Lo scorso 12 maggio l’Autorità irlandese per la protezione dei dati personali (DPC) ha sanzionato META per ben 1,2 miliardi di euro, la sanzione più alta mai irrogata in materia di Data Protection da un’autorità di controllo europea. La decisione della DPC è tuttavia frutto di un intenso lavoro di collaborazione tra tutte le autorità di controllo europee che ha portato l’European Data Protection Board (EDPB) a adottare una decisione vincolante ai sensi dell’articolo 65, paragrafo 1 del GDPR.
Il sistema di cooperazione tra le autorità di controllo europee
Premesso che ogni autorità di controllo per la protezione dei dati personali ha competenza nel proprio paese, in determinate circostanze può rendersi necessaria la cooperazione tra le omologhe autorità dei diversi paesi europei al fine di garantire al meglio la corretta applicazione e osservanza di quanto previsto dal Regolamento (UE) 2016/679 (GDPR e/o Regolamento). Ciò accade soprattutto nei casi in cui l’autorità di controllo competente si trovi ad esaminare dei trattamenti che coinvolgono gli interessi di persone residenti in più Stati membri e/o in tutto il territorio europeo.
A mente dell’art. 60 del GDPR, le singole autorità nazionali possono chiedere la collaborazione delle altre autorità di controllo interessate dai trattamenti posti in essere dal titolare soggetto all’esame dell’autorità principale (definita “Capofila”), in particolare nel caso di trattamenti di dati a carattere transfrontaliero. Tale collaborazione si sostanzia in un fitto e reciproco scambio di informazioni utili ai fini dell’adozione del provvedimento finale. Nel caso in cui una delle autorità di controllo chiamate a cooperare sollevi un’obiezione motivata e pertinente al progetto di decisione definito dal gruppo di collaborazione tra autorità, l’autorità Capofila, qualora non intenda dar seguito all’obiezione o la ritenga non adeguatamente motivata o pertinente, è tenuta a promuovere il c.d. meccanismo di coerenza di cui agli articoli 63 e ss. del GDPR.
Il meccanismo di composizione delle controversie da parte dell’EDPB
Nell’ambito del meccanismo di coerenza previsto dal GDPR, in considerazione del livello di gravità delle violazioni riscontrate e degli eventuali motivi di urgenza, l’EDPB può essere chiamata i) ad emettere un parere in merito ad un progetto di decisione predisposto dalle autorità di controllo (art. 64 GDPR), ii) a adottare una decisione vincolante (Art. 65 GDPR), iii) anche d’urgenza, ai sensi dell’art. 66 GDPR, qualora sussistano rischi gravi per i diritti e le libertà degli interessati.
La decisione vincolante può essere adottata dall’EDPB, ai sensi dell’articolo 65, comma 1, del GDPR, al fine di assicurare l’applicazione corretta e coerente del Regolamento nel caso concreto sottoposto alla sua attenzione qualora a) un'autorità di controllo interessata abbia sollevato un'obiezione pertinente e motivata a un progetto di decisione dell'autorità di controllo capofila e l'autorità capofila di controllo non abbia dato seguito all'obiezione o abbia rigettato tale obiezione in quanto non pertinente o non motivata, ex articolo 60, paragrafo 4 GDPR; b) se vi sono opinioni contrastanti in merito alla competenza delle autorità di controllo interessate; c) un'autorità di controllo competente non richiede il parere del comitato nei casi di cui all'articolo 64, paragrafo 1, o non si conforma al parere del comitato emesso a norma dell'articolo 64.
L'autorità di controllo interessata sarà poi tenuta a adottare il suo provvedimento definitivo conformemente alla decisione vincolante dell’EDPB, senza ingiustificato ritardo e al più tardi entro un mese dalla notifica della decisione da parte del Comitato Europeo per la Protezione dei Dati.
Il caso META
Nel caso del colosso di Mark Zuckerberg, l'autorità per la protezione dei dati irlandese giudicava inizialmente non necessaria e sproporzionata l'imposizione di una eventuale sanzione amministrativa pecuniaria nei confronti Meta Ireland, ritenendo invece sufficiente la sospensione dei trasferimenti di dati verso gli Stati Uniti. Tuttavia, le altre autorità di protezione dei dati interessate dalla vicenda, in disaccordo con il progetto di decisione della DPC, sollevavano obiezioni motivate ai sensi dell'articolo 60, paragrafo 4, del GDPR. La DPC, ritenendo non pertinenti tali obiezioni, richiedeva all’EDPB di adottare una decisione vincolante ai sensi dell’art. 65, paragrafo 1, lettera a) del GDPR che ha definito la vicenda con la più alta sanzione mai determinata a livello europeo in materia di protezione dei dati personali.
Dunque, il caso Meta ci ha mostrato quanto le singole autorità di controllo europee siano collegate l’una all’altra da rapporti di cooperazione e collaborazione. È bene tener presente tale circostanza, in particolare, quando si cerca di prevedere il rischio sanzionatorio celato dietro una condotta in violazione della normativa vigente in materia di protezione dei dati personali. Se il titolare effettua uno o più trattamenti di dati personali che hanno effetti nel territorio europeo, quest’ultimo dovrà considerare, con la massima attenzione, gli orientamenti delle diverse autorità di controllo europee e non limitarsi a quelle dell’autorità competente nello Stato membro nel quale ha il proprio stabilimento. Il sistema di collaborazione tra le autorità nazionali e il meccanismo di composizione delle controversie riconosciuto in capo all’EDPB impongono ai titolari del trattamento di pensare all’Europa come un “paese unico” e alle singole autorità di controllo come i prolungamenti di un unico organismo che è l’Unione Europea.
