Il Gruppo di lavoro è stato istituito in virtù dell'articolo 29 della direttiva 95/46/CE. È l'organo consultivo indipendente dell'UE per la protezione dei dati personali e della vita privata. I suoi compiti sono fissati all'articolo 30 della direttiva 95/46/CE e all'articolo 15 della direttiva 2002/58/CE.

Le funzioni di segreteria sono espletate dalla direzione C (Diritti fondamentali e Stato di diritto) della Commissione europea, direzione generale Giustizia e consumatori, B -1049 Bruxelles, Belgio, ufficio MO59 05/35.

Linee guida per l'individuazione dell'autorità di controllo capofila in relazione a uno specifico titolare del trattamento o responsabile del trattamento

1 - Individuazione dell'autorità di controllo capofila: fondamenti concettuali

1.1 Trattamento transfrontaliero di dati personali

L'esigenza di individuare l'autorità di controllo capofila sorge solo se il titolare del trattamento o responsabile del trattamento effettua un trattamento transfrontaliero di dati personali. In base all'articolo 4, punto 23, del regolamento generale sulla protezione dei dati (RGPD), per "trattamento transfrontaliero" si intende:

- [il] trattamento di dati personali che ha luogo nell'ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell'Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure

- [il] trattamento di dati personali che ha luogo nell'ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell'Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro.

Ne deriva che una società con stabilimenti in Francia e Romania, per esempio, che tratta i dati personali nel contesto delle attività di tali stabilimenti effettua trattamenti transfrontalieri.

La stessa società potrebbe trattare i dati soltanto nel contesto dello stabilimento situato in Francia. Se però tale attività incide in modo sostanziale, o è probabile che incida in modo sostanziale, su interessati in Francia e in Romania, di nuovo saremo di fronte a un trattamento transfrontaliero.

1.1.1 "incide in modo sostanziale"

Il RGPD non definisce né cosa si debba intendere per "in modo sostanziale" né il significato del verbo "incidere". Tale formulazione vuole garantire che nella definizione di "trattamento transfrontaliero" non rientri qualsiasi attività di trattamento, a prescindere dai suoi effetti, svolta nel contesto delle attività di un singolo stabilimento.

Il tenore letterale dell'aggettivo "sostanziale" (substantial nel testo inglese) viene esplorato nel testo originale con riguardo al lemma presente nell'Oxford English Dictionary. Per l'Italia, un approccio analogo postula di ricercare il lemma, per esempio, sul Dizionario Enciclopedico Treccani, dove si rinvengono le seguenti esemplificazioni: "che è relativo alla sostanza", "essenziale", "fondamentale", "di sostanza, di fondo", "con più diretta contrapposizione a ciò che è particolare o marginale"; ne vengono offerti come sinonimi "concreto, materiale, reale".

Lo stesso dicasi per il verbo "incidere" ([to] affect nel testo inglese). Nel Dizionario Treccani si rinvengono le seguenti esemplificazioni: "ricadere, gravare su qualcuno o qualche cosa", "influire profondamente, far risentire le conseguenze, lasciare profonda traccia su qualche cosa". Tutto ciò sembra indicare che un trattamento "incide" su qualcuno nella misura in cui ha un qualche tipo di impatto su tale soggetto. Un trattamento che non produce effetti sostanziali su una persona fisica non rientra nella seconda parte della definizione di "trattamento transfrontaliero"; tuttavia, a un trattamento del genere si applicherebbe la prima parte della definizione se esso avvenisse nel contesto delle attività di stabilimenti situati in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell'Unione, ove tale titolare o responsabile fosse stabilito in più di uno Stato membro.

Un trattamento è riconducibile alla parte b) della definizione di cui sopra se sussiste la probabilità di un suo effetto sostanziale, e non solo se si produce in concreto un effetto sostanziale. Si osservi che l'impiego dell'avverbio "probabilmente" esclude che si tratti di una possibilità remota: la probabilità del verificarsi di effetti sostanziali deve essere superiore alla probabilità che essi non si verifichino. D'altro canto, non è necessario che gli effetti su una persona fisica si producano in concreto: la probabilità di un effetto sostanziale è sufficiente a ricondurre il trattamento nell'ambito della definizione di "trattamento transfrontaliero".

