8. Nuovo Regolamento Europeo: La gestione dei dati personali in movimento tra paesi europei. Chi e come?

05/12/2017

8. Nuovo Regolamento Europeo: La gestione dei dati personali in movimento tra paesi europei. Chi e come?

L’ottavo approfondimento sul Nuovo Regolamento Europeo: l’autorità di controllo “capofila” o one-stop-shop

Siamo all’ottavo appuntamento con la rubrica di approfondimento riguardante il nuovo Regolamento europeo in materia di protezione dei dati personali (il GDPR) e alle Linee Guida del Garante della Privacy, volta a fornire agli operatori del settore alcuni chiarimenti in merito alle principali novità del Regolamento.

In questa occasione si tratterà il tema dell’individuazione dell’autorità di controllo (ossia dell’autorità garante per la protezione dei dati personali di ciascuno stato membro) con la quale i titolari (o i responsabili) del trattamento devono interfacciarsi nel momento in cui realizzino un trattamento di tipo “transfrontaliero”. A tale autorità, definita appunto “capofila” o, per gli amanti degli inglesismi, “one-stop-shop”, spetterà in prima battuta la supervisione di suddetto trattamento e il coordinamento delle attività di accertamento (anche tramite il coinvolgimento di altre autorità).

Il trattamento transfrontaliero

Si parla di “trattamento transfrontaliero” in due specifici casi individuati dal GDPR: i) un trattamento che abbia luogo nell’ambito delle attività di diversi stabilimenti, situati in più di uno stato membro, di un titolare (o responsabile) stabilito in più di uno stato membro oppure ii) un trattamento che, benché svolto nell’ambito delle attività di un unico stabilimento di un titolare (o responsabile) del trattamento, incida o abbia probabilità di incidere in modo sostanziale su interessati che si trovino in più di uno stato membro.

Affinché si possa considerare realizzata la condizione “incidere in maniera sostanziale” il Gruppo di Lavoro Articolo 29 (che riunisce i rappresentanti di tutte le autorità di controllo dei vari stati europei) ritiene[1] che debba operarsi una valutazione caso per caso, in rapporto alle specifiche circostanze, tenendo conto del contesto in cui si svolge il trattamento, delle categorie di dati trattati e delle finalità di trattamento.

Il Gruppo di Lavoro ha fornito alcuni esempi a tal proposito, fra cui si annoverano, tra quelli di maggiore interesse per la industry, i trattamenti che producono concretamente - o è probabile che producano concretamente - una limitazione dei diritti o un’esclusione da benefici e opportunità, trattamenti che espongano la persona a forme di disparità di trattamento oppure che comportino il trattamento di un’ampia gamma di dati personali.

L’autorità capofila

Di conseguenza sarà un’unica autorità, situata nello stato membro dell’unico stabilimento del titolare, quella che dovrà gestire e supervisionare il trattamento, nel momento in cui questo incida in maniera sostanziale, nei termini suindicati, su interessati che si trovino in altri, e differenti, stati membri.

Nel caso, invece, di attività che si svolgano tramite più di uno stabilimento, una volta determinato che si stia realizzando un trattamento transfrontaliero ai sensi di quanto detto nel precedente paragrafo, l’autorità che il titolare (o il responsabile) deve individuare – tale individuazione spetta infatti ai soggetti stessi, ferma restando la possibilità per l’autorità individuata di sollevare successivamente obiezioni rispetto a tale determinazione - è quella del paese in cui si trovi lo “stabilimento principale” del titolare (o responsabile).

Il GDPR definisce “stabilimento principale” del titolare il luogo dell’amministrazione centrale oppure, laddove differente da quest’ultimo, lo stabilimento in cui tutte le decisioni sulla finalità e sui mezzi del trattamento siano effettuate, a patto che in tale secondo caso suddetto stabilimento abbia effettivamente la facoltà di ordinare l’esecuzione di tali decisioni.

Per quanto riguarda il responsabile del trattamento, si ritiene “stabilimento principale” o quello in cui ha luogo l’amministrazione centrale oppure - potendo il responsabile avere la sua amministrazione centrale fuori dall’Unione Europea - il luogo in cui sono condotte le principali attività del trattamento, nella misura in cui tale responsabile è soggetto agli obblighi del GDPR.

Si potrebbe inoltre realizzare la situazione per cui, ad esempio nel caso di multinazionali, siano previsti centri decisionali distinti, in diversi paesi, per trattamenti differenti: in determinati casi, quindi, potrebbero esservi anche più autorità capofila da individuare (una per trattamento).

Quando, invece, si debba individuare l’autorità capofila laddove il trattamento coinvolga sia un titolare che un responsabile, l’autorità da individuarsi sarà quella competente per il titolare (mentre quella del responsabile sarà considerata soltanto come “autorità interessata”, definizione che sarà chiarita nel prossimo paragrafo).

In sostanza, è fondamentale comprendere che una corretta individuazione dello stabilimento principale è interesse del titolare (o del responsabile), in quanto elimina ogni ambiguità sull’autorità di controllo che fungerà da interlocutore per le varie incombenze previste dal Regolamento.

