KONKLUŻJONIJIET TAL-AVUKAT ĠENERALI
BOBEK
ippreżentati fit‑13 ta’ Jannar 2021(1)
Kawża C‑645/19
Facebook Ireland Limited
Facebook Inc.,
Facebook Belgium BVBA
vs
Gegevensbeschermingsautoriteit
(talba għal deċiżjoni preliminari mressqa mill-Hof van beroep te Brussel (il-Qorti tal-Appell ta’ Brussell, il-Belġju))
(Rinviju għal deċiżjoni preliminari — Protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali — Karta tad-Drittijiet Fundamentali tal-Unjoni Ewropea — Artikoli 7, 8 u 47 — Regolament (UE) 2016/679 — Artikoli 55, 56, 58, 60, 61 u 66 — Awtoritajiet superviżorji — Ipproċessar transkonfinali tad-data — Punt uniku ta’ servizz — Awtorità superviżorja ewlenija — Awtorità superviżorja kkonċernata — Kompetenza — Setgħat — Setgħa li jinbdew proċeduri ġudizzjarji)
I. Introduzzjoni
1. Ir-Regolament Ġenerali dwar il-Protezzjoni tad-Data (2) (iktar ’il quddiem il-“GDPR”) jippermetti lil awtorità superviżorja ta’ Stat Membru tressaq proċeduri quddiem qorti ta’ dak l-Istat minħabba allegat ksur ta’ dan ir-regolament fir-rigward tal-ipproċessar transkonfinali ta’ data, f’sitwazzjoni fejn din l-awtorità ma tkunx l-awtorità superviżorja ewlenija fir-rigward ta’ dan l-ipproċessar?
2. Jew inkella l-mekkaniżmu l-ġdid ta’ “punt uniku ta’ servizz”, ippreżentat bħala wieħed mill-innovazzjonijiet il-kbar introdotti mill-GDPR, jipprekludi li sseħħ tali sitwazzjoni? Jekk kontrollur ikollu jiddefendi ruħu kontra kontestazzjoni ġudizzjarja fir-rigward tal-ipproċessar transkonfinali ta’ data mressqa minn awtorità superviżorja quddiem qorti barra mill-post tal-istabbiliment prinċipali tal-kontrollur, dan ikun “punt uniku ta’ servizz żejjed” u għalhekk inkompatibbli mal-mekkaniżmu l-ġdid tal-GDPR?
II. Il-qafas ġuridiku
A. Id-dritt tal-Unjoni
3. Fil-preambolu tal-GDPR, huwa rrilevat, inter alia, li: “[l]-għanijiet u l-prinċipji tad-Direttiva 95/46/KE jibqgħu sodi, iżda din ma waqqfitx il-frammentazzjoni fl-implimentazzjoni fil-protezzjoni tad-data fl-Unjoni kollha (u) n-nuqqas ta’ ċertezza legali” (premessa 9); applikazzjoni konsistenti u omoġenea tar-regoli għall-protezzjoni tad-data għandha tkun żgurata fl-Unjoni kollha (premessa 10); l-awtoritajiet superviżorji għandhom jissorveljaw l-applikazzjoni tar-regoli u għandhom jikkontribwixxu għall-applikazzjoni konsistenti tagħhom, sabiex jipproteġu persuni fiżiċi u sabiex jiffaċilitaw il-fluss liberu ta’ data personali fi ħdan is-suq intern (premessa 123); fis-sitwazzjonijiet li jinvolvu pproċessar transkonfinali, “l-awtorità superviżorja għall-istabbiliment ewlieni tal-kontrollur jew il-proċessur jew għall-istabbiliment uniku tal-kontrollur jew il-proċessur għandha taġixxi bħala awtorità ewlenija” u din l-awtorità għandha “tikkoopera mal-awtoritajiet l-oħrajn ikkonċernati” (premessa 124).
4. Skont l-Artikolu 51(1) tal-GDPR, “[k]ull Stat Membru għandu jipprovdi li awtorità pubblika indipendenti waħda jew aktar ikunu responsabbli għall-monitoraġġ tal-applikazzjoni ta’ dan ir-Regolament, sabiex jiġu protetti d-drittijiet u l-libertajiet fundamentali ta’ persuni fiżiċi b’rabta mal-ipproċessar u biex jiġi ffaċilitat il-fluss liberu ta’ data personali fl-Unjoni (‘awtorità superviżorja’)”.
5. Skont it-termini tal-Artikolu 55(1) tal-GDPR, “[k]ull awtorità superviżorja għandha tkun kompetenti biex twettaq il-kompiti assenjati lilha u l-eżerċizzju tas-setgħat ikkonferiti lilha f’konformità ma’ dan ir-Regolament fit-territorju tal-Istat Membru tagħha stess”.
6. L-Artikolu 56 tal-GDPR jikkonċerna l-kompetenza tal-awtorità superviżorja ewlenija. Il-paragrafu 1 ta’ din id-dispożizzjoni jiddikjara:
“Mingħajr preġudizzju għall-Artikolu 55, l-awtorità superviżorja tal-istabbiliment ewlieni jew tal-istabbiliment uniku tal-kontrollur jew il-proċessur għandha tkun kompetenti biex taġixxi bħala l-awtorità superviżorja ewlenija għall-ipproċessar transkonfinali li jsir minn dak il-kontrollur jew proċessur f’konformità mal-proċedura prevista fl-Artikolu 60.”
7. L-Artikolu 56(2) sa (5) jipprovdi li, b’deroga mill-paragrafu 1, “kull awtorità superviżorja għandha tkun kompetenti biex tittratta lment imressaq lilha jew ksur possibbli ta’ dan ir-Regolament, jekk is-suġġett ikun marbut biss ma’ stabbiliment fl-Istat Membru tagħha jew jaffettwa b’mod sostanzjali suġġetti tad-data fl-Istat Membru tagħha biss”. Dawn il-każijiet jistgħu jiġu ttrattati mill-awtoritajiet superviżorji prinċipali, li jaġixxu konformement mal-proċedura prevista fl-Artikolu 60 tal-GDPR, jew, “[f]ejn il-awtorità superviżorja ewlenija tiddeċiedi li ma tittrattax il-każ”, mill-awtorità superviżorja lokali, li taġixxi skont l-Artikoli 61 u 62 tal-GDPR.
8. L-Artikolu 56(6) jiddikjara li “[l]-awtorità superviżorja ewlenija għandha tkun l-interlokutur uniku tal-kontrollur jew il-proċessur għall-ipproċessar transkonfinali li jsir minn dak il-kontrollur jew proċessur”.
9. L-Artikolu 58(5) tal-GDPR, dwar is-setgħat tal-awtoritajiet superviżorji, jipprovdi:
“Kull Stat Membru għandu jipprevedi bil-liġi li l-awtorità superviżorja tiegħu għandu jkollha s-setgħa li tiġbed l-attenzjoni tal-awtoritajiet ġudizzjarji għal ksur ta’ dan ir-Regolament u, fejn xieraq, tibda jew timpenja ruħha b’mod ieħor fi proċedimenti legali, sabiex tinforza d-dispożizzjonijiet ta’ dan ir-Regolament.”
10. Il-Kapitolu VII tal-GDPR, intitolat “Kooperazzjoni u konsistenza”, jinkludi l-Artikoli 60 sa 76. L-Artikolu 60, intitolat “Kooperazzjoni bejn l-awtorità superviżorja ewlenija u l-awtoritajiet superviżorji kkonċernati oħra”, jistabbilixxi l-proċedura ddettaljata li għandha tiġi segwita mill-awtoritajiet superviżorji ewlenin fit-trattament tal-ipproċessar transkonfinali tad-data.
11. Min-naħa tiegħu, l-Artikolu 61(2) tal-GDPR, dwar l-assistenza reċiproka, jirrikjedi lil kull awtorità superviżorja tieħu “l-miżuri kollha meħtieġa biex twieġeb għal talba ta’ awtorità superviżorja oħra mingħajr dewmien mhux dovut u sa mhux aktar tard minn xahar wara li tirċievi t-talba”. L-Artikolu 61(8) tal-GDPR jistabbilixxi li, meta awtorità superviżorja ma tipprovdix l-informazzjoni mitluba, l-awtorità superviżorja li tagħmel it-talba tista’ tadotta miżura provviżorja fit-territorju tal-Istat Membru tagħha, u f’dan il-każ il-ħtieġa urġenti li taġixxi skont l-Artikolu 66(1) hija preżunta.
12. L-Artikolu 65 tal-GDPR, intitolat “Soluzzjoni għat-tilwim mill-Bord”, jipprevedi, fil-paragrafu 1(a) tiegħu, li, sabiex tiġi żgurata l-applikazzjoni korretta u konsistenti tar-Regolament f’każijiet individwali, il-Bord Ewropew għall-Protezzjoni tad-Data (iktar ’il quddiem il-“Bord”) għandu jadotta deċiżjoni vinkolanti fil-każijiet, inter alia, fejn awtorità superviżorja kkonċernata tkun qajmet oġġezzjoni rilevanti u motivata kontra abbozz ta’ deċiżjoni tal-awtorità ewlenija jew meta l-awtorità ewlenija tkun ċaħdet tali oġġezzjoni bħala mhux rilevanti jew motivata.
13. L-Artikolu 66(1), dwar il-proċedura ta’ urġenza, jipprevedi li, f’ċirkustanzi eċċezzjonali, fejn awtorità superviżorja kkonċernata tqis li hemm ħtieġa urġenti li taġixxi sabiex tipproteġi d-drittijiet u l-libertajiet tas-suġġetti tad-data, hija tista’, permezz ta’ deroga mill-mekkaniżmu ta’ kooperazzjoni u ta’ konsistenza “tadotta minnufih miżuri proviżorji maħsuba biex jipproduċu effetti legali fit-territorju tagħha stess b’perijodu speċifikat ta’ validità li ma għandux jaqbeż it-tliet xhur”.
14. Il-Kapitolu VIII tal-GDPR, intitolat “Rimedji, responsabbiltà u pieni”, jinkludi l-Artikoli 77 sa 84. L-Artikolu 77(1) jagħti lil kull suġġett tad-data d-dritt li jressaq ilment quddiem awtorità superviżorja dwar ksur possibbli tar-Regolament fir-rigward tal-ipproċessar ta’ data personali li tikkonċernah, “b’mod partikolari fl-Istat Membru tar-residenza abitwali tiegħu, il-post tax-xogħol tiegħu jew il-post tal-ksur allegat”. L-Artikolu 78(1) u (2) tal-GDPR jagħti lil kull persuna fiżika jew ġuridika d-dritt għal rimedju ġudizzjarju effettiv kontra, inter alia, deċiżjoni legalment vinkolanti ta’ awtorità superviżorja li tikkonċerna lil din il-persuna, u kontra awtorità superviżorja li ma tittrattax ilment.
B. Il-leġiżlazzjoni nazzjonali
15. Il-Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (il-Liġi tat‑8 ta’ Diċembru 1992 dwar il-Protezzjoni tal-Privatezza fir-Rigward tal-Ipproċessar ta’ Data Personali, iktar ’il quddiem il-“WVP”), kif emendata, ittrasponiet id-Direttiva 95/46/KE tal-Parlament Ewropew u tal-Kunsill tal‑24 ta’ Ottubru 1995 dwar il-protezzjoni ta’ individwi fir-rigward ta’ l-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ dik id-data (3). Din il-liġi stabbilixxiet, inter alia, il-Kummissjoni Belġjana għall-Protezzjoni tal-Ħajja Privata. Skont l-Artikolu 32(3) ta’ din il-liġi, “bla ħsara għall-ġurisdizzjoni tal-qrati u tat-tribunali ordinarji li japplikaw il-prinċipji ġenerali tal-protezzjoni tal-privatezza, il-President [tal-Kummissjoni għall-Protezzjoni tal-Ħajja Privata] jista’ jadixxi lill-qorti tal-ewwel istanza b’kull tilwima marbuta mal-applikazzjoni ta’ din il-liġi u l-miżuri ta’ implimentazzjoni tagħha”.
16. Skont l-Artikolu 3 tal-Wet van 3 ta’ Diċembru 2017 tot oprichting van de Gegevensbeschermingsautoriteit (il-Liġi tat‑3 ta’ Diċembru 2017 li Tistabbilixxi l-Awtorità Belġjana għall-Protezzjoni tad-Data, iktar ’il quddiem il-“Liġi dwar l-APD”), li daħlet fis-seħħ fil‑25 ta’ Mejju 2018, ġiet ikkostitwita l-Awtorità għall-Protezzjoni tad-Data (iktar ’il quddiem l-“APD”) bħala s-suċċessur tal-Kummissjoni għall-Protezzjoni tal-Ħajja Privata. Skont l-Artikolu 6 ta’ din il-liġi, l-APD “għandha s-setgħa li tinforma lill-awtoritajiet ġudizzjarji dwar kull ksur tal-prinċipji fundamentali tal-protezzjoni tad-data personali, fi ħdan il-qafas ta’ din il-liġi u ta’ liġijiet li fihom dispożizzjonijiet dwar il-protezzjoni tal-ipproċessar tad-data personali, u, fejn xieraq, għandha tieħu azzjoni legali biex dawn il-prinċipji fundamentali jiġu applikati”.
17. Il-Liġi dwar l-APD ma kienet tinkludi ebda dispożizzjoni speċifika f’dak li jirrigwarda l-proċeduri legali miftuħa abbażi tal-Artikolu 32(3) tal-WVP, li kienu għadhom pendenti fil‑25 ta’ Mejju 2018.
18. Il-WVP tħassret permezz tal-Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (il-Liġi tat‑30 ta’ Lulju 2018 dwar il-Protezzjoni ta’ Persuni Fiżiċi fir-Rigward tal-Ipproċessar ta’ Data Personali). Din il-liġi timplimenta d-dispożizzjonijiet tal-GDPR li jobbligaw jew jippermettu lill-Istati Membri jadottaw regoli iktar iddettaljati minbarra r-regoli komuni.
III. Il-fatti, il-proċeduri nazzjonali u d-domandi preliminari
19. Fil‑11 ta’ Settembru 2015, il-President tal-Kummissjoni Belġjana għall-Protezzjoni tal-Ħajja Privata, li iktar tard saret l-APD, beda proċeduri kontra Facebook Inc., Facebook Ireland Ltd u Facebook Belgium BVBA (iktar ’il quddiem, flimkien, “Facebook”) quddiem in-Nederlandstalige rechtbank van eerste aanleg Brussel (il-Qorti tal-Ewwel Istanza ta’ Brussell bil-lingwa Olandiża, il-Belġju). Dawn il-proċeduri jikkonċernaw allegat ksur tal-leġiżlazzjoni dwar il-protezzjoni tad-data minn Facebook, li jikkonsisti, inter alia, fil-ġabra u fl-użu illegali ta’ informazzjoni dwar l-aġir fin-navigazzjoni privat tal-utenti tal-internet fil-Belġju permezz ta’ teknoloġiji bħal “cookies”, “plugins soċjali” u “pixels”.
20. Essenzjalment, l-APD tallega li Facebook tuża diversi teknoloġiji sabiex tissorvelja u ssegwi l-persuni waqt li dawn jinnavigaw minn sit internet għal ieħor, u mbagħad tuża l-informazzjoni miġbura sabiex tibni profil tal-aġir ta’ navigazzjoni tagħhom u, fuq dan il-bażi, turihom reklamar immirat, mingħajr ma tinforma debitament lill-persuni kkonċernati u mingħajr ma tikseb il-kunsens validu tagħhom. L-APD issostni li Facebook twettaq dawn il-prattiki indipendentement minn jekk il-persuna kkonċernata irreġistratx jew le man-netwerk soċjali ta’ Facebook.
21. L-APD talbet li Facebook tiġi ordnata tieqaf, fir-rigward ta’ kull utent tal-internet stabbilit fit-territorju Belġjan, milli tpoġġi, mingħajr il-kunsens ta’ dawn l-utenti, cookies li jibqgħu attivi għal sentejn fuq l-apparat li dawn l-individwi jużaw meta jinnavigaw paġna internet fid-dominju Facebook.com jew sit internet ta’ terz, kif ukoll milli tiġbor data, b’mod eċċessiv, permezz ta’ plugins soċjali u ta’ pixels fuq is-siti internet ta’ terzi. Barra minn hekk, hija talbet il-qerda tad-data personali kollha miksuba permezz ta’ cookies u ta’ plugins soċjali dwar kull utent tal-internet stabbilit fit-territorju Belġjan.
