento transfrontaliero e, implicitamente, le ACI dispongono di un potere di azione limitato in tal senso. 44. L’articolo 56, paragrafo 1, del RGPD stabilisce che «l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare e del trattamento o responsabile del trattamento è competente ad agire in qualità di autorità di controllo capofila per i trattamenti transfrontalieri effettuati dal suddetto titolare del trattamento o responsabile del trattamento, secondo la procedura di cui all’articolo 60» (8). Ai sensi dell’articolo 56, paragrafo 6 «[l]’autorità di controllo capofila è l’unico interlocutore del titolare del trattamento o del responsabile del trattamento in merito al trattamento transfrontaliero effettuato da tale titolare del trattamento o responsabile del trattamento» (9). Il considerando 124 riprende tali disposizioni, affermando essenzialmente che, nel caso di trattamento transfrontaliero «l’autorità di controllo dello stabilimento principale del titolare del trattamento o del responsabile
del trattamento o dello stabilimento unico del titolare del trattamento o del responsabile del trattamento dovrebbe fungere da autorità capofila» (10). 45. La competenza generale dell’ACC riguardo al trattamento transfrontaliero dei dati è ulteriormente confermata dal fatto che i casi in cui la competenza, per quanto riguarda il trattamento transfrontaliero, è conferita ad altre autorità di controllo sono descritti come eccezioni alla regola generale. In particolare, l’articolo 55, paragrafo 2, del RGPD esclude la competenza dell’ACC per quanto riguarda taluni trattamenti di dati «effettuat[i] da autorità pubbliche». Inoltre, l’articolo 56, paragrafo 2, del RGPD dispone che, in deroga al principio secondo cui la competenza appartiene all’ACC «ogni autorità di controllo è competente per la gestione dei reclami a essa proposti o di eventuali violazioni del presente regolamento se l’oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro». 46. Inoltre, l’articolo 66 del RGPD, che riguarda la «procedura d’urgenza», conferisce a ciascuna ACI «in circostanze eccezionali», laddove vi sia urgenza di intervenire per proteggere i diritti e le libertà degli interessati, il potere di adottare immediatamente misure provvisorie intese a produrre effetti giuridici nel proprio territorio, con un periodo di validità determinato che non supera i tre mesi, «in deroga» ai meccanismi di cooperazione e coerenza di cui agli articoli 60, 63, 64 e 65 del RGPD. 47. Pertanto, mi pare piuttosto chiaro dalla lettera del RGPD che, con riguardo al trattamento transfrontaliero, la competenza dell’ACC è la regola mentre la competenza delle altre autorità di controllo è l’eccezione (11). 48. Tuttavia, la GBA e taluni governi contestano tale interpretazione del RGPD. A loro avviso, il tenore delle pertinenti disposizioni suggerisce un diritto (quasi incondizionato) di qualsiasi autorità di controllo di proporre azioni in sede giudiziale avverso eventuali violazioni che riguardano i loro territori, indipendentemente dal carattere transfrontaliero o meno del trattamento. Essi si basano, essenzialmente, su due argomenti. 49. In primo luogo, osservano che con l’espressione «[f]atto salvo l’articolo 55», incipit dell’articolo 56, paragrafo 1, si intende che la competenza conferita all’ACC da quest’ultima disposizione non può interferire su o limitare i poteri attribuiti dalla prima disposizione a ogni autorità di controllo, compreso quello di proporre un’azione in sede giudiziale. 50. Tale argomento non mi pare convincente.
51. L’articolo 55, paragrafo 1, stabilisce il principio secondo il quale ogni autorità di controllo «è competente a eseguire i compiti assegnati e a esercitare i poteri a essa conferiti a norma del presente regolamento nel territorio del rispettivo Stato membro». Tali compiti sono poi elencati all’articolo 57 del RGPD. I poteri sono elencati al successivo articolo 58. Tra i compiti affidati figura, in particolare, quello di sorvegliare e assicurare l’applicazione del RGPD [articolo 57, paragrafo 1, lettera a)]. A norma dell’articolo 58 sono conferiti alle autorità di controllo vari poteri di indagine (paragrafo 1), correttivi (paragrafo 2), autorizzativi e consultivi (paragrafo 3), nonché il potere di agire in sede giudiziale (paragrafo 5). 52. In sostanza, tali disposizioni – a cui si riferisce implicitamente l’articolo 55 – racchiudono tutti i compiti e i poteri conferiti alle autorità di controllo in virtù del RGPD. Se si accogliesse l’interpretazione avanzata dalla GBA e da taluni governi, non resterebbe praticamente nulla per la competenza generale dell’ACC, privando così l’articolo 56 di qualsivoglia significato. L’ACC non sarebbe né l’«unico» interlocutore, né la «capofila» delle altre autorità di controllo. Il suo ruolo sarebbe verosimilmente ridotto a quello di un «punto di informazione», senza un incarico chiaramente definito. 53. L’importanza del ruolo attribuito all’ACC e, implicitamente, del meccanismo dello sportello unico, risulta ancor più evidente leggendo congiuntamente e contestualmente tali disposizioni. 54. Ne è un primo indizio la preminenza attribuita all’articolo 56 nel sistema del RGPD. L’articolo 56 è la seconda disposizione che figura nella pertinente sezione del RGPD (capo VI, rubricato «Autorità di controllo indipendenti», sezione 2, rubricata «Competenza, compiti e poteri»), e si colloca immediatamente dopo la disposizione generale sulle «competenze» e prima delle altre disposizioni generali sui «compiti» e sui «poteri». Pertanto, il legislatore dell’Unione ha inteso sottolineare la centralità della competenza dell’ACC, ancor prima di illustrare i compiti e i poteri specifici di tutte le autorità di controllo. 55. Ancor più importante, la rilevanza del ruolo dell’ACC è altresì corroborata dalle disposizioni contenute nel capo VII del RGPD, rubricato «Cooperazione e coerenza», che definiscono i diversi procedimenti e meccanismi che le autorità di controllo devono seguire al fine di garantire una coerente applicazione del RGPD. In particolare, l’articolo 60, prima disposizione di tale capo a cui rinvia l’articolo 56, paragrafo 1, disciplina la procedura di «[c]ooperazione tra l’autorità di controllo capofila e le altre autorità di controllo interessate». 56. È evidente che si tratti della procedura da seguire ove sia necessaria un’azione di contrasto rispetto al trattamento transfrontaliero. Tale procedura, al pari delle altre
procedure previste al capo VII del RGPD, non è facoltativa. I termini imperativi che figurano, in particolare, all’articolo 51, paragrafo 2, e all’articolo 63 del RGPD, indicano inequivocabilmente, infatti, che le autorità di controllo devono cooperare e devono farlo utilizzando (obbligatoriamente) le procedure e i meccanismi a tal fine istituiti. 57. Pertanto, l’espressione «[f]atto salvo l’articolo 55», di cui all’articolo 56, paragrafo 1, ha un significato diverso rispetto a quello suggerito dalla GBA. A mio avviso, tale formula, nel contesto in cui si colloca, significa semplicemente che, anche se in un singolo caso, è l’ACC a essere competente per quel caso che implica un trattamento transfrontaliero ai sensi dell’articolo 56 del RGPD, tutte le autorità di controllo conservano, ovviamente, i poteri generali loro conferiti dall’articolo 55 (e dell’articolo 58) del RGPD. 58. Ai sensi dell’articolo 55, paragrafo 1, del RGPD, gli Stati membri devono consentire all’autorità di controllo di eseguire i compiti assegnati e di esercitare i poteri a essa conferiti a norma del regolamento. Tale disposizione conferisce, quindi, a qualsiasi autorità di controllo un potere (o competenza) generale di agire relativamente al proprio territorio, e ciò è valido indipendentemente («fatto salvo») dal fatto se il trattamento sia transfrontaliero e, ove lo sia, l’autorità in questione funga da ACC o da ACI (12). Tuttavia, l’articolo 55 del RGPD non disciplina le situazioni e le modalità in cui tale potere di agire sarà di volta in volta esercitato. Infatti, tali aspetti sono regolati da altre disposizioni del RGPD, in particolare quelle del capo VII. Secondo tali disposizioni, se un’autorità di controllo possa esercitare il potere generale di agire e il modo in cui lo esercita dipende, tra l’altro, per un determinato titolare o responsabile del trattamento, dalla circostanza se tale autorità sia l’ACC o l’ACI (13). 59. A tal proposito, e in merito all’esito, condivido pertanto l’opinione del Comitato il quale, in un recente parere, ha fatto riferimento all’articolo 56, paragrafo 1, del RGPD quale «norma imperativa» e «lex specialis»: tale disposizione «prevale [sulla norma generale di cui all’articolo 55 del RGPD] ogniqualvolta si verifichi una situazione di trattamento che soddisfi le condizioni ivi specificate» (14). 60. Di conseguenza, ritengo che la GBA e alcuni governi diano un’interpretazione erronea degli articoli 55 e 56, paragrafo 1, del RGPD. Tali intervenienti isolano dal suo contesto la prima parte dell’inciso dell’articolo 56, paragrafo 1, al fine di invertire il rapporto tra regola ed eccezione. In tal modo risulta diluito il contenuto prescrittivo di diverse disposizioni del RGPD e si inficia l’obiettivo, sottolineato tra l’altro nel considerando 10 dello stesso, di garantire un’applicazione più coerente e omogenea
delle norme sulla protezione dei dati. Ciò equivarrebbe, in sostanza, a un ritorno al precedente regime della direttiva 95/46. 61. In secondo luogo, la GBA e alcuni governi sostengono che dallo stesso tenore letterale dell’articolo 58, paragrafo 5, del RGPD consegue che tutte le autorità di controllo devono poter agire in sede giudiziale contro qualsiasi potenziale violazione delle norme sulla protezione dei dati che riguardano il loro territorio, indipendentemente dalla natura (locale o transfrontaliera) del trattamento. Ne conseguirebbe, a loro avviso, che anche se si interpretasse il meccanismo dello sportello unico come limite ai poteri delle altre autorità di controllo in relazione al trattamento transfrontaliero, tali limiti riguarderebbero solo l’azione amministrativa e non quella giudiziale. 62. Neppure questo secondo argomento, a mio parere, può essere accolto. Presenta il medesimo «vizio» del precedente: leggere una specifica disposizione del RGPD in «isolamento clinico» rispetto al resto del regolamento e, al contempo, offrirne una interpretazione oltremodo estensiva. 63. L’articolo 58, paragrafo 5, del RGPD stabilisce che: «[o]gni Stato membro dispone per legge che la sua autorità di controllo abbia il potere di intentare un’azione o di agire in sede giudiziale o, ove del caso, stragiudiziale in caso di violazione del presente regolamento per far rispettare le disposizioni dello stesso». 64. Tale disposizione impone agli Stati membri, da un lato, di autorizzare le autorità di controllo a mantenere stretti rapporti con le autorità giudiziarie (comprese, eventualmente, le autorità penali) e, dall’altro, di conferire alle autorità di controllo la legittimazione (non solo passiva, ma anche attiva) a stare in giudizio dinanzi alle loro autorità giurisdizionali. In altri termini, le autorità di controllo dovrebbero, in linea di principio, essere in grado di confrontarsi con le autorità giudiziarie e, se del caso, agire in sede giudiziale. Ritengo che una disposizione così espressa sia stata considerata necessaria dal legislatore dell’Unione poiché, malgrado il tenore dell’articolo 28, paragrafo 3, della direttiva 95/46 (15), esistevano significative differenze tra le legislazioni degli Stati membri in materia, che a loro volta hanno creato problemi di insufficiente applicazione (16). Il caso in esame, instaurato in vigenza di tale direttiva, offre un esempio in proposito: esso ha sollevato, ai sensi del diritto nazionale, problemi di legittimazione processuale della Commissione per la protezione della vita privata e di adeguatezza del fondamento giuridico dell’azione promossa dal suo presidente. 65. Tuttavia, analogamente a quanto già affermato in precedenza (17), l’articolo 58, paragrafo 5, del RGPD stabilisce i poteri che devono essere conferiti senza eccezioni a tutte le autorità di controllo, in tale fase, a prescindere dalla (o prima
