GDPR: autorità di controllo diverse dalla «capofila» e trattamenti di dati transfontalieri
24 Giugno 2021
L'art. 55, paragrafo 1, e gli artt. da 56 a 58 nonché da 60 a 66 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), in combinato disposto con gli artt. 7, 8 e 47 della Carta dei diritti fondamentali dell'Unione europea, devono essere interpretati nel senso che un'autorità di controllo di uno Stato membro, la quale, in forza della normativa nazionale adottata in esecuzione dell'art. 58, paragrafo 5, di tale regolamento, abbia il potere di intentare un'azione dinanzi ad un giudice di tale Stato membro e, se del caso, di agire in sede giudiziale in caso di presunta violazione di detto regolamento, può esercitare tale potere con riguardo al trattamento transfrontaliero di dati, pur non essendo l'«autorità di controllo capofila» ai sensi dell'art. 56, paragrafo 1, dello stesso regolamento con riguardo a siffatto trattamento di dati, purché ciò avvenga in una delle situazioni in cui il Regolamento (UE) 2016/679 conferisce a tale autorità di controllo la competenza ad adottare una decisione che accerti che il trattamento in questione viola le norme in esso contenute, nonché nel rispetto delle procedure di cooperazione e di coerenza previste da tale regolamento.
L'art. 58, paragrafo 5, del Regolamento (UE) 2016/679 deve essere interpretato nel senso che, in caso di trattamento transfrontaliero di dati, l'esercizio del potere di un'autorità di controllo di uno Stato membro, diversa dall'autorità di controllo capofila, di intentare un'azione giudiziaria, ai sensi di tale disposizione, non esige che il titolare del trattamento o il responsabile per il trattamento transfrontaliero di dati personali, nei cui confronti tale azione viene intentata, disponga di uno stabilimento principale o di un altro stabilimento nel territorio di detto Stato membro.
L'art. 58, paragrafo 5, del Regolamento (UE) 2016/679 deve essere interpretato nel senso che il potere di un'autorità di controllo di uno Stato membro, diversa dall'autorità di controllo capofila, di intentare un'azione dinanzi ad un giudice di tale Stato membro e, se del caso, di agire in sede giudiziale, ai sensi di tale disposizione, in caso di presunta violazione di detto regolamento può essere esercitato tanto nei confronti dello stabilimento principale del titolare del trattamento che si trovi nello Stato membro di appartenenza di tale autorità quanto nei confronti di un altro stabilimento di tale titolare, purché l'azione giudiziaria riguardi un trattamento di dati effettuato nell'ambito delle attività di detto stabilimento e l'autorità di cui trattasi sia competente ad esercitare siffatto potere, conformemente a quanto esposto in risposta alla prima questione pregiudiziale posta.
L'art. 58, paragrafo 5, del Regolamento (UE) 2016/679 deve essere interpretato nel senso che, qualora un'autorità di controllo di uno Stato membro, che non sia l'«autorità di controllo capofila» ai sensi dell'art. 56, paragrafo 1, di tale regolamento, abbia intentato un'azione giudiziaria riguardante un trattamento transfrontaliero di dati personali prima del 25 maggio 2018, ossia prima della data in cui detto regolamento è divenuto applicabile, detta azione può, dal punto di vista del diritto dell'Unione, essere mantenuta in base alle disposizioni della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, la quale rimane applicabile per quanto riguarda le violazioni delle norme in essa contenute commesse fino alla data di abrogazione di detta direttiva. Tale azione può, inoltre, essere intentata da detta autorità per violazioni commesse dopo tale data sulla base dell'art. 58, paragrafo 5, del Regolamento (UE) 2016/679, purché ciò avvenga in una delle situazioni in cui, a titolo di eccezione, tale regolamento conferisce a un'autorità di controllo di uno Stato membro, che non sia l'«autorità di controllo capofila», una competenza ad adottare una decisione che accerti che il trattamento di dati di cui trattasi viola le norme contenute in detto regolamento per quanto riguarda la tutela dei diritti delle persone fisiche con riguardo al trattamento di dati personali e nel rispetto delle procedure di cooperazione e di coerenza previste dal medesimo regolamento, circostanza che spetta al giudice del rinvio verificare.
L'art. 58, paragrafo 5, del Regolamento (UE) 2016/679 deve essere interpretato nel senso che tale disposizione ha effetto diretto, cosicché un'autorità di controllo nazionale può invocarla per intentare o proseguire un'azione nei confronti di privati, anche qualora detta disposizione non sia stata specificamente attuata nella normativa dello Stato membro interessato. |