L’Autorità di Controllo Capofila

unione europea

La libertà di stabilimento, uno dei principi cardine dell’Unione Europea (artt. 49-55 TFUE), consente a ogni cittadino comunitario (persona fisica o giuridica), di stabilirsi in uno Stato membro per esercitare un’attività non salariata, senza che ciò costituisca causa di discriminazione per quest’ultimo: si applicheranno le stesse regole previste per le medesime attività dello Stato in cui il soggetto si è stabilito.

Questa libertà di stabilimento fa sì che più soggetti (persone fisiche o giuridiche), nello svolgere la propria attività, entrino in contatto con vari utenti, cittadini anche di paesi differenti da quello in cui l’impresa è stabilita, portando così alla possibilità di porre in essere un trattamento di dati transfrontaliero.

Nel caso nasca un trattamento di dati di questo tipo, sorgeranno due problematiche: in primis, sarà necessario indicare cosa esattamente s’intende per trattamento transfrontaliero (con i rispettivi limiti) e, in seconda fase, bisognerà indicare quale debba essere l’Autorità di controllo che dovrà vigilare sul trattamento e risolvere le eventuali controversie che possono insorgere tra titolare e interessato.

Il nuovo Regolamento generale sulla protezione dei dati personali prevede espressamente questo tipo di situazione e dà precise indicazioni al riguardo.

Nell’articolo analizzerò innanzitutto cosa s’intende per trattamento di dati transfrontaliero, per poi specificare quali sono i criteri indicati dalla normativa Comunitaria per individuare l’Autorità di Controllo Capofila.

Trattamento transfrontaliero

Secondo il dettato normativo del RGPD, possono verificarsi due ipotesi in cui un trattamento di dati personali può essere definito “transfrontaliero” (art. 4).

Il primo, più semplice, è il caso di un titolare del trattamento (o responsabile) che abbia stabilimenti in più di uno Stato membro e, in relazione alla propria attività, abbia necessità di trasferire dati personali di un determinato soggetto da uno stabilimento all’altro (“trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro”).

Più complessa è invece la seconda ipotesi: è il caso di un responsabile che, pur trattando i dati nel contesto dell’attività riferibile allo stabilimento in un solo Stato membro, possa comunque “incidere o probabilmente incidere in modo sostanziale” su interessati di più Stati membri (“trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro”).

Il dettato normativo per questa seconda ipotesi appare alquanto complesso anche perché non viene in alcun modo specificato dal RGPD cosa deve intendersi per “incidere in modo sostanziale”.

La dottrina, nel cercare di specificare il senso di questa frase, ha identificato varie situazioni che possono rientrare nel secondo tipo di ipotesi di trattamento transfrontaliero (ad esempio quando il trattamento potrebbe portare danni o disagi per l’interessato, o limitarne i diritti, peggiorarne la salute o la condizione economica, i dati trattati siano eccessivi…) ed ha, inoltre, sottolineato come non è necessario che gli effetti si producano in concreto, bensì, vista la locuzione “o probabilmente incidere”, potrà esservi un trattamento di dati transfrontaliero anche quando vi è solamente un’elevata probabilità che ciò si verifichi.

Modalità d’individuazione dell’autorità

Quando, dunque, si realizza una delle ipotesi profilate in precedenza, sarà necessario individuare un’Autorità con il compito di gestire il trattamento transfrontaliero (ad esempio, competente a ricevere i reclami): questa è l’Autorità di Controllo Capofila.

Il RGPD indica in modo preciso quale debba essere l’Autorità suddetta (art. 56: “l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare del trattamento o responsabile del trattamento è competente ad agire in qualità di autorità di controllo capofila per i trattamenti transfrontalieri effettuati dal suddetto titolare del trattamento o responsabile del trattamento, secondo la procedura di cui all’articolo 60”) ovvero quella che vigila nello Stato in cui il titolare (o responsabile) del trattamento ha stabilimento principale o stabilimento unico.

Sarà stabilimento principale (ex art. 16) quello in cui ha sede l’amministrazione centrale dell’azienda del titolare (quando ha stabilimenti in più stati), tuttavia, qualora vi siano altri stabilimenti con autonomia decisionale sul trattamento dei dati diversi da quello centrale, vi saranno tante Autorità Capofila quanti saranno i centri stabiliti nei vari Stati con autonomia decisionale.

Nel caso in cui l’amministrazione centrale abbia sede in uno Stato non membro dell’Unione Europea, si tiene conto dello stabilimento situato in UE dove vengono svolte le principali attività da parte del responsabile.

