Abbiamo già parlato del pacchetto di linee guida sul “Regolamento privacy europeo” (reg. UE 2016/679) pubblicato dai Garanti europei (Gruppo di lavoro ex art. 29) il 13-16 dicembre 2016.

Esse riguardano anche il cd. one-stop-shop, ossia lo “sportello unico” del titolare e del responsabile di trattamento, una delle principali e più attese novità del Regolamento.

Occorre notare che le linee guida europee si limitano a una ricognizione ordinata dell’articolato normativo con pochi addenda interpretativi, a conferma, in questo caso, di un buon lavoro del legislatore.

Di che cosa si tratta

Introdurre uno “sportello unico” vuol dire essenzialmente stabilire quale referente del titolare o del responsabile di trattamento un’unica Autorità garante europea, individuata tra le attuali 28 (ante-Brexit) esistenti.

Ciò implica un riparto di competenze decisorie tra Autorità garanti europee: quale Autorità è competente per che cosa e come debbano coordinarsi tra loro le Autorità degli Stati membri.

Naturalmente, ciò ha senso solo se ci si supera una dimensione puramente nazionale del trattamento ci si pone in una prospettiva di circolazione europea dei dati personali.

Che cosa accade, per esempio, se un titolare di trattamento stabilito in Italia ha anche una sede in Francia o in Austria e queste sedi sono parte di uno stesso contesto di trattamento?

Come devono coordinarsi tra loro i tre Garanti nazionali?

Oppure che cosa accade se il titolare, benché monostabilito, svolge un trattamento che produce effetti significativi su persone fisiche di altri Stati membri?

Si pensi a un’applicazione per cellulare che traccia gli spostamenti dell’utente, per finalità di salute o di wellness.

Si pensi ancora a un servizio di assistenza post-vendita con stabilimenti in più di uno Stato membro che prendono decisioni autonome sui clienti assistiti nei rispettivi mercati di competenza.

La situazione attuale

Oggi ciascuna Autorità garante nazionale è competente per i trattamenti che si svolgono nel proprio territorio, ai sensi dell’art. 28 direttiva 95/46/CE e ciascun titolare e responsabile di trattamento ha come referenti tutti i Garanti europei territorialmente coinvolti dal trattamento.

Il rischio è quello di una dispersione di energie, di una moltiplicazione di oneri burocratici e, non da ultimo, di un’incoerenza di risultati.

Ad esempio, in un contesto di trattamento distribuito tra Irlanda, Francia e Grecia, occorre tendenzialmente passare il vaglio dei Garanti dei tre Stati membri.

L’esigenza alla base dello sportello unico è dunque di semplificazione: per titolari e responsabili vuol dire individuare, fra i Garanti europei, quello con cui relazionarsi in via esclusiva.

Per i Garanti europei, “sportello unico” vuole invece dire determinare l’Autorità “capofila” tra essi. Dunque – dal lato dei Garanti – è corretto parlare non di competenza esclusiva quanto di primazia.

Che cosa cambia a partire dal 25 maggio 2018

Dal 25 maggio 2018, data in cui il Regolamento privacy sarà applicabile, ci sarà pertanto un solo Garante nazionale cui il titolare e il responsabile di trattamenti di dati transnazionali (cross-border processing) faranno riferimento.

Quel Garante sarà altresì il “capofila” (lead Authority) per altri Garanti nazionali coinvolti.

È la sede unica o principale del titolare o del responsabile di trattamento a determinare questo Garante.

Occorrono perciò due condizioni:

– che un trattamento sia qualificabile come “transfrontaliero”;

– che il titolare o il responsabile che lo effettuano abbiano una sede unica o principale (effettiva) nell’Unione europea.

Che cosa si intende per trattamento “transfrontaliero”?

Ai sensi dell’art. 4.23) RGPD, un trattamento è “transfrontaliero” quando è svolto nel contesto delle attività di stabilimenti collocati in almeno due diversi Stati membri.

È altresì “trasfrontaliero” quando, anche a prescindere dalla pluralità di stabilimenti nazionali, è probabile che produca significativi effetti su interessanti in almeno due diversi Stati membri.

Il concetto di “contesto delle attività” (context of activity) è lo stesso dell’art. 3 RGDP e il medesimo già affrontato dalla Corte di Giustizia UE nella storica sentenza Google Spain. Si rimanda ad altro articolo di questo blog giuridico.

“Probabile” – osservano i Garanti europei – vuol dire che la possibilità di produrre effetti significativi è maggiore di quella di non produrli.

Attenzione: non si richiede la realizzazione concreta di effetti, basta la probabilità.

Quando si producono effetti significativi sugli interessati?

I Garanti europei forniscono qui una casistica che ha grande utilità orientativa.

