La CG ha deciso la questione sollevata dal giudice belga circa la competenza e i poteri dell’Autorità nazionale ad agire (spt. ex art. 58.5 GDPR), quando essa non sia l’autorità capofila (art. 56 GDPR).
Con sentenza 15.06.2021, C-645/19, Facebook c. Gegevensbeschermingsautoriteit, la Cg ha risposto positivamente.
Questo il passaggio chiave: <<71 (..) occorre sottolineare che non può essere escluso l’esercizio del potere di un’autorità di controllo di uno Stato membro di rivolgersi ai giudici del suo Stato qualora, dopo aver richiesto la reciproca assistenza dell’autorità di controllo capofila, in forza dell’articolo 61 del regolamento 2016/679, quest’ultima non le fornisca le informazioni richieste. In tale ipotesi, in forza dell’articolo 61, paragrafo 8, del regolamento in esame, l’autorità di controllo interessata può adottare una misura provvisoria nel territorio del suo Stato membro e, se ritiene che sia urgente adottare misure definitive, tale autorità può, conformemente all’articolo 66, paragrafo 2, di detto regolamento, chiedere al comitato europeo per la protezione dei dati un parere d’urgenza o una decisione vincolante d’urgenza. Inoltre, ai sensi dell’articolo 64, paragrafo 2, del medesimo regolamento, un’autorità di controllo può chiedere che qualsiasi questione di applicazione generale o produttiva di effetti in più Stati membri sia esaminata dal comitato europeo per la protezione dei dati al fine di ottenere un parere, in particolare qualora un’autorità di controllo competente non si conformi agli obblighi relativi all’assistenza reciproca posti a suo carico dall’articolo 61 di quest’ultimo. Orbene, a seguito dell’adozione di un siffatto parere o di una siffatta decisione, e purché il comitato europeo per la protezione dei dati vi sia favorevole dopo aver preso in considerazione tutte le circostanze pertinenti, l’autorità di controllo considerata deve poter adottare le misure necessarie al fine di garantire il rispetto delle norme relative alla tutela dei diritti delle persone fisiche con riguardo al trattamento di dati personali contenute nel regolamento 2016/679 e, a tale titolo, esercitare il potere conferitole dall’articolo 58, paragrafo 5, del predetto regolamento. 72 La ripartizione delle competenze e delle responsabilità tra le autorità di controllo, infatti, si basa necessariamente sulla premessa di una cooperazione leale ed efficace tra tali autorità nonché con la Commissione, al fine di garantire l’applicazione corretta e coerente del suddetto regolamento, come confermato dall’articolo 51, paragrafo 2, di quest’ultimo>>.
la risposta al quesito giudoziale è dunque che <<l’articolo 55, paragrafo 1 e gli articoli da 56 a 58 nonché da 60 a 66 del regolamento 2016/679, in combinato disposto con gli articoli 7, 8 e 47 della Carta, devono essere interpretati nel senso che un’autorità di controllo di uno Stato membro, la quale, in forza della normativa nazionale adottata in esecuzione dell’articolo 58, paragrafo 5, di tale regolamento, abbia il potere di intentare un’azione dinanzi a un giudice di tale Stato membro e, se del caso, di agire in sede giudiziale in caso di presunta violazione di detto regolamento, può esercitare tale potere con riguardo al trattamento transfrontaliero di dati, pur non essendo l’«autorità di controllo capofila» ai sensi dell’articolo 56, paragrafo 1, dello stesso regolamento con riguardo a siffatto trattamento di dati, purché ciò avvenga in una delle situazioni in cui il regolamento 2016/679 conferisce a tale autorità di controllo la competenza ad adottare una decisione che accerti che il trattamento in questione viola le norme in esso contenute, nonché nel rispetto delle procedure di cooperazione e di coerenza previste da tale regolamento>>, § 75.