Con la pronuncia in oggetto, la Corte di Giustizia dell’Unione europea si è pronunciata in merito alle condizioni di esercizio dei poteri delle autorità nazionali di controllo per il trattamento transfrontaliero di dati nell’ambito del Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (GDPR).
In particolare, evidenzia la Corte, in presenza di determinate condizioni, un’autorità nazionale di controllo può esercitare il suo potere di intentare un’azione dinanzi ad un giudice di uno Stato membro in caso di presunta violazione dell’GDPR, pur non essendo l’autorità capofila per tale trattamento.
Di seguito i principi di diritto espressi dalla Corte:
1) L’articolo 55, paragrafo 1, e gli articoli da 56 a 58 nonché da 60 a 66 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), in combinato disposto con gli articoli 7, 8 e 47 della Carta dei diritti fondamentali dell’Unione europea, devono essere interpretati nel senso che un’autorità di controllo di uno Stato membro, la quale, in forza della normativa nazionale adottata in esecuzione dell’articolo 58, paragrafo 5, di tale regolamento, abbia il potere di intentare un’azione dinanzi ad un giudice di tale Stato membro e, se del caso, di agire in sede giudiziale in caso di presunta violazione di detto regolamento, può esercitare tale potere con riguardo al trattamento transfrontaliero di dati, pur non essendo l’«autorità di controllo capofila» ai sensi dell’articolo 56, paragrafo 1, dello stesso regolamento con riguardo a siffatto trattamento di dati, purché ciò avvenga in una delle situazioni in cui il regolamento 2016/679 conferisce a tale autorità di controllo la competenza ad adottare una decisione che accerti che il trattamento in questione viola le norme in esso contenute, nonché nel rispetto delle procedure di cooperazione e di coerenza previste da tale regolamento.
2) L’articolo 58, paragrafo 5, del regolamento 2016/679 deve essere interpretato nel senso che, in caso di trattamento transfrontaliero di dati, l’esercizio del potere di un’autorità di controllo di uno Stato membro, diversa dall’autorità di controllo capofila, di intentare un’azione giudiziaria, ai sensi di tale disposizione, non esige che il titolare del trattamento o il responsabile per il trattamento transfrontaliero di dati personali, nei cui confronti tale azione viene intentata, disponga di uno stabilimento principale o di un altro stabilimento nel territorio di detto Stato membro.
3) L’articolo 58, paragrafo 5, del regolamento 2016/679 deve essere interpretato nel senso che il potere di un’autorità di controllo di uno Stato membro, diversa dall’autorità di controllo capofila, di intentare un’azione dinanzi ad un giudice di tale Stato membro e, se del caso, di agire in sede giudiziale, ai sensi di tale disposizione, in caso di presunta violazione di detto regolamento può essere esercitato tanto nei confronti dello stabilimento principale del titolare del trattamento che si trovi nello Stato membro di appartenenza di tale autorità quanto nei confronti di un altro stabilimento di tale titolare, purché l’azione giudiziaria riguardi un trattamento di dati effettuato nell’ambito delle attività di detto stabilimento e l’autorità di cui trattasi sia competente ad esercitare siffatto potere, conformemente a quanto esposto in risposta alla prima questione pregiudiziale posta.
4) L’articolo 58, paragrafo 5, del regolamento 2016/679 deve essere interpretato nel senso che, qualora un’autorità di controllo di uno Stato membro, che non sia l’«autorità di controllo capofila» ai sensi dell’articolo 56, paragrafo 1, di tale regolamento, abbia intentato un’azione giudiziaria riguardante un trattamento transfrontaliero di dati personali prima del 25 maggio 2018, ossia prima della data in cui detto regolamento è divenuto applicabile, detta azione può, dal punto di vista del diritto dell’Unione, essere mantenuta in base alle disposizioni della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, la quale rimane applicabile per quanto riguarda le violazioni delle norme in essa contenute commesse fino alla data di abrogazione di detta direttiva. Tale azione può, inoltre, essere intentata da detta autorità per violazioni commesse dopo tale data sulla base dell’articolo 58, paragrafo 5, del regolamento 2016/679, purché ciò avvenga in una delle situazioni in cui, a titolo di eccezione, tale regolamento conferisce a un’autorità di controllo di uno Stato membro, che non sia l’«autorità di controllo capofila», una competenza ad adottare una decisione che accerti che il trattamento di dati di cui trattasi viola le norme contenute in detto regolamento per quanto riguarda la tutela dei diritti delle persone fisiche con riguardo al trattamento di dati personali e nel rispetto delle procedure di cooperazione e di coerenza previste dal medesimo regolamento, circostanza che spetta al giudice del rinvio verificare.
5) L’articolo 58, paragrafo 5, del regolamento 2016/679 deve essere interpretato nel senso che tale disposizione ha effetto diretto, cosicché un’autorità di controllo nazionale può invocarla per intentare o proseguire un’azione nei confronti di privati, anche qualora detta disposizione non sia stata specificamente attuata nella normativa dello Stato membro interessato.