Quando, invece, non venga applicato il criterio dell’amministrazione centrale (perché difficile da individuare), il RGPD fornisce una soluzione: bisogna individuare il luogo in cui sono effettivamente svolte le attività gestionali di trattamento dei dati.

E’ il titolare a dover indicare qual è lo stabilimento principale (designando in pratica l’Autorità di Controllo Capofila); tuttavia, l’Autorità di Controllo indicata può sollevare obiezioni a riguardo in seguito (svolgendo dei controlli per verificare dove effettivamente è stabilita l’amministrazione centrale).

Sono state inoltre fornite indicazioni dallo stesso testo del RGPD su quali possano essere dei fattori indicativi dell’amministrazione centrale (es. luogo in cui risiede l’Autorità che dà il via libera alle operazioni sul trattamenti dei dati).

Peculiare è il caso dei gruppi imprenditoriali per i quali, salvo diversa disposizione del titolare del trattamento, si presume che l’amministrazione centrale sia sita nella sede della società controllante.

E’ contemplato anche il caso in cui vi siano più titolari contitolari del trattamento: a meno che questi non optino (per ragioni di semplificazione) per uno “sportello unico” vi saranno tante Autorità quanti saranno gli stabilimenti di questi nei vari Stati.

Infine, bisogna analizzare l’ipotesi dei casi limite, nei quali vi sono più stabilimenti, ma non è indicata nessuna amministrazione centrale: in quest’ipotesi il RGPD non offre soluzioni e dunque, qualora quest’ultima non venga indicata dal titolare (o responsabile) del trattamento, vi saranno Autorità di Controllo plurime.

Dott. Luigi Dinella

FocusNewsNormativaPrivacy e sicurezza Informatica
maggio 26, 2017
No Tag
logo fclex nero

Scopri anche

intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

28 Mar
Leggi tutto
linee guida agcom influencer

Nuove Linee guida AGCOM per Influencer e Content Creator: Criticità, multe e sfide nel Contesto Giuridico

17 Gen
Leggi tutto
ecommerce sanzioni direttiva omnibus 2023 omnibus

Nuovi obblighi per gli eCommerce: maggiori responsabilità per le imprese e tutele per i consumatori

14 Apr
Leggi tutto
recesso contratto clausola ecommerce limite

Diritto di recesso dal contratto: limiti e clausola di recesso

6 Apr
Leggi tutto
COME REGISTRARE MARCHIO

Come registrare un marchio? Le 5 domande più frequenti

29 Mar
Leggi tutto
guadagnare con marchio e licenza

Licensing e modelli di Business: 5 licenze per monetizzare il tuo marchio

18 Gen
Leggi tutto

Ultimi aggiornamenti

password garante

Linee guida del Garante Privacy in materia di Funzioni Crittografiche e Conservazione delle Password

Con il provvedimento n. 9962283 del 7 dicembre 2023, il Garante per la Protezione dei Dati Personali e l’Agenzia per la cybersicurezza nazionale (ACN) hanno emanato alcune Linee Guida in materia “Funzioni Crittografiche e Conservazione delle Password”. Successivamente, con un comunicato del 1° marzo 2024, il […]
aprile 4, 2024
Leggi tutto
intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

Avv. Giuseppe Croari – Dott.ssa Francesca Gattarello Ad oggi sono notoriamente risaputi i vantaggi che l’intelligenza artificiale ha apportato anche nel mondo del lavoro (a tal proposito vi segnaliamo questo articolo). A ciò si aggiunga la maggiore consapevolezza che la società ha acquisito, negli ultimi anni, […]
marzo 28, 2024
Leggi tutto
contratto vendere webinar

Il Contratto come strumento per vendere di più

Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
marzo 15, 2024
Leggi tutto

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.

scopri altri video

Dirittodellinformatica.it è rivista telematica registrata il 08.04.2008 presso il Tribunale di Foggia (n. 10/08 registro periodici, cron. n. 816/08). Proprietari del sito: Gianluigi Fioriglio e Giuseppe Croari. Direttore responsabile: Gerardo Antonio Cavaliere. P.I. Studio Legale Associato Fioriglio-Croari: 02863681207.

Il contenuto del sito è sottoposto a licenza Creative Commons (Attribuzione-Non commerciale-Non opere derivate 3.0 Unported). E' possibile riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare il contenuto del sito purché sia attribuita esplicitamente la paternità di ogni sua singola parte; non sono consentiti utilizzi per fini commerciali, nè alterazioni o trasformazioni del contenuto del sito.

© 2024 dirittodellinformatica.it