La libertà di stabilimento, uno dei principi cardine dell’Unione Europea (artt. 49-55 TFUE), consente a ogni cittadino comunitario (persona fisica o giuridica), di stabilirsi in uno Stato membro per esercitare un’attività non salariata, senza che ciò costituisca causa di discriminazione per quest’ultimo: si applicheranno le stesse regole previste per le medesime attività dello Stato in cui il soggetto si è stabilito.
Questa libertà di stabilimento fa sì che più soggetti (persone fisiche o giuridiche), nello svolgere la propria attività, entrino in contatto con vari utenti, cittadini anche di paesi differenti da quello in cui l’impresa è stabilita, portando così alla possibilità di porre in essere un trattamento di dati transfrontaliero.
Nel caso nasca un trattamento di dati di questo tipo, sorgeranno due problematiche: in primis, sarà necessario indicare cosa esattamente s’intende per trattamento transfrontaliero (con i rispettivi limiti) e, in seconda fase, bisognerà indicare quale debba essere l’Autorità di controllo che dovrà vigilare sul trattamento e risolvere le eventuali controversie che possono insorgere tra titolare e interessato.
Il nuovo Regolamento generale sulla protezione dei dati personali prevede espressamente questo tipo di situazione e dà precise indicazioni al riguardo.
Nell’articolo analizzerò innanzitutto cosa s’intende per trattamento di dati transfrontaliero, per poi specificare quali sono i criteri indicati dalla normativa Comunitaria per individuare l’Autorità di Controllo Capofila.
Trattamento transfrontaliero
Secondo il dettato normativo del RGPD, possono verificarsi due ipotesi in cui un trattamento di dati personali può essere definito “transfrontaliero” (art. 4).
Il primo, più semplice, è il caso di un titolare del trattamento (o responsabile) che abbia stabilimenti in più di uno Stato membro e, in relazione alla propria attività, abbia necessità di trasferire dati personali di un determinato soggetto da uno stabilimento all’altro (“trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro”).
Più complessa è invece la seconda ipotesi: è il caso di un responsabile che, pur trattando i dati nel contesto dell’attività riferibile allo stabilimento in un solo Stato membro, possa comunque “incidere o probabilmente incidere in modo sostanziale” su interessati di più Stati membri (“trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro”).
Il dettato normativo per questa seconda ipotesi appare alquanto complesso anche perché non viene in alcun modo specificato dal RGPD cosa deve intendersi per “incidere in modo sostanziale”.
La dottrina, nel cercare di specificare il senso di questa frase, ha identificato varie situazioni che possono rientrare nel secondo tipo di ipotesi di trattamento transfrontaliero (ad esempio quando il trattamento potrebbe portare danni o disagi per l’interessato, o limitarne i diritti, peggiorarne la salute o la condizione economica, i dati trattati siano eccessivi…) ed ha, inoltre, sottolineato come non è necessario che gli effetti si producano in concreto, bensì, vista la locuzione “o probabilmente incidere”, potrà esservi un trattamento di dati transfrontaliero anche quando vi è solamente un’elevata probabilità che ciò si verifichi.
Modalità d’individuazione dell’autorità
Quando, dunque, si realizza una delle ipotesi profilate in precedenza, sarà necessario individuare un’Autorità con il compito di gestire il trattamento transfrontaliero (ad esempio, competente a ricevere i reclami): questa è l’Autorità di Controllo Capofila.
Il RGPD indica in modo preciso quale debba essere l’Autorità suddetta (art. 56: “l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare del trattamento o responsabile del trattamento è competente ad agire in qualità di autorità di controllo capofila per i trattamenti transfrontalieri effettuati dal suddetto titolare del trattamento o responsabile del trattamento, secondo la procedura di cui all’articolo 60”) ovvero quella che vigila nello Stato in cui il titolare (o responsabile) del trattamento ha stabilimento principale o stabilimento unico.
Sarà stabilimento principale (ex art. 16) quello in cui ha sede l’amministrazione centrale dell’azienda del titolare (quando ha stabilimenti in più stati), tuttavia, qualora vi siano altri stabilimenti con autonomia decisionale sul trattamento dei dati diversi da quello centrale, vi saranno tante Autorità Capofila quanti saranno i centri stabiliti nei vari Stati con autonomia decisionale.
Nel caso in cui l’amministrazione centrale abbia sede in uno Stato non membro dell’Unione Europea, si tiene conto dello stabilimento situato in UE dove vengono svolte le principali attività da parte del responsabile.
Quando, invece, non venga applicato il criterio dell’amministrazione centrale (perché difficile da individuare), il RGPD fornisce una soluzione: bisogna individuare il luogo in cui sono effettivamente svolte le attività gestionali di trattamento dei dati.
E’ il titolare a dover indicare qual è lo stabilimento principale (designando in pratica l’Autorità di Controllo Capofila); tuttavia, l’Autorità di Controllo indicata può sollevare obiezioni a riguardo in seguito (svolgendo dei controlli per verificare dove effettivamente è stabilita l’amministrazione centrale).
Sono state inoltre fornite indicazioni dallo stesso testo del RGPD su quali possano essere dei fattori indicativi dell’amministrazione centrale (es. luogo in cui risiede l’Autorità che dà il via libera alle operazioni sul trattamenti dei dati).
Peculiare è il caso dei gruppi imprenditoriali per i quali, salvo diversa disposizione del titolare del trattamento, si presume che l’amministrazione centrale sia sita nella sede della società controllante.
E’ contemplato anche il caso in cui vi siano più titolari contitolari del trattamento: a meno che questi non optino (per ragioni di semplificazione) per uno “sportello unico” vi saranno tante Autorità quanti saranno gli stabilimenti di questi nei vari Stati.
Infine, bisogna analizzare l’ipotesi dei casi limite, nei quali vi sono più stabilimenti, ma non è indicata nessuna amministrazione centrale: in quest’ipotesi il RGPD non offre soluzioni e dunque, qualora quest’ultima non venga indicata dal titolare (o responsabile) del trattamento, vi saranno Autorità di Controllo plurime.
Dott. Luigi Dinella