SENTENZA DELLA CORTE (Grande
Sezione)
15
giugno 2021 (*)
«Rinvio
pregiudiziale – Tutela delle persone fisiche con riguardo al trattamento
dei dati personali – Carta dei diritti fondamentali dell’Unione
europea – Articoli 7, 8 e 47 – Regolamento (UE) 2016/679 –
Trattamento transfrontaliero di dati personali – Meccanismo dello
“sportello unico” – Cooperazione leale ed efficace tra le autorità di
controllo – Competenze e poteri – Potere di agire in sede giudiziale»
Nella
causa C‑645/19,
avente
ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi
dell’articolo 267 TFUE, dallo hof van beroep te Brussel (Corte di
appello di Bruxelles, Belgio), con decisione dell’8 maggio 2019, pervenuta in
cancelleria il 30 agosto 2019, nel procedimento
Facebook
Ireland Ltd.,
Facebook
Inc.,
Facebook
Belgium BVBA
contro
Gegevensbeschermingsautoriteit,
LA CORTE
(Grande Sezione),
composta
da K. Lenaerts, presidente, R. Silva de Lapuerta, vicepresidente, A. Arabadjiev,
A. Prechal, M. Vilaras,
M. Ilešič e N. Wahl, presidenti di
sezione, E. Juhász, D. Šváby,
S. Rodin, F. Biltgen, K. Jürimäe, C. Lycourgos, P.G. Xuereb e L.S. Rossi (relatrice), giudici,
avvocato
generale: M. Bobek
cancelliere:
M. Ferreira, amministratrice principale
vista la
fase scritta del procedimento e in seguito all’udienza del 5 ottobre 2020,
considerate
le osservazioni presentate:
– per
Facebook Ireland Ltd, Facebook Inc. e Facebook Belgium BVBA, da S. Raes,
P. Lefebvre e D. Van Liedekerke, advocaten;
– per
la Gegevensbeschermingsautoriteit, da F. Debusseré e R. Roex, advocaten;
– per
il governo belga, da J.-C. Halleux, P. Cottin e C. Pochet, in
qualità di agenti, assistiti da P. Paepe, advocaat;
– per
il governo ceco, da M. Smolek, O. Serdula e J. Vláčil, in
qualità di agenti;
– per
il governo italiano, da G. Palmieri, in qualità di agente, assistita da
G. Natale, avvocato dello Stato;
– per
il governo polacco, da B. Majczyna, in qualità
di agente;
– per
il governo portoghese, da L. Inez Fernandes, A.C. Guerra,
P. Barros da Costa e L. Medeiros, in
qualità di agenti;
– per
il governo finlandese, da A. Laine e
M. Pere, in qualità di agenti;
– per
la Commissione europea, da H. Kranenborg,
D. Nardi e P.J.O. Van Nuffel, in
qualità di agenti,
sentite
le conclusioni dell’avvocato generale, presentate all’udienza del 13 gennaio
2021,
ha
pronunciato la seguente
Sentenza
1 La
domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 55,
paragrafo 1, degli articoli da 56 a 58 e da 60 a 66 del regolamento (UE)
2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo
alla protezione delle persone fisiche con riguardo al trattamento dei dati
personali, nonché alla libera circolazione di tali dati e che abroga la
direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016,
L 119, pag. 1 e rettifiche in GU 2016, L 314, pag. 72, GU
2018, L 127, pag. 2 e GU 2021, L 74, pag. 35) in combinato
disposto con gli articoli 7, 8 e 47 della Carta dei diritti fondamentali dell’Unione
europea (in prosieguo: la «Carta»).
2 Tale
domanda è stata presentata nell’ambito di una controversia tra Facebook Ireland Ltd, Facebook Inc. e Facebook Belgium
BVBA, da un lato, e la Gegevensbeschermingsautoriteit
(autorità per la protezione dei dati, Belgio) (in prosieguo: l’«APD»),
succeduta alla Commissie ter bescherming
van de persoonlijke levenssfeer
(Commissione per la tutela della vita privata, Belgio) (in prosieguo: la
«CPVP»), dall’altro, in merito ad un’azione inibitoria intentata dal presidente
di quest’ultima e diretta a far cessare il trattamento di dati personali degli
internauti nel territorio belga, effettuato dal social network Facebook, per
mezzo di cookie, social plugin e pixel.
Contesto
normativo
Diritto
dell’Unione
3 I
considerando 1, 4, 10, 11, 13, 22, 123, 141 e 145 del regolamento 2016/679 così
recitano:
«(1) La
protezione delle persone fisiche con riguardo al trattamento dei dati di
carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della
[Carta] e l’articolo 16, paragrafo 1, [TFUE] stabiliscono che ogni persona ha
diritto alla protezione dei dati di carattere personale che la riguardano.
(...)
(4) Il trattamento
dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla
protezione dei dati di carattere personale non è una prerogativa assoluta, ma
va considerato alla luce della sua funzione sociale e va contemperato con altri
diritti fondamentali, in ossequio al principio di proporzionalità. Il presente
regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i
principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il
rispetto della vita privata e familiare, del domicilio e delle comunicazioni,
la protezione dei dati personali, la libertà di pensiero, di coscienza e di
religione, la libertà di espressione e d’informazione, la libertà d’impresa, il
diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità
culturale, religiosa e linguistica.
(...)
(10) Al fine di
assicurare un livello coerente ed elevato di protezione delle persone fisiche e
rimuovere gli ostacoli alla circolazione dei dati personali all’interno
dell’Unione [europea], il livello di protezione dei diritti e delle libertà
delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere
equivalente in tutti gli Stati membri. È opportuno assicurare un’applicazione
coerente e omogenea delle norme a protezione dei diritti e delle libertà
fondamentali delle persone fisiche con riguardo al trattamento dei dati
personali in tutta l’Unione. (...)
(11) Un’efficace
protezione dei dati personali in tutta l’Unione presuppone il rafforzamento e
la disciplina dettagliata dei diritti degli interessati e degli obblighi di
coloro che effettuano e determinano il trattamento dei dati personali, nonché
poteri equivalenti per controllare e assicurare il rispetto delle norme di
protezione dei dati personali e sanzioni equivalenti per le violazioni negli
Stati membri.
(...)
(13) Per
assicurare un livello coerente di protezione delle persone fisiche in tutta
l’Unione e prevenire disparità che possono ostacolare la libera circolazione
dei dati personali nel mercato interno, è necessario un regolamento che
garantisca certezza del diritto e trasparenza agli operatori economici,
comprese le micro, piccole e medie imprese, offra alle persone fisiche in tutti
gli Stati membri il medesimo livello di diritti azionabili e di obblighi e
responsabilità dei titolari del trattamento e dei responsabili del trattamento
e assicuri un controllo coerente del trattamento dei dati personali, sanzioni
equivalenti in tutti gli Stati membri e una cooperazione efficace tra le
autorità di controllo dei diversi Stati membri. (…)
(...)
(22) Qualsiasi
trattamento di dati personali effettuato nell’ambito delle attività di uno
stabilimento di un titolare del trattamento o responsabile del trattamento nel
territorio dell’Unione dovrebbe essere conforme al presente regolamento,
indipendentemente dal fatto che il trattamento avvenga all’interno dell’Unione.
Lo stabilimento implica l’effettivo e reale svolgimento di attività nel quadro
di un’organizzazione stabile. A tale riguardo, non è determinante la forma
giuridica assunta, sia essa una succursale o una filiale dotata di personalità
giuridica.
(...)
(123) Le
autorità di controllo dovrebbero controllare l’applicazione delle disposizioni
del presente regolamento e contribuire alla sua coerente applicazione in tutta
l’Unione, così da tutelare le persone fisiche in relazione al trattamento dei
loro dati personali e facilitare la libera circolazione di tali dati nel
mercato interno. A tal fine, le autorità di controllo dovrebbero cooperare tra
loro e con la Commissione [europea], senza che siano necessari accordi tra gli
Stati membri sulla mutua assistenza o su tale tipo di cooperazione.
(...)
(141) Ciascun
interessato dovrebbe avere il diritto di proporre reclamo a un’unica autorità
di controllo, in particolare nello Stato membro in cui risiede abitualmente, e
il diritto a un ricorso giurisdizionale effettivo a norma dell’articolo 47
della Carta qualora ritenga che siano stati violati i diritti di cui gode a
norma del presente regolamento o se l’autorità di controllo non dà seguito a un
reclamo, lo respinge in tutto o in parte o lo archivia o non agisce quando è
necessario intervenire per proteggere i diritti dell’interessato. (...)
(...)
(145) Nelle
azioni contro un titolare del trattamento o responsabile del trattamento, il
ricorrente dovrebbe poter avviare un’azione legale dinanzi all’autorità
giurisdizionale dello Stato membro in cui il titolare del trattamento o il
responsabile del trattamento ha uno stabilimento o in cui risiede l’interessato,
salvo che il titolare del trattamento sia un’autorità pubblica di uno Stato
membro che agisce nell’esercizio dei suoi poteri pubblici».
4 L’articolo
3 di tale regolamento, intitolato «Ambito di applicazione territoriale», al suo
paragrafo 1, prevede quanto segue:
«Il
presente regolamento si applica al trattamento dei dati personali effettuato
nell’ambito delle attività di uno stabilimento da parte di un titolare del
trattamento o di un responsabile del trattamento nell’Unione, indipendentemente
dal fatto che il trattamento sia effettuato o meno nell’Unione».
5 L’articolo
4 di detto regolamento definisce, al suo punto 16, la nozione di «stabilimento
principale» e, al suo punto 23, quella di «trattamento transfrontaliero» nei
seguenti termini:
«16) “stabilimento
principale”,
a) per quanto
riguarda un titolare del trattamento con stabilimenti in più di uno Stato
membro, il luogo della sua amministrazione centrale nell’Unione, salvo che le
decisioni sulle finalità e i mezzi del trattamento di dati personali siano
adottate in un altro stabilimento del titolare del trattamento nell’Unione e
che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali
decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è
considerato essere lo stabilimento principale;
b) con
riferimento a un responsabile del trattamento con stabilimenti in più di uno
Stato membro, il luogo in cui ha sede la sua amministrazione centrale
nell’Unione o, se il responsabile del trattamento non ha un’amministrazione
centrale nell’Unione, lo stabilimento del responsabile del trattamento
nell’Unione in cui sono condotte le principali attività di trattamento nel
contesto delle attività di uno stabilimento del responsabile del trattamento
nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi
del presente regolamento;
(...)
23) “trattamento
transfrontaliero”,
a) trattamento di
dati personali che ha luogo nell’ambito delle attività di stabilimenti in più
di uno Stato membro di un titolare del trattamento o responsabile del
trattamento nell’Unione ove il titolare del trattamento o il responsabile del
trattamento siano stabiliti in più di uno Stato membro; oppure
b) trattamento
di dati personali che ha luogo nell’ambito delle attività di un unico
stabilimento di un titolare del trattamento o responsabile del trattamento
nell’Unione, ma che incide o probabilmente incide in modo sostanziale su
interessati in più di uno Stato membro».
6 L’articolo
51 del medesimo regolamento, intitolato «Autorità di controllo», prevede quanto
segue:
«1. Ogni
Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate
di sorvegliare l’applicazione del presente regolamento al fine di tutelare i
diritti e le libertà fondamentali delle persone fisiche con riguardo al
trattamento e di agevolare la libera circolazione dei dati personali
all’interno dell’Unione (…).
2. Ogni
autorità di controllo contribuisce alla coerente applicazione del presente
regolamento in tutta l’Unione. A tale scopo, le autorità di controllo cooperano
tra loro e con la Commissione, conformemente al capo VII.
(...)».
7 L’articolo
55 del regolamento 2016/679, intitolato «Competenza», che fa parte del
capo VI di tale regolamento, a sua volta intitolato «Autorità di controllo
indipendenti», prevede quanto segue:
«1. Ogni
autorità di controllo è competente a eseguire i compiti assegnati e a
esercitare i poteri a essa conferiti a norma del presente regolamento nel
territorio del rispettivo Stato membro.
2. Se
il trattamento è effettuato da autorità pubbliche o organismi privati che agiscono sulla base dell’articolo 6, paragrafo 1, lettera
c) o e), è competente l’autorità di controllo dello Stato membro interessato.