22. Permezz ta’ digriet għal miżuri provviżorji tad‑9 ta’ Novembru 2015, il-President tan-Nederlandstalige rechtbank van eerste aanleg Brussel (il-Qorti tal-Ewwel Istanza ta’ Brussell bil-lingwa Olandiża) iddikjara li din il-qorti għandha ġurisdizzjoni sabiex tieħu konjizzjoni tal-kawża u li r-rikors kien ammissibbli fir-rigward tat-tliet konvenuti. Din il-qorti ordnat ukoll provviżorjament lill-konvenuti sabiex iwaqqfu ċerti attivitajiet fir-rigward tal-utenti tal-internet li jinsabu fit-territorju Belġjan.
23. Fit‑2 ta’ Marzu 2016, Facebook appellat minn dan id-digriet quddiem il-Hof van beroep te Brussel (il-Qorti tal-Appell ta’ Brussell, il-Belġju). Permezz ta’ sentenza tad‑29 ta’ Ġunju 2016, din il-qorti emendat id-digriet tal-ewwel istanza. B’mod partikolari, din il-qorti ddikjarat li ma għandhiex ġurisdizzjoni fir-rigward tal-azzjonijiet kontra Facebook Inc. u Facebook Ireland Ltd, filwaqt li hija għandha ġurisdizzjoni fir-rigward tal-azzjoni mressqa kontra Facebook Belgium BVBA. Il-kawża prinċipali b’hekk ġiet limitata għall-azzjonijiet imressqa kontra Facebook Belgium. Din il-qorti ddikjarat ukoll li ma kienx hemm urġenza.
24. Nifhem li, attwalment, il-kawża pendenti quddiem il-Hof van beroep te Brussel (il-Qorti tal-Appell ta’ Brussell) tikkonċerna l-appell minn deċiżjoni ulterjuri fuq il-mertu mogħtija mill-qorti tal-ewwel istanza. Fi ħdan il-proċedura ta’ appell, Facebook Belgium issostni, inter alia, li, minn meta sar operattiv il-mekkaniżmu l-ġdid ta’ “punt uniku ta’ servizz” tal-GDPR, l-APD tilfet il-kompetenza tagħha sabiex tkompli l-kawża prinċipali għaliex hija ma hijiex l-awtorità superviżorja ewlenija. Hija targumenta li, fir-rigward tal-ipproċessar transkonfinali inkwistjoni, l-awtorità superviżorja ewlenija hija d-Data Protection Commission (il-Kummissjoni tal-Protezzjoni tad-Data) Irlandiża. L-istabbiliment ewlieni tal-kontrollur fl-Unjoni Ewropea jinsab fl-Irlanda (Facebook Ireland Ltd).
25. F’dan l-isfond, il-Hof van beroep te Brussel (il-Qorti tal-Appell ta’ Brussel) iddeċidiet li tissospendi l-proċeduri quddiemha u tagħmel lill-Qorti tal-Ġustizzja d-domandi preliminari li ġejjin:
“(1) L-Artikoli 55(1), 56 sa 58, u 60 sa 66 tal-[GDPR], moqri flimkien mal-Artikoli 7, 8 u 47 tal-Karta tad-Drittijiet Fundamentali tal-Unjoni Ewropea, għandhom jiġu interpretati fis-sens li awtorità superviżorja li, skont leġiżlazzjoni nazzjonali adottata b’implimentazzjoni tal-Artikolu 58(5) ta’ dan ir-regolament, għandha s-setgħa li tibda proċeduri legali quddiem qorti fl-Istat Membru tagħha kontra ksur ta’ dan ir-regolament, ma tistax teżerċita dik is-setgħa fir-rigward ta’ pproċessar ta’ data transkonfinali jekk ma tkunx l-awtorità superviżorja ewlenija għal dan l-ipproċessar ta’ data transkonfinali?
(2) Huwa rilevanti l-fatt li l-kontrollur ta’ dan l-ipproċessar ta’ data transkonfinali ma jkollux l-istabbiliment prinċipali tiegħu f’dan l-Istat Membru iżda jkollu stabbiliment ieħor?
(3) Huwa rilevanti l-fatt li l-awtorità superviżorja nazzjonali tibda proċedura legali kontra l-istabbiliment prinċipali tal-kontrollur tal-ipproċessar pjuttost milli kontra l-istabbiliment li jinsab fl-Istat Membru tagħha stess?
(4) Huwa rilevanti l-fatt li l-awtorità superviżorja nazzjonali tkun bdiet proċeduri legali qabel id-data li fiha daħal fis-seħħ ir-regolament (25 ta’ Mejju 2018)?
(5) Jekk ir-risposta għall-ewwel domanda tkun fl-affermattiv, l-Artikolu 58(5) [tal-GDPR] għandu effett dirett, b’mod li awtorità superviżorja nazzjonali tista’ tinvoka l-imsemmi artikolu sabiex tibda jew tissokta bi proċeduri legali kontra persuni privati anki jekk l-Artikolu 58(5) [tal-GDPR] ma jkunx ġie speċifikament traspost fil-leġiżlazzjoni tal-Istati Membri, minkejja l-obbligu li dan isir?
(6) Jekk ir-risposta għad-domandi preċedenti tkun fl-affermattiv, l-eżitu ta’ tali proċeduri jipprekludi konstatazzjoni kuntrarja għal dik tal-awtorità superviżorja ewlenija fil-każ li fih din tinvestiga l-istess attivitajiet ta’ pproċessar transkonfinali jew attivitajiet simili konformement mal-mekkaniżmu previst fl-Artikoli 56 u 60 [tal-GDPR]?”
26. Ġew ippreżentati osservazzjonijiet bil-miktub minn Facebook, mill-APD, mill-Gvern Belġjan, Ċek, Taljan, Pollakk, Portugiż u dak Finlandiż, kif ukoll mill-Kummissjoni Ewropea. Facebook, l-APD u l-Kummissjoni ressqu wkoll osservazzjonijiet orali waqt is-seduta tal-5 ta’ Ottubru 2020.
IV. Analiżi
27. Fi ftit kliem, il-kwistjoni ċentrali li qamet fil-kawża prinċipali hija dwar jekk l-APD tistax tkompli proċeduri legali kontra Facebook Belgium f’dak li jirrigwarda l-ipproċessar transkonfinali tad-data personali li seħħ wara li sar applikabbli l-GDPR, peress li l-entità tal-ipproċessar tad-data hija Facebook Ireland Ltd.
28. Sabiex tingħata soluzzjoni għal din il-kwistjoni, huwa meħtieġ li jiġu evalwati l-kamp ta’ applikazzjoni u l-funzjonament ta’ dak li l-GDPR innifsu, fil-premessa 127, jirreferi bħala l-mekkaniżmu ta’ “punt uniku ta’ servizz”. Dan il-mekkaniżmu jikkonsisti f’sett ta’ regoli li jagħtu lok, fil-każ ta’ pproċessar transkonfinali tad-data, għal punt ċentrali ta’ infurzar permezz ta’ awtorità superviżorja ewlenija (iktar ’il quddiem l-“ASE”), li tagħmel parti mis-sistema ta’ proċeduri ta’ kooperazzjoni u ta’ konsistenza flimkien mal-awtoritajiet superviżorji kkonċernati (iktar ’il quddiem l-“ASK”), intiżi li jiggarantixxu l-involviment tal-awtoritajiet superviżorji interessati kollha.
29. Skont l-Artikolu 56(1) tal-GDPR, awtorità superviżorja taġixxi bħala l-ASE fir-rigward tal-ipproċessar transkonfinali mwettaq mill-kontrolluri u mill-proċessuri li għandhom l-istabbiliment prinċipali jew l-istabbiliment uniku tagħhom fit-territorju tagħha. Skont il-punt 22 tal-Artikolu 4 tal-GDPR, awtorità superviżorja taġixxi bħala ASK jekk waħda mill-kundizzjonijiet alternattivi li ġejjin tkun issodisfatta: “(a) il-kontrollur jew il-proċessur ikun stabbilit fit-territorju tal-Istat Membru ta’ dik l-awtorità superviżorja; (b) is-suġġetti tad-data li jgħixu fl-Istat Membru ta’ dik l-awtorità superviżorja jiġu affettwati sostanzjalment jew x’aktarx li jkunu ser jiġu affettwati sostanzjalment mill-ipproċessar; jew (c) ikun tressaq ilment quddiem dik l-awtorità superviżorja”.
30. Qabel ma tiġi ttrattata s-sustanza tad-domandi preliminari, għandhom isiru ċerti osservazzjonijiet preliminari (A). Imbagħad ser nindirizza l-eżami tal-kwistjonijiet legali mqajma mill-qorti tar-rinviju. Ser niffoka, b’mod partikolari, fuq l-ewwel domanda preliminari sa fejn din id-domanda hija l-qofol tat-tilwima quddiem il-qorti tar-rinviju (B). Sussegwentement, ser nindirizza biss fil-qosor id-domandi preliminari l-oħra, peress li, jekk ir-risposta għall-ewwel domanda hija dik proposta f’dawn il-konklużjonijiet, risposta għal dawn id-domandi l-oħra ssir jew superfluwa jew pjuttost sempliċi (C).
A. Osservazzjonijiet preliminari
31. Qabel kollox, ninnota li jeżistu ċerti elementi tal-kawża prinċipali li għandi diffikultà nifhem sew.
32. L-ewwel, irrid nammetti li r-rilevanza tad-domandi magħmula fil-kors tal-kawża prinċipali ma hijiex kompletament evidenti għalija minħabba l-fatt li, fost il-partijiet li kontrihom ressqet azzjoni l-APD, jidher li hija biss Facebook Belgium li għadha l-konvenuta fil-kawża prinċipali (4). Mill-proċess quddiem il-Qorti tal-Ġustizzja jidher li din il-kumpanija la hija l-“istabbiliment ewlieni” tal-kontrollur għall-finijiet tal-punt 16 tal-Artikolu 4 tal-GDPR, u lanqas, peress li tidher li hija stabbiliment tal-istess impriża, ma hija possibbilment “kontrollur konġunt” fit-tifsira tal-Artikolu 26 tal-GDPR (5).
33. Madankollu, id-domandi preliminari magħmula jgawdu minn preżunzjoni ta’ rilevanza. Fil-fatt, il-Qorti tal-Ġustizzja tirrifjuta li tagħti deċiżjoni biss f’ċirkustanzi limitati, b’mod partikolari, meta r-rekwiżiti tal-Artikolu 94 tar-Regoli tal-Proċedura tal-Qorti tal-Ġustizzja ma jkunux issodisfatti jew meta jkun evidenti li l-interpretazzjoni tad-dritt tal-Unjoni kkonċernat ma għandha l-ebda relazzjoni mal-fatti, jew meta d-domandi jkunu (kompletament) ipotetiċi (6). Fil-fehma tiegħi, il-każ preżenti ma huwiex każ bħal dan. Il-kwistjoni ta’ “min hu min” u “min jista’ jiġi mfittex għal x’hiex eżattament” ma hijiex biss evalwazzjoni fattwali li fl-aħħar mill-aħħar taqa’ f’idejn il-qorti nazzjonali, iżda hija wkoll, b’xi mod, waħda mill-aspetti tad-domandi magħmula lill-Qorti tal-Ġustizzja.
34. It-tieni, l-aspett temporali tal-kawża prinċipali lanqas ma huwa faċli sabiex jinftiehem faċilment. Il-kawża nfetħet meta d-Direttiva 95/46 kienet fis-seħħ. Sussegwentement, hija nżammet meta l-GDPR daħal fis-seħħ. Madankollu, il-kawża issa tidher li tikkonċerna biss aġir li seħħ wara li sar applikabbli l-qafas legali l-ġdid. Fil-fatt, hemm il-kwistjoni dwar jekk il-kontinwazzjoni tal-proċedura mill-APD hijiex konformi mad-dispożizzjonijiet tal-GDPR, element imqajjem mir-raba’ domanda. Madankollu, dawn id-domandi jkunu rilevanti fil-kawża prinċipali biss jekk awtorità nazzjonali fittxet li tkompli sat-tmiem tagħha proċedura pendenti li tikkonċerna ksur allegat li seħħ qabel il-mument li fih sar applikabbli l-qafas ġuridiku l-ġdid. Madankollu, jekk il-proċedura pendenti titqies li tikkonċerna biss, f’dan l-istadju, l-allegati illegalitajiet li seħħew wara d-data li fiha sar applikabbli l-GDPR, possibbilment b’rabta ma’ talba għal projbizzjoni ġudizzjarja (min-natura tagħha neċessarjament prospettiva) ta’ tali prattiki, ma huwiex faċli li wieħed jifhem għaliex l-APD, sa fejn tqis lilha nnifisha kompetenti sabiex tintervjeni, ma temmitx il-proċedura pendenti u ma pproċeditx skont id-dispożizzjonijiet rilevanti tal-GDPR.
35. It-tielet, matul is-seduta, l-APD rreferiet għal skambju li hija kellha mal-awtorità superviżorja Irlandiża u mal-Bord dwar waħda mit-teknoloġiji użati minn Facebook sabiex tiġbor id-data (cookies). Ġie rrilevat li ż-żewġ awtoritajiet superviżorji ma qablux dwar jekk din it-teknoloġija kinitx effettivament taqa’ fil-kamp ta’ applikazzjoni ratione materiae tal-GDPR.
36. F’dan ir-rigward, u sa fejn hija kkonċernata din il-kawża, jista’ jkun utli li jiġi rrilevat li ċerti attivitajiet ta’ pproċessar ta’ data jistgħu effettivament jaqgħu fil-kamp ta’ applikazzjoni ratione materiae ta’ iktar minn strument leġiżlattiv wieħed tal-Unjoni, f’liema każ dawn l-istrumenti kollha jkunu, sakemm ma jkunx previst mod ieħor, applikabbli fl-istess ħin (7). Madankollu, f’każijiet oħra, pereżempju meta l-attivitajiet ta’ pproċessar ma jirrigwardawx data personali fis-sens tal-punt 1 tal-Artikolu 4 tal-GDPR, il-GDPR evidentement ma japplikax.
37. Għalhekk, meta l-allegata illegalità ta’ ċerti tipi ta’ pproċessar ta’ data toriġina minn dispożizzjonijiet oħra tad-dritt (tal-Unjoni jew nazzjonali), il-proċeduri u l-mekkaniżmi previsti mill-GDPR ma jkunux involuti. Il-GDPR ma jistax jintuża bħala pont sabiex fil-mekkaniżmu ta’ “punt uniku ta’ servizz” jiġu inklużi forom ta’ aġir li, minkejja li jimplika ċertu fluss ta’ data jew anki l-ipproċessar, ma jmur kontra l-ebda wieħed mill-obbligi previsti fih.
38. Sabiex tiddeċiedi jekk każ effettivament jaqax jew le fil-kamp ta’ applikazzjoni ratione materiae tal-GDPR, qorti nazzjonali, inkluż kull qorti tar-rinviju, għandha tistaqsi dwar is-sors eżatt tal-obbligu legali li jaqa’ fuq operatur ekonomiku u li jkun qiegħed jingħad li ġie miksur minn dan tal-aħħar. Jekk is-sors ta’ dan l-obbligu ma jkunx il-GDPR, f’dan il-każ il-proċeduri previsti minn dan l-istrument, marbuta mal-kamp ta’ applikazzjoni ratione materiae ta’ dan l-istrument, lanqas ma jkunu loġikament applikabbli.
B. L-ewwel domanda
39. Permezz tal-ewwel domanda tagħha, il-qorti tar-rinviju tistaqsi, essenzjalment, jekk id-dispożizzjonijiet tal-GDPR, moqrija fid-dawl tal-Artikoli 7, 8 u 47 tal-Karta tad-Drittijiet Fundamentali tal-Unjoni Ewropea (iktar ’il quddiem il-“Karta”), jippermettux lill-awtorità superviżorja ta’ Stat Membru tressaq proċeduri quddiem qorti ta’ dan l-Istat għal allegat ksur tal-GDPR fir-rigward tal-ipproċessar transkonfinali ta’ data, anki jekk din l-awtorità ma hijiex l-“awtorità superviżorja ewlenija”.
40. F’dan ir-rigward, l-APD kif ukoll il-Gvern Belġjan, Taljan, Pollakk u Portugiż jissuġġerixxu lill-Qorti tal-Ġustizzja li tirrispondi fl-affermattiv, filwaqt li Facebook, il-Gvern Ċek u dak Finlandiż kif ukoll il-Kummissjoni jiddefendu l-pożizzjoni opposta.
41. Fit-taqsima li ġejja, ser nispjega r-raġunijiet għaliex ma iniex konvint mill-interpretazzjoni tal-GDPR proposta mill-APD u mill-Gvern Belġjan, Taljan, Pollakk u Portugiż: kemm interpretazzjoni tal-GDPR letterali u sistematika (1), kif ukoll teleoloġika u storika (2) tmur b’mod ċar fid-direzzjoni opposta. Barra minn hekk, la interpretazzjoni tar-Regolament orjentata lejn il-Karta (3), u lanqas l-allegati riskji ta’ nuqqas ta’ infurzar possibbli tal-GDPR (4) ma huma ta’ natura li jikkontestaw dik li, fil-fehma tiegħi, hija l-interpretazzjoni korretta tal-GDPR, ċertament mhux fil-preżent.
