1. Premessa
Le grandi aziende che operano a livello internazionale, e che spesso si avvalgono di società controllate e collegate per la realizzazione dei loro obiettivi di business nelle varie nazioni, si confrontano con trattamenti transfrontalieri di dati, sia con riferimento ad aspetti gestionali che operativi in senso stretto.
Il tema che in questi casi si pone è quello di capire chi sia l’Autorità di controllo competente ad attivare eventuali poteri ispettivi e sanzionatori in relazione a specifici trattamenti che impattano su utenti/interessati (es. dipendenti, clienti, fornitori, ecc.) residenti in vari stati.
La problematica in verità non è di secondo piano e, spesso, non viene attentamente valutata. In alcuni casi le conseguenze possono comportare “gravi complicazioni…”.
È quello che in pratica è successo a Google LCC/Google Ireland che, nel 2019, sono state destinatarie di una sanzione amministrativa pecuniaria di 50 milioni di euro da parte della CNIL, Autorità di controllo francese. La violazione contestata ha riguardato la scarsa trasparenza e chiarezza del modello di navigazione degli utenti e dei documenti a cui si accede durante la creazione di un account Google per la configurazione di un’apparecchiatura mobile tramite Android (1) .
Al di là dei contenuti sostanziali delle violazioni, quello che emerge dal provvedimento sanzionatorio è che l’autorità francese ha ritenuto che nel particolare caso, sebbene si fosse di fronte ad un evidente caso di trattamento transfrontaliero, non vi erano i presupposti per attribuire la competenza all’autorità irlandese. Detta competenza, sebbene eccepita in sede difensiva da Google Ireland (che ha dichiarato di essere stabilimento principale in Europa di Google Inc. – USA-), è stata confermata sia in sede di provvedimento di irrogazione delle sanzioni che a seguito della pronuncia del Conseil d’État di Parigi (massimo livello della giurisdizione amministrativa francese).
Vediamo quali indicazioni si possono trarre dalle argomentazioni giuridiche della difesa, dell’autorità di controllo (CNIL) nonché all’esito del ricorso giudiziario (19 giugno 2020) presentato da Google al Conseil d’État.
2. La tesi difensiva di Google
La società in prima istanza ha sostenuto che la CNIL non era competente ad istruire il procedimento perché avrebbe dovuto trasmettere i reclami ricevuti alla Commissione irlandese per la protezione dei dati (di seguito DPC). L’autorità irlandese doveva quindi considerarsi autorità di controllo capofila competente a trattare tali reclami relativi al trattamento transfrontaliero, secondo la procedura di collaborazione prevista dall’articolo 60 del GDPR (2) . Nelle controdeduzioni difensive Google Ireland evidenziava, infatti, che:
dal 2003 era responsabile per operazioni europee,
la sede di Dublino era l’entità responsabile di diverse funzioni organizzative necessarie per svolgere queste operazioni per la zona Europa, Medio Oriente e Africa (segreteria generale, fiscalità, contabilità, audit interno, ecc.),
a tale entità societaria erano riconducibili tutti i contratti per la vendita di annunci pubblicitari con clienti con sede nell’Unione Europea,
nella sede irlandese lavoravano più di 3.600 persone con un team dedicato per gestire le richieste avanzate all’interno dell’Unione Europea in relazione alla riservatezza e un responsabile della tutela della privacy.
Sulla base di tali presupposti, e data la natura transfrontaliera del trattamento, Google Ireland riteneva che si dovessero applicare i meccanismi di cooperazione e coerenza previsti dagli articoli 60, 64 e 65 del GDPR e che si sarebbe dovuto fare riferimento al Comitato europeo per la protezione dei dati (EDPB) in caso di dubbio sulla individuazione dell’Autorità competente.
3. La tesi del CNIL
Sulla base di quanto evidenziato nell’articolo 4, paragrafo 16, e del Considerando 36, del GDPR (3) , la CNIL ha ritenuto che una sede, per poter essere qualificata come stabilimento principale, debba disporre del potere decisionale in merito al trattamento dei dati personali in questione. La qualità della sede principale presuppone, infatti, l’effettivo e reale esercizio delle attività di gestione riguardo le principali decisioni in merito alle finalità e ai mezzi del trattamento.
