La Corte di Giustizia dell’Unione Europea, nella causa C-645/19, ha affermato che in determinate circostanze le autorità di protezione dei dati nazionali possono agire anche quando non sono il responsabile del trattamento dei dati ai sensi del meccanismo dello sportello unico del regolamento GDPR. Questo significa aprire alla possibilità di avviare un contenzioso da parte di organismi di vigilanza di Stati membri che non sono il regolatore capofila per una determinata società, ma in cui l’ente locale ritiene che sia urgente agire in tutela dei diritti.

Fino ad oggi, ai sensi del regolamento GDPR, le aziende coinvolte in procedimenti insieme a più autorità garanti potevano rivolgersi ad uno sportello unico, per semplificare le procedure e dialogare solo con l’autorità di protezione dei dati “principale” coinvolta in ogni procedimento. Tale meccanismo ha però creato numerosi colli di bottiglia, con autorità garanti molto impegnate con conseguente allungamento dei tempi di trattazione delle procedure, come quelle di Irlanda e Lussemburgo, territori in cui hanno sede legale europea la maggior parte delle big tech.

Dopo la pronuncia in oggetto invece sarà più difficile sottrarsi alle attività delle autorità di controllo, nazionali anche quando queste non sono controparti principali: infatti, essendo il GDPR un regolamento europeo, se ci si trova in presenza di una questione inerente il diritto transfrontaliero dei dati, è possibile l’intervento anche di autorità diverse da quella della sede legale del soggetto coinvolto.

Nel caso specifico è stato consentito all’autorità belga di intervenire in un procedimento contro Facebook Irlanda, Facebook Belgio e Facebook Inc per aver raccolto dati attraverso i cookie, di fatto sostituendosi all’autorità irlandese.

La sentenza potrebbe così mettere nel mirino delle autorità nazionali non solo Facebook ma anche altri colossi come Google, Twitter e Apple che hanno il loro quartier generale europeo in Irlanda. Proprio l’autorità irlandese, nel corso degli anni, è stata contestata da quelle degli altri paesi a causa della lentezza nelle sue decisioni.

La pronuncia apre un nuovo fronte nella battaglia per la tutela dei dati dei cittadini europei: se, infatti, fino ad oggi era possibile per le aziende sfruttare l’eccessivo carico di lavoro di poche autorità locali ora non sarà più così, costringendo le aziende ad adeguare le strategie sul trattamento dei dati alle nuove disposizioni.

Un ulteriore passaggio giuridico che certifica la strategia europea di porsi come spazio di garanzia assoluta dei diritti personali digitali dei cittadini.