42. B’dan premess, il-konsegwenzi ta’ dan il-qari partikolari tar-Regolament ma humiex, fil-fehma tiegħi, daqshekk estremi bħal dawk issuġġeriti minn Facebook, mill-Gvern Ċek u dak Finlandiż, kif ukoll mill-Kummissjoni. Għaldaqstant, ser nispjega għaliex ir-risposta li għandha tingħata lill-qorti tar-rinviju għandha tkun fit-triq tan-nofs bejn iż-żewġ pożizzjonijiet avvanzati f’dawn il-proċeduri: l-awtorità superviżorja ta’ Stat Membru hija intitolata li tressaq proċeduri quddiem qorti ta’ dan l-Istat għal allegat ksur tal-GDPR fir-rigward tal-ipproċessar transkonfinali ta’ data, minkejja li ma hijiex l-ASE, bil-kundizzjoni li hija tagħmel dan fis-sitwazzjonijiet u skont il-modalitajiet previsti mill-GDPR (5).
1. Interpretazzjoni letterali u sistematika tal-GDPR
43. Fl-ewwel lok, jidhirli li l-formulazzjoni tad-dispożizzjonijiet rilevanti, moqrija b’mod partikolari fil-kuntest tagħhom, timmilita favur l-interpretazzjoni tal-GDPR fis-sens li l-ASE għandha kompetenza ġenerali fuq l-ipproċessar transkonfinali u fis-sens li, impliċitament, l-ASK igawdu minn setgħa limitata li jaġixxu f’dan ir-rigward.
44. L-Artikolu 56(1) tal-GDPR jiddikjara li “l-awtorità superviżorja tal-istabbiliment ewlieni jew tal-istabbiliment uniku tal-kontrollur jew il-proċessur għandha tkun kompetenti biex taġixxi bħala l-awtorità superviżorja ewlenija għall-ipproċessar transkonfinali li jsir minn dak il-kontrollur jew proċessur f’konformità mal-proċedura prevista fl-Artikolu 60” (8). Skont l-Artikolu 56(6) tal-GDPR, “[l]-awtorità superviżorja ewlenija għandha tkun l-interlokutur uniku tal-kontrollur jew il-proċessur għall-ipproċessar transkonfinali li jsir minn dak il-kontrollur jew proċessur” (9). Il-premessa 124 tirrifletti dawn id-dispożizzjonijiet u essenzjalment tgħid li, fil-każ ta’ pproċessar transkonfinali “l-awtorità superviżorja għall-istabbiliment ewlieni tal-kontrollur jew il-proċessur jew għall-istabbiliment uniku tal-kontrollur jew il-proċessur għandha taġixxi bħala awtorità ewlenija” (10).
45. Il-kompetenza ġenerali tal-ASE fuq l-ipproċessar transkonfinali ta’ data hija barra minn hekk ikkonfermata mill-fatt li s-sitwazzjonijiet li fihom il-kompetenza fir-rigward tal-ipproċessar transkonfinali tingħata lil awtoritajiet superviżorji oħra huma kklassifikati bħala eċċezzjonijiet għar-regola ġenerali. B’mod partikolari, l-Artikolu 55(2) tal-GDPR jeskludi l-kompetenza tal-ASE fir-rigward ta’ ċertu pproċessar ta’ data “[imwettaq] minn awtoritajiet pubbliċi”. Barra minn hekk, l-Artikolu 56(2) tal-GDPR jiddikjara li, b’deroga mill-prinċipju li l-kompetenza tappartjeni lill-ASE, “kull awtorità superviżorja għandha tkun kompetenti biex tittratta lment imressaq lilha jew ksur possibbli ta’ dan ir-Regolament, jekk is-suġġett ikun marbut biss ma’ stabbiliment fl-Istat Membru tagħha jew jaffettwa b’mod sostanzjali suġġetti tad-data fl-Istat Membru tagħha biss”.
46. Barra minn hekk, l-Artikolu 66 tal-GDPR, li jikkonċerna l-“proċedura ta’ urġenza”, jawtorizza lil kull ASK “f’ċirkostanzi eċċezzjonali”, meta jkun hemm bżonn urġenti li taġixxi sabiex tipproteġi d-drittijiet u l-libertajiet tas-suġġetti tad-data, tadotta immedjatament miżuri provviżorji intiżi sabiex jipproduċu effetti legali fit-territorju tagħha stess, b’perijodu ta’ validità speċifikat li ma jaqbiżx it-tliet xhur, “b’deroga” mill-mekkaniżmi ta’ kooperazzjoni u ta’ konsistenza msemmija fl-Artikoli 60, 63, 64 u 65 tal-GDPR.
47. Għalhekk, jidher pjuttost ċar għalija li mit-test tal-GDPR jirriżulta li, fir-rigward tal-ipproċessar transkonfinali, il-kompetenza tal-ASE hija r-regola, u l-kompetenza tal-awtoritajiet superviżorji l-oħra hija l-eċċezzjoni (11).
48. Madankollu, l-APD u ċerti gvernijiet jikkontestaw dan il-qari tal-GDPR. Fil-fehma tagħhom, it-test tad-dispożizzjonijiet rilevanti jissuġġerixxi dritt (kważi assolut) ta’ kull awtorità superviżorja li tibda proċeduri ġudizzjarja kontra eventwali ksur li jaffettwa t-territorji tagħhom, indipendentement minn jekk l-ipproċessar huwiex transkonfinali min-natura tiegħu. Huma jinvokaw prinċipalment żewġ argumenti.
49. Fl-ewwel lok, huma jsostnu li l-espressjoni “mingħajr preġudizzju għall-Artikolu 55”, li biha jibda l-Artikolu 56(1), tfisser li l-kompetenza attribwita lill-ASE minn din l-aħħar dispożizzjoni ma tistax tostakola jew tillimita s-setgħat mogħtija mill-ewwel waħda minn dawn id-dispożizzjonijiet lil kull awtorità superviżorja, inkluża s-setgħa li tiftaħ proċeduri ġudizzjarja.
50. Dan l-argument ma jikkonvinċinix.
51. L-Artikolu 55(1) jistabbilixxi l-prinċipju li kull awtorità superviżorja “għandha tkun kompetenti biex twettaq il-kompiti assenjati lilha u l-eżerċizzju tas-setgħat ikkonferiti lilha f’konformità ma’ dan ir-Regolament fit-territorju tal-Istat Membru tagħha stess”. Dawn il-kompiti huma mbagħad elenkati fl-Artikolu 57 tal-GDPR. Is-setgħat huma elenkati fl-Artikolu 58 tiegħu. Fost il-kompiti fdati hemm notevolment is-sorveljanza u l-infurzar tal-applikazzjoni tal-GDPR (l-Artikolu 57(1)(a)). Skont l-Artikolu 58, l-awtoritajiet superviżorji għandhom jingħataw diversi setgħat ta’ investigazzjoni (paragrafu 1), setgħat korrettivi (paragrafu 2), setgħat ta’ awtorizzazzjoni u konsultattivi (paragrafu 3), kif ukoll is-setgħa li jinfetħu proċeduri legali (paragrafu 5).
52. Essenzjalment, dawn id-dispożizzjonijiet – li għalihom jirreferi impliċitament l-Artikolu 55 – jinkludu l-kompiti u s-setgħat kollha mogħtija lill-awtoritajiet superviżorji skont il-GDPR. Jekk wieħed isegwi l-interpretazzjoni mogħtija mill-APD u minn ċerti gvernijiet, prattikament ma jibqa’ xejn mill-ġurisdizzjoni ġenerali tal-ASE, u għalhekk l-Artikolu 56 jiġi mċaħħad minn kull sens. L-ASE la tkun l-interlokutur “uniku” u lanqas ma “tmexxi” l-awtoritajiet superviżorji l-oħra bi kwalunkwe mod. Wieħed jista’ jgħid li r-rwol tagħha ser jitnaqqas għal dak ta’ “punt ta’ informazzjoni”, mingħajr missjoni ddefinita b’mod ċar.
53. L-importanza tar-rwol mogħti lill-ASE, u impliċitament tal-mekkaniżmu ta’ punt uniku ta’ servizz, tidher b’mod iktar ċar meta dawn id-dispożizzjonijiet jinqraw flimkien u fil-kuntest tagħhom.
54. Il-prominenza mogħtija lill-Artikolu 56 fi ħdan is-sistema tal-GDPR tikkostitwixxi l-ewwel indizju ta’ dan. L-Artikolu 56 huwa t-tieni dispożizzjoni li tidher fit-taqsima rilevanti tal-GDPR (it-Taqsima 2, intitolata “Kompetenza, kompiti u setgħat”, tal-Kapitolu VI, intitolat “Awtoritajiet superviżorji indipendenti”), u tiġi immedjatament wara d-dispożizzjoni ġenerali dwar il-“kompetenza” u qabel id-dispożizzjonijiet ġenerali l-oħra dwar il-“kompiti” u s-“setgħat”. Għaldaqstant, il-leġiżlatur tal-Unjoni ddeċieda li jenfasizza ċ-ċentralità tal-kompetenza tal-ASE saħansitra qabel ma jidentifika fid-dettall il-kompiti u s-setgħat speċifiċi tal-awtoritajiet superviżorji kollha.
55. B’mod iktar fundamentali, l-importanza tar-rwol tal-ASE hija kkorroborata wkoll mid-dispożizzjonijiet inklużi fil-Kapitolu VII tal-GDPR (intitolat “Kooperazzjoni u konsistenza”), li jistabbilixxu d-diversi proċeduri u mekkaniżmi li l-awtoritajiet superviżorji għandhom isegwu sabiex jiżguraw l-applikazzjoni konsistenti tal-GDPR. B’mod partikolari, l-Artikolu 60, li jagħti bidu lill-kapitolu u li għalih jirreferi l-Artikolu 56(1), jistabbilixxi l-proċedura ta’ “kooperazzjoni bejn l-awtorità superviżorja ewlenija u l-awtoritajiet superviżorji kkonċernati oħra”.
56. Huwa ċar li din kienet maħsuba li tkun il-proċedura li għandha tiġi segwita meta tkun neċessarja azzjoni għal infurzar kontra pproċessar transkonfinali. Din il-proċedura, l-istess bħall-proċeduri l-oħra previsti fil-Kapitolu VII tal-GDPR, ma hijiex fakultattiva. It-termini imperattivi li jinsabu, b’mod partikolari, fl-Artikolu 51(2) u fl-Artikolu 63 tal-GDPR, jindikaw b’mod inekwivoku li l-awtoritajiet superviżorji għandhom jikkooperaw u għandhom jagħmlu dan permezz tal-użu (obbligatorju) tal-proċeduri u tal-mekkaniżmi stabbiliti għal dan il-għan.
57. Għaldaqstant, l-espressjoni “mingħajr preġudizzju għall-Artikolu 55”, li tinsab fl-Artikolu 56(1), għandha tifsira differenti minn dik proposta mill-APD. Fil-fehma tiegħi, din il-formulazzjoni, fil-kuntest fejn hija mqiegħda, tfisser sempliċement li, anki jekk f’każ individwali hija l-ASE li hija kompetenti għal dak il-każ li jinvolvi pproċessar transkonfinali skont l-Artikolu 56 tal-GDPR, l-awtoritajiet superviżorji kollha jżommu naturalment is-setgħat ġenerali mogħtija lilhom skont l-Artikolu 55 (u l-Artikolu 58) tal-GDPR.
58. Skont l-Artikolu 55(1) tal-GDPR, l-Istati Membri għandhom jippermettu lill-awtorità superviżorja twettaq il-kompiti u teżerċita s-setgħat previsti minn dan ir-regolament. Għalhekk, din id-dispożizzjoni tagħti lil kull awtorità superviżorja setgħa (jew kompetenza) ġenerali li taġixxi fir-rigward tat-territorju tagħha, u dan jibqa’ validu indipendentement (“mingħajr preġudizzju”) minn jekk l-ipproċessar huwiex ta’ natura transkonfinali jew le u, fl-affermattiv, l-awtorità inkwistjoni taġixxi bħala l-ASE jew l-ASK (12). Madankollu, l-Artikolu 55 tal-GDPR ma jirregolax is-sitwazzjonijiet u l-modalitajiet li fihom din is-setgħa ta’ azzjoni tiġi eżerċitata f’każ individwali. Fil-fatt, dawn l-aspetti huma rregolati minn dispożizzjonijiet oħra tal-GDPR, b’mod partikolari dawk inklużi fil-Kapitolu VII tiegħu. Skont dawn id-dispożizzjonijiet, il-kwistjoni ta’ jekk awtorità superviżorja tistax teżerċita s-setgħa ġenerali li taġixxi, u l-modalitajiet kif tagħmel dan, jiddependu, inter alia, minn jekk, fir-rigward ta’ kontrollur jew proċessur partikolari, din l-awtorità hijiex l-ASE jew ASK (13).
59. F’dan ir-rigward u fir-rigward tal-konklużjoni, jiena għalhekk naqbel mal-fehma tal-Bord li, f’opinjoni reċenti, irrefera għall-Artikolu 56(1) tal-GDPR bħala “regola prevalenti” u bħala “lex specialis”: dan l-artikolu “jieħu prijorità [fuq ir-regola ġenerali tal-Artikolu 55 tal-GDPR] kull darba li tqum xi sitwazzjoni ta’ pproċessar li tissodisfa l-kundizzjonijiet speċifikati fih” (14).
60. Għalhekk, nemmen li l-APD u ċerti gvernijiet jinterpretaw b’mod żbaljat l-Artikoli 55 u 56(1) tal-GDPR. Dawn l-intervenjenti jieħdu l-ewwel parti tas-sentenza tal-Artikolu 56(1) barra mill-kuntest tagħha sabiex ireġġgħu lura r-relazzjoni bejn ir-regola u l-eċċezzjoni. Sabiex isir dan, jitnaqqas il-kontenut preskrittiv ta’ diversi dispożizzjonijiet tal-GDPR, u jiġi ostakolat l-għan, enfasizzat inter alia fil-premessa 10 tiegħu, li tiġi żgurata applikazzjoni iktar konsistenti u omoġenea tar-regoli tal-protezzjoni tad-data. Dan iwassal, essenzjalment, għal ritorn għas-sistema preċedenti tad-Direttiva 95/46.
61. Fit-tieni lok, l-APD u ċerti gvernijiet isostnu li mill-formulazzjoni stess tal-Artikolu 58(5) tal-GDPR jirriżulta li l-awtoritajiet superviżorji kollha għandhom ikunu jistgħu jibdew proċeduri ġudizzjarji kontra kull ksur eventwali tar-regoli fil-qasam tal-protezzjoni tad-data li jaffettwa t-territorju tagħhom, indipendentement min-natura (lokali jew transkonfinali) tal-ipproċessar. Il-konsegwenza hija – fil-fehma tagħhom – li anki jekk wieħed jinterpreta l-mekkaniżmu ta’ punt uniku ta’ servizz bħala li jillimita s-setgħat ta’ awtoritajiet superviżorji oħra fir-rigward tal-ipproċessar transkonfinali, dawn il-limiti jistgħu jikkonċernaw biss l-azzjoni amministrattiva u mhux il-proċeduri ġudizzjarji.
62. Lanqas dan it-tieni argument ma jidhirli li huwa difendibbli. Jaqa’ fl-istess “dnub” tal-argument preċedenti: il-qari ta’ dispożizzjoni speċifika tal-GDPR fil-kuntest tal-“iżolament kliniku” mill-kumplament ta’ dan ir-regolament filwaqt li, fl-istess ħin, jaqra wisq fiha.
63. L-Artikolu 58(5) tal-GDPR jipprovdi: “[k]ull Stat Membru għandu jipprevedi bil-liġi li l-awtorità superviżorja tiegħu għandu jkollha s-setgħa li tiġbed l-attenzjoni tal-awtoritajiet ġudizzjarji għal ksur ta’ dan ir-Regolament u, fejn xieraq, tibda jew timpenja ruħha b’mod ieħor fi proċedimenti legali, sabiex tinforza d-dispożizzjonijiet ta’ dan ir-Regolament”.
