Corte di giustizia dell'Unione Europea
Grande Sezione
Sentenza 15 giugno 2021
«Rinvio pregiudiziale - Tutela delle persone fisiche con riguardo al trattamento dei dati personali - Carta dei diritti fondamentali dell'Unione europea - Articoli 7, 8 e 47 - Regolamento (UE) 2016/679 - Trattamento transfrontaliero di dati personali - Meccanismo dello "sportello unico" - Cooperazione leale ed efficace tra le autorità di controllo - Competenze e poteri - Potere di agire in sede giudiziale».
Nella causa C-645/19, avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell'articolo 267 TFUE, dallo hof van beroep te Brussel (Corte di appello di Bruxelles, Belgio), con decisione dell'8 maggio 2019, pervenuta in cancelleria il 30 agosto 2019, nel procedimento Facebook Ireland Ltd., Facebook Inc., Facebook Belgium BVBA contro Gegevensbeschermingsautoriteit.
[...]
1. La domanda di pronuncia pregiudiziale verte sull'interpretazione dell'articolo 55, paragrafo 1, degli articoli da 56 a 58 e da 60 a 66 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1 e rettifiche in GU 2016, L 314, pag. 72, GU 2018, L 127, pag. 2 e GU 2021, L 74, pag. 35) in combinato disposto con gli articoli 7, 8 e 47 della Carta dei diritti fondamentali dell'Unione europea (in prosieguo: la «Carta»).
2. Tale domanda è stata presentata nell'ambito di una controversia tra Facebook Ireland Ltd, Facebook Inc. e Facebook Belgium BVBA, da un lato, e la Gegevensbeschermingsautoriteit (autorità per la protezione dei dati, Belgio) (in prosieguo: l'«APD»), succeduta alla Commissie ter bescherming van de persoonlijke levenssfeer (Commissione per la tutela della vita privata, Belgio) (in prosieguo: la «CPVP»), dall'altro, in merito ad un'azione inibitoria intentata dal presidente di quest'ultima e diretta a far cessare il trattamento di dati personali degli internauti nel territorio belga, effettuato dal social network Facebook, per mezzo di cookie, social plugin e pixel.
Contesto normativo
Diritto dell'Unione
3. I considerando 1, 4, 10, 11, 13, 22, 123, 141 e 145 del regolamento 2016/679 così recitano:
«(1) La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L'articolo 8, paragrafo 1, della [Carta] e l'articolo 16, paragrafo 1, [TFUE] stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.
(...)
(4) Il trattamento dei dati personali dovrebbe essere al servizio dell'uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d'informazione, la libertà d'impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.
(...)
(10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all'interno dell'Unione [europea], il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un'applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l'Unione. (...)
(11) Un'efficace protezione dei dati personali in tutta l'Unione presuppone il rafforzamento e la disciplina dettagliata dei diritti degli interessati e degli obblighi di coloro che effettuano e determinano il trattamento dei dati personali, nonché poteri equivalenti per controllare e assicurare il rispetto delle norme di protezione dei dati personali e sanzioni equivalenti per le violazioni negli Stati membri.
(...)
(13) Per assicurare un livello coerente di protezione delle persone fisiche in tutta l'Unione e prevenire disparità che possono ostacolare la libera circolazione dei dati personali nel mercato interno, è necessario un regolamento che garantisca certezza del diritto e trasparenza agli operatori economici, comprese le micro, piccole e medie imprese, offra alle persone fisiche in tutti gli Stati membri il medesimo livello di diritti azionabili e di obblighi e responsabilità dei titolari del trattamento e dei responsabili del trattamento e assicuri un controllo coerente del trattamento dei dati personali, sanzioni equivalenti in tutti gli Stati membri e una cooperazione efficace tra le autorità di controllo dei diversi Stati membri. (...)
(...)
(22) Qualsiasi trattamento di dati personali effettuato nell'ambito delle attività di uno stabilimento di un titolare del trattamento o responsabile del trattamento nel territorio dell'Unione dovrebbe essere conforme al presente regolamento, indipendentemente dal fatto che il trattamento avvenga all'interno dell'Unione. Lo stabilimento implica l'effettivo e reale svolgimento di attività nel quadro di un'organizzazione stabile. A tale riguardo, non è determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica.
(...)
(123) Le autorità di controllo dovrebbero controllare l'applicazione delle disposizioni del presente regolamento e contribuire alla sua coerente applicazione in tutta l'Unione, così da tutelare le persone fisiche in relazione al trattamento dei loro dati personali e facilitare la libera circolazione di tali dati nel mercato interno. A tal fine, le autorità di controllo dovrebbero cooperare tra loro e con la Commissione [europea], senza che siano necessari accordi tra gli Stati membri sulla mutua assistenza o su tale tipo di cooperazione.
(...)
(141) Ciascun interessato dovrebbe avere il diritto di proporre reclamo a un'unica autorità di controllo, in particolare nello Stato membro in cui risiede abitualmente, e il diritto a un ricorso giurisdizionale effettivo a norma dell'articolo 47 della Carta qualora ritenga che siano stati violati i diritti di cui gode a norma del presente regolamento o se l'autorità di controllo non dà seguito a un reclamo, lo respinge in tutto o in parte o lo archivia o non agisce quando è necessario intervenire per proteggere i diritti dell'interessato. (...)
(...)
(145) Nelle azioni contro un titolare del trattamento o responsabile del trattamento, il ricorrente dovrebbe poter avviare un'azione legale dinanzi all'autorità giurisdizionale dello Stato membro in cui il titolare del trattamento o il responsabile del trattamento ha uno stabilimento o in cui risiede l'interessato, salvo che il titolare del trattamento sia un'autorità pubblica di uno Stato membro che agisce nell'esercizio dei suoi poteri pubblici».
4. L'articolo 3 di tale regolamento, intitolato «Ambito di applicazione territoriale», al suo paragrafo 1, prevede quanto segue:
«Il presente regolamento si applica al trattamento dei dati personali effettuato nell'ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell'Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione».
5. L'articolo 4 di detto regolamento definisce, al suo punto 16, la nozione di «stabilimento principale» e, al suo punto 23, quella di «trattamento transfrontaliero» nei seguenti termini:
«16) "stabilimento principale",
a) per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell'Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell'Unione e che quest'ultimo stabilimento abbia facoltà di ordinare l'esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale;
b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell'Unione o, se il responsabile del trattamento non ha un'amministrazione centrale nell'Unione, lo stabilimento del responsabile del trattamento nell'Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento;
(...)
23) "trattamento transfrontaliero",
a) trattamento di dati personali che ha luogo nell'ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell'Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure
b) trattamento di dati personali che ha luogo nell'ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell'Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro».
6. L'articolo 51 del medesimo regolamento, intitolato «Autorità di controllo», prevede quanto segue:
«1. Ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di sorvegliare l'applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all'interno dell'Unione (...).
2. Ogni autorità di controllo contribuisce alla coerente applicazione del presente regolamento in tutta l'Unione. A tale scopo, le autorità di controllo cooperano tra loro e con la Commissione, conformemente al capo VII.
(...)».
7. L'articolo 55 del regolamento 2016/679, intitolato «Competenza», che fa parte del capo VI di tale regolamento, a sua volta intitolato «Autorità di controllo indipendenti», prevede quanto segue:
«1. Ogni autorità di controllo è competente a eseguire i compiti assegnati e a esercitare i poteri a essa conferiti a norma del presente regolamento nel territorio del rispettivo Stato membro.
2. Se il trattamento è effettuato da autorità pubbliche o organismi privati che agiscono sulla base dell'articolo 6, paragrafo 1, lettera c) o e), è competente l'autorità di controllo dello Stato membro interessato. In tal caso, non si applica l'articolo 56».
8. L'articolo 56 del regolamento di cui trattasi, intitolato «Competenza dell'autorità di controllo capofila», è del seguente tenore:
«1. Fatto salvo l'articolo 55, l'autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare del trattamento o responsabile del trattamento è competente ad agire in qualità di autorità di controllo capofila per i trattamenti transfrontalieri effettuati dal suddetto titolare del trattamento o responsabile del trattamento, secondo la procedura di cui all'articolo 60.
2. In deroga al paragrafo 1, ogni autorità di controllo è competente per la gestione dei reclami a essa proposti o di eventuali violazioni del presente regolamento se l'oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro.
3. Nei casi indicati al paragrafo 2 del presente articolo, l'autorità di controllo informa senza ritardo l'autorità di controllo capofila in merito alla questione. Entro un termine di tre settimane da quando è stata informata, l'autorità di controllo capofila decide se intende o meno trattare il caso secondo la procedura di cui all'articolo 60, tenendo conto dell'esistenza o meno di uno stabilimento del titolare del trattamento o responsabile del trattamento nello Stato membro dell'autorità di controllo che l'ha informata.
4. Qualora l'autorità di controllo capofila decida di trattare il caso, si applica la procedura di cui all'articolo 60. L'autorità di controllo che ha informato l'autorità di controllo capofila può presentare a quest'ultima un progetto di decisione. L'autorità di controllo capofila tiene nella massima considerazione tale progetto nella predisposizione del progetto di decisione di cui all'articolo 60, paragrafo 3.
5. Nel caso in cui l'autorità di controllo capofila decida di non trattarlo, l'autorità di controllo che ha informato l'autorità di controllo capofila tratta il caso conformemente agli articoli 61 e 62.
6. L'autorità di controllo capofila è l'unico interlocutore del titolare del trattamento o del responsabile del trattamento in merito al trattamento transfrontaliero effettuato da tale titolare del trattamento o responsabile del trattamento».
9. L'articolo 57 del regolamento 2016/679, intitolato «Compiti», al suo paragrafo 1, è così formulato:
«1. Fatti salvi gli altri compiti indicati nel presente regolamento, sul proprio territorio ogni autorità di controllo:
a) sorveglia e assicura l'applicazione del presente regolamento;
(...)
g) collabora, anche tramite scambi di informazioni, con le altre autorità di controllo e presta assistenza reciproca al fine di garantire l'applicazione e l'attuazione coerente del presente regolamento;
(...)».
10. L'articolo 58 dello stesso regolamento, intitolato «Poteri», ai suoi paragrafi 1, 4 e 5, prevede quanto segue:
«1. Ogni autorità di controllo ha tutti i poteri di indagine seguenti:
a) ingiungere al titolare del trattamento e al responsabile del trattamento e, ove applicabile, al rappresentante del titolare del trattamento o del responsabile del trattamento, di fornirle ogni informazione di cui necessiti per l'esecuzione dei suoi compiti;
(...)
d) notificare al titolare del trattamento o al responsabile del trattamento le presunte violazioni del presente regolamento;
(...)
4. L'esercizio da parte di un'autorità di controllo dei poteri attribuitile dal presente articolo è soggetto a garanzie adeguate, inclusi il ricorso giurisdizionale effettivo e il giusto processo, previste dal diritto dell'Unione e degli Stati membri conformemente alla Carta.
