L’Autorità irlandese per la privacy riveste un ruolo strategico nella gestione del Regolamento europeo GDPR. Perché è in Irlanda che hanno stabilito la loro sede legale, per godere delle agevolazioni fiscali qui esistenti, le web company: da Facebook a Google. In particolare è la Garante Helen Dixon a rappresentare la “longa manus” dell’Europa nella gestione della tutela dei dati personali. Ma l’istituzione dello sportello unico potrebbe sbilanciare l’applicazione equanime del regolamento.
A questo proposito, il commissario per la privacy irlandese, a cui il Garante Privacy italiano, Antonello Soro, si è rivolto qualche mese fa evidenziando la necessità di mantenere una cooperazione con le altre Autorità europee per scongiurare il rischio che lo strumento dello sportello unico possa essere utilizzato in modo distorto dalle grandi multinazionali, andando così a ledere l’obiettivo del GDPR di uniforme applicazione delle norme in esso contenute. Adesso sono 19 le indagini aperte dall’Autorità Garante per il trattamento dei dati personali irlandese nei confronti di società come Facebook, Google ed Amozon, etc.
Le indagini commissionate da Helen Dixon
Dal 2014 il ruolo di Data Protection Commissioner per l’Irlanda è ricoperto da Helen Dixon, la cui figura è molto temuta dalle numerose multinazionali del settore hi-tech che hanno trasferito qui la loro sede legale. Come noto, il Paese, ormai da tempo, rappresenta una sorta di “paradiso fiscale” per i grandi big dell’informatica di origine statunitense in virtù delle facilitazioni esistenti.
Dixon ricopre pertanto l’importante incarico di vigilare sulla gestione dei dati personali di miliardi di utenti e ormai da alcuni anni ha iniziato quella che viene definita la lotta “silenziosa” per la protezione dei dati personali. L’aspetto che più connota Helen Dixon è, difatti, il basso profilo tenuto fin dalla sua nomina, poiché anche della sua vita personale poco trapela, se non informazioni che attengono al suo profilo professionale come la sua carriera universitaria.
L’attenzione crescente per la tutela del trattamento dei dati personali che ogni giorno immettiamo on line anche involontariamente, l’entrata in vigore il 25 maggio 2018 del c.d. GDPR (Regolamento Europeo per il trattamento dei dati personali 2016/679) e, dunque, la diffusione sempre maggiore di una cultura digitale di protezione del dato personale a tutti i livelli, da quello europeo al nazionale, dalle Autorità di controllo al singolo utente, hanno contribuito a diffondere una maggiore consapevolezza sul tema e sulle misure comportamentali da adottare. In altre parole, “i dati sono stati definiti il petrolio del nostro millennio e la questione della tutela dei dati personali ha assunto estrema importanza sul piano politico”.
In tale scenario, il ruolo e la figura di Helen Dixon rappresentano una delle Autorità di tutela della privacy temibile da personaggi come Mark Zuckerberg. A tal riguardo, in occasione del Global Privacy Summit 2019, l’evento organizzato a Washington da IAPP – International Association of Privacy Professionals, ossia, la più importante associazione di professionisti della privacy, Dixon ha comunicato che sono in corso diciotto indagini aventi come oggetto il rispetto del trattamento di dati personali da parte soprattutto delle multinazionali di origine statunitense che hanno trasferito, come detto, la propria sede legale in Irlanda.
Lo strumento dello Sportello Unico
Il ruolo di cruciale importanza assunto dall’Autorità garante privacy irlandese lo si comprende appieno in virtù dello strumento dello Sportello Unico (c.d. One Stop Shop), introdotto con il Regolamento europeo 2016/679 (GDPR) diretto a garantire l’uniforme l’applicazione delle norme in esso contenute a livello europeo.
Anteriormente all’entrata in vigore del GDPR, più autorità potevano trovarsi a compiere indagini su una stessa situazione. Al fine di ovviare a tale evenienza, da cui poteva discendere disomogeneità nelle decisioni delle varie Autorità, con il GDPR è stato introdotto lo strumento in esame basato su di un principio di territorialità. In via generale, possiamo dire che l’Autorità di controllo prescelta si troverà ad assumere una posizione di rilievo. Ciò è quanto possiamo affermare con riguardo al Garante per la privacy irlandese che ha il potere di infliggere sanzioni alle multinazionali sotto il proprio controllo dal punto di vista della loro compliance al GDPR.
