Il nuovo "Regolamento Generale Sulla Protezione Dei Dati Personali" (RGPD che diventerà operativo dal 2018) indica, tra le varie novità, un preciso procedimento che in caso di trattamento di dati transfrontalieri permette d'individuare quale debba essere l'autorità di controllo che ha il compito di gestire e vigilare sul trattamento. Abbiamo chiesto un parere al Dott. Luigi Dinella dello Studio Legale Fioriglio Croari.
La libertà di stabilimento, uno dei principi cardine dell'Unione Europea, consente a ogni cittadino comunitario (persona fisica o giuridica), di stabilirsi in uno Stato membro per esercitare un'attività non salariata, senza che ciò costituisca causa di discriminazione per quest'ultimo: si applicheranno le stesse regole previste per le medesime attività dello Stato in cui il soggetto si è stabilito.
Questa libertà fa sì che più soggetti (persone fisiche o giuridiche) nello svolgere la propria attività entrino in contatto con vari utenti, cittadini anche di paesi differenti da quello in cui l'azienda è stabilita, con la possibilità di realizzare così un trattamento di dati transfrontaliero.
Nel caso nasca un trattamento di dati di questo tipo sorgeranno due problematiche: in primis sarà necessario indicare cosa esattamente s'intende per trattamento transfrontaliero (con i rispettivi limiti), in seconda fase bisognerà stabilire quale debba essere l'Autorità di controllo che dovrà vigilare sul trattamento e risolvere le eventuali controversie che possono insorgere tra titolare e interessato.
Il nuovo Regolamento generale sulla protezione dei dati personali prevede espressamente questo tipo di situazione e dà precise indicazioni al riguardo. Nell'articolo analizzerò innanzitutto cosa s'intende per trattamento di dati transfrontaliero, per poi specificare quali sono i criteri indicati dalla normativa Comunitaria per individuare l'Autorità di controllo capofila.
Trattamento transfrontaliero
Secondo il dettato normativo del RGPD possono verificarsi due ipotesi in cui un trattamento di dati personali può essere definito "transfrontaliero". Il primo e più semplice è il caso di un titolare del trattamento (o responsabile) che abbia stabilimenti in più di uno Stato membro e, in relazione alla propria attività, abbia necessità di trasferire dati personali di un determinato soggetto da uno stabilimento all'altro.
Più complessa è invece la seconda ipotesi: è il caso di un responsabile che, pur trattando i dati nel contesto dell'attività riferibile allo stabilimento in un solo Stato membro, possa comunque "incidere o probabilmente incidere in modo sostanziale" su interessati di più Stati membri. Il dettato normativo per questa seconda ipotesi appare alquanto complesso anche perché non viene in alcun modo specificato dal RGPD cosa deve intendersi per "incidere in modo sostanziale".
La dottrina, nel cercare di specificare il senso di questa frase, ha identificato varie situazioni che possono rientrare nel secondo tipo di ipotesi di trattamento transfrontaliero (ad esempio quando il trattamento potrebbe portare danni o disagi per l'interessato, o limitarne i diritti, peggiorarne la salute o la condizione economica, i dati trattati siano eccessivi, eccetera) e ha inoltre sottolineato come non è necessario che gli effetti si producano in concreto, bensì, vista la locuzione "o probabilmente incidere", potrà esservi un trattamento di dati transfrontaliero anche quando vi è solamente un'elevata probabilità che ciò si verifichi.
Modalità d'individuazione dell'autorità
Quando si realizza una delle ipotesi profilate in precedenza sarà necessario individuare un'Autorità che ha il compito di gestire il trattamento transfrontaliero (ad esempio, competente a ricevere i reclami): questa è l'Autorità di Controllo Capofila.
L'RGPD indica in modo preciso quale debba essere l'Autorità suddetta, ovvero quella che vigila nello Stato in cui il titolare (o responsabile) del trattamento ha lo stabilimento principale o lo stabilimento unico.
Sarà lo stabilimento principale quello in cui ha sede l'amministrazione centrale dell'azienda del titolare (quando ha stabilimenti in più Stati); tuttavia, qualora vi siano altri stabilimenti con autonomia decisionale sul trattamento dei dati diversi da quello centrale, vi saranno tante Autorità Capofila quanti saranno i centri stabiliti nei vari Stati con autonomia decisionale.
Nel caso in cui l'amministrazione centrale abbia sede in uno Stato non membro dell'Unione Europea, si tiene conto dello stabilimento situato in UE dove vengono svolte le principali attività da parte del responsabile.
Quando invece non venga applicato il criterio dell'amministrazione centrale (perché difficile da individuare) l'RGPD fornisce una soluzione alternativa: individuare il luogo in cui sono effettivamente svolte le attività gestionali di trattamento dei dati. È il titolare a dover indicare qual è lo stabilimento principale (designando in pratica l'Autorità di Controllo Capofila). Tuttavia, l'Autorità di Controllo indicata può sollevare obiezioni al riguardo anche in seguito (svolgendo dei controlli per verificare dove effettivamente sia stabilita l'amministrazione centrale).
Sono state inoltre fornite indicazioni dallo stesso testo del RGPD su quali possano essere dei fattori indicativi dell'amministrazione centrale (per esempio il luogo in cui risiede l'Autorità che dà il via libera alle operazioni sul trattamento dei dati).
Peculiare è il caso dei gruppi imprenditoriali per i quali, salvo diversa disposizione del titolare del trattamento, si presume che l'amministrazione centrale sia sita nella sede della società controllante.
È contemplato anche il caso in cui vi siano più titolari contitolari del trattamento: a meno che questi non optino (per ragioni di semplificazione) per uno "sportello unico", vi saranno tante Autorità quanti saranno gli stabilimenti di questi nei vari Stati.
Infine, bisogna analizzare l'ipotesi dei casi limite, nei quali vi sono più stabilimenti, ma non è indicata nessuna amministrazione centrale: per quest'ipotesi, l'RGPD non offre soluzioni e dunque, qualora quest'ultima non venga indicata dal titolare (o responsabile) del trattamento, vi saranno Autorità di Controllo plurime.
Se volete approfondire il tema delle risorse aziandali leggete il libro Dalle risorse umane alle competenze.