Si hanno effetti significativi sugli interessati quando sussiste:

– (probabilità di) cagionare loro danno, perdita, sofferenza;

– (probabilità di) una concreta limitazione dei loro diritti o del rifiuto di occasioni;

– (probabilità di) inciderne salute, benessere, serenità;

– (probabilità di) inciderne lo stato o le condizioni economiche;

– esposizione degli interessati a discriminazione o trattamento ingiusto;

– analisi di dati sensibili o comunque intrusivi o relativi a minori;

– (probabilità di) determinare gli interessati a una significativa modifica dei propri comportamenti;

– la produzione di imbarazzo o altre conseguenze negative, incluso il danno reputazionale;

– trattamento di un’ampia tipologia di dati personali.

Questa sistemazione concettuale ha, ad opinione di chi scrive, un pregio che supera il mero contesto dell’istituto in commento.

In altre parole, vengono qui individuati in generale casi in cui si può dire che un trattamento di dati personali produce significative conseguenze di rilievo giuridico.

Che cosa si intende per stabilimento unico o principale nell’Unione?

La nozione di stabilimento unico è auto-evidente.

Per stabilimento “principale” si intende invece la sede dell’amministrazione centrale dichiarata dal titolare o dal responsabile (dovrà tuttavia essere effettiva e non fittizia).

Tuttavia, se per uno specifico trattamento, la sede in cui sono prese e rese esecutive le decisioni sulle finalità e modalità è un’altra, sarà questa lo stabilimento determinante per quel trattamento.

Il criterio funzionale prevale cioè su quello formale.

Ne segue anche che un titolare del trattamento può ben avere stabilimenti principali diversi a seconda del trattamento considerato.

I Garanti europei riportano l’esempio di una banca con amministrazione centrale a Francoforte, in Germania, che abbia a Vienna, in Austria, uffici competenti per il solo settore assicurativo.

Ebbene, autorità capofila per i trattamenti della banca è in generale il Garante tedesco, tuttavia i trattamenti che afferiscono ai rapporti assicurativi sono di competenza del Garante austriaco, non di quello tedesco.

In concreto, è prevedibile che questa regola di riparto darà luogo a potenziali conflitti di competenza, che saranno risolti in via ultimativa, ove occorrer dovesse, dal costituendo Comitato europeo per la protezione dei dati.

Che cosa accade se il titolare o il responsabile non hanno stabilimenti nell’Unione?

In tali casi il beneficio dello “sportello unico” è inapplicabile al titolare di trattamento, e saranno competenti le Autorità garanti di tutti gli Stati membri, ciascuna nel proprio territorio, come avviene oggi.

Quanto al responsabile, si farà invece riferimento al luogo dove avvengono le principali attività di trattamento, cfr. art. 4.16).b), ove ciò sia applicabile.

Uno sportello unico per le imprese

Considerato l’ambito di circolazione transnazionale del trattamento, è facile immaginare che i principali fruitori del one-stop-shop saranno le imprese.

Può quindi parlarsi, col beneficio di una (significativa) semplificazione, di uno sportello unico per le imprese.

Per le pubbliche amministrazioni vale invece una sorta di competenza “erariale”: il Garante con cui relazionarsi in via esclusiva e quello esclusivamente competente (non si parla qui di “capofila”) è quello del relativo Stato membro, cfr. art. 55.2 RGDP.

Lo stesso vale per chiunque svolga un trattamento in assolvimento di un obbligo di legge di quello Stato membro o nell’esecuzione di compiti di interesse pubblico o nell’esercizio di pubblici poteri.

In conclusione

Il Regolamento tempera l’applicazione rigorosa dello “sportello unico”, permettendo in determinati casi il coinvolgimento, sia pure su un piano non paritario rispetto al Garante capofila, di altri Garanti nazionali “interessati”.

La soluzione di eventuali conflitti è rimessa in ultima istanza al Comitato europeo per la protezione dei dati, ossia all’organismo che rappresenta l’evoluzione istituzionale dell’attuale Gruppo di lavoro ex art. 29, il quale acquista con ciò, nella gerarchia amministrativa, poteri “nomofilattici”, superando così il mero ruolo consultivo attualmente ricoperto.

Da ultimo, giova ricordare che lo sportello unico si applica solo ai rapporti amministrativi (anche giustiziali) con le Autorità garanti, ma non modifica la competenza giurisdizionale.

Avv. Enrico Pelino

(Il presente articolo può essere utilizzato e liberamente pubblicato o riprodotto, per intero o per estratto, purché si citi: autore (avv. Enrico Pelino), titolo (One-stop-shop: le linee guida europee), data (4.4.2017), sito (www.griecopelino.com) oppure link esatto all’articolo nel sito)