Pertanto, l’esistenza di uno stabilimento principale non può corrispondere automaticamente alla sede del titolare del trattamento in Europa (4). Tale interpretazione sarebbe stata ribadita anche nelle Linee Guida del 2017 del WP29/244 che hanno sottolineato come il GDPR non autorizza la scelta della giurisdizione (forum shopping) sulla base esclusivamente delle dichiarazioni dell’organizzazione interessata.
Più in particolare il CNIL ha affermato che Google Ireland Limited, pur disponendo di numerose risorse finanziarie e umane che consentivano l’efficace fornitura di servizi da parte di Google in Europa, non poteva essere qualificata come sede principale di quest’ultima poiché, alla data di avvio del procedimento, non aveva alcun potere decisionale in merito alle finalità e ai mezzi del trattamento con specifico riguardo alla politica di riservatezza presentata all’utente durante la creazione del proprio account e durante la configurazione del proprio telefono cellulare Android. Questi elementi evidenziavano solo il coinvolgimento di questa entità nell’ambito delle varie attività dell’azienda (attività finanziarie e contabili, vendita di spazi pubblicitari, appalti, ecc.).
Google Ireland Limited, inoltre, non veniva nemmeno menzionata nelle norme (del 25 maggio 2018) sulla riservatezza della società come entità in cui venivano prese le principali decisioni in merito alle finalità e ai mezzi del trattamento durante la configurazione del proprio telefono cellulare Android.
Veniva evidenziato, altresì, che il sistema operativo Android era stato sviluppato esclusivamente dalla società Google LLC. Quest’ultima società, con lettera del 3 dicembre 2018, indirizzata all’Autorità di controllo irlandese (DPC), aveva indicato, che il trasferimento di responsabilità nei confronti della società Google Ireland Limited, sarebbe stato finalizzato il 31 gennaio 2019 con riferimento ad alcuni trattamenti di dati personali relativi a cittadini europei.
Alla luce di tutti questi elementi, la CNIL riteneva che Google Ireland Limited non potesse essere considerata la sede principale della società Google LLC. in Europa (ai sensi dell’articolo 4, paragrafo 16, del GDPR). Non era stata infatti provata l’effettiva disponibilità di un potere decisionale in merito al trattamento indicato nell’informativa privacy, presentata all’utente all’atto della creazione del suo account per la configurazione del telefono cellulare su Android.
In assenza di uno stabilimento principale che consentisse l’identificazione di un’autorità capofila, la CNIL si dichiarava competente ad esercitare tutti i suoi poteri ai sensi dell’articolo 58 del GDPR.
Nell’agosto 2018 il DPC (Autorità di controllo irlandese), aveva peraltro affermato pubblicamente – in un articolo di stampa sull’Irish Times – che non era l’autorità principale per i trattamenti attuati nello specifico dalla società.
La CNIL evidenziava, infine, di aver comunque immediatamente trasmesso i reclami, non appena pervenuti, a tutte le autorità di controllo dell’Unione Europea, tramite il sistema europeo di scambio delle informazioni. L’Autorità francese aveva quindi prontamente informato e consultato le sue controparti europee in più occasioni in relazione alle indagini svolte. Gli scambi che ne erano derivati non avevano consentito di identificare uno stabilimento principale né, di conseguenza, un’autorità capofila.
4. Il ricorso al Conseil d’État
L’organo giudiziario parigino, nel rigettare nel merito il ricorso di Google, si pronunciava anche sulle questioni preliminari circa, cioè, l’asserita carenza di competenza del CNIL in tema di esercizio del potere sanzionatorio. Al riguardo il Conseil d’Etat confermava le conclusioni cui era pervenuta la stessa CNIL affermando che:
Google Ireland Limited non era stata in grado di specificare le funzioni che le consentivano di essere ritenuta effettivamente la “sede centrale” delle operazioni europee di Google LLC,
gli accertamenti condotti non avevano consentito di porre in luce l’esercizio da parte che Google Ireland di poteri di gestione o controllo nei confronti delle altre filiali europee di LLC tanto da poterla considerare una centrale amministrazione ai sensi del GDPR,
l’indagine aveva comprovato che fino al 22 gennaio 2019, successivamente, cioè, alla data della sanzione impugnata, Google Ireland non possedeva poteri deliberativi sulle finalità e sui mezzi del trattamento oggetto di contestazione, superiori rispetto qualsiasi altra sede europea.