Per comprendere appieno tale nuovo strumento, occorre prendere le mosse dal dicembre 2016, quando il Gruppo dei Garanti UE ha approvato delle linee guida sul GDPR riguardanti, tra gli altri argomenti, anche lo Sportello Unico, la cui disciplina è contenuta nell’art. 56 del GDPR.
Il principio in esame stabilisce che “l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare e del trattamento o responsabile del trattamento è competente ad agire in qualità di autorità di controllo capofila per i trattamenti transfrontalieri effettuati dal suddetto titolare del trattamento o responsabile del trattamento” (Art. 56 GDPR). La decisione dell’autorità di controllo capofila individuata sulla base dei criteri definiti all’interno del Regolamento troverà applicazione anche negli altri paesi dell’Unione.
Qualora, invece, il trattamento abbia carattere locale, il principio potrà essere oggetto di deroga ai sensi di quanto sancito dall’art. 56 GDPR par. 2 che dispone:“In deroga al paragrafo 1, ogni autorità di controllo è competente per la gestione dei reclami a essa proposti o di eventuali violazioni del presente regolamento se l’oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro”. In tali casi tuttavia l’Autorità adita dovrà informare l’Autorità capifila della questione che potrà decidere se procedere con la trattazione della questione, oppure se autorizzare l’Autorità richiedente di trattare autonomamente la questione.
Benefici e rischi dello Sportello Unico
I benefici connessi all’utilizzo di tale strumento sono, in primis, l’uniforme applicazione delle norme contenute nel GDPR, poiché una decisione emessa da un’autorità nazionale che agisce in qualità di capofila diventa valida per tutto il territorio dell’Unione Europea, salvo particolari eccezioni che vengono esaminate dal Comitato europeo per la protezione dei dati (ex WP29). Si evita, pertanto, l’emissione di decisioni nazionali contrastanti e si agisce in un’ottica di semplificazione di costi e tempi poiché i titolari del trattamento non devono ottenere provvedimenti e autorizzazioni da parte di più autorità di controllo. Tale strumento, in sostanza, ha notevole importanza quale mezzo di garanzia per i titolari del trattamento coinvolti, nonché quale strumento di semplificazione burocratica e di contenimento dei costi.
Non si possono però sottovalutare gli eventuali rischi connessi all’impiego di tale innovativo meccanismo che potrebbero essere racchiusi nell’espressione del c.d. “forum shopping”. In altre parole, occorre acquisire consapevolezza circa un eventuale utilizzo dello sportello unico in maniera impropria sul piano politico. Infatti, allo scopo di attrarre investimenti importanti da parte delle più grandi multinazionali esistenti sullo scenario mondiale, gli stati membri potrebbero essere inclini all’adozione di orientamenti interpretativi della disciplina del GDPR in senso a queste favorevoli. In sostanza, il più grande rischio sotteso al meccanismo dello sportello unico potrebbe essere la concessione di privilegi in cambio di profitti.
Ulteriore aspetto di rilevante importanza in ordine al funzionamento dello sportello unico che suscita non poche perplessità riguarda, tra gli altri, le entrate che potranno derivare all’Irlanda dall’incasso delle multe inflitte. La considerazione è meritevole di approfondimento poiché il regime fiscale di favore vigente in Irlanda potrebbe consentire al Paese una crescita in termini di maggiori profitti (derivanti dalle sanzioni) nonché di possibilità di investimento sulle modalità di indagine dell’Autorità nel settore delle nuove tecnologie.
In tale scenario, l’Autorità per la privacy irlandese potrebbe assumere un’autorevolezza superiore rispetto a quella ricoperta dalle altre Autorità presenti sul territorio dell’Unione Europea. Le sue decisioni potrebbero così fungere da precedente per queste ultime, tanto che la stessa autorità irlandese potrebbe identificarsi quale punto di riferimento sulle maggiori questioni in materia di protezione dei dati.