La circostanza per cui un determinato trattamento comporta l'elaborazione di dati personali relativi a un numero anche elevato di persone fisiche in più Stati membri non implica necessariamente che tale trattamento produca effetti sostanziali, né che ciò sia probabile. Un trattamento che non produca effetti sostanziali non rappresenta un trattamento transfrontaliero ai fini della parte b) della relativa definizione, indipendentemente dal numero di persone sulle quali esso incide.

Nell'interpretare il senso dell'espressione "incide in modo sostanziale", le autorità di controllo valuteranno ciascun caso in rapporto alle specifiche circostanze, tenendo conto del contesto in cui si svolge il trattamento, del tipo di dati trattati, delle finalità del trattamento e di altri fattori fra cui in che misura il trattamento:

• sia causa, o probabile causa, di una perdita, un danno o un disagio per la persona;
• produca concretamente, o sia probabile che produca concretamente, una limitazione dei diritti o un'esclusione da benefici e opportunità;
• incida, o probabilmente incida, sulla salute, il benessere o la tranquillità della persona;
• incida, o probabilmente incida, sulla situazione economica o finanziaria della persona;
• esponga la persona a forme di discriminazione o disparità di trattamento;
• comporti l'analisi di categorie particolari di dati personali o di altri dati che configurano un'ingerenza nella sfera privata, in particolare dati personali di minori;
• sia causa, o probabile causa, di modifiche significative nella condotta della persona;
• generi conseguenze impreviste, inattese o indesiderate per la persona;
• provochi situazioni di imbarazzo o altre conseguenze negative, compreso il danno reputazionale; ovvero
• comporti il trattamento di un'ampia gamma di dati personali.

Il criterio sintetizzato dalla formula "incide in modo sostanziale" è inteso a garantire, in ultima analisi, che le autorità di controllo siano tenute a cooperare secondo le procedure formalizzate nel meccanismo di coerenza del RGPD esclusivamente "quando un'autorità di controllo intenda adottare una misura intesa a produrre effetti giuridici con riguardo ad attività di trattamento che incidono in modo sostanziale su un numero significativo di interessati in vari Stati membri" (considerando 135).

1.2 Autorità di controllo capofila

L' "autorità di controllo capofila" è sostanzialmente l'autorità cui spetta in prima battuta la gestione di un trattamento transfrontaliero – per esempio, in caso di reclami presentati da un interessato rispetto al trattamento dei suoi dati personali.

L'autorità di controllo capofila dovrà coordinare ogni attività di accertamento attraverso il coinvolgimento di altre autorità di controllo "interessate".

Per individuare l'autorità di controllo capofila occorre stabilire dove si trovi lo "stabilimento principale" ovvero lo "stabilimento unico" del titolare all'interno dell'UE. In base all'articolo 56 del RGPD:

- l'autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare del trattamento o responsabile del trattamento è competente ad agire in qualità di autorità di controllo capofila per i trattamenti transfrontalieri effettuati dal suddetto titolare del trattamento o responsabile del trattamento, secondo la procedura di cui all'articolo 60.

1.3 Stabilimento principale

Ai sensi dell'articolo 4, punto 16, del RGPD, per "stabilimento principale" s'intende:

- per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell'Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell'Unione e che quest'ultimo stabilimento abbia facoltà di ordinare l'esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale;

- con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell'Unione o, se il responsabile del trattamento non ha un'amministrazione centrale nell'Unione, lo stabilimento del responsabile del trattamento nell'Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento.

2 - Procedura di individuazione dell'autorità di controllo capofila

2.1 Individuazione dello "stabilimento principale" del titolare del trattamento

Per stabilire dove si trovi lo stabilimento principale, occorre innanzitutto individuare il luogo dell'amministrazione centrale del titolare del trattamento nell'UE(1). In base all'approccio sotteso al RGPD il luogo dell'amministrazione centrale nell'UE è quello in cui sono adottate le decisioni sulle finalità e i mezzi del trattamento di dati personali e che ha la facoltà di ordinare l'esecuzione di tali decisioni.

