Il coordinamento tra GDPR e i nuovi regolamenti sui dati in materia di doppia incriminazione

di Francesco Sibilla e Giovanni Di Stefano

L’Unione europea, è ormai noto, sta adottando una serie di regolamenti che rivoluzioneranno le modalità di raccolta e condivisione dei dati all’interno dell’Unione. Si tratta del Data Governance Act (DGA), del Digital Services Act (DSA), del Digital Markets Act (DMA), dell’Artificial Intelligence Act (AIA) e del Data Act. Questi provvedimenti avranno il compito di regolamentare il trattamento dei dati non personali all’interno del Mercato Unico, dichiarando allo stesso tempo l’intento di non diminuire il livello di protezione dei dati personali – comunque non esclusi dal loro campo di applicazione – offerto dal GDPR.

La Commissione sostiene che non dovrebbero esserci discrepanze tra il GDPR e questi nuovi atti, poiché i secondi non fanno altro che integrare il primo, le cui disposizioni sono comunque destinate a prevalere in caso di antinomie. Integrazione, però, vuol dire che le disposizioni di questi nuovi atti normativi andranno ad innestarsi su determinati principi già contenuti nel GDPR e, quindi, che un’azione o un’omissione potranno costituire sia una violazione del GDPR che di alcuni di questi regolamenti. Come potrebbe avvenire, ad esempio, con le grandi piattaforme online che operano come gatekeeper combinando e utilizzando in modo incrociato dati, questa attività potrebbe portare ad una violazione sia del DMA che del GDPR. Un altro esempio riguarda la proposta di Regolamento sui Servizi Digitali (DSA), dove una violazione del divieto di inviare pubblicità mirata ai minori o del divieto di trattare categorie speciali di dati a fini pubblicitari potrebbe costituire anche una violazione del GDPR.

Il pericolo di doppia incriminazione, in particolare, discende dal fatto che ognuno di questi atti, così come il GDPR, è dotato del proprio assetto regolamentare per quanto riguarda la sua applicazione e le autorità competenti a vigilarvi sopra; non è scontato che i diversi assetti regolamentari coincidano in quanto, eccezion fatta per il DMA, sulla cui attuazione vigila la Commissione stessa, gli altri atti normativi de quibus prevedono che siano gli Stati membri ad individuare, di volta in volta, le autorità competenti per la vigilanza ed il controllo. Posta l’assoluta improbabilità che in tutti gli Stati vengano individuati gli attuali Garanti per la protezione dei dati personali come autorità competenti, diventa del tutto plausibile che un’impresa possa essere sottoposta ad un duplice procedimento – e ad una duplice sanzione – per il medesimo fatto lesivo.

Ciò crea una situazione interessante. I doppi procedimenti, infatti, non sono un fenomeno nuovo. In passato ci sono state numerose occasioni in cui individui o società hanno dovuto affrontare un doppio giudizio sui medesimi fatti. In molti di questi casi, l’individuo o la società hanno invocato il principio del “ne bis in idem” per sottrarvisi. È infatti principio di civiltà giuridica che un individuo abbia il diritto a non essere giudicato (o punito) due volte per lo stesso fatto. Questo principio, oltre ad essere presente nella maggioranza delle costituzioni nazionali delle società democratiche, è sancito anche dalla Convenzione Europea dei Diritti Umani (CEDU, art. 4, prot. 7), nonché dalla Carta dei Diritti Fondamentali dell’Unione Europea (art. 50).

Se, tuttavia, l’idem non è in discussione, ovvero che si tratti degli stessi fatti, altrettanto non è per quanto riguarda il bis, che si stia, cioè, procedendo due volte, in quanto i procedimenti potrebbero correre in parallelo e, di conseguenza, non dar luogo ad un giudicato in tempo utile per poterlo opporre nel corso dell’altro. Di più, i soggetti che intendono ricorre al “ne bis in idem” dovrebbero prima superare il potenziale ostacolo rappresentato dall’art. 52 della Carta di Nizza, che autorizza delle compressioni dei diritti riconosciuti dalla Carta purché proporzionate, necessarie e finalizzate al perseguimento di obiettivi di interesse generale riconosciuti dall’Unione europea. È già successo che delle corti europee negassero il riconoscimento del “ne bis in idem” in quanto, ai loro occhi, le differenti legislazioni in base alle quali si procedeva perseguivano fini distinti, legittimi e complementari tra loro. Potrebbe accadere, ad esempio, di essere sottoposti a giudizio per un insieme di fatti che violano sia il GDPR che il DMA, dove potrebbe essere negarsi una violazione del “ne bis in idem” poiché il GDPR mira a proteggere i dati personali, mentre il DMA mira a prevenire la distorsione della concorrenza.

Una recente causa della Corte di giustizia dell’Unione europea che oppone l’Autorità Postale Belga all’Autorità Belga per la Concorrenza (causa C-117/20) offre una buona panoramica del ragionamento seguito dalla più alta corte europea in questa complessa area del diritto. Essa afferma, infatti, che il combinato disposto tra gli articoli 50 e 52 della Carta deve essere interpretato nel senso che “non osta a che una persona giuridica sia sanzionata con un’ammenda per aver commesso un’infrazione al diritto della concorrenza dell’Unione, quando, per gli stessi fatti, tale persona sia già stata oggetto di una decisione definitiva all’esito di un procedimento relativo a un’infrazione a una normativa settoriale avente ad oggetto la liberalizzazione del mercato interessato, a condizione che esistano norme chiare e precise che consentano di prevedere quali atti e quali omissioni possano costituire l’oggetto di un cumulo di procedimenti e di sanzioni”.

L’ultima parola sul principio del “ne bis in idem” non è ancora stata detta. Si spera che, una volta che questi Regolamenti saranno stati applicati e saranno iniziati ad emergere i doppi procedimenti, le autorità coinvolte lavoreranno insieme onde trovare un terreno comune ed evitare, come andrebbero evitati, i doppi procedimenti.