della) determinazione se, in uno specifico caso, tale autorità sia l’ACC competente, l’ACI, oppure potenzialmente non interessata affatto. L’articolo 58, paragrafo 5, del RGPD non disciplina i casi e le modalità di esercizio di tale potere di agire in sede giudiziale. Ciò è presumibilmente anche il motivo per cui tale disposizione include l’espressione «ove del caso». Tutto ciò è oggetto di altre disposizioni del RGPD. 66. Inoltre, né la lettera né la struttura dell’articolo 58 del RGPD suggeriscono che si possa operare una distinzione - come sostenuto dalla GBA - tra i poteri amministrativi delle autorità (che sarebbero soggetti ai vincoli derivanti dal meccanismo dello sportello unico) e il potere di agire in sede giudiziale (che non sarebbe soggetto a tali vincoli). Tale disposizione elenca, paragrafo dopo paragrafo, i diversi poteri che devono essere conferiti alle autorità di controllo, raggruppandoli secondo la finalità (di indagine, correttivi, consultivi, ecc.). Il tenore letterale di tali paragrafi è abbastanza simile, affermando in sostanza che ogni autorità di controllo deve disporre dei poteri ivi previsti. 67. Non ravviso quindi alcun fondamento per interpretare il paragrafo 5 dell’articolo 58 in modo diverso rispetto ai paragrafi da 1 a 3 della medesima disposizione. Delle due, l’una: o ogni singola autorità di controllo gode di tutti quei poteri senza il vincolo del meccanismo dello sportello unico, oppure tutti quei poteri devono essere esercitati secondo le modalità e nei limiti stabiliti dal regolamento. 68. Per le ragioni illustrate ai precedenti paragrafi 51 e 52, la prima ipotesi non può essere accolta. Infatti, da una lettura nel suo contesto dell’articolo 58 del RGPD, risulta chiaro che, semmai, è vero il contrario rispetto a quanto sostenuto dalla GBA e da alcuni governi. 69. Ciascuna autorità di controllo contribuisce, infatti, all’applicazione corretta e coerente del regolamento. A tal fine, ciascuna autorità di controllo – indipendentemente dal suo ruolo quale ACC o ACI in un caso specifico – deve, ad esempio, esaminare i reclami proposti dinanzi ad essa e farlo con la diligenza richiesta (18). Infatti, anche nel caso in cui le presunte violazioni riguardino il trattamento transfrontaliero e un’autorità non sia l’ACC, le altre autorità di controllo dovrebbero essere in grado di esaminare la questione al fine di fornire un contributo significativo quando chiamate a farlo nell’ambito dei meccanismi di cooperazione e coerenza (19), oppure di adottare misure urgenti. Tuttavia, spetta poi all’ACC, in generale, adottare decisioni vincolanti per applicare il RGPD nei confronti del responsabile del trattamento o del titolare del trattamento (20). In particolare, come emerge dalla recente sentenza nella causa Facebook Ireland e Schrems, spetta all’«autorità nazionale di controllo competente (…) se del caso, proporre un ricorso dinanzi ai giudici nazionali» (21). Pertanto, la tesi secondo cui le autorità di controllo
potrebbero ignorare i meccanismi di cooperazione e coerenza qualora intendano intentare un’azione in sede giudiziale non può conciliarsi né con la lettera del RGPD né con la giurisprudenza della Corte. 70. Peraltro, da un punto di vista più pratico, sarebbe illogico impedire a un’autorità di avviare un procedimento amministrativo, al fine di discutere con gli operatori interessati della presunta violazione delle norme in materia di protezione dei dati, ma consentire a quella stessa autorità di agire immediatamente in sede giudiziale per il medesimo fatto. Il contenzioso è spesso uno strumento di ultima istanza, al quale un’autorità può ricorrere qualora una problematica non possa essere trattata in modo efficace mediante discussioni (formali o informali) e decisioni a livello amministrativo. 71. La distinzione suggerita dalla GBA, che non consentirebbe a un’autorità di controllo di indagare, preparare, elaborare e decidere (in via amministrativa), ma le consentirebbe invece di agire immediatamente in giudizio, si avvicina pericolosamente a trasformare le autorità amministrative in personaggi piuttosto discutibili da film western, che prima sparano e, semmai, (forse) dopo parlano («quando si spara si spara, non si parla» (22)). Non credo che si tratti di un mezzo ragionevole o adeguato per le autorità amministrative di trattare presunte violazioni delle norme in materia di protezione dei dati. 72. Inoltre, e soprattutto, consentire alle autorità di controllo di adire liberamente i loro giudici nazionali, mentre non possono avvalersi dei loro poteri amministrativi senza passare dover attraverso i meccanismi di cooperazione e coerenza previsti dal regolamento, aprirebbe la strada a una facile elusione di tali meccanismi. In particolare, in caso di disaccordo su un progetto di decisione, sia l’ACC sia (ciascuna) ACI potrebbero «prendere in pugno la situazione» e agire dinanzi ai giudici nazionali, aggirando in tal modo la procedura prevista all’articolo 60, paragrafo 4, e all’articolo 65 del RGPD. 73. Ciò, a sua volta, priverebbe di senso una delle principali funzioni del Comitato – organo istituito dal RGPD – composto dalla figura di vertice di un’autorità di controllo per ciascuno Stato membro e dal Garante europeo della protezione dei dati (23). Uno dei compiti del Comitato è, precisamente, monitorare e assicurare l’applicazione corretta del RGPD in caso di disaccordo fra differenti autorità di controllo (24). In tali casi, il Comitato funge da foro per la composizione delle controversie e da organo decisionale. Se si seguisse l’interpretazione avanzata dalla GBA e da alcuni governi, il meccanismo di cui all’articolo 65 del RGPD potrebbe essere del tutto eluso: ogni autorità potrebbe agire per conto proprio, aggirando il Comitato.
74. La situazione da ciò risultante parrebbe essere il contrario di ciò che il legislatore dell’Unione ha inteso conseguire con il nuovo sistema, come sarà illustrato nella sezione successiva. 2. Un’interpretazione teleologica e storica del RGPD 75. Come risulta dal considerando 9 del RGPD, il legislatore dell’Unione ha considerato che, sebbene «i suoi obiettivi e principi rimangano tuttora validi, la direttiva 95/46/CE non ha impedito la frammentazione dell’applicazione della protezione dei dati personali nel territorio dell’Unione, né ha eliminato l’incertezza giuridica o la percezione, largamente diffusa nel pubblico (…) [dei] rischi per la protezione delle persone fisiche». 76. La necessità di garantire coerenza diventa così la questione principale dello strumento giuridico destinato a sostituire la direttiva 95/46. Tale obiettivo è stato considerato importante da una duplice prospettiva: da un lato, garantire un livello omogeneo ed elevato di protezione delle persone fisiche e, dall’altro, rimuovere gli ostacoli ai flussi di dati personali all’interno dell’Unione, garantendo certezza del diritto e trasparenza per gli operatori economici (25). 77. Tale ultimo aspetto merita di essere sottolineato. Ai sensi della direttiva 95/46, gli operatori economici attivi in tutta l’Unione erano tenuti a conformarsi ai diversi corpi di norme nazionali di trasposizione di tale direttiva ed a confrontarsi, al contempo, con tutte le autorità nazionali in materia di protezione dei dati. Tale situazione non era solo costosa, gravosa e dispendiosa in termini di tempo per gli operatori economici, ma anche un’inevitabile fonte di incertezza e conflitti per tali operatori e i loro clienti (26). 78. I limiti del sistema istituito dalla direttiva 95/46 sono apparsi anche in varie sentenze della Corte. Nella sentenza Weltimmo, la Corte ha stabilito che i poteri delle autorità di protezione dei dati fossero strettamente limitati dal principio di territorialità: tali autorità potevano agire solo contro le violazioni avvenute all’interno del proprio territorio, dovendo in tutti gli altri casi chiedere l’intervento delle autorità degli altri Stati membri (27). Nella sentenza Wirtschaftsakademie SchleswigHolstein, la Corte ha dichiarato che, in caso di trattamento transfrontaliero, ogni autorità di protezione dei dati poteva esercitare i propri poteri nei confronti di un organismo nel suo territorio, indipendentemente dalle opinioni e dalle azioni dell’autorità di protezione dei dati dello Stato membro in cui è stabilito l’organismo responsabile di tale trattamento (28). 79. Tuttavia, nel mondo virtuale del trattamento dei dati, è spesso problematico suddividere le competenze delle varie autorità lungo linee territoriali (29). Inoltre, la
mancanza di chiari meccanismi di coordinamento tra le autorità nazionali era fonte di incongruenze e incertezza. 80. L’introduzione del meccanismo dello sportello unico, con il ruolo significativo attribuito all’ACC e i meccanismi di cooperazione istituiti per coinvolgere le altre autorità di controllo, intendeva, quindi, affrontare proprio tali problematiche (30). Nella sentenza Google (Portata territoriale della deindicizzazione), la Corte ha sottolineato l’importanza dei meccanismi di cooperazione e coerenza per l’applicazione corretta e coerente del RGPD, nonché il loro carattere obbligatorio (31). Più di recente, nella causa Facebook Ireland e Schrems, l’avvocato generale Saugmandsgaard Øe ha del pari sottolineato che i meccanismi di cooperazione e coerenza previsti dal capo VII del RGPD sono destinati a evitare il rischio che le varie autorità di controllo adottino approcci diversi in relazione al trattamento transfrontaliero (32). 81. È vero che, come sottolineato dalla GBA, nel corso del procedimento legislativo sia il Consiglio che il Parlamento hanno cercato di limitare la competenza dell’ACC come inizialmente prospettata dalla Commissione. Tuttavia, le modifiche infine introdotte nel testo definitivo del RGPD non rimettono in discussione l’interpretazione dello stesso illustrata in precedenza ma, piuttosto, la confermano. 82. Secondo la proposta originaria della Commissione, il meccanismo dello sportello unico implicava che un’unica autorità di controllo (l’ACC) dovesse essere responsabile della verifica delle attività del titolare o del responsabile del trattamento in tutta l’Unione europea e a prendere le relative decisioni (33). Tale proposta, tuttavia, ha dato luogo a discussioni in seno al Consiglio e al Parlamento. 83. Il Consiglio, in definitiva, ha approvato un testo sulla base di una proposta avanzata dalla presidenza (34). Tale proposta non metteva affatto in discussione il meccanismo dello sportello unico in quanto tale, che era definito dal Consiglio «uno dei pilastri centrali» del nuovo quadro normativo (35). Fondamentalmente, la proposta della presidenza ha condotto, in definitiva, a due serie di emendamenti piuttosto specifici. 84. In primo luogo, il Consiglio intendeva introdurre alcune eccezioni alla competenza generale dell’ACC: riguardo al trattamento effettuato dalle autorità pubbliche e riguardo alle situazioni locali. Il Consiglio proponeva, quindi, di introdurre due disposizioni che non figuravano nella proposta della Commissione (36), ovvero gli attuali articoli 55, paragrafo 2, e 56, paragrafo 2, del RGPD (37). 85. In secondo luogo, il Consiglio intendeva mitigare il ruolo e la competenza dell’ACC, rendendo la procedura più inclusiva. Il testo della proposta della
Commissione era considerato alquanto ambiguo su tale punto, atto probabilmente a far sorgere una competenza esclusiva dell’ACC in materia di trattamento transfrontaliero dei dati. Pertanto, varie correzioni sono state apportate al testo al fine di rafforzare la «prossimità» tra gli interessati e le autorità di controllo (38). Tra l’altro, è stato notevolmente accresciuto il coinvolgimento delle altre autorità di controllo nel processo decisionale. 86. Anche il Parlamento, dal canto suo, sosteneva l’istituzione del meccanismo dello sportello unico, con un ampliamento del ruolo dell’ACC, ma proponeva di rafforzare il sistema di cooperazione tra le autorità di controllo. Sia la motivazione della bozza di relazione del Parlamento (39) che la risoluzione legislativa del Parlamento europeo del 12 marzo 2014 (40) sono piuttosto chiare al riguardo. 87. In sostanza, con l’intervento del Consiglio e del Parlamento, il meccanismo dello sportello unico, in precedenza fortemente orientato verso l’ACC, veniva trasformato in un meccanismo, più equilibrato, fondato su due pilastri: è mantenuto il ruolo preminente dell’ACC per quanto riguarda il trattamento transfrontaliero ma, attualmente, esso è accompagnato da un ruolo rafforzato delle altre autorità di controllo che partecipano attivamente al processo attraverso i meccanismi di cooperazione e coerenza, con l’attribuzione al Comitato di un ruolo di arbitro e guida in caso di disaccordo. 88. Pertanto, un’interpretazione teleologica e storica del RGPD conferma l’importanza del meccanismo dello sportello unico e, di conseguenza, la competenza generale dell’ACC riguardo al trattamento transfrontaliero dei dati. L’interpretazione delle disposizioni del RGPD avanzata dalla GBA e da alcuni governi non è conciliabile con la volontà del legislatore dell’Unione, quale ricavabile dal preambolo e dalle disposizioni del regolamento, nonché dai lavori preparatori. 89. Concludo, quindi, che un approccio letterale, contestuale, teleologico e storico all’interpretazione delle pertinenti disposizioni del RGPD conferma che le autorità di controllo sono tenute a rispettare le norme sulla competenza nonché sui meccanismi e le procedure di cooperazione e coerenza previste da detto regolamento. In presenza di un trattamento transfrontaliero, tali autorità devono agire nel quadro fissato dal RGPD. 90. Tuttavia, la GBA e taluni governi hanno addotto due ulteriori serie di argomenti che depongono, a loro avviso, in favore di un rafforzamento del potere di tutte le autorità di controllo di agire unilateralmente, anche per quanto attiene al trattamento transfrontaliero. Nelle sezioni che seguono illustrerò i motivi per cui tali argomenti non dovrebbero rimettere in discussione l’interpretazione del RGPD che ho proposto in precedenza, certamente non al momento attuale.