In tal caso, non si applica l’articolo 56».
8 L’articolo
56 del regolamento di cui trattasi, intitolato «Competenza dell’autorità di
controllo capofila», è del seguente tenore:
«1. Fatto
salvo l’articolo 55, l’autorità di controllo dello stabilimento principale o
dello stabilimento unico del titolare del trattamento o responsabile del
trattamento è competente ad agire in qualità di autorità di controllo capofila
per i trattamenti transfrontalieri effettuati dal suddetto titolare del
trattamento o responsabile del trattamento, secondo la procedura di cui
all’articolo 60.
2. In
deroga al paragrafo 1, ogni autorità di controllo è competente per la gestione
dei reclami a essa proposti o di eventuali violazioni del presente regolamento
se l’oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide
in modo sostanziale sugli interessati unicamente nel suo Stato membro.
3. Nei
casi indicati al paragrafo 2 del presente articolo, l’autorità di controllo
informa senza ritardo l’autorità di controllo capofila in merito alla
questione. Entro un termine di tre settimane da quando è stata informata,
l’autorità di controllo capofila decide se intende o meno trattare il caso
secondo la procedura di cui all’articolo 60, tenendo conto dell’esistenza o
meno di uno stabilimento del titolare del trattamento o responsabile del
trattamento nello Stato membro dell’autorità di controllo che l’ha informata.
4. Qualora
l’autorità di controllo capofila decida di trattare il caso, si applica la
procedura di cui all’articolo 60. L’autorità di controllo che ha informato
l’autorità di controllo capofila può presentare a quest’ultima un progetto di
decisione. L’autorità di controllo capofila tiene nella massima considerazione
tale progetto nella predisposizione del progetto di decisione di cui
all’articolo 60, paragrafo 3.
5. Nel
caso in cui l’autorità di controllo capofila decida di non trattarlo,
l’autorità di controllo che ha informato l’autorità di controllo capofila
tratta il caso conformemente agli articoli 61 e 62.
6. L’autorità
di controllo capofila è l’unico interlocutore del titolare del trattamento o
del responsabile del trattamento in merito al trattamento transfrontaliero
effettuato da tale titolare del trattamento o responsabile del trattamento».
9 L’articolo
57 del regolamento 2016/679, intitolato «Compiti», al suo paragrafo 1, è così
formulato:
«1. Fatti
salvi gli altri compiti indicati nel presente regolamento, sul proprio
territorio ogni autorità di controllo:
a) sorveglia
e assicura l’applicazione del presente regolamento;
(...)
g) collabora,
anche tramite scambi di informazioni, con le altre autorità di controllo e presta
assistenza reciproca al fine di garantire l’applicazione e l’attuazione
coerente del presente regolamento;
(...)».
10 L’articolo
58 dello stesso regolamento, intitolato «Poteri», ai suoi paragrafi 1, 4 e 5,
prevede quanto segue:
«1. Ogni
autorità di controllo ha tutti i poteri di indagine seguenti:
a) ingiungere
al titolare del trattamento e al responsabile del trattamento e, ove
applicabile, al rappresentante del titolare del trattamento o del responsabile
del trattamento, di fornirle ogni informazione di cui necessiti per
l’esecuzione dei suoi compiti;
(...)
d) notificare
al titolare del trattamento o al responsabile del trattamento le presunte
violazioni del presente regolamento;
(...)
4. L’esercizio
da parte di un’autorità di controllo dei poteri attribuitile dal presente
articolo è soggetto a garanzie adeguate, inclusi il ricorso giurisdizionale
effettivo e il giusto processo, previste dal diritto dell’Unione e degli Stati
membri conformemente alla Carta.
5. Ogni
Stato membro dispone per legge che la sua autorità di controllo abbia il potere
di intentare un’azione o di agire in sede giudiziale o, ove del caso,
stragiudiziale in caso di violazione del presente regolamento per far
rispettare le disposizioni dello stesso».
11 Nel
capo VII del regolamento 2016/679, intitolato «Cooperazione e coerenza»,
la sezione I, intitolata «Cooperazione», comprende gli articoli da 60 a 62
del regolamento in esame. Il suddetto articolo 60, intitolato «Cooperazione tra
l’autorità di controllo capofila e le altre autorità di controllo interessate»,
così dispone:
«1. L’autorità
di controllo capofila coopera con le altre autorità di controllo interessate
conformemente al presente articolo nell’adoperarsi per raggiungere un consenso.
L’autorità di controllo capofila e le autorità di controllo interessate si
scambiano tutte le informazioni utili.
2. L’autorità
di controllo capofila può chiedere in qualunque momento alle altre autorità di
controllo interessate di fornire assistenza reciproca a norma dell’articolo 61
e può condurre operazioni congiunte a norma dell’articolo 62, in particolare
per lo svolgimento di indagini o il controllo dell’attuazione di una misura
riguardante un titolare del trattamento o responsabile del trattamento
stabilito in un altro Stato membro.
3. L’autorità
di controllo capofila comunica senza ritardo le informazioni utili sulla
questione alle altre autorità di controllo interessate. Trasmette senza indugio
alle altre autorità di controllo interessate un progetto di decisione per
ottenere il loro parere e tiene debitamente conto delle loro opinioni.
4. Se
una delle altre autorità di controllo interessate solleva un’obiezione
pertinente e motivata al progetto di decisione entro un termine di quattro
settimane dopo essere stata consultata conformemente al paragrafo 3 del
presente articolo, l’autorità di controllo capofila, ove non dia seguito
all’obiezione pertinente e motivata o ritenga l’obiezione non pertinente o non
motivata, sottopone la questione al meccanismo di coerenza di cui all’articolo
63.
5. L’autorità
di controllo capofila, qualora intenda dare seguito all’obiezione pertinente e
motivata sollevata, trasmette un progetto di decisione riveduto alle altre
autorità di controllo interessate per ottenere il loro parere. Tale progetto di
decisione riveduto è soggetto alla procedura di cui al paragrafo 4 entro un
termine di due settimane.
6. Se
nessuna delle altre autorità di controllo interessate ha sollevato obiezioni al
progetto di decisione trasmesso dall’autorità di controllo capofila entro il
termine di cui ai paragrafi 4 e 5, si deve considerare che l’autorità di
controllo capofila e le autorità di controllo interessate concordano su tale
progetto di decisione e sono da esso vincolate.
7. L’autorità
di controllo capofila adotta la decisione e la notifica allo stabilimento
principale o allo stabilimento unico del titolare del trattamento o
responsabile del trattamento, a seconda dei casi, e informa le altre autorità
di controllo interessate e il comitato [del]la decisione in questione, compresa
una sintesi dei fatti e delle motivazioni pertinenti. L’autorità di controllo
cui è stato proposto un reclamo informa il reclamante riguardo alla decisione.
8. In
deroga al paragrafo 7, in caso di archiviazione o di rigetto di un reclamo,
l’autorità di controllo cui è stato proposto il reclamo adotta la decisione e
la notifica al reclamante e ne informa il titolare del trattamento.
9. Se
l’autorità di controllo capofila e le autorità di controllo interessate
convengono di archiviare o rigettare parti di un reclamo e di intervenire su
altre parti di tale reclamo, è adottata una decisione separata per ciascuna di
tali parti della questione. (...)
10. Dopo
aver ricevuto la notifica della decisione dell’autorità di controllo capofila a
norma dei paragrafi 7 e 9, il titolare del trattamento o responsabile del
trattamento adotta le misure necessarie per garantire la conformità alla
decisione per quanto riguarda le attività di trattamento nel contesto di tutti
i suoi stabilimenti nell’Unione. Il titolare del trattamento o responsabile del
trattamento notifica le misure adottate per conformarsi alla decisione
all’autorità di controllo capofila, che ne informa le altre autorità di controllo
interessate.
11. Qualora,
in circostanze eccezionali, un’autorità di controllo interessata abbia motivo
di ritenere che urga intervenire per tutelare gli interessi degli interessati,
si applica la procedura d’urgenza di cui all’articolo 66.
(...)».
12 L’articolo
61 di detto regolamento, intitolato «Assistenza reciproca», al suo paragrafo 1,
così recita:
«Le
autorità di controllo si scambiano le informazioni utili e si prestano
assistenza reciproca al fine di attuare e applicare il presente regolamento in
maniera coerente, e mettono in atto misure per cooperare efficacemente tra
loro. L’assistenza reciproca comprende, in particolare, le richieste di
informazioni e le misure di controllo, quali le richieste di autorizzazioni e
consultazioni preventive e le richieste di effettuare ispezioni e indagini».
13 L’articolo
62 del medesimo regolamento, intitolato «Operazioni congiunte delle autorità di
controllo», è del seguente tenore:
«1. Se
del caso, le autorità di controllo conducono operazioni congiunte, incluse
indagini congiunte e misure di contrasto congiunte, cui partecipano membri o
personale di autorità di controllo di altri Stati membri.
2. Qualora
il titolare del trattamento o responsabile del trattamento abbia stabilimenti
in vari Stati membri o qualora esista la probabilità che il trattamento abbia
su un numero significativo di interessati in più di uno Stato membro un impatto
negativo sostanziale, un’autorità di controllo di ogni Stato membro in
questione ha il diritto di partecipare alle operazioni congiunte. (...)
(…)».
14 La
sezione 2 del capo VII del regolamento 2016/679, intitolata «Coerenza»,
comprende gli articoli da 63 a 67 del regolamento medesimo. L’articolo 63,
intitolato «Meccanismo di coerenza», è formulato come segue:
«Al fine
di contribuire all’applicazione coerente del presente regolamento in tutta
l’Unione, le autorità di controllo cooperano tra loro e, se del caso, con la
Commissione mediante il meccanismo di coerenza stabilito nella presente
sezione».
15 Ai
sensi dell’articolo 64, paragrafo 2, del suddetto regolamento:
«Qualsiasi
autorità di controllo, il presidente del comitato [europeo per la protezione
dei dati] o la Commissione può richiedere che le questioni di applicazione
generale o che producono effetti in più di uno Stato membro siano esaminate dal
comitato [europeo per la protezione dei dati] al fine di ottenere un parere, in
particolare se un’autorità di controllo competente non si conforma agli
obblighi relativi all’assistenza reciproca ai sensi dell’articolo 61 o alle
operazioni congiunte ai sensi dell’articolo 62».
16 L’articolo
65 dello stesso regolamento, intitolato «Composizione delle controversie da
parte del comitato», al suo paragrafo 1, così dispone:
«Al fine
di assicurare l’applicazione corretta e coerente del presente regolamento nei
singoli casi, il comitato [europeo per la protezione dei dati] adotta una
decisione vincolante nei seguenti casi:
a) se, in un
caso di cui all’articolo 60, paragrafo 4, un’autorità di controllo interessata
ha sollevato un’obiezione pertinente e motivata a un progetto di decisione
dell’autorità capofila e l’autorità capofila di controllo non abbia dato
seguito all’obiezione o l’autorità capofila abbia rigettato tale obiezione in
quanto non pertinente o non motivata. La decisione vincolante riguarda tutte le
questioni oggetto dell’obiezione pertinente e motivata, in particolare se
sussista una violazione del presente regolamento;
b) se vi sono
opinioni contrastanti in merito alla competenza delle autorità di controllo
interessate per lo stabilimento principale;
(...)».
17 L’articolo
66 del regolamento 2016/679, intitolato «Procedura d’urgenza», ai suoi
paragrafi 1 e 2, stabilisce quanto segue:
«1. In
circostanze eccezionali, qualora ritenga che urga intervenire per proteggere i
diritti e le libertà degli interessati, un’autorità di controllo interessata
può, in deroga al meccanismo di coerenza di cui agli articoli 63, 64 e 65, o
alla procedura di cui all’articolo 60, adottare immediatamente misure
provvisorie intese a produrre effetti giuridici nel proprio territorio, con un
periodo di validità determinato che non supera i tre mesi. L’autorità di
controllo comunica senza ritardo tali misure e la motivazione della loro
adozione alle altre autorità di controllo interessate, al comitato [europeo per
la protezione dei dati] e alla Commissione.
