Dopo un iter istruttorio travagliato, il Garante privacy irlandese ha irrogato una sanzione a WhatsApp. Il caso ha consentito di verificare in concreto alcune disfunzioni del principio dello “sportello unico”. Ma anche la loro risoluzione.

La sanzione

Nelle scorse settimane, dopo un iter istruttorio travagliato, l’Autorità per la privacy irlandese (Data Protection Commission) ha irrogato una sanzione di 225 milioni di euro a WhatsApp, società di proprietà di Facebook, per non aver assolto agli obblighi di trasparenza nei riguardi degli utenti europei circa l’utilizzo dei loro dati, in violazione del regolamento europeo per la protezione dei dati personali (Gdpr). La decisione si segnala perché consente di verificare in concreto, da un lato, il funzionamento del principio dello “sportello unico” (“one stop shop”) – le società sono sottoposte all’Autorità privacy del paese dove hanno la sede principale (Autorità capofila), le cui deliberazioni valgono anche negli altri stati dell’Unione – e le eventuali distorsioni operative che ne possono derivare, come nel caso del Garante irlandese. Dall’altro lato, il bilanciamento di tale principio attraverso l’intervento dell’European Data Protection Board (Comitato europeo per la protezione dei dati).

I fatti

Nel dicembre 2018, la Data Protection Commission ha avviato un’indagine tesa a valutare se fossero stati assolti gli obblighi di trasparenza informativa previsti dal Gdpr per il trasferimento dei dati degli utenti europei negli Stati Uniti, con riguardo al servizio di messaggistica di WhatsApp. Nel dicembre 2020, la Dpc ha presentato alle altre Autorità di vigilanza il proprio progetto di decisione (art. 60 Gdpr): una sanzione pari a 50 milioni di euro. Alcune Autorità hanno reputato la somma irrisoria, vista la previsione di sanzioni amministrative pecuniarie fino al 4 per cento del fatturato mondiale, ai sensi del Gdpr (art. 83) e hanno espresso parere negativo, senza che si riuscisse a trovare un accordo. Ciò ha determinato l’avvio del processo di risoluzione delle controversie disposto dal Gdpr (art. 65), che prevede l’intervento dell’European Data Protection Board.

Peraltro, nel maggio 2021, il Garante privacy tedesco ha vietato a Facebook Ireland (art. 66, c. 1, Gdpr) l’uso dei dati degli utenti di WhatsApp, con l’invio agli Stati Uniti, e ha chiesto “una decisione vincolante d’urgenza del Comitato”. Nel luglio 2021, il Comitato ha ordinato al Garante irlandese di svolgere una nuova indagine e di rivalutare la sua proposta di sanzione in base a specifici fattori. A seguito della nuova istruttoria, l’autorità irlandese ha deliberato la nuova sanzione.

Il Garante irlandese

Importanti web company hanno stabilito in Irlanda la propria sede europea, per godere delle agevolazioni fiscali vigenti nel paese. L’Autorità irlandese per la privacy riveste quindi un ruolo rilevante, perché competente ad adottare decisioni inerenti a molte multinazionali tecnologiche presenti in Europa. Infatti, il meccanismo dello “sportello unico” – introdotto dal Gdpr per ovviare all’evenienza di più decisioni, eventualmente difformi, da parte dei diversi paesi interessati dai “trattamenti transfrontalieri” di dati personali e consentire una semplificazione procedurale – conferisce un potere enorme all’Autorità capofila.

Il Garante irlandese è stato più volte accusato di disfunzioni nell’applicazione del regolamento Ue. Nel maggio 2021, la Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento europeo (Libe) ha presentato una mozione ove esprime preoccupazione per i ritardi della Dpc nel sanzionare le web company. Il Parlamento Ue, a propria volta, ha invitato la Commissione ad avviare una procedura di infrazione contro l’Irlanda per l’applicazione non corretta del Gdpr.

Anche il Consiglio irlandese per le libertà civili, nel rapporto 2021 intitolato “Europe’s Enforcement Paralysis”, ha rilevato inefficienze nell’applicazione del Gdpr riguardo alle Big Tech a causa dei ritardi dell’Irlanda, definita come “collo di bottiglia”. Dei principali casi rientranti nella competenza della Data Protection Commission dall’entrata in vigore del regolamento europeo, infatti, il 98 per cento è rimasto irrisolto. La scarsa operatività irlandese nei confronti delle aziende tecnologiche è stata criticata, tra l’altro, in un’apposita interrogazione alla Commissione Ue, e dal Garante tedesco, con una nota al Parlamento Ue.

Il bilanciamento del “one stop shop”

In forza del meccanismo del “one stop shop”, gli stati membri potrebbero essere indotti ad adottare, in materia di trattamento dei dati personali, decisioni favorevoli alle multinazionali del web, così da attrarne gli investimenti e indurle a stabilire la propria sede nel paese.

Tuttavia, il Gdpr consente di bilanciare tale meccanismo, arginandone usi distorti, mediante la cooperazione tra Autorità e l’intervento dell’Edpb. Di recente, anche la Corte di giustizia dell’Unione europea pare aver avvertito l’esigenza di contenere il principio dello “sportello unico”. Nella controversia tra l’Autorità privacy del Belgio e Facebook per la raccolta non autorizzata di dati personali tramite cookie, la Corte ha deciso che anche Autorità diverse da quella “capofila”, in presenza di determinate condizioni, possano agire in sede giudiziale.

Insomma, la Dpc farà bene a rivedere i propri standard operativi, se vuole “competere” con altri garanti e non rischiare contromisure tese ad arginarne le disfunzioni.

*Le opinioni espresse in questo articolo sono esclusivamente dell’autore e non coinvolgono l’istituzione per cui lavora.

Lavoce è di tutti: sostienila!

Lavoce.info non ospita pubblicità e, a differenza di molti altri siti di informazione, l’accesso ai nostri articoli è completamente gratuito. L’impegno dei redattori è volontario, ma le donazioni sono fondamentali per sostenere i costi del nostro sito. Il tuo contributo rafforzerebbe la nostra indipendenza e ci aiuterebbe a migliorare la nostra offerta di informazione libera, professionale e gratuita. Grazie del tuo aiuto!

SOSTIENI lavoce