3. Un’interpretazione del RGPD orientata dalla Carta 91. La GBA sostiene che, per garantire il rispetto degli articoli 7, 8 e 47 della Carta, è necessario un potere incondizionato delle autorità di controllo di agire in sede giudiziale nei confronti dei responsabili del trattamento e dei titolari del trattamento, anche nel caso in cui il trattamento sia transfrontaliero. Parrebbero esservi due principali preoccupazioni alla base delle argomentazioni della GBA su questo tema, sebbene nessuna di queste sia stata pienamente articolata nelle sue osservazioni (41). 92. La prima preoccupazione della GBA pare riguardare la riduzione del numero di autorità che possono agire riguardo a una determinata condotta. In tale affermazione pare esserci una supposizione implicita, ovvero che un livello elevato di protezione richiede una molteplicità di autorità che possono far rispettare il RGPD, anche agendo parallelamente. Detto in termini semplici, più autorità lo perseguono, più il livello di protezione è elevato. 93. Non ritengo che sia necessariamente così, almeno per quanto riguarda il livello di protezione. 94. È vero che, come dichiarato dalla Corte, la legislazione dell’Unione sulla protezione dei dati, letta alla luce degli articoli 7 e 8 della Carta, è intesa a garantire un livello elevato di protezione, in particolare, del diritto fondamentale al rispetto della vita privata con riguardo al trattamento dei dati personali (42). 95. Ciononostante, il legislatore dell’Unione ha ritenuto che, al fine di garantire un «livello [...] elevato di protezione delle persone fisiche», è necessario «un quadro più solido e coerente in materia di protezione dei dati» (43). A tal fine, il quadro stabilito dal RGPD è inteso a garantire coerenza a tutti i livelli: per le persone fisiche, per gli operatori economici, per i titolari del trattamento e i responsabili del trattamento, nonché per le autorità di controllo (44). Riguardo a queste ultime, il RGPD intende, come confermato al considerando 116, promuovere una «più stretta cooperazione» fra le stesse (45). 96. Di conseguenza, a differenza di quanto sostenuto dalla GBA, il perseguimento di un livello elevato di protezione dei diritti e delle libertà degli interessati è – agli occhi del legislatore dell’Unione – pienamente compatibile con il funzionamento del meccanismo dello sportello unico illustrato in precedenza. Consentendo un approccio più coerente, efficace e trasparente in materia, i meccanismi di cooperazione e coerenza enunciati nel RGPD dovrebbero contribuire a una rafforzata enfasi sulla promozione e salvaguardia dei diritti sanciti, in particolare, agli articoli 7 e 8 della Carta.
97. In altri termini, un livello coerente e uniforme di protezione non osta certamente a che tale protezione sia fissata a un livello elevato. La questione è semplicemente stabilire il punto in cui tale livello uniforme debba essere collocato. Dopotutto, è dubbio che la coesistenza di diverse azioni non collegate, e potenzialmente contraddittorie, da parte delle autorità di controllo favorirebbe realmente l’obiettivo di garantire un livello elevato di protezione dei diritti dei singoli. Si potrebbe dire che la coerenza e la chiarezza, garantite dalle autorità di controllo che agiscono di concerto, sono più utili al perseguimento di tale obiettivo. 98. La seconda preoccupazione espressa dalla GBA solleva problematiche di prossimità tra i soggetti che propongono un reclamo e le autorità che, in definitiva, agiranno in risposta a tale reclamo. La questione è, in sostanza, se i singoli possano utilmente agire in giudizio contro l’azione o l’inerzia delle autorità di controllo rispetto ai loro reclami. 99. Invero, l’articolo 78 del RGPD conferma il diritto delle persone fisiche o giuridiche a un ricorso giurisdizionale effettivo nei confronti di un’autorità di controllo. Inoltre, per essere conformi all’articolo 47 della Carta, i rimedi previsti dal RGPD non possono richiedere agli interessati il rispetto di norme dettagliate che, tenuto conto del loro status di persone fisiche, possono pregiudicare eccessivamente il diritto a un giudice (ad esempio, aumentando i costi o ritardando l’azione) (46). 100. Orbene, nessuno degli argomenti (piuttosto vaghi) dedotti da ciascuna parte a tal riguardo spiega chiaramente perché l’interpretazione del RGPD sostenuta da Facebook, dai governi ceco e finlandese, nonché dalla Commissione sarebbe in contrasto con l’articolo 47 della Carta. 101. Anzitutto, il RGPD prevede espressamente il diritto degli interessati di agire contro tanto i titolari del trattamento quanto i responsabili del trattamento, nonché contro le autorità di controllo. Sul piano strutturale, pertanto, non è chiaro in che modo il RGPD non rispetterebbe l’articolo 47 della Carta. 102. Per quanto riguarda il diritto degli interessati ad agire nei confronti dei titolari del trattamento e dei responsabili del trattamento, è data agli stessi la scelta di farlo dinanzi alle autorità giurisdizionali dello Stato membro in cui il titolare del trattamento o il responsabile del trattamento ha uno stabilimento o in cui risiede l’interessato (47). Tale norma sembra piuttosto favorevole, o quantomeno non problematica, per gli interessati (48). 103. Per quanto riguarda il diritto degli interessati ad agire nei confronti delle autorità di controllo, la situazione è più complessa. Innanzitutto, gli interessati hanno il diritto di contestare sia le azioni sia l’inerzia delle autorità di controllo. In particolare, possono agire nei confronti di qualsiasi autorità di controllo che «non dà
seguito a un reclamo, lo respinge in tutto o in parte o lo archivia o non agisce quando è necessario intervenire per proteggere i diritti dell’interessato» (49). 104. Tuttavia, le azioni nei confronti delle autorità di controllo, a differenza di quelle nei confronti dei titolari del trattamento e dei responsabili del trattamento, devono essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’autorità di controllo è stabilita (50). Sebbene tale norma possa sembrare meno favorevole per i singoli, occorre tener presente che, ai sensi dell’articolo 60, paragrafi 8 e 9, del RGPD, ove un reclamo presentato da un interessato sia integralmente o parzialmente rigettato o archiviato, la relativa decisione è adottata e notificata all’interessato ad opera dell’autorità di controllo cui è stato proposto il reclamo. Ciò vale indipendentemente dalla circostanza che tale autorità sia o meno l’ACC, consentendo così (se del caso) all’interessato di agire giudizialmente nel proprio Stato membro. 105. Tali meccanismi di trasferimento della competenza ad adottare le decisioni e, ove necessario, ad adottare potenzialmente decisioni a due livelli (l’ACC nei confronti del titolare del trattamento o del responsabile del trattamento, e l’autorità locale nei confronti del reclamante) sembrano specificamente intesi a evitare che gli interessati debbano «fare il giro» delle aule di giustizia dell’Unione europea al fine di intentare un’azione nei confronti delle autorità di controllo che restano inerti. 106. Riconosco, tuttavia, che una siffatta soluzione può portare a diverse questioni di ordine pratico. Quale sarà l’esatto contenuto di ciascuna di tali decisioni? Tale contenuto sarebbe identico (51), o diverso? Un interessato sarebbe legittimato a mettere in discussione tutti gli aspetti che ritenesse pertinenti al suo caso, compresi quelli che fanno effettivamente parte della decisione dell’ACC? Oppure la decisione dell’autorità di controllo cui l’interessato ha proposto reclamo costituirebbe essenzialmente una «scatola vuota», che si limita a trattare in modo formale il reclamo individuale, mentre il contenuto effettivo è presente nella decisione dell’ACC? In tal caso, l’interessato, per avere accesso a un «ricorso giurisdizionale effettivo» ai sensi dell’articolo 78 del RGPD e dell’articolo 47 della Carta, dovrebbe comunque adire l’autorità giudiziaria dello Stato membro in cui ha sede l’ACC? Come funzionerebbero le norme per l’accesso a un ricorso giurisdizionale effettivo per quanto riguarda il riesame di eventuali decisioni sottostanti, sia a livello orizzontale (tra le autorità di controllo che agiscono congiuntamente) che a livello verticale (per quanto riguarda il riesame di un parere o di una decisione del Comitato nell’ambito del meccanismo di coerenza che precede e, probabilmente, determina effettivamente la decisione finale di un’autorità di controllo) (52)?
