occhio con logo facebook

Facebook e il trattamento transfrontaliero dei dati

Facebook e il trattamento transfrontaliero dei dati, chi è competente ad agire?

Per l’Avvocato generale della Corte di giustizia europea, l’autorità per la privacy d’Irlanda, dove Facebook ha lo stabilimento principale nell’Ue, ha competenza generale per agire contro Facebook per violazioni del regolamento europeo sul trattamento transfrontaliero dei dati. Ma questo non esclude un ruolo per le altre autorità

Il trattamento transfrontaliero dei dati personali e il ruolo di Facebook sono ancora sotto i riflettori della Corte di giustizia europea. O meglio dell’avvocato generale della Corte, che oggi è intervenuto sulla querelle che oppone Facebook all’Autorità di protezione dati del Belgio e ha proposto una soluzione giuridica alla Corte, che comincia ora a deliberare.

La domanda di fondo è: chi è competente ad agire?

Per l’avvocato generale, l’Autorità per la privacy d’Irlanda, dove Facebook ha lo stabilimento principale nella Ue, ha competenza generale per agire contro Facebook nei casi di violazioni dei regolamento europeo sulla protezione dei dati che riguardano il trattamento transfrontaliero dei dati. Allo stesso tempo, però, le altre autorità nazionali per la protezione dei dati hanno il diritto di intentare queste azioni nei rispettivi Stati, nel caso il regolamento consenta loro di farlo.

 

facebook

 

Facebook e il trattamento transfrontaliero dei dati

Il tema è complesso e riguarda, come detto, il trattamento transfrontaliero dei dati fatto da Facebook.

La questione inizia a settembre 2015 quanto l’Autorità per la protezione dei dati del Belgio ha intentato un’azione verso alcune società del gruppo Facebook, segnatamente Facebook Inc., Facebook Ireland Ltd, stabilimento principale del gruppo nell’Unione europea, e Facebook Belgium.

L’Autorità chiedeva a Facebook una serie di azioni relative ai dati degli utenti stabiliti in Belgio: cessare di collocare senza il loro consenso determinati cookie sul dispositivo usati quando navigano su una pagina Internet nel dominio Facebook.com o quando si ritrovano sul sito Internet di un terzo, nonché di raccogliere dati in modo eccessivo mediante social plugin e pixel su siti Internet di terzi. Ha chiesto inoltre di distruggere tutti i dati personali ottenuti mediante cookie e social plugin, per ogni utente di Internet stabilito in Belgio.

Il caso è pendente alla Corte d’appello di Bruxelles ma si limita a Facebook Belgium.

Facebook Belgium, a sua volta, sostiene che da quando è diventato applicabile il Regolamento generale sulla protezione dei dati (GDPR) solo l’autorità per la protezione dei dati dello Stato dello stabilimento principale di Facebook nell’Unione europea (l’autorità «capofila» per la protezione dei dati nell’Unione per Facebook), vale a dire l’Irish Data Protection Commission (Commissione irlandese per la protezione dei dati), è autorizzata ad agire in sede giudiziale nei confronti di Facebook per violazioni del Regolamento in relazione al trattamento transfrontaliero dei dati.

Il parere dell’avvocato generale

Qual è l’interpretazione data dall’avvocato generale? Per quest’ultimo «l’autorità capofila per la protezione dei dati detiene una competenza generale in materia di trattamento transfrontaliero dei dati, incluso agire in sede giudiziale per violazione del Regolamento»; implicitamente, «le altre autorità per la protezione dei dati interessate dispongono di un potere di agire in tal senso più limitato».

Questo però non significa che non abbiano poteri.

L’avvocato ritiene che l’autorità capofila per la protezione dei dati «non può essere ritenuta l’unico organo» incaricato dell’applicazione del Regolamento in situazioni transfrontaliere e deve «cooperare strettamente con le altre autorità per la protezione dei dati interessate, il cui contributo è determinante in quest’ambito».

Le autorità nazionali, anche quando non sono capofila, possono proporre azioni davanti alla giustizia del loro Stato in caso di trattamento transfrontaliero dei dati in varie situazioni. Nel dettaglio: se le autorità nazionali agiscono al di fuori dell’ambito di applicazione materiale del regolamento; se indagano sul trattamento transfrontaliero dei dati effettuato da autorità pubbliche, nell’interesse pubblico, nell’esercizio di pubblici poteri o da parte di titolari del trattamento che non sono stabiliti nell’Unione; se adottano misure urgenti; se intervengono a seguito della decisione dell’autorità capofila per la protezione dei dati di non trattare un caso.

A tali condizioni, l’avvocato generale ritiene che il regolamento europeo sulla protezione dei dati «consenta all’autorità per la protezione dei dati di uno Stato membro di agire in sede giudiziale dinanzi a un giudice di tale Stato per una presunta violazione del Regolamento riguardo al trattamento transfrontaliero dei dati, anche se essa non è l’autorità capofila per la protezione dei dati cui è attribuito il potere generale di intentare tali azioni, a condizione che ciò avvenga nei casi in cui il Regolamento le conferisce specificatamente competenze a tal fine» e secondo le procedure stabilite.


Vuoi ricevere altri aggiornamenti su questi temi?
Iscriviti alla newsletter!



Dopo aver inviato il modulo, controlla la tua casella per confermare l'iscrizione
Privacy Policy

Parliamone ;-)