Google Ireland Limited non poteva, quindi, essere considerata la sede centrale del titolare del trattamento dei dati per i trattamenti contestati dalla CNIL ed allo stesso tempo Google LLC, che da sola determinava i loro scopi e mezzi, non aveva uno stabilimento principale nell’Unione Europea ai sensi e per l’applicazione del GDPR.
Dal sistema europeo di scambio di informazioni, attivato dalla CNIL, al fine di designare un’eventuale autorità capofila, non era pervenuta alcuna attivazione per deferire la questione all’EDPB ne erano emerse valutazioni diverse da quelle della CNIL in merito al fatto che Google LLC non avesse sede principale in Europa.
Per tali motivi, non potendo essere designata alcuna autorità capofila ai sensi dell’art. art.56 del GDPR, la CNIL doveva essere ritenuta competente ad eseguire accertamenti e, pertanto, il ricorso andava respinto.
5. Considerazioni conclusive
Il caso Google Ireland ci permette di verificare sul campo, con un caso concreto, l’operatività di un istituto quale quello dell’Autorità di controllo capofila, spesso affrontato nelle aule dei corsi di formazione in modo teorico e generico.
L’identificazione di un’autorità di controllo unica, in caso di trattamenti transfrontalieri, evidentemente non è una problematica che investe direttamente le aziende che operano prettamente su mercati nazionali. Questa è, tuttavia, una tematica che interessa moltissimo le multinazionali che operano su scenari internazionali e sono costrette a confrontarsi con trattamenti che impattano su soggetti residenti in numerosi altri stati. In questi casi identificare correttamente chi sia l’autorità di controllo competente è importante per la stessa legittimità dei provvedimenti correttivi adottati.
La tematica in questione, nel richiamare le nozioni di trattamento transfrontaliero, titolare del trattamento, di stabilimento principale, viene approfondita nelle apposite Linee Guida per l’individuazione dell’autorità di controllo capofila in rapporto ad uno specifico titolare o responsabile del trattamento (n. 244/16) adottate dal WP29 il 13 dicembre 2016 (nella versione emendata e adottata in data 5 aprile 2017). In tale sede l’identificazione dello stabilimento principale per un titolare del trattamento è ben chiarita nei suoi elementi essenziali (5) con particolare riferimento alle verifiche circa la effettività delle situazioni dichiarate dal titolare (6). Ricordiamo che nel caso in cui ciò non si verificasse potremmo trovarci a ipotesi di forum shopping. Illuminante e chiaro è un passaggio delle Linee Guida che sembra attagliarsi proprio a caso Google, infatti “… se una società afferma che il proprio stabilimento principale si trova un determinato Stato membro, ma tale stabilimento non svolge alcun esercizio reale ed effettivo di attività gestionali o decisionali rispetto al trattamento di dati personali, le autorità di controllo pertinenti….decideranno quale sia l’autorità di controllo “capofila” sulla base di criteri oggettivi e dell’analisi degli elementi probatori disponibili. Per definire ove si trovi lo stabilimento principale potranno essere necessarie fattive attività di accertamento e collaborazione da parte delle autorità di controllo. La valutazione finale non può fondarsi esclusivamente sulle dichiarazioni rese dall’azienda o dal soggetto sotto esame. L’onere della prova ricade, in ultima analisi, su titolari e responsabili del trattamento: questi ultimi dovrebbero essere in grado di dimostrare alle pertinenti autorità di controllo dove siano effettivamente assunte le decisioni che riguardano il trattamento di dati e dove si collochi l’autorità necessaria a dare attuazione a tali decisioni….L’autorità di controllo capofila o le autorità interessate possono respingere l’analisi svolta dal titolare, sulla base di un’analisi oggettiva dei fatti pertinenti, e chiedere, se necessario, informazioni ulteriori. In alcuni casi le autorità di controllo pertinenti chiederanno al titolare di fornire elementi inequivocabili…a dimostrazione del luogo ove si colloca lo stabilimento principale ovvero dove sono assunte le decisioni che riguardano un determinato trattamento.”.