107. Non mancano potenziali problematiche spinose. L’esperienza pratica potrebbe, un giorno, rivelare reali problemi con la qualità o addirittura con il livello della tutela giurisdizionale del nuovo sistema. Attualmente, tuttavia, tali questioni restano meramente ipotetiche. In questa fase, e certamente nell’ambito della presente causa, non è stato sottoposto alla Corte nessun elemento che mostri problematiche concrete al riguardo. 4. Una possibile insufficiente applicazione del RGPD 108. La GBA sostiene, in sintesi, che l’applicazione del RGPD nelle situazioni transfrontaliere non possa essere lasciata quasi esclusivamente all’ACC e agli interessati eventualmente oggetto del trattamento. È proprio a ciascuna autorità di controllo, infatti, che spetta agire al fine di tutelare i diritti dei soggetti che possono essere pregiudicati dal trattamento dei dati. In particolare, un’autorità di controllo non può adempiere correttamente al proprio compito se in ogni ipotesi la decisione di avviare o meno un’azione contro una sospettata violazione, e la modalità di tale azione, sia rimessa alla valutazione di un’altra autorità. 109. A mio avviso, tale argomento rappresenta, essenzialmente, una diretta contestazione del nuovo meccanismo di cooperazione introdotto dal RGPD. La mia replica al riguardo è articolata su due livelli: da un lato, per quanto riguarda il livello della normativa vigente, si potrebbe affermare che il RGPD contiene meccanismi volti a evitare tali scenari; dall’altro, per quanto riguarda l’effettivo funzionamento e gli effetti dei nuovi sistemi, tali timori sono, in questa fase, prematuri e ipotetici. 110. In primo luogo, occorre anzitutto precisare che il fatto che un’autorità di controllo non sia l’ACC nei confronti di un determinato titolare del trattamento o responsabile del trattamento non implica affatto, come sostenuto dalla GBA, che le violazioni del RGPD che comportano un reato non possano essere adeguatamente perseguite. Il potere di «intentare un’azione o di agire in sede giudiziale (...) in caso di violazione del presente regolamento», enunciato all’articolo 58, paragrafo 5, include chiaramente il potere di confrontarsi con le autorità penali come il pubblico ministero. Tale potere è coerente con il compito delle autorità di controllo di sorvegliare e assicurare l’applicazione del RGPD nel loro territorio e non pregiudica il buon funzionamento dei meccanismi di cooperazione e coerenza stabiliti al capo VII del RGPD. A tal riguardo, è a malapena necessario sottolineare che, sebbene tali meccanismi siano obbligatori per le autorità di controllo, non si applicano alle altre autorità degli Stati membri, in particolare a quelle incaricate di perseguire i reati. 111. In secondo luogo – e soprattutto – quando il sistema istituito dal RGPD è integralmente rispettato, è abbastanza chiaro che l’ACC non è l’unico organo incaricato dell’applicazione del RGPD in situazioni transfrontaliere. L’ACC è,
piuttosto, un primus inter pares. In generale, un’ACC potrà agire (per via amministrativa o giudiziale) solo con il consenso delle ACI. Nell’ambito della procedura di cui all’articolo 60 del RGPD, l’ACC è tenuta a cercare un consenso (53). Essa non può ignorare le opinioni delle ACI. L’ACC non solo «tiene debitamente conto» di tali opinioni, ma qualsiasi obiezione formale espressa da una ACI ha l’effetto di bloccare temporaneamente l’adozione del progetto di decisione dell’ACC. In ultima analisi, le persistenti divergenze di opinioni tra le autorità sono regolate da un organo specifico (il Comitato) composto dai rappresentanti di tutte le autorità di controllo dell’Unione. Pertanto, la posizione dell’ACC a tal riguardo non è preminente rispetto a quella di qualsiasi altra autorità (54). 112. Come affermato dall’ex Garante europeo della protezione dei dati, P. Hustinx, all’interno dello schema del RGPD, il ruolo di un’ACC «non dovrebbe essere inteso come una competenza esclusiva, ma come un modo strutturato di cooperare con altre autorità di controllo competenti a livello locale» (55). Il RGPD prevede una responsabilità condivisa per sorvegliare l’applicazione del RGPD e garantirne una coerente applicazione. A tal fine, alle autorità di controllo sono affidati compiti e conferiti determinati poteri; sono loro concessi taluni diritti, ma esse sono anche gravate da determinati doveri. Tra tali doveri figura, in particolare, l’obbligo di rispettare talune procedure e meccanismi destinati a garantire la coerenza. L’intenzione di un’autorità di adottare un approccio «individuale» (56) per quanto riguarda l’applicazione (giudiziale) del RGPD, senza cooperare con le altre autorità, non può conciliarsi né con la lettera né con lo spirito di tale regolamento. 113. Come rammentato ai precedenti paragrafi 76 e 77, il RGPD si basa su un delicato equilibrio tra la necessità di garantire un livello elevato di protezione delle persone fisiche e l’esigenza di rimuovere gli ostacoli ai flussi di dati personali all’interno dell’Unione. Questi due obiettivi, come risulta in particolare dal considerando 10 e dall’articolo 1, paragrafo 1, del RGPD, sono indissolubilmente connessi. Le autorità nazionali di controllo devono, pertanto, assicurare un giusto equilibrio fra tali obiettivi, come costantemente sottolineato dalla Corte sin dalle sue prime sentenze in materia di protezione dei dati (57). L’articolo 51, paragrafo 1, del RGPD, nel definire la missione delle autorità di controllo, riflette tale approccio (58). 114. In terzo luogo, il RGPD non prevede soltanto meccanismi che consentono di risolvere le divergenze relative alle modalità di applicazione, vale a dire mediare tra opinioni e pareri contrastanti espressi dalle autorità di controllo. Esso include, altresì, meccanismi volti a superare situazioni di inerzia amministrativa. Si tratta, in particolare, delle situazioni in cui un’ACC, per mancanza di esperienza e/o di personale, o per qualsivoglia ragione, non intraprenda alcuna azione significativa al
fine di indagare su eventuali violazioni del RGPD e, se del caso, applicare le norme di quest’ultimo. 115. In linea di principio, il RGPD esige, in caso di trattamento transfrontaliero, che l’ACC agisca prontamente. In particolare, ai sensi dell’articolo 60, paragrafo 3, del RGPD, un’ACC «comunica senza ritardo le informazioni utili sulla questione alle altre autorità di controllo interessate [e trasmette] senza indugio alle altre autorità di controllo interessate un progetto di decisione per ottenere il loro parere e tiene debitamente conto delle loro opinioni» (59). 116. Nel caso in cui un’ACC non rispetti tale obbligo o, più in generale, non agisca ove necessario, esiste un rimedio per le ACI che intendono procedere a un’indagine e, ove possibile, a misure di contrasto (60)? Ritengo vi siano almeno due diversi percorsi che tali autorità potrebbero seguire, senza che tali percorsi si escludano a vicenda. 117. Da una parte, ai sensi dell’articolo 61, paragrafi 1 e 2, del RGPD, un’autorità di controllo può richiedere a un’altra autorità di controllo di fornire «informazioni utili e [prestare] assistenza reciproca al fine di attuare e applicare [il RGPD]» (61) Tale richiesta può assumere la forma di una richiesta di informazioni, incluso «sullo svolgimento di un’indagine», o di altre misure di assistenza (come lo svolgimento di ispezioni e indagini o mettere in atto misure per cooperare efficacemente). Ogni richiesta di questo tipo deve ricevere una risposta da parte dell’autorità interpellata «senza ingiustificato ritardo e comunque entro un mese dal ricevimento della richiesta». 118. Ai sensi dell’articolo 61, paragrafi 5 e 8, del RGPD, la mancata risposta entro il termine impartito, o un rifiuto di dare seguito alla domanda, consente all’autorità richiedente di «adottare misure provvisorie nel territorio del suo Stato membro ai sensi dell’articolo 55, paragrafo 1». In tali casi «[s]i considera [...] che urga intervenire ai sensi dell’articolo 66, paragrafo 1, e che sia necessaria una decisione vincolante d’urgenza da parte del Comitato a norma dell’articolo 66, paragrafo 2» (62). 119. Ritengo che tale meccanismo possa anche essere utilizzato (ed è probabilmente inteso per essere utilizzato (63)) da un’ACI nei confronti di un’ACC. La mancata azione da parte dell’ACC in un determinato caso di trattamento transfrontaliero, nonostante una richiesta in tal senso di un’ACI, può quindi consentire a quest’ultima di adottare le misure urgenti ritenute necessarie per tutelare gli interessati. L’esistenza di circostanze eccezionali, che giustificano la necessità urgente di agire è, infatti, presunta e non deve essere provata.
