L’individuazione dell’autorità di regolazione territorialmente competente in relazione ai trattamenti dei dati personali posti in essere da Controller/Processor stabiliti in più Stati membri dell’Unione Europea (eventualmente, come si vedrà in seguito, produttivi di effetti in una pluralità di essi) si è rivelata operazione delicata, che ha generato interpretazioni difformi delle norme che regolano questo importante aspetto.
L’interpretazione delle norme e la richiesta dell’autorità francese
Le problematiche correlate alla interpretazione difforme delle norme ha spinto l’Autorità di regolazione Francese a chiedere al EDPB una opinion al riguardo; e tale importante documento è stato pubblicato il 13 febbraio scorso (Opinion 4/2024).
Sotto il profilo normativo, l’art. 3.1 del GDPR prevede che il medesimo Regolamento si applichi al trattamento posto in essere da un Controller/Processor stabilito nel territorio dell’Unione, anche qualora il trattamento stesso non sia materialmente posto in essere nel medesimo.
Si tratta allora di capire cosa si intenda per stabilimento, quando, come spesso avviene, il Controller/Processor abbia sedi in più Stati membri dell’Unione; così che sia preliminarmente necessario individuare l’Autorità di regolazione competente per territorio a gestire i trattamenti, tra quell astrattamente eleggibili.
Quando si verifica questa condizione (più stabilimenti) il GDPR prevede che lo stabilimento da prendere in considerazione per individuare l’Autorità competente sia lo “stabilimento principale” (main establishment) tra quelli posseduti dal controller/processor.
Il concetto di stabilimento principale nel GDPR
A questo riguardo l’art. 4.16.a del GDPR “chiarisce” che è “stabilimento principale” la sede ove il Controller/Processor ha la sua amministrazione centrale, a meno che le decisioni sui mezzi e le finalità del trattamento vengano prese da/presso un altro distaccamento, deputato dalla governance interna a svolgere tale funzione, a sua volta sito nel territorio dell’Unione.
In quel caso l’Autorità di regolazione territorialmente competente è quella del luogo ove si trova lo stabilimento che prende effettivamente le decisioni in ordine al trattamento, anche laddove non coincida con quello principale.
L’opinione del EDPB sulla nozione di amministrazione centrale
Innanzitutto, il EDPB precisa che il concetto di stabilimento principale ha senso solo quando il Controller/Processor ha più sedi nel territorio dell’unione; ed in effetti, laddove la sede sia unica, solo a quella si potrebbe fare riferimento per determinare quale sia l’Autorità di regolazione territorialmente competente rispetto ai trattamenti dei dati personali.
Su questa base, l’opinion esplicita cosa si intenda per luogo della amministrazione centrale (Place of Central Administration), al quale deve essere attribuito la qualifica di stabilimento principale (main establishment): e così, con tale espressione si intende il luogo dove il management apicale del Controller/Processor prende le decisioni strategiche a governo e direzione dell’attività caratteristica.
Come precisato nella opinion, questa nozione non è contenuta nel GDPR, ma è mutuata da numerose fonti normative, tra le quali l’art. 54 del Trattato sul Funzionamento dell’Unione, e il diritto civile e commerciale di molti Stati membri.
Se il tutto si limitasse a questo, la richiesta della opinion da parte del Garante francese apparirebbe inspiegabile, essendo in effetti assai agevole capire dove, all’interno dell’unione, un determinato soggetto, dotato di più sedi, abbia collocato la propria Amministrazione Centrale.
Ma come anticipato le cose non stanno così; poiché in effetti la opinion, con riferimento all’art. 4.16.a del GDPR, fa presente che la sede della amministrazione centrale di un Controller/Processor non sarà ritenuta lo stabilimento principale dell medesimo, laddove, in relazione a un determinato trattamento, le decisioni circa le finalità e i mezzi di quest’ultimo vengano prese in una sede diversa.
In tal caso, dunque, essa dovrà essere considerata lo stabilimento principale del Controller/processor; con la precisazione che ciò deve sempre essere recepito anche dagli statuti e dalla governance interni.
Le implicazioni di un stabilimento principale al di fuori dell’Unione
Secondo il EDPB, tutto ciò implica che, qualora lo stabilimento principale del Controller/Processor (sia che si tratti dell’amministrazione centrale, sia che si tratti della diversa articolazione investita del potere di determinare mezzi e finalità dei trattamenti) si trovi al di fuori del territorio della Unione Europea, nessuna Autorità di regolazione sarà competente a prendere in carica le verifiche e i controlli astrattamente immaginabili in relazione a detti trattamenti, così come a emanare ed eseguire eventuali sanzioni.
Ancora più in dettaglio, ciò implica che qualora lo stabilimento effettivamente responsabile dei trattamenti si trovi fuori dal territorio dell’Unione, mentre contestualmente si trovi al suo interno la sede della amministrazione centrale del Controller/Processor, la competenza dei Garanti Europei verrà meno.
In altri termini, ai fini della selezione dell’Autorità di regolazione competente per territorio a gestire un determinato trattamento il riferimento imprescindibile sarà sempre lo stabilimento che effettivamente prende le decisioni in ordine a finalità e mezzi del medesimo, avendone per statuto il potere, sia che esso coincida con la sede della amministrazione centrale, sia che esso non coincida con quest’ultima.
Il principio del “one stop shop” nel GDPR e il ruolo dell’Autorità capofila nei trattamenti transfrontalieri
Quanto sino a ora esposto deve essere, per così dire, incrociato con il disposto dell’art. 56.1 del GDPR.
A mente di tale norma, il Controller/Processor, dal quale dipendono, per quanto ora di interesse, trattamenti transfrontalieri (vale a dire, aventi effetti in più Stati dell’unione), può e deve fare riferimento, in qualità di Autorità di regolazione Capofila, a quella territorialmente competente a interagire col suo stabilimento principale (individuato sulla base dei criteri sopra esposti), tra i molteplici attivi nel territorio dell’unione.
Si tratta, dunque, di casi nei quali, nel contesto di una pluralità di stabilimenti astrattamente eleggibili come stabilimento principale, si pone anche una pluralità di Stati membri coinvolti dagli effetti dei trattamenti; così che, in astratto, più Autorità di regolazione possono essere ritenute competenti a occuparsi delle problematiche ad essi sottese.
L’Autorità Capofila (Leading Authority), a questo punto, sarà l’unica a interagire direttamente con il Controller/Processor, costituendo l’interfaccia con le altre Autorità competenti in relazione ai vari Stati membri coinvolti dai trattamenti transfrontalieri, e coordinando le loro attività investigative (Connected Supervisory Authorities).
Va da sé che l’Autorità capofila sarà altresì l’unica competente a irrogare e a rendere esecutive eventuali sanzioni.