2. Qualora
abbia adottato una misura ai sensi del paragrafo 1 e ritenga che urga adottare
misure definitive, l’autorità di controllo può chiedere un parere d’urgenza o
una decisione vincolante d’urgenza del comitato [europeo per la protezione dei
dati], motivando tale richiesta».
18 L’articolo
77 del predetto regolamento, intitolato «Diritto di
proporre reclamo all’autorità di controllo», è del seguente tenore:
«1. Fatto
salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga
che il trattamento che lo riguarda violi il presente regolamento ha il diritto
di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro
in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la
presunta violazione.
2. L’autorità
di controllo a cui è stato proposto il reclamo informa il reclamante dello
stato o dell’esito del reclamo, compresa la possibilità di un ricorso
giurisdizionale ai sensi dell’articolo 78».
19 L’articolo
78 di tale regolamento, intitolato «Diritto a un ricorso giurisdizionale
effettivo nei confronti dell’autorità di controllo», così dispone:
«1. Fatto
salvo ogni altro ricorso amministrativo o extragiudiziale, ogni persona fisica
o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo
avverso una decisione giuridicamente vincolante dell’autorità di controllo che
la riguarda.
2. Fatto
salvo ogni altro ricorso amministrativo o extragiudiziale, ciascun interessato
ha il diritto di proporre un ricorso giurisdizionale effettivo qualora
l’autorità di controllo che sia competente ai sensi degli articoli 55 e 56 non
tratti un reclamo o non lo informi entro tre mesi dello stato o dell’esito del
reclamo proposto ai sensi dell’articolo 77.
3. Le
azioni nei confronti dell’autorità di controllo sono promosse dinanzi alle
autorità giurisdizionali dello Stato membro in cui l’autorità di controllo è
stabilita.
4. Qualora
siano promosse azioni avverso una decisione di un’autorità di controllo che era
stata preceduta da un parere o da una decisione del comitato [europeo per la
protezione dei dati] nell’ambito del meccanismo di coerenza, l’autorità di
controllo trasmette tale parere o decisione all’autorità giurisdizionale».
20 L’articolo
79 dello stesso regolamento, intitolato «Diritto a un ricorso giurisdizionale
effettivo nei confronti del titolare del trattamento o del responsabile del
trattamento», così recita:
«1. Fatto
salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso
il diritto di proporre reclamo a un’autorità di controllo ai sensi
dell’articolo 77, ogni interessato ha il diritto di proporre un ricorso
giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del
presente regolamento siano stati violati a seguito di un trattamento.
2. Le
azioni nei confronti del titolare del trattamento o del responsabile del
trattamento sono promosse dinanzi alle autorità giurisdizionali dello Stato
membro in cui il titolare del trattamento o il responsabile del trattamento ha
uno stabilimento. In alternativa, tali azioni possono essere promosse dinanzi
alle autorità giurisdizionali dello Stato membro in cui l’interessato risiede
abitualmente, salvo che il titolare del trattamento o il responsabile del
trattamento sia un’autorità pubblica di uno Stato membro nell’esercizio dei
pubblici poteri».
Diritto
belga
21 La
wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens
(legge relativa alla tutela della vita privata con riguardo ai trattamenti di
dati personali), dell’8 dicembre 1992 (Belgisch
Staatsblad, 18 marzo 1993, pag. 5801), come
modificata dalla legge dell’11 dicembre 1998 (Belgisch
Staatsblad, 3 febbraio 1999, pag. 3049) (in
prosieguo: la «legge dell’8 dicembre 1992»), ha recepito nel diritto belga la
direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995,
relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati
personali, nonché alla libera circolazione di tali dati (GU 1995, L 281,
pag. 31).
22 La
legge dell’8 dicembre 1992 ha istituito la CPVP, un organismo indipendente
incaricato di garantire che i dati personali siano trattati nel rispetto di
tale legge, in modo da salvaguardare la vita privata dei cittadini.
23 L’articolo
32, paragrafo 3, della legge dell’8 dicembre 1992 così disponeva:
«Fatta
salva la competenza dei giudici ordinari per l’applicazione dei principi
generali in materia di tutela della vita privata, il presidente della [CPVP]
può sottoporre al giudice di primo grado qualsiasi controversia relativa
all’applicazione della presente legge e delle sue misure di esecuzione».
24 La
wet tot oprichting van de Gegevensbeschermingsautoriteit (legge che istituisce
l’autorità per la protezione dei dati), del 3 dicembre 2017 (Belgisch Staatsblad, 10
gennaio 2018, pag. 989; in prosieguo: la «legge
del 3 dicembre 2017»), entrata in vigore il 25 maggio 2018, ha istituito l’APD
quale autorità di controllo, ai sensi del regolamento 2016/679.
25 L’articolo
3 della legge del 3 dicembre 2017 prevede quanto segue:
«Presso
la Camera dei rappresentanti è istituita un’“Autorità per la protezione dei
dati”. Essa succede alla [CPVP]».
26 L’articolo
6 della legge del 3 dicembre 2017 così dispone:
«L’[APD]
è competente a intentare un’azione dinanzi alle autorità giudiziarie in caso di
violazioni dei principi fondamentali della protezione dei dati personali, nel
quadro della presente legge e delle leggi recanti disposizioni sulla tutela del
trattamento dei dati personali e, se del caso, ad agire in sede giudiziale per
far rispettare detti principi fondamentali».
27 Nessuna
disposizione specifica è prevista per i procedimenti giurisdizionali già
avviati dal presidente della CPVP alla data del 25 maggio 2018 sulla base
dell’articolo 32, paragrafo 3, della legge dell’8 dicembre 1992. Per quanto
riguarda unicamente le denunce o le domande presentate all’APD stessa,
l’articolo 112 della legge del 3 dicembre 2017 così recita:
«Il
capo VI non si applica alle denunce o alle domande ancora pendenti presso
l’[APD] al momento dell’entrata in vigore della presente legge. Le denunce o le
domande di cui al comma 1 sono trattate dall’[APD], in qualità di successore
legale della [CPVP], secondo la procedura applicabile prima dell’entrata in
vigore della presente legge».
28 La
legge dell’8 dicembre 1992 è stata abrogata dalla wet
betreffende de bescherming
van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens
(legge relativa alla tutela delle persone fisiche con riguardo al trattamento
di dati personali), del 30 luglio 2018 (Belgisch
Staatsblad, 5 settembre 2018,
pag. 68616; in prosieguo: la «legge del 30 luglio
2018»). Quest’ultima legge mira ad attuare nel diritto belga le disposizioni
del regolamento 2016/679 che impongono o consentono agli Stati membri di
adottare norme più dettagliate, ad integrazione di tale regolamento.
Procedimento
principale e questioni pregiudiziali
29 L’11
settembre 2015, il presidente della CPVP ha intentato un’azione inibitoria nei
confronti delle società Facebook Ireland, Facebook
Inc. e Facebook Belgium dinanzi al Nederlandstalige rechtbank van eerste aanleg Brussel
(Tribunale di primo grado di Bruxelles di lingua neerlandese, Belgio). Poiché
la CPVP non era dotata di personalità giuridica, spettava al suo presidente
proporre ricorsi al fine di garantire il rispetto della normativa in materia di
protezione dei dati personali. Tuttavia, la CPVP stessa ha chiesto l’intervento
volontario nel procedimento avviato dal suo presidente.
30 Tale
azione inibitoria mirava a porre fine a quanto descritto dalla CPVP,
segnatamente, come una «violazione grave e su larga scala, da parte di
Facebook, della normativa in materia di tutela della vita privata» consistente
nella raccolta, da parte di tale social network, di informazioni sul
comportamento di navigazione sia dei titolari di un account Facebook sia dei
non utenti dei servizi Facebook mediante diverse tecnologie, quali i cookie, i
social plugin (ad esempio, i pulsanti «Mi piace» o «Condividi») o anche i
pixel. Tali elementi consentono a detto social network di ottenere taluni dati
di un internauta che consulti una pagina di un sito Internet che li contiene,
come l’indirizzo di tale pagina, l’«indirizzo IP» del visitatore di detta
pagina nonché la data e l’ora della consultazione di cui trattasi.
31 Con
sentenza del 16 febbraio 2018, il Nederlandstalige rechtbank van eerste aanleg Brussel (Tribunale di
primo grado di Bruxelles di lingua neerlandese) si è dichiarato competente a
statuire su detta azione inibitoria, nella parte in cui riguardava Facebook Ireland, Facebook Inc. e Facebook Belgium,
e ha dichiarato irricevibile la domanda di intervento volontario presentata
dalla CPVP.
32 Nel
merito, tale giudice ha dichiarato che il social network in questione non
informava sufficientemente gli internauti belgi relativamente alla raccolta
delle informazioni di cui trattasi e all’uso di tali informazioni. Peraltro,
non è stato ritenuto valido il consenso prestato dagli internauti alla raccolta
e al trattamento di dette informazioni. Di conseguenza, è stato ingiunto a
Facebook Ireland, a Facebook Inc. e a Facebook Belgium, in primo luogo, di cessare, nei confronti di
qualsiasi internauta stabilito nel territorio belga, di inserire, senza il
consenso dell’utente, cookie che rimangono attivi per due anni sul dispositivo
da esso utilizzato quando naviga su una pagina Internet del nome di dominio
Facebook.com o quando giunge sul sito di un terzo, nonché di inserire cookie e
di raccogliere dati mediante social plugin, pixel o mezzi tecnologici analoghi
sui siti Internet di terzi, in misura eccessiva rispetto agli obiettivi in tal
modo perseguiti dal social network Facebook; in secondo luogo, di fornire
informazioni che potrebbero ragionevolmente indurre in errore le persone
considerate quanto alla portata reale dei meccanismi messi a disposizione da
tale social network per l’utilizzo di cookie e, in terzo luogo, di distruggere
tutti i dati personali ottenuti per mezzo di cookie e social plugin.
33 Il
2 marzo 2018, Facebook Ireland, Facebook Inc. e
Facebook Belgium hanno interposto appello avverso
tale sentenza dinanzi allo hof van beroep te Brussel (Corte di
appello di Bruxelles, Belgio). Dinanzi a tale giudice, l’APD agisce in qualità
di successore legale sia del presidente della CPVP, che aveva promosso l’azione
inibitoria, sia della stessa CPVP.
34 Il
giudice del rinvio si è dichiarato competente a statuire sull’appello
interposto unicamente nella parte riguardante Facebook Belgium.
Per contro, esso si è dichiarato incompetente a conoscere di tale appello per
quanto riguarda Facebook Ireland e Facebook Inc.
35 Prima
di pronunciarsi sul merito della controversia di cui al procedimento
principale, il giudice del rinvio si pone la questione se l’APD disponga della
legittimazione e dell’interesse ad agire richiesti. Secondo Facebook Belgium, l’azione inibitoria proposta sarebbe irricevibile
per quanto riguarda i fatti anteriori al 25 maggio 2018, in quanto, a seguito
dell’entrata in vigore della legge del 3 dicembre 2017 e del regolamento
2016/679, sarebbe stato abrogato l’articolo 32, paragrafo 3, della legge dell’8
dicembre 1992, che costituisce la base giuridica che consente di intentare
un’azione siffatta. Per quanto riguarda i fatti successivi al 25 maggio 2018,
Facebook Belgium fa valere che l’APD non avrebbe
competenza e non disporrebbe del diritto di intentare tale azione tenuto conto
del meccanismo dello «sportello unico» ora previsto in applicazione delle
disposizioni del regolamento 2016/679. Sulla base di tali disposizioni,
infatti, solo il Data Protection Commissioner
(Commissario per la protezione dei dati, Irlanda) sarebbe competente ad
intentare un’azione inibitoria nei confronti della Facebook Ireland,
essendo quest’ultima l’unica titolare del trattamento dei dati personali degli
utenti del social network in questione nell’Unione.
36 Il
giudice del rinvio ha dichiarato che l’APD non aveva dimostrato di avere
l’interesse ad agire richiesto per intentare tale azione inibitoria nei limiti
in cui quest’ultima verteva su fatti anteriori al 25 maggio 2018. Per quanto
riguarda i fatti successivi a tale data, il giudice del rinvio nutre nondimeno
dubbi in merito all’incidenza dell’entrata in vigore del regolamento 2016/679,
in particolare dell’applicazione del meccanismo dello «sportello unico» che
tale regolamento prevede, sulle competenze dell’APD nonché sul potere di
quest’ultima di intentare una siffatta azione inibitoria.