120. Dall’altra parte, l’articolo 64, paragrafo 2, del RGPD consente a qualsiasi autorità di controllo (o al presidente del Comitato o alla Commissione) di «richiedere che le questioni di applicazione generale o che producono effetti in più di uno Stato membro siano esaminate dal Comitato al fine di ottenere un parere, in particolare se un’autorità di controllo competente non si conforma agli obblighi relativi all’assistenza reciproca ai sensi dell’articolo 61 (...)» (64). 121. Non è del tutto chiaro se la decisione del Comitato sia legalmente vincolante per l’ACC interessata (65). Tuttavia, ai sensi dell’articolo 65, paragrafo 1, lettera c) del RGPD, se un’autorità di controllo competente non si conforma al parere del Comitato emesso a norma dell’articolo 64, qualsiasi ACI (o la Commissione) può comunicare la questione al Comitato e avviare, così, la procedura di composizione delle controversie a tal fine prevista. Tale ultima procedura condurrebbe, infine, a una decisione vincolante (66). 122. Ciò detto, occorre riconoscere che i due meccanismi supra illustrati (articoli 61 e 66 del RGPD, da un lato, e articoli 64 e 65 del RGPD, dall’altro) sono alquanto complessi. Il loro effettivo funzionamento non è sempre completamente chiaro. Pertanto, se, sulla carta, le summenzionate disposizioni sembrano idonee a evitare tali problemi, solo la futura applicazione delle stesse dirà se, nella pratica, si riveleranno delle «tigri di carta». 123. Ciò mi porta al secondo livello dell’argomentazione sviluppata relativamente all’insufficiente applicazione e al suo carattere piuttosto ipotetico e non suffragato, quantomeno allo stato attuale. Devo riconoscere che, a mio parere, se dovessero verificarsi i rischi relativi all’insufficiente applicazione del RGPD delineati dalla GBA e da alcuni altri intervenienti, l’intero sistema sarebbe maturo per una profonda revisione. 124. Da un punto di vista strutturale, ciò potrebbe effettivamente avvenire se la nuova struttura dovesse portare a «covi» normativi per alcuni operatori che, dopo aver effettivamente scelto essi stessi la propria autorità nazionale di regolamentazione, localizzando su tale base il loro stabilimento principale all’interno dell’Unione, anziché essere controllati, sarebbero di fatto protetti piuttosto efficacemente da una determinata ACC nei confronti delle altre autorità di regolamentazione. Pochi sarebbero in disaccordo riguardo al fatto che una concorrenza normativa, sotto forma di corsa al ribasso tra gli Stati membri, sarebbe tanto nociva e pericolosa quanto l’incoerenza normativa – il genere di mancanza di coordinamento e coerenza che caratterizzava il modello precedente. Una rete di regimi normativi potrebbe essere in grado di evitare incoerenze e divergenze mediante una promozione del consenso e della cooperazione. Tuttavia, il prezzo del consenso tende a essere il blocco delle
autorità attive, specialmente in un sistema in cui è necessaria una concertazione rafforzata per giungere a qualsiasi decisione. Nell’ambito di tali sistemi, una responsabilità collettiva può condurre a un’irresponsabilità collettiva e, in definitiva, all’inerzia. 125. Tuttavia, per quanto riguarda tali rischi, il quadro normativo istituito dal RGPD è ancora agli inizi. Non è facile prevedere – soprattutto per un giudice, nel contesto di un unico, o alquanto singolare procedimento – come funzioneranno nella pratica e quanto saranno efficaci i meccanismi istituiti da tale regolamento. All’interno di un quadro del genere, simile alle potenziali questioni relative alla protezione dei diritti fondamentali e all’interpretazione conforme alla Carta (67), la cautela è d’obbligo. 126. A mio avviso, non sarebbe una buona idea se la Corte modificasse in modo significativo tale quadro – prodotto (delicato e accuratamente forgiato) di un lungo e intenso processo legislativo – procedendo a un’interpretazione delle singole frasi estrapolate dal loro contesto e, allo stato attuale, sulla base di supposizioni e di congetture. Ciò è ancora più vero se l’interpretazione proposta da talune parti è semplicemente quella di, in sostanza, eliminare dal regolamento alcune parti fondamentali ritornando così, de facto, al precedente sistema della direttiva 95/46 che, nella sua dimensione istituzionale, era stato espressamente e chiaramente abbandonato dal legislatore dell’Unione. 127. Come illustrato nelle precedenti sezioni delle presenti conclusioni, tale chiarissimo disegno legislativo, palesato sia dalla lettera che dalla struttura del RGPD, nonché dalla documentata intenzione legislativa, fornisce anche una risposta ad altre potenziali questioni strutturali, come quelle relative al corretto bilanciamento tra controllo pubblico e privato dell’osservanza delle norme in materia di protezione dei dati e del RGPD. Ha senso che sia limitare a una singola autorità e, quindi, a un solo Stato membro, l’azione pubblica volta a far rispettare la normativa, la cui attuazione avrà luogo solo dopo una procedura amministrativa lunga e complessa, mentre è probabile che l’azione privata volta a far rispettare le medesime norme avverrebbe, nella pratica, più velocemente e dinanzi ai giudici (civili) di tutti gli Stati membri? Le autorità nazionali di controllo dovrebbero avere un accesso al giudice più limitato di ogni singolo consumatore privato? Non sarà così portata dinanzi ai giudici nazionali (e potenzialmente dinanzi alla Corte di giustizia in via pregiudiziale) la maggior parte delle cause in materia di protezione dei dati intentate direttamente da soggetti privati, aggirando completamente le autorità nazionali di regolamentazione a tal fine istituite, poiché queste ultime sono ancora in fase di cooperazione e coordinamento delle loro posizioni? Nell’ambito di un regime siffatto, non vi è il rischio che l’azione privata volta a far rispettare le norme si sostituisca interamente a quella pubblica?
128. Comunque sia, il legislatore dell’Unione ha compiuto una scelta istituzionale e strutturale chiara e, a mio avviso, non vi è alcun dubbio su ciò che intendesse conseguire. In tali circostanze, metaforicamente parlando, dovrebbe dare all’infanteo il beneficio del dubbio, quantomeno per il momento. Ove, tuttavia, dovesse volgere al peggio – e ciò dovrebbe essere comprovato da fatti e argomenti solidi –, non credo che la Corte chiuderebbe un occhio su qualsivoglia lacuna dovesse manifestarsi nella tutela dei diritti fondamentali garantiti dalla Carta e nella loro effettiva applicazione da parte delle competenti autorità di regolamentazione. Se si tratti ancora, a quel punto, di una questione di interpretazione conforme alla Carta di disposizioni di diritto derivato, o una questione di validità delle pertinenti disposizioni, o anche di parti di uno strumento di diritto derivato, è un quesito per un’altra causa. 5. Conclusione intermedia 129. Tutti gli elementi interpretativi delineati convergono, quindi, verso lo stesso risultato: l’ACC detiene una competenza generale sul trattamento transfrontaliero. Tutte le autorità di controllo (indipendentemente dal loro ruolo di ACC o di ACI) devono agire, specialmente in caso di trattamento transfrontaliero, secondo le procedure e i meccanismi previsti dal RGPD. 130. Ciò premesso, è sempre precluso, in via di principio, a un’autorità di controllo che non sia l’ACC agire dinanzi ai giudici nazionali nei confronti di un titolare del trattamento o di un responsabile del trattamento nel caso in cui il trattamento sia di natura transfrontaliera? 131. No, non lo è. 132. In primo luogo, naturalmente le autorità di controllo possono adire un giudice nazionale quando agiscono al di fuori dell’ambito di applicazione materiale del RGPD, sempre che ciò sia consentito dalla legge nazionale e non sia precluso dal diritto dell’Unione, ad esempio perché il trattamento non riguarda dati personali o perché il trattamento dei dati personali è svolto nell’ambito delle attività di cui all’articolo 2, paragrafo 2, del RGPD (68). 133. In secondo luogo, nonostante il carattere transfrontaliero del trattamento, nei casi previsti all’articolo 55, paragrafo 2, del RGPD (trattamento effettuato da autorità pubbliche, ma anche qualsiasi trattamento effettuato nell’interesse pubblico o nell’esercizio di pubblici poteri), la competenza regolamentare resta attribuita all’autorità di controllo locale, il che include naturalmente anche, ove necessario, la capacità di agire in sede giudiziale. 134. In terzo luogo, vi sono casi in cui, nonostante l’esistenza di un trattamento transfrontaliero di dati personali rientranti nell’ambito applicativo del RGPD, nessuna
autorità di controllo può agire in qualità di ACC. Poiché il meccanismo di cooperazione e coerenza previsto dal RGPD si applica unicamente ai titolari del trattamento con uno o più stabilimenti nell’Unione europea, non esiste un’ACC per quanto riguarda un trattamento transfrontaliero da parte di titolari del trattamento che non hanno uno stabilimento nell’Unione europea. Ciò significa che i titolari del trattamento senza alcuno stabilimento nell’Unione devono confrontarsi con le autorità di controllo locali di ciascuno Stato membro in cui operano (69). 135. In quarto luogo, qualsiasi autorità di controllo può adottare misure urgenti qualora ricorrano le condizioni appropriate. Esistono, inoltre, situazioni in cui l’urgenza delle misure è presunta. Ciò può verificarsi, ad esempio, nel caso in cui un’ACI si trovi, potenzialmente, di fronte a una persistente inerzia dell’ACC competente. Poiché l’articolo 66, paragrafo 1, del RGPD prevede una deroga al meccanismo di coerenza, è corretto presumere che, in una situazione eccezionale del genere, l’intera gamma dei poteri attribuiti a un’autorità di controllo (che in circostanze normali non deve essere esercitata poiché ciò è precluso dalle norme speciali sulla competenza di un’ACC per il trattamento transfrontaliero) sia ripristinata e possa essere temporaneamente esercitata. Ciò include, beninteso, il potere di intentare un’azione giudiziale ai sensi dell’articolo 58, paragrafo 5, del RGPD. 136. Infine, in quinto luogo, per scrupolo di completezza si potrebbe sottolineare che è altresì possibile che un’autorità di controllo che ha informato l’ACC possa anche ottenere (o, piuttosto, conservare) il potere di agire in giudizio qualora l’ACC «decida di non trattar[e il caso]» conformemente all’articolo 56, paragrafo 5, del RGPD. A prima vista, tale ultima disposizione ben potrebbe offrire spazio per un accordo effettivo tra le due autorità di controllo su quale delle due si trovi nella posizione migliore per trattare un caso. 137. In sintesi, le disposizioni sul RGPD non includono alcun divieto generale per altre autorità di controllo, in particolare per le ACI, di intentare azioni in sede giudiziale contro potenziali violazioni delle norme sulla protezione dei dati. Al contrario, sono espressamente o implicitamente previste nel RGPD varie situazioni in cui sono autorizzate a farlo (70). 138. In generale, tuttavia, è di fondamentale importanza che nei casi in cui si applicano le procedure e i meccanismi previsti dal RGPD (in particolare quelli di cui ai capi VI e VII), tanto l’ACC quanto le ACI li seguano diligentemente. Le norme del RGPD sono molto chiare quanto al fatto che nessuna di tali autorità deve agire al di fuori o in violazione di tale quadro normativo.
139. Ciò posto, verificare se la GBA abbia o meno rispettato tali procedure e meccanismi nel caso in esame – aspetto sul quale si è dibattuto in udienza, ma che rimane alquanto sfocato in considerazione del peculiare contesto procedurale della presente causa (71) – spetterà, tuttavia, al giudice del rinvio. 140. Di conseguenza, la risposta alla prima questione dovrebbe essere che le disposizioni del RGPD consentono all’autorità di controllo di uno Stato membro di agire in sede giudiziale dinanzi a un giudice di tale Stato per una presunta violazione del RGPD riguardo al trattamento transfrontaliero dei dati, malgrado essa non sia l’ACC, a condizione che ciò avvenga nei casi e secondo le procedure previste dal RGPD. C. Sulle altre questioni pregiudiziali 1. Sulla seconda questione pregiudiziale 141. Con la seconda questione pregiudiziale, il giudice del rinvio chiede se la risposta alla prima questione sarebbe diversa nel caso in cui il titolare di detto trattamento transfrontaliero non abbia lo stabilimento principale in tale Stato membro, ma solo un altro stabilimento. 142. Alla luce della soluzione proposta per la prima questione, la risposta da dare alla seconda è piuttosto chiara: in linea di principio no, sempre che lo «stabilimento principale» ai sensi dell’articolo 4, punto 16, del RGPD sia effettivamente situato in un altro Stato membro. 143. La circostanza che un titolare del trattamento abbia uno stabilimento secondario in uno Stato membro non incide, in linea di principio, sulla capacità dell’autorità di controllo locale di agire in sede giudiziale, ai sensi dell’articolo 58, paragrafo 5, del RGPD, in relazione a una determinata situazione di trattamento transfrontaliero. In altri termini, in caso di trattamento transfrontaliero dei dati, la portata dei poteri conferiti a un’autorità di controllo e il modo in cui tali poteri dovrebbero essere esercitati non dipendono, generalmente, dal fatto se il titolare del trattamento o il responsabile del trattamento, che ha lo stabilimento principale in un altro Stato membro, abbia anche uno stabilimento nello Stato membro di tale autorità. 144. Tuttavia, analogamente a quanto già detto in precedenza (72), come elemento preliminare a tale conclusione, un giudice nazionale deve, anzitutto, accertare quale stabilimento sia effettivamente lo stabilimento principale ai fini di una determinata operazione di trattamento. A tal proposito, l’articolo 4, punto16, lettera a), del RGPD adotta un’interpretazione dinamica (73) di ciò che è considerato stabilimento principale, che non deve necessariamente coincidere con la struttura societaria statica di un’impresa.