5. Ogni Stato membro dispone per legge che la sua autorità di controllo abbia il potere di intentare un'azione o di agire in sede giudiziale o, ove del caso, stragiudiziale in caso di violazione del presente regolamento per far rispettare le disposizioni dello stesso».
11. Nel capo VII del regolamento 2016/679, intitolato «Cooperazione e coerenza», la sezione I, intitolata «Cooperazione», comprende gli articoli da 60 a 62 del regolamento in esame. Il suddetto articolo 60, intitolato «Cooperazione tra l'autorità di controllo capofila e le altre autorità di controllo interessate», così dispone:
«1. L'autorità di controllo capofila coopera con le altre autorità di controllo interessate conformemente al presente articolo nell'adoperarsi per raggiungere un consenso. L'autorità di controllo capofila e le autorità di controllo interessate si scambiano tutte le informazioni utili.
2. L'autorità di controllo capofila può chiedere in qualunque momento alle altre autorità di controllo interessate di fornire assistenza reciproca a norma dell'articolo 61 e può condurre operazioni congiunte a norma dell'articolo 62, in particolare per lo svolgimento di indagini o il controllo dell'attuazione di una misura riguardante un titolare del trattamento o responsabile del trattamento stabilito in un altro Stato membro.
3. L'autorità di controllo capofila comunica senza ritardo le informazioni utili sulla questione alle altre autorità di controllo interessate. Trasmette senza indugio alle altre autorità di controllo interessate un progetto di decisione per ottenere il loro parere e tiene debitamente conto delle loro opinioni.
4. Se una delle altre autorità di controllo interessate solleva un'obiezione pertinente e motivata al progetto di decisione entro un termine di quattro settimane dopo essere stata consultata conformemente al paragrafo 3 del presente articolo, l'autorità di controllo capofila, ove non dia seguito all'obiezione pertinente e motivata o ritenga l'obiezione non pertinente o non motivata, sottopone la questione al meccanismo di coerenza di cui all'articolo 63.
5. L'autorità di controllo capofila, qualora intenda dare seguito all'obiezione pertinente e motivata sollevata, trasmette un progetto di decisione riveduto alle altre autorità di controllo interessate per ottenere il loro parere. Tale progetto di decisione riveduto è soggetto alla procedura di cui al paragrafo 4 entro un termine di due settimane.
6. Se nessuna delle altre autorità di controllo interessate ha sollevato obiezioni al progetto di decisione trasmesso dall'autorità di controllo capofila entro il termine di cui ai paragrafi 4 e 5, si deve considerare che l'autorità di controllo capofila e le autorità di controllo interessate concordano su tale progetto di decisione e sono da esso vincolate.
7. L'autorità di controllo capofila adotta la decisione e la notifica allo stabilimento principale o allo stabilimento unico del titolare del trattamento o responsabile del trattamento, a seconda dei casi, e informa le altre autorità di controllo interessate e il comitato [del]la decisione in questione, compresa una sintesi dei fatti e delle motivazioni pertinenti. L'autorità di controllo cui è stato proposto un reclamo informa il reclamante riguardo alla decisione.
8. In deroga al paragrafo 7, in caso di archiviazione o di rigetto di un reclamo, l'autorità di controllo cui è stato proposto il reclamo adotta la decisione e la notifica al reclamante e ne informa il titolare del trattamento.
9. Se l'autorità di controllo capofila e le autorità di controllo interessate convengono di archiviare o rigettare parti di un reclamo e di intervenire su altre parti di tale reclamo, è adottata una decisione separata per ciascuna di tali parti della questione. (...)
10. Dopo aver ricevuto la notifica della decisione dell'autorità di controllo capofila a norma dei paragrafi 7 e 9, il titolare del trattamento o responsabile del trattamento adotta le misure necessarie per garantire la conformità alla decisione per quanto riguarda le attività di trattamento nel contesto di tutti i suoi stabilimenti nell'Unione. Il titolare del trattamento o responsabile del trattamento notifica le misure adottate per conformarsi alla decisione all'autorità di controllo capofila, che ne informa le altre autorità di controllo interessate.
11. Qualora, in circostanze eccezionali, un'autorità di controllo interessata abbia motivo di ritenere che urga intervenire per tutelare gli interessi degli interessati, si applica la procedura d'urgenza di cui all'articolo 66.
(...)».
12. L'articolo 61 di detto regolamento, intitolato «Assistenza reciproca», al suo paragrafo 1, così recita:
«Le autorità di controllo si scambiano le informazioni utili e si prestano assistenza reciproca al fine di attuare e applicare il presente regolamento in maniera coerente, e mettono in atto misure per cooperare efficacemente tra loro. L'assistenza reciproca comprende, in particolare, le richieste di informazioni e le misure di controllo, quali le richieste di autorizzazioni e consultazioni preventive e le richieste di effettuare ispezioni e indagini».
13. L'articolo 62 del medesimo regolamento, intitolato «Operazioni congiunte delle autorità di controllo», è del seguente tenore:
«1. Se del caso, le autorità di controllo conducono operazioni congiunte, incluse indagini congiunte e misure di contrasto congiunte, cui partecipano membri o personale di autorità di controllo di altri Stati membri.
2. Qualora il titolare del trattamento o responsabile del trattamento abbia stabilimenti in vari Stati membri o qualora esista la probabilità che il trattamento abbia su un numero significativo di interessati in più di uno Stato membro un impatto negativo sostanziale, un'autorità di controllo di ogni Stato membro in questione ha il diritto di partecipare alle operazioni congiunte. (...)
(...)».
14. La sezione 2 del capo VII del regolamento 2016/679, intitolata «Coerenza», comprende gli articoli da 63 a 67 del regolamento medesimo. L'articolo 63, intitolato «Meccanismo di coerenza», è formulato come segue:
«Al fine di contribuire all'applicazione coerente del presente regolamento in tutta l'Unione, le autorità di controllo cooperano tra loro e, se del caso, con la Commissione mediante il meccanismo di coerenza stabilito nella presente sezione».
15. Ai sensi dell'articolo 64, paragrafo 2, del suddetto regolamento:
«Qualsiasi autorità di controllo, il presidente del comitato [europeo per la protezione dei dati] o la Commissione può richiedere che le questioni di applicazione generale o che producono effetti in più di uno Stato membro siano esaminate dal comitato [europeo per la protezione dei dati] al fine di ottenere un parere, in particolare se un'autorità di controllo competente non si conforma agli obblighi relativi all'assistenza reciproca ai sensi dell'articolo 61 o alle operazioni congiunte ai sensi dell'articolo 62».
16. L'articolo 65 dello stesso regolamento, intitolato «Composizione delle controversie da parte del comitato», al suo paragrafo 1, così dispone:
«Al fine di assicurare l'applicazione corretta e coerente del presente regolamento nei singoli casi, il comitato [europeo per la protezione dei dati] adotta una decisione vincolante nei seguenti casi:
a) se, in un caso di cui all'articolo 60, paragrafo 4, un'autorità di controllo interessata ha sollevato un'obiezione pertinente e motivata a un progetto di decisione dell'autorità capofila e l'autorità capofila di controllo non abbia dato seguito all'obiezione o l'autorità capofila abbia rigettato tale obiezione in quanto non pertinente o non motivata. La decisione vincolante riguarda tutte le questioni oggetto dell'obiezione pertinente e motivata, in particolare se sussista una violazione del presente regolamento;
b) se vi sono opinioni contrastanti in merito alla competenza delle autorità di controllo interessate per lo stabilimento principale;
(...)».
17. L'articolo 66 del regolamento 2016/679, intitolato «Procedura d'urgenza», ai suoi paragrafi 1 e 2, stabilisce quanto segue:
«1. In circostanze eccezionali, qualora ritenga che urga intervenire per proteggere i diritti e le libertà degli interessati, un'autorità di controllo interessata può, in deroga al meccanismo di coerenza di cui agli articoli 63, 64 e 65, o alla procedura di cui all'articolo 60, adottare immediatamente misure provvisorie intese a produrre effetti giuridici nel proprio territorio, con un periodo di validità determinato che non supera i tre mesi. L'autorità di controllo comunica senza ritardo tali misure e la motivazione della loro adozione alle altre autorità di controllo interessate, al comitato [europeo per la protezione dei dati] e alla Commissione.
2. Qualora abbia adottato una misura ai sensi del paragrafo 1 e ritenga che urga adottare misure definitive, l'autorità di controllo può chiedere un parere d'urgenza o una decisione vincolante d'urgenza del comitato [europeo per la protezione dei dati], motivando tale richiesta».
18. L'articolo 77 del predetto regolamento, intitolato «Diritto di proporre reclamo all'autorità di controllo», è del seguente tenore:
«1. Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l'interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un'autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione.
2. L'autorità di controllo a cui è stato proposto il reclamo informa il reclamante dello stato o dell'esito del reclamo, compresa la possibilità di un ricorso giurisdizionale ai sensi dell'articolo 78».
19. L'articolo 78 di tale regolamento, intitolato «Diritto a un ricorso giurisdizionale effettivo nei confronti dell'autorità di controllo», così dispone:
«1. Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ogni persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell'autorità di controllo che la riguarda.
2. Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ciascun interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora l'autorità di controllo che sia competente ai sensi degli articoli 55 e 56 non tratti un reclamo o non lo informi entro tre mesi dello stato o dell'esito del reclamo proposto ai sensi dell'articolo 77.
3. Le azioni nei confronti dell'autorità di controllo sono promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l'autorità di controllo è stabilita.
4. Qualora siano promosse azioni avverso una decisione di un'autorità di controllo che era stata preceduta da un parere o da una decisione del comitato [europeo per la protezione dei dati] nell'ambito del meccanismo di coerenza, l'autorità di controllo trasmette tale parere o decisione all'autorità giurisdizionale».
20. L'articolo 79 dello stesso regolamento, intitolato «Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento», così recita:
«1. Fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un'autorità di controllo ai sensi dell'articolo 77, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento.
2. Le azioni nei confronti del titolare del trattamento o del responsabile del trattamento sono promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui il titolare del trattamento o il responsabile del trattamento ha uno stabilimento. In alternativa, tali azioni possono essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l'interessato risiede abitualmente, salvo che il titolare del trattamento o il responsabile del trattamento sia un'autorità pubblica di uno Stato membro nell'esercizio dei pubblici poteri».
Diritto belga
21. La wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (legge relativa alla tutela della vita privata con riguardo ai trattamenti di dati personali), dell'8 dicembre 1992 (Belgisch Staatsblad, 18 marzo 1993, pag. 5801), come modificata dalla legge dell'11 dicembre 1998 (Belgisch Staatsblad, 3 febbraio 1999, pag. 3049) (in prosieguo: la «legge dell'8 dicembre 1992»), ha recepito nel diritto belga la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31).
22. La legge dell'8 dicembre 1992 ha istituito la CPVP, un organismo indipendente incaricato di garantire che i dati personali siano trattati nel rispetto di tale legge, in modo da salvaguardare la vita privata dei cittadini.