37 In
particolare, secondo il giudice del rinvio, la questione che si pone ora è se,
per i fatti successivi al 25 maggio 2018, l’APD possa agire nei confronti della
società Facebook Belgium, dal momento che Facebook Ireland è stata individuata come titolare del trattamento
dei dati in questione. Dopo tale data e in forza del principio dello «sportello
unico», sembrerebbe che, ai sensi dell’articolo 56 del regolamento 2016/679,
sia competente unicamente il Commissario per la protezione dei dati, sotto il
controllo dei soli giudici irlandesi.
38 Il
giudice del rinvio ricorda che, nella sentenza del 5 giugno 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16,
EU:C:2018:388), la Corte ha dichiarato che l’«autorità di controllo tedesca»
era competente a pronunciarsi su una controversia in materia di protezione dei
dati personali, sebbene il titolare del trattamento dei dati in questione
avesse sede in Irlanda e la sua controllata con sede in Germania, ossia la
Facebook Germany GmbH, si occupasse soltanto della vendita di spazi
pubblicitari e di altre attività di marketing nel territorio tedesco.
39 Tuttavia,
nella causa che ha dato luogo a tale sentenza, la Corte era investita di una
domanda di pronuncia pregiudiziale vertente sull’interpretazione delle
disposizioni della direttiva 95/46, che è stata abrogata dal regolamento
2016/679. Il giudice del rinvio si chiede in quale misura l’interpretazione che
la Corte ha fornito in detta sentenza sia ancora pertinente per quanto riguarda
l’applicazione del regolamento 2016/679.
40 II
giudice del rinvio richiama anche una decisione del «Bundeskartellamt»
(Autorità federale garante della concorrenza, Germania) del 6 febbraio 2019 (la
cosiddetta decisione «Facebook») in cui tale autorità garante della concorrenza
ha dichiarato, in sostanza, che l’impresa interessata abusava della propria
posizione concentrando dati provenienti da fonti diverse, il che, in futuro
avrebbe potuto aver luogo soltanto con il consenso esplicito degli utenti,
fermo restando che l’utente che non vi acconsente non può essere escluso dai
servizi Facebook. Il giudice del rinvio rileva che, manifestamente, detta
autorità garante della concorrenza si è ritenuta competente, nonostante il
meccanismo dello «sportello unico».
41 Inoltre,
il giudice del rinvio ritiene che l’articolo 6 della legge del 3 dicembre 2017,
che consente, in linea di principio, all’APD, se del caso, di agire in sede
giudiziale, non implichi che la sua azione possa, in ogni caso, essere
intentata dinanzi ai giudici belgi, poiché il meccanismo dello «sportello
unico» sembrerebbe imporre che una siffatta azione sia intentata dinanzi al
giudice del luogo in cui viene effettuato il trattamento dei dati.
42 Ciò
premesso, lo hof van beroep
te Brussel (Corte di appello di Bruxelles) ha deciso
di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni
pregiudiziali:
«1) Se gli
articoli [55, paragrafo 1], da 56 a 58 e da 60 a 66 del [regolamento 2016/679],
in combinato disposto con gli articoli 7, 8 e 47, della [Carta], debbano essere
interpretati nel senso che un’autorità di controllo, che, in forza della
normativa nazionale adottata in esecuzione dell’articolo [58, paragrafo 5], di
tale regolamento, abbia il potere di agire in sede giudiziale dinanzi a un giudice
del suo Stato membro contro le violazioni di detto regolamento, non può
esercitare tale potere con riguardo a un trattamento transfrontaliero se essa
non è l’autorità di controllo capofila per il trattamento transfrontaliero di
cui trattasi.
2) Se, a tal
riguardo, assuma rilevanza la circostanza che il titolare di detto trattamento
transfrontaliero non abbia in tale Stato membro lo stabilimento principale, ma
solo un altro stabilimento.
3) Se, a tal
riguardo, assuma rilevanza la circostanza che l’autorità nazionale di controllo
intenti l’azione nei confronti dello stabilimento principale del titolare del
trattamento o nei confronti dello stabilimento nel proprio Stato membro.
4) Se, a tal
riguardo, assuma rilevanza la circostanza che l’autorità nazionale di controllo
abbia già intentato l’azione prima della data di entrata in vigore (il 25
maggio 2018) del regolamento [2016/679].
5) In caso di
risposta affermativa alla prima questione, se l’articolo [58, paragrafo 5], del
regolamento 2016/679 abbia effetto diretto, cosicché un’autorità nazionale di
controllo può invocare detto articolo per intentare o proseguire un’azione nei
confronti di privati, anche se l’articolo [58, paragrafo 5], del regolamento
2016/679 non sia stato specificamente trasposto nella normativa degli Stati
membri, pur essendo la trasposizione obbligatoria.
6) In caso di
risposta affermativa alle questioni che precedono, se l’esito di siffatti
procedimenti possa ostare ad una conclusione opposta dell’autorità di controllo
capofila nel caso in cui tale autorità capofila esamini le medesime attività di
trattamento transfrontaliero o attività analoghe, conformemente al meccanismo
previsto agli articoli 56 e 60 del regolamento 2016/679».
Sulla
prima questione
43 Con
la sua prima questione, il giudice del rinvio chiede, in sostanza, se
l’articolo 55, paragrafo 1 e gli articoli da 56 a 58 nonché da 60 a 66 del
regolamento 2016/679, in combinato disposto con gli articoli 7, 8 e 47 della
Carta, debbano essere interpretati nel senso che un’autorità di controllo di
uno Stato membro – che, in forza della normativa nazionale adottata in
esecuzione dell’articolo 58, paragrafo 5, di tale regolamento, abbia il potere
di intentare un’azione dinanzi a un giudice di tale Stato membro e, se del
caso, di agire in sede giudiziale in caso di presunta violazione di detto
regolamento – può esercitare tale potere per quanto riguarda un
trattamento di dati transfrontaliero, sebbene non sia l’«autorità di controllo
capofila», a norma dell’articolo 56, paragrafo 1, del medesimo regolamento, per
quanto riguarda un siffatto trattamento di dati.
44 A
tal riguardo, occorre ricordare, in via preliminare, che, da un lato, a
differenza della direttiva 95/46, che era stata adottata sul fondamento
dell’articolo 100 A del Trattato CE, relativo all’armonizzazione del
mercato comune, la base giuridica del regolamento 2016/679 è l’articolo
16 TFUE, il quale sancisce il diritto di ogni persona alla tutela dei dati
personali e autorizza il Parlamento europeo e il Consiglio dell’Unione europea
a fissare norme relative alla protezione delle persone fisiche con riguardo al
trattamento di tali dati da parte delle istituzioni, degli organi e degli
organismi dell’Unione, nonché da parte degli Stati membri, nell’esercizio di
attività che rientrano nell’ambito di applicazione del diritto dell’Unione, e
norme relative alla libera circolazione di detti dati. D’altro lato, il
considerando 1 di tale regolamento afferma che «[l]a protezione delle persone
fisiche con riguardo al trattamento dei dati di carattere personale è un
diritto fondamentale» e ricorda che l’articolo 8, paragrafo 1, della Carta
nonché l’articolo 16, paragrafo 1, TFUE stabiliscono che ogni persona ha
diritto alla protezione dei dati di carattere personale che la riguardano.
45 Di
conseguenza, come risulta dall’articolo 1, paragrafo 2, del regolamento
2016/679, in combinato disposto con i considerando 10, 11 e 13 di tale
regolamento, quest’ultimo affida alle istituzioni, agli organi e agli organismi
dell’Unione, nonché alle autorità competenti degli Stati membri, il compito di
assicurare un livello elevato di tutela dei diritti garantiti dall’articolo
16 TFUE e dall’articolo 8 della Carta.
46 Inoltre,
come enunciato dal considerando 4 del regolamento in parola, quest’ultimo
rispetta tutti i diritti fondamentali e osserva le libertà e i principi
riconosciuti nella Carta.
47 È
in questo contesto che l’articolo 55, paragrafo 1, del regolamento 2016/679
stabilisce la competenza di principio di ogni autorità di controllo ad eseguire
i compiti ed esercitare i poteri a essa conferiti, a norma di tale regolamento,
nel territorio del rispettivo Stato membro (v., in tal senso, sentenza del 16
luglio 2020, Facebook Ireland e Schrems,
C‑311/18, EU:C:2020:559, punto 147).
48 Tra
i compiti conferiti a tali autorità di controllo figurano, in particolare, il
compito di sorvegliare l’applicazione del regolamento 2016/679 e di vigilare
sul rispetto di quest’ultimo, previsto all’articolo 57, paragrafo 1, lettera
a), di tale regolamento, nonché il compito di collaborare, anche tramite scambi
di informazioni, con le altre autorità di controllo e prestare assistenza
reciproca al fine di garantire l’applicazione coerente di detto regolamento e
delle misure adottate per garantirne il rispetto, previsto all’articolo 57,
paragrafo 1, lettera g), del medesimo regolamento. Tra i poteri conferiti a
tali autorità di controllo al fine di assolvere detti compiti figurano diversi
poteri di indagine, previsti all’articolo 58, paragrafo 1, del regolamento
2016/679, nonché il potere di intentare un’azione dinanzi alle autorità
giudiziarie e, se del caso, di agire in sede giudiziale in caso di violazione
di tale regolamento per far rispettare le disposizioni dello stesso, previsto
all’articolo 58, paragrafo 5, di detto regolamento.
49 L’esercizio
di tali compiti e poteri presuppone tuttavia che un’autorità di controllo
disponga della competenza per quanto riguarda un determinato trattamento di
dati.
50 A
tal riguardo, fatta salva la norma sulla competenza di cui all’articolo 55,
paragrafo 1, del regolamento 2016/679, l’articolo 56, paragrafo 1, di tale
regolamento prevede, per i «trattamenti transfrontalieri» ai sensi del suo
articolo 4, punto 23, il meccanismo dello «sportello unico», basato su una
ripartizione delle competenze tra un’«autorità di controllo capofila» e le
altre autorità di controllo interessate. In forza di siffatto meccanismo,
l’autorità di controllo dello stabilimento principale o dello stabilimento
unico del titolare del trattamento o del responsabile del trattamento è
competente ad agire in qualità di autorità di controllo capofila per quanto
attiene al trattamento transfrontaliero effettuato da detto titolare del
trattamento o responsabile del trattamento, secondo la procedura di cui
all’articolo 60 del regolamento in parola.
51 Quest’ultimo
articolo stabilisce la procedura di cooperazione tra l’autorità di controllo
capofila e le altre autorità di controllo interessate. Nell’ambito di tale
procedura, l’autorità di controllo capofila è tenuta, in particolare, a cercare
di raggiungere un consenso. A tal fine, conformemente all’articolo 60,
paragrafo 3, del regolamento 2016/679, essa trasmette senza indugio un progetto
di decisione alle altre autorità di controllo interessate per ottenere il loro
parere e tiene debitamente conto delle loro opinioni.
52 In
particolare, dagli articoli 56 e 60 del regolamento 2016/679 risulta che, per i
«trattamenti transfrontalieri», ai sensi dell’articolo 4, punto 23, di tale
regolamento, e fatto salvo l’articolo 56, paragrafo 2, di quest’ultimo, le
varie autorità di controllo nazionali interessate devono cooperare, secondo la
procedura prevista da tali disposizioni, al fine di raggiungere un consenso e
una decisione unica che vincoli tutte le suddette autorità, il cui rispetto
deve essere garantito dal titolare del trattamento per quanto riguarda le
attività di trattamento effettuate nell’ambito di tutti i suoi stabilimenti
nell’Unione. Inoltre, l’articolo 61, paragrafo 1, di detto regolamento obbliga
le autorità di controllo, in particolare, a comunicarsi le informazioni utili
nonché a prestarsi reciproca assistenza al fine di attuare e applicare il
medesimo regolamento in modo coerente in tutta l’Unione. L’articolo 63 del
regolamento 2016/679 precisa che è a tal fine previsto il meccanismo di
coerenza, stabilito agli articoli 64 e 65 di quest’ultimo [sentenza del 24
settembre 2019, Google (Portata territoriale della deindicizzazione), C‑507/17,
EU:C:2019:772, punto 68].
