Chiara Sartoris, abilitata alle funzioni di professore di seconda fascia in Diritto privato, è docente…
RGPD e decisioni vincolanti del Comitato europeo per la protezione dei dati: il ricorso di WhatsApp Ireland Ltd è ricevibile
La Corte di giustizia dell’Unione europea ha stabilito che una decisione vincolante del Comitato europeo per la protezione dei dati (CEPD), adottata per dirimere una controversia tra autorità nazionali di controllo sull’eventuale violazione del regolamento generale sulla protezione dei dati (RGPD) da parte di un titolare del trattamento e sulle misure correttive da applicare, costituisce un atto impugnabile dinanzi ai giudici dell’Unione.
Secondo la Corte, tali decisioni provengono da un organo dell’Unione e sono destinate a produrre effetti giuridici nei confronti di terzi. Nel caso di specie, la Corte ha inoltre riconosciuto che WhatsApp Ireland Ltd è direttamente interessata dalla decisione contestata. Poiché il ricorso di annullamento proposto dalla società è dunque ricevibile, ma il Tribunale dell’Unione europea non si è ancora pronunciato sul merito della controversia, la Corte ha annullato l’ordinanza con cui il Tribunale aveva dichiarato il ricorso irricevibile e ha rinviato la causa a quest’ultimo.
La vicenda trae origine dai reclami presentati, dopo l’entrata in vigore del RGPD, da utilizzatori e non utilizzatori del servizio di messaggistica WhatsApp in merito al trattamento dei loro dati personali. L’autorità di controllo irlandese, la Data Protection Commission, ha avviato nel dicembre 2018 un’indagine generale sul rispetto degli obblighi di trasparenza e informazione da parte della società.
Nel dicembre 2020, l’autorità irlandese ha sottoposto alle altre autorità nazionali interessate un progetto di decisione per raccoglierne i pareri. In mancanza di consenso su alcuni aspetti, la controversia è stata deferita al CEPD, che ha adottato la decisione vincolante 1/2021. In tale decisione il Comitato ha accertato la violazione di talune disposizioni del RGPD e ha imposto all’autorità irlandese di modificare le misure correttive previste, compreso l’importo delle sanzioni pecuniarie.
Sulla base di tale decisione vincolante, la Data Protection Commission ha poi adottato la decisione finale nei confronti di WhatsApp, infliggendo alla società sanzioni per un importo complessivo di 225 milioni di euro.
WhatsApp Ireland Ltd ha quindi proposto un ricorso di annullamento direttamente contro la decisione del CEPD dinanzi al Tribunale dell’Unione europea. Con un’ordinanza del 7 dicembre 2022, il Tribunale aveva tuttavia respinto il ricorso ritenendolo irricevibile, in quanto la decisione del CEPD sarebbe stata un mero atto intermedio e la società avrebbe potuto contestare solo la decisione finale dell’autorità irlandese dinanzi a un giudice nazionale.
La Corte di giustizia ha ora ribaltato tale impostazione, affermando che la decisione del CEPD è un atto definitivo e vincolante, che fissa in modo conclusivo la posizione dell’organo e non lascia alcun margine di discrezionalità alle autorità nazionali destinatarie. Essa modifica inoltre in modo qualificato la situazione giuridica della società interessata. Per questi motivi, la decisione è impugnabile e la società è direttamente legittimata a contestarla dinanzi ai giudici dell’Unione.
Spetterà ora al Tribunale pronunciarsi sul merito della causa, inclusa la questione se WhatsApp abbia effettivamente violato le disposizioni del RGPD oggetto del procedimento.
Approfondimenti:
Articoli correlati