23. L'articolo 32, paragrafo 3, della legge dell'8 dicembre 1992 così disponeva:
«Fatta salva la competenza dei giudici ordinari per l'applicazione dei principi generali in materia di tutela della vita privata, il presidente della [CPVP] può sottoporre al giudice di primo grado qualsiasi controversia relativa all'applicazione della presente legge e delle sue misure di esecuzione».
24. La wet tot oprichting van de Gegevensbeschermingsautoriteit (legge che istituisce l'autorità per la protezione dei dati), del 3 dicembre 2017 (Belgisch Staatsblad, 10 gennaio 2018, pag. 989; in prosieguo: la «legge del 3 dicembre 2017»), entrata in vigore il 25 maggio 2018, ha istituito l'APD quale autorità di controllo, ai sensi del regolamento 2016/679.
25. L'articolo 3 della legge del 3 dicembre 2017 prevede quanto segue:
«Presso la Camera dei rappresentanti è istituita un'"Autorità per la protezione dei dati". Essa succede alla [CPVP]».
26. L'articolo 6 della legge del 3 dicembre 2017 così dispone:
«L'[APD] è competente a intentare un'azione dinanzi alle autorità giudiziarie in caso di violazioni dei principi fondamentali della protezione dei dati personali, nel quadro della presente legge e delle leggi recanti disposizioni sulla tutela del trattamento dei dati personali e, se del caso, ad agire in sede giudiziale per far rispettare detti principi fondamentali».
27. Nessuna disposizione specifica è prevista per i procedimenti giurisdizionali già avviati dal presidente della CPVP alla data del 25 maggio 2018 sulla base dell'articolo 32, paragrafo 3, della legge dell'8 dicembre 1992. Per quanto riguarda unicamente le denunce o le domande presentate all'APD stessa, l'articolo 112 della legge del 3 dicembre 2017 così recita:
«Il capo VI non si applica alle denunce o alle domande ancora pendenti presso l'[APD] al momento dell'entrata in vigore della presente legge. Le denunce o le domande di cui al comma 1 sono trattate dall'[APD], in qualità di successore legale della [CPVP], secondo la procedura applicabile prima dell'entrata in vigore della presente legge».
28. La legge dell'8 dicembre 1992 è stata abrogata dalla wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (legge relativa alla tutela delle persone fisiche con riguardo al trattamento di dati personali), del 30 luglio 2018 (Belgisch Staatsblad, 5 settembre 2018, pag. 68616; in prosieguo: la «legge del 30 luglio 2018»). Quest'ultima legge mira ad attuare nel diritto belga le disposizioni del regolamento 2016/679 che impongono o consentono agli Stati membri di adottare norme più dettagliate, ad integrazione di tale regolamento.
Procedimento principale e questioni pregiudiziali
29. L'11 settembre 2015, il presidente della CPVP ha intentato un'azione inibitoria nei confronti delle società Facebook Ireland, Facebook Inc. e Facebook Belgium dinanzi al Nederlandstalige rechtbank van eerste aanleg Brussel (Tribunale di primo grado di Bruxelles di lingua neerlandese, Belgio). Poiché la CPVP non era dotata di personalità giuridica, spettava al suo presidente proporre ricorsi al fine di garantire il rispetto della normativa in materia di protezione dei dati personali. Tuttavia, la CPVP stessa ha chiesto l'intervento volontario nel procedimento avviato dal suo presidente.
30. Tale azione inibitoria mirava a porre fine a quanto descritto dalla CPVP, segnatamente, come una «violazione grave e su larga scala, da parte di Facebook, della normativa in materia di tutela della vita privata» consistente nella raccolta, da parte di tale social network, di informazioni sul comportamento di navigazione sia dei titolari di un account Facebook sia dei non utenti dei servizi Facebook mediante diverse tecnologie, quali i cookie, i social plugin (ad esempio, i pulsanti «Mi piace» o «Condividi») o anche i pixel. Tali elementi consentono a detto social network di ottenere taluni dati di un internauta che consulti una pagina di un sito Internet che li contiene, come l'indirizzo di tale pagina, l'«indirizzo IP» del visitatore di detta pagina nonché la data e l'ora della consultazione di cui trattasi.
31. Con sentenza del 16 febbraio 2018, il Nederlandstalige rechtbank van eerste aanleg Brussel (Tribunale di primo grado di Bruxelles di lingua neerlandese) si è dichiarato competente a statuire su detta azione inibitoria, nella parte in cui riguardava Facebook Ireland, Facebook Inc. e Facebook Belgium, e ha dichiarato irricevibile la domanda di intervento volontario presentata dalla CPVP.
32. Nel merito, tale giudice ha dichiarato che il social network in questione non informava sufficientemente gli internauti belgi relativamente alla raccolta delle informazioni di cui trattasi e all'uso di tali informazioni. Peraltro, non è stato ritenuto valido il consenso prestato dagli internauti alla raccolta e al trattamento di dette informazioni. Di conseguenza, è stato ingiunto a Facebook Ireland, a Facebook Inc. e a Facebook Belgium, in primo luogo, di cessare, nei confronti di qualsiasi internauta stabilito nel territorio belga, di inserire, senza il consenso dell'utente, cookie che rimangono attivi per due anni sul dispositivo da esso utilizzato quando naviga su una pagina Internet del nome di dominio Facebook.com o quando giunge sul sito di un terzo, nonché di inserire cookie e di raccogliere dati mediante social plugin, pixel o mezzi tecnologici analoghi sui siti Internet di terzi, in misura eccessiva rispetto agli obiettivi in tal modo perseguiti dal social network Facebook; in secondo luogo, di fornire informazioni che potrebbero ragionevolmente indurre in errore le persone considerate quanto alla portata reale dei meccanismi messi a disposizione da tale social network per l'utilizzo di cookie e, in terzo luogo, di distruggere tutti i dati personali ottenuti per mezzo di cookie e social plugin.
33. Il 2 marzo 2018, Facebook Ireland, Facebook Inc. e Facebook Belgium hanno interposto appello avverso tale sentenza dinanzi allo hof van beroep te Brussel (Corte di appello di Bruxelles, Belgio). Dinanzi a tale giudice, l'APD agisce in qualità di successore legale sia del presidente della CPVP, che aveva promosso l'azione inibitoria, sia della stessa CPVP.
34. Il giudice del rinvio si è dichiarato competente a statuire sull'appello interposto unicamente nella parte riguardante Facebook Belgium. Per contro, esso si è dichiarato incompetente a conoscere di tale appello per quanto riguarda Facebook Ireland e Facebook Inc.
35. Prima di pronunciarsi sul merito della controversia di cui al procedimento principale, il giudice del rinvio si pone la questione se l'APD disponga della legittimazione e dell'interesse ad agire richiesti. Secondo Facebook Belgium, l'azione inibitoria proposta sarebbe irricevibile per quanto riguarda i fatti anteriori al 25 maggio 2018, in quanto, a seguito dell'entrata in vigore della legge del 3 dicembre 2017 e del regolamento 2016/679, sarebbe stato abrogato l'articolo 32, paragrafo 3, della legge dell'8 dicembre 1992, che costituisce la base giuridica che consente di intentare un'azione siffatta. Per quanto riguarda i fatti successivi al 25 maggio 2018, Facebook Belgium fa valere che l'APD non avrebbe competenza e non disporrebbe del diritto di intentare tale azione tenuto conto del meccanismo dello «sportello unico» ora previsto in applicazione delle disposizioni del regolamento 2016/679. Sulla base di tali disposizioni, infatti, solo il Data Protection Commissioner (Commissario per la protezione dei dati, Irlanda) sarebbe competente ad intentare un'azione inibitoria nei confronti della Facebook Ireland, essendo quest'ultima l'unica titolare del trattamento dei dati personali degli utenti del social network in questione nell'Unione.
36. Il giudice del rinvio ha dichiarato che l'APD non aveva dimostrato di avere l'interesse ad agire richiesto per intentare tale azione inibitoria nei limiti in cui quest'ultima verteva su fatti anteriori al 25 maggio 2018. Per quanto riguarda i fatti successivi a tale data, il giudice del rinvio nutre nondimeno dubbi in merito all'incidenza dell'entrata in vigore del regolamento 2016/679, in particolare dell'applicazione del meccanismo dello «sportello unico» che tale regolamento prevede, sulle competenze dell'APD nonché sul potere di quest'ultima di intentare una siffatta azione inibitoria.
37. In particolare, secondo il giudice del rinvio, la questione che si pone ora è se, per i fatti successivi al 25 maggio 2018, l'APD possa agire nei confronti della società Facebook Belgium, dal momento che Facebook Ireland è stata individuata come titolare del trattamento dei dati in questione. Dopo tale data e in forza del principio dello «sportello unico», sembrerebbe che, ai sensi dell'articolo 56 del regolamento 2016/679, sia competente unicamente il Commissario per la protezione dei dati, sotto il controllo dei soli giudici irlandesi.
38. Il giudice del rinvio ricorda che, nella sentenza del 5 giugno 2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388), la Corte ha dichiarato che l'«autorità di controllo tedesca» era competente a pronunciarsi su una controversia in materia di protezione dei dati personali, sebbene il titolare del trattamento dei dati in questione avesse sede in Irlanda e la sua controllata con sede in Germania, ossia la Facebook Germany GmbH, si occupasse soltanto della vendita di spazi pubblicitari e di altre attività di marketing nel territorio tedesco.
39. Tuttavia, nella causa che ha dato luogo a tale sentenza, la Corte era investita di una domanda di pronuncia pregiudiziale vertente sull'interpretazione delle disposizioni della direttiva 95/46, che è stata abrogata dal regolamento 2016/679. Il giudice del rinvio si chiede in quale misura l'interpretazione che la Corte ha fornito in detta sentenza sia ancora pertinente per quanto riguarda l'applicazione del regolamento 2016/679.
40. II giudice del rinvio richiama anche una decisione del «Bundeskartellamt» (Autorità federale garante della concorrenza, Germania) del 6 febbraio 2019 (la cosiddetta decisione «Facebook») in cui tale autorità garante della concorrenza ha dichiarato, in sostanza, che l'impresa interessata abusava della propria posizione concentrando dati provenienti da fonti diverse, il che, in futuro avrebbe potuto aver luogo soltanto con il consenso esplicito degli utenti, fermo restando che l'utente che non vi acconsente non può essere escluso dai servizi Facebook. Il giudice del rinvio rileva che, manifestamente, detta autorità garante della concorrenza si è ritenuta competente, nonostante il meccanismo dello «sportello unico».
41. Inoltre, il giudice del rinvio ritiene che l'articolo 6 della legge del 3 dicembre 2017, che consente, in linea di principio, all'APD, se del caso, di agire in sede giudiziale, non implichi che la sua azione possa, in ogni caso, essere intentata dinanzi ai giudici belgi, poiché il meccanismo dello «sportello unico» sembrerebbe imporre che una siffatta azione sia intentata dinanzi al giudice del luogo in cui viene effettuato il trattamento dei dati.