53 L’applicazione
del meccanismo dello «sportello unico» richiede pertanto, come confermato dal
considerando 13 del regolamento 2016/679, una leale ed efficace cooperazione
tra l’autorità di controllo capofila e le altre autorità di controllo
interessate. Di conseguenza, come rilevato dall’avvocato generale al paragrafo
111 delle sue conclusioni, l’autorità di controllo capofila non può ignorare le
opinioni delle altre autorità di controllo interessate e qualsiasi obiezione
pertinente e motivata formulata da una di queste ultime autorità ha l’effetto
di bloccare, almeno temporaneamente, l’adozione del progetto di decisione
dell’autorità di controllo capofila.
54 Pertanto,
conformemente all’articolo 60, paragrafo 4, del regolamento 2016/679, qualora
una delle altre autorità di controllo interessate formuli, entro un termine di
quattro settimane dopo essere stata consultata, una siffatta obiezione
pertinente e motivata in merito al progetto di decisione, l’autorità di
controllo capofila, qualora non segua l’obiezione pertinente e motivata o
ritenga che tale obiezione non sia pertinente o motivata, sottopone la
questione al meccanismo di coerenza di cui all’articolo 63 di tale regolamento,
al fine di ottenere dal comitato europeo per la protezione dei dati una
decisione vincolante, adottata in base all’articolo 65, paragrafo 1, lettera
a), di detto regolamento.
55 Ai
sensi dell’articolo 60, paragrafo 5, del regolamento 2016/679, quando
l’autorità di controllo capofila intende invece seguire l’obiezione pertinente
e motivata formulata, essa sottopone alle altre autorità di controllo
interessate un progetto di decisione riveduto al fine di ottenere il loro
parere. Tale progetto di decisione riveduto è soggetto alla procedura di cui
all’articolo 60, paragrafo 4, del medesimo regolamento entro un termine di due
settimane.
56 Conformemente
all’articolo 60, paragrafo 7, di detto regolamento, in linea di principio,
spetta all’autorità di controllo capofila adottare una decisione riguardo al
trattamento transfrontaliero di cui trattasi, notificarla allo stabilimento
principale o allo stabilimento unico del titolare del trattamento o del
responsabile del trattamento, a seconda dei casi, e informare le altre autorità
di controllo interessate e il comitato europeo per la protezione dei dati della
decisione in questione, comunicando anche una sintesi dei fatti e dei motivi
pertinenti.
57 Ciò
premesso, occorre sottolineare che il regolamento 2016/679 prevede eccezioni al
principio della competenza decisionale dell’autorità di controllo capofila
nell’ambito del meccanismo dello «sportello unico» previsto all’articolo 56,
paragrafo 1, di detto regolamento.
58 Tra
tali eccezioni figura, in primo luogo, l’articolo 56, paragrafo 2, del
regolamento 2016/679, il quale prevede che un’autorità di controllo che non è
l’autorità di controllo capofila sia competente per la gestione dei reclami a
essa proposti e riguardanti un trattamento transfrontaliero di dati personali o
un’eventuale violazione di tale regolamento, se l’oggetto riguarda unicamente
uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli
interessati unicamente in tale Stato membro.
59 In
secondo luogo, l’articolo 66 del regolamento 2016/679 prevede, in deroga ai
meccanismi di coerenza di cui agli articoli 60 e da 63 a 65 di tale
regolamento, una procedura d’urgenza. Tale procedura d’urgenza consente, in
circostanze eccezionali, qualora l’autorità di controllo interessata ritenga
che urga intervenire per proteggere i diritti e le libertà degli interessati,
di adottare immediatamente misure provvisorie intese a produrre effetti giuridici
nel proprio territorio, con un periodo di validità determinato che non superi i
tre mesi, in quanto l’articolo 66, paragrafo 2, del regolamento 2016/679
prevede inoltre che, qualora un’autorità di controllo abbia adottato una misura
in forza del paragrafo 1 e ritenga che debbano essere adottate misure
definitive, essa può chiedere un parere d’urgenza o una decisione vincolante
d’urgenza del comitato europeo per la protezione dei dati, motivando tale
richiesta.
60 Tuttavia,
tale competenza delle autorità di controllo deve essere esercitata nel rispetto
di una leale ed efficace cooperazione con l’autorità di controllo capofila,
conformemente alla procedura di cui all’articolo 56, paragrafi da 3 a 5, del
regolamento 2016/679. Infatti, in tale ipotesi, in applicazione dell’articolo
56, paragrafo 3, di detto regolamento, l’autorità di controllo interessata deve
informare senza ritardo l’autorità di controllo capofila, la quale, entro tre
settimane dal momento in cui è stata informata, decide se tratterà o meno il
caso.
61 Orbene,
in forza dell’articolo 56, paragrafo 4, del regolamento 2016/679, se l’autorità
di controllo capofila decide di trattare il caso, si applica la procedura di
cooperazione prevista all’articolo 60 del regolamento in parola. In tale
contesto, l’autorità di controllo che ha informato l’autorità di controllo
capofila può sottoporle un progetto di decisione e quest’ultima deve tenere
nella massima considerazione tale progetto quando elabora il progetto di
decisione di cui all’articolo 60, paragrafo 3, di detto regolamento.
62 Per
contro, in applicazione dell’articolo 56, paragrafo 5, del regolamento
2016/679, se l’autorità di controllo capofila decide di non trattare il caso,
l’autorità di controllo che l’ha informata lo tratta conformemente agli
articoli 61 e 62 di tale regolamento, i quali richiedono alle autorità di
controllo il rispetto delle regole di reciproca assistenza e di cooperazione
nell’ambito di operazioni congiunte, al fine di garantire una cooperazione
efficace tra le autorità interessate.
63 Da
quanto precede deriva che, da un lato, in materia di trattamento
transfrontaliero di dati personali, la competenza dell’autorità di controllo
capofila ad adottare una decisione che constati che un siffatto trattamento
viola le norme relative alla tutela dei diritti delle persone fisiche con
riguardo al trattamento di dati personali contenute nel regolamento 2016/679
costituisce la regola, mentre la competenza delle altre autorità di controllo
interessate ad adottare una tale decisione, anche in via provvisoria,
costituisce l’eccezione. D’altro lato, pur se la competenza di principio
dell’autorità di controllo capofila è confermata all’articolo 56, paragrafo 6,
del regolamento 2016/679, ai sensi del quale l’autorità di controllo capofila è
l’«unico interlocutore» del titolare del trattamento o del responsabile per il
trattamento transfrontaliero effettuato da tale titolare del trattamento o
responsabile del trattamento, tale autorità deve esercitare siffatta competenza
nell’ambito di una stretta cooperazione con le altre autorità di controllo
interessate. In particolare, l’autorità di controllo capofila non può
sottrarsi, nell’esercizio delle sue competenze, come rilevato al punto 53 della
presente sentenza, a un dialogo indispensabile nonché a una cooperazione leale
ed efficace con le altre autorità di controllo interessate.
64 A
tal riguardo, dal considerando 10 del regolamento 2016/679 risulta che
quest’ultimo mira, in particolare, a garantire un’applicazione coerente ed
omogenea delle norme in materia di protezione delle libertà e dei diritti
fondamentali delle persone fisiche con riguardo al trattamento dei dati
personali in tutta l’Unione e a rimuovere gli ostacoli ai flussi di dati
personali all’interno di quest’ultima.
65 Orbene,
siffatto obiettivo e l’effetto utile del meccanismo dello «sportello unico»,
potrebbero essere compromessi se un’autorità di controllo, che, riguardo a un
trattamento di dati transfrontaliero, non è l’autorità di controllo capofila,
potesse esercitare il potere previsto all’articolo 58, paragrafo 5, del
regolamento 2016/679 al di fuori dei casi in cui essa è competente ad adottare una decisione come quella di cui al punto 63
della presente sentenza. Infatti, l’esercizio di un potere siffatto mira a
giungere ad una decisione giurisdizionale vincolante, la quale è altrettanto
idonea a pregiudicare detto obiettivo nonché detto meccanismo quanto una
decisione adottata da un’autorità di controllo che non è l’autorità di
controllo capofila.
66 Contrariamente
a quanto sostiene l’APD, la circostanza che un’autorità di controllo di uno
Stato membro che non è l’autorità di controllo capofila possa esercitare il
potere previsto all’articolo 58, paragrafo 5, del regolamento 2016/679 solo nel
rispetto delle norme sulla ripartizione delle competenze decisionali previste,
in particolare, dagli articoli 55 e 56 di tale regolamento, in combinato
disposto con l’articolo 60 di quest’ultimo, è conforme agli articoli 7, 8 e 47
della Carta.
67 Da
un lato, per quanto riguarda l’argomento vertente su una presunta violazione
degli articoli 7 e 8 della Carta, occorre ricordare che detto articolo 7
garantisce a ogni persona il diritto al rispetto della propria vita privata e
familiare, del proprio domicilio e delle proprie comunicazioni, mentre
l’articolo 8, paragrafo 1, della Carta, così come l’articolo 16, paragrafo 1,
TFUE, riconosce espressamente a ogni persona il diritto alla protezione dei
dati personali che la riguardano. Orbene, discende in particolare dall’articolo
51, paragrafo 1, del regolamento 2016/679 che le autorità di controllo sono
incaricate di sorvegliare l’applicazione di tale regolamento, in particolare,
al fine di tutelare i diritti fondamentali delle persone fisiche con riguardo al
trattamento dei loro dati personali. Ne consegue che, conformemente a quanto
esposto al punto 45 della presente sentenza, le norme sulla ripartizione delle
competenze decisionali tra l’autorità di controllo capofila e le altre autorità
di controllo, previste in detto regolamento, lasciano impregiudicata la
responsabilità gravante su ciascuna di tali autorità di contribuire ad un
livello elevato di protezione di detti diritti, nel rispetto di tali norme
nonché dei requisiti di cooperazione e di assistenza reciproca ricordati al
punto 52 della presente sentenza.
68 Ciò
significa, in particolare, che il meccanismo dello «sportello unico» non può in
alcun caso comportare che un’autorità nazionale di controllo, in particolare
l’autorità di controllo capofila, non assuma la responsabilità, che le incombe
in forza del regolamento 2016/679, di contribuire ad un’efficace tutela delle
persone fisiche contro violazioni dei loro diritti fondamentali ricordati al
punto precedente della presente sentenza, pena l’incoraggiare una pratica
di forum shopping, in particolare da parte dei titolari del
trattamento, al fine di eludere tali diritti fondamentali e l’applicazione
effettiva delle disposizioni di detto regolamento che vi danno attuazione.
69 D’altro
lato, per quanto riguarda l’argomento vertente su una presunta violazione del
diritto a un ricorso effettivo, garantito dall’articolo 47 della Carta, neppure
esso può essere accolto. Infatti, la delimitazione, esposta ai punti 64 e 65
della presente sentenza, della possibilità per un’autorità di controllo diversa
dall’autorità di controllo capofila di esercitare il potere previsto
all’articolo 58, paragrafo 5, del regolamento 2016/679, per quanto riguarda un
trattamento transfrontaliero di dati personali, lascia impregiudicato il
diritto riconosciuto ad ogni persona, all’articolo 78, paragrafi 1 e 2, di tale
regolamento, di proporre un ricorso giurisdizionale effettivo, in particolare,
avverso una decisione giuridicamente vincolante di un’autorità di controllo che
lo riguarda o contro il mancato trattamento di un reclamo da parte
dell’autorità di controllo che dispone della competenza decisionale in forza
degli articoli 55 e 56 di detto regolamento, letti congiuntamente con
l’articolo 60 di quest’ultimo.
70 Ciò
avviene, in particolare, nell’ipotesi di cui all’articolo 56, paragrafo 5, del
regolamento 2016/679, secondo la quale, come rilevato al punto 62 della
presente sentenza, l’autorità di controllo che ha fornito l’informazione sulla
base dell’articolo 56, paragrafo 3, di tale regolamento, può trattare il caso
conformemente agli articoli 61 e 62 di quest’ultimo, se l’autorità di controllo
capofila decide, dopo esserne stata informata, che non lo tratterà essa stessa.