L'essenza del principio dell'autorità di controllo capofila previsto nel RGPD è che il controllo su un trattamento transfrontaliero sia svolto sotto la direzione di una sola autorità di controllo nell'UE. Qualora le decisioni su vari trattamenti transfrontalieri siano prese nel luogo dell'amministrazione centrale nell' UE, vi sarà un'unica autorità capofila per i diversi trattamenti transfrontalieri svolti dalla società multinazionale. Tuttavia, possono aversi casi in cui uno stabilimento diverso da quello ove ha sede l'amministrazione centrale assume decisioni autonome quanto alle finalità e ai mezzi di uno specifico trattamento. Ciò significa che, in determinate situazioni, potranno esservi più autorità capofila: è il caso, per esempio, di una multinazionale che decida di prevedere centri decisionali distinti, in distinti paesi, per distinti trattamenti.

Vale la pena di ricordare che se una società multinazionale centralizza tutte le decisioni relative alle finalità e ai mezzi dei rispettivi trattamenti presso uno dei suoi stabilimenti nell'UE (e se questo stabilimento dispone della facoltà di ordinare l'esecuzione di tali decisioni), allora vi sarà un'unica autorità di controllo capofila per la multinazionale in questione.

In casi del genere sarà fondamentale che la società definisca con precisione dove sono prese le decisioni sulle finalità e i mezzi del trattamento. Individuare correttamente lo stabilimento principale è nell'interesse del titolare del trattamento e del responsabile del trattamento perché elimina ogni ambiguità sull'autorità di controllo che fungerà da loro interlocutore per le varie incombenze previste dal regolamento: dalla designazione del responsabile della protezione dei dati (RPD), ove applicabile, alla consultazione dell'autorità in relazione a un trattamento a rischio che il titolare del trattamento non sia in grado di attenuare attraverso mezzi ragionevoli. Le disposizioni del regolamento in materia mirano a facilitare la gestione di queste incombenze.

Di seguito sono riportate alcune esemplificazioni:

Esempio 1: Una società alimentare ha la propria sede centrale (ossia il "luogo dell'amministrazione centrale") a Rotterdam, nei Paesi Bassi. La società possiede stabilimenti in altri paesi UE che si occupano dei contatti con gli interessati in tali paesi. Tutti gli stabilimenti utilizzano lo stesso software per trattare i dati personali dei consumatori a fini di marketing. Tutte le decisioni su finalità e mezzi del trattamento di dati per tali finalità sono assunte presso la sede centrale di Rotterdam. Ne deriva che l'autorità capofila per questi trattamenti transfrontalieri è l'autorità di controllo dei Paesi Bassi.

Esempio 2: La sede centrale di una banca si trova a Francoforte, e tutti(2) i trattamenti connessi all'attività bancaria sono gestiti da tale sede; tuttavia, l'ufficio assicurazioni della banca ha sede a Vienna. Se lo stabilimento situato a Vienna dispone dell'autorità per decidere su tutti i trattamenti connessi ad attività assicurative e ordinare l'esecuzione delle relative decisioni sull'intero territorio dell'UE, allora – come previsto dall'articolo 4, punto 16, del regolamento – sarà l'autorità di controllo austriaca a fungere da autorità capofila rispetto al trattamento transfrontaliero di dati personali per finalità assicurative, mentre le autorità tedesche (in questo caso, l'autorità di controllo del Land Assia) avranno il compito di monitorare il trattamento di dati personali per finalità bancarie ovunque si collochi la clientela(3).

2.1.1 Criteri per l'individuazione dello stabilimento principale qualora esso non corrisponda al luogo dell'amministrazione centrale nell'UE

Il considerando 36 fornisce utili chiarimenti sul criterio da usare in via primaria per definire quale sia lo stabilimento principale di un titolare del trattamento ove non trovi applicazione il criterio del luogo di amministrazione centrale. Si tratta di individuare dove si collochi l'esercizio reale ed effettivo delle attività gestionali tese a definire finalità e mezzi del trattamento nel quadro di un'organizzazione stabile. Il considerando 36 chiarisce, inoltre, che "la presenza o l'uso di mezzi tecnici e tecnologie di trattamento di dati personali o di attività di trattamento non costituiscono di per sé lo stabilimento principale né sono quindi criteri determinanti della sua esistenza".

