In caso di violazione della direttiva sulla protezione dei dati (GDPR) anche un’autorità nazionale per la privacy, e non soltanto quella irlandese, può fare causa a Facebook. Lo ha stabilito la Corte di giustizia della Ue, in una sentenza che vede l’autorità belga di protezione dei dati contro Facebook Irlanda, Facebook Belgio e Facebook Inc.
Finora, dopo l’entrata in vigore del GDPR, veniva applicato il principio dello ‘sportello unico’ previsto dalla direttiva: “solo il commissario irlandese per la protezione dei dati sarebbe competente ad intentare un’azione inibitoria, sotto il controllo dei giudici irlandesi”, dato che è Facebook Irlanda il titolare del trattamento.
In questo caso, però, i giudici belgi hanno chiesto alla Corte se l’autorità belga della privacy fosse legittimata ad intentare un’azione oppure no, dopo che Facebook era stata accusata di aver raccolto dati attraverso i cookie, violando la direttiva. La Corte ha decretato, finalmente, che anche le altre autorità nazionali possono agire in tribunale.
Nel dettaglio, quindi, la Corte ha chiarito nella sua sentenza, quali sono i poteri delle autorità nazionali di controllo nell’ambito del GDPR. In particolare, “in presenza di determinate condizioni”, la direttiva “autorizza un’autorità di controllo di uno Stato membro ad esercitare il suo potere di intentare un’azione dinanzi ad un giudice di tale Stato e di agire in sede giudiziale in caso di presunta violazione del GDPR, con riguardo ad un trattamento transfrontaliero di dati, pur non essendo l’autorità di controllo capofila per tale trattamento”.
Tra le condizioni, ad esempio, c’è la competenza territoriale, ovvero “in caso di trattamento transfrontaliero di dati”, l’autorità di controllo di uno Stato membro può intentare un’azione giudiziaria anche se il titolare del trattamento di dati personali non ha uno stabilimento principale nel suo territorio, purché ne abbia uno in uno Stato Ue.