Procedure di e-discovery e tutela dei dati personali: una questione di metodo

29 Marzo 2021 - da admin

di Sara Gobbato

Il presente contributo è stato redatto per MediaLaws, Rivista di Diritto dei Media ed è disponibile in forma integrale al seguente link http://www.medialaws.eu/procedure-di-e-discovery-e-tutela-dei-dati-personali-una-questione-di-metodo/

Presidente del Tribunale dell’Unione europea, ordinanza 29 ottobre 2020, Facebook Ireland Ltd. c. Commissione europea, T-451/20 R, ECLI:EU:T:2020:515[1]

Sommario: 1. L’ordinanza del Presidente del Tribunale; 2. Il quadro normativo UE; 3. Metodologie di e-discovery e predictive coding: uno sguardo all’esperienza USA e UK.

 

  1. L’ordinanza del Presidente del Tribunale

Nell’economia digitale le imprese devono gestire non solo grandi quantità di dati ma anche altrettanto ampie moli di documenti, che possono formare oggetto di richieste di informazioni da parte delle pubbliche autorità. In materia antitrust, il Regolamento (CE) 1/2003[2] attribuisce alla Commissione europea poteri di indagine che comprendono, oltre alle ispezioni, anche le richieste di informazioni rilevanti per l’accertamento di violazioni degli artt. 101 e 102 TFUE da parte delle imprese.

Codificati all’epoca dell’analogico, oggi tali poteri di indagine vengono esercitati nel nuovo contesto digitale dominato dalle Electronically Stored Information (ESI), con l’insorgere di due difficoltà speculari: la Commissione deve individuare criteri di ricerca delle informazioni rilevanti che assicurino la necessità e proporzionalità della richiesta rispetto alle obiettive finalità dell’indagine; le imprese, tenute ad adempiere alle richieste a pena di sanzioni, devono definire procedure interne che limitino i documenti prodotti in risposta all’autorità, evitando la diffusione sia di dati coperti da riservatezza sia di informazioni comunque eccessive rispetto all’oggetto dell’indagine.

Il bilanciamento fra i contrapposti interessi di Commissione e imprese è l’oggetto delle valutazioni espresse dall’ordinanza presidenziale del Tribunale dell’Unione europea del 29 ottobre 2020 in commento. Nel caso di specie, nell’ambito di un procedimento antitrust la Commissione europea aveva ordinato a Facebook – ai sensi dell’art. 18(3) del Regolamento (CE) 1/2003[3] – di fornire documenti interni da selezionarsi sulla base di alcuni criteri di ordine temporale e parole chiave di significato piuttosto ampio[4], a pena di una sanzione amministrativa pari a €8 milioni al giorno in caso di inottemperanza.

Rispetto alla richiesta di informazioni così formulata, Facebook aveva individuato ben 729.417 documenti. Di questi, 645.459 erano stati forniti alla Commissione. Per i rimanenti 83.958 documenti, tuttavia, l’impresa aveva deciso di richiedere in via cautelare la sospensione della decisione della Commissione nella parte cui essa riguardava documenti ritenuti irrilevanti e non necessari rispetto all’indagine antitrust, contenenti da un lato informazioni riservate sull’attività d’impresa e dall’altro dati personali relativi in particolare alle condizioni di salute dei dipendenti, inclusi nella corrispondenza con i medici curanti nonché nei referti acquisiti dalla società nell’ambito dell’attività di gestione delle risorse umane[5].

Sotto il profilo del fumus boni juris quanto alla conformità della richiesta di informazioni rispetto all’art. 18(3) del Regolamento (CE) 1/2003nella propria ordinanza il Presidente del Tribunale riconosce innanzitutto che, in applicazione delle parole chiave individuate nella richiesta di informazioni, Facebook è tenuta ad interrogare i propri server fornendo una grande mole di documenti, dei quali sarà la Commissione a poter stabilire la rilevanza solo in una fase successiva del procedimento. La richiesta di informazioni non prevede né misure idonee a limitare la produzione di documenti irrilevanti, né garanzie a tutela delle persone interessate dalla diffusione dei relativi dati, potendo dunque determinare prima facie una violazione dell’art. 18(3) del Regolamento (CE) 1/2003 nella misura in cui comporti l’acquisizione di informazioni non necessarie ai fini dello specifico procedimento antitrust[6].

