La Corte di giustizia dell’Unione europea ha rimesso in movimento una delle vicende più rilevanti degli ultimi anni in materia di protezione dei dati, chiarendo che la decisione con cui l’European Data Protection Board ha inciso sulla multa da 225 milioni inflitta a WhatsApp può essere portata direttamente davanti ai giudici europei.
Il procedimento nasce dall’indagine avviata dall’autorità irlandese nel 2018, dopo segnalazioni relative alla trasparenza delle informazioni fornite a utenti e non utenti del servizio di messaggistica. Come previsto dal sistema di cooperazione tra autorità nazionali, la bozza di decisione è stata condivisa con gli altri garanti europei, ma il confronto non ha prodotto un accordo su alcuni passaggi chiave.
Quando il dissenso tra autorità è rimasto aperto, la questione è passata al livello europeo. Il Comitato ha adottato una decisione vincolante che ha imposto all’autorità irlandese di rivedere le misure correttive e l’impostazione sanzionatoria, passaggio che ha portato alla sanzione complessiva da 225 milioni di euro. Su questa base è arrivata la decisione finale indirizzata a WhatsApp.
Quando una decisione europea produce effetti diretti
La controversia davanti ai giudici europei si è concentrata sulla natura di questo atto. In una prima fase il Tribunale aveva ritenuto che la decisione del Comitato fosse un passaggio interno, privo di effetti diretti sull’azienda, e che solo il provvedimento dell’autorità nazionale potesse essere contestato. La Corte di giustizia ha adottato una lettura diversa, riconoscendo che la decisione europea vincola le autorità coinvolte e modifica in modo concreto la posizione giuridica dell’impresa interessata.
Secondo i giudici, l’atto del Comitato esaurisce il suo contenuto decisionale e non lascia margini di discrezionalità sulle conclusioni raggiunte, in particolare sull’accertamento delle violazioni e sulle indicazioni che incidono sull’importo della sanzione. Per questo rientra tra gli atti impugnabili davanti alle corti dell’Unione.
Cosa cambia per imprese e procedimenti transfrontalieri
La causa torna ora al Tribunale, che dovrà esaminare il merito delle contestazioni. La pronuncia però va oltre il singolo caso. Chiarisce che, nelle grandi istruttorie privacy che coinvolgono più Paesi, il centro decisionale europeo assume un peso autonomo e verificabile in sede giudiziaria.
Per le imprese digitali che operano su scala europea questo significa fare i conti con un livello di enforcement che non si esaurisce nel rapporto con l’autorità nazionale capofila. Le decisioni adottate a Bruxelles entrano direttamente nel perimetro del rischio legale, incidono sui tempi del contenzioso e sulle strategie difensive, e rendono più evidente il ruolo del diritto europeo nella gestione delle sanzioni.
Il caso WhatsApp mostra come la governance della protezione dei dati si stia spostando sempre più verso un assetto in cui le scelte prese a livello centrale producono effetti immediati sulle aziende. Il controllo giurisdizionale di questi atti diventa quindi parte integrante dell’equilibrio tra poteri, in un sistema che continua a evolversi insieme al mercato digitale.