64. Din id-dispożizzjoni teħtieġ li l-Istati Membri, minn naħa, jawtorizzaw lill-awtoritajiet superviżorji jżommu relazzjonijiet mill-qrib mal-awtoritajiet ġudizzjarji (inklużi eventwalment l-awtoritajiet kriminali) u, min-naħa l-oħra, jagħtu lill-awtoritajiet superviżorji s-setgħa (mhux biss passiva, iżda wkoll attiva) li jressqu proċeduri quddiem il-qrati u t-tribunali nazzjonali tagħhom. Fi kliem ieħor, l-awtoritajiet superviżorji għandhom bħala prinċipju jkunu f’pożizzjoni li jikkomunikaw mal-awtoritajiet ġudizzjarji u, jekk ikun meħtieġ, jibdew proċeduri ġudizzjarji. Nifhem li tali dispożizzjoni espressa kienet ikkunsidrata neċessarja mil-leġiżlatur tal-Unjoni peress li, minkejja t-test tal-Artikolu 28(3) tad-Direttiva 95/46 (15), kienu jeżistu diverġenzi sinjifikattivi bejn il-leġiżlazzjonijiet tal-Istati Membri fuq din il-kwistjoni, li mbagħad ħolqu problemi ta’ infurzar limitat (16). Din il-kawża, li nbdiet waqt li din id-direttiva kienet għadha fis-seħħ, toffri eżempju ta’ dan: il-kawża qajmet, skont id-dritt nazzjonali, kwistjonijiet dwar il-locus standi tal-Kummissjoni għall-Protezzjoni tal-Ħajja Privata u dwar l-adegwatezza tal-bażi legali tal-azzjoni mressqa mill-President tagħha.
65. Madankollu, b’mod simili għal dak li diġà ġie espost iktar ’il fuq (17), l-Artikolu 58(5) tal-GDPR jistabbilixxi setgħat li għandhom jingħataw mingħajr eċċezzjoni lill-awtoritajiet superviżorji kollha f’dan l-istadju, indipendentement minn (jew qabel) id-determinazzjoni, f’każ individwali, ta’ jekk din l-awtorità tkunx l-ASE kompetenti, jew ASK jew potenzjalment ma tkun ikkonċernata xejn. L-Artikolu 58(5) tal-GDPR ma jirregolax is-sitwazzjonijiet u l-modalitajiet li bihom għandha tiġi eżerċitata s-setgħa li jitressqu proċeduri. Dan huwa probabbli wkoll għaliex din id-dispożizzjoni tinkludi l-kliem “fejn xieraq”. Dan huwa l-iskop ta’ dispożizzjonijiet oħra tal-GDPR.
66. Barra minn hekk, la t-test u lanqas l-istruttura tal-Artikolu 58 tal-GDPR ma jissuġġerixxu li tista’ ssir distinzjoni – kif issostni l-APD – bejn is-setgħat amministrattivi tal-awtoritajiet (li huma suġġetti għar-restrizzjonijiet li jirriżultaw mill-mekkaniżmu ta’ “punt uniku ta’ servizz”) u s-setgħa li jitressqu proċeduri ġudizzjarji (li ma hijiex suġġetta għal dawn ir-restrizzjonijiet). Din id-dispożizzjoni telenka, paragrafu wara paragrafu, id-diversi setgħat li għandhom jingħataw lill-awtoritajiet superviżorji, billi tiġborhom fi gruppi skont l-għan tagħhom (investigattivi, korrettivi, konsultattivi u l-bqija). Il-formulazzjoni ta’ dawn il-paragrafi hija pjuttost simili u tindika, essenzjalment, li kull awtorità superviżorja għandu jkollha s-setgħat li huma stabbiliti fihom.
67. Għalhekk, ma narax bażi għall-interpretazzjoni tal-paragrafu 5 tal-Artikolu 58 b’mod differenti mill-paragrafi 1 sa 3 tal-istess dispożizzjoni. Mit-tnejn, waħda biss tista’ tkun minnha: jew kull awtorità superviżorja tgawdi minn dawn is-setgħat kollha mingħajr ma huma ristretti mill-mekkaniżmu tal-punt uniku ta’ servizz, jew dawn is-setgħat kollha għandhom jiġu eżerċitati skont il-proċeduri u fil-limiti stabbiliti mir-Regolament.
68. Għar-raġunijiet spjegati fil-punti 51 u 52 iktar ’il fuq, din l-ewwel ipoteżi ma tistax tintlaqa’. Fil-fatt, meta l-Artikolu 58 tal-GDPR jinqara fil-kuntest tiegħu, isir ċar li, fi kwalunkwe każ, il-kuntrarju ta’ dak li jsostnu l-APD u ċerti gvernijiet huwa effettivament minnu.
69. Fil-fatt, kull awtorità superviżorja tikkontribwixxi għall-applikazzjoni korretta u konsistenti tar-Regolament. Għal dan il-għan, kull awtorità superviżorja – irrispettivament mir-rwol tagħha bħala ASE jew bħala ASK f’każ speċifiku – għandha, pereżempju, teżamina l-ilmenti mressqa quddiemha u għandha tagħmel dan bid-diliġenza dovuta (18). Fil-fatt, anki fejn l-allegat ksur jikkonċerna l-ipproċessar transkonfinali u awtorità ma tkunx l-ASE, awtoritajiet superviżorji oħra għandhom ikunu jistgħu jeżaminaw il-kwistjoni sabiex jipprovdu kontribut sinjifikattiv meta jintalbu jagħmlu dan fil-qafas tal-mekkaniżmi ta’ kooperazzjoni u ta’ konsistenza (19), jew sabiex jadottaw miżuri urġenti. Madankollu, tkun imbagħad l-ASE li, ġeneralment, tadotta deċiżjonijiet vinkolanti sabiex tinforza l-GDPR fir-rigward tal-proċessur jew tal-kontrollur (20). B’mod partikolari, kif jirriżulta mis-sentenza reċenti fil-kawża Facebook Ireland u Schrems, l-“awtorità superviżorja nazzjonali kompetenti […] jekk ikun il-każ, għandha […] tippreżenta rikors quddiem il-qrati nazzjonali” (21). Għalhekk, is-suġġeriment li l-awtoritajiet superviżorji jistgħu jinjoraw il-mekkaniżmi ta’ konsistenza u ta’ kooperazzjoni meta jkunu jixtiequ jressqu proċeduri ma jistax jiġi rrikonċiljat mat-test tal-GDPR u mal-ġurisprudenza tal-Qorti tal-Ġustizzja.
70. Barra minn hekk, minn perspettiva iktar prattika, ikun illoġiku li awtorità ma titħalliex tiftaħ proċedura amministrattiva, sabiex tiddiskuti mal-operaturi kkonċernati l-ksur preżunt tar-regoli tal-protezzjoni tad-data, iżda li din l-istess awtorità tiġi permessa tibda immedjatament proċeduri legali f’qorti dwar l-istess kwistjoni. It-tressiq ta’ kawża huwa ħafna drabi strument tal-aħħar għażla, li awtorità tista’ tqajjem meta kwistjoni ma tkunx tista’ tiġi ttrattata b’mod effettiv permezz ta’ diskussjonijiet (formali jew informali) u ta’ deċiżjonijiet fil-livell amministrattiv.
71. Id-distinzjoni ssuġġerita mill-APD, li ma tippermettix lil awtorità superviżorja tinvestiga, tħejji, tipproċessa u tiddeċiedi (amministrattivament), iżda tippermettilha minflok tressaq proċeduri ġudizzjarji immedjatament quddiem qorti, tqarreb b’mod perikoluż lejn it-tibdil ta’ awtoritajiet amministrattivi f’karattri pjuttost dubjużi tal-Amerika Oċċidentali, li jisparaw l-ewwel, u (forsi), jitkellmu iktar tard, jekk xejn (“meta għandek tispara, spara, mhux titkellem” (22)). Ma iniex ċert li dan huwa mezz raġonevoli jew xieraq għall-awtoritajiet amministrattivi sabiex jittrattaw ksur preżunt tar-regoli tal-protezzjoni tad-data.
72. Barra minn hekk, u iktar importanti, jekk l-awtoritajiet superviżorji jitħallew imorru liberament quddiem il-qrati nazzjonali tagħhom, meta ma jkunux jistgħu jużaw is-setgħat amministrattivi tagħhom mingħajr ma jgħaddu mill-mekkaniżmi ta’ kooperazzjoni u ta’ konsistenza previsti mill-imsemmi regolament, dan jiftaħ it-triq għal evażjoni faċli ta’ dawn il-mekkaniżmi. B’mod partikolari, fil-każ ta’ nuqqas ta’ qbil dwar abbozz ta’ deċiżjoni, kemm l-ASE kif ukoll (kull waħda mill-)ASK jistgħu “jieħdu s-sitwazzjoni f’idejhom” u jibdew proċeduri quddiem il-qrati nazzjonali, u b’hekk jaqbżu l-proċedura prevista fl-Artikolu 60(4) u fl-Artikolu 65 tal-GDPR.
73. Dan, min-naħa tiegħu, jirrendi wkoll mingħajr sens waħda mill-funzjonijiet ewlenin tal-Bord – korp stabbilit mill-GDPR, magħmul mill-kap ta’ awtorità superviżorja waħda ta’ kull Stat Membru u mill-Kontrollur Ewropew għall-Protezzjoni tad-Data (23). Wieħed mill-kompiti tal-Bord huwa preċiżament dak li jissorvelja u jiżgura l-applikazzjoni korretta tal-GDPR fejn iqum nuqqas ta’ qbil bejn awtoritajiet superviżorji differenti (24). F’dawn il-każijiet, il-Bord jaġixxi bħala forum għas-soluzzjoni tat-tilwim u bħala korp għat-teħid ta’ deċiżjonijiet. Li kieku kellha tiġi segwita l-interpretazzjoni difiża mill-APD u ċerti gvernijiet, il-mekkaniżmu stabbilit fl-Artikolu 65 tal-GDPR ikun jista’ jiġi totalment injorat: kull awtorità tkun tista’ tmur għal triqtha, billi taqbeż il-Bord.
74. Is-sitwazzjoni li tirriżulta minn dan tidher li hija kuntrarja għal dak li l-leġiżlatur tal-Unjoni ried jilħaq bis-sistema l-ġdida, kif ser jiġi spjegat fit-taqsima li ġejja.
2. Interpretazzjoni teleoloġika u storika tal-GDPR
75. Kif jirriżulta mill-premessa 9 tal-GDPR, il-leġiżlatur tal-Unjoni qies li, filwaqt li “[l]-għanijiet u l-prinċipji tad-Direttiva 95/46/KE [baqgħu] sodi”, dan l-istrument “ma [waqqafx] il-frammentazzjoni fl-implimentazzjoni fil-protezzjoni tad-data fl-Unjoni kollha, in-nuqqas ta’ ċertezza legali jew perċezzjoni pubblika mifruxa li hemm riskji sinifikanti għall-protezzjoni tal-persuni fiżiċi”.
76. In-neċessità li tiġi żgurata l-konsistenza b’hekk saret l-“isem tal-logħba” tal-istrument legali intiż li jissostitwixxi d-Direttiva 95/46. Dan l-għan tqies li huwa importanti minn perspettiva doppja: minn naħa, sabiex jiġi żgurat livell omoġenju u għoli ta’ protezzjoni tal-persuni fiżiċi u, min-naħa l-oħra, sabiex jitneħħew l-ostakoli għall-moviment tad-data personali fi ħdan l-Unjoni, sabiex tingħata ċ-ċertezza legali u t-trasparenza lill-operaturi ekonomiċi (25).
77. Dan l-aspett tal-aħħar għandu jiġi enfasizzat. Skont id-Direttiva 95/46, l-operaturi ekonomiċi attivi madwar l-Unjoni kienu obbligati josservaw id-diversi serje ta’ leġiżlazzjonijiet nazzjonali li jimplimentaw id-Direttiva, u jikkonsultaw, fl-istess ħin, mal-awtoritajiet nazzjonali tal-protezzjoni tad-data kollha. Din is-sitwazzjoni ma kinitx biss għalja, ta’ piż u tieħu ħafna ħin għall-operaturi ekonomiċi, iżda kienet ukoll sors inevitabbli ta’ inċertezza u ta’ kunflitti għal dawn l-operaturi u l-klijenti tagħhom (26).
78. Il-limiti tas-sistema stabbilita taħt id-Direttiva 95/46 immanifestaw ruħhom ukoll f’diversi sentenzi tal-Qorti tal-Ġustizzja. Fis-sentenza Weltimmo, il-Qorti tal-Ġustizzja ddeċidiet li s-setgħat tal-awtoritajiet tal-protezzjoni tad-data kienu strettament limitati mill-prinċipju ta’ territorjalità: dawn l-awtoritajiet setgħu jaġixxu kontra ksur imwettaq fit-territorju tagħhom stess biss, filwaqt li fil-każijiet l-oħra kollha kellhom jitolbu l-intervent tal-awtoritajiet tal-Istati Membri l-oħra (27). Fis-sentenza Wirtschaftsakademie Schleswig-Holstein, il-Qorti tal-Ġustizzja ddeċidiet li, fil-każ ta’ pproċessar transkonfinali, kull awtorità għall-protezzjoni tad-data setgħet teżerċita s-setgħat tagħha fir-rigward ta’ entità stabbilita fit-territorju tagħha, indipendentement mill-perspettiva u mill-azzjonijiet tal-awtorità responsabbli għall-protezzjoni tad-data tal-Istat Membru fejn l-entità responsabbli minn dan l-ipproċessar għandha s-sede tagħha (28).
79. Madankollu, fid-dinja virtwali tal-ipproċessar tad-data, il-qsim tal-kompetenza tad-diversi awtoritajiet fuq linji territorjali huwa ta’ spiss problematiku (29). Barra minn hekk, in-nuqqas ta’ mekkaniżmi ċari ta’ koordinazzjoni bejn l-awtoritajiet nazzjonali kien sors ta’ inkonsistenzi u inċertezza.
80. L-introduzzjoni tal-mekkaniżmu ta’ punt uniku ta’ servizz, bir-rwol sinjifikattiv mogħti lill-ASE, u tal-mekkaniżmi ta’ kooperazzjoni stabbiliti sabiex jinvolvu awtoritajiet superviżorji oħra, kienet għalhekk intiża sabiex tindirizza proprju dawn il-problemi (30). Fis-sentenza Google (Il-kamp ta’ applikazzjoni territorjali tat-tneħħija ta’ referenza), il-Qorti tal-Ġustizzja enfasizzat l-importanza tal-mekkaniżmi ta’ kooperazzjoni u ta’ konsistenza għall-applikazzjoni korretta u koerenti tal-GDPR, u n-natura obbligatorja tagħhom (31). Iktar reċentement, fis-sentenza Facebook Ireland u Schrems, l-Avukat Ġenerali Saugmandsgaard Øe enfasizza bl-istess mod li l-mekkaniżmi ta’ kooperazzjoni u ta’ konsistenza previsti fil-Kapitolu VII tal-GDPR huma mfassla sabiex jiġi evitat ir-riskju li diversi awtoritajiet superviżorji jieħdu approċċi differenti fir-rigward tal-ipproċessar transkonfinali (32).
81. Huwa minnu li – kif tindika l-APD – matul il-proċess leġiżlattiv, kemm il-Kunsill kif ukoll il-Parlament ippruvaw jillimitaw il-kompetenza tal-ASE, kif inizjalment prevista mill-Kummissjoni. Madankollu, l-emendi finalment introdotti fit-test finali tal-GDPR ma jqajmux dubji dwar l-interpretazzjoni tar-Regolament spjegata iktar ’il fuq, iżda pjuttost jikkonfermawha.
82. Skont il-proposta inizjali tal-Kummissjoni, il-mekkaniżmu ta’ punt uniku ta’ servizz kien jimplika li, fir-rigward ta’ pproċessar transkonfinali, awtorità superviżorja waħda unika (l-ASE) kellha tkun inkarigata sabiex tissorvelja l-attivitajiet tal-kontrollur jew tal-proċessur madwar l-Unjoni u sabiex tieħu d-deċiżjonijiet relatati magħhom (33). Madankollu, din il-proposta wasslet għal diskussjonijiet fi ħdan il-Kunsill u l-Parlament.
83. Il-Kunsill fl-aħħar qabel dwar test fuq il-bażi ta’ proposta mressqa mill-Presidenza (34). Din il-proposta bl-ebda mod ma kkontestat il-mekkaniżmu ta’ punt uniku ta’ servizz bħala tali, li l-Kunsill irrefera għalih bħala “wieħed mill-pilastri ċentrali” tal-qafas legali l-ġdid (35). Il-proposta tal-Presidenza fl-aħħar mill-aħħar wasslet għal żewġ serje ta’ emendi pjuttost speċifiċi.
84. L-ewwel, il-Kunsill xtaq jintroduċi ċerti eċċezzjonijiet għall-kompetenza ġenerali tal-ASE: fir-rigward tal-ipproċessar imwettaq mill-awtoritajiet pubbliċi, u fir-rigward tas-sitwazzjonijiet lokali. Il-Kunsill ippropona għalhekk li jiġu introdotti żewġ dispożizzjonijiet li ma kinux inklużi fil-Proposta tal-Kummissjoni (36), u li issa huma l-Artikolu 55(2) u l-Artikolu 56(2) tal-GDPR (37).