Quanto all’incidenza della richiesta di informazioni sui diritti fondamentali delle persone interessate, il Presidente nota che, così come le ispezioni, anche le richieste di informazioni determinano un’interferenza nel diritto al rispetto della vita privata e delle comunicazioni tutelato dagli artt. 7 e 52(1) della Carta dei diritti fondamentali dell’UE, e dell’art. 8(2) della Convenzione Europea per i Diritti dell’Uomo[7]. L’interferenza non si traduce in una violazione dei suddetti diritti fondamentali qualora essa possa essere considerata effettivamente giustificata ai sensi di un’adeguata base giuridica. Nella fattispecie, tale base giuridica non può essere individuata nell’art. 18(3) del Regolamento CE 1/2003 in quanto, come osservato in precedenza, la richiesta di informazioni può comportare l’acquisizione di informazioni non necessarie ai fini del procedimento[8].

La possibilità che la richiesta di informazioni comporti l’acquisizione di informazioni irrilevanti deve essere valutata con particolare attenzione con riferimento ai dati personali di natura medica, configuranti informazioni di carattere “sensibile”[9] secondo quanto previsto dal Regolamento (UE) 2019/679 (GDPR)[10] e dal Regolamento (UE) 2018/1725 relativo al trattamento dei dati personali da parte delle istituzioni UE[11]. Se risulta inevitabile che le indagini antitrust possano includere dati personali[12]il trattamento di questi ultimi deve sempre avvenire nel rispetto dei principi di necessità e proporzionalità in rapporto ai poteri conferiti alla Commissione europea. Tali principi non risultano prima facie rispettati nel caso di specie, nel quale la richiesta di informazioni ai sensi dell’art. 18(3) del Regolamento (CE) 1/2003 è stata formulata senza prevedere (i) né un metodo di verifica della rilevanza dei documenti selezionati mediante parole chiave, (ii) né misure atte a tutelare i dati personali dei soggetti interessati. Sul punto, conclude il Presidente che «the fact that the Commission uses, for the purposes of its investigations, search methods which inevitably require the processing of personal data does not mean that it is not required to take account of the sensitivity of some of that data»[13].

Sotto il profilo del periculum in mora, il Presidente osserva che la circostanza che la Commissione sia tenuta – nell’ambito del procedimento antitrust – a stabilire la rilevanza dei documenti contenenti dati personali non comporta di per sé l’insorgere di un danno grave ed irreparabile per le persone interessate[14], considerato che le informazioni in questione non verranno rese pubbliche ed i funzionari sono vincolati da stringenti obblighi di riservatezza[15].

Tale assunto generale circa l’inconfigurabilità di un danno rilevante ai fini della sospensione della decisione non vale, tuttavia, per la particolare categoria di dati personali “sensibili” di natura medica: per tale categoria di dati il solo fatto di allargare la cerchia dei soggetti che ne sono a conoscenza è idoneo a causare un danno grave ed irreparabile per le persone interessate, che non potrebbero al riguardo trarre beneficio dall’eventuale successivo annullamento della decisione finale adottata dalla Commissione ai sensi del Regolamento (CE) 1/2003[16].

Per evitare dunque che tale danno si concretizzi, il Presidente dispone in conclusione la sospensione della decisione controversa fintanto che venga attuata una procedura ad hoc così articolata[17]:

  • l’impresa deve selezionare e trasmettere su supporto elettronico separato i documenti contenenti i dati personali sensibili;
  • tali documenti devono essere quindi inclusi in una virtual data room accessibile ad un numero ristretto di funzionari della Commissione e ad un uguale numero di avvocati della stessa impresa;
  • i funzionari devono esaminare e selezionare i documenti in questione ritenuti rilevanti, dando la possibilità agli avvocati dell’impresa di esprimere osservazioni prima dell’inserimento di ciascun documento nel fascicolo del procedimento;
  • in caso di disaccordo, il documento non potrà essere inserito nel fascicolo e gli avvocati dell’impresa dovranno esprimere le loro osservazioni al riguardo. In caso di persistente disaccordo, l’impresa potrà chiedere l’intervento del Direttore dell’Informazione, Comunicazione e Media presso la Direzione Generale Concorrenza, il quale dovrà dirimere la controversia.

[CONTINUA A LEGGERE SU MediaLaws]

[1] Tutti i siti web citati nella presente nota sono stati visitati da ultimo il 16 febbraio 2021.