Nell’ambito di un siffatto trattamento, non si può peraltro escludere che
l’autorità di controllo considerata possa, se del caso, decidere di esercitare
il potere conferitole dall’articolo 58, paragrafo 5, del regolamento 2016/679.
71 Ciò
precisato, occorre sottolineare che non può essere escluso l’esercizio del
potere di un’autorità di controllo di uno Stato membro di rivolgersi ai giudici
del suo Stato qualora, dopo aver richiesto la reciproca assistenza
dell’autorità di controllo capofila, in forza dell’articolo 61 del regolamento
2016/679, quest’ultima non le fornisca le informazioni richieste. In tale
ipotesi, in forza dell’articolo 61, paragrafo 8, del regolamento in esame,
l’autorità di controllo interessata può adottare una misura provvisoria nel
territorio del suo Stato membro e, se ritiene che sia urgente adottare misure
definitive, tale autorità può, conformemente all’articolo 66, paragrafo 2, di
detto regolamento, chiedere al comitato europeo per la protezione dei dati un
parere d’urgenza o una decisione vincolante d’urgenza. Inoltre, ai sensi
dell’articolo 64, paragrafo 2, del medesimo regolamento, un’autorità di
controllo può chiedere che qualsiasi questione di applicazione generale o
produttiva di effetti in più Stati membri sia esaminata dal comitato europeo
per la protezione dei dati al fine di ottenere un parere, in particolare
qualora un’autorità di controllo competente non si conformi agli obblighi
relativi all’assistenza reciproca posti a suo carico dall’articolo 61 di
quest’ultimo. Orbene, a seguito dell’adozione di un siffatto parere o di una
siffatta decisione, e purché il comitato europeo per la protezione dei dati vi
sia favorevole dopo aver preso in considerazione tutte le circostanze
pertinenti, l’autorità di controllo considerata deve poter adottare le misure
necessarie al fine di garantire il rispetto delle norme relative alla tutela
dei diritti delle persone fisiche con riguardo al trattamento di dati personali
contenute nel regolamento 2016/679 e, a tale titolo, esercitare il potere
conferitole dall’articolo 58, paragrafo 5, del predetto regolamento.
72 La
ripartizione delle competenze e delle responsabilità tra le autorità di
controllo, infatti, si basa necessariamente sulla premessa di una cooperazione
leale ed efficace tra tali autorità nonché con la Commissione, al fine di
garantire l’applicazione corretta e coerente del suddetto regolamento, come
confermato dall’articolo 51, paragrafo 2, di quest’ultimo.
73 Nel
caso di specie, spetterà al giudice del rinvio stabilire se le norme sulla
ripartizione delle competenze nonché le procedure e i meccanismi pertinenti
previsti dal regolamento 2016/679 siano stati correttamente applicati
nell’ambito del procedimento principale. In particolare, sarà suo compito
verificare se, benché l’APD non sia l’autorità di controllo capofila in tale
causa, il trattamento in questione, nella misura in cui riguarda comportamenti
del social network Facebook successivi al 25 maggio 2018, rientri segnatamente
nella situazione descritta al punto 71 della presente sentenza.
74 A
tal riguardo, la Corte osserva che, nel suo parere 5/2019 del 12 marzo 2019,
sull’interazione tra la direttiva relativa alla vita privata e alle
comunicazioni elettroniche e il regolamento generale sulla protezione dei dati,
in particolare per quanto concerne competenze, compiti e poteri delle autorità
per la protezione dei dati, il comitato europeo per la protezione dei dati ha
dichiarato che la memorizzazione e la lettura di dati personali mediante cookie
rientravano nell’ambito di applicazione della direttiva 2002/58/CE del
Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento
dei dati personali e alla tutela della vita privata nel settore delle
comunicazioni elettroniche (direttiva relativa alla vita privata e alle
comunicazioni elettroniche) (GU 2002, L 201, pag. 37) e non nel
meccanismo dello «sportello unico». Per contro, tutte le operazioni precedenti
e le successive attività di trattamento di tali dati personali mediante altre
tecnologie rientrano effettivamente nell’ambito di applicazione del regolamento
2016/679 e, di conseguenza, nel meccanismo dello «sportello unico». Dato che la
sua domanda di assistenza reciproca riguardava tali successive operazioni di
trattamento dei dati personali, nel mese di aprile 2019 l’APD ha chiesto al
Commissario per la protezione dei dati di dar seguito alla sua domanda il più
rapidamente possibile, richiesta che sarebbe rimasta senza riscontro.
75 Alla
luce di tutte le considerazioni che precedono, occorre rispondere alla prima
questione posta dichiarando che l’articolo 55, paragrafo 1 e gli articoli da 56
a 58 nonché da 60 a 66 del regolamento 2016/679, in combinato disposto con gli
articoli 7, 8 e 47 della Carta, devono essere interpretati nel senso che
un’autorità di controllo di uno Stato membro, la quale, in forza della
normativa nazionale adottata in esecuzione dell’articolo 58, paragrafo 5, di
tale regolamento, abbia il potere di intentare un’azione dinanzi a un giudice
di tale Stato membro e, se del caso, di agire in sede giudiziale in caso di
presunta violazione di detto regolamento, può esercitare tale potere con
riguardo al trattamento transfrontaliero di dati, pur non essendo l’«autorità
di controllo capofila» ai sensi dell’articolo 56, paragrafo 1, dello stesso
regolamento con riguardo a siffatto trattamento di dati, purché ciò avvenga in
una delle situazioni in cui il regolamento 2016/679 conferisce a tale autorità
di controllo la competenza ad adottare una decisione che accerti che il
trattamento in questione viola le norme in esso contenute, nonché nel rispetto
delle procedure di cooperazione e di coerenza previste da tale regolamento.
Sulla
seconda questione
76 Con
la sua seconda questione, il giudice del rinvio chiede, in sostanza, se
l’articolo 58, paragrafo 5, del regolamento 2016/679 debba essere interpretato
nel senso che, in caso di trattamento transfrontaliero di dati, l’esercizio del
potere di un’autorità di controllo di uno Stato membro, diversa dall’autorità
di controllo capofila, di agire in sede giudiziale, ai sensi di tale
disposizione, richieda che il titolare del trattamento transfrontaliero di dati
personali, nei cui confronti tale azione è intentata, disponga di uno «stabilimento
principale», a norma dell’articolo 4, punto 16, del regolamento 2016/679, nel
territorio di tale Stato membro oppure di un altro stabilimento in tale
territorio.
77 A
tal riguardo, occorre ricordare che, ai sensi dell’articolo 55, paragrafo 1,
del regolamento 2016/679, ciascuna autorità di controllo è competente ad
eseguire i compiti e ad esercitare i poteri ad essa conferiti a norma di tale
regolamento nel territorio dello Stato membro di appartenenza.
78 L’articolo
58, paragrafo 5, del regolamento 2016/679 prevede, inoltre, il potere di
ciascuna autorità di controllo di intentare un’azione dinanzi a un giudice
dello Stato membro di appartenenza e, se del caso, di agire in sede giudiziale
in caso di presunta violazione di tale regolamento per far rispettare le
disposizioni dello stesso.
79 Orbene,
occorre rilevare che l’articolo 58, paragrafo 5, del regolamento 2016/679 è
formulato in termini generali e che il legislatore dell’Unione non ha
subordinato l’esercizio di tale potere da parte di un’autorità di controllo di
uno Stato membro alla condizione che l’azione di quest’ultima sia intentata nei
confronti di un titolare del trattamento che disponga di uno «stabilimento
principale», ai sensi dell’articolo 4, punto 16, di tale regolamento, o di un
altro stabilimento nel territorio di tale Stato membro.
80 Tuttavia,
un’autorità di controllo di uno Stato membro può esercitare il potere
conferitole dall’articolo 58, paragrafo 5, del regolamento 2016/679 solo se è
dimostrato che tale potere rientra nell’ambito di applicazione territoriale di
tale regolamento.
81 L’articolo
3 del regolamento 2016/679, che disciplina l’ambito di applicazione
territoriale del predetto regolamento, al suo
paragrafo 1, prevede al riguardo che quest’ultimo si applichi al trattamento
dei dati personali effettuato nell’ambito delle attività di uno stabilimento di
un titolare del trattamento o di un responsabile del trattamento nel territorio
dell’Unione, indipendentemente dal fatto che il trattamento abbia luogo o meno
nell’Unione.
82 A
tale titolo, il considerando 22 del regolamento 2016/679 precisa che detto
stabilimento implica l’effettivo e reale svolgimento di un’attività nel quadro
di un’organizzazione stabile e che la forma giuridica adottata per tale organizzazione,
che si tratti di una succursale o di una filiale dotata di personalità
giuridica, non è determinante al riguardo.
83 Ne
consegue che, conformemente all’articolo 3, paragrafo 1, del regolamento
2016/679, l’ambito di applicazione territoriale di tale regolamento è
determinato, fatte salve le ipotesi di cui ai paragrafi 2 e 3 di tale articolo,
dalla condizione che il titolare del trattamento o il responsabile del
trattamento transfrontaliero disponga di uno stabilimento nel territorio dell’Unione.
84 Occorre
pertanto rispondere alla seconda questione posta dichiarando che l’articolo 58,
paragrafo 5, del regolamento 2016/679 deve essere interpretato nel senso che,
in caso di trattamento transfrontaliero di dati, l’esercizio del potere di
un’autorità di controllo di uno Stato membro, diversa dall’autorità di
controllo capofila, di intentare un’azione giudiziaria, ai sensi di tale
disposizione, non esige che il titolare del trattamento o il responsabile per
il trattamento transfrontaliero di dati personali, nei cui confronti tale
azione viene intentata, disponga di uno stabilimento principale o di un altro
stabilimento nel territorio di detto Stato membro.
Sulla
terza questione
85 Con
la sua terza questione, il giudice del rinvio chiede, in sostanza, se
l’articolo 58, paragrafo 5, del regolamento 2016/679 debba essere interpretato
nel senso che, in caso di trattamento transfrontaliero di dati, l’esercizio del
potere di un’autorità di controllo di uno Stato membro, diversa dall’autorità
di controllo capofila, di intentare un’azione dinanzi a un giudice di tale
Stato membro e, se del caso, di agire in sede giudiziale in caso di presunta
violazione del predetto regolamento ai sensi di tale disposizione, esige che
l’autorità di controllo interessata diriga la propria azione giudiziaria contro
lo stabilimento principale del titolare del trattamento oppure contro lo
stabilimento che si trova nel proprio Stato membro.
86 Dalla
decisione di rinvio risulta che tale questione è sollevata nell’ambito di una
discussione tra le parti sulla questione se il giudice del rinvio sia
competente ad esaminare l’azione inibitoria nei limiti in cui essa è intentata
contro Facebook Belgium, tenuto conto del fatto che,
da una parte, all’interno dell’Unione, la sede sociale del gruppo Facebook è
situata in Irlanda e che Facebook Ireland è l’unica
responsabile della raccolta e del trattamento dei dati personali per tutto il
territorio dell’Unione e, dall’altra, che, secondo una ripartizione interna a
tale gruppo, lo stabilimento situato in Belgio sarebbe stato creato, in via
principale, per consentire a tale gruppo di mantenere relazioni con le
istituzioni dell’Unione e, in via accessoria, per promuovere le attività
pubblicitarie e di marketing dello stesso gruppo destinate a persone residenti
in Belgio.
87 Come
rilevato al punto 47 della presente sentenza, l’articolo 55, paragrafo 1, del
regolamento 2016/679 stabilisce la competenza di principio di ciascuna autorità
di controllo ad eseguire i compiti e ad esercitare i poteri ad essa conferiti,
conformemente a tale regolamento, nel territorio del rispettivo Stato membro.
88 Per
quanto riguarda il potere di un’autorità di controllo di uno Stato membro di
intentare un’azione giudiziaria, ai sensi dell’articolo 58, paragrafo 5, del
regolamento 2016/679, occorre ricordare, come rilevato dall’avvocato generale
al paragrafo 150 delle sue conclusioni, che tale disposizione è formulata in
termini generali e non precisa gli enti nei confronti dei quali le autorità di
controllo debbano o possano agire in giudizio in relazione a qualsiasi
violazione di tale regolamento.