Spetta al titolare del trattamento individuare dove si trovi il proprio stabilimento principale e, conseguentemente, quale sia l'autorità capofila; tuttavia, l'autorità di controllo volta per volta interessata può successivamente sollevare obiezioni rispetto a tale determinazione.

L'elenco riportato qui di seguito indica alcuni criteri utili per determinare la sede dello stabilimento principale del titolare del trattamento ai sensi del RGPD, qualora esso non costituisca il luogo dell'amministrazione centrale nell'UE.

• Dove viene dato il definitivo "via libera" alle decisioni su finalità e mezzi del trattamento?
• Dove vengono prese le decisioni su attività societarie che comportano trattamenti di dati?
• Dove si trova effettivamente la facoltà di ordinare l'esecuzione delle decisioni prese?
• Dove si trova l'amministratore (o gli amministratori) cui spetta la responsabilità gestionale complessiva del trattamento transfrontaliero?
• In quale paese risulta costituita la società titolare o responsabile del trattamento, se questa ha sede in un solo Stato?

Si osservi che l'elenco non è esaustivo; possono risultare pertinenti altri fattori in rapporto al singolo titolare del trattamento o al trattamento svolto. Se un'autorità di controllo ha motivo di dubitare della corretta identificazione dello stabilimento principale effettuata dal titolare del trattamento ai fini del RGPD, potrà sempre chiedere a tale titolare di fornirle le ulteriori informazioni necessarie a dimostrare dove si trovi effettivamente lo stabilimento principale.

2.1.2 Gruppi imprenditoriali

Qualora un trattamento sia svolto da un gruppo imprenditoriale la cui sede centrale è situata nell'UE, si presume che lo stabilimento dell'impresa controllante sia il centro decisionale con riguardo al trattamento di dati personali e, quindi, rappresenti lo stabilimento principale del gruppo – tranne ove finalità e mezzi del trattamento siano decisi da un diverso stabilimento. È probabile che la sede operativa o controllante del gruppo sul territorio dell'UE sia lo stabilimento principale ai fini del regolamento, perché è in tale sede che si colloca il luogo dell'amministrazione centrale.

Nella definizione si fa riferimento al luogo dell'amministrazione centrale del titolare del trattamento, il che si attaglia perfettamente a quegli organismi che dispongono di una sede centrale, dove si trova il centro decisionale, e presentano una struttura ramificata. In casi del genere è evidente che la potestà decisionale sui trattamenti transfrontalieri e sull'esecuzione delle relative determinazioni spetta alla sede centrale, ed è quindi immediato definire la sede dello stabilimento principale e, conseguentemente, quale sia l'autorità di controllo capofila. Possono però esservi casi in cui il sistema decisionale di un gruppo imprenditoriale è più complesso e singoli stabilimenti dispongono di poteri decisionali indipendenti per quanto concerne i trattamenti transfrontalieri. I criteri sopra delineati possono aiutare i gruppi imprenditoriali nell'individuazione del rispettivo stabilimento principale.

2.1.3 Contitolarità del trattamento

Il regolamento non contiene indicazioni specifiche quanto all'individuazione dell'autorità capofila in presenza di due o più titolari del trattamento stabiliti nell'UE che definiscano congiuntamente finalità e mezzi del trattamento, ossia in situazioni di contitolarità del trattamento. L'articolo 26, paragrafo 1, e il considerando 79 chiariscono che i singoli contitolari devono stabilire, in modo trasparente, le rispettive responsabilità quanto all'osservanza degli obblighi che loro incombono in base al regolamento. Pertanto, al fine di beneficiare del principio dello "sportello unico", i contitolari del trattamento dovrebbero indicare, fra gli stabilimenti ove sono assunte decisioni in merito al trattamento, quello che disporrà della facoltà di ordinare l'esecuzione di tali decisioni con riguardo alla totalità dei contitolari del trattamento. Sarà quest'ultimo stabilimento a costituire lo stabilimento principale rispetto al trattamento svolto in contitolarità. L'accordo raggiunto fra i contitolari lascia impregiudicate le norme in