Il Comitato europeo (EDPB) ha reso pubblica la decisione vincolante d’urgenza adottata il 27 ottobre 2023 (DVU) con cui si dispone l’adozione di misure definitive nei riguardi di Meta IE in relazione ai trattamenti di dati personali per finalità di pubblicità comportamentale da questa operati indicando come base giuridica l’esecuzione contrattuale e l’interesse legittimo.
Il provvedimento dell’EDPB, il primo di questo tipo per quanto ci risulta, contiene numerosi passaggi che rivestono un interesse generale anche oltre questa complessa vicenda, con importanti indicatori della politica strategica di gestori di piattaforme online nonché su risvolti dei rapporti intercorrenti tra autorità di controllo nazionali.
Procedura d’urgenza
L’articolo 66 del GDPR rubricato “Procedura d’urgenza” – il quale rappresenta la norma giuridica di riferimento di questo provvedimento – individua un caso di deroga al meccanismo di coerenza (artt. 63-65) e alla procedura di cooperazione tra le autorità (art. 60, GDPR) promosso da un’autorità di controllo interessata.
Secondo la definizione del GDPR, la “autorità di controllo interessata” si distingue dall’autorità capofila – che è quella dove si trova lo stabilimento principale del titolare o responsabile – ed è quella:
- Dello Stato membro in cui è (ulteriormente) stabilito il titolare o responsabile
- Dello Stato membro in cui risiedono gli interessati influenzati dal trattamento
- Che ha ricevuto un reclamo [art. 4, 22), GDPR].
L’articolo 66 affronta l’ipotesi in cui sia necessario intervenire urgentemente per tutelare i diritti e le libertà degli interessati per cui:
- un’autorità di controllo, nonostante il decorso della procedura di cooperazione, ritiene di dover adottare misure provvisorie nel proprio territorio, per un periodo determinato non superiore a tre mesi e ritenga che sia urgente adottare misure definitive [art. 66(2), GDPR]
- una qualsiasi autorità di controllo ritiene che «un’autorità di controllo competente non abbia adottato misure adeguate in una situazione in cui urge intervenire per proteggere i diritti e le libertà degli interessati (…)» [art. 62(3), GDPR, enfasi aggiunta].
In entrambi i casi, l’autorità di controllo può chiedere all’EDPB di emettere una decisione vincolante d’urgenza a tutela dei diritti e delle libertà degli interessati.
Iter dei fatti
Le circostanze oggetto di commento traggono inizio da un’indagine scaturita da un reclamo presentato nel maggio 2018 all’autorità belga in relazione ai servizi Facebook e Instagram offerti dall’allora Facebook Group, in seguito Meta Platform Ireland Ltd (Meta IE).
Decisione finale LSA
A seguito di una complessa istruttoria svolta nell’ambito della procedura di cooperazione tra molteplici autorità di controllo nazionali e culminata con decisioni vincolanti dell’EDPB, l’autorità di controllo irlandese (IE DPA) – in qualità di autorità capofila – il 31 dicembre 2022 emette inizialmente due decisioni nei confronti di Meta IE.
Le due decisioni riguardano rispettivamente i servizi Facebook e Instagram ed entrambe concludono che Meta IE si era basata su un fondamento giuridico non adeguato per il trattamento dei dati personali per scopi di pubblicità comportamentale avendo fatto riferimento all’esecuzione contrattuale ai sensi dell’articolo 6(1)(b) del regolamento. Contemporaneamente, la IE DPA ordina a Meta IE di individuare un’adeguata base giuridica entro tre mesi (DVU, p. 2).
Meccanismo di coerenza e autorità capofila
Il meccanismo di coerenza scatta quando un trattamento di dati personali oggetto di istruttoria coinvolge più autorità di controllo nazionali per cui il legislatore richiede che esse cooperino per una definizione comune del caso.
In questa eventualità, l’autorità di controllo che, secondo alcuni criteri dettati dal legislatore, ha maggiori connessioni col trattamento transeuropeo – denominata “autorità capofila” – assume la guida delle operazioni di coordinamento con le altre autorità di controllo interessate ed è responsabile dell’attività istruttoria e della decisione finale in merito alla prospettata violazione. Il GDPR impone a tutte le autorità un dovere di cooperazione.
Continua…