85. It-tieni, il-Kunsill kellu l-intenzjoni li jtaffi r-rwol u l-kompetenza tal-ASE, billi jagħmel il-proċedura iktar inklużiva. It-test tal-Proposta tal-Kummissjoni tqies li kien kemxejn ambigwu fuq dan il-punt u li seta’ jagħti lok għal kompetenza esklużiva tal-ASE fil-qasam tal-ipproċessar transkonfinali ta’ data. Għalhekk, saru numru ta’ korrezzjonijiet fit-test sabiex tissaħħaħ il-“prossimità” bejn is-suġġetti tad-data u l-awtoritajiet superviżorji (38). Inter alia, l-involviment ta’ awtoritajiet superviżorji oħra fil-proċess tat-teħid ta’ deċiżjonijiet żdied b’mod sinjifikattiv.
86. Il-Parlament Ewropew, min-naħa tiegħu, appoġġja wkoll il-ħolqien tal-mekkaniżmu ta’ punt uniku ta’ servizz, bi rwol imsaħħaħ għall-ASE, iżda ppropona li tissaħħaħ is-sistema ta’ kooperazzjoni fost l-awtoritajiet superviżorji. Kemm in-Nota Spjegattiva għall-Abbozz ta’ Rapport tal-Parlament (39) kif ukoll ir-riżoluzzjoni leġiżlattiva tal-Parlament Ewropew tat‑12 ta’ Marzu 2014 (40) huma pjuttost ċari f’dan ir-rigward.
87. Essenzjalment, permezz tal-intervent tal-Kunsill u tal-Parlament, il-mekkaniżmu ta’ punt uniku ta’ servizz, li qabel kien ixaqleb ħafna lejn l-ASE, ġie mibdul f’mekkaniżmu ta’ żewġ pilastri iktar ibbilanċjat: ir-rwol ewlieni tal-ASE fir-rigward tal-ipproċessar transkonfinali nżamm, iżda issa huwa akkumpanjat minn rwol imsaħħaħ għall-awtoritajiet superviżorji l-oħra li jipparteċipaw b’mod attiv fil-proċess permezz ta’ mekkaniżmi ta’ kooperazzjoni u ta’ konsistenza, bil-Bord mogħti rwol ta’ arbitru u ta’ gwida f’każ ta’ nuqqas ta’ qbil.
88. Għalhekk, interpretazzjoni teleoloġika u storika tal-GDPR tikkonferma l-importanza tal-mekkaniżmu ta’ punt uniku ta’ servizz u, konsegwentement, il-kompetenza ġenerali tal-ASE fir-rigward tal-ipproċessar transkonfinali tad-data. L-interpretazzjoni tad-dispożizzjonijiet tal-GDPR proposta mill-APD u minn ċerti gvernijiet ma hijiex konċiljabbli mal-intenzjoni tal-leġiżlatur tal-Unjoni, kif tista’ tiġi dedotta mill-preambolu u mid-dispożizzjonijiet tar-Regolament, kif ukoll mix-xogħol preparatorju.
89. Nikkonkludi għalhekk li approċċ testwali, kuntestwali, teleoloġiku u storiku għall-interpretazzjoni tad-dispożizzjonijiet rilevanti tal-GDPR jikkonferma li l-awtoritajiet superviżorji huma obbligati josservaw ir-regoli dwar il-kompetenza u dwar il-mekkaniżmi u l-proċeduri ta’ kooperazzjoni u ta’ konsistenza previsti mir-Regolament. Meta jkollhom quddiemhom ipproċessar transkonfinali, dawn l-awtoritajiet għandhom jaġixxu fil-qafas stabbilit mill-GDPR.
90. Madankollu, l-APD u ċerti gvernijiet ressqu żewġ serje ta’ argumenti addizzjonali li, fil-fehma tagħhom, jiffavorixxu t-tisħiħ tas-setgħat tal-awtoritajiet superviżorji kollha sabiex jaġixxu unilateralment, anki f’dak li jirrigwarda l-ipproċessar transkonfinali. Fit-taqsimiet li ġejjin, ser nispjega għaliex dawn l-argumenti ma għandhomx jikkontestaw l-interpretazzjoni tal-GDPR li pproponejt iktar ’il fuq, ċertament mhux fil-preżent.
3. Interpretazzjoni tal-GDPR orjentata lejn il-Karta
91. L-APD issostni li setgħa mingħajr limiti tal-awtoritajiet superviżorji li jressqu proċeduri kontra l-proċessuri u l-kontrolluri, inkluż meta l-ipproċessar ikun ta’ natura transkonfinali, hija neċessarja sabiex tiġi żgurata l-osservanza tal-Artikoli 7, 8 u 47 tal-Karta. Jidher li hemm żewġ preokkupazzjonijiet prinċipali li fuqhom huma bbażati l-argumenti tal-APD dwar dan is-suġġett, għalkemm l-ebda waħda minn dawn il-preokkupazzjonijiet ma ġiet artikolata kompletament fl-osservazzjonijiet tagħha (41).
92. L-ewwel tħassib tal-APD jidher li huwa relatat mat-tnaqqis fin-numru ta’ awtoritajiet li jistgħu jaġixxu fir-rigward ta’ aġir partikolari. Jidher li hemm suppożizzjoni siekta f’din il-proposta, jiġifieri li livell għoli ta’ protezzjoni jeżiġi pluralità ta’ awtoritajiet li jistgħu jinfurzaw l-osservanza tal-GDPR, anki jekk jaġixxu b’mod parallel. Fi kliem iktar sempliċi, iktar ma jkunu l-awtoritajiet li jkunu involuti, ikbar il-livell ta’ protezzjoni.
93. Ma naħsibx li dan għandu neċessarjament ikun il-każ, għall-inqas f’dak li jirrigwarda l-livell ta’ protezzjoni.
94. Huwa minnu li, kif ippreċiżat il-Qorti tal-Ġustizzja, il-leġiżlazzjoni tal-Unjoni dwar il-protezzjoni tad-data, moqrija fid-dawl tal-Artikoli 7 u 8 tal-Karta, hija intiża li tiżgura livell għoli ta’ protezzjoni, inter alia, tad-dritt fundamentali għar-rispett tal-ħajja privata fir-rigward tal-ipproċessar tad-data personali (42).
95. Madankollu, il-leġiżlatur tal-Unjoni kien tal-fehma li, sabiex jiġi żgurat “livell għoli ta’ protezzjoni tal-persuni fiżiċi”, kien neċessarju “qafas b’saħħtu u koerenti għall-protezzjoni tad-data” (43). Għal dan il-għan, il-qafas stabbilit mill-GDPR huwa intiż li jiżgura konsistenza fuq il-livelli kollha: għall-persuni fiżiċi, għall-operaturi ekonomiċi, għall-kontrolluri u għall-proċessuri, u għall-awtoritajiet superviżorji bl-istess mod (44). Fir-rigward ta’ dawn tal-aħħar, il-GDPR ifittex, kif ikkonfermat fil-premessa 116, li jippromwovi “kooperazzjoni aktar mill-qrib” fosthom (45).
96. Konsegwentement, kuntrarjament għal dak li sostniet l-APD, it-tfittxija ta’ livell għoli ta’ protezzjoni tad-drittijiet u tal-libertajiet tas-suġġetti tad-data hija – f’għajnejn il-leġiżlatur tal-Unjoni – kompletament konformi mal-funzjonament tal-mekkaniżmu ta’ punt uniku ta’ servizz spjegat iktar ’il fuq. Billi jippermettu approċċ iktar koerenti, effettiv u trasparenti f’dan is-suġġett, il-mekkaniżmi ta’ kooperazzjoni u ta’ konsistenza stabbiliti fil-GDPR għandhom jikkontribwixxu għal enfasi iktar b’saħħitha fuq il-promozzjoni u s-salvagwardja tad-drittijiet stabbiliti, b’mod partikolari, fl-Artikoli 7 u 8 tal-Karta.
97. Fi kliem ieħor, livell koerenti u uniformi ta’ protezzjoni ċertament ma jipprekludix li din il-protezzjoni titqiegħed f’livell għoli. Din hija sempliċement kwistjoni dwar fejn għandu jiġi stabbilit dan il-kriterju uniformi. Wara kollox, huwa dubjuż kemm il-koeżistenza ta’ diversi azzjonijiet mhux relatati, u possibbilment kontradittorji, mill-awtoritajiet superviżorji verament issaħħaħ l-għan li jiġi żgurat livell għoli ta’ protezzjoni tad-drittijiet tal-individwi. Il-konsistenza u ċ-ċarezza, iggarantiti mill-awtoritajiet superviżorji li jaġixxu flimkien, jistgħu jiġu kkunsidrati bħala li jservu aħjar dan l-għan.
98. It-tieni tħassib espress mill-APD iqajjem kwistjonijiet ta’ prossimità bejn l-individwi li jressqu lment u l-awtoritajiet li finalment ser jieħdu azzjoni bi tweġiba għal dan l-ilment. Il-kwistjoni hija, essenzjalment, dwar jekk l-individwi jistgħux effettivament iressqu proċeduri kontra l-azzjoni jew in-nuqqas ta’ azzjoni tal-awtoritajiet superviżorji fir-rigward tal-ilmenti tagħhom.
99. Fil-fatt, l-Artikolu 78 tal-GDPR jikkonferma d-dritt tal-persuni fiżiċi jew ġuridiċi għal rimedju ġudizzjarju effettiv kontra awtorità superviżorja. Barra minn hekk, sabiex ikunu konsistenti mal-Artikolu 47 tal-Karta, ir-rimedji previsti mill-GDPR ma jistgħux jeżiġu li s-suġġetti tad-data josservaw regoli ddettaljati li, fid-dawl tal-kwalità tagħhom ta’ persuni fiżiċi, jistgħu jaffettwaw b’mod sproporzjonat id-dritt tagħhom għal rimedju ġudizzjarju (pereżempju, billi jżidu l-ispejjeż jew billi jdewmu l-kawżi) (46).
100. Madankollu, ebda wieħed mill-argumenti (pjuttost vagi) mressqa minn kull parti dwar dan il-punt ma jispjega b’mod ċar għalfejn l-interpretazzjoni tal-GDPR mogħtija minn Facebook, mill-Gvern Ċek u dak Finlandiż u mill-Kummissjoni tmur kontra l-Artikolu 47 tal-Karta.
101. Qabelxejn, il-GDPR jipprevedi espressament id-dritt tas-suġġetti tad-data li jressqu proċeduri kemm kontra l-kontrolluri u l-proċessuri, kif ukoll kontra l-awtoritajiet superviżorji. Fuq il-livell strutturali, għalhekk, ma jidhirx għalfejn il-GDPR ma josservax l-Artikolu 47 tal-Karta.
102. Fir-rigward tad-dritt tas-suġġetti tad-data li jressqu proċeduri kontra l-kontrolluri u l-proċessuri, huma jingħataw l-għażla li jressqu proċeduri quddiem il-qrati tal-Istati Membri li fihom il-kontrollur jew il-proċessur ikollu stabbiliment jew fejn is-suġġetti tad-data jirrisjedu (47). Din ir-regola tidher pjuttost favorevoli jew, għall-inqas, mhux problematika għas-suġġetti tad-data (48).
103. Sa fejn huwa kkonċernat id-dritt tas-suġġetti tad-data li jibdew proċeduri kontra l-awtoritajiet superviżorji, is-sitwazzjoni hija iktar kumplessa. L-ewwel nett, is-suġġetti tad-data jibbenefikaw mid-dritt li jikkontestaw kemm l-azzjonijiet kif ukoll in-nuqqas ta’ azzjoni tal-awtoritajiet superviżorji. B’mod partikolari, huma jistgħu jaġixxu kontra kull awtorità superviżorja li “ma tiħux azzjoni b’rabta ma’ ilment, tirrifjuta jew tiċħad l-ilment parzjalment jew kompletament jew ma tiħux azzjoni fejn tali azzjoni tkun meħtieġa għall-protezzjoni tad-drittijiet tas-suġġett tad-data” (49).
104. Madankollu, l-azzjonijiet kontra l-awtoritajiet superviżorji għandhom, b’differenza mill-każ ta’ azzjonijiet kontra l-kontrolluri u l-proċessuri, jitressqu quddiem il-qrati tal-Istat Membru fejn tkun stabbilita l-awtorità superviżorja (50). Għalkemm din ir-regola tista’ tidher inqas favorevoli għall-individwi, għandu jitfakkar li, skont l-Artikolu 60(8) u (9) tal-GDPR, meta lment imressaq minn suġġett tad-data jiġi totalment jew parzjalment imwarrab jew miċħud, id-deċiżjoni rilevanti tiġi adottata u nnotifikata lis-suġġett tad-data mill-awtorità superviżorja li quddiemha jkun ressaq l-ilment. Dan japplika indipendentement minn jekk din l-awtorità hijiex jew le l-ASE, u b’hekk jippermetti (fejn xieraq) lis-suġġett tad-data jiftaħ proċeduri fl-Istat Membru tiegħu stess.
105. Dawn il-mekkaniżmi ta’ ċaqliq tal-kompetenza sabiex jiġu adottati d-deċiżjonijiet u, fejn meħtieġ, sabiex eventwalment jiġu adottati deċiżjonijiet fuq żewġ livelli (l-ASE fil-konfront tal-kontrollur jew il-proċessur, u awtorità lokali fil-konfront tal-persuna li ressqet l-ilment) jidhru b’mod speċifiku intiżi sabiex jevitaw li s-suġġetti tad-data jkollhom “iduru” l-awli tal-qrati tal-Unjoni sabiex iressqu proċeduri kontra awtoritajiet superviżorji li ma jiħdux azzjoni.
106. Nirrikonoxxi madankollu li tali soluzzjoni tista’ twassal għal diversi kwistjonijiet prattiċi. X’ser ikun il-kontenut eżatt ta’ kull waħda minn dawn id-deċiżjonijiet? Dan il-kontenut ikun identiku (51), jew differenti? Suġġett tad-data jkun awtorizzat jitħalla jikkontesta l-kwistjonijiet kollha li huwa jemmen li għandhom x’jaqsmu mal-każ tiegħu, anki dawk li effettivament jagħmlu parti mid-deċiżjoni tal-ASE? Jew inkella d-deċiżjoni tal-awtorità superviżorja li quddiemha s-suġġett tad-data ressaq l-ilment tikkostitwixxi fil-parti l-kbira “qoxra vojta”, li tittratta sempliċement b’mod formali l-ilment individwali, filwaqt li l-kontenut konkret ikun jinsab fid-deċiżjoni tal-ASE? F’dan il-każ, is-suġġett tad-data għandu, sabiex ikollu aċċess għal “rimedju ġudizzjarju effettiv” fis-sens tal-Artikolu 78 tal-GDPR u tal-Artikolu 47 tal-Karta, iressaq proċeduri ġudizzjarji quddiem il-qrati tal-Istat Membru fejn hija stabbilita l-ASE f’kull każ? Kif għandhom japplikaw ir-regoli ta’ aċċess għal rimedju ġudizzjarju effettiv f’dak li jirrigwarda l-istħarriġ ta’ deċiżjonijiet sottostanti, kemm jekk fil-livell orizzontali (fost l-awtoritajiet superviżorji li jaġixxu flimkien) jew fil-livell vertikali (f’dak li jirrigwarda l-istħarriġ ta’ opinjoni jew ta’ deċiżjoni tal-Bord fil-mekkaniżmu ta’ konsistenza li jippreċedi u li effettivament jista’ jiddetermina d-deċiżjoni finali ta’ awtorità superviżorja) (52)?
107. Ma hemmx nuqqas ta’ problemi eventwali. L-esperjenza prattika tista’, xi darba, tiżvela problemi ġenwini dwar il-kwalità, jew saħansitra dwar il-livell ta’ protezzjoni ġuridika inerenti fis-sistema l-ġdida. Madankollu, fil-preżent, tali kwistjonijiet jibqgħu fil-livell ta’ allegazzjonijiet. F’dan l-istadju, u ċertament f’din il-kawża, ebda element ma ġie ppreżentat lill-Qorti tal-Ġustizzja li jindika kwalunkwe problemi konkreti f’dan ir-rigward.