[2] Regolamento (CE) n. 1/2003 del Consiglio, del 16 dicembre 2002, concernente l’applicazione delle regole di concorrenza di cui agli articoli 81 e 82 del trattato, in GU L 1 del 4.1.2003, pagg. 1–25. L’art. 18, par. 3 stabilisce in particolare che: «Quando richiede alle imprese o associazioni di imprese di comunicare informazioni mediante decisione, la Commissione indica le basi giuridiche e lo scopo della domanda, precisa le informazioni richieste e stabilisce un termine entro il quale esse devono essere fornite. Indica altresì le sanzioni previste dall’articolo 23 e indica o commina le sanzioni di cui all’articolo 24. Fa menzione inoltre del diritto di presentare ricorso dinanzi alla Corte di giustizia delle Comunità europee avverso la decisione».

[3] Decisione C(2020) 3011 final del 4 maggio 2020 (caso AT.40628 – Facebook Data-related practices).

[4] Le parole consistevano in espressioni come «big question», «for free», «shut down» and «not good for us». Vd. punto 39 dell’ordinanza in commento.

[5] Vd. ordinanza, punto 28.

[6] Ibid., punti 47-53. Nel caso Nexans France SAS, la Corte di giustizia dell’Unione europea ha ritenuto che, nell’ambito di indagini antitrust, la Commissione possa copiare dati senza un loro esame preliminare a condizione che successivamente sia verificato, «nel rigoroso rispetto dei diritti della difesa dell’impresa interessata, che tali dati siano pertinenti per l’oggetto degli accertamenti, prima di inserire nel fascicolo i documenti ritenuti pertinenti al riguardo e di cancellare gli altri dati copiati». (vd. CGUE, C-606/18 P, Nexans France SAS (2020), punto 64. Nel caso Prysmian SpA, in relazione ai poteri di ispezione ai sensi dell’art. 20 del Regolamento (CE) 1/2003, la Corte di giustizia ha confermato che il diritto della Commissione di procedere alla realizzazione di copie dei documenti acquisiti in sede di ispezione «non pregiudica né le garanzie procedurali previste dal regolamento n. 1/2003 né gli altri diritti dell’impresa che è oggetto di ispezione, a condizione che la Commissione, dopo aver completato il suo esame, inserisca nel fascicolo soltanto documenti che sono pertinenti tenuto conto dell’oggetto dell’ispezione» (vd. CGUE, C‑601/18 P, Prysmian SpA (2020), punto 59).

[7] Vd. ordinanza, punto 57. Nel caso Xi c. Commissione, il Tribunale ha riconosciuto che il trattamento dei dati medici richiede un esame particolarmente rigoroso in considerazione della loro natura estremamente intima e sensibile. La riservatezza delle informazioni sanitarie configura l’oggetto di uno dei diritti fondamentali protetti dall’ordinamento giuridico dell’Unione (vd. CGUE, T‑528/18, Xi c. Commissione (2019), punto 67).

[8] Vd. ordinanza, punto 61.

[9] Ibid., punti 63-65.

[10] Vd. in particolare l’art. 9 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) in GUUE L 119 del 4.5.2016, pagg. 1–88.

[11] Vd. in particolare l’art. 10 del Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE in GUUE L 295 del 21.11.2018, pagg. 39–98. In attuazione del Regolamento (UE) 2018/1725, con la decisione (EU) 2018/1927 (in GUUE L 313 del 10.12.2018, pagg. 39–44) la Commissione europea ha stabilito norme interne relative al trattamento dei dati personali da parte della Commissione europea nel settore della concorrenza in relazione alla comunicazione di informazioni agli interessati e alla limitazione di determinati diritti.

[12] European Data Protection Supervisor (EDPS), lettera del 22 ottobre 2018 (WW/OL/sn/D (2018) 2422 C 2018-0632) ove si rileva che, sebbene «Commission investigations and enforcement activities in the competition field target undertakings or Member States which are subject to the competition rules of the Treaty, and not natural persons as such, […] during competition investigations inevitably also personal data are being processed».

[13] Vd. ordinanza, punto 67.

[14] Ibid., punto 84.

[15] Ibid., punti 77-81.

[16] Ibid., punti 86-87. Nel caso Commissione c. Akzo, la Corte ha stabilito che qualora una decisione recante una richiesta di informazioni sia dichiarata nulla nel merito, la Commissione europea è tenuta a rimuovere dal fascicolo del procedimento i documenti acquisiti illegittimamente e a non utilizzarli quali prove nell’ambito del procedimento (vd. CGUE, C 7/04 P(R), Commissione c. Akzo (2004), punti 37-39). L’estromissione dei documenti dal fascicolo non è in grado di sanare l’eventuale diffusione dei dati personali sensibili per i quali, secondo il Presidente del Tribunale, il pregiudizio si concretizza con l’ampliamento dei soggetti a conoscenza di tali informazioni.

[17] Vd. ordinanza, punti 119-121.