42. Ciò premesso, lo hof van beroep te Brussel (Corte di appello di Bruxelles) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Se gli articoli [55, paragrafo 1], da 56 a 58 e da 60 a 66 del [regolamento 2016/679], in combinato disposto con gli articoli 7, 8 e 47, della [Carta], debbano essere interpretati nel senso che un'autorità di controllo, che, in forza della normativa nazionale adottata in esecuzione dell'articolo [58, paragrafo 5], di tale regolamento, abbia il potere di agire in sede giudiziale dinanzi a un giudice del suo Stato membro contro le violazioni di detto regolamento, non può esercitare tale potere con riguardo a un trattamento transfrontaliero se essa non è l'autorità di controllo capofila per il trattamento transfrontaliero di cui trattasi.
2) Se, a tal riguardo, assuma rilevanza la circostanza che il titolare di detto trattamento transfrontaliero non abbia in tale Stato membro lo stabilimento principale, ma solo un altro stabilimento.
3) Se, a tal riguardo, assuma rilevanza la circostanza che l'autorità nazionale di controllo intenti l'azione nei confronti dello stabilimento principale del titolare del trattamento o nei confronti dello stabilimento nel proprio Stato membro.
4) Se, a tal riguardo, assuma rilevanza la circostanza che l'autorità nazionale di controllo abbia già intentato l'azione prima della data di entrata in vigore (il 25 maggio 2018) del regolamento [2016/679].
5) In caso di risposta affermativa alla prima questione, se l'articolo [58, paragrafo 5], del regolamento 2016/679 abbia effetto diretto, cosicché un'autorità nazionale di controllo può invocare detto articolo per intentare o proseguire un'azione nei confronti di privati, anche se l'articolo [58, paragrafo 5], del regolamento 2016/679 non sia stato specificamente trasposto nella normativa degli Stati membri, pur essendo la trasposizione obbligatoria.
6) In caso di risposta affermativa alle questioni che precedono, se l'esito di siffatti procedimenti possa ostare ad una conclusione opposta dell'autorità di controllo capofila nel caso in cui tale autorità capofila esamini le medesime attività di trattamento transfrontaliero o attività analoghe, conformemente al meccanismo previsto agli articoli 56 e 60 del regolamento 2016/679».
Sulla prima questione
43. Con la sua prima questione, il giudice del rinvio chiede, in sostanza, se l'articolo 55, paragrafo 1 e gli articoli da 56 a 58 nonché da 60 a 66 del regolamento 2016/679, in combinato disposto con gli articoli 7, 8 e 47 della Carta, debbano essere interpretati nel senso che un'autorità di controllo di uno Stato membro - che, in forza della normativa nazionale adottata in esecuzione dell'articolo 58, paragrafo 5, di tale regolamento, abbia il potere di intentare un'azione dinanzi a un giudice di tale Stato membro e, se del caso, di agire in sede giudiziale in caso di presunta violazione di detto regolamento - può esercitare tale potere per quanto riguarda un trattamento di dati transfrontaliero, sebbene non sia l'«autorità di controllo capofila», a norma dell'articolo 56, paragrafo 1, del medesimo regolamento, per quanto riguarda un siffatto trattamento di dati.
44. A tal riguardo, occorre ricordare, in via preliminare, che, da un lato, a differenza della direttiva 95/46, che era stata adottata sul fondamento dell'articolo 100 A del Trattato CE, relativo all'armonizzazione del mercato comune, la base giuridica del regolamento 2016/679 è l'articolo 16 TFUE, il quale sancisce il diritto di ogni persona alla tutela dei dati personali e autorizza il Parlamento europeo e il Consiglio dell'Unione europea a fissare norme relative alla protezione delle persone fisiche con riguardo al trattamento di tali dati da parte delle istituzioni, degli organi e degli organismi dell'Unione, nonché da parte degli Stati membri, nell'esercizio di attività che rientrano nell'ambito di applicazione del diritto dell'Unione, e norme relative alla libera circolazione di detti dati. D'altro lato, il considerando 1 di tale regolamento afferma che «[l]a protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale» e ricorda che l'articolo 8, paragrafo 1, della Carta nonché l'articolo 16, paragrafo 1, TFUE stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.
45. Di conseguenza, come risulta dall'articolo 1, paragrafo 2, del regolamento 2016/679, in combinato disposto con i considerando 10, 11 e 13 di tale regolamento, quest'ultimo affida alle istituzioni, agli organi e agli organismi dell'Unione, nonché alle autorità competenti degli Stati membri, il compito di assicurare un livello elevato di tutela dei diritti garantiti dall'articolo 16 TFUE e dall'articolo 8 della Carta.
46. Inoltre, come enunciato dal considerando 4 del regolamento in parola, quest'ultimo rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti nella Carta.
47. È in questo contesto che l'articolo 55, paragrafo 1, del regolamento 2016/679 stabilisce la competenza di principio di ogni autorità di controllo ad eseguire i compiti ed esercitare i poteri a essa conferiti, a norma di tale regolamento, nel territorio del rispettivo Stato membro (v., in tal senso, sentenza del 16 luglio 2020, Facebook Ireland e Schrems, C-311/18, EU:C:2020:559, punto 147).
48. Tra i compiti conferiti a tali autorità di controllo figurano, in particolare, il compito di sorvegliare l'applicazione del regolamento 2016/679 e di vigilare sul rispetto di quest'ultimo, previsto all'articolo 57, paragrafo 1, lettera a), di tale regolamento, nonché il compito di collaborare, anche tramite scambi di informazioni, con le altre autorità di controllo e prestare assistenza reciproca al fine di garantire l'applicazione coerente di detto regolamento e delle misure adottate per garantirne il rispetto, previsto all'articolo 57, paragrafo 1, lettera g), del medesimo regolamento. Tra i poteri conferiti a tali autorità di controllo al fine di assolvere detti compiti figurano diversi poteri di indagine, previsti all'articolo 58, paragrafo 1, del regolamento 2016/679, nonché il potere di intentare un'azione dinanzi alle autorità giudiziarie e, se del caso, di agire in sede giudiziale in caso di violazione di tale regolamento per far rispettare le disposizioni dello stesso, previsto all'articolo 58, paragrafo 5, di detto regolamento.
49. L'esercizio di tali compiti e poteri presuppone tuttavia che un'autorità di controllo disponga della competenza per quanto riguarda un determinato trattamento di dati.
50. A tal riguardo, fatta salva la norma sulla competenza di cui all'articolo 55, paragrafo 1, del regolamento 2016/679, l'articolo 56, paragrafo 1, di tale regolamento prevede, per i «trattamenti transfrontalieri» ai sensi del suo articolo 4, punto 23, il meccanismo dello «sportello unico», basato su una ripartizione delle competenze tra un'«autorità di controllo capofila» e le altre autorità di controllo interessate. In forza di siffatto meccanismo, l'autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare del trattamento o del responsabile del trattamento è competente ad agire in qualità di autorità di controllo capofila per quanto attiene al trattamento transfrontaliero effettuato da detto titolare del trattamento o responsabile del trattamento, secondo la procedura di cui all'articolo 60 del regolamento in parola.
51. Quest'ultimo articolo stabilisce la procedura di cooperazione tra l'autorità di controllo capofila e le altre autorità di controllo interessate. Nell'ambito di tale procedura, l'autorità di controllo capofila è tenuta, in particolare, a cercare di raggiungere un consenso. A tal fine, conformemente all'articolo 60, paragrafo 3, del regolamento 2016/679, essa trasmette senza indugio un progetto di decisione alle altre autorità di controllo interessate per ottenere il loro parere e tiene debitamente conto delle loro opinioni.
52. In particolare, dagli articoli 56 e 60 del regolamento 2016/679 risulta che, per i «trattamenti transfrontalieri», ai sensi dell'articolo 4, punto 23, di tale regolamento, e fatto salvo l'articolo 56, paragrafo 2, di quest'ultimo, le varie autorità di controllo nazionali interessate devono cooperare, secondo la procedura prevista da tali disposizioni, al fine di raggiungere un consenso e una decisione unica che vincoli tutte le suddette autorità, il cui rispetto deve essere garantito dal titolare del trattamento per quanto riguarda le attività di trattamento effettuate nell'ambito di tutti i suoi stabilimenti nell'Unione. Inoltre, l'articolo 61, paragrafo 1, di detto regolamento obbliga le autorità di controllo, in particolare, a comunicarsi le informazioni utili nonché a prestarsi reciproca assistenza al fine di attuare e applicare il medesimo regolamento in modo coerente in tutta l'Unione. L'articolo 63 del regolamento 2016/679 precisa che è a tal fine previsto il meccanismo di coerenza, stabilito agli articoli 64 e 65 di quest'ultimo [sentenza del 24 settembre 2019, Google (Portata territoriale della deindicizzazione), C-507/17, EU:C:2019:772, punto 68].
53. L'applicazione del meccanismo dello «sportello unico» richiede pertanto, come confermato dal considerando 13 del regolamento 2016/679, una leale ed efficace cooperazione tra l'autorità di controllo capofila e le altre autorità di controllo interessate. Di conseguenza, come rilevato dall'avvocato generale al paragrafo 111 delle sue conclusioni, l'autorità di controllo capofila non può ignorare le opinioni delle altre autorità di controllo interessate e qualsiasi obiezione pertinente e motivata formulata da una di queste ultime autorità ha l'effetto di bloccare, almeno temporaneamente, l'adozione del progetto di decisione dell'autorità di controllo capofila.
54. Pertanto, conformemente all'articolo 60, paragrafo 4, del regolamento 2016/679, qualora una delle altre autorità di controllo interessate formuli, entro un termine di quattro settimane dopo essere stata consultata, una siffatta obiezione pertinente e motivata in merito al progetto di decisione, l'autorità di controllo capofila, qualora non segua l'obiezione pertinente e motivata o ritenga che tale obiezione non sia pertinente o motivata, sottopone la questione al meccanismo di coerenza di cui all'articolo 63 di tale regolamento, al fine di ottenere dal comitato europeo per la protezione dei dati una decisione vincolante, adottata in base all'articolo 65, paragrafo 1, lettera a), di detto regolamento.
55. Ai sensi dell'articolo 60, paragrafo 5, del regolamento 2016/679, quando l'autorità di controllo capofila intende invece seguire l'obiezione pertinente e motivata formulata, essa sottopone alle altre autorità di controllo interessate un progetto di decisione riveduto al fine di ottenere il loro parere. Tale progetto di decisione riveduto è soggetto alla procedura di cui all'articolo 60, paragrafo 4, del medesimo regolamento entro un termine di due settimane.
56. Conformemente all'articolo 60, paragrafo 7, di detto regolamento, in linea di principio, spetta all'autorità di controllo capofila adottare una decisione riguardo al trattamento transfrontaliero di cui trattasi, notificarla allo stabilimento principale o allo stabilimento unico del titolare del trattamento o del responsabile del trattamento, a seconda dei casi, e informare le altre autorità di controllo interessate e il comitato europeo per la protezione dei dati della decisione in questione, comunicando anche una sintesi dei fatti e dei motivi pertinenti.