4. Fuq eventwali nuqqas ta’ infurzar tal-GDPR
108. L-APD issostni, essenzjalment, li l-infurzar tal-GDPR f’sitwazzjonijiet transkonfinali ma jistax jitħalla kważi esklużivament lill-ASE u lis-suġġetti tad-data li jistgħu jkunu affettwati mill-ipproċessar. Huwa r-rwol stess ta’ kull awtorità superviżorja li taġixxi sabiex tipproteġi d-drittijiet tal-individwi li jistgħu jiġu affettwati mill-ipproċessar tad-data. B’mod partikolari, awtorità superviżorja ma tistax tissodisfa b’mod korrett il-missjoni tagħha jekk f’kull każ id-deċiżjoni dwar jekk tibdiex jew le azzjoni kontra ksur suspettat, u l-modalitajiet kif isir dan, titħalla għad-diskrezzjoni ta’ awtorità oħra.
109. Fil-fehma tiegħi, dan l-argument essenzjalment jirrappreżenta sfida diretta għall-mekkaniżmu l-ġdid ta’ kooperazzjoni introdott mill-GDPR. Ir-risposta tiegħi bi tweġiba għal dan l-argument hija fformulata fuq żewġ livelli: minn naħa, sa fejn jirrigwarda l-livell tad-dritt eżistenti, il-GDPR jista’ jingħad li jinkludi mekkaniżmi intiżi sabiex jiġu evitati tali xenarji. Min-naħa l-oħra, sa fejn jirrigwarda l-funzjonament u l-effetti reali tas-sistemi l-ġodda, tali biża’ hija, f’dan l-istadju, prematura u ipotetika.
110. L-ewwel, għandu jiġi kkjarifikat qabel kollox li l-fatt li awtorità superviżorja ma hijiex l-ASE fir-rigward ta’ kontrollur jew proċessur partikolari bl-ebda mod ma jimplika – kif tallega l-APD – li l-ksur tal-GDPR li jagħti lok għal reat kriminali ma jistax ikun suġġett b’mod validu għal prosekuzzjoni. Is-setgħa “li tiġbed l-attenzjoni tal-awtoritajiet ġudizzjarji għal ksur ta’ dan ir-Regolament”, stabbilita fl-Artikolu 58(5), evidentement tinkludi s-setgħa li wieħed jikkonsulta ma’ awtoritajiet kriminali bħall-uffiċċju tal-prosekutur pubbliku. Din is-setgħa hija konformi mal-kompitu tal-awtoritajiet superviżorji li jissorveljaw u jinfurzaw l-applikazzjoni tal-GDPR fit-territorju tagħhom u ma tippreġudikax il-funzjonament effettiv tal-mekkaniżmi ta’ kooperazzjoni u ta’ konsistenza stabbiliti fil-Kapitolu VII tal-GDPR. F’dan ir-rigward, ma tantx huwa neċessarju li jiġi rrilevat li, għalkemm huma obbligatorji għall-awtoritajiet superviżorji, dawn il-mekkaniżmi ma japplikawx għall-awtoritajiet ta’ Stati Membri oħra, b’mod partikolari għal dawk inkarigati mill-prosekuzzjoni ta’ reati kriminali.
111. It-tieni u b’mod iktar importanti, meta s-sistema stabbilita mill-GDPR tiġi osservata fl-intier tagħha, huwa pjuttost ċar li l-ASE ma hijiex l-unika responsabbli għall-infurzar tal-GDPR f’sitwazzjonijiet transkonfinali. L-ASE hija iktar primus inter pares. B’mod ġenerali, ASE tista’ taġixxi (b’mod amministrattiv jew ġudizzjarju) biss bil-kunsens tal-ASK. Fi ħdan il-proċedura prevista fl-Artikolu 60 tal-GDPR, l-ASE hija marbuta li tilħaq kunsens (53). Hija ma tistax tinjora l-perspettiva tal-ASK. Mhux biss l-ASE hija obbligata “tieħu kont” ta’ dawn il-fehmiet, iżda kull oġġezzjoni formali espressa minn ASK għandha l-effett li twaqqaf temporanjament l-adozzjoni tal-abbozz ta’ deċiżjoni tal-ASE. Fl-aħħar mill-aħħar, kull diverġenza ta’ fehmiet persistenti bejn l-awtoritajiet hija rregolata minn korp speċifiku (il-Bord) li huwa kompost minn rappreżentanti tal-awtoritajiet superviżorji kollha tal-Unjoni. Għaldaqstant, il-pożizzjoni tal-ASE ma hijiex, f’dan ir-rigward, iktar b’saħħitha minn dik ta’ kull awtorità oħra (54).
112. Kif spjega l-ex Kontrollur Ewropew għall-Protezzjoni tad-Data P. Hustinx, fi ħdan is-sistema tal-GDPR, ir-rwol ta’ ASE “ma għandux jitqies bħala kompetenza esklużiva, iżda bħala mezz strutturat ta’ kooperazzjoni ma’ awtoritajiet superviżorji lokali oħra kompetenti” (55). Il-GDPR jipprevedi responsabbiltà kondiviża sabiex tiġi ssorveljata l-applikazzjoni tal-GDPR u sabiex tiġi żgurata l-applikazzjoni konsistenti tiegħu. Għal dan il-għan, l-awtoritajiet superviżorji huma fdati b’kompiti u mogħnija b’ċerti setgħat; ingħataw ċerti drittijiet, iżda huma wkoll mgħobbija b’ċerti dmirijiet. Fost dawn id-dmirijiet hemm, notevolment, l-obbligu li jsegwu ċerti proċeduri u mekkaniżmi intiżi sabiex tiġi żgurata l-konsistenza. Ir-rieda ta’ awtorità li tadotta approċċ li “tagħmel ta’ rasha” (56) fir-rigward tal-infurzar (ġudizzjarju) tal-GDPR, mingħajr ma tikkoopera mal-awtoritajiet l-oħra, ma tistax tiġi rrikonċiljata, la mal-kliem u lanqas mal-ispirtu ta’ dan ir-regolament.
113. Kif issemma fil-punti 76 u 77 iktar ’il fuq, il-GDPR huwa bbażat fuq bilanċ delikat bejn in-neċessità li jiġi żgurat livell għoli ta’ protezzjoni tal-persuni fiżiċi u n-neċessità li jiġu eliminati l-ostakoli għall-flussi ta’ data personali fi ħdan l-Unjoni. Kif jirriżulta b’mod partikolari mill-premessa 10 u mill-Artikolu 1(1) tal-GDPR, dawn iż-żewġ għanijiet huma marbuta b’mod inseparabbli. L-awtoritajiet nazzjonali superviżorji għandhom għalhekk jiżguraw bilanċ ġust bejniethom, kif il-Qorti tal-Ġustizzja enfasizzat b’mod konsistenti fl-ewwel sentenzi tagħha fil-qasam tal-protezzjoni tad-data (57). L-Artikolu 51(1) tal-GDPR, fid-definizzjoni tal-missjoni tal-awtoritajiet superviżorji, jirrifletti dan l-approċċ (58).
114. It-tielet, il-GDPR mhux biss jipprovdi mekkaniżmi li jsolvu d-diverġenzi fir-rigward tal-modalitajiet li bihom għandu jitwettaq l-infurzar, jiġifieri l-arbitraġġ bejn il-perspettivi u l-opinjonijiet kunfliġġenti espressi mill-awtoritajiet superviżorji. Dan jinkludi wkoll mekkaniżmi sabiex jingħelbu sitwazzjonijiet ta’ nuqqas ta’ azzjoni amministrattiva. Dawn huma, b’mod partikolari, sitwazzjonijiet li fihom ASE – minħabba nuqqas ta’ perizja u/jew ta’ persunal, jew għal kwalunkwe raġuni oħra – tonqos milli tieħu azzjoni sinjifikattiva sabiex tinvestiga ksur potenzjali tal-GDPR u, fejn xieraq, sabiex tinforza r-regoli tiegħu.
115. Bħala prinċipju, il-GDPR jeżiġi, f’każijiet dwar l-ipproċessar transkonfinali, li l-ASE taġixxi malajr kemm jista’ jkun. B’mod partikolari, skont l-Artikolu 60(3) tal-GDPR, ASE għandha “mingħajr dewmien, tikkomunika l-informazzjoni rilevanti dwar il-kwistjoni lill-awtoritajiet superviżorji kkonċernati l-oħra [u] għandha tissottometti mingħajr dewmien abbozz ta’ deċiżjoni lill-awtoritajiet superviżorji kkonċernati l-oħra għall-opinjoni tagħhom u tieħu kont tal-fehmiet tagħhom” (59).
116. Fil-każ li ASE ma tosservax dan l-obbligu, jew b’mod iktar ġenerali tonqos milli taġixxi meta meħtieġ, wieħed jistaqsi jekk jeżistix rimedju legali għall-ASK li jkunu disposti jipproċedu b’investigazzjoni u, eventwalment, b’azzjonijiet ta’ infurzar (60)? Jidhirli li jeżistu tal-inqas żewġ rotot differenti li dawn l-awtoritajiet jistgħu jsegwu, rotot li ma humiex reċiprokament esklużivi.
117. Minn naħa, skont l-Artikolu 61(1) u (2) tal-GDPR, awtorità superviżorja tista’ titlob awtorità superviżorja oħra sabiex tipprovdi “informazzjoni rilevanti u assistenza reċiproka sabiex jimplimentaw u japplikaw [il-GDPR]” (61). Din it-talba tista’ tieħu l-forma ta’ talba għal informazzjoni, inkluż “dwar it-twettiq ta’ investigazzjoni”, jew ta’ miżuri oħra ta’ għajnuna (bħat-twettiq ta’ spezzjonijiet u investigazzjonijiet, jew l-introduzzjoni ta’ miżuri għal kooperazzjoni effettiva). Kull talba bħal din għandha tkun imwieġba mill-awtorità rikjesta “mingħajr dewmien mhux dovut u sa mhux aktar tard minn xahar wara li tirċievi t-talba”.
118. Skont l-Artikolu 61(5) u (8) tal-GDPR, nuqqas ta’ tweġiba fit-terminu stabbilit, jew rifjut ta’ konformità ma’ talba, jippermetti lill-awtorità li tagħmel it-talba “tadotta miżura proviżorja fit-territorju tal-Istat Membru tagħha f’konformità mal-Artikolu 55(1)”. F’dawn il-każijiet, “il-ħtieġa urġenti li taġixxi skont l-Artikolu 66(1) għandha tkun preżunta li ġiet sodisfatta u teħtieġ deċiżjoni vinkolanti urġenti mill-Bord skont l-Artikolu 66(2)” (62).
119. Jidhirli li dan il-mekkaniżmu jista’ jintuża wkoll (u probabbilment huwa intiż li jintuża (63)) minn ASK fir-rigward ta’ ASE. Nuqqas li ASE taġixxi f’każ speċifiku ta’ pproċessar transkonfinali, minkejja talba f’dan is-sens minn ASK, jista’ għalhekk jippermetti lil din tal-aħħar tadotta l-miżuri urġenti meqjusa neċessarji sabiex tipproteġi l-interessi tas-suġġetti tad-data. Fil-fatt, l-eżistenza ta’ ċirkustanzi eċċezzjonali li jiġġustifikaw in-neċessità urġenti li taġixxi hija preżunta u ma għandhiex tiġi pprovata.
120. Min-naħa l-oħra, l-Artikolu 64(2) tal-GDPR jippermetti lil kwalunkwe awtorità superviżorja (jew il-President tal-Bord, jew il-Kummissjoni) li “titlob li kwalunkwe kwistjoni ta’ applikazzjoni ġenerali jew li jkollha effetti f’aktar minn Stat Membru wieħed tiġi eżaminata mill-Bord bil-ħsieb li tinkiseb opinjoni, b’mod partikolari fejn awtorità superviżorja kompetenti ma tkunx f’konformità mal-obbligi ta’ assistenza reċiproka f’konformità mal-Artikolu 61 […]” (64).
121. Ma huwiex għalkollox ċar jekk id-deċiżjoni tal-Bord hijiex legalment vinkolanti għall-ASE kkonċernata (65). Madankollu, skont l-Artikolu 65(1)(c) tal-GDPR, meta awtorità superviżorja kompetenti ma ssegwix l-opinjoni tal-Bord maħruġa skont l-Artikolu 64, kwalunkwe ASK (jew il-Kummissjoni) jistgħu jikkomunikaw il-kwistjoni lill-Bord u b’hekk jibdew il-proċedura għas-soluzzjoni tat-tilwim prevista għal dan il-għan. Din l-aħħar proċedura tipproduċi, eventwalment, deċiżjoni vinkolanti (66).
122. B’dan premess, għandu jiġi rrikonoxxut li ż-żewġ mekkaniżmi spjegati iktar ’il fuq (l-Artikoli 61 u 66 tal-GDPR, minn naħa, u l-Artikoli 64 u 65 tal-GDPR, min-naħa l-oħra), huma kemxejn ikkumplikati. Il-funzjonament konkret tagħhom mhux dejjem huwa ċar kristall. Għaldaqstant, għalkemm, fuq il-karta, id-dispożizzjonijiet imsemmija iktar ’il fuq jidhru adatti sabiex jevitaw dawn il-problemi, hija biss l-applikazzjoni futura ta’ dawn id-dispożizzjonijiet li ser tippermetti li wieħed ikun jaf jekk, fil-prattika, dawn id-dispożizzjonijiet humiex ser ikunu “tigri tal-karti”.
123. Dan jeħodni lura għat-tieni livell tal-argument żviluppat b’rabta man-nuqqas ta’ infurzar, u n-natura pjuttost ipotetika u mhux sostnuta tiegħu, ċertament bħalissa. Għandi nammetti li, fil-fehma tiegħi, jekk jimmaterjalizzaw il-perikoli dwar in-nuqqas ta’ infurzar tal-GDPR issuġġeriti mill-APD u minn xi intervenjenti oħra, is-sistema kollha tkun lesta għal reviżjoni kbira.
124. Minn perspettiva strutturali, dan jista’ effettivament ikun il-każ jekk l-istruttura l-ġdida twassal għal “refuġji” regolatorji għal ċerti operaturi li, wara li jkunu effettivament għażlu huma stess ir-regolatur nazzjonali tagħhom billi jqiegħdu l-istabbiliment prinċipali tagħhom fl-Unjoni b’tali mod li jaqgħu taħt dan ir-regolatur nazzjonali, mhux talli ma jkunux issorveljati iżda jkunu effettivament protetti minn ASE partikolari fil-konfront tar-regolaturi l-oħra. Ftit huma dawk li ma jaqblux li kompetizzjoni regolatorja fil-forma ta’ tellieqa sal-qiegħ bejn l-Istati Membri tkun daqstant malsana u perikoluża daqs l-inkonsistenza regolatorja – it-tip ta’ nuqqas ta’ koordinazzjoni u konsistenza li kienet karatteristika tas-sistema preċedenti. Is-sistemi regolatorji fil-forma ta’ netwerk jistgħu jkunu kapaċi jevitaw l-inkonsistenza u d-diverġenza billi jrawmu l-konsensus u l-kooperazzjoni. Madankollu, il-prezz tal-konsensus għandu t-tendenza li jwaqqaf lill-awtoritajiet attivi, speċjalment f’sistema fejn konċertazzjoni msaħħa hija meħtieġa sabiex tintlaħaq kull deċiżjoni. Fi ħdan tali sistemi, ir-responsabbiltà kollettiva tista’ twassal għal irresponsabbiltà kollettiva u, fl-aħħar mill-aħħar, għal nuqqas ta’ azzjoni.
125. Madankollu, fir-rigward ta’ tali perikoli eventwali, il-qafas ġuridiku stabbilit mill-GDPR għadu fi tfulitu. Ma huwiex faċli li wieħed ibassar – speċjalment għal qorti, fil-kuntest ta’ proċedura unika, jew pjuttost singulari – kif il-mekkaniżmi stabbiliti minn dan ir-regolament ser jaħdmu fil-prattika, u kemm ser ikunu effettivi. Fi ħdan tali qafas, b’mod simili għall-kwistjonijiet potenzjali dwar il-protezzjoni tad-drittijiet fundamentali u dwar l-interpretazzjoni konformi mal-Karta (67), hija rrakkomandata l-kawtela.
126. Fil-fehma tiegħi, tkun idea ħażina li l-Qorti tal-Ġustizzja tibdel b’mod sinjifikattiv dan il-qafas – li huwa l-prodott (delikat u maħdum bir-reqqa) ta’ proċess leġiżlattiv twil u intens – permezz ta’ interpretazzjoni ta’ sentenzi individwali kkunsidrati barra mill-kuntest tagħhom u, preżentement, abbażi ta’ suppożizzjonijiet u spekulazzjonijiet. Dan huwa iktar u iktar minnu jekk l-interpretazzjoni proposta minn ċerti partijiet hija sempliċement dik li, mir-Regolament, jinqraw essenzjalment ċerti partijiet ewlenin u għalhekk li wieħed imur lura de facto għas-sistema l-antika taħt id-Direttiva 95/46 li, fid-dimensjoni istituzzjonali tagħha, kienet ġiet espressament u ċarament imwarrba mil-leġiżlatur tal-Unjoni.
