Nel corso dell’ultima sessione plenaria, l’EDPB ha adottato una decisione relativamente alla controversia della Commissione irlandese per la protezione dei dati contro WhatsApp Irlanda.
La controversia sorge a seguito della condivisione, da parte dell’Autorità Irlandese, di un provvedimento conclusivo dell’indagine condotta, motu proprio, sul rispetto, da parte di Whatsapp IE, degli obblighi di trasparenza previsti dagli artt. 12, 13 e 14 GDPR. Lo scopo della decisione era quello di definire quali fossero gli standard minimi di trasparenza cui Whatsapp dovesse aderire e quale sanzione dovesse essere irrogata alla Società per aver violato le prescrizioni contenute nel GDPR. Poiché erano sorte opposizioni da parte delle altre autorità, l’ente irlandese si era rivolto all’EDPB. La decisione, che sarà tempestivamente notificata alle autorità di sorveglianza interessate, comporterà per il Garante Irlandese il decorrere di un termine perentorio per l’adozione della versione finale del provvedimento riguardante Whatsapp IE.
Indice degli argomenti
La controversia EDPB-Garante irlandese su Whatsapp
La necessità di adottare la decisione vincolante in esame nasce dalla controversia sorta fra l’Autorità Garante Irlandese, in qualità di autorità di vigilanza capofila e le altre autorità garanti interessate dal mutamento della privacy policy di Whatsapp, che mostrerebbe gravi lacune sotto il profilo della chiarezza e della trasparenza. Nel caso in cui sorgano delle contestazioni o delle dispute fra le Autorità di controllo interessate e l’autorità capofila, l’EDPB può intervenire per risolvere detta disputa. Prevede, infatti, l’art. 65 GDPR, che: “Al fine di assicurare l’applicazione corretta e coerente del presente regolamento nei singoli casi, il comitato adotta una decisione vincolante […] se, in un caso di cui all’articolo 60, paragrafo 4, un’autorità di controllo interessata ha sollevato un’obiezione pertinente e motivata a un progetto di decisione dell’autorità capofila o l’autorità capofila ha rigettato tale obiezione in quanto non pertinente o non motivata. La decisione vincolante riguarda tutte le questioni oggetto dell’obiezione pertinente e motivata, in particolare se sussista una violazione del presente regolamento”.
Whatsapp, la privacy preoccupa i Garanti europei (EDPB): chiesto all’Irlanda indagine urgente
Le conseguenze
A seguito della condivisione della bozza di detto provvedimento, con le altre autorità interessate ai sensi dell’art. 60 par. 3 GDPR (che recita “L’autorità di controllo capofila comunica senza indugio le informazioni utili sulla questione alle altre autorità di controllo interessate. Trasmette senza indugio alle altre autorità di controllo interessate un progetto di decisione per ottenere il loro parere e tiene debitamente conto delle loro opinioni”), alcune di esse hanno sollevato numerose opposizioni in merito al tipo di infrazioni individuate dal Garante irlandese, all’eventualità in cui i dati oggetto di esame dovessero essere considerati o meno dati personali, alle conseguenze derivanti dalla risposta affermativa a tale domande, oltre che all’adeguatezza delle sanzioni e delle misure correttive proposte. Il Garante irlandese, dunque, rigettando le obiezioni avanzate dalle autorità interessate, ha deferito la risoluzione della disputa all’EDPB, avviando la procedura prevista all’art. 65.
La decisione di EDPB
All’interno della decisione vincolante adottata da EDPB, il cui esatto contenuto non è stato pubblicato, ma solo riassunto all’interno di un comunicato stampa, si affrontano nel merito le eccezioni ritenute “rilevanti e motivate” in linea con i requisiti dell’art. 4 (24) GDPR ( che definisce l’«obiezione pertinente e motivata»: come “un’obiezione al progetto di decisione sul fatto che vi sia o meno una violazione del presente regolamento, oppure che l’azione prevista in relazione al titolare del trattamento o responsabile del trattamento sia conforme al presente regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli interessati e, ove applicabile, alla libera circolazione dei dati personali all’interno dell’Unione”).
Nello specifico, l’EDPB precisa che l’Autorità Garante Irlandese “adotti la sua decisione finale, indirizzata al titolare del trattamento, sulla base della decisione dell’EDPB, senza indebito ritardo e al più tardi un mese dopo che l’EDPB ha notificato la sua decisione”. L’EDPB pubblicherà la sua decisione sul proprio sito web successivamente all’adempimento degli obblighi di notifica posti a carico dell’Autorità Garante Irlandese.
Cosa dice l’articolo 65 GDPR
Il GDPR richiede alle autorità di vigilanza europee di cooperare per garantire l’applicazione coerente e condivisa delle norme contenute dello stesso, al fine di garantire che la tutela offerta ai cittadini sia uniforma all’interno dell’intero spazio economico europeo.
Per tale ragione, anche nell’applicazione del meccanismo del one-top-shop, o sportello unico, di cui all’art. 60 GDPR, l’Autorità capofila è incaricata di guidare l’intero processo di cooperazione fra le diverse autorità competenti (ovvero, le altre autorità nel cui territorio viene posto in essere in trattamento transfrontaliero di dati), condividendo le informazioni pertinenti con quest’ultime, svolgendo ogni indagine dovesse ritenersi necessaria anche sulla scorta delle segnalazioni ricevute, e preparando una bozza della decisione relativa al caso oggetto di indagine.
Detta bozza, che viene sottoposta al vaglio delle autorità interessate, può essere opposta dalle stesse, in modo pertinente e motivato, entro un termine di quattro settimane decorrente dalla notifica, ai sensi di quanto previsto all’art. 60 par. 4 del GDPR. In assenza di obiezioni, la bozza diventa definitiva. Nel caso in cui l’Autorità capofila non intenda far seguito alle obiezioni sottopostele, e, quindi, sorga una controversia in merito al contenuto della decisione, impedendo il raggiungimento del consenso, si attiva il c.d. meccanismo di coerenza, che obbliga l’Autorità capofila a deferire il caso all’EDPB.
Il ruolo dell’EDPB
L’EDPB agirà, quindi, come organo di risoluzione delle controversie ed entro un mese dal deferimento della controversia, emetterà una decisione vincolante sia per l’Autorità capofila che per le ulteriori Autorità interessate. Tale periodo può essere prorogato di un altro mese nell’ipotesi in cui la disputa da risolvere sia particolarmente complessa. La natura vincolante della decisione comporterà l’obbligo, per l’Autorità capofila, di allineare il contenuto del proprio provvedimento finale a quanto stabilito all’interno della decisione vincolante emanata dall’EDPB. Nel caso in cui le decisioni dell’EDPB riguardino direttamente e individualmente il titolare del trattamento, il responsabile del trattamento o il ricorrente, questi possono proporre ricorso, al fine di ottenere l’annullamento della decisione, entro due mesi dalla sua pubblicazione sul sito web dell’EDPB, davanti alla Corte di Giustizia dell’Unione Europea (CGUE), ai sensi dell’art. 263 TFUE.
Fatto salvo detto diritto, ogni persona fisica o giuridica può proporre ricorso avanti al giudice nazionale competente, in conformità a quanto previsto dalla normativa nazionale applicabile, avverso le decisioni definitive adottate dall’Autorità capofila, ove producano effetti giuridici nei suoi confronti. Il giudice nazionale non potrà dichiarare l’invalidità della decisione assunta ai sensi dell’art. 65 GDPR, ma dovrà, a sua volta, adire la CGUE, secondo quanto previsto all’art. 267 TFUE.