57. Ciò premesso, occorre sottolineare che il regolamento 2016/679 prevede eccezioni al principio della competenza decisionale dell'autorità di controllo capofila nell'ambito del meccanismo dello «sportello unico» previsto all'articolo 56, paragrafo 1, di detto regolamento.
58. Tra tali eccezioni figura, in primo luogo, l'articolo 56, paragrafo 2, del regolamento 2016/679, il quale prevede che un'autorità di controllo che non è l'autorità di controllo capofila sia competente per la gestione dei reclami a essa proposti e riguardanti un trattamento transfrontaliero di dati personali o un'eventuale violazione di tale regolamento, se l'oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente in tale Stato membro.
59. In secondo luogo, l'articolo 66 del regolamento 2016/679 prevede, in deroga ai meccanismi di coerenza di cui agli articoli 60 e da 63 a 65 di tale regolamento, una procedura d'urgenza. Tale procedura d'urgenza consente, in circostanze eccezionali, qualora l'autorità di controllo interessata ritenga che urga intervenire per proteggere i diritti e le libertà degli interessati, di adottare immediatamente misure provvisorie intese a produrre effetti giuridici nel proprio territorio, con un periodo di validità determinato che non superi i tre mesi, in quanto l'articolo 66, paragrafo 2, del regolamento 2016/679 prevede inoltre che, qualora un'autorità di controllo abbia adottato una misura in forza del paragrafo 1 e ritenga che debbano essere adottate misure definitive, essa può chiedere un parere d'urgenza o una decisione vincolante d'urgenza del comitato europeo per la protezione dei dati, motivando tale richiesta.
60. Tuttavia, tale competenza delle autorità di controllo deve essere esercitata nel rispetto di una leale ed efficace cooperazione con l'autorità di controllo capofila, conformemente alla procedura di cui all'articolo 56, paragrafi da 3 a 5, del regolamento 2016/679. Infatti, in tale ipotesi, in applicazione dell'articolo 56, paragrafo 3, di detto regolamento, l'autorità di controllo interessata deve informare senza ritardo l'autorità di controllo capofila, la quale, entro tre settimane dal momento in cui è stata informata, decide se tratterà o meno il caso.
61. Orbene, in forza dell'articolo 56, paragrafo 4, del regolamento 2016/679, se l'autorità di controllo capofila decide di trattare il caso, si applica la procedura di cooperazione prevista all'articolo 60 del regolamento in parola. In tale contesto, l'autorità di controllo che ha informato l'autorità di controllo capofila può sottoporle un progetto di decisione e quest'ultima deve tenere nella massima considerazione tale progetto quando elabora il progetto di decisione di cui all'articolo 60, paragrafo 3, di detto regolamento.
62. Per contro, in applicazione dell'articolo 56, paragrafo 5, del regolamento 2016/679, se l'autorità di controllo capofila decide di non trattare il caso, l'autorità di controllo che l'ha informata lo tratta conformemente agli articoli 61 e 62 di tale regolamento, i quali richiedono alle autorità di controllo il rispetto delle regole di reciproca assistenza e di cooperazione nell'ambito di operazioni congiunte, al fine di garantire una cooperazione efficace tra le autorità interessate.
63. Da quanto precede deriva che, da un lato, in materia di trattamento transfrontaliero di dati personali, la competenza dell'autorità di controllo capofila ad adottare una decisione che constati che un siffatto trattamento viola le norme relative alla tutela dei diritti delle persone fisiche con riguardo al trattamento di dati personali contenute nel regolamento 2016/679 costituisce la regola, mentre la competenza delle altre autorità di controllo interessate ad adottare una tale decisione, anche in via provvisoria, costituisce l'eccezione. D'altro lato, pur se la competenza di principio dell'autorità di controllo capofila è confermata all'articolo 56, paragrafo 6, del regolamento 2016/679, ai sensi del quale l'autorità di controllo capofila è l'«unico interlocutore» del titolare del trattamento o del responsabile per il trattamento transfrontaliero effettuato da tale titolare del trattamento o responsabile del trattamento, tale autorità deve esercitare siffatta competenza nell'ambito di una stretta cooperazione con le altre autorità di controllo interessate. In particolare, l'autorità di controllo capofila non può sottrarsi, nell'esercizio delle sue competenze, come rilevato al punto 53 della presente sentenza, a un dialogo indispensabile nonché a una cooperazione leale ed efficace con le altre autorità di controllo interessate.
64. A tal riguardo, dal considerando 10 del regolamento 2016/679 risulta che quest'ultimo mira, in particolare, a garantire un'applicazione coerente ed omogenea delle norme in materia di protezione delle libertà e dei diritti fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l'Unione e a rimuovere gli ostacoli ai flussi di dati personali all'interno di quest'ultima.
65. Orbene, siffatto obiettivo e l'effetto utile del meccanismo dello «sportello unico», potrebbero essere compromessi se un'autorità di controllo, che, riguardo a un trattamento di dati transfrontaliero, non è l'autorità di controllo capofila, potesse esercitare il potere previsto all'articolo 58, paragrafo 5, del regolamento 2016/679 al di fuori dei casi in cui essa è competente ad adottare una decisione come quella di cui al punto 63 della presente sentenza. Infatti, l'esercizio di un potere siffatto mira a giungere ad una decisione giurisdizionale vincolante, la quale è altrettanto idonea a pregiudicare detto obiettivo nonché detto meccanismo quanto una decisione adottata da un'autorità di controllo che non è l'autorità di controllo capofila.
66. Contrariamente a quanto sostiene l'APD, la circostanza che un'autorità di controllo di uno Stato membro che non è l'autorità di controllo capofila possa esercitare il potere previsto all'articolo 58, paragrafo 5, del regolamento 2016/679 solo nel rispetto delle norme sulla ripartizione delle competenze decisionali previste, in particolare, dagli articoli 55 e 56 di tale regolamento, in combinato disposto con l'articolo 60 di quest'ultimo, è conforme agli articoli 7, 8 e 47 della Carta.
67. Da un lato, per quanto riguarda l'argomento vertente su una presunta violazione degli articoli 7 e 8 della Carta, occorre ricordare che detto articolo 7 garantisce a ogni persona il diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni, mentre l'articolo 8, paragrafo 1, della Carta, così come l'articolo 16, paragrafo 1, TFUE, riconosce espressamente a ogni persona il diritto alla protezione dei dati personali che la riguardano. Orbene, discende in particolare dall'articolo 51, paragrafo 1, del regolamento 2016/679 che le autorità di controllo sono incaricate di sorvegliare l'applicazione di tale regolamento, in particolare, al fine di tutelare i diritti fondamentali delle persone fisiche con riguardo al trattamento dei loro dati personali. Ne consegue che, conformemente a quanto esposto al punto 45 della presente sentenza, le norme sulla ripartizione delle competenze decisionali tra l'autorità di controllo capofila e le altre autorità di controllo, previste in detto regolamento, lasciano impregiudicata la responsabilità gravante su ciascuna di tali autorità di contribuire ad un livello elevato di protezione di detti diritti, nel rispetto di tali norme nonché dei requisiti di cooperazione e di assistenza reciproca ricordati al punto 52 della presente sentenza.
68. Ciò significa, in particolare, che il meccanismo dello «sportello unico» non può in alcun caso comportare che un'autorità nazionale di controllo, in particolare l'autorità di controllo capofila, non assuma la responsabilità, che le incombe in forza del regolamento 2016/679, di contribuire ad un'efficace tutela delle persone fisiche contro violazioni dei loro diritti fondamentali ricordati al punto precedente della presente sentenza, pena l'incoraggiare una pratica di forum shopping, in particolare da parte dei titolari del trattamento, al fine di eludere tali diritti fondamentali e l'applicazione effettiva delle disposizioni di detto regolamento che vi danno attuazione.
69. D'altro lato, per quanto riguarda l'argomento vertente su una presunta violazione del diritto a un ricorso effettivo, garantito dall'articolo 47 della Carta, neppure esso può essere accolto. Infatti, la delimitazione, esposta ai punti 64 e 65 della presente sentenza, della possibilità per un'autorità di controllo diversa dall'autorità di controllo capofila di esercitare il potere previsto all'articolo 58, paragrafo 5, del regolamento 2016/679, per quanto riguarda un trattamento transfrontaliero di dati personali, lascia impregiudicato il diritto riconosciuto ad ogni persona, all'articolo 78, paragrafi 1 e 2, di tale regolamento, di proporre un ricorso giurisdizionale effettivo, in particolare, avverso una decisione giuridicamente vincolante di un'autorità di controllo che lo riguarda o contro il mancato trattamento di un reclamo da parte dell'autorità di controllo che dispone della competenza decisionale in forza degli articoli 55 e 56 di detto regolamento, letti congiuntamente con l'articolo 60 di quest'ultimo.
70. Ciò avviene, in particolare, nell'ipotesi di cui all'articolo 56, paragrafo 5, del regolamento 2016/679, secondo la quale, come rilevato al punto 62 della presente sentenza, l'autorità di controllo che ha fornito l'informazione sulla base dell'articolo 56, paragrafo 3, di tale regolamento, può trattare il caso conformemente agli articoli 61 e 62 di quest'ultimo, se l'autorità di controllo capofila decide, dopo esserne stata informata, che non lo tratterà essa stessa. Nell'ambito di un siffatto trattamento, non si può peraltro escludere che l'autorità di controllo considerata possa, se del caso, decidere di esercitare il potere conferitole dall'articolo 58, paragrafo 5, del regolamento 2016/679.
71. Ciò precisato, occorre sottolineare che non può essere escluso l'esercizio del potere di un'autorità di controllo di uno Stato membro di rivolgersi ai giudici del suo Stato qualora, dopo aver richiesto la reciproca assistenza dell'autorità di controllo capofila, in forza dell'articolo 61 del regolamento 2016/679, quest'ultima non le fornisca le informazioni richieste. In tale ipotesi, in forza dell'articolo 61, paragrafo 8, del regolamento in esame, l'autorità di controllo interessata può adottare una misura provvisoria nel territorio del suo Stato membro e, se ritiene che sia urgente adottare misure definitive, tale autorità può, conformemente all'articolo 66, paragrafo 2, di detto regolamento, chiedere al comitato europeo per la protezione dei dati un parere d'urgenza o una decisione vincolante d'urgenza. Inoltre, ai sensi dell'articolo 64, paragrafo 2, del medesimo regolamento, un'autorità di controllo può chiedere che qualsiasi questione di applicazione generale o produttiva di effetti in più Stati membri sia esaminata dal comitato europeo per la protezione dei dati al fine di ottenere un parere, in particolare qualora un'autorità di controllo competente non si conformi agli obblighi relativi all'assistenza reciproca posti a suo carico dall'articolo 61 di quest'ultimo. Orbene, a seguito dell'adozione di un siffatto parere o di una siffatta decisione, e purché il comitato europeo per la protezione dei dati vi sia favorevole dopo aver preso in considerazione tutte le circostanze pertinenti, l'autorità di controllo considerata deve poter adottare le misure necessarie al fine di garantire il rispetto delle norme relative alla tutela dei diritti delle persone fisiche con riguardo al trattamento di dati personali contenute nel regolamento 2016/679 e, a tale titolo, esercitare il potere conferitole dall'articolo 58, paragrafo 5, del predetto regolamento.