127. Dan it-tfassil leġiżlattiv ċar ħafna, li jidher, kif jirriżulta mit-taqsimiet preċedenti ta’ dawn il-konklużjonijiet, kemm fit-test u fl-istruttura tal-GDPR, kif ukoll mill-intenzjoni leġiżlattiva ddokumentata, jipprovdi wkoll tweġiba għal tħassib strutturali potenzjali ieħor, bħal dak relatat mal-bilanċ xieraq bejn l-infurzar pubbliku u privat tar-regoli tal-protezzjoni tad-data u tal-GDPR. Jagħmel sens li l-infurzar pubbliku jiġi limitat għal awtorità waħda unika u għalhekk għal Stat Membru wieħed uniku, li jseħħ biss wara proċedura amministrattiva twila u kkumplikata, filwaqt li l-infurzar privat tal-istess regoli probabbilment isir iktar malajr fil-prattika u quddiem il-qrati (ċivili) tal-Istati Membri kollha? L-awtoritajiet nazzjonali superviżorji għandu jkollhom inqas aċċess għall-qorti minn kwalunkwe konsumatur individwali privat? Il-parti l-kbira tal-kawżi dwar il-protezzjoni tad-data mhux ser jispiċċaw quddiem il-qrati nazzjonali (u possibbilment quddiem il-Qorti tal-Ġustizzja permezz ta’ rinviju għal deċiżjoni preliminari) imressqa direttament minn litiganti privati, li jaqbżu għalkollox ir-regolaturi nazzjonali stabbiliti għal dan il-għan, peress li dawn ir-regolaturi nazzjonali jkunu għadhom qegħdin fil-proċess ta’ kooperazzjoni u ta’ koordinazzjoni tal-pożizzjonijiet tagħhom? Fi ħdan tali sistema, ma hemmx perikolu li l-infurzar privat ser jissostitwixxi għalkollox lil dak pubbliku?
128. Fi kwalunkwe każ, il-leġiżlatur tal-Unjoni għamel għażla istituzzjonali u strutturali ċara u, fil-fehma tiegħi, ma hemm l-ebda dubju dwar dak li xtaq jikseb. F’tali ċirkustanzi, b’mod metaforiku, wieħed għandu, għalissa, jagħti l-benefiċċju tad-dubju lis-sistema li għadha fi tfulitha. Madankollu, jekk jidher li din is-sistema ser tiżviluppa ħażin – fatt li jkollu jiġu pprovat b’fatti u argumenti sodi – ma nemminx li l-Qorti tal-Ġustizzja mbagħad ser tagħlaq għajnejha għall kull lakuna li għaldaqstant tista’ toħroġ fil-protezzjoni tad-drittijiet fundamentali ggarantiti mill-Karta u l-infurzar effettiv tagħhom mir-regolaturi kompetenti. Dwar jekk din tkunx għadha kwistjoni ta’ interpretazzjoni konformi mal-Karta tad-dispożizzjonijiet tad-dritt sekondarju, jew inkella kwistjoni ta’ validità tad-dispożizzjonijiet rilevanti, jew saħansitra ta’ taqsimiet ta’ strument tad-dritt sekondarju, din hija kwistjoni għal kawża oħra.
5. Konklużjoni intermedjarja
129. L-elementi kollha ta’ interpretazzjoni elenkati jwasslu għalhekk għall-istess riżultat: l-ASE għandha kompetenza ġenerali fuq l-ipproċessar transkonfinali. L-awtoritajiet superviżorji kollha (indipendentement mir-rwol tagħhom ta’ ASE jew ta’ ASK) għandhom jaġixxu, b’mod partikolari fil-każ ta’ pproċessar transkonfinali, skont il-proċeduri u l-mekkaniżmi previsti mill-GDPR.
130. B’dan premess, awtorità superviżorja li ma hijiex l-ASE hija dejjem prekluża, bħala prinċipju, milli taġixxi quddiem il-qrati nazzjonali kontra kontrollur jew proċessur meta l-ipproċessar ikun ta’ natura transkonfinali?
131. Le, ma hijiex.
132. L-ewwel, l-awtoritajiet superviżorji jistgħu naturalment imorru quddiem qorti nazzjonali meta jaġixxu barra mill-kamp ta’ applikazzjoni ratione materiae tal-GDPR, bil-kundizzjoni li dan ikun awtorizzat mid-dritt nazzjonali u li ma jkunx prekluż mid-dritt tal-Unjoni, pereżempju minħabba li l-ipproċessar ma jinvolvix data personali jew għaliex l-ipproċessar ta’ data personali jitwettaq fil-kuntest tal-attivitajiet imsemmija fl-Artikolu 2(2) tal-GDPR (68).
133. It-tieni, minkejja n-natura transkonfinali tal-ipproċessar, fis-sitwazzjonijiet stabbiliti fl-Artikolu 55(2) tal-GDPR (ipproċessar imwettaq minn awtoritajiet pubbliċi, iżda wkoll kull ipproċessar imwettaq fl-interess pubbliku jew fl-eżerċizzju tal-awtorità pubblika), il-kompetenza regolatorja tibqa’ mogħtija lill-awtorità superviżorja lokali, li naturalment tinkludi wkoll, jekk ikun hemm bżonn, il-kapaċità li tressaq proċeduri ġudizzjarji quddiem qorti.
134. It-tielet, hemm każijiet fejn, minkejja l-eżistenza ta’ pproċessar transkonfinali ta’ data personali li jaqa’ fil-kamp ta’ applikazzjoni tal-GDPR, ebda awtorità superviżorja ma taġixxi bħala ASE. Peress li l-mekkaniżmu ta’ kooperazzjoni u ta’ konsistenza previst mill-GDPR japplika biss għall-kontrolluri bi stabbiliment wieħed jew iktar fl-Unjoni, ma jkunx hemm ASE fir-rigward ta’ pproċessar transkonfinali minn kontrolluri li ma għandhomx stabbiliment fl-Unjoni. Dan ifisser li l-kontrolluri mingħajr ebda stabbiliment fl-Unjoni għandhom jittrattaw mal-awtoritajiet superviżorji lokali ta’ kull Stat Membru li jkunu attivi fih (69).
135. Ir-raba’, kull awtorità superviżorja tista’ tadotta miżuri urġenti meta l-kundizzjonijiet xierqa jkunu ssodisfatti. Barra minn hekk, jeżistu sitwazzjonijiet li fihom tiġi preżunta l-urġenza tal-miżuri. Dan jista’ jkun il-każ, pereżempju, fil-każijiet fejn ASK tkun potenzjalment ikkonfrontata b’nuqqas persistenti minn ASE responsabbli li tieħu azzjoni. Peress li l-Artikolu 66(1) tal-GDPR jipprevedi t-twarrib sħiħ tal-mekkaniżmu ta’ konsistenza, huwa ġust li jiġi preżunt li, f’tali sitwazzjoni eċċezzjonali, il-firxa sħiħa tas-setgħat ta’ awtorità superviżorja (li iżda f’ċirkustanzi normali ma għandhomx jiġu eżerċitati minħabba li huma preklużi mir-regoli speċjali dwar il-kompetenza ta’ ASE għall-ipproċessar transkonfinali) jerġgħu jitqajmu mill-ġdid u jistgħu jiġu eżerċitati temporanjament. Dan għalhekk naturalment jinkludi s-setgħa li jinbdew proċeduri legali skont l-Artikolu 58(5) tal-GDPR.
136. Il-ħames, fl-aħħar nett, għall-finijiet ta’ kompletezza, jista’ jiġi rrilevat li teżisti wkoll il-possibbiltà li awtorità superviżorja li nnotifikat lill-ASE tkun tista’ tikseb (jew pjuttost iżżomm) is-setgħa li tressaq il-każ quddiem qorti fil-każ li l-ASE “tiddeċiedi li ma tittrattax il-każ” skont l-Artikolu 56(5) tal-GDPR. A priori, din l-aħħar dispożizzjoni tista’ takkomoda tajjeb ħafna ftehim konkret bejn iż-żewġ awtoritajiet superviżorji dwar liema minnhom jinsabu f’pożizzjoni aħjar sabiex jittrattaw il-każ.
137. Fl-aħħar mill-aħħar, id-dispożizzjonijiet dwar il-GDPR ma jinkludu ebda ostakolu ġenerali sabiex awtoritajiet superviżorji oħra, b’mod partikolari ASK, ikunu jistgħu jibdew proċeduri kontra ksur eventwali tar-regoli dwar il-protezzjoni tad-data. Għall-kuntrarju, sitwazzjonijiet diversi li fihom huma awtorizzati jagħmlu dan huma espressament previsti fil-GDPR jew jirriżultaw b’mod impliċitu minn dan ir-regolament (70).
138. Madankollu, b’mod ġenerali, huwa ta’ importanza primordjali li, meta l-proċeduri u l-mekkaniżmi previsti mill-GDPR (b’mod partikolari dawk li jinsabu fil-Kapitoli VI u VII tiegħu) japplikaw, kemm l-ASE kif ukoll l-ASK għandhom debitament josservawhom. Ir-regoli tal-GDPR huma ċari ħafna fis-sens li ebda waħda minn dawn l-awtoritajiet ma għandha taġixxi lil hinn minn jew bi ksur ta’ dan il-qafas legali.
139. B’dan premess, il-kwistjoni ta’ jekk l-APD osservatx jew le dawn il-proċeduri u dawn il-mekkaniżmi f’dan il-każ – kwistjoni li tat lok għal xi dibattiti waqt is-seduta, iżda li tibqa’ kemxejn mhux ċara fid-dawl tal-isfond proċedurali partikolari ta’ din il-kawża (71) – hija, madankollu, kwistjoni li għandha tiġi vverifikata mill-qorti tar-rinviju.
140. Għaldaqstant, ir-risposta għall-ewwel domanda għandha tkun li d-dispożizzjonijiet tal-GDPR jippermettu lill-awtorità superviżorja ta’ Stat Membru tressaq proċeduri quddiem qorti ta’ dan l-Istat għal allegat ksur tal-GDPR fir-rigward tal-ipproċessar transkonfinali ta’ data, minkejja li ma tkunx l-ASE, u dan bil-kundizzjoni li hija tagħmel dan fis-sitwazzjonijiet u skont il-proċeduri stabbiliti fil-GDPR.
C. Fuq id-domandi l-oħra magħmula
1. It-tieni domanda
141. Permezz tat-tieni domanda tagħha, il-qorti tar-rinviju tistaqsi jekk ir-risposta għall-ewwel domanda tkunx differenti jekk il-kontrollur ta’ dan l-ipproċessar transkonfinali ma jkollux l-istabbiliment prinċipali tiegħu f’dan l-Istat Membru, iżda jkollu stabbiliment ieħor hemmhekk.
142. Fid-dawl tar-risposta proposta għall-ewwel domanda, ir-risposta li għandha tingħata għat-tieni domanda hija pjuttost ċara: bħala prinċipju, le, sakemm l-“istabbiliment prinċipali” fis-sens tal-punt 16 tal-Artikolu 4 tal-GDPR ikun fil-fatt jinsab fi Stat Membru ieħor.
143. Il-fatt li kontrollur ikollu stabbiliment sekondarju fi Stat Membru ma jaffettwax, bħala prinċipju, il-kapaċità tal-awtorità superviżorja lokali li tibda proċeduri ġudizzjarji, konformement mal-Artikolu 58(5) tal-GDPR, fir-rigward ta’ sitwazzjoni ta’ pproċessar transkonfinali partikolari. Fi kliem ieħor, fil-każ ta’ pproċessar transkonfinali ta’ data, il-portata tas-setgħat mogħtija lil awtorità superviżorja u l-modalitajiet li bihom dawn is-setgħat għandhom jiġu eżerċitati ma jiddependux ġeneralment minn jekk il-kontrollur jew il-proċessur, li għandu l-istabbiliment prinċipali tiegħu fi Stat Membru ieħor, għandux ukoll stabbiliment fl-Istat Membru ta’ din l-awtorità.
144. Madankollu, bħalma diġà ġie espost iktar ’il fuq (72), bħala element preliminari għal din il-konklużjoni, il-qorti nazzjonali għandha l-ewwel tivverifika liema huwa fil-fatt l-istabbiliment prinċipali għall-finijiet ta’ operazzjoni ta’ pproċessar partikolari. F’dan ir-rigward, il-punt 16(a) tal-Artikolu 4 tal-GDPR iħaddan għarfien dinamiku (73) ta’ dak li huwa kkunsidrat bħala l-istabbiliment prinċipali, li ma għandux neċessarjament jikkoinċidi mal-istruttura statika korporattiva ta’ impriża.
145. Barra minn hekk, il-fatt li l-kontrollur jew il-proċessur għandu stabbiliment (sekondarju) fit-territorju tal-awtorità superviżorja jfisser li din l-awtorità hija ASK fis-sens tal-punt 22 tal-Artikolu 4 tal-GDPR. ASK jingħataw setgħat importanti fil-kuntest tal-proċeduri previsti fil-Kapitolu VII tal-GDPR (74).
146. Barra minn hekk, l-Artikolu 56(2) tal-GDPR jipprovdi għal eċċezzjoni għall-kompetenza ġenerali tal-ASE fir-rigward tal-ipproċessar transkonfinali: “kull awtorità superviżorja għandha tkun kompetenti biex tittratta lment imressaq lilha jew ksur possibbli [tal-GDPR], jekk is-suġġett ikun marbut biss ma’ stabbiliment fl-Istat Membru tagħha jew jaffettwa b’mod sostanzjali suġġetti tad-data fl-Istat Membru tagħha biss”. Din il-kompetenza għandha, min-naħa tagħha, tiġi eżerċitata skont il-proċedura stabbilita fil-paragrafi 3 sa 5 tal-istess dispożizzjoni (75).
2. It-tielet domanda
147. Permezz tat-tielet domanda tagħha, il-qorti tar-rinviju tistaqsi jekk ir-risposta għall-ewwel domanda tkunx differenti li kieku l-awtorità superviżorja nazzjonali tibda l-proċeduri legali kontra l-istabbiliment prinċipali tal-kontrollur jew kontra l-istabbiliment li jinsab fl-Istat Membru tagħha stess.
148. Fid-dawl tar-risposta proposta għall-ewwel domanda u sa fejn it-tielet domanda ma tikkoinċidix fir-realtà mat-tieni domanda, it-tielet domanda titlob ukoll risposta negattiva.
149. Għal darba oħra, sa fejn fil-fatt ikun ġie kkjarifikat, fuq il-bażi tal-fatti ta’ każ, li l-istabbiliment prinċipali ta’ operazzjoni ta’ pproċessar partikolari skont il-punt 16 tal-Artikolu 4 tal-GDPR effettivament jinsab fi Stat Membru ieħor, l-awtorità superviżorja nazzjonali tal-Istat Membru li fih jinsab stabbiliment tal-kontrollur ma hijiex l-ASE, iżda tista’ ssir ASK. Madankollu, fi ħdan din l-evalwazzjoni, il-kompetenza tal-awtorità superviżorja li taġixxi ma tiddependix minn jekk il-proċeduri legali humiex imressqa kontra l-istabbiliment prinċipali tal-kontrollur jew kontra l-istabbiliment fl-Istat Membru tagħha stess (76).
150. Għall-finijiet ta’ kompletezza, jista’ jingħad ukoll li l-Artikolu 58(5) tal-GDPR huwa fformulat b’mod wiesa’ u ma jispeċifikax l-entitajiet li kontrihom l-awtoritajiet superviżorji għandhom jew jistgħu jaġixxu. Dan wassal għal dibattitu intriganti fis-sottomissjonijiet ta’ wħud mill-partijiet dwar kwistjoni li, fil-fehma tiegħi, għalkemm ma hijiex mingħajr importanza, ma għandhiex għalfejn tiġi indirizzata mill-Qorti tal-Ġustizzja f’din il-kawża. Il-kwistjoni hija: l-awtoritajiet superviżorji, sa fejn huma fil-fatt kompetenti li jagħmlu dan skont ir-regoli tal-GDPR, jistgħu jieħdu azzjoni biss kontra l-istabbiliment(i) tal-kontrollur jew tal-proċessur li jinsab(u) fit-territorju tagħhom, jew jistgħu jieħdu azzjoni wkoll kontra stabbilimenti li jinsabu barra mill-pajjiż?
151. Minn naħa, il-Gvern Belġjan, Taljan u Pollakk jenfasizzaw li l-Artikolu 55(1) tal-GDPR jillimita l-kompetenza territorjali ta’ kull awtorità superviżorja għat-territorju tagħha. Minn dan huma jiddeduċu li l-awtoritajiet superviżorji jistgħu jaġixxu biss kontra l-istabbilimenti lokali.
