Le Autorità privacy Ue avranno maggiore autonomia contro le imprese extra Ue

Privacy 8 Marzo 2024

Chiarita dal Comitato dei Garanti la nozione di stabilimento principale

Articoli correlati
Privacy

Progetto S.IN.D.A.C.A.: via libera del Garante Privacy

Privacy

Assegno di inclusione, Garante Privacy: ok alle verifiche Inps

Privacy

G7 dei Garanti privacy: positivo bilancio dell’incontro mondiale

Privacy

Norme di adeguamento della normativa nazionale alla governance europea dei dati

Privacy

IA: il G7 dei Garanti privacy a Roma dal 9 all’11 ottobre

Quando un’impresa extra europea ha uno stabilimento nei Paesi membri dell’Unione europea, ma le decisioni sulle finalità e sui mezzi del trattamento sono prese al di fuori dell’UE, il meccanismo del cosiddetto “Sportello Unico” non si applica. In questi casi qualunque Autorità privacy di un Paese membro potrà muoversi in maniera autonoma per tutelare i diritti dei propri cittadini e intervenire direttamente presso il titolare.

L’importante decisione è stata presa dal Comitato europeo per la protezione dati (EDPB) il 13 febbraio adottando un parere sulla nozione di “stabilimento principale” e sui criteri per l’applicazione del meccanismo dello One-Stop-Shop, secondo cui l’autorità di controllo capofila funge da punto di contatto principale per il titolare o il responsabile del trattamento (mentre le autorità di controllo interessate fungono da punto di contatto principale per gli interessati nel territorio del proprio Stato membro) ed è incaricata di condurre il processo di cooperazione con le altre Autorità.

La nozione di stabilimento principale è una delle pietre miliari del One-Stop-Shop ed è fondamentale per determinare quale, se del caso, sia l’autorità di controllo principale nei casi di protezione dei dati che coinvolgano più Stati membri.

Il Comitato ha chiarito che il “luogo di amministrazione centrale” di un titolare del trattamento nell’UE può essere considerato “stabilimento principale” solo se è lì che si prendono decisioni sulle finalità e sui mezzi del trattamento dei dati personali e se si ha il potere di far attuare tali decisioni. Solo in questo caso, dunque, si applica il meccanismo dello Sportello Unico.

Quando le decisioni sulle finalità e sui mezzi del trattamento sono prese al di fuori dell’UE, “luogo di amministrazione centrale” non può essere considerato stabilimento principale del titolare del trattamento nell’Unione né si deve applicare il One-Stop-Shop, e pertanto qualunque Autorità nazionale può intervenire direttamente presso il titolare.

Spetta inoltre al titolare, chiarisce ancora il parere, l’onere di dimostrare che le decisioni sulle finalità e sui mezzi del trattamento dei dati personali siano state prese nel Paese Ue dove è stabilito lo stabilimento principale e le sue conclusioni possono comunque essere confutate dalle Autorità di protezione dati.

Fonte: Garante Privacy

ANCITEL

Anci Digitale S.p.A.
Società in house dell’Associazione Nazionale Comuni Italiani e di ACI Informatica