GDPR: Una legge senza autorità? L'autorità di vigilanza lussemburghese per la protezione dei dati personali si rifiuta di mostrare i denti alle aziende statunitensi. noyb deposita la causa in tribunale.
Oggi, noyb ha presentato un ricorso contro due decisioni dell'autorità lussemburghese per la protezione dei dati (CNPD) davanti al tribunale amministrativo del Lussemburgo su una questione fondamentale: l'autorità ha respinto due reclami presentati contro i responsabili del trattamento dei dati con sede negli Stati Uniti, Apollo e RocketReach. La CNPDha confermatoesplicitamenteche il regolamento generale sulla protezione dei dati (GDPR) si applica a queste società non appartenenti all'UE. Tuttavia, la CNPD ha ritenuto di non poter applicare il GDPR nei confronti di questi responsabili del trattamento statunitensi, nonostante le molteplici possibilità di applicazione all'interno dell'UE. Queste decisioni compromettono fondamentalmente l'applicazione del GDPRa tutte le società straniere sul mercato dell'UE - una promessa fondamentale della legge quando è stata introdotta nel 2018.
- Leggere gli atti di ricorso dinanzi al tribunale amministrativo qui (Apollo FR) e qui (Rocktreach FR)
- Potete anche leggere una traduzione automatica in inglese qui (Apollo) e qui (Rocketreach)
Reclami iniziali al CNPD: Il denunciante, residente in Lussemburgo, ha scoperto che i suoi dati sono stati trattati da Apollo e RocketReach, due società con sede negli Stati Uniti che raccolgono e commercializzano dati personali disponibili online. Avendo visto ciò, il denunciante ha tentato di esercitare i suoi diritti di accesso (articolo 15) e di cancellazione (articolo 17) del GDPR senza successo. Poiché i due responsabili del trattamento dei dati non hanno risposto adeguatamente alla sua richiesta di esercitare i suoi diritti GDPR, il denunciante ha presentato denunce sia contro Apollo che contro RocketReach dinanzi al CNPD. Dopo diversi solleciti del denunciante, l'autorità lussemburghese per la protezione dei dati del Lussemburgo ha respinto il reclamo sulla sola base del fatto che i responsabili del trattamento dei dati non avevano un rappresentante nell'UE (il che costituisce di per sé una violazione del GDPR), e che pertanto non è stato possibile imporre misure di esecuzione efficaci nei confronti di tali responsabili del trattamento dei dati. Non è stata intrapresa alcuna indagine materiale e non è stata presa alcuna decisione.
Minare la portata internazionale del GDPR: La decisione dell'autorità lussemburghese per la protezione dei dati del Lussemburgo di respingere i reclami per il solo fatto che il responsabile del trattamento non è stabilito nell'UE, pregiudica chiaramente l'applicazione internazionale della GDPR, che era una promessa fondamentale per i cittadini dell'UE quando è stata introdotta. La legge copre esplicitamente tutte le società che operano sul mercato europeo, indipendentemente dalla loro sede.
Se le autorità di protezione dei dati rifiutano di applicare il GDPR ogni volta che una società non è presente nell'UE, ciò darebbe solo il segnale alle società di rimanere all'estero per aggirare la legge... Questa è la versione GDPR di "farla franca " - Romain Robert, avvocato di noyb.eu
Far rispettare il GDPR. Anche quando una società non è presente nell'UE, è perfettamente possibile gestire una procedura e far rispettare le disposizioni del GDPR. Se una società non presenta le proprie osservazioni, di solito rinuncia semplicemente al diritto di essere ascoltata. Esistono diverse vie procedurali per far valere una decisione anche nei confronti di un'entità straniera: dagli strumenti tradizionali, come il congelamento dei beni presso terzi (come le banche o i clienti), fino ad approcci più moderni come il blocco di un sito web. Le autorità di protezione dei dati dovrebbero utilizzare tutte le possibilità previste dal loro diritto nazionale per far rispettare le loro decisioni, invece di rinunciare ai diritti fondamentali
"La CNPD ha il dovere di garantire la tutela dei diritti individuali ai sensi del GDPR. Ha anche i mezzi per farlo per le società straniere, dal congelamento dei beni nell'UE, fino al blocco di un servizio". Far rispettare la legge dell'UE contro le società e le persone che non collaborano o non si nascondono all'estero non è una cosa nuova per le autorità di regolamentazione e i giudici. Nascondersi in un'altra giurisdizione è una cosa vecchia come i confini. Ci sono comunque gli strumenti per procedere con un caso. Lo scopo di andare in tribunale ora è di garantire che la CNPD usi effettivamente i suoi poteri esecutivi in futuro e non respinga più un caso solo perché l'applicazione della legge sarebbe troppo difficile o onerosa" -Catherine Warin, avvocato che rappresenta noyb nella procedura
Le autorità di protezione dei dati inattive: Questo caso dimostra che alcune ATD dormono ancora durante il loro lavoro. Non dovrebbero e non la faranno franca. Questo potrebbe essere l'inizio di una serie di azioni contro le autorità di protezione dei dati che rimangono inattive nonostante il ruolo cruciale che svolgono nel garantire il rispetto della legislazione dell'UE sulla protezione dei dati. noyb seguirà da vicino questi casi e controllerà l'effettiva applicazione del GDPR da parte delle autorità di protezione dei dati
"La CNPD ha confermato esplicitamente che il GDPR era applicabile a queste società, ma ha deciso di non agire sostenendo che non poteva far rispettare alcuna decisione. Ciò ha lasciato il denunciante senza alcuna procedura per far rispettare i suoi diritti fondamentali". Il CNPD ha ritenuto di avere il potere di respingere semplicemente un caso". Fortunatamente, il GDPR prevede che i singoli individui debbano avere un rimedio efficace e possano impugnare le decisioni delle autorità di protezione civile dinanzi ai tribunali. Ora chiederemo al tribunale di fare il lavoro che il CNPD si è rifiutato di fare" - Romain Robert, avvocato di noyb.eu