145. Inoltre, la circostanza che il titolare del trattamento o il responsabile del trattamento abbia uno stabilimento (secondario) nel territorio dell’autorità di controllo significa che tale autorità è una ACI ai sensi dell’articolo 4, punto 22, del RGPD. Alle ACI sono conferiti poteri significativi nell’ambito delle procedure previste dal capo VII del RGPD (74). 146. Inoltre, l’articolo 56, paragrafo 2, del RGPD prevede un’eccezione alla competenza generale dell’ACC per quanto riguarda il trattamento transfrontaliero: «ogni autorità di controllo è competente per la gestione dei reclami a essa proposti o di eventuali violazioni del [RGPD] se l’oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro». Tale competenza deve, a sua volta, essere esercitata conformemente alla procedura stabilita ai paragrafi da 3 a 5 della medesima disposizione (75). 2. Sulla terza questione pregiudiziale 147. Con la terza questione pregiudiziale, il giudice del rinvio chiede se la risposta alla prima questione sarebbe diversa nel caso in cui l’autorità nazionale di controllo intenti l’azione giudiziale nei confronti dello stabilimento principale del titolare del trattamento o nei confronti dello stabilimento nel proprio Stato membro. 148. Alla luce della soluzione proposta per la prima questione e nei limiti in cui la terza questione non si sovrapponga, in realtà, alla seconda, anche la terza questione richiede una risposta negativa. 149. Ancora una volta, purché sia stato in effetti accertato sulla base dei fatti del caso che lo stabilimento principale per una determinata operazione di trattamento ai sensi dell’articolo 4, punto 16, del RGPD sia effettivamente situato in un altro Stato membro, l’autorità nazionale di controllo dello Stato membro in cui è situato uno stabilimento del titolare del trattamento non è l’ACC, ma potrebbe diventare un’ACI. Nell’ambito di tale valutazione, tuttavia, la competenza ad agire dell’autorità di controllo non dipende dal fatto se l’azione giudiziale sia intentata nei confronti dello stabilimento principale del titolare del trattamento o nei confronti dello stabilimento nel proprio Stato membro (76). 150. Per scrupolo di completezza, si potrebbe aggiungere che l’articolo 58, paragrafo 5, del RGPD è formulato in modo ampio e non precisa le entità nei confronti delle quali le autorità di controllo dovrebbero o potrebbero agire. Ciò ha condotto a un interessante dibattito nelle osservazioni di alcune parti su una questione che, a mio avviso, pur se non è priva di importanza, non necessita che di essere esaminata dalla Corte nella presente causa. La questione è la seguente: le autorità di controllo
possono, sempre che siano effettivamente competenti a farlo ai sensi delle norme del RGPD, agire unicamente nei confronti dello stabilimento (o degli stabilimenti) del titolare del trattamento o del responsabile del trattamento situati nel loro territorio, o possono agire anche nei confronti degli stabilimenti situati all’estero? 151. Da un lato, i governi belga, italiano e polacco sottolineano che l’articolo 55, paragrafo 1, del RGPD limita la competenza territoriale di ogni autorità di controllo al suo territorio. Essi ne deducono che le autorità di controllo possono agire solo nei confronti degli stabilimenti locali. 152. Tuttavia, il tenore letterale della norma non è, a mio avviso, così chiaro: si parla di esercizio dei poteri conferiti dal regolamento «nel territorio del rispettivo Stato membro». Non interpreto questa disposizione nel senso che essa precluda necessariamente un’azione nei confronti di uno stabilimento situato in un altro Stato membro. L’elemento di territorialità incluso nell’articolo 55, paragrafo 1, del RGPD, letto alla luce dell’ambito di applicazione generale del RGPD di cui all’articolo 1, paragrafo 1 e all’articolo 3, che fa scattare la competenza di un’autorità di controllo in un determinato caso, riguarda gli effetti del trattamento dei dati nel territorio di uno Stato membro. Tale elemento non opera come limite alle azioni nei confronti di titolari del trattamento o responsabili del trattamento stabiliti fuori dai confini nazionali. 153. Dall’altro lato, la GBA suggerisce che ciascuna autorità ha il potere di agire contro qualsiasi violazione del RGPD che abbia luogo nel suo territorio, a prescindere dalla circostanza se il titolare del trattamento o il responsabile del trattamento abbia uno stabilimento nel suo territorio. Ciò implica che un’autorità potrebbe agire anche nei confronti di stabilimenti situati all’estero. A tal riguardo, la GBA fa riferimento alla sentenza della Corte nella causa Wirtschaftsakademie Schleswig-Holstein (77). In tale decisione, la Corte ha ritenuto che gli articoli 4 e 28 della direttiva 95/46 consentissero all’autorità di controllo di uno Stato membro di esercitare il potere di promuovere azioni giudiziarie nei confronti di uno stabilimento di tale impresa situato nel territorio di tale Stato membro. Ciò era possibile anche se tale stabilimento era unicamente incaricato della vendita di spazi pubblicitari e di altre attività di commercializzazione nel territorio di tale Stato membro, mentre la responsabilità esclusiva per la raccolta e il trattamento di dati personali apparteneva, per tutto il territorio dell’Unione, a uno stabilimento situato in un altro Stato membro. 154. La GBA ha ragione nel sostenere che, nei limiti in cui il RGPD prevede, sul punto, disposizioni analoghe a quelle della direttiva 95/46 (78), i principi affermati dalla Corte nella sentenza Wirtschaftsakademie Schleswig-Holstein dovrebbero applicarsi, mutatis mutandis, anche per il RGPD. Tuttavia, tale sentenza si limitava a
chiarire quando uno stabilimento locale possa essere portato in giudizio dall’autorità, sebbene il trattamento (per la maggior parte) sia effettuato da uno stabilimento situato altrove nell’Unione europea. Tale sentenza non ha, almeno espressamente, né confermato né escluso che l’autorità di controllo possa agire nei confronti di tale ultimo stabilimento. 155. Tuttavia, ritengo che il nuovo meccanismo dello sportello unico, creando un punto centrale di applicazione delle norme, implichi necessariamente che un’autorità di controllo possa agire anche nei confronti di stabilimenti situati all’estero. Non sono sicuro che il nuovo sistema potrebbe funzionare correttamente se dovesse precludere la possibilità per le autorità, e in particolare per l’ACC, di agire nei confronti di stabilimenti situati altrove (79). 3. Sulla quarta questione pregiudiziale 156. Con la quarta questione pregiudiziale, il giudice del rinvio chiede se la risposta alla prima questione sarebbe diversa nel caso in cui l’autorità nazionale di controllo abbia già intentato l’azione legale prima della data di entrata in vigore del RGPD. 157. In via preliminare, occorre sottolineare che, nel RGPD, non esistono norme transitorie o altre norme che disciplinino lo stato dei procedimenti giurisdizionali in corso al momento dell’entrata in vigore del nuovo quadro normativo. 158. Alla luce di ciò che precede, la risposta alla questione sollevata dovrebbe, a mio parere, essere «dipende». 159. Da un lato, per quanto riguarda le violazioni – commesse dai titolari del trattamento o dai responsabili del trattamento – delle norme sulla protezione dei dati avvenute prima della data in cui il RGPD è divenuto applicabile, ritengo che tali procedimenti possano continuare. Non riesco a cogliere alcun legittimo motivo per costringere le autorità a porre fine ad azioni applicative che si riferiscono a condotte passate che erano (asseritamente) illecite al momento della loro commissione e avverso le quali tali autorità erano (all’epoca) competenti ad agire. Una diversa soluzione porterebbe a una sorta di amnistia nei confronti di talune violazioni della normativa sulla protezione dei dati. 160. D’altro lato, una situazione diversa si pone per quanto riguarda le azioni promosse contro violazioni non ancora realizzate, in quanto esse avvengono dopo la data in cui il RGPD è divenuto applicabile (80). A tal proposito, come in ogni altra situazione in cui nuove norme sono applicabili a situazioni sorte in vigenza del nuovo regime giuridico, le nuove norme sostanziali saranno applicabili solo ai fatti verificatisi dopo che il nuovo strumento normativo è divenuto applicabile (81).
161. Spetta al giudice del rinvio accertare quale delle due ipotesi rispecchi effettivamente lo stato attuale del procedimento principale (82). Se fosse la prima, direi che il procedimento in corso possa proseguire, sicuramente dal punto di vista del diritto dell’Unione europea, a condizione che si limiti a un possibile accertamento di violazioni passate. Se fosse la seconda, il procedimento nazionale non dovrebbe essere proseguito. Il nuovo quadro normativo ha, infatti, istituito un sistema diverso di competenze e poteri, cosicché un’ACI non può agire contro violazioni risultanti da un trattamento transfrontaliero fuori dalle specifiche situazioni, e se non in ossequio alle procedure e ai meccanismi previsti a tal fine. 162. La soluzione opposta comporterebbe una proroga de facto del regime istituito dalla direttiva 95/46, nonostante il fatto che tanto il diritto dell’Unione europea quanto il diritto nazionale lo abbiano espressamente abrogato e sostituito con uno nuovo. Dopotutto, nel caso in cui la GBA dovesse effettivamente ottenere un’ingiunzione che vietasse a Facebook di adottare in futuro (e, fra l’altro, per quanto tempo?) le pratiche di cui trattasi nel procedimento principale, non interferirebbe ciò con la competenza sulla (stessa) condotta che il RGPD ha conferito, a decorrere dal 25 maggio 2018, all’ACC e alle ACI, potenzialmente accompagnata da decisioni (o provvedimenti giurisdizionali) confliggenti provenienti da diversi Stati membri? 4. Sulla quinta questione pregiudiziale 163. Con la quinta questione pregiudiziale, posta per il caso in cui la risposta alla prima fosse affermativa, il giudice del rinvio mira a chiarire se l’articolo 58, paragrafo 5, del RGPD abbia effetto diretto, cosicché un’autorità nazionale di controllo possa invocarlo per intentare o proseguire un’azione nei confronti di privati, anche se tale disposizione non sia stata specificamente trasposta nel diritto nazionale. 164. Si rammenta che l’articolo 58, paragrafo 5, così recita: «Ogni Stato membro dispone per legge che la sua autorità di controllo abbia il potere di intentare un’azione o di agire in sede giudiziale o, ove del caso, stragiudiziale in caso di violazione del presente regolamento per far rispettare le disposizioni dello stesso». 165. Facebook, nonché i governi ceco e portoghese, osservano che tale disposizione impone chiaramente agli Stati membri di fare qualcosa: apprestare disposizioni che consentano alle autorità di agire. Per essere pienamente operativo, il potere di agire può anche esigere che alcune norme nazionali determinino, in particolare, i giudici competenti, le condizioni per proporre l’azione e le procedure da seguire. 166. Alla luce della soluzione proposta per la prima questione pregiudiziale, non è in realtà necessario rispondere alla quinta questione. Tuttavia, per scrupolo di completezza, non vedo, da parte mia, alcun problema nel concordare con la GBA sul
fatto che il contenuto prescrittivo di tale particolare disposizione di diritto dell’Unione europea è abbastanza univoco e direttamente applicabile. A tal proposito, occorre tener presente che, in generale, una disposizione di diritto dell’Unione è dotata di effetto diretto qualora, dal punto di vista sostanziale, sia sufficientemente chiara, precisa e incondizionata da poter essere invocata nei confronti di una disposizione nazionale confliggente, o qualora attribuisca diritti che i singoli possano far valere nei confronti dello Stato (83). 167. A prescindere dal fatto che la disposizione è inclusa in un regolamento (atto che, ai sensi dell’articolo 288 TFUE è «obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri» (84)), mi pare che un precetto specifico e immediatamente applicabile possa essere dedotto dall’articolo 58, paragrafo 5, del RGPD. Tale precetto è molto semplice: le autorità di controllo devono avere legittimazione ad agire dinanzi ai giudici nazionali, nonché la capacità di intentare azioni in sede giudiziale ai sensi del diritto nazionale. L’azione intentata dinanzi a un giudice nazionale non può essere dichiarata improcedibile per carenza di personalità giuridica. 168. Pur concordando con Facebook, nonché con i governi ceco e portoghese, sul fatto che gli Stati membri possono prevedere ulteriori e speciali norme, condizioni o regole sulla competenza per le azioni intentate dalle autorità di controllo, tali norme non sono affatto necessarie perché la norma, avente effetto diretto, di cui all’articolo 58, paragrafo 5, del RGPD spieghi i suoi effetti. In mancanza di norme ad hoc introdotte dal legislatore nazionale, saranno naturalmente applicabili a qualsiasi azione promossa dalle autorità di controllo le norme di applicazione suppletiva dei pertinenti codici di procedura nazionali (siano essi codici del processo amministrativo o persino, automaticamente, codici di procedura civile). Così, ad esempio, in assenza di specifiche norme di attuazione in materia di competenza, è lecito ritenere che sarebbe applicabile la norma generale di applicazione suppletiva che si trova in qualsiasi codice di procedura (civile), ossia che, salvo disposizione contraria, il giudice competente è quello del luogo in cui è stabilito il convenuto. 5. Sulla sesta questione pregiudiziale 169. Con la sesta e ultima questione pregiudiziale, il giudice del rinvio chiede se, nel caso in cui l’autorità di controllo nazionale abbia il potere di agire, l’esito di siffatti procedimenti impedisca all’autorità capofila di pervenire ad una conclusione opposta, nel caso in cui tale autorità capofila esamini le medesime attività di trattamento transfrontaliero o attività analoghe conformemente al meccanismo previsto agli articoli 56 e 60 del RGPD.