Benché sia onere del titolare (o del responsabile) individuare l’autorità capofila, il GDPR non consente il cd. “forum shopping”: come ben esemplificato dal Gruppo di Lavoro Articolo 29 “se una società afferma che il proprio stabilimento principale si trova in un determinato Stato membro, ma tale stabilimento non svolge alcun esercizio reale ed effettivo di attività gestionali o decisionali rispetto al trattamento di dati personali, le autorità di controllo pertinenti…decideranno quale sia l’autorità di controllo “capofila” sulla base di criteri oggettivi e dell’analisi degli elementi probatori disponibili. Per definire ove si trovi lo stabilimento principale potranno essere necessarie fattive attività di accertamento e collaborazione da parte delle autorità di controllo; la valutazione finale non può fondarsi esclusivamente sulle dichiarazioni rese dall’azienda o dal soggetto sotto esame.

Le autorità “interessate” e i meccanismi di cooperazione e coerenza

Il concetto di autorità di controllo “interessata” garantisce inoltre che l’individuazione di una autorità capofila non impedisca ad altre autorità di esprimere il proprio punto di vista sull’approccio ad una specifica problematica.

Quando si verifica un trattamento transfrontaliero ed è già stata individuata un’autorità capofila, si definiscono comunque “interessate” le autorità nel cui territorio sia stabilito il titolare (o il responsabile), quelle nel cui territorio risiedano gli interessati che sono (o sono probabilmente) influenzati in modo sostanziale dal trattamento oppure le autorità nei confronti delle quali è stato proposto un reclamo, qualora diverse dall’autorità capofila in oggetto.

Il Gruppo di Lavoro fornisce un interessante esempio pratico al riguardo: “…un’autorità di controllo interessata ha voce in capitolo nella trattazione di un caso anche senza fungere da autorità capofila. Se l’autorità capofila decide di non trattare un caso, sarà l’autorità interessata che ne ha informato la capofila a occuparsene […]. Una situazione del genere può configurarsi se una società di marketing il cui stabilimento principale è situato a Parigi lancia un prodotto che produce i propri effetti soltanto su interessati che risiedono in Portogallo. In questo caso le autorità di controllo francese e portoghese potranno stabilire di comune accordo che è opportuno che sia l’autorità portoghese a gestire la questione. Le autorità di controllo potranno chiedere ai titolari di fornire chiarimenti rispetto agli accordi aziendali in essere. Poiché il trattamento produce effetti esclusivamente locali, ossia solo su interessati nel Portogallo, le due autorità sono libere di decidere se debba essere quella francese o quella portoghese a occuparsi del caso...” 

Si parla quindi di un meccanismo di cooperazione tra le autorità dei vari stati (regolato dal Capo VII, Sez. 1 del GDPR) risolto, laddove sussistano contrasti o obiezioni tra le varie autorità, da un meccanismo di “coerenza” (Capo VII, Sez. 2 del GDPR) assicurato tramite pareri e decisioni vincolanti del “Comitato Europeo per la Protezione dei dati” che altri non è se non l’equivalente, in una rinnovata e meglio organizzata veste,  del summenzionato Gruppo di Lavoro ai sensi del GDPR.

Casi esclusi dalla procedura

Infine, nella gestione dei trattamenti che hanno impatto soltanto “locale”, le autorità di controllo rispetteranno la competenza reciproca. Anche i trattamenti svolti dalle autorità pubbliche saranno sempre gestiti su base “locale”.

La procedura dell’individuazione dell’autorità capofila prevista dal GDPR si applica, inoltre, esclusivamente a titolari che abbiano uno o più stabilimenti nell’Unione Europea. Se una società non dispone di uno stabilimento nell’Unione, la semplice esistenza di un rappresentante designato in uno stato membro non comporta l’intervento del meccanismo di one-stop-shop. Ciò significa che un titolare che non sia stabilito in alcun Paese dell’Unione dovrà interfacciarsi con le autorità di controllo di ciascuno stato membro in cui opera, tramite il rappresentante designato.

Nei casi di flussi di dati verso paesi extra-Unione Europea (cui sarà dedicato il prossimo approfondimento) interverranno, invece, ai sensi delle differenti disposizioni di cui al capo V del GDPR (dedicato appositamente ai trasferimenti di dati vero i paesi terzi), la Commissione e le autorità di controllo, tenute, secondo il Regolamento, a sviluppare meccanismi di cosiddetta “cooperazione internazionale” per i) sviluppare meccanismi di cooperazione per facilitare l'applicazione efficace del GDPR, ii) prestare assistenza reciproca a livello internazionale nell'applicazione del GDPR, in particolare “…mediante notificazione, deferimento dei reclami, assistenza alle indagini e scambio di informazioni, fatte salve garanzie adeguate per la protezione dei dati personali e gli altri diritti e libertà fondamentali” (articolo 50 del GDPR), iii) coinvolgere le parti interessate pertinenti in discussioni e attività dirette a promuovere la cooperazione internazionale e iv) promuovere lo scambio e la documentazione delle legislazioni e prassi in materia di protezione dei dati personali, compresi i conflitti di giurisdizione con paesi terzi.

Dipartimento ICT&IP - Studio Legale DGRS

 

-------------------------------------------------------------------------------------------------------------------------------------------

Di seguito alcuni link utili per approfondire l'argomento:

Linee guida del Garante della Privacy Italiano

Guida sintetica del Garante della Privacy al GDPR

Sintesi del Regolamento GDPR sul sito EUR-Lex (Banca dati ufficiale della normativa europea) 

-------------------------------------------------------------------------------------------------------------------------------------------

[1] WP 244 rev.01 “Linee Guida per l’individuazione dell’autorità di controllo capofila in rapporto a uno specifico titolare o responsabile del trattamento”, adottate il 13 dicembre 2016, versione approvata e emendata in data 5 aprile 2017.
Questo sito utilizza cookie, anche di terze parti, per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsenti all’uso dei cookie.