GDPR: Una legge senza autorità? L'autorità lussemburghese per la protezione dei dati si rifiuta di mostrare i denti alle aziende statunitensi. noyb presenta una causa in tribunale
Oggi, noyb ha presentato un ricorso contro due decisioni dell'Autorità lussemburghese per la protezione dei dati (CNPD) presso il tribunale amministrativo del Lussemburgo su una questione fondamentale: l'autorità ha respinto due reclami presentati contro i responsabili del trattamento dei dati con sede negli Stati Uniti, Apollo e RocketReach. Il CNPD ha confermato esplicitamente che il Regolamento generale sulla protezione dei dati (GDPR) si applica a queste società extra-UE. Tuttavia, la CNPD ha ritenuto di non poter applicare il GDPR contro questi responsabili del trattamento statunitensi, nonostante le molteplici possibilità di applicazione all'interno dell'UE. Queste decisioni minano fondamentalmente l'applicazione del GDPR a tutte le aziende straniere sul mercato dell'UE, una promessa fondamentale della legge quando è stata introdotta nel 2018.
- Leggi gli atti del ricorso al tribunale amministrativo qui (Apollo FR) e qui (Rocktreach FR).
- È inoltre possibile leggere una traduzione automatica in inglese qui (Apollo) e qui (Rocketreach).
Le prime denunce al CNPD. Il denunciante, residente in Lussemburgo, ha scoperto che i suoi dati erano trattati da Apollo e RocketReach, due società con sede negli Stati Uniti che raccolgono e commercializzano dati personali disponibili online. Avendo constatato ciò, il denunciante ha tentato di esercitare i suoi diritti di accesso (articolo 15) e di cancellazione (articolo 17) previsti dal GDPR, senza successo. Poiché i due responsabili del trattamento dei dati non hanno risposto adeguatamente alla sua richiesta di esercitare i diritti previsti dal GDPR, il ricorrente ha presentato un reclamo contro Apollo e RocketReach presso il CNPD. Dopo diversi solleciti da parte del denunciante, l'autorità di protezione dei dati lussemburghese ha respinto il reclamo sulla base del fatto che i responsabili del trattamento dei dati non avevano un rappresentante nell'UE (il che costituisce di per sé una violazione del GDPR) e che pertanto non era possibile imporre misure di esecuzione efficaci nei confronti di questi responsabili del trattamento dei dati. Non è stata intrapresa alcuna indagine materiale e non è stata presa alcuna decisione.
Minare la portata internazionale del GDPR. La decisione del DPA lussemburghese di respingere i reclami solo perché il responsabile del trattamento non ha sede nell'UE, mina chiaramente l'applicazione internazionale del GDPR, che era una promessa fondamentale per i cittadini dell'UE quando è stato introdotto. La legge copre esplicitamente tutte le aziende che operano sul mercato europeo, indipendentemente dalla loro sede.
"Se le autorità di protezione dei dati si rifiutano di applicare il GDPR ogni volta che un'azienda non è presente nell'UE, questo non farebbe altro che dare il segnale alle aziende di rimanere all'estero per aggirare la legge... Questa è la versione del GDPR di farla franca con un omicidio" - Romain Robert, avvocato di noyb.eu.
Applicare il GDPR. Anche quando un'azienda non è presente nell'UE, è perfettamente possibile avviare una procedura e far rispettare le disposizioni del GDPR. Se un'azienda non presenta osservazioni, di solito rinuncia semplicemente al diritto di essere ascoltata. Esistono diverse vie procedurali per far rispettare una decisione contro un'entità straniera: dagli strumenti tradizionali, come il congelamento dei beni presso terzi (come banche o clienti), fino ad approcci più moderni come il blocco di un sito web. Le autorità di protezione dei dati dovrebbero utilizzare tutte le possibilità previste dal diritto nazionale per far rispettare le loro decisioni, invece di rinunciare ai diritti fondamentali.
"Il CNPD ha il dovere di garantire la tutela dei diritti individuali previsti dal GDPR. Ha anche i mezzi per farlo per le aziende straniere, dal congelamento dei beni nell'UE fino al blocco di un servizio. Applicare il diritto dell'UE contro le aziende e le persone che non collaborano o si nascondono all'estero non è una novità per le autorità di regolamentazione e i tribunali. Nascondersi in un'altra giurisdizione è un fenomeno vecchio quanto le frontiere. Esistono comunque gli strumenti per procedere con un caso. L'obiettivo di andare in tribunale ora è quello di garantire che la CNPD usi effettivamente i suoi poteri di applicazione in futuro e non respinga più un caso solo perché l'applicazione sarebbe troppo difficile o onerosa" - Catherine Warin, avvocato che rappresenta noyb nella procedura.
DPA inattive: Questo caso dimostra che alcune autorità di protezione dei dati dormono ancora sui loro compiti. Non dovrebbero e non la faranno franca. Questo potrebbe essere l'inizio di una serie di azioni contro le DPA che rimangono inattive nonostante il ruolo cruciale che svolgono nel garantire il rispetto della legge europea sulla protezione dei dati. noyb seguirà da vicino questi casi e monitorerà l'effettiva applicazione del GDPR da parte delle autorità di protezione dei dati.
"Il CNPD ha confermato esplicitamente che il GDPR era applicabile a queste aziende, ma ha deciso di non agire sostenendo di non poter applicare alcuna decisione. Ciò ha lasciato il denunciante senza alcuna procedura per far valere i suoi diritti fondamentali. Il CNPD ha ritenuto di poter semplicemente respingere un caso. Fortunatamente, il GDPR prevede che le persone abbiano un rimedio efficace e possano impugnare le decisioni delle DPA davanti ai tribunali. Ora chiederemo al tribunale di fare il lavoro che il CNPD si è rifiutato di fare" - Romain Robert, avvocato di noyb.eu.
Aggiornamento:
- 21 aprile 2023 - il tribunale amministrativo (tribunale di prima istanza) ha dichiarato il caso irricevibile per mancanza di legittimazione ad agire.
- 28 novembre 2023 - il Tribunale amministrativo superiore si è schierato a favore di noyb. Ha annullato la decisione del 21 aprile 2023 e ha ritenuto che il ricorso fosse ammissibile. Ha rinviato il caso al Tribunale amministrativo di prima istanza, che in ultima istanza doveva emettere una decisione.
- 24 settembre 2024 - il tribunale amministrativo ha ritenuto che il CNPD avesse deciso illegittimamente/erroneamente di non proseguire la gestione del reclamo. Ha rinviato il caso al CNPD affinché lo gestisca.
- il CNPD non ha ancora emesso una decisione.