170. Alla luce della soluzione proposta per la prima questione, non è necessario rispondere alla presente questione. 171. Tuttavia, la problematica da essa sollevata fa emergere, ancora una volta, le ragioni per le quali occorre rispondere alla prima questione nel senso supra proposto. Se si dovesse escludere il carattere obbligatorio dei meccanismi di coerenza e cooperazione previsti dal RGPD, rendendo in tal modo il meccanismo dello sportello unico «facoltativo» o, di fatto, quasi inesistente, sarebbe fortemente minata la coerenza dell’intero sistema. Le norme sulla competenza attualmente contenute nel RGPD sarebbero, in sostanza, sostituite da una parallela «corsa alla prima sentenza» da parte di tutte le autorità di controllo. In definitiva, chiunque «tagliasse per primo il traguardo» di una sentenza definitiva nella propria giurisdizione diverrebbe poi l’effettiva ACC per il resto dell’Unione europea, come suggerito dalla sesta questione? V. Conclusioni 172. Propongo alla Corte di rispondere alle questioni pregiudiziali sottoposte dallo Hof van beroep te Brussel (Corte d’appello di Bruxelles, Belgio) nel modo seguente: – Le disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e
del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), consentono all’autorità di controllo di uno Stato membro di agire in sede giudiziale dinanzi a un giudice di tale Stato per una presunta violazione di tale regolamento relativamente al trattamento transfrontaliero dei dati, malgrado essa non sia l’autorità di controllo capofila, a condizione che ciò avvenga nei casi e secondo le procedure previste dal medesimo regolamento. – Il regolamento generale sulla protezione dei dati osta a che un’autorità di
controllo prosegua un’azione in sede giudiziale iniziata prima della data in cui esso è divenuto applicabile, ma riguardante una condotta che avviene dopo tale data. – L’articolo 58, paragrafo 5, del regolamento generale sulla protezione dei
dati ha effetto diretto, cosicché un’autorità nazionale di controllo può avvalersene per intentare o proseguire un’azione giudiziale dinanzi ai giudici nazionali, anche se tale disposizione non è stata specificamente trasposta nel diritto nazionale.
1 Lingua originale: l’inglese. 2 Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1). 3 GU 1995, L 281, pag. 31. 4 Per le ragioni esposte in precedenza, v. paragrafo 23 delle presenti conclusioni. 5 A tal riguardo, la Corte ha sempre dichiarato che, ai sensi della direttiva 95/46, la nozione di «controller» ossia «responsabile del trattamento» («titolare del trattamento» nel RGPD) doveva essere interpretata in senso ampio – v., ad esempio, le recenti sentenze del 29 luglio 2019, Fashion ID (C-40/17, EU:C:2019:629, punti 65, 66 e 70), e del 10 luglio 2018, Jehovan todistajat (C-25/17, EU:C:2018:551, punto 66). Non vedo alcuna ragione per cui lo stesso non debba valere per il RGPD. 6 V., ad esempio, sentenza del 25 luglio 2018, Confédération paysanne e a. (C-528/16, EU:C:2018:583, punti 72 e 73 e giurisprudenza citata), o del 1° ottobre 2019, Blaise e a. (C-616/17, EU:C:2019:800, punto 35). 7 Ad esempio, nelle mie conclusioni nella causa Fashion ID, ho illustrato le ragioni per cui tanto le norme della direttiva 95/46 quanto della cosiddetta direttiva ePrivacy [direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002 (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU 2002, L 201, pag. 37)], all’epoca vigenti, potessero essere potenzialmente applicabili in un caso riguardante il posizionamento di cookie (C-40/17, EU:C:2018:1039, paragrafi da 111 a 115). A tal riguardo, più in generale, v. Comitato europeo per la protezione dei dati, parere 5/2019 sull’interazione tra la direttiva e-Privacy ed il RGPD, in particolare per quanto riguarda la competenza, i compiti e i poteri delle autorità incaricate della protezione dei dati, del 12 marzo 2019. V., altresì, documento 02/2013 del gruppo di lavoro articolo 29 per la protezione dei dati, che fornisce linee guida per la gestione dei cookies e l’ottenimento del relativo consenso, 1676/13/EN WP 208, 2 ottobre 2013.
8 Il corsivo è mio. 9 Il corsivo è mio. 10 Il corsivo è mio. 11 In dottrina, v. Bensoussan, A. (a cura di), Règlement européen sur la protection des données – Textes, commentaires et orientations pratiques, 2a ed., Bruylant, Bruxelles, 2017, pag. 363. 12 V., in maniera analoga, Hijmans, H., «Comment to Article 56 of the GDPR», in Kuner, C., Bygrave, L., Docksey, C. (a cura di), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, pag. 921. 13 Per analogia con il diritto amministrativo generale (o con i codici di Procedura giudiziaria), un organo potrebbe avere il potere (generale) di agire in determinati modi, ma potrebbe non avere necessariamente la competenza (rationae materiae, personae, temporis, loci,...) per esercitare tale potere e per decidere su uno specifico caso. Così, ad esempio, il fatto che un giudice penale disponga del potere di emettere una sentenza penale non implica necessariamente che esso sia altresì competente a farlo nel caso di un determinato reato commesso da una determinata persona (in quanto potrebbe rientrare nella competenza di un altro giudice). 14 Comitato europeo per la protezione dei dati, parere 8/2019 sulla competenza di un’autorità di controllo in caso di mutamento delle circostanze relative allo stabilimento principale o unico del 9 luglio 2019, paragrafi 19 e 20. 15 Tale disposizione, nella parte pertinente, recitava: «[O]gni autorità di controllo dispone in particolare (...) del potere di promuovere azioni giudiziarie in caso di violazione delle disposizioni nazionali di attuazione della presente direttiva ovvero di adire per dette violazioni le autorità giudiziarie».
16 V. Prima relazione sull’applicazione della direttiva sulla tutela dei dati (95/46/CE) della Commissione europea, del 15 maggio 2003, COM(2003) 265 definitivo, pagg. 12 e 13, e il relativo allegato «Analisi e studio di impatto sull’applicazione della Direttiva CE 95/46 negli Stati membri», pag. 40. V., altresì, agenzia dell’Unione europea per i diritti fondamentali, accesso ai rimedi per la protezione dei dati negli Stati membri dell’Unione - Relazione, 2012, in particolare pagg. da 20 a 22. 17 V. supra, paragrafi 51, 57 e 58 delle presenti conclusioni. 18 Sentenze del 6 ottobre 2015, Schrems (C-362/14, EU:C:2015:650, punto 63), e del 16 luglio 2020, Facebook Ireland e Schrems (C-311/18, EU:C:2020:559, punto 109). 19 In alcuni casi, un’ACI ha il diritto di (e, pertanto, dovrebbe essere in grado di) presentare all’ACC un progetto di decisione: v. articolo 56, paragrafi da 2 a 4 del RGPD. 20 V., in tal senso, considerando 125 del RGPD. 21 Sentenza del 16 luglio 2020 (C-311/18, EU:C:2020:559, punto 120) (il corsivo è mio). Parimenti, chiarendo che spetta all’autorità di controllo competente reagire a una violazione del RGPD e scegliere il mezzo più appropriato per farlo, v. conclusioni dell’avvocato generale Saugmandsgaard Øe nella causa Facebook Ireland e Schrems (C-311/18, EU:C:2019:1145, paragrafi 147 e 148). Si comparino tali affermazioni con la sentenza del 6 ottobre 2015, Schrems (C-362/14, EU:C:2015:650, punto 65) in cui la Corte ha stabilito che, ai sensi della direttiva 95/46, (qualsiasi) autorità di controllo nazionale deve poter promuovere azioni giudiziarie. 22 Come recitava la famosa battuta ne «Il buono, il brutto il cattivo» (film del 1966 diretto da Sergio Leone, con Clint Eastwood, Lee Van Cleef e Eli Wallach, prodotto da Produzioni Europee Associate e United Artists). 23 Articolo 68 del RGPD.
24 V., in particolare, articolo 70, paragrafo 1, lettera a) del RGPD. 25 V. Relazione della Commissione di cui alla Proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati), COM(2012) 11 definitivo. V., altresì, considerando 10, 13 e 123 del RGPD. 26 Riguardo a questa problematica v., in via generale, Giurgiu, A. e Larsen, T., «Roles and Powers of National Data Protection Authorities – Moving from Directive 95/46/EC to the GDPR: Stronger and More “European” DPAs as Guardians of Consistency?» European Data Protection Law Review, 2016, pagg. da 342 a 352, pag. 349; e Voigt, P., von dem Bussche, A., The EU General Data Protection Regulation (GDPR) – A Practical Guide, Springer, 2017, pagg. da 190 a 192. 27 Sentenza del 1° ottobre 2015 (C-230/14, EU:C:2015:639, punti da 42 a 60). 28 Sentenza del 5 giugno 2018 (C-210/16, EU:C:2018:388, punti da 65 a 74). 29 V., ad esempio, Miglio, A., «The Competence of Supervisory Authorities and the One-stop-shop Mechanism», in EU Law Live – Weekend edition, n.. 28, 2020, pagg. da 10 a 14, pag. 11. 30 V. conclusioni dell’avvocato generale Bot nella causa Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2017:796, paragrafo 103). 31 Sentenza del 24 settembre 2019 (C-507/17, EU:C:2019:772, punto 68). 32 C-311/18, EU:C:2019:1145, paragrafo 155. 33 V. considerando 97 e 98 della proposta della Commissione (v. supra, nota a piè pagina 25).