I dati dell’Irish Data Protection Commission
L’Irish Data Protection Commission (DPC) ha pubblicato i numeri ufficiali delle denunce e data breach ricevute dall’Autorità di protezione dei dati personali dalla data di entrata in vigore del GDPR. Il numero delle notifiche è raddoppiate a seguito dell’entrata in vigore del Regolamento (circa 5.818).
La commissione Irlandese ha anche comunicato il numero dei reclami e indagini iniziate: 6624 le denunce; 54 indagini 35 delle quali con carattere nazionale e 19 avente carattere transnazionale in quanto attengono alle multinazionali dell’hi-tech ed alla loro conformità al GDPR.
In tale contesto, il Commissario irlandese per la protezione dei dati, Dixon si è espressa in maniera positiva affermando che “il GDPR è una nuova, solida, piattaforma dalla quale tutti dobbiamo pretendere, ma anche promuovere, standard più elevati di protezione dei dati sensibili e personali”.
In occasione dell’interrogazione cui è stata sottoposta in sede di Rendiconto finanziario 2018, Dixon, dopo aver illustrato le funzioni principali della Autorità per la protezione dei dati personali irlandese, si è soffermata sul tema dello Sportello Unico, sottolineandone la configurazione quale “vantaggio per le multinazionali”. La Dixon ha altresì ribadito come la scelta di tale strumento sia rimessa all’arbitrio delle singole aziende e qualora tali società optino per il regime precedente, saranno soggette alla giurisdizione di ogni singola autorità di protezione dei dati.
Il parere del Garante Privacy italiano
Il Garante per la Privacy italiano ha lanciato una sorta di monito alla collega irlandese Helen Dixon sottolineando l’importanza della collaborazione con le altre Autorità privacy europee al fine di escludere un uso improprio dello strumento dello sportello unico a seguito delle “pressioni enormi di lobbying sulle autorità politiche e di governo europee, in particolare su alcune, da parte dei grandi gestori di piattaforme tecnologiche nella fase di lunga gestazione del GDPR”.
Tale monito viene espresso a seguito delle presunte pressioni provenienti dalle multinazionali come Facebook, Google e Amazon, aventi sede in Irlanda, per aver un GDPR “meno restrittivo” e un’Autorità di controllo meno rigida possibile, avente la responsabilità esclusiva, rispetto agli altri garanti europei, di vigilare sulla conformità di Facebook al Regolamento, secondo il principio dello sportello unico (c.d. one stop shop).
Il Garante per la privacy italiano ha espresso dubbi in merito al meccanismo posto in atto con lo strumento dello Sportello Unico evidenziandone i limiti e le lacune. “Esso è la parola magica che consente alle imprese di poter scegliere come sede principale in Europa un Paese non molto grande, con un’Autorità Privacy non di grandi dimensioni, e poter beneficiare di un’attenzione particolare da parte del governo dove Google, Facebook o Amazon decidono di venire a fare la propria sede” .
Il tema dell’armonizzazione delle norme
L’obiettivo precipuo del Regolamento Europeo 2016/679 è l’armonizzazione e l’uniforme applicazione delle norme in esso contenute su tutto il territorio europeo. Il principio dello Sportello Unico mira a raggiungere detto risultato prevedendo come le imprese avranno a che fare con una sola Autorità di controllo, cioè quella della sede principale, piuttosto che con ogni Autorità dei 28 Stati europei. Proprio perché la decisione dell’autorità di controllo nazionale troverà poi applicazione anche negli altri Paesi dell’Unione ed avrà dunque carattere vincolante, l’applicazione di tale principio non può rinunciare alla collaborazione tra Autorità garanti privacy, proprio come sostenuto dal Garante privacy italiano Antonello Soro.
Il perdurare di una leale cooperazione tra le Autorità garanti per la privacy si mostra dunque essenziale per superare, almeno in parte, le criticità sopra evidenziate e tale da costituire la condizione imprescindibile per aspirare all’omogenea applicazione del Regolamento europeo 2016/679, finalità comune a ciascuna singola Autorità nazionale privacy.
