privacy

Gdpr e autorità competente per il trattamento dati transfrontaliero: la guida EDPB



Indirizzo copiato

L’Opinion 4/2024 dell’EDPB chiarisce la determinazione dell’autorità di regolazione competente per controller e processor con più sedi nell’Ue, basandosi sul concetto di “stabilimento principale”. Tale definizione dipende dalla sede decisionale sui trattamenti dei dati, e influenza la competenza territoriale per verifiche, controlli e sanzioni in ambito di protezione dei dati personali

Pubblicato il 22 apr 2024

Giovanni Ricci

Avvocato presso lo Studio legale Edoardo Ricci – Avvocati



Cyber_Security_GDPR

L’individuazione dell’autorità di regolazione territorialmente competente in relazione ai trattamenti dei dati personali posti in essere da Controller/Processor stabiliti in più Stati membri dell’Unione Europea (eventualmente, come si vedrà in seguito, produttivi di effetti in una pluralità di essi) si è rivelata operazione delicata, che ha generato interpretazioni difformi delle norme che regolano questo importante aspetto.

L’interpretazione delle norme e la richiesta dell’autorità francese

Le problematiche correlate alla interpretazione difforme delle norme ha spinto l’Autorità di regolazione Francese a chiedere al EDPB una opinion al riguardo; e tale importante documento è stato pubblicato il 13 febbraio scorso (Opinion 4/2024).

Sotto il profilo normativo, l’art. 3.1 del GDPR prevede che il medesimo Regolamento si applichi al trattamento posto in essere da un Controller/Processor stabilito nel territorio dell’Unione, anche qualora il trattamento stesso non sia materialmente posto in essere nel medesimo.

Si tratta allora di capire cosa si intenda per stabilimento, quando, come spesso avviene, il Controller/Processor abbia sedi in più Stati membri dell’Unione; così che sia preliminarmente necessario individuare l’Autorità di regolazione competente per territorio a gestire i trattamenti, tra quell astrattamente eleggibili.

Quando si verifica questa condizione (più stabilimenti) il GDPR prevede che lo stabilimento da prendere in considerazione per individuare l’Autorità competente sia lo “stabilimento principale” (main establishment) tra quelli posseduti dal controller/processor.

Il concetto di stabilimento principale nel GDPR

A questo riguardo l’art. 4.16.a del GDPR “chiarisce” che è “stabilimento principale” la sede ove il Controller/Processor ha la sua amministrazione centrale, a meno che le decisioni sui mezzi e le finalità del trattamento vengano prese da/presso un altro distaccamento, deputato dalla governance interna a svolgere tale funzione, a sua volta sito nel territorio dell’Unione.

In quel caso l’Autorità di regolazione territorialmente competente è quella del luogo ove si trova lo stabilimento che prende effettivamente le decisioni in ordine al trattamento, anche laddove non coincida con quello principale.

L’opinione del EDPB sulla nozione di amministrazione centrale

Innanzitutto, il EDPB precisa che il concetto di stabilimento principale ha senso solo quando il Controller/Processor ha più sedi nel territorio dell’unione; ed in effetti, laddove la sede sia unica, solo a quella si potrebbe fare riferimento per determinare quale sia l’Autorità di regolazione territorialmente competente rispetto ai trattamenti dei dati personali.

Su questa base, l’opinion esplicita cosa si intenda per luogo della amministrazione centrale (Place of Central Administration), al quale deve essere attribuito la qualifica di stabilimento principale (main establishment): e così, con tale espressione si intende il luogo dove il management apicale del Controller/Processor prende le decisioni strategiche a governo e direzione dell’attività caratteristica.

Come precisato nella opinion, questa nozione non è contenuta nel GDPR, ma è mutuata da numerose fonti normative, tra le quali l’art. 54 del Trattato sul Funzionamento dell’Unione, e il diritto civile e commerciale di molti Stati membri.

Se il tutto si limitasse a questo, la richiesta della opinion da parte del Garante francese apparirebbe inspiegabile, essendo in effetti assai agevole capire dove, all’interno dell’unione, un determinato soggetto, dotato di più sedi, abbia collocato la propria Amministrazione Centrale.

Ma come anticipato le cose non stanno così; poiché in effetti la opinion, con riferimento all’art. 4.16.a del GDPR, fa presente che la sede della amministrazione centrale di un Controller/Processor non sarà ritenuta lo stabilimento principale dell medesimo, laddove, in relazione a un determinato trattamento, le decisioni circa le finalità e i mezzi di quest’ultimo vengano prese in una sede diversa.

In tal caso, dunque, essa dovrà essere considerata lo stabilimento principale del Controller/processor; con la precisazione che ciò deve sempre essere recepito anche dagli statuti e dalla governance interni.

Le implicazioni di un stabilimento principale al di fuori dell’Unione

Secondo il EDPB, tutto ciò implica che, qualora lo stabilimento principale del Controller/Processor (sia che si tratti dell’amministrazione centrale, sia che si tratti della diversa articolazione investita del potere di determinare mezzi e finalità dei trattamenti) si trovi al di fuori del territorio della Unione Europea, nessuna Autorità di regolazione sarà competente a prendere in carica le verifiche e i controlli astrattamente immaginabili in relazione a detti trattamenti, così come a emanare ed eseguire eventuali sanzioni.

Ancora più in dettaglio, ciò implica che qualora lo stabilimento effettivamente responsabile dei trattamenti si trovi fuori dal territorio dell’Unione, mentre contestualmente si trovi al suo interno la sede della amministrazione centrale del Controller/Processor, la competenza dei Garanti Europei verrà meno.

In altri termini, ai fini della selezione dell’Autorità di regolazione competente per territorio a gestire un determinato trattamento il riferimento imprescindibile sarà sempre lo stabilimento che effettivamente prende le decisioni in ordine a finalità e mezzi del medesimo, avendone per statuto il potere, sia che esso coincida con la sede della amministrazione centrale, sia che esso non coincida con quest’ultima.

Il principio del “one stop shop” nel GDPR e il ruolo dell’Autorità capofila nei trattamenti transfrontalieri

Quanto sino a ora esposto deve essere, per così dire, incrociato con il disposto dell’art. 56.1 del GDPR.

A mente di tale norma, il Controller/Processor, dal quale dipendono, per quanto ora di interesse, trattamenti transfrontalieri (vale a dire, aventi effetti in più Stati dell’unione), può e deve fare riferimento, in qualità di Autorità di regolazione Capofila, a quella territorialmente competente a interagire col suo stabilimento principale (individuato sulla base dei criteri sopra esposti), tra i molteplici attivi nel territorio dell’unione.

Si tratta, dunque, di casi nei quali, nel contesto di una pluralità di stabilimenti astrattamente eleggibili come stabilimento principale, si pone anche una pluralità di Stati membri coinvolti dagli effetti dei trattamenti; così che, in astratto, più  Autorità di regolazione possono essere ritenute  competenti a occuparsi delle problematiche ad essi sottese.

L’Autorità Capofila (Leading Authority), a questo punto, sarà l’unica a interagire direttamente con il Controller/Processor, costituendo l’interfaccia con le altre Autorità competenti in relazione ai vari Stati membri coinvolti dai trattamenti transfrontalieri, e coordinando le loro attività investigative (Connected Supervisory Authorities).

Va da sé che l’Autorità capofila sarà altresì l’unica competente a irrogare e a rendere esecutive eventuali sanzioni.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3