Anche un’autorità nazionale per la privacy, e non soltanto quella irlandese, può fare causa a Facebook in caso di violazione della direttiva sulla protezione dei dati (Gdpr).
Lo ha stabilito la Corte di giustizia della Ue, in una sentenza che vede l’autorità belga di protezione dei dati contro Facebook Irlanda, Facebook Belgio e Facebook Inc per aver raccolto dati attraverso i cookie, in violazione della direttiva.
La Corte ha chiarito che, nonostante l’autorità irlandese sia “capofila” del trattamento dati visto che è Facebook Irlanda il titolare del trattamento, anche le altre autorità nazionali possono agire in tribunale.
Il pronunciamento della Corte vuole dare oggi una svolta alla lotta alle violazioni che negli ultimi anni vedevano Facebook come responsabile dell’uso improprio di informazioni sensibili finalizzate alla raccolta di dati di internet di belgi, detentori o meno di un account Facebook, ottenute mediante varie tecnologie, quali i cookie, i social plugin o i pixel.
Nonostante il potenziale per ulteriori indagini sulla privacy, Facebook si è dichiarato “soddisfatto” della sentenza.
Tutti i dettagli.
COSA HA STABILITO LA CORTE DI GIUSTIZIA UE SU FACEBOOK
Facebook Inc. — così come altri giganti tecnologici statunitensi — non potranno eludere i potenziali controlli sulla privacy delle autorità per la protezione dei dati dell’Ue oltre al loro principale organo di controllo in Irlanda.
Lo ha affermato la Corte di Giustizia dell’Ue in una sentenza martedì.
“Un’autorità di controllo di uno Stato membro” è autorizzata “ad esercitare il suo potere di intentare un’azione dinanzi a un giudice di quello Stato e di agire in sede giudiziale in caso di presunta violazione della Direttiva sulla protezione dei dati”, pur non essendo “l’autorità di controllo capofila per tale trattamento”.
RIGUARDO L’AUTORITÀ DELLA PRIVACY IRLANDESE
Finora solo il commissario irlandese per la protezione dei dati era competente ad intentare un’azione inibitoria nei confronti di Facebook.
L’Irlanda è diventata infatti l’hub in Ue prescelto per alcune delle più grandi aziende statunitensi. Non solo Facebook, ma anche Google, Twitter e Apple, hanno scelto Dublino per la propria sede principale con la supervisione dell’autorità irlandese per la protezione dei dati secondo la normativa del Gdpr, che prevede sanzioni pecuniarie fino al 4% del fatturato globale di un’azienda in caso di violazioni.
Tuttavia, osservatori nazionali nell’Ue si sono a lungo lamentati dell’authority irlandese, affermando che impiega troppo tempo per decidere sui casi. L’Irlanda ha respinto le critiche, sostenendo che è necessaria la meticolosità per trattare con colossi tecnologici potenti e ben finanziati.
A PARTIRE DALL’AZIONE CONTRO FACEBOOK IRELEND, FACEBOOK INC. E FACEBOOK BELGIUM
Con questa sentenza la Corte di giustizia Ue ha delineato le condizioni di esercizio dei poteri delle autorità nazionali rispetto al controllo del trattamento transfrontaliero di dati in seguito all’azione inibitoria intentata nei confronti delle società Facebook Ireland, Facebook Inc. e Facebook Belgium dell’11 settembre 2015 dal presidente della Commissione belga per la tutela della vita privata.
In una nota diffusa dalla Corte si riferisce che la sentenza si inserisce nel dibattito relativo all’applicazione dello “sportello unico” previsto dal Gdpr a partire dalla sua entrata in vigore del 25 maggio 2018. Secondo il Regolamento solo il commissario irlandese per la Protezione dei dati sarebbe competente a intentare un’azione inibitoria, sotto il controllo dei giudici irlandesi.
COSA CAMBIERÀ PER FB E LE BIG TECH
D’ora in avanti un’autorità che non è l’autorità di vigilanza principale per un’azienda, può avviare un procedimento legale per una violazione della privacy dei dati transfrontaliera, purché rispetti la “ripartizione delle competenze” ai sensi del diritto dell’Ue, ha affermato la Corte di Giustizia.
LA REAZIONE DI FACEBOOK
I giudici “hanno sostenuto il valore e i principi del meccanismo dello sportello unico e ne hanno sottolineato l’importanza nel garantire l’applicazione efficiente e coerente del Gdpr in tutta l’Ue”, ha dichiarato in una nota Jack Gilbert, consigliere generale associato di Facebook.
IL COMMENTO DELL’EDPS
Wojciech Wiewiórowski, presidente dell’Edps, il Garante europeo della protezione dei dati, ha affermato che la sentenza ha confermato che un’autorità di controllo capofila non può “fare da sola” e deve cooperare strettamente con altre autorità di protezione dei dati.
Wiewiórowski ha sottolineato la necessità di “una cooperazione sincera ed efficace per preservare sia l’interpretazione coerente del Gdpr che l’efficacia delle sue disposizioni”.
I CASI IN CANTIERE CONTRO WHATSAPP, TWITTER, APPLE E LINKEDIN
I casi dell’Irlanda in cantiere includono azioni contro Instagram e WhatsApp di proprietà di Facebook, nonché Twitter, Apple, Verizon Media, LinkedIn di proprietà di Microsoft e l’inserzionista digitale statunitense Quantcast.
Articoli correlati
De-escalation in corso fra Israele e Iran? Analisi e commenti
La sbandata di Cybertruck: cosa è successo al fuoristrada di Tesla
Ecco la carica degli abbonati di Netflix (celata dall’anno prossimo)
Cosa non va con Tsmc