152. Madankollu, it-test fil-fehma tiegħi ma huwiex daqshekk ċar: it-test jirreferi għall-eżerċizzju tas-setgħat mogħtija mir-Regolament “fit-territorju tal-Istat Membru tagħha stess”. Jiena ma naqrax din id-dispożizzjoni bħala li tipprekludi neċessarjament azzjoni kontra stabbiliment li jinsab fi Stat Membru ieħor. L-element ta’ territorjalità inkluż fl-Artikolu 55(1) tal-GDPR, moqri fid-dawl tal-kamp ta’ applikazzjoni globali tal-GDPR fl-Artikolu 1(1) u fl-Artikolu 3 tiegħu, li jagħti lok għall-kompetenza ta’ awtorità superviżorja f’każ partikolari, jirrigwarda l-effetti tal-ipproċessar ta’ data fit-territorju ta’ Stat Membru. Dan l-element ma joperax bħala limitu għat-tressiq ta’ proċeduri kontra l-kontrolluri jew il-proċessuri bbażati barra mill-fruntieri nazzjonali.
153. Min-naħa l-oħra, l-APD tissuġġerixxi li kull awtorità għandha s-setgħa li taġixxi kontra kull ksur tal-GDPR li jseħħ fit-territorju tagħha, indipendentement minn jekk il-kontrollur jew il-proċessur għandux stabbiliment fit-territorju tagħha. Dan ifisser li awtorità għandha tkun tista’ wkoll tibda proċeduri kontra stabbilimenti li jinsabu barra mill-pajjiż. F’dan ir-rigward, l-APD tirreferi għas-sentenza tal-Qorti tal-Ġustizzja Wirtschaftsakademie Schleswig-Holstein (77). F’din id-deċiżjoni, il-Qorti tal-Ġustizzja kkonstatat li l-Artikoli 4 u 28 tad-Direttiva 95/46 kienu jippermettu lill-awtorità superviżorja ta’ Stat Membru teżerċita s-setgħa li tibda proċeduri legali fir-rigward ta’ stabbiliment ta’ dik l-impriża li tinsab fit-territorju ta’ dan l-Istat Membru. Dan kien il-każ anki jekk dan l-istabbiliment kien inkarigat biss mill-bejgħ ta’ spazji ta’ reklamar u minn attivitajiet oħra ta’ kummerċjalizzazzjoni fit-territorju ta’ dan l-Istat Membru, filwaqt li r-responsabbiltà esklużiva għall-ġbir u għall-ipproċessar ta’ data personali kienet tappartjeni, għat-territorju kollu tal-Unjoni, lil stabbiliment li jinsab fi Stat Membru ieħor.
154. L-APD ġustament issostni li, sa fejn il-GDPR jinkludi, fuq dan il-punt, dispożizzjonijiet simili għal dawk tad-Direttiva 95/46 (78), il-prinċipji stabbiliti mill-Qorti tal-Ġustizzja f’Wirtschaftsakademie Schleswig-Holstein għandhom, mutatis mutandis, ikunu validi wkoll fir-rigward tal-GDPR. Madankollu, din is-sentenza spjegat biss meta stabbiliment lokali jista’ jiġi mħarrek mill-awtorità, minkejja li (l-parti l-kbira ta’) l-ipproċessar isir minn stabbiliment li jinsab xi mkien ieħor fl-Unjoni. Din is-sentenza, tal-inqas b’mod espress, la kkonfermat u lanqas ma eskludiet li l-awtorità superviżorja setgħet taġixxi wkoll kontra dan l-aħħar stabbiliment.
155. Madankollu, jidhirli li l-mekkaniżmu il-ġdid ta’ punt uniku ta’ servizz, billi joħloq punt ċentrali ta’ infurzar, jimplika neċessarjament li awtorità superviżorja tista’ taġixxi wkoll kontra stabbilimenti li jinsabu barra mill-pajjiż. Ma iniex ċert li s-sistema l-ġdida tista’ taħdem korrettament li kieku kellha teskludi l-possibbiltà li l-awtoritajiet, u b’mod partikolari l-ASE, jieħdu azzjoni kontra stabbilimenti li jinsabu xi mkien ieħor (79).
3. Ir-raba’ domanda
156. Permezz tar-raba’ domanda tagħha, il-qorti tar-rinviju tistaqsi jekk ir-risposta għall-ewwel domanda tkunx differenti jekk l-awtorità superviżorja nazzjonali tkun diġà bdiet il-proċeduri legali qabel id-data li fiha l-GDPR daħal fis-seħħ.
157. Preliminarjament, għandu jiġi rrilevat li, fil-GDPR, ma hemmx regoli tranżitorji jew regoli oħra li jirregolaw l-istatus tal-proċeduri ġudizzjarji pendenti fil-mument tad-dħul fis-seħħ tal-qafas il-ġdid.
158. Fid-dawl tal-kunsiderazzjonijiet preċedenti, fil-fehma tiegħi, ir-risposta għad-domanda magħmula għandha tkun “jiddependi”.
159. Minn naħa, fir-rigward ta’ ksur minn kontrolluri jew mill-proċessuri tar-regoli dwar il-protezzjoni tad-data li seħħ qabel id-data li fiha sar applikabbli l-GDPR, nemmen li dawn il-proċeduri jistgħu jitkomplew. Ma nara ebda raġuni valida sabiex l-awtoritajiet jiġu mġiegħla jtemmu azzjonijiet ta’ infurzar li jirrigwardaw aġir tal-passat (allegatament) illegali meta kien seħħ, u li kontrih huma kienu (dak iż-żmien) kompetenti sabiex jieħdu azzjoni. Soluzzjoni differenti twassal għal tip ta’ amnestija fir-rigward ta’ ċertu ksur tal-leġiżlazzjoni dwar il-protezzjoni tad-data.
160. Min-naħa l-oħra, tqum sitwazzjoni differenti fir-rigward ta’ azzjonijiet mibdija kontra ksur li għadu ma mmaterjalizzax, peress li jseħħ wara d-data li fiha sar applikabbli l-GDPR (80). F’dan ir-rigward, bħal fi kwalunkwe sitwazzjoni oħra ta’ regoli ġodda li jkunu applikabbli għal sitwazzjonijiet li jinqalgħu taħt is-sistema legali l-ġdida, ir-regoli sostantivi l-ġodda jkunu applikabbli biss għal fatti li jseħħu wara li jkun sar applikabbli l-istrument il-ġdid (81).
161. Hija l-qorti tar-rinviju li għandha tivverifika liema waħda miż-żewġ ipoteżijiet fil-fatt tikkorrispondi għall-istat attwali tal-kawża prinċipali (82). Fil-każ tal-ewwel ipoteżi, nissuġġerixxi li l-proċeduri pendenti jistgħu jitkomplew, ċertament mill-perspettiva tad-dritt tal-Unjoni, sakemm dawn ikunu limitati għal possibbli konstatazzjoni ta’ ksur fil-passat. Fil-każ tat-tieni ipoteżi, il-proċedura nazzjonali għandha titwaqqaf. Fil-fatt, il-qafas il-ġdid stabbilixxa sistema differenti ta’ kompetenzi u ta’ setgħat, bil-konsegwenza li ASK ma tistax tieħu azzjoni kontra ksur li jirriżulta minn ipproċessar transkonfinali barra mis-sitwazzjonijiet speċifiċi, u bil-kundizzjoni li ssegwi l-proċeduri u l-mekkaniżmi previsti għal dawn il-finijiet.
162. Is-soluzzjoni kuntrarja timplika estensjoni de facto tas-sistema stabbilita mid-Direttiva 95/46, minkejja l-fatt li kemm id-dritt tal-Unjoni kif ukoll id-dritt nazzjonali annullawha u ssostitwixxewha espressament b’waħda ġdida. Fil-fatt, jekk l-APD fil-fatt tikseb ordni li tipprojbixxi lil Facebook milli tadotta fil-futur (u, kif qegħdin hawn, għal kemm żmien?) il-prattiki inkwistjoni fil-kawża prinċipali, dan ma jippreġudikax il-kompetenza dwar l-aġir (identiku) li l-GDPR ta, mill‑25 ta’ Mejju 2018, lill-ASE u lill-ASK, possibbilment flimkien ma’ deċiżjonijiet (jew ordnijiet ġudizzjarji) kontradittorji maħruġa minn Stati Membri differenti?
4. Il-ħames domanda
163. Permezz tal-ħames domanda tagħha – magħmula fil-każ ta’ risposta fl-affermattiv għall-ewwel domanda – il-qorti tar-rinviju tfittex li tikkjarifika jekk l-Artikolu 58(5) tal-GDPR għandux effett dirett, b’tali mod li awtorità superviżorja nazzjonali tista’ tinvokah sabiex tibda jew tkompli proċeduri legali kontra individwi, anki jekk din id-dispożizzjoni ma kinitx speċifikament trasposta fid-dritt nazzjonali.
164. Biex jerġa’ jitfakkar, l-Artikolu 58(5) jaqra: “Kull Stat Membru għandu jipprevedi bil-liġi li l-awtorità superviżorja tiegħu għandu jkollha s-setgħa li tiġbed l-attenzjoni tal-awtoritajiet ġudizzjarji għal ksur ta’ dan ir-Regolament u, fejn xieraq, tibda jew timpenja ruħha b’mod ieħor fi proċedimenti legali, sabiex tinforza d-dispożizzjonijiet ta’ dan ir-Regolament”.
165. Facebook, u l-Gvern Ċek u dak Portugiż jenfasizzaw li din id-dispożizzjoni teħtieġ b’mod ċar li l-Istati Membri jagħmlu xi ħaġa: li jistabbilixxu dispożizzjonijiet li jippermettu lill-awtoritajiet jressqu proċeduri. Sabiex tkun kompletament operattiva, is-setgħa li jitressqu proċeduri tista’ teħtieġ ukoll ċerti regoli nazzjonali sabiex jiġu ddeterminati, inter alia, il-qrati kompetenti, il-kundizzjonijiet għall-preżentata ta’ rikors u l-proċeduri li għandhom jiġu segwiti.
166. Fid-dawl tar-risposta proposta għall-ewwel domanda preliminari, ma huwiex fil-fatt neċessarju li tingħata risposta għall-ħames waħda. Madankollu, għall-finijiet ta’ kompletezza, ma nara, min-naħa tiegħi, ebda problema li naqbel mal-APD fis-sens li l-kontenut preskrittiv ta’ din id-dispożizzjoni partikolari tad-dritt tal-Unjoni huwa pjuttost inekwivoku u eżegwit awtomatikament. F’dan ir-rigward, wieħed għandu jżomm f’moħħu li, ġeneralment, dispożizzjoni tad-dritt tal-Unjoni għandha effett dirett kull meta, sa fejn jirrigwarda l-kontenut tagħha, tkun biżżejjed ċara, preċiża u mingħajr kundizzjoni sabiex tkun tista’ tiġi invokata kontra miżura nazzjonali kunfliġġenti, jew sa fejn id-dispożizzjoni tiddefinixxi drittijiet li l-individwi jkunu jistgħu jinvokaw kontra l-Istat (83).
167. Minbarra l-fatt li din id-dispożizzjoni hija inkluża f’regolament (strument li, skont l-Artikolu 288 TFUE, “jorbot fl-intier tiegħu u jkun direttament applikabbli fl-Istati Membri kollha” (84)), jidhirli li tista’ fil-fatt tiġi estratta regola speċifika u applikabbli immedjatament mill-Artikolu 58(5) tal-GDPR. Din ir-regola hija sempliċi ħafna: l-awtoritajiet superviżorji għandu jkollhom locus standi quddiem il-qrati nazzjonali, huma ngħataw il-kapaċità li jibdew proċeduri ġudizzjarji fid-dritt nazzjonali. L-azzjoni mressqa quddiem qorti nazzjonali ma tistax tiġi ddikjarata inammissibbli minħabba nuqqas ta’ personalità ġuridika.
168. Għalkemm naqbel ma’ Facebook u mal-Gvern Ċek u dak Portugiż li l-Istati Membri jistgħu jipprevedu regoli speċjali, kundizzjonijiet jew ġurisdizzjoni għall-azzjonijiet imressqa mill-awtoritajiet superviżorji, tali regoli bl-ebda mod ma huma neċessarji għall-funzjonament tar-regola b’effett dirett prevista fl-Artikolu 58(5) tal-GDPR. Fin-nuqqas ta’ regoli ad hoc introdotti mil-leġiżlatur nazzjonali, ir-regoli awtomatiċi fil-kodiċi ta’ proċedura nazzjonali xierqa (kemm jekk ikunu kodiċi tal-ġustizzja amministrattiva kif ukoll, fl-assenza ta’ regoli speċifiċi, il-kodiċi ta’ proċedura ċivili) ikunu naturalment applikabbli għal kull azzjoni eventwalment mibdija mill-awtoritajiet superviżorji. Għalhekk, pereżempju, li kieku ma kienx hemm regoli ta’ applikazzjoni speċifiċi dwar il-ġurisdizzjoni, wieħed jista’ jassumi biċ-ċert li tapplika r-regola ġenerali awtomatika, li probabbilment tinsab fi kwalunkwe kodiċi ta’ proċedura (ċivili), fis-sens li l-qorti awtomatika hija dik tal-post ta’ stabbiliment tal-konvenut, sakemm ma jkunx ipprovdut mod ieħor.
5. Is‑sitt domanda
169. Permezz tas-sitt u l-aħħar domanda tagħha, il-qorti tar-rinviju tistaqsi jekk, fil-każ fejn l-awtorità superviżorja nazzjonali jkollha s-setgħa li tiegħu azzjoni, ir-riżultat ta’ tali proċeduri jimpedixxix lill-awtorità superviżorja ewlenija milli tasal għal konklużjoni kuntrarja, fil-każ fejn din l-awtorità superviżorja ewlenija tinvestiga l-istess attivitajiet ta’ pproċessar transkonfinali jew simili konformement mal-mekkaniżmu previst fl-Artikoli 56 u 60 tal-GDPR.
170. Fid-dawl tar-risposta proposta għall-ewwel domanda, ma hemmx bżonn li tingħata risposta għal din id-domanda.
171. Madankollu, il-kwistjoni mqajma minn din id-domanda turi għal darba oħra għalfejn għandha tingħata risposta għall-ewwel domanda fis-sens propost iktar ’il fuq. Li kieku n-natura obbligatorja tal-mekkaniżmi ta’ konsistenza u ta’ kooperazzjoni previsti mill-GDPR kellha tiġi eliminata, u b’hekk il-mekkaniżmu ta’ punt uniku ta’ servizz isir “fakultattiv”, jew fir-realtà pjuttost ineżistenti, il-koerenza tas-sistema kollha tiġi affettwata b’mod qawwi. Ir-regoli dwar il-kompetenza attwalment inklużi fil-GDPR ikunu, essenzjalment, issostitwiti b’“sentenza mogħtija f’tellieqa dwar min jiġi l-ewwel” parallela mill-awtoritajiet superviżorji kollha. Fl-aħħar mill-aħħar, min “l-ewwel jaqbeż il-post” ta’ sentenza definittiva fil-ġurisdizzjoni tiegħu jsir allura l-ASE effettiva għall-bqija tal-Unjoni, kif implikat mis-sitt domanda?
V. Konklużjonijiet
172. Nipproponi li l-Qorti tal-Ġustizzja tirrispondi għad-domandi għal deċiżjoni preliminari magħmula mill-Hof van beroep te Brussel (il-Qorti tal-Appell ta’ Brussell, il-Belġju) kif ġej:
– Id-dispożizzjonijiet tar-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas‑27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data) jippermettu lill-awtorità superviżorja ta’ Stat Membru tressaq proċeduri quddiem qorti ta’ dan l-Istat għal ksur allegat ta’ dan ir-regolament fir-rigward ta’ pproċessar transkonfinali ta’ data, minkejja li ma tkunx l-awtorità superviżorja ewlenija, bil-kundizzjoni li hija tagħmel dan fis-sitwazzjonijiet u skont il-proċeduri stabbiliti fl-istess regolament.
– Ir-Regolament Ġenerali dwar il-Protezzjoni tad-Data jipprekludi li awtorità superviżorja tkompli proċeduri legali mibdija qabel id-data li fiha sar applikabbli dan ir-regolament li iżda jikkonċernaw aġir li jitwettaq wara din id-data;
– L-Artikolu 58(5) tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data għandu effett dirett, sa fejn awtorità superviżorja nazzjonali tista’ tinvokah sabiex tibda jew tkompli proċeduri legali quddiem il-qrati nazzjonali, anki jekk din id-dispożizzjoni ma tkunx ġiet trasposta speċifikament fid-dritt nazzjonali.