34 V. documenti del Consiglio 15656/1/14 REV 1, del 28 novembre 2014, e 16526/14, del 4 e 5 dicembre 2014, pagg. 2, 8 e 9. 35 Ibidem, pag. 1. 36 V. documento del Consiglio 5419/1/16 REV 1 dell’8 aprile 2016, pagg. da 203 a 205. 37 V. supra, paragrafo 45 delle presenti conclusioni. 38 Documento del Consiglio 15656/1/14 REV 1, del 28 novembre 2014, pag. 2. 39 V. documento A7-0402/2013 del 22 novembre 2013, il quale si riferisce al meccanismo dello sportello unico come «un enorme passo avanti verso una coerente applicazione della legislazione sulla tutela dei dati all’interno dell’UE». 40 Documento EP-PE_TC1-COD(2012)0011 del 12 marzo 2014 (v., in particolare, emendamenti 148, 149, 158, 159 e 167). 41 Analogamente, presumo semplicemente che le disposizioni e i diritti della Carta invocati siano quelli degli interessati, che un’autorità di controllo è chiamata a tutelare, e non che l’autorità di controllo stessa sia titolare di tali diritti. L’idea che autorità amministrative, vale a dire emanazioni statali, beneficino di diritti (dell’uomo) fondamentali che potrebbero invocare nei confronti dello Stato (o piuttosto una nei confronti dell’altra o, in caso di effetto diretto orizzontale, anche nei confronti dei singoli) è infatti piuttosto singolare. A mio avviso, la risposta dovrebbe essere chiaramente negativa, ma riconosco che esistono approcci diversi all’interno degli Stati membri. Ad ogni modo, nell’ambito della presente causa, tale questione può non essere approfondita ulteriormente. 42 V., in tal senso, sentenza del 6 ottobre 2015, Schrems (C-362/14, EU:C:2015:650, punto 39). 43 V. considerando 7, 9 e 10 del RGPD (il corsivo è mio).
44 V., in tal senso, considerando 10, 11 e 13 del RGPD. 45 Il corsivo è mio. 46 V., in tal senso, sentenza del 27 settembre 2017, Puškár (C-73/16, EU:C:2017:725, punti da 54 a 76 e giurisprudenza citata). 47 V. articolo 79 e considerando 145 del RGPD. 48 Tenendo presente, al contempo, che in termini pratici, tale soluzione coincide con quello che sarebbe tipicamente il (di fatto protettivo) forum actoris nei contratti conclusi dai consumatori ai sensi del regime del regolamento di Bruxelles – v., in generale, sentenza del 25 gennaio 2018, Schrems (C-498/16, EU:C:2018:37). 49 V. considerando 141 e 143 del RGPD, nonché sentenza del 16 luglio 2020, Facebook Ireland e Schrems (C-311/18, EU:C:2020:559, punto 110). 50 V. considerando 143 e articolo 78 del RGPD. 51 Per un siffatto approccio in un altro contesto (decentralizzato) di regolamentazione, v. le mie conclusioni nella causa Astellas Pharma (C-557/16, EU:C:2017:957). 52 Riguardo a quest’ultima problematica, l’articolo 78, paragrafo 4, stabilisce che «[q]ualora siano promosse azioni avverso una decisione di un’autorità di controllo che era stata preceduta da un parere o da una decisione del Comitato nell’ambito del meccanismo di coerenza, l’autorità di controllo trasmette tale parere o decisione all’autorità giurisdizionale». In concreto, ciò probabilmente costituisce l’unico mezzo di controllo giurisdizionale delle decisioni del Comitato, dal momento che, come conferma in modo inquietante il considerando 143 del RGPD, «qualsiasi persona fisica o giuridica» (quindi anche gli interessati) può, qualora siano soddisfatte le condizioni previste dall’articolo 263 TFUE, impugnare una decisione giuridicamente vincolante del Comitato dinanzi agli organi giurisdizionali dell’Unione. Tuttavia, alla luce dell’interpretazione restrittiva da parte della Corte delle condizioni per la
legittimazione ad agire delle persone di cui all’articolo 263, quarto comma, TFUE, non è facile individuare le situazioni in cui i singoli potrebbero essere considerati direttamente interessati dalle decisioni del Comitato, poiché queste ultime decisioni dovranno in ogni caso essere «applicate» alla situazione di uno specifico interessato mediante una successiva decisione dell’ACC o di un’ACI. In una situazione del genere, come in molti altri settori del diritto dell’Unione [in modo critico su questo aspetto, v. le mie conclusioni nella causa Région de BruxellesCapitale/Commissione (C-352/19 P, EU: C: 2020: 588, paragrafi da 137 a 147)], l’unico modo per impugnare una decisione del Comitato sarebbe, in definitiva, attraverso una domanda di pronuncia pregiudiziale ai sensi dell’articolo 267 TFUE, nel limite in cui un giudice nazionale più curioso intenda «sollevare il velo» del proprio sindacato giurisdizionale, steso su di esso dall’autorità nazionale di controllo sotto forma di parere del Comitato «trasmesso» ai sensi dell’articolo 78, paragrafo 4, del RGPD. 53 V., in particolare, articolo 60, paragrafo 1, del RGPD. 54 Hijmans, H., «Comment to Article 56 of the GDPR», in Kuner, C., Bygrave, L., Docksey, C. (a cura di), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, pag. 918 55 Hustinx, P., «EU Data Protection Law: The Review of Directive 95/46/EC and the General Data Protection Regulation», in Cremona, M. (a cura di), New Technologies and EU Law, 2017, Oxford University Press, Oxford, pag. 123 (traduzione libera). 56 Per tale espressione, v. «Dibattito orientativo sul meccanismo di sportello unico» del Consiglio, doc. 10139/14 del 26 maggio 2014, pag. 4. 57 V., ad esempio, sentenza del 9 marzo 2010, Commissione/Germania (C-518/07, EU:C:2010:125, punto 24). Più recentemente, sentenza del 6 ottobre 2015, Schrems (C-362/14, EU:C:2015:650, punto 42). 58 V. supra, paragrafo 4 delle presenti conclusioni.
59 Il corsivo è mio. 60 In tale contesto, aggiungerei semplicemente che le autorità di controllo che ricevono un reclamo - indipendentemente dalla loro posizione di ACC o ACI - non solo sono tenute a esaminare tale reclamo con la dovuta diligenza (v. supra, paragrafo 69 delle presenti conclusioni), ma sono anche tenute a «vigilare sul pieno rispetto del RGPD con tutta la diligenza richiesta» (v., in tal senso, sentenza del 16 luglio 2020, Facebook Ireland e Schrems (C-311/18, EU:C:2020:559, punto 112) (il corsivo è mio). 61 Il corsivo è mio. 62 Il corsivo è mio. 63 V. Tosoni, L., «Comment to Article 60 of GDPR», in Kuner, C., Bygrave, L., Docksey, C. (a cura di), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, pag. 969. 64 Il corsivo è mio. 65 Dipendendo ciò, come chiarito dal considerando 138 del RGPD, dal tipo di misura interessata. Tuttavia, in termini realistici, sarebbe piuttosto sorprendente se un’ACC scegliesse di ignorare una decisione del Comitato, anche se non formalmente vincolante nell’ambito del RGPD(anche perché ciò che non è inizialmente vincolante potrebbe diventarlo in seguito). 66 V., in maniera analoga, più dettagliatamente, Van Eecke, P., Šimkus, A., «Comment to Article 64», in Kuner, C., Bygrave, L., Docksey, C. (a cura di), The EU General Data Protection Regulation (GDPR – A Commentary, Oxford University Press, Oxford, 2020, pag. 1011. 67 V. supra, paragrafi 106 e 107 delle presenti conclusioni. 68 V. supra, paragrafi da 35 a 38 delle presenti conclusioni.
69 V., altresì, Gruppo di lavoro articolo 29 per la protezione dei dati, Linee guida per l’individuazione dell’autorità di controllo capofila in relazione a uno specifico titolare del trattamento o responsabile del trattamento, WP 244 rev.01, del 5 aprile 2017, pag. 10. 70 Peraltro, non pretendo che gli esempi appena esposti rappresentino un elenco tassativo. Non potrebbe esistere un’ulteriore situazione in cui la decisione finale, presa in un determinato caso di trattamento transfrontaliero – sia essa mediante accordo tra l’ACC e le ACI, oppure a seguito di una composizione delle controversie da parte del Comitato – potrebbe affidare a una o più ACI il compito di eseguire determinati atti di contrasto nei rispettivi territori, incluso, ad esempio, la proposizione di azioni in sede giudiziale? 71 Come specificato in precedenza, paragrafi da 31 a 38 delle presenti conclusioni. 72 V. supra, paragrafi 32 e 33 delle presenti conclusioni. 73 Come dovrebbe essere, in generale, per qualsiasi trattamento in quanto tale, e la relativa definizione di (con)titolare del trattamento. Un efficace controllo delle finalità e degli strumenti del trattamento deve essere condotto rispetto a una determinata operazione di trattamento, e non in termini astratti e statici rispetto a un «trattamento» indefinito - v. sentenza del 29 luglio 2019, Fashion ID (C-40/17, EU:C:2019:629, punti da 71 a 74). 74 V. supra, paragrafi 111 e 112 delle presenti conclusioni. 75 V. supra, paragrafi 45 e 84 delle presenti conclusioni. 76 Si ritorna così, indirettamente, alla problematica iniziale relativa all’esatto motivo per cui tale stabilimento è in effetti oggetto di un procedimento in un tale Stato membro dopo che il RGPD è divenuto applicabile, come discusso in precedenza ai paragrafi da 32 a 34 delle presenti conclusioni.
77 Sentenza del 5 giugno 2018 (C-210/16, EU:C:2018:388). 78 Si raffronti, in particolare, il nuovo articolo 3, paragrafo 1, con il precedente articolo 4, paragrafo 1, lettera a), nonché il nuovo articolo 58, paragrafo 6, con il precedente articolo 28, paragrafo 3, terzo trattino. 79 Tuttavia, come suggerito in precedenza alla nota a piè pagina 70, è altrettanto ipotizzabile che un processo decisionale coordinato possa sfociare in misure di contrasto coordinate. 80 V., per analogia, sentenza del 14 febbraio 2012, Toshiba Corporation e a. (C-17/10, EU:C:2012:72, in particolare punto 60). 81 Per una dettagliata discussione, corredata di esempi, v. le mie conclusioni nella causa Nemec (C 256/15, EU:C:2016:619, paragrafi da 27 a 44). 82 V., altresì, supra, paragrafo 34 delle presenti conclusioni. 83 Nel dettaglio, v. le mie conclusioni nella causa Klohn (C-167/17, EU:C:2018:387, paragrafi da 36 a 46). 84 Sebbene, ovviamente, l’applicabilità diretta non sia l’effetto diretto, e le stesse condizioni per l’effetto diretto si applicano alle disposizioni dei regolamenti che prevedono o richiedono una loro attuazione – v., ad esempio, sentenze dell’11 gennaio 2001, Monte Arcosu (C-403/98, EU:C:2001:6, punti da 26 a 28); del 28 ottobre 2010, SGS Belgium e.a. (C-367/09, EU:C:2010:648, punti 33 e ss.); o del 14 aprile 2011, Vlaamse Dierenartsenvereniging e Janssens (C-42/10, C-45/10 e C-57/10, EU:C:2011:253, punti da 48 a 50).