CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document :

Domanda di pronuncia pregiudiziale proposta dal Bundesverwaltungsgerichts (Germania) il 14 aprile 2016 – Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein / Wirtschaftsakademie Schleswig-Holstein GmbH

(Causa C-210/16)

Lingua processuale: il tedesco

Giudice del rinvio

Bundesverwaltungsgericht

Parti

Convenuto, ricorrente in appello e ricorrente in cassazione: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Ricorrente, convenuta in appello e resistente in cassazione: Wirtschaftsakademie Schleswig-Holstein GmbH

Chiamata in causa: Facebook Ireland Limited

Interveniente: Der Vertreter des Bundesinteresses beim Bundesverwaltungsgericht

Questioni pregiudiziali

Se l’articolo 2, lettera d), della direttiva 95/46/CE ¹ debba essere interpretato nel senso che disciplina la responsabilità per violazioni delle disposizioni sulla protezione dei dati personali in modo tassativo e completo o se, nell’ambito delle «misure appropriate» ai sensi dell’articolo 24 della direttiva 95/46/CE e dei «poteri effettivi di intervento» ai sensi dell’articolo 28, paragrafo 3, secondo trattino, della medesima direttiva, rimanga spazio nei rapporti tra fornitori di informazioni su più livelli per una responsabilità in capo a un organismo che non è responsabile del trattamento dei dati ai sensi dell’articolo 2, lettera d), della direttiva 95/46, rispetto alla scelta di un gestore per la sua offerta informativa.

Se dall’obbligo che incombe agli Stati membri, ai sensi dell’articolo 17, paragrafo 2, della direttiva 95/46/CE, di disporre, in sede di trattamento dei dati su commissione, che il responsabile del trattamento deve scegliere un «incaricato del trattamento che presenti garanzie sufficienti in merito alle misure di sicurezza tecnica e di organizzazione dei trattamenti da effettuare» si possa dedurre a contrario che, nel caso di rapporti di utilizzo di altra natura, non collegati a un trattamento dei dati su commissione ai sensi dell’articolo 2, lettera e), della direttiva 95/46, non sussiste alcun obbligo di scelta diligente e un tale obbligo non può essere fondato neppure sulla normativa nazionale.

Se, nel caso di una società controllante stabilita al di fuori dell’Unione europea e avente filiali giuridicamente indipendenti (controllate) in diversi Stati membri, l’autorità di controllo di uno Stato membro (nel caso di specie, la Germania) possa esercitare ai sensi degli articoli 4 e 28, paragrafo 6, della direttiva 95/46/CE i poteri ad essa trasferiti a norma dell’articolo 28, paragrafo 3, della medesima direttiva nei confronti di una filiale posta sul suo territorio anche quando tale filiale è competente soltanto per la promozione della vendita di pubblicità ed altre misure di marketing dirette agli abitanti di detto Stato membro, mentre la filiale (controllata) con sede in un diverso Stato membro (nella fattispecie, l’Irlanda) ha, in base alla ripartizione dei compiti interna al gruppo, competenza esclusiva quanto alla raccolta e al trattamento dei dati personali in tutto il territorio dell’Unione europea e quindi anche nell’altro Stato membro (nella fattispecie, la Germania), se di fatto la decisione in merito al trattamento dei dati è assunta dalla controllante.

Se gli articoli 4, paragrafo 1, lettera a), e 28, paragrafo 3, della direttiva 95/46/CE debbano essere interpretati nel senso che quando il responsabile del trattamento ha una filiale nel territorio di uno Stato membro (nella fattispecie, l’Irlanda) ed esiste un’altra filiale giuridicamente autonoma nel territorio di un altro Stato membro (nella fattispecie, la Germania), competente segnatamente per la vendita di spazi pubblicitari e la cui attività si rivolge agli abitanti di detto Stato, l’autorità di controllo competente in detto altro Stato membro (nella fattispecie, la Germania) può adottare misure o provvedimenti diretti all’attuazione della normativa sulla protezione dei dati personali anche nei confronti della filiale (nella fattispecie, in Germania) che, in base alla ripartizione dei compiti e delle responsabilità interna al gruppo, non è responsabile del trattamento, o se tali misure e provvedimenti possano essere adottati soltanto dall’autorità di controllo dello Stato membro (nella fattispecie, l’Irlanda) sul cui territorio ha la propria sede l’organismo responsabile a livello interno al gruppo.

Se gli articoli 4, paragrafo 1, lettera a), e 28, paragrafi 3 e 6, della direttiva 95/46/CE debbano essere interpretati nel senso che quando le autorità di controllo di uno Stato membro (nella fattispecie, della Germania) agiscono nei confronti di un soggetto o di un organismo attivo sul loro territorio ai sensi dell’articolo 28, paragrafo 3, della direttiva 95/46 in ragione della scelta non diligente di un terzo coinvolto nel processo di trattamento dei dati (nella fattispecie, Facebook), poiché detto terzo violerebbe la normativa sulla protezione dei dati, l’autorità di controllo che interviene (nella fattispecie, la Germania) è vincolata alla valutazione compiuta, sotto il profilo della normativa sulla protezione dei dati, dall’autorità di controllo dell’altro Stato membro in cui il terzo responsabile del trattamento dei dati ha la sua filiale (nella fattispecie, in Irlanda), nel senso che essa non può compiere alcuna valutazione giuridica discordante, o se l’autorità di controllo che interviene (nella fattispecie, la Germania) possa valutare in modo autonomo preliminarmente alla propria azione la legittimità del trattamento dei dati compiuto da un terzo stabilito in un altro Stato membro (nella fattispecie, l’Irlanda).

6) Nell’ipotesi che l’autorità di controllo che interviene (nella fattispecie, la Germania) possa procedere a un esame autonomo: se l’articolo 28, paragrafo 6, seconda frase, della direttiva 95/46/CE debba essere interpretato nel senso che la suddetta autorità di controllo può esercitare i poteri effettivi di intervento ad essa trasferiti in base all’articolo 28, paragrafo 3, della direttiva 95/46 nei confronti di un soggetto o di un organismo stabilito sul suo territorio a titolo di corresponsabilità nelle violazioni della normativa sulla protezione dei dati personali commesse da un terzo stabilito in un altro Stato membro a condizione che abbia previamente richiesto all’autorità di controllo di detto altro Stato membro (nella fattispecie, l’Irlanda) di esercitare i suoi poteri.

____________

¹ Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281, pag. 31).