Skip to content

Caso Clearview – Takeaways

I bollettini di House of Data Imperiali sono degli estratti delle Puntate del Servizio di Informazione Giuridica (SIG), a cura dell’Avv. Rosario Imperiali d’Afflitto.

Il SIG è fruibile tramite abbonamento.

Caso Clearview – Takeaways

Il business della società americana – consistente nel web scraping delle immagini degli utenti internet, nella correlazione con metadati identificativi dei soggetti di riferimento e nella comparazione con foto fornite dai clienti dell’applicazione per ottenerne l’identificazione – è stato oggetto di scrutinio da parte di molteplici autorità di supervisione europee. 

La difesa della società americana si è principalmente basata sulla presunta carenza di giurisdizione del diritto dell’Unione per non applicabilità del GDPR.

 

Trattamento transfrontaliero di dati

In primo luogo, occorre ricordare che se un trattamento di dati personali ha luogo nell’ambito delle attività di stabilimenti in più Stati membri oppure ha impatto su interessati che si trovano in più Stati membri [cosiddetto “trattamento transfrontaliero”, art. 4, punto 23) del GDPR] allora l’autorità di supervisione di ciascuno Stato membro è competente a valutarne la conformità e, in caso di accertata violazione, di adottare i provvedimenti pertinenti, inclusa l’irrogazione delle sanzioni.

L’articolo 55.1 del regolamento conferma che «(o)gni autorità di controllo è competente a eseguire i compiti assegnati e a esercitare i poteri a essa conferiti a norma del presente regolamento nel territorio del rispettivo Stato membro».

La competenza esclusiva dell’autorità di controllo sul proprio territorio trova conferma nell’articolo 56.2, il quale sancisce che «ogni autorità di controllo è competente per la gestione dei reclami a essa proposti o di eventuali violazioni del presente regolamento se l’oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro».

Di conseguenza, se un titolare (come Clearview) effettua trattamenti transfrontalieri deve tenere in considerazione che tale trattamento sarà oggetto di scrutinio da parte di ciascuna autorità di supervisione nazionale coinvolta.

 

Meccanismo di cooperazione (“one-stop-shop”)

In presenza di un trattamento transfrontaliero il legislatore si è premurato di creare le condizioni affinché valutazioni e interventi delle singole autorità di supervisione siano tra loro sostanzialmente omogenei. A tal fine, il GDPR prevede due istituti: 

  • quello del meccanismo di cooperazione o “one-stop-shop” quando il titolare o responsabile del trattamento ha uno stabilimento sul territorio dell’Unione (artt. 56.1 e 60) 
  • quello dell’assistenza reciproca, negli altri casi (artt. 56.5 e 61, 62).

l meccanismo di cooperazione prevede che l’autorità di supervisione dello Stato membro in cui si trova lo stabilimento principale del titolare o responsabile agisca in qualità di “capofila” gestendo il caso e coordinando le posizioni assunte dalle altre autorità “interessate”.  

Il meccanismo di cooperazione non solo svolge la funzione di assicurare l’omogeneità di approccio tra le diverse autorità ma rappresenta anche un’agevolazione in favore del titolare o responsabile, consentendogli di approcciare un unico sportello per gestire la propria pratica; infatti, l’autorità capofila rappresenta l’unico interlocutore (one stop) del titolare o responsabile di riferimento. 

Condizione per poter ricorrere al meccanismo di cooperazione – come detto – è l’esistenza di uno stabilimento del titolare o responsabile in uno degli Stati membri dell’Unione: l’autorità competente nello Stato membro in cui è situato lo stabilimento (o quello “principale”, in presenza di una pluralità di essi) è l’autorità capofila.

 

Assistenza reciproca

Se il titolare o il responsabile del trattamento non ha un proprio stabilimento nell’Unione, come nel caso di Clearview, e si è in presenza di un trattamento transfrontaliero, allora ciascuna autorità di supervisione è competente a giudicare degli impatti prodotti dal relativo trattamento sugli interessati che si trovano nel proprio territorio e tra le autorità interessate si ricorre all’assistenza reciproca (art. 61). 

L’istituto dell’articolo 61 prevede lo scambio di informazioni e una cooperazione efficace tra le autorità al fine di un’applicazione coerente del regolamento. 

Questo è quanto avvenuto per il caso Clearview la quale, in qualità di titolare del trattamento privo di un proprio stabilimento nell’Unione, è stata oggetto di scrutinio – per quanto attiene il trattamento di dati personali effettuato mediante il proprio servizio di riconoscimento facciale – da parte di alcune autorità di supervisione previa reciproca assistenza. 

In proposito, nei riguardi della stessa azienda e in relazione al medesimo oggetto, si sono pronunciate le autorità svedese (DI-2020-2719:A126.614/2020 del 10/2/2021), finlandese, l’autorità del Land di Amburgo (decisione 545/2020; 32.02-102), il CNIL francese (decisione n° MED 2021-134 dell’1/11/2021) e quella italiana del 10/2/2022 (doc. web n. 9751362).

Per continuare a leggere questo articolo devi essere abbonato al Servizio di Informazione Giuridica.

Sei già abbonato?