La pubblicazione della decisione vincolante dell’EDPB in merito alla composizione della controversia insorta tra l’autorità irlandese – in qualità di autorità capofila (LSA) – e alcune altre autorità di controllo interessate (CSA), insieme alla pubblicazione della decisione revisionata della LSA emessa in conformità alle osservazioni EDPB, permette di ritornare sulle motivazioni alla base dell’irrogazione della seconda maggiore sanzione pecuniaria di tutti i tempi per violazioni a regole del GDPR (€ 405 milioni contro Instagram, ora Meta IE).
Inizio della vertenza
La vertenza è sorta a seguito di un’inchiesta d’ufficio del Data Protection Commissioner irlandese, iniziata il 21 settembre 2021, riguardo ad alcune operazioni di trattamento di Facebook Ireland Limited, in seguito denominata Meta Platforms Ireland Limited (Meta IE). L’inchiesta e i successivi provvedimenti riguardavano il trattamento dei dati personali da parte di Meta IE in relazione alla divulgazione pubblica di indirizzi e-mail e/o numeri di telefono di utenti minori della funzione account business di Instagram e un’impostazione pubblica, per impostazione predefinita, per gli account personali di utenti minori su Instagram.
Oggetto della vertenza
In sintesi, per un certo arco temporale, Meta IE aveva pubblicato indirizzi e-mail e/o numeri di telefono di minori (tra i 13 e i 17 anni) che erano utenti dell’account aziendale di Instagram, senza richiedere il loro consenso e in via automatica.
Ruolo dell’EDPB
Il Comitato europeo per la protezione dei dati personali (EDPB) – composto dal rappresentante di ciascuna autorità di controllo nazionale e dall’EDPS – ha il compito di garantire l’applicazione coerente del regolamento.
Procedura di cooperazione
Il regolamento richiede alle autorità di controllo, sia la LSA sia le CSA, di cooperare, adoperandosi per raggiungere un consenso tra di loro [art. 60(1), GDPR]. Su questa linea, quando si è in presenza di un “trattamento transfrontaliero” [art. 4, 23), GDPR] ritenuto illegittimo, la LSA «trasmette senza indugio (alle CSA) un progetto di decisione per ottenere il loro parere e tiene debitamente conto delle loro opinioni» [art. 60(3), GDPR]. Il progetto di decisione della LSA irlandese è stato adottato nel giugno 2021, notificato a Meta IE con invito a presentare osservazioni e, nel dicembre 2021, condiviso con le CSA.
Meccanismo di coerenza
Se una CSA solleva un’obiezione pertinente e motivata che evidenza la rilevanza dei rischi riguardo a un progetto di decisione della LSA [artt. 4, 24) e 60(4), GDPR], qualora la LSA non condivida tali obiezioni, dà corso al meccanismo di coerenza.
Nella vertenza Instagram le autorità di controllo di Germania, Finlandia, Francia, Italia, Olanda e Norvegia hanno presentato obiezioni pertinenti e motivate nei riguardi del progetto di decisione adottato dalla LSA irlandese. Sui concetti di “pertinente e motivata” l’EDPB ha adottato le linee guida 9/2020 [versione 2 del 9 marzo 2021].
Obiezione pertinente – secondo l’EDPB «[a]ffinché l’obiezione sia considerata “pertinente”, deve esserci un collegamento diretto tra l’obiezione e il contenuto del progetto di decisione in questione. Più specificamente, l’obiezione deve riferirsi alla sussistenza di una violazione del GDPR oppure alla conformità al GDPR dell’azione prevista in relazione al titolare del trattamento o al responsabile del trattamento.» [Linee guida 9/2020, cit., par. 12].
Obiezione motivata – sempre secondo le linee guida EDPB – occorre che l’obiezione «chiarisca e argomenti il motivo per cui si propone una modifica della decisione (vale a dire gli errori di fatto/di diritto del progetto di decisione dell’autorità di controllo capofila). Deve inoltre dimostrare in che modo la modifica condurrebbe a una diversa conclusione sulla sussistenza o meno di una violazione del GDPR oppure sulla conformità o meno al GDPR dell’azione prevista in relazione al titolare del trattamento o al responsabile del trattamento.» (linee guida 9/2020, cit., par. 16).
Tra gennaio e febbraio 2022 la LSA ha presentato una risposta di compromesso che non è stata ritenuta accettabile dalle CSA. Secondo il regolamento, se la LSA non dà seguito all’obiezione o la rigetta ritenendola non pertinente o non motivata [art. 65(1)(a), GDPR], essa sottopone la questione al meccanismo di coerenza dell’articolo 63 del GDPR [art. 60(4), GDPR].
Continua…