72. La ripartizione delle competenze e delle responsabilità tra le autorità di controllo, infatti, si basa necessariamente sulla premessa di una cooperazione leale ed efficace tra tali autorità nonché con la Commissione, al fine di garantire l'applicazione corretta e coerente del suddetto regolamento, come confermato dall'articolo 51, paragrafo 2, di quest'ultimo.
73. Nel caso di specie, spetterà al giudice del rinvio stabilire se le norme sulla ripartizione delle competenze nonché le procedure e i meccanismi pertinenti previsti dal regolamento 2016/679 siano stati correttamente applicati nell'ambito del procedimento principale. In particolare, sarà suo compito verificare se, benché l'APD non sia l'autorità di controllo capofila in tale causa, il trattamento in questione, nella misura in cui riguarda comportamenti del social network Facebook successivi al 25 maggio 2018, rientri segnatamente nella situazione descritta al punto 71 della presente sentenza.
74. A tal riguardo, la Corte osserva che, nel suo parere 5/2019 del 12 marzo 2019, sull'interazione tra la direttiva relativa alla vita privata e alle comunicazioni elettroniche e il regolamento generale sulla protezione dei dati, in particolare per quanto concerne competenze, compiti e poteri delle autorità per la protezione dei dati, il comitato europeo per la protezione dei dati ha dichiarato che la memorizzazione e la lettura di dati personali mediante cookie rientravano nell'ambito di applicazione della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU 2002, L 201, pag. 37) e non nel meccanismo dello «sportello unico». Per contro, tutte le operazioni precedenti e le successive attività di trattamento di tali dati personali mediante altre tecnologie rientrano effettivamente nell'ambito di applicazione del regolamento 2016/679 e, di conseguenza, nel meccanismo dello «sportello unico». Dato che la sua domanda di assistenza reciproca riguardava tali successive operazioni di trattamento dei dati personali, nel mese di aprile 2019 l'APD ha chiesto al Commissario per la protezione dei dati di dar seguito alla sua domanda il più rapidamente possibile, richiesta che sarebbe rimasta senza riscontro.
75. Alla luce di tutte le considerazioni che precedono, occorre rispondere alla prima questione posta dichiarando che l'articolo 55, paragrafo 1 e gli articoli da 56 a 58 nonché da 60 a 66 del regolamento 2016/679, in combinato disposto con gli articoli 7, 8 e 47 della Carta, devono essere interpretati nel senso che un'autorità di controllo di uno Stato membro, la quale, in forza della normativa nazionale adottata in esecuzione dell'articolo 58, paragrafo 5, di tale regolamento, abbia il potere di intentare un'azione dinanzi a un giudice di tale Stato membro e, se del caso, di agire in sede giudiziale in caso di presunta violazione di detto regolamento, può esercitare tale potere con riguardo al trattamento transfrontaliero di dati, pur non essendo l'«autorità di controllo capofila» ai sensi dell'articolo 56, paragrafo 1, dello stesso regolamento con riguardo a siffatto trattamento di dati, purché ciò avvenga in una delle situazioni in cui il regolamento 2016/679 conferisce a tale autorità di controllo la competenza ad adottare una decisione che accerti che il trattamento in questione viola le norme in esso contenute, nonché nel rispetto delle procedure di cooperazione e di coerenza previste da tale regolamento.
Sulla seconda questione
76. Con la sua seconda questione, il giudice del rinvio chiede, in sostanza, se l'articolo 58, paragrafo 5, del regolamento 2016/679 debba essere interpretato nel senso che, in caso di trattamento transfrontaliero di dati, l'esercizio del potere di un'autorità di controllo di uno Stato membro, diversa dall'autorità di controllo capofila, di agire in sede giudiziale, ai sensi di tale disposizione, richieda che il titolare del trattamento transfrontaliero di dati personali, nei cui confronti tale azione è intentata, disponga di uno «stabilimento principale», a norma dell'articolo 4, punto 16, del regolamento 2016/679, nel territorio di tale Stato membro oppure di un altro stabilimento in tale territorio.
77. A tal riguardo, occorre ricordare che, ai sensi dell'articolo 55, paragrafo 1, del regolamento 2016/679, ciascuna autorità di controllo è competente ad eseguire i compiti e ad esercitare i poteri ad essa conferiti a norma di tale regolamento nel territorio dello Stato membro di appartenenza.
78. L'articolo 58, paragrafo 5, del regolamento 2016/679 prevede, inoltre, il potere di ciascuna autorità di controllo di intentare un'azione dinanzi a un giudice dello Stato membro di appartenenza e, se del caso, di agire in sede giudiziale in caso di presunta violazione di tale regolamento per far rispettare le disposizioni dello stesso.
79. Orbene, occorre rilevare che l'articolo 58, paragrafo 5, del regolamento 2016/679 è formulato in termini generali e che il legislatore dell'Unione non ha subordinato l'esercizio di tale potere da parte di un'autorità di controllo di uno Stato membro alla condizione che l'azione di quest'ultima sia intentata nei confronti di un titolare del trattamento che disponga di uno «stabilimento principale», ai sensi dell'articolo 4, punto 16, di tale regolamento, o di un altro stabilimento nel territorio di tale Stato membro.
80. Tuttavia, un'autorità di controllo di uno Stato membro può esercitare il potere conferitole dall'articolo 58, paragrafo 5, del regolamento 2016/679 solo se è dimostrato che tale potere rientra nell'ambito di applicazione territoriale di tale regolamento.
81. L'articolo 3 del regolamento 2016/679, che disciplina l'ambito di applicazione territoriale del predetto regolamento, al suo paragrafo 1, prevede al riguardo che quest'ultimo si applichi al trattamento dei dati personali effettuato nell'ambito delle attività di uno stabilimento di un titolare del trattamento o di un responsabile del trattamento nel territorio dell'Unione, indipendentemente dal fatto che il trattamento abbia luogo o meno nell'Unione.
82. A tale titolo, il considerando 22 del regolamento 2016/679 precisa che detto stabilimento implica l'effettivo e reale svolgimento di un'attività nel quadro di un'organizzazione stabile e che la forma giuridica adottata per tale organizzazione, che si tratti di una succursale o di una filiale dotata di personalità giuridica, non è determinante al riguardo.
83. Ne consegue che, conformemente all'articolo 3, paragrafo 1, del regolamento 2016/679, l'ambito di applicazione territoriale di tale regolamento è determinato, fatte salve le ipotesi di cui ai paragrafi 2 e 3 di tale articolo, dalla condizione che il titolare del trattamento o il responsabile del trattamento transfrontaliero disponga di uno stabilimento nel territorio dell'Unione.
84. Occorre pertanto rispondere alla seconda questione posta dichiarando che l'articolo 58, paragrafo 5, del regolamento 2016/679 deve essere interpretato nel senso che, in caso di trattamento transfrontaliero di dati, l'esercizio del potere di un'autorità di controllo di uno Stato membro, diversa dall'autorità di controllo capofila, di intentare un'azione giudiziaria, ai sensi di tale disposizione, non esige che il titolare del trattamento o il responsabile per il trattamento transfrontaliero di dati personali, nei cui confronti tale azione viene intentata, disponga di uno stabilimento principale o di un altro stabilimento nel territorio di detto Stato membro.
Sulla terza questione
85. Con la sua terza questione, il giudice del rinvio chiede, in sostanza, se l'articolo 58, paragrafo 5, del regolamento 2016/679 debba essere interpretato nel senso che, in caso di trattamento transfrontaliero di dati, l'esercizio del potere di un'autorità di controllo di uno Stato membro, diversa dall'autorità di controllo capofila, di intentare un'azione dinanzi a un giudice di tale Stato membro e, se del caso, di agire in sede giudiziale in caso di presunta violazione del predetto regolamento ai sensi di tale disposizione, esige che l'autorità di controllo interessata diriga la propria azione giudiziaria contro lo stabilimento principale del titolare del trattamento oppure contro lo stabilimento che si trova nel proprio Stato membro.
86. Dalla decisione di rinvio risulta che tale questione è sollevata nell'ambito di una discussione tra le parti sulla questione se il giudice del rinvio sia competente ad esaminare l'azione inibitoria nei limiti in cui essa è intentata contro Facebook Belgium, tenuto conto del fatto che, da una parte, all'interno dell'Unione, la sede sociale del gruppo Facebook è situata in Irlanda e che Facebook Ireland è l'unica responsabile della raccolta e del trattamento dei dati personali per tutto il territorio dell'Unione e, dall'altra, che, secondo una ripartizione interna a tale gruppo, lo stabilimento situato in Belgio sarebbe stato creato, in via principale, per consentire a tale gruppo di mantenere relazioni con le istituzioni dell'Unione e, in via accessoria, per promuovere le attività pubblicitarie e di marketing dello stesso gruppo destinate a persone residenti in Belgio.
87. Come rilevato al punto 47 della presente sentenza, l'articolo 55, paragrafo 1, del regolamento 2016/679 stabilisce la competenza di principio di ciascuna autorità di controllo ad eseguire i compiti e ad esercitare i poteri ad essa conferiti, conformemente a tale regolamento, nel territorio del rispettivo Stato membro.
88. Per quanto riguarda il potere di un'autorità di controllo di uno Stato membro di intentare un'azione giudiziaria, ai sensi dell'articolo 58, paragrafo 5, del regolamento 2016/679, occorre ricordare, come rilevato dall'avvocato generale al paragrafo 150 delle sue conclusioni, che tale disposizione è formulata in termini generali e non precisa gli enti nei confronti dei quali le autorità di controllo debbano o possano agire in giudizio in relazione a qualsiasi violazione di tale regolamento.
89. Di conseguenza, detta disposizione non limita l'esercizio del potere di agire in sede giudiziale nel senso che un'azione siffatta possa essere intentata unicamente nei confronti di uno «stabilimento principale» oppure nei confronti di un altro «stabilimento» del titolare del trattamento. Al contrario, in forza della medesima disposizione, qualora l'autorità di controllo di uno Stato membro disponga della competenza necessaria a tal fine, in applicazione degli articoli 55 e 56 del regolamento 2016/679, essa può esercitare i poteri conferitile da tale regolamento nel suo territorio nazionale, indipendentemente dallo Stato membro in cui è stabilito il titolare del trattamento o il responsabile del trattamento.
90. Tuttavia, l'esercizio del potere conferito a ciascuna autorità di controllo dall'articolo 58, paragrafo 5, del regolamento 2016/679 presuppone che tale regolamento sia applicabile. A tal riguardo, e come sottolineato al punto 81 della presente sentenza, l'articolo 3, paragrafo 1, di detto regolamento prevede che quest'ultimo si applichi al trattamento dei dati personali effettuato «nell'ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell'Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione».