89 Di
conseguenza, detta disposizione non limita l’esercizio del potere di agire in
sede giudiziale nel senso che un’azione siffatta possa essere intentata
unicamente nei confronti di uno «stabilimento principale» oppure nei confronti
di un altro «stabilimento» del titolare del trattamento. Al contrario, in forza
della medesima disposizione, qualora l’autorità di controllo di uno Stato
membro disponga della competenza necessaria a tal fine, in applicazione degli
articoli 55 e 56 del regolamento 2016/679, essa può esercitare i poteri
conferitile da tale regolamento nel suo territorio nazionale, indipendentemente
dallo Stato membro in cui è stabilito il titolare del trattamento o il
responsabile del trattamento.
90 Tuttavia,
l’esercizio del potere conferito a ciascuna autorità di controllo dall’articolo
58, paragrafo 5, del regolamento 2016/679 presuppone che tale regolamento sia
applicabile. A tal riguardo, e come sottolineato al punto 81 della presente
sentenza, l’articolo 3, paragrafo 1, di detto regolamento prevede che
quest’ultimo si applichi al trattamento dei dati personali effettuato
«nell’ambito delle attività di uno stabilimento da parte di un titolare del
trattamento o di un responsabile del trattamento nell’Unione, indipendentemente
dal fatto che il trattamento sia effettuato o meno nell’Unione».
91 Alla
luce dell’obiettivo perseguito dal regolamento 2016/679, consistente nel
garantire una tutela efficace delle libertà e dei diritti fondamentali delle
persone fisiche, segnatamente del diritto alla tutela della vita privata e alla
protezione dei dati personali, la condizione secondo cui il trattamento di dati
personali deve essere effettuato «nell’ambito delle attività» dello
stabilimento considerato non può ricevere un’interpretazione restrittiva (v.,
per analogia, sentenza del 5 giugno 2018, Wirtschaftsakademie
Schleswig-Holstein, C‑210/16, EU:C:2018:388, punto 56 e giurisprudenza
ivi citata).
92 Nel
caso di specie, dalla decisione di rinvio e dalle osservazioni scritte
presentate da Facebook Belgium risulta che
quest’ultima è incaricata, in via principale, di intrattenere relazioni con le
istituzioni dell’Unione e, in via accessoria, di promuovere le attività
pubblicitarie e di marketing del suo gruppo destinate alle persone residenti in
Belgio.
93 Il
trattamento di dati personali di cui trattasi nel procedimento principale, che
nel territorio dell’Unione è effettuato esclusivamente da Facebook Ireland e che consiste nella raccolta di informazioni sul
comportamento di navigazione tanto dei titolari di un account Facebook quanto
dei non utenti dei servizi Facebook mediante tecnologie diverse, quali, in
particolare, i social plugin e i pixel, ha proprio lo scopo di consentire al
social network di cui trattasi di rendere più efficiente il proprio sistema
pubblicitario, diffondendo le comunicazioni in modo mirato.
94 Orbene,
occorre rilevare che, da un lato, un social network come Facebook genera una
parte sostanziale dei suoi redditi grazie, in particolare, alla pubblicità ivi
diffusa e che l’attività svolta dallo stabilimento situato in Belgio è diretta
a garantire, in tale Stato membro, anche se solo in via accessoria, la
promozione e la vendita di spazi pubblicitari che servono a rendere redditizi i
servizi Facebook. D’altro lato, l’attività svolta in via principale da Facebook
Belgium, consistente nell’intrattenere relazioni con
le istituzioni dell’Unione e nel costituire un punto di contatto con queste
ultime, mira, in particolare, a determinare la politica di trattamento dei dati
personali da parte di Facebook Ireland.
95 Ciò
posto, le attività dello stabilimento del gruppo Facebook situato in Belgio
devono essere considerate inscindibilmente connesse al trattamento dei dati
personali di cui trattasi nel procedimento principale, per il quale il titolare
del trattamento è Facebook Ireland per quanto
riguarda il territorio dell’Unione. Pertanto, un trattamento siffatto deve
essere considerato effettuato «nell’ambito delle attività di uno stabilimento
da parte di un titolare del trattamento», ai sensi dell’articolo 3, paragrafo
1, del regolamento 2016/679.
96 Alla
luce di tutte le considerazioni che precedono, occorre rispondere alla terza
questione posta dichiarando che l’articolo 58, paragrafo 5, del regolamento
2016/679 deve essere interpretato nel senso che il potere di un’autorità di
controllo di uno Stato membro, diversa dall’autorità di controllo capofila, di
intentare un’azione dinanzi ad un giudice di tale Stato membro e, se del caso,
di agire in sede giudiziale, ai sensi di tale disposizione, in caso di presunta
violazione di detto regolamento può essere esercitato tanto nei confronti dello
stabilimento principale del titolare del trattamento che si trovi nello Stato
membro di appartenenza di tale autorità quanto nei confronti di un altro
stabilimento di tale titolare, purché l’azione giudiziaria riguardi un
trattamento di dati effettuato nell’ambito delle attività di detto stabilimento
e l’autorità di cui trattasi sia competente ad esercitare siffatto potere,
conformemente a quanto esposto in risposta alla prima questione posta.
Sulla
quarta questione
97 Con
la sua quarta questione, il giudice del rinvio chiede, in sostanza, se
l’articolo 58, paragrafo 5, del regolamento 2016/679 debba essere interpretato
nel senso che, nel caso in cui un’autorità di controllo di uno Stato membro che
non è l’«autorità di controllo capofila», ai sensi dell’articolo 56, paragrafo
1, di tale regolamento, abbia intentato un’azione giudiziaria relativa a un
trattamento transfrontaliero di dati personali prima del 25 maggio 2018, ossia
prima della data in cui detto regolamento è divenuto applicabile, tale
circostanza è idonea ad influire sulle condizioni in cui detta autorità di
controllo di uno Stato membro può esercitare il potere di agire in sede
giudiziale conferitole dal suddetto articolo 58, paragrafo 5.
98 Dinanzi
a tale giudice, le società Facebook Ireland, Facebook
Inc. e Facebook Belgium sostengono infatti che
l’applicazione del regolamento 2016/679 a partire dal 25 maggio 2018 avrebbe
come conseguenza che il mantenimento di un’azione intentata prima di tale data
è irricevibile o addirittura infondato.
99 Occorre
rilevare, in via preliminare, che l’articolo 99, paragrafo 1, del regolamento
2016/679 prevede che quest’ultimo entri in vigore il ventesimo giorno
successivo alla sua pubblicazione nella Gazzetta ufficiale dell’Unione
europea. Poiché tale regolamento è stato pubblicato nella suddetta Gazzetta
ufficiale il 4 maggio 2016, esso è
quindi entrato in vigore il 25 maggio successivo. Inoltre, l’articolo 99,
paragrafo 2, di detto regolamento prevede che quest’ultimo si applichi a
decorrere dal 25 maggio 2018.
100 A tal
riguardo, va ricordato che una nuova norma giuridica si applica a decorrere
dall’entrata in vigore dell’atto che la istituisce e che, sebbene non si
applichi alle situazioni giuridiche sorte e definitivamente acquisite in
vigenza della precedente norma, essa si applica agli effetti futuri delle
medesime, nonché alle situazioni giuridiche nuove, a meno che la nuova norma,
fatto salvo il principio di irretroattività degli atti giuridici, sia
accompagnata da disposizioni particolari che determinano specificamente le sue
condizioni di applicazione nel tempo. In particolare, le norme procedurali si
considerano generalmente applicabili alla data in cui esse entrano in vigore, a
differenza delle norme sostanziali, che, secondo la comune interpretazione,
riguardano situazioni consolidatesi anteriormente alla loro entrata in vigore
solo se dalla loro formulazione, dalla loro finalità o dal loro impianto
sistematico risulti chiaramente che va loro attribuito tale effetto [sentenza
del 25 febbraio 2021, Caisse pour l’avenir des enfants (Impiego alla
nascita), C‑129/20, EU:C:2021:140, punto 31 e giurisprudenza ivi citata].
101 Il
regolamento 2016/679 non contiene alcuna norma transitoria né alcuna altra
norma che disciplini lo status dei procedimenti giurisdizionali avviati prima
che esso fosse applicabile e che erano ancora in corso alla data in cui è
divenuto applicabile. In particolare, nessuna disposizione di tale regolamento
prevede che esso abbia l’effetto di porre fine a tutti i procedimenti
giurisdizionali pendenti alla data del 25 maggio 2018 che riguardano presunte
violazioni di norme che disciplinano il trattamento di dati personali previste
dalla direttiva 95/46, e ciò anche se i comportamenti costitutivi di tali
presunte violazioni perdurano oltre tale data.
102 Nel caso
di specie, l’articolo 58, paragrafo 5, del regolamento 2016/679 prevede norme
che disciplinano il potere di un’autorità di controllo di intentare un’azione o
di agire in sede giudiziale o, ove del caso, stragiudiziale in caso di
violazione di tale regolamento per far rispettare le disposizioni dello stesso.
103 Ciò
posto, occorre distinguere tra le azioni intentate da un’autorità di controllo
di uno Stato membro per violazioni delle norme sulla protezione dei dati
personali commesse da titolari del trattamento o dai responsabili prima della
data in cui il regolamento 2016/679 è divenuto applicabile e quelle intentate
per violazioni commesse dopo tale data.
104 Nella
prima ipotesi, dal punto di vista del diritto dell’Unione, un’azione giudiziaria,
come quella di cui trattasi nel procedimento principale, può essere mantenuta
sulla base delle disposizioni della direttiva 95/46, la quale rimane
applicabile per quanto riguarda le violazioni commesse fino alla data della sua
abrogazione, ossia il 25 maggio 2018. Nella seconda ipotesi, un’azione siffatta
può essere intentata, in forza dell’articolo 58, paragrafo 5, del regolamento
2016/679, unicamente a condizione che, come è stato sottolineato nell’ambito
della risposta alla prima questione posta, tale azione rientri in una
situazione in cui, a titolo di eccezione, tale regolamento conferisce a
un’autorità di controllo di uno Stato membro, che non sia l’«autorità di
controllo capofila», una competenza ad adottare una decisione che accerti che
il trattamento di dati di cui trattasi viola le norme contenute in detto
regolamento per quanto riguarda la tutela dei diritti delle persone fisiche con
riguardo al trattamento dei dati personali e nel rispetto delle procedure
previste dal medesimo regolamento.
105 Alla
luce di tutte le considerazioni che precedono, occorre rispondere alla quarta
questione posta dichiarando che l’articolo 58, paragrafo 5, del regolamento
2016/679 deve essere interpretato nel senso che, qualora un’autorità di
controllo di uno Stato membro, che non sia l’«autorità di controllo capofila»
ai sensi dell’articolo 56, paragrafo 1, di tale regolamento, abbia intentato
un’azione giudiziaria riguardante un trattamento transfrontaliero di dati
personali prima del 25 maggio 2018, ossia prima della data in cui detto
regolamento è divenuto applicabile, detta azione può, dal punto di vista del
diritto dell’Unione, essere mantenuta in base alle disposizioni della direttiva
95/46, la quale rimane applicabile per quanto riguarda le violazioni delle
norme in essa contenute commesse fino alla data di abrogazione di detta
direttiva. Tale azione può, inoltre, essere intentata da detta autorità per
violazioni commesse dopo tale data sulla base dell’articolo 58, paragrafo 5,
del regolamento 2016/679, purché ciò avvenga in una delle situazioni in cui, a
titolo di eccezione, tale regolamento conferisce a un’autorità di controllo di
uno Stato membro, che non sia l’«autorità di controllo capofila», una
competenza ad adottare una decisione che accerti che il trattamento di dati di
cui trattasi viola le norme contenute in detto regolamento per quanto riguarda
la tutela dei diritti delle persone fisiche con riguardo al trattamento di dati
personali e nel rispetto delle procedure di cooperazione e di coerenza previste
dal medesimo regolamento, circostanza che spetta al giudice del rinvio
verificare.
