Bruxelles – È una sentenza a suo modo storica quella emessa oggi (martedì 15 giugno) dalla Corte di Giustizia dell’Unione Europea in materia di protezione dei dati personali. Secondo quanto stabilito dalla Corte, ogni autorità nazionale di controllo della privacy può agire in tribunale “in presenza di determinate condizioni”, qualora sia stato violato il Regolamento generale per la protezione dei dati personali (GDPR).
La decisione della Grande Sezione della Corte di Giustizia dell’UE (ovvero 15 giudici riuniti) è arrivata da un chiarimento sul caso dell’autorità belga di protezione dei dati (Commissione belga per la tutela della vita privata) contro Facebook Irlanda, Facebook Belgio e Facebook Inc per aver raccolto informazioni personali degli utenti attraverso i cookie, in aperta violazione del GDPR.
“Pur non essendo l’autorità di controllo capofila per tale trattamento“, specifica la sentenza (lo sarebbe quella irlandese, essendo Facebook Irlanda titolare del trattamento), la direttiva “autorizza un’autorità di controllo di uno Stato membro a esercitare il suo potere di intentare un’azione dinanzi a un giudice di tale Stato”.
Tra le condizioni poste dalla Corte di Giustizia dell’UE c’è la competenza territoriale, vale a dire in caso di “trattamento transfrontaliero di dati“. Nello specifico, l’autorità di controllo belga (e qualsiasi altra di un Paese UE) può intentare un’azione giudiziaria contro Facebook per violazione della privacy dei suoi cittadini, anche se l’azienda non ha lo stabilimento principale nel suo territorio, ma su quello di un altro Stato membro UE (l’Irlanda).
La Corte ha anche precisato che le attività dello stabilimento di Facebook in Belgio sono “inscindibilmente connesse” al trattamento dei dati personali in esame nel procedimento che riguarda la sede principale irlandese e per questo motivo “rientra effettivamente nell’ambito di applicazione del GDPR”.