91. Alla luce dell'obiettivo perseguito dal regolamento 2016/679, consistente nel garantire una tutela efficace delle libertà e dei diritti fondamentali delle persone fisiche, segnatamente del diritto alla tutela della vita privata e alla protezione dei dati personali, la condizione secondo cui il trattamento di dati personali deve essere effettuato «nell'ambito delle attività» dello stabilimento considerato non può ricevere un'interpretazione restrittiva (v., per analogia, sentenza del 5 giugno 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, punto 56 e giurisprudenza ivi citata).
92. Nel caso di specie, dalla decisione di rinvio e dalle osservazioni scritte presentate da Facebook Belgium risulta che quest'ultima è incaricata, in via principale, di intrattenere relazioni con le istituzioni dell'Unione e, in via accessoria, di promuovere le attività pubblicitarie e di marketing del suo gruppo destinate alle persone residenti in Belgio.
93. Il trattamento di dati personali di cui trattasi nel procedimento principale, che nel territorio dell'Unione è effettuato esclusivamente da Facebook Ireland e che consiste nella raccolta di informazioni sul comportamento di navigazione tanto dei titolari di un account Facebook quanto dei non utenti dei servizi Facebook mediante tecnologie diverse, quali, in particolare, i social plugin e i pixel, ha proprio lo scopo di consentire al social network di cui trattasi di rendere più efficiente il proprio sistema pubblicitario, diffondendo le comunicazioni in modo mirato.
94. Orbene, occorre rilevare che, da un lato, un social network come Facebook genera una parte sostanziale dei suoi redditi grazie, in particolare, alla pubblicità ivi diffusa e che l'attività svolta dallo stabilimento situato in Belgio è diretta a garantire, in tale Stato membro, anche se solo in via accessoria, la promozione e la vendita di spazi pubblicitari che servono a rendere redditizi i servizi Facebook. D'altro lato, l'attività svolta in via principale da Facebook Belgium, consistente nell'intrattenere relazioni con le istituzioni dell'Unione e nel costituire un punto di contatto con queste ultime, mira, in particolare, a determinare la politica di trattamento dei dati personali da parte di Facebook Ireland.
95. Ciò posto, le attività dello stabilimento del gruppo Facebook situato in Belgio devono essere considerate inscindibilmente connesse al trattamento dei dati personali di cui trattasi nel procedimento principale, per il quale il titolare del trattamento è Facebook Ireland per quanto riguarda il territorio dell'Unione. Pertanto, un trattamento siffatto deve essere considerato effettuato «nell'ambito delle attività di uno stabilimento da parte di un titolare del trattamento», ai sensi dell'articolo 3, paragrafo 1, del regolamento 2016/679.
96. Alla luce di tutte le considerazioni che precedono, occorre rispondere alla terza questione posta dichiarando che l'articolo 58, paragrafo 5, del regolamento 2016/679 deve essere interpretato nel senso che il potere di un'autorità di controllo di uno Stato membro, diversa dall'autorità di controllo capofila, di intentare un'azione dinanzi ad un giudice di tale Stato membro e, se del caso, di agire in sede giudiziale, ai sensi di tale disposizione, in caso di presunta violazione di detto regolamento può essere esercitato tanto nei confronti dello stabilimento principale del titolare del trattamento che si trovi nello Stato membro di appartenenza di tale autorità quanto nei confronti di un altro stabilimento di tale titolare, purché l'azione giudiziaria riguardi un trattamento di dati effettuato nell'ambito delle attività di detto stabilimento e l'autorità di cui trattasi sia competente ad esercitare siffatto potere, conformemente a quanto esposto in risposta alla prima questione posta.
Sulla quarta questione
97. Con la sua quarta questione, il giudice del rinvio chiede, in sostanza, se l'articolo 58, paragrafo 5, del regolamento 2016/679 debba essere interpretato nel senso che, nel caso in cui un'autorità di controllo di uno Stato membro che non è l'«autorità di controllo capofila», ai sensi dell'articolo 56, paragrafo 1, di tale regolamento, abbia intentato un'azione giudiziaria relativa a un trattamento transfrontaliero di dati personali prima del 25 maggio 2018, ossia prima della data in cui detto regolamento è divenuto applicabile, tale circostanza è idonea ad influire sulle condizioni in cui detta autorità di controllo di uno Stato membro può esercitare il potere di agire in sede giudiziale conferitole dal suddetto articolo 58, paragrafo 5.
98. Dinanzi a tale giudice, le società Facebook Ireland, Facebook Inc. e Facebook Belgium sostengono infatti che l'applicazione del regolamento 2016/679 a partire dal 25 maggio 2018 avrebbe come conseguenza che il mantenimento di un'azione intentata prima di tale data è irricevibile o addirittura infondato.
99. Occorre rilevare, in via preliminare, che l'articolo 99, paragrafo 1, del regolamento 2016/679 prevede che quest'ultimo entri in vigore il ventesimo giorno successivo alla sua pubblicazione nella Gazzetta ufficiale dell'Unione europea. Poiché tale regolamento è stato pubblicato nella suddetta Gazzetta ufficiale il 4 maggio 2016, esso è quindi entrato in vigore il 25 maggio successivo. Inoltre, l'articolo 99, paragrafo 2, di detto regolamento prevede che quest'ultimo si applichi a decorrere dal 25 maggio 2018.
100. A tal riguardo, va ricordato che una nuova norma giuridica si applica a decorrere dall'entrata in vigore dell'atto che la istituisce e che, sebbene non si applichi alle situazioni giuridiche sorte e definitivamente acquisite in vigenza della precedente norma, essa si applica agli effetti futuri delle medesime, nonché alle situazioni giuridiche nuove, a meno che la nuova norma, fatto salvo il principio di irretroattività degli atti giuridici, sia accompagnata da disposizioni particolari che determinano specificamente le sue condizioni di applicazione nel tempo. In particolare, le norme procedurali si considerano generalmente applicabili alla data in cui esse entrano in vigore, a differenza delle norme sostanziali, che, secondo la comune interpretazione, riguardano situazioni consolidatesi anteriormente alla loro entrata in vigore solo se dalla loro formulazione, dalla loro finalità o dal loro impianto sistematico risulti chiaramente che va loro attribuito tale effetto [sentenza del 25 febbraio 2021, Caisse pour l'avenir des enfants (Impiego alla nascita), C-129/20, EU:C:2021:140, punto 31 e giurisprudenza ivi citata].
101. Il regolamento 2016/679 non contiene alcuna norma transitoria né alcuna altra norma che disciplini lo status dei procedimenti giurisdizionali avviati prima che esso fosse applicabile e che erano ancora in corso alla data in cui è divenuto applicabile. In particolare, nessuna disposizione di tale regolamento prevede che esso abbia l'effetto di porre fine a tutti i procedimenti giurisdizionali pendenti alla data del 25 maggio 2018 che riguardano presunte violazioni di norme che disciplinano il trattamento di dati personali previste dalla direttiva 95/46, e ciò anche se i comportamenti costitutivi di tali presunte violazioni perdurano oltre tale data.
102. Nel caso di specie, l'articolo 58, paragrafo 5, del regolamento 2016/679 prevede norme che disciplinano il potere di un'autorità di controllo di intentare un'azione o di agire in sede giudiziale o, ove del caso, stragiudiziale in caso di violazione di tale regolamento per far rispettare le disposizioni dello stesso.
103. Ciò posto, occorre distinguere tra le azioni intentate da un'autorità di controllo di uno Stato membro per violazioni delle norme sulla protezione dei dati personali commesse da titolari del trattamento o dai responsabili prima della data in cui il regolamento 2016/679 è divenuto applicabile e quelle intentate per violazioni commesse dopo tale data.
104. Nella prima ipotesi, dal punto di vista del diritto dell'Unione, un'azione giudiziaria, come quella di cui trattasi nel procedimento principale, può essere mantenuta sulla base delle disposizioni della direttiva 95/46, la quale rimane applicabile per quanto riguarda le violazioni commesse fino alla data della sua abrogazione, ossia il 25 maggio 2018. Nella seconda ipotesi, un'azione siffatta può essere intentata, in forza dell'articolo 58, paragrafo 5, del regolamento 2016/679, unicamente a condizione che, come è stato sottolineato nell'ambito della risposta alla prima questione posta, tale azione rientri in una situazione in cui, a titolo di eccezione, tale regolamento conferisce a un'autorità di controllo di uno Stato membro, che non sia l'«autorità di controllo capofila», una competenza ad adottare una decisione che accerti che il trattamento di dati di cui trattasi viola le norme contenute in detto regolamento per quanto riguarda la tutela dei diritti delle persone fisiche con riguardo al trattamento dei dati personali e nel rispetto delle procedure previste dal medesimo regolamento.
105. Alla luce di tutte le considerazioni che precedono, occorre rispondere alla quarta questione posta dichiarando che l'articolo 58, paragrafo 5, del regolamento 2016/679 deve essere interpretato nel senso che, qualora un'autorità di controllo di uno Stato membro, che non sia l'«autorità di controllo capofila» ai sensi dell'articolo 56, paragrafo 1, di tale regolamento, abbia intentato un'azione giudiziaria riguardante un trattamento transfrontaliero di dati personali prima del 25 maggio 2018, ossia prima della data in cui detto regolamento è divenuto applicabile, detta azione può, dal punto di vista del diritto dell'Unione, essere mantenuta in base alle disposizioni della direttiva 95/46, la quale rimane applicabile per quanto riguarda le violazioni delle norme in essa contenute commesse fino alla data di abrogazione di detta direttiva. Tale azione può, inoltre, essere intentata da detta autorità per violazioni commesse dopo tale data sulla base dell'articolo 58, paragrafo 5, del regolamento 2016/679, purché ciò avvenga in una delle situazioni in cui, a titolo di eccezione, tale regolamento conferisce a un'autorità di controllo di uno Stato membro, che non sia l'«autorità di controllo capofila», una competenza ad adottare una decisione che accerti che il trattamento di dati di cui trattasi viola le norme contenute in detto regolamento per quanto riguarda la tutela dei diritti delle persone fisiche con riguardo al trattamento di dati personali e nel rispetto delle procedure di cooperazione e di coerenza previste dal medesimo regolamento, circostanza che spetta al giudice del rinvio verificare.
Sulla quinta questione
106. Con la sua quinta questione, il giudice del rinvio chiede, in sostanza, in caso di risposta affermativa alla prima questione posta, se l'articolo 58, paragrafo 5, del regolamento 2016/679 debba essere interpretato nel senso che tale disposizione ha effetto diretto, cosicché un'autorità nazionale di controllo può invocare detta disposizione per intentare o proseguire un'azione nei confronti di privati, anche se la medesima disposizione non sia stata specificamente attuata nella legislazione dello Stato membro interessato.