Sulla
quinta questione
106 Con la
sua quinta questione, il giudice del rinvio chiede, in sostanza, in caso di
risposta affermativa alla prima questione posta, se l’articolo 58, paragrafo 5,
del regolamento 2016/679 debba essere interpretato nel senso che tale
disposizione ha effetto diretto, cosicché un’autorità nazionale di controllo
può invocare detta disposizione per intentare o proseguire un’azione nei confronti
di privati, anche se la medesima disposizione non sia stata specificamente
attuata nella legislazione dello Stato membro interessato.
107 A norma
dell’articolo 58, paragrafo 5, del regolamento 2016/679 ogni Stato membro
dispone per legge che la sua autorità di controllo abbia il potere di intentare
un’azione o di agire in sede giudiziale o, ove del caso, stragiudiziale in caso
di violazione di tale regolamento per far rispettare le disposizioni dello
stesso.
108 In via
preliminare, occorre rilevare che, come sostiene il governo belga, l’articolo
58, paragrafo 5, del regolamento 2016/679 è stato attuato nell’ordinamento
giuridico belga dall’articolo 6 della legge del 3 dicembre 2017. Infatti, ai
sensi di tale articolo 6, che presenta una formulazione sostanzialmente
identica a quella dell’articolo 58, paragrafo 5, del regolamento 2016/679,
l’APD ha il potere di intentare un’azione dinanzi alle autorità giudiziarie, in
caso di violazioni dei principi fondamentali della protezione dei dati
personali, nel quadro della suddetta legge e delle leggi recanti disposizioni
sulla protezione del trattamento dei dati personali e, se del caso, ad agire in
sede giudiziale per far rispettare detti principi fondamentali. Di conseguenza,
si deve ritenere che l’APD possa fondarsi su una disposizione del diritto
nazionale, come l’articolo 6 della legge del 3 dicembre 2017, che attua
l’articolo 58, paragrafo 5, del regolamento 2016/679 nel diritto belga, per
agire in sede giudiziale al fine di far rispettare tale regolamento.
109 Inoltre,
e a fini di completezza, occorre rilevare che, ai sensi dell’articolo 288,
secondo comma, TFUE, un regolamento è obbligatorio in tutti i suoi elementi ed
è direttamente applicabile in ciascuno degli Stati membri, cosicché le sue
disposizioni non necessitano, in linea di principio, di alcuna misura di
applicazione degli Stati membri.
110 In
proposito, si deve ricordare che, secondo consolidata giurisprudenza della
Corte, in forza dell’articolo 288 TFUE e per la natura stessa dei regolamenti
e della loro funzione nel sistema delle fonti del diritto dell’Unione, le
disposizioni dei regolamenti producono, in via generale, effetti immediati
negli ordinamenti giuridici nazionali, senza che le autorità nazionali debbano
adottare misure di applicazione. Tuttavia, talune di tali disposizioni possono
richiedere, per la loro attuazione, l’adozione di misure di applicazione da
parte degli Stati membri (sentenza del 15 marzo 2017, Al Chodor,
C‑528/15, EU:C:2017:213, punto 27 e giurisprudenza ivi citata).
111 Orbene,
come rilevato, in sostanza, dall’avvocato generale al paragrafo 167 delle sue
conclusioni, l’articolo 58, paragrafo 5, del regolamento 2016/679 prevede una
norma specifica e direttamente applicabile in forza della quale le autorità di
controllo devono avere la legittimazione ad agire dinanzi ai giudici nazionali
e la capacità di stare in giudizio in forza del diritto nazionale.
112 Dall’articolo
58, paragrafo 5, del regolamento 2016/679 non risulta che gli Stati membri
debbano stabilire con un’esplicita disposizione quali siano le circostanze in
cui le autorità di controllo nazionali possono agire in sede giudiziale ai
sensi della disposizione in esame. È sufficiente che l’autorità di controllo
abbia la possibilità, conformemente alla normativa nazionale, di intentare
un’azione dinanzi alle autorità giudiziarie e, se del caso, di agire in sede
giudiziale o di avviare, in altro modo, un procedimento diretto a far
rispettare le disposizioni di detto regolamento.
113 Alla
luce di tutte le considerazioni che precedono, occorre rispondere alla quinta
questione posta dichiarando che l’articolo 58, paragrafo 5, del regolamento
2016/679 deve essere interpretato nel senso che tale disposizione ha effetto
diretto, cosicché un’autorità di controllo nazionale può invocarla per
intentare o proseguire un’azione nei confronti di privati, anche qualora detta
disposizione non sia stata specificamente attuata nella normativa dello Stato
membro interessato.
Sulla
sesta questione
114 Con la
sesta questione, il giudice del rinvio chiede, in sostanza, in caso di risposta
affermativa alle questioni dalla prima alla quinta, se l’esito di un
procedimento giudiziario, avviato da un’autorità di controllo di uno Stato
membro, vertente su un trattamento transfrontaliero di dati personali possa
ostare a che l’autorità di controllo capofila adotti una decisione in cui
giunge ad un accertamento in senso contrario, nel caso in cui essa indaghi
sulle stesse attività di trattamento transfrontaliero o su attività analoghe,
conformemente al meccanismo previsto agli articoli 56 e 60 del regolamento
2016/679.
115 A tal
riguardo, occorre ricordare che, secondo una giurisprudenza costante, le
questioni relative al diritto dell’Unione godono di una presunzione di
rilevanza. Il rifiuto della Corte di statuire su una questione pregiudiziale
posta da un giudice nazionale è possibile solo quando appaia in modo manifesto
che l’interpretazione del diritto dell’Unione richiesta non ha alcuna relazione
con la realtà effettiva o con l’oggetto della controversia nel procedimento
principale, qualora il problema sia di natura ipotetica o anche laddove la
Corte non disponga degli elementi di fatto o di diritto necessari per fornire
una risposta utile alle questioni che le vengono sottoposte (sentenze del 16
giugno 2015, Gauweiler e a., C‑62/14,
EU:C:2015:400, punto 25, e del 7 febbraio 2018, American Express, C‑304/16,
EU:C:2018:66, punto 32).
116 Inoltre,
conformemente a una giurisprudenza parimenti costante, la ratio del rinvio
pregiudiziale non consiste nell’esprimere pareri a carattere consultivo su
questioni generali o ipotetiche, bensì nella necessità di dirimere
concretamente una controversia (sentenza del 10 dicembre 2018, Wightman e a., C‑621/18, EU:C:2018:999, punto 28
e giurisprudenza ivi citata).
117 Nel caso
di specie, occorre sottolineare che, come osservato dal governo belga, la sesta
questione posta si basa su circostanze le quali non è stato affatto dimostrato
siano presenti nell’ambito del procedimento principale, vale a dire che, per il
trattamento transfrontaliero oggetto di tale controversia, vi sia un’autorità
di controllo capofila che non solo indaghi sulle stesse attività di trattamento
transfrontaliero di dati personali che sono oggetto del procedimento giudiziario
avviato dall’autorità di controllo dello Stato membro interessato, o su
attività analoghe, ma intenda altresì adottare una decisione che giunga ad un
accertamento in senso contrario.
118 Ciò
premesso, occorre rilevare che la sesta questione posta non ha alcuna relazione
con la realtà effettiva o con l’oggetto della causa principale e riguarda un
problema ipotetico. Di conseguenza, tale questione deve essere dichiarata
irricevibile.
Sulle
spese
119 Nei
confronti delle parti nel procedimento principale la presente causa costituisce
un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire
sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni
alla Corte non possono dar luogo a rifusione.
Per questi motivi, la Corte (Grande Sezione) dichiara:
1) L’articolo
55, paragrafo 1, e gli articoli da 56 a 58 nonché da 60 a 66 del regolamento
(UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016,
relativo alla protezione delle persone fisiche con riguardo al trattamento dei
dati personali, nonché alla libera circolazione di tali dati e che abroga la
direttiva 95/46/CE (regolamento generale sulla protezione dei dati), in
combinato disposto con gli articoli 7, 8 e 47 della Carta dei diritti
fondamentali dell’Unione europea, devono essere interpretati nel senso che
un’autorità di controllo di uno Stato membro, la quale, in forza della
normativa nazionale adottata in esecuzione dell’articolo 58, paragrafo 5, di
tale regolamento, abbia il potere di intentare un’azione dinanzi ad un giudice
di tale Stato membro e, se del caso, di agire in sede giudiziale in caso di
presunta violazione di detto regolamento, può esercitare tale potere con
riguardo al trattamento transfrontaliero di dati, pur non essendo l’«autorità
di controllo capofila» ai sensi dell’articolo 56, paragrafo 1, dello stesso
regolamento con riguardo a siffatto trattamento di dati, purché ciò avvenga in
una delle situazioni in cui il regolamento 2016/679 conferisce a tale autorità
di controllo la competenza ad adottare una decisione che accerti che il
trattamento in questione viola le norme in esso contenute, nonché nel rispetto
delle procedure di cooperazione e di coerenza previste da tale regolamento.
2) L’articolo
58, paragrafo 5, del regolamento 2016/679 deve essere interpretato nel senso
che, in caso di trattamento transfrontaliero di dati, l’esercizio del potere di
un’autorità di controllo di uno Stato membro, diversa dall’autorità di
controllo capofila, di intentare un’azione giudiziaria, ai sensi di tale
disposizione, non esige che il titolare del trattamento o il responsabile per
il trattamento transfrontaliero di dati personali, nei cui confronti tale
azione viene intentata, disponga di uno stabilimento principale o di un altro
stabilimento nel territorio di detto Stato membro.
3) L’articolo
58, paragrafo 5, del regolamento 2016/679 deve essere interpretato nel senso
che il potere di un’autorità di controllo di uno Stato membro, diversa
dall’autorità di controllo capofila, di intentare un’azione dinanzi ad un
giudice di tale Stato membro e, se del caso, di agire in sede giudiziale, ai
sensi di tale disposizione, in caso di presunta violazione di detto regolamento
può essere esercitato tanto nei confronti dello stabilimento principale del
titolare del trattamento che si trovi nello Stato membro di appartenenza di
tale autorità quanto nei confronti di un altro stabilimento di tale titolare,
purché l’azione giudiziaria riguardi un trattamento di dati effettuato nell’ambito
delle attività di detto stabilimento e l’autorità di cui trattasi sia
competente ad esercitare siffatto potere, conformemente a quanto esposto in
risposta alla prima questione pregiudiziale posta.
4) L’articolo
58, paragrafo 5, del regolamento 2016/679 deve essere interpretato nel senso
che, qualora un’autorità di controllo di uno Stato membro, che non sia
l’«autorità di controllo capofila» ai sensi dell’articolo 56, paragrafo 1, di
tale regolamento, abbia intentato un’azione giudiziaria riguardante un
trattamento transfrontaliero di dati personali prima del 25 maggio 2018, ossia
prima della data in cui detto regolamento è divenuto applicabile, detta azione
può, dal punto di vista del diritto dell’Unione, essere mantenuta in base alle
disposizioni della direttiva 95/46/CE del Parlamento europeo e del Consiglio,
del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al
trattamento dei dati personali, nonché alla libera circolazione di tali dati,
la quale rimane applicabile per quanto riguarda le violazioni delle norme in
essa contenute commesse fino alla data di abrogazione di detta direttiva. Tale
azione può, inoltre, essere intentata da detta autorità per violazioni commesse
dopo tale data sulla base dell’articolo 58, paragrafo 5, del regolamento
2016/679, purché ciò avvenga in una delle situazioni in cui, a titolo di
eccezione, tale regolamento conferisce a un’autorità di controllo di uno Stato
membro, che non sia l’«autorità di controllo capofila», una competenza ad adottare
una decisione che accerti che il trattamento di dati di cui trattasi viola le
norme contenute in detto regolamento per quanto riguarda la tutela dei diritti
delle persone fisiche con riguardo al trattamento di dati personali e nel
rispetto delle procedure di cooperazione e di coerenza previste dal medesimo
regolamento, circostanza che spetta al giudice del rinvio verificare.
5) L’articolo
58, paragrafo 5, del regolamento 2016/679 deve essere interpretato nel senso
che tale disposizione ha effetto diretto, cosicché un’autorità di controllo
nazionale può invocarla per intentare o proseguire un’azione nei confronti di
privati, anche qualora detta disposizione non sia stata specificamente attuata
nella normativa dello Stato membro interessato.
Firme
* Lingua processuale: il
neerlandese.