Il provvedimento in esame ci induce, quindi, a riflettere attentamente sullo spostamento di uno stabilimento principale da uno stato all’altro, sperando magari di allocarlo in un contesto in cui le autorità di controllo siano meno “aggressive”. Alla situazione formale deve sempre corrispondere una situazione di fatto. Non è sufficiente la mera creazione di una sede fisica, con l’attribuzione di risorse o con l’assunzione di impiegati. È necessario l’attribuire un reale potere decisionale per la determinazione di finalità e mezzi (ex articolo 4 del GDPR).
Dott. Gaetano Mastropierro
Consulente privacy e antiriciclaggio, DPO – Referente Assodata per la provincia di Roma
Dott. Alfredo Sanfelice
Consulente privacy e antiriciclaggio, DPO – Referente Assodata per la provincia di Roma
Note
1. Il provvedimento sanzionatorio evidenzia che la struttura generale delle informazioni fornite dalla società non consente il rispetto del Regolamento. Informazioni essenziali, come le finalità del trattamento dei dati, i periodi di conservazione dei dati o le categorie di dati personali utilizzate per la personalizzazione degli annunci, sono eccessivamente diffuse su più documenti, con pulsanti e link su cui è necessario cliccare per accedere ad informazioni complementari. Le informazioni rilevanti sono accessibili solo dopo diversi passaggi, che a volte implicano fino a 5 o 6 azioni. Inoltre, alcune informazioni non sono sempre chiare né complete tanto che gli utenti non sono in grado di comprendere appieno la portata delle operazioni di trattamento effettuate da GOOGLE.
2. L’articolo 55 paragrafo 1 del GDPR prevede che ciascuna autorità di controllo è competente per l’esercizio delle missioni e dei poteri di cui è investita ai sensi del presente regolamento nel territorio dello Stato membro di appartenenza. L’articolo 56 paragrafo 1 del GDPR prevede: Fermo restando l’articolo 55, l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare del trattamento o del responsabile è competente ad agire in qualità di l’autorità di controllo capofila per il trattamento transfrontaliero effettuato da tale titolare del trattamento o incaricato del trattamento, secondo la procedura di cui all’articolo 60.
3. Per quanto riguarda il titolare del trattamento stabilito in più Stati membri, il luogo della sua amministrazione centrale nell’Unione, a meno che le decisioni in merito alle finalità e ai mezzi del trattamento dei dati personali non siano prese in un altro stabilimento del titolare del trattamento nell’Unione e che quest’ultimo stabilimento ha il potere di eseguire tali decisioni, nel qual caso lo stabilimento dove sono prese tali decisioni è considerato struttura primaria. Il considerando 36 del GDPR afferma: L’istituzione principale di un responsabile del trattamento nell’Unione dovrebbe essere determinata sulla base di criteri oggettivi e dovrebbe presupporre l’esercizio effettivo e reale delle attività di gestione che determinano le decisioni principali quanto alle finalità e modalità del trattamento nell’ambito di un sistema stabile.
4. Il CNIL ha rilevato che questa analisi è anche quella utilizzata da tutte le autorità di controllo europee, come evidenziato dagli orientamenti del WP29 del 5 aprile 2017 riguardanti la designazione di un’autorità di controllo capofila (WP244). L’amministrazione centrale di uno stabilimento principale è il luogo in cui vengono prese le decisioni in merito alle finalità e ai mezzi del trattamento dei dati personali, e questo luogo ha il potere di far rispettare tali decisioni.
5. Il luogo della sua amministrazione centrale nell’Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale;
6. Linee Guida WP29 pag. 6/7: “Si tratta di individuare dove si collochi l’esercizio reale ed effettivo delle attività gestionali tese a definire finalità e mezzi del trattamento nel quadro di un’organizzazione stabile. Il considerando 36 chiarisce, inoltre, che “la presenza o l’uso di mezzi tecnici e tecnologie di trattamento di dati personali o di attività di trattamento non costituiscono di per sé lo stabilimento principale né sono quindi criteri determinanti della sua esistenza”. Spetta al titolare individuare dove si collochi il proprio stabilimento principale e, conseguentemente, quale sia l’autorità capofila; tuttavia, l’autorità di controllo volta per volta interessata può successivamente sollevare obiezioni rispetto a tale determinazione”.