107. A norma dell'articolo 58, paragrafo 5, del regolamento 2016/679 ogni Stato membro dispone per legge che la sua autorità di controllo abbia il potere di intentare un'azione o di agire in sede giudiziale o, ove del caso, stragiudiziale in caso di violazione di tale regolamento per far rispettare le disposizioni dello stesso.
108. In via preliminare, occorre rilevare che, come sostiene il governo belga, l'articolo 58, paragrafo 5, del regolamento 2016/679 è stato attuato nell'ordinamento giuridico belga dall'articolo 6 della legge del 3 dicembre 2017. Infatti, ai sensi di tale articolo 6, che presenta una formulazione sostanzialmente identica a quella dell'articolo 58, paragrafo 5, del regolamento 2016/679, l'APD ha il potere di intentare un'azione dinanzi alle autorità giudiziarie, in caso di violazioni dei principi fondamentali della protezione dei dati personali, nel quadro della suddetta legge e delle leggi recanti disposizioni sulla protezione del trattamento dei dati personali e, se del caso, ad agire in sede giudiziale per far rispettare detti principi fondamentali. Di conseguenza, si deve ritenere che l'APD possa fondarsi su una disposizione del diritto nazionale, come l'articolo 6 della legge del 3 dicembre 2017, che attua l'articolo 58, paragrafo 5, del regolamento 2016/679 nel diritto belga, per agire in sede giudiziale al fine di far rispettare tale regolamento.
109. Inoltre, e a fini di completezza, occorre rilevare che, ai sensi dell'articolo 288, secondo comma, TFUE, un regolamento è obbligatorio in tutti i suoi elementi ed è direttamente applicabile in ciascuno degli Stati membri, cosicché le sue disposizioni non necessitano, in linea di principio, di alcuna misura di applicazione degli Stati membri.
110. In proposito, si deve ricordare che, secondo consolidata giurisprudenza della Corte, in forza dell'articolo 288 TFUE e per la natura stessa dei regolamenti e della loro funzione nel sistema delle fonti del diritto dell'Unione, le disposizioni dei regolamenti producono, in via generale, effetti immediati negli ordinamenti giuridici nazionali, senza che le autorità nazionali debbano adottare misure di applicazione. Tuttavia, talune di tali disposizioni possono richiedere, per la loro attuazione, l'adozione di misure di applicazione da parte degli Stati membri (sentenza del 15 marzo 2017, Al Chodor, C-528/15, EU:C:2017:213, punto 27 e giurisprudenza ivi citata).
111. Orbene, come rilevato, in sostanza, dall'avvocato generale al paragrafo 167 delle sue conclusioni, l'articolo 58, paragrafo 5, del regolamento 2016/679 prevede una norma specifica e direttamente applicabile in forza della quale le autorità di controllo devono avere la legittimazione ad agire dinanzi ai giudici nazionali e la capacità di stare in giudizio in forza del diritto nazionale.
112. Dall'articolo 58, paragrafo 5, del regolamento 2016/679 non risulta che gli Stati membri debbano stabilire con un'esplicita disposizione quali siano le circostanze in cui le autorità di controllo nazionali possono agire in sede giudiziale ai sensi della disposizione in esame. È sufficiente che l'autorità di controllo abbia la possibilità, conformemente alla normativa nazionale, di intentare un'azione dinanzi alle autorità giudiziarie e, se del caso, di agire in sede giudiziale o di avviare, in altro modo, un procedimento diretto a far rispettare le disposizioni di detto regolamento.
113. Alla luce di tutte le considerazioni che precedono, occorre rispondere alla quinta questione posta dichiarando che l'articolo 58, paragrafo 5, del regolamento 2016/679 deve essere interpretato nel senso che tale disposizione ha effetto diretto, cosicché un'autorità di controllo nazionale può invocarla per intentare o proseguire un'azione nei confronti di privati, anche qualora detta disposizione non sia stata specificamente attuata nella normativa dello Stato membro interessato.
Sulla sesta questione
114. Con la sesta questione, il giudice del rinvio chiede, in sostanza, in caso di risposta affermativa alle questioni dalla prima alla quinta, se l'esito di un procedimento giudiziario, avviato da un'autorità di controllo di uno Stato membro, vertente su un trattamento transfrontaliero di dati personali possa ostare a che l'autorità di controllo capofila adotti una decisione in cui giunge ad un accertamento in senso contrario, nel caso in cui essa indaghi sulle stesse attività di trattamento transfrontaliero o su attività analoghe, conformemente al meccanismo previsto agli articoli 56 e 60 del regolamento 2016/679.
115. A tal riguardo, occorre ricordare che, secondo una giurisprudenza costante, le questioni relative al diritto dell'Unione godono di una presunzione di rilevanza. Il rifiuto della Corte di statuire su una questione pregiudiziale posta da un giudice nazionale è possibile solo quando appaia in modo manifesto che l'interpretazione del diritto dell'Unione richiesta non ha alcuna relazione con la realtà effettiva o con l'oggetto della controversia nel procedimento principale, qualora il problema sia di natura ipotetica o anche laddove la Corte non disponga degli elementi di fatto o di diritto necessari per fornire una risposta utile alle questioni che le vengono sottoposte (sentenze del 16 giugno 2015, Gauweiler e a., C-62/14, EU:C:2015:400, punto 25, e del 7 febbraio 2018, American Express, C-304/16, EU:C:2018:66, punto 32).
116. Inoltre, conformemente a una giurisprudenza parimenti costante, la ratio del rinvio pregiudiziale non consiste nell'esprimere pareri a carattere consultivo su questioni generali o ipotetiche, bensì nella necessità di dirimere concretamente una controversia (sentenza del 10 dicembre 2018, Wightman e a., C-621/18, EU:C:2018:999, punto 28 e giurisprudenza ivi citata).
117. Nel caso di specie, occorre sottolineare che, come osservato dal governo belga, la sesta questione posta si basa su circostanze le quali non è stato affatto dimostrato siano presenti nell'ambito del procedimento principale, vale a dire che, per il trattamento transfrontaliero oggetto di tale controversia, vi sia un'autorità di controllo capofila che non solo indaghi sulle stesse attività di trattamento transfrontaliero di dati personali che sono oggetto del procedimento giudiziario avviato dall'autorità di controllo dello Stato membro interessato, o su attività analoghe, ma intenda altresì adottare una decisione che giunga ad un accertamento in senso contrario.
118. Ciò premesso, occorre rilevare che la sesta questione posta non ha alcuna relazione con la realtà effettiva o con l'oggetto della causa principale e riguarda un problema ipotetico. Di conseguenza, tale questione deve essere dichiarata irricevibile.
Sulle spese
119. Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.
P.Q.M.
la Corte (Grande Sezione) dichiara:
1) L'articolo 55, paragrafo 1, e gli articoli da 56 a 58 nonché da 60 a 66 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), in combinato disposto con gli articoli 7, 8 e 47 della Carta dei diritti fondamentali dell'Unione europea, devono essere interpretati nel senso che un'autorità di controllo di uno Stato membro, la quale, in forza della normativa nazionale adottata in esecuzione dell'articolo 58, paragrafo 5, di tale regolamento, abbia il potere di intentare un'azione dinanzi ad un giudice di tale Stato membro e, se del caso, di agire in sede giudiziale in caso di presunta violazione di detto regolamento, può esercitare tale potere con riguardo al trattamento transfrontaliero di dati, pur non essendo l'«autorità di controllo capofila» ai sensi dell'articolo 56, paragrafo 1, dello stesso regolamento con riguardo a siffatto trattamento di dati, purché ciò avvenga in una delle situazioni in cui il regolamento 2016/679 conferisce a tale autorità di controllo la competenza ad adottare una decisione che accerti che il trattamento in questione viola le norme in esso contenute, nonché nel rispetto delle procedure di cooperazione e di coerenza previste da tale regolamento.
2) L'articolo 58, paragrafo 5, del regolamento 2016/679 deve essere interpretato nel senso che, in caso di trattamento transfrontaliero di dati, l'esercizio del potere di un'autorità di controllo di uno Stato membro, diversa dall'autorità di controllo capofila, di intentare un'azione giudiziaria, ai sensi di tale disposizione, non esige che il titolare del trattamento o il responsabile per il trattamento transfrontaliero di dati personali, nei cui confronti tale azione viene intentata, disponga di uno stabilimento principale o di un altro stabilimento nel territorio di detto Stato membro.
3) L'articolo 58, paragrafo 5, del regolamento 2016/679 deve essere interpretato nel senso che il potere di un'autorità di controllo di uno Stato membro, diversa dall'autorità di controllo capofila, di intentare un'azione dinanzi ad un giudice di tale Stato membro e, se del caso, di agire in sede giudiziale, ai sensi di tale disposizione, in caso di presunta violazione di detto regolamento può essere esercitato tanto nei confronti dello stabilimento principale del titolare del trattamento che si trovi nello Stato membro di appartenenza di tale autorità quanto nei confronti di un altro stabilimento di tale titolare, purché l'azione giudiziaria riguardi un trattamento di dati effettuato nell'ambito delle attività di detto stabilimento e l'autorità di cui trattasi sia competente ad esercitare siffatto potere, conformemente a quanto esposto in risposta alla prima questione pregiudiziale posta.
4) L'articolo 58, paragrafo 5, del regolamento 2016/679 deve essere interpretato nel senso che, qualora un'autorità di controllo di uno Stato membro, che non sia l'«autorità di controllo capofila» ai sensi dell'articolo 56, paragrafo 1, di tale regolamento, abbia intentato un'azione giudiziaria riguardante un trattamento transfrontaliero di dati personali prima del 25 maggio 2018, ossia prima della data in cui detto regolamento è divenuto applicabile, detta azione può, dal punto di vista del diritto dell'Unione, essere mantenuta in base alle disposizioni della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, la quale rimane applicabile per quanto riguarda le violazioni delle norme in essa contenute commesse fino alla data di abrogazione di detta direttiva. Tale azione può, inoltre, essere intentata da detta autorità per violazioni commesse dopo tale data sulla base dell'articolo 58, paragrafo 5, del regolamento 2016/679, purché ciò avvenga in una delle situazioni in cui, a titolo di eccezione, tale regolamento conferisce a un'autorità di controllo di uno Stato membro, che non sia l'«autorità di controllo capofila», una competenza ad adottare una decisione che accerti che il trattamento di dati di cui trattasi viola le norme contenute in detto regolamento per quanto riguarda la tutela dei diritti delle persone fisiche con riguardo al trattamento di dati personali e nel rispetto delle procedure di cooperazione e di coerenza previste dal medesimo regolamento, circostanza che spetta al giudice del rinvio verificare.
5) L'articolo 58, paragrafo 5, del regolamento 2016/679 deve essere interpretato nel senso che tale disposizione ha effetto diretto, cosicché un'autorità di controllo nazionale può invocarla per intentare o proseguire un'azione nei confronti di privati, anche qualora detta disposizione non sia stata specificamente attuata nella normativa dello Stato membro interessato.
