I profili critici dello “sportello unico” (“one-stop-Shop”), introdotto dal Gdpr per garantire una applicazione coerente del Regolamento in tutta Europa sono riemersi in seguito alle affermazioni del Commissario per la protezione dei dati irlandese Helen Dixon la quale ha dichiarato che, ove fossero accertate delle violazioni, le relative sanzioni saranno irrogate ed incassate dall’Irlanda in via esclusiva.
Proviamo ad approfondire quali sono le possibili conseguenze in concreto di tale affermazione in termini di applicazione uniforme del Regolamento e delle sanzioni, e le soluzioni per evitare la diffusione del fenomeno del “forum shopping”.
La nascita del principio del “one-stop-shop”
La precedente Dir. n. 95/46/CE nel disciplinare il caso in cui ci si trovasse dinanzi a trattamenti transfrontalieri si limitava ad affermare, all’art. 28, che l’interessato avrebbe potuto segnalare alla propria Autorità nazionale eventuali violazioni, indipendentemente dal fatto che le stesse avessero prodotto effetti in un altro Stato membro. A seguito della segnalazione, l’Autorità avrebbe poi esercitato in modo indipendente i propri poteri, salvo eventuali forme di cooperazione “su invito”.
Tale soluzione normativa ha tuttavia mostrato tutti i suoi limiti davanti alle insorgenti necessità di cooperazione e coordinamento generate dall’abbattimento delle tradizionali barriere territoriali da parte delle grandi società del web. Peraltro, la soluzione individuata dal Legislatore finiva spesso con il determinare l’insorgere di pronunce contraddittorie, impedendo il formarsi di una giurisprudenza uniforme nonché il dilagare del fenomeno del cosiddetto “forum shopping”, ossia la scelta dei titolari di collocare le proprie sedi legali in Stati le cui normative fossero ritenute particolarmente favorevoli alle imprese.
Per tali ragioni il GDPR, agli artt. 55 ss., ha introdotto il principio del cosiddetto “sportello unico” o “one-stop-shop”, con l’obiettivo di armonizzare le decisioni delle Autorità e di semplificare l’applicazione della normativa all’interno dell’Ue. Secondo tale principio, nel caso in cui il trattamento in esame sia qualificabile come “transfrontaliero” ai sensi dell’art. 4 par. 23 del GDPR ed incida in modo sostanziale su soggetti interessati residenti in più di uno stato membro, l’Autorità competente a decidere debba essere la cosiddetta Autorità “capofila”.
I profili critici
Nonostante il principio dello sportello unico abbia quale scopo quello di garantire una applicazione uniforme ed armonica del Regolamento, molte sono state le perplessità in merito (sul punto, vedasi l’esaustivo articolo di Franco Pizzetti, il quale analizza le criticità dei trasferimenti transfrontalieri dei dati e della “Leading Authority”).
Lo stesso Antonello Soro, presidente dell’Autorità Garante per la protezione dei dati personali del nostro Paese, ha espresso non pochi dubbi riguardo all’efficacia del “one-stop-Shop”: lasciare, infatti, che sia una sola Autorità ad occuparsi delle violazioni transfrontaliere che riguardano società quali Facebook, Google, Apple, consentirebbe alle stesse in realtà di “poter scegliere come sede principale in Europa un Paese non molto grande, con un’Autorità Privacy non di grandi dimensioni, e poter beneficiare di un’attenzione particolare da parte del governo del Paese”.
In tal modo, contrariamente a quanto auspicato, lo strumento dello sportello unico favorirebbe un’applicazione non uniforme del Regolamento e un’ingiusta “concorrenza” fra Authority: un’applicazione meno rigida del Regolamento, infatti, consentirebbe alle grandi imprese del digitale, e non solo, di fruire sia dei benefici fiscali già esistenti che di “trattamenti di favore” a livello sanzionatorio.
Ne conseguirebbe l’inevitabile fallimento dell’idea di cooperazione e condivisione dei principi fondanti il GDPR, in ragione di interessi economici e comportamenti concorrenziali che con le garanzie dei diritti hanno ben poco a che fare. La dichiarazione rilasciata dal Commissario Helen Dixon parrebbe collocarsi proprio in questa direzione, palesando un atteggiamento di chiusura nei confronti delle altre Authority che va ben oltre il pur rilevante aspetto economico.
Le soluzioni possibili
Alla luce di tutto quanto sopra premesso, ed in virtù dei fenomeni di “concorrenza giurisdizionale” e legislativa cui stiamo assistendo ormai da troppi anni, non solo con riguardo all’applicazione della normativa in tema di trattamenti dei dati personali ma anche a livello economico-fiscale, appare ormai indispensabile un’implementazione dei meccanismi di cooperazione fra le Autorità europee che possa realmente garantire un’applicazione del GDPR quanto più unitaria e coerente, nonché un accordo fra le stesse che ben stabilisca, anche in proporzione alle risorse dispiegate da ciascuna Autorità europea per l’accertamento dell’infrazione transfrontaliera (es: richieste di informazioni, misure di controllo quali ispezioni, indagini, consultazioni preventive, ecc.), i criteri secondo cui distribuire o meno gli introiti generati dalla irrogazione delle sanzioni.
È infatti pienamente in linea con la ratio del Regolamento (come si legge al Considerando 123) non solo fare in modo che l’applicazione dello stesso sia coerente in tutta l’Unione, ma altresì che le autorità di controllo cooperino tra loro e con la Commissione, anche a prescindere dall’esistenza o meno di specifici accordi fra gli Stati membri sulla mutua assistenza o su specifiche tipologie di cooperazione.
Potrebbe considerarsi proprio in quest’ottica la volontà del legislatore di non prevedere dei meccanismi vincolanti di cooperazione, in tal modo permettendo di creare di volta in volta, sulla base delle specifiche necessità legate al trattamento oggetto di esame, delle forme di cooperazione e collaborazione fra le Autorità del tutto aperte e svincolate da limiti formalistici burocratici, all’unico fine di semplificare ed alleggerire l’ottenimento di adeguata tutela da parte degli interessati anche al di fuori dei confini nazionali.
Una siffatta interpretazione sarebbe maggiormente auspicabile anche alla luce di quanto normato agli artt. 61 e 62 GDPR, disciplinanti rispettivamente l’assistenza reciproca e le operazioni congiunte delle Autorità di controllo, ovvero meccanismi di cooperazione e confronto obbligatori finalizzati, come già detto, all’attuazione ed all’applicazione de Regolamento in maniera coerente.
In tal modo la rete creata dalle Autorità di controllo nazionali assumerebbe delle dimensioni e delle capacità ben più elevate, consentendo alle stesse, proprio tramite la reciproca collaborazione, di confrontarsi ad armi (quasi) pari con colossi del calibro di Facebook, Google e Amazon. La prosecuzione delle indagini nei confronti di tali società, infatti, è per le Autorità fonte non solo di ingenti profitti derivanti dalle sanzioni irrogate (ove si riscontrino delle violazioni) ma anche di ingenti costi legati alle tecnologie da dispiegarsi per l’accertamento di determinate condotte pregiudizievoli, specie in tema di analisi degli algoritmi utilizzati a scopi di profilazione degli utenti.
Viceversa, appare evidente come l’utilizzo delle norme di cui agli artt. 55 ss. del GDPR al fine di accentrare in capo ad una sola Autorità la totalità del potere sanzionatorio e di accertamento in caso di trattamenti transfrontalieri rischi di incoraggiare una pericolosa diffusione del fenomeno del “forum shopping”, al quale invece si tenta di rimediare.
