di Paolo Balboni

Come ricorda fin subito l’A29WP, le linee guida inerenti le modalità di inquadramento dell’autorità di controllo capofila sono da prendere in considerazione solamente nel caso di trattamenti di dati transfrontalieri. Operazione preliminare è quindi quella di stabilire se ci si trova difronte ad un trattamento transfrontaliero.

Secondo l’Art. 4(23) del RGPD “trattamento transfrontaliero” potrebbe significare sia:

  • il trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure
  • il trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro.

Sul concetto di trattamento che ‘incide in modo sostanziale’ sugli interessati, il RGPD però non dà alcun chiarimento. Al tal riguardo, le linee guida affermano che le autorità di controllo interpreteranno ‘incide in modo sostanziale’ caso per caso, tenendo conto dei seguenti elementi: il contesto in cui è effettuato il trattamento, il tipo di dati trattati, le finalità del trattamento e le indicazioni su come sono eseguite le operazioni di trattamento.

Inoltre, le linee guida ricordano che gli Articoli 60-62 del RGPD prevedono che l’autorità di controllo capofila collabori con le altre autorità interessate, per esempio in caso di ‘one stop shop’, di assistenza reciproca e di operazioni congiunte, dove si sottopone ogni progetto di decisione a tali autorità di vigilanza che siano interessate da attività di trattamento di loro competenza.

Un ulteriore aspetto di cui tenere conto: le linee guida evidenziano come individuare i titolari e i responsabili del trattamento con riferimento ai loro stabilimenti nel territorio dell’Unione.

Per quanto riguarda il titolare del trattamento, ai sensi dell’Art. 56 del RGPD, l’autorità di controllo del paese in cui il titolare ha lo stabilimento principale sarà l’autorità di controllo capofila.

I fattori che seguono sono indicati dalle linee guida come utili per determinare lo stabilimento principale del titolare del trattamento:

  • Esiste una unica sede nel territorio dell’UE?

Se la risposta è affermativa, e se il trattamento incide in modo sostanziale o rischia di incidere in maniera sostanziale su interessati in più di uno Stato membro, l’autorità di controllo capofila sarà l’autorità di controllo del luogo di quel singolo stabilimento.

  • Esiste una sede principale nel territorio dell’UE?

Se è questo il caso, bisognerà interrogarsi su quali sono i ruoli e le decisioni circa le finalità e gli strumenti del trattamento prese nella sede principale, e se sono concentrati qui i poteri decisionali sulle attività di trattamento.

Per quanto riguarda invece il responsabile del trattamento, il RGPD permette anche ai responsabili con sedi in più di uno Stato membro di beneficiare del sistema di ‘one-stop-shop’.

Le linee guida sottolineano anche come potrebbero verificarsi situazioni ‘borderline’ e complesse in cui è difficile individuare lo stabilimento principale o determinare dove vengono prese le decisioni riguardanti le attività di trattamento dei dati. Questo ad esempio nel caso in cui vi è un’attività di trattamento transfrontaliera e il responsabile è stabilito in diversi Stati membri, ma non c’è una sede centrale nell’UE ed in nessuno degli stabilimenti europei sono prese decisioni sui trattamenti effettuati, come quando tali decisioni sono assunte esclusivamente al di fuori della UE.

In tali circostanze, le linee guida indicano come metodo da seguire la designazione formale della sede che sarà da considerarsi quale sede principale del trattamento, se effettivamente alcune decisioni sulle finalità sono prese in quella sede. Se non viene formalmente designata la sede principale del trattamento, non sarà possibile individuare l’autorità capofila. In alternativa, saranno le autorità di controllo dello o degli stati membri interessati ad effettuare ulteriori indagini in proposito e a prendere questa decisione.

L’A29WP, infine, elenca anche una serie di domande dettagliate, utili per individuare l’autorità di controllo capofila in caso di dubbio, e una FAQ con una breve rassegna di tutti i punti rilevanti descritti nelle linee guida.

Condividi su twitter
Condividi su linkedin
Condividi su email

Pubblicato il:

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.