Privacy: più poteri alle Autorità nazionali e le Big Tech tremano

Vi spieghiamo cos’è successo tra la Corte UE e Facebook, e perché la sentenza pro-Garanti privacy interessa anche altre grandi aziende.

Parliamo di

Con una sentenza che possiamo definire per certi versi storica, visto che coinvolge indirettamente (per ora) anche altre Big Tech internazionali che hanno sede sull’isola, la Corte di giustizia dell’Unione europea (CGUE) ha di fatto sancito che la protezione dei dati personali non è più competenza esclusiva del Garante irlandese per la privacy, ma di tutte le Autorità nazionali UE. In presenza di determinate condizioni, come la violazione dell’RGPD (regolamento generale sulla protezione dei dati), un’Autorità nazionale di controllo (ad esempio il nostro Garante della Privacy) può esercitare il suo potere e intentare un’azione legale dinanzi ad un giudice di uno Stato membro. Ma cos’è questo regolamento, come funziona e perché è così importante la sentenza emessa l’altro ieri dalla Corte UE?

CGUE: cos’è e come funziona

Per capire a fondo la questione bisogna prima comprendere meglio cos’è la Corte di giustizia dell’Unione europea, cosa fa e come opera. La CGUE è un’istituzione dell’Unione europea con sede in Lussemburgo, e ha il compito di garantire l’osservanza del diritto comunitario nell’interpretazione e nell’applicazione dei trattati fondativi dell’Unione europea. Tra le sue mansioni, quindi, ci sono anche quelle legate a dirimere questioni procedurali di diritto nazionale e internazionale nell’ambito del territorio europeo, come nel caso dell’applicazione dell’RGPD.

Cos’è e cosa significa RGPD?

RGPD (GDPR in inglese, ovverosia General Data Protection Regulation) significa Regolamento generale sulla protezione dei dati, e definisce i requisiti dettagliati per le aziende e le organizzazioni in materia di raccolta, archiviazione e gestione dei dati personali, ovverosia qualsiasi informazione che riguardi una persona identificabile o non identificabile, detta anche l’interessato. I dati personali includono informazioni come:

  • nome e cognome
  • indirizzo
  • numero della carta d’identità/del passaporto
  • reddito
  • profilo culturale
  • indirizzo di protocollo Internet (IP)
  • dati in possesso di un medico o di un ospedale (che identificano in modo univoco una persona a fini sanitari).

Vale sia per le organizzazioni europee che trattano i dati personali dei cittadini nel Vecchio Continente, sia per le organizzazioni esterne che si rivolgono a persone che però vivono nell’UE, che in questo caso devono nominare un rappresentante all’interno dell’Unione europea stessa. Il quadro normativo prevede anche la presenza di uno Sportello Unico Autorità Garante EU, competente nei casi locali in cui il titolare o il responsabile del trattamento abbia sedi in più di uno Stato membro, ma l’oggetto della disputa riguardi unicamente il trattamento effettuato in un singolo Paese membro.

Trattamento dei dati e diritti

Le norme dell’UE per la protezione dei dati prevedono che i dati debbano essere trattati in modo equo e lecito, per una finalità specifica e legittima, e che si debbano trattare solo quelli necessari a raggiungere tale obiettivo. Gli individui devono ricevere informazioni chiare su chi tratta i loro dati personali e perché, così da assicurare che capiscano ciò a cui stanno acconsentendo. Ciò significa che il consenso deve essere dato in maniera libera, specifica, informata e inequivocabile tramite una richiesta presentata con un linguaggio chiaro e semplice.
Per raccogliere dati personali sui minori che si basano sul consenso, per esempio legati all’uso di un account sui social media o un account di download, è necessario prima ricevere il consenso dei genitori, ad esempio inviando una notifica a un genitore o a un tutore. Infine, bisogna garantire gratuitamente agli individui il diritto all’accesso ai propri dati personali.

La questione Privacy e Facebook Irlanda

L’11 settembre del 2015, il presidente della Commissione belga per la tutela della vita privata intenta un’azione inibitoria nei confronti delle società Facebook Ireland, Facebook Inc. e Facebook Belgium dinanzi al Nederlandstalige rechtbank van eersteaanleg Brussel (Tribunale di primo grado di Bruxelles). L’obiettivo è bloccare le violazioni, a suo dire, commesse da Facebook della normativa relativa alla protezione dei dati. In particolare, la raccolta e l’uso di informazioni sul comportamento di navigazione degli utenti di Internet belgi, detentori o meno di un account Facebook, mediante varie tecnologie, quali i cookie, i social plugin o i pixel.

Il 16 febbraio 2018, il tribunale si dichiara competente a statuire su tale azione e, nel merito, dichiara che il social network Facebook non aveva sufficientemente informato gli utenti belgi della raccolta e dell’uso delle informazioni di cui trattasi. Ma il 2 marzo 2018, Facebook Ireland, Facebook Inc. e Facebook Belgium impugnano la sentenza e fanno ricorso presso la Hof van beroep te Brussel (Corte d’appello di Bruxelles), che settimane dopo accoglie parzialmente la richiesta dell’azienda di Mark Zuckerberg, rinviando la questione alla Corte UE.

Il giudice, infatti, manifesta dubbi anche in merito all’incidenza dell’applicazione del meccanismo dello “sportello unico” previsto dall’RGPD2 sulle competenze in materia, chiedendosi se, per i fatti antecedenti all’entrata in vigore in quel periodo del nuovo regolamento sulla privacy (ossia il 25 maggio 2018), l’Autorità belga possa agire nei confronti di Facebook Belgium. Il magistrato asserisce che è Facebook Ireland titolare del trattamento dei dati interessati, e dunque solo il Commissario irlandese per la protezione dei dati sarebbe competente ad intentare un’azione inibitoria, sotto il controllo dei giudici irlandesi.

La sentenza che ribalta tutto

E veniamo ai giorni nostri: nella sua sentenza, pronunciata in Grande Sezione, la Corte UE chiude la vicenda e definisce del tutto i principi legislativi utili all’applicazione coerente del regolamento in tutta l’UE e alla cooperazione tra un’Autorità capofila e le altre Authority di protezione dei dati coinvolte di volta in volta. Esattamente come prevede il meccanismo dello sportello unico, fino a ora mai utilizzato, che occupandosi di trattamenti transnazionali rappresenta un elemento fondamentale in questo nuovo quadro normativo. Nel caso di specie, le attività dello stabilimento del gruppo Facebook in Belgio sono inscindibilmente connesse al trattamento dei dati per il quale il titolare è Facebook Ireland per quanto riguarda il territorio dell’Unione. Pertanto, rientrando nell’ambito dell’applicazione dell’RGPD sulla privacy, l’Authority irlandese deve agire assieme a quella belga, che a sua volta può intentare causa al colosso americano.

Ti potrebbe interessare