Per la prima volta l’EDPB ha adottato una decisione in conformità all’articolo 65 del GDPR, una norma fondamentale per garantire l’uniformità di applicazione delle regole tra tutte le autorità europee: la decisione è stata presa nell’ambito di un caso riguardante il trattamento dei dati da parte del social network Twitter, che a gennaio 2019 aveva notificato al Garante irlandese un data breach. Per l’azienda sussiste il rischio di vedersi comminare una sanzione.
Ma al di là del singolo caso, la mossa dell’EDPB è importante in un contesto più ampio. L’articolo 56 del GDPR, infatti, concretizza l’importanza di “assicurare l’uniformità di applicazione delle regole. Man mano che l’UE ha sviluppato la sua attenzione ai dati è diventato sempre più importante avere una normativa uniforme, ma bisognava anche evitare che i garanti avessero indirizzi applicativi diversi tra loro”, commenta Francesco Pizzetti, ex presidente dell’Autorità garante della privacy italiana e professore di Diritto Costituzionale.
Indice degli argomenti
Il data breach Twitter e le discussioni tra garanti
La decisione dell’EDPB ha natura vincolante, è stata adottata il 9 novembre e sarà comunicata all’autorità garante irlandese, che funge da autorità di controllo capofila nell’ambito di una vicenda che riguarda Twitter. La decisione dell’EDPB punta alla risoluzione di una controversia sorta tra questa e altre autorità riguardo a tale caso.
In particolare, Twitter Internationa Company l’8 gennaio 2019 ha notificato una violazione dei dati all’autorità di controllo. Sono stati quindi avviati controlli d’ufficio: come spiega in una nota il Garante italiano, riprendendo l’EDPB, a maggio 2020 “l’autorità di controllo irlandese ha condiviso il suo progetto di decisione con le autorità di controllo interessate a norma dell’articolo 60 (3) del GDPR. Le autorità di controllo interessate disponevano di quattro settimane per presentare le rispettive obiezioni pertinenti e motivate (RRO)”.
Sono state quindi presentate le obiezioni che riguardano le violazioni del GDPR che sono state individuate dall’autorità di controllo capofila (quindi quella irlandese), ma anche il ruolo di Twitter come titolare del trattamento dei dati, nonché la cifra proposta per la sanzione pecuniaria.
L’autorità irlandese ha però respinto le obiezioni presentate dagli altri garanti, ritenendo che non fossero pertinenti, facendo quindi ricorso al comitato europeo EDPB, per avviare la procedura di risoluzione della controversia.
Spiega il Garante italiano che “a seguito del deferimento da parte dell’autorità capofila, è stata valutata la completezza del fascicolo e successivamente si è proceduto all’avvio formale della procedura ex articolo 65, in data 8 settembre 2020. In conformità dell’articolo 65, paragrafo 3, del RGPD e in combinato disposto con l’articolo 11, paragrafo 4, del regolamento interno del Comitato, il termine di un mese previsto in via generale per l’adozione della decisione è stato prorogato di un altro mese a causa della complessità della questione”.
Ora, dopo l’adozione della decisione il 9 novembre, si attende la comunicazione all’autorità irlandese da parte di EDPB, che poi sarà comunicata a Twitter.
Pizzetti: “Importante l’uniformità di applicazione delle leggi”
L’articolo 65 del GDPR, che descrive il processo adottato dall’autorità irlandese, dagli altri garanti e dall’EDPB nell’ambito del caso Twitter, punta a garantire che le norme europee in materia di data protection siano uniformemente applicate da tutti.
Pizzetti spiega che è stato introdotto il principio della leading authority, autorità capofila che si occupa delle controverise, ed “è stato ideato il meccanismo ora messo in atto per la prima volta, per cui le altre autorità possono sempre dichiarare la loro volontà di partecipare al procedimento decisionale e fornire le loro opinioni. In caso di dissenso tra gli enti dopo la verifica dell’autorità capofila, la questione viene rimessa dall’EDPB che diventa dunque la sede definitiva per stabilire la modalità di applicazione della legge”.
Ora, si attende che l’EDPB esprima la sua decisione: “La questione all’origine è sicuramente una delle più rilevanti perché riguarda l’uso che Twitter fa dei dati che tratta in quanto social network”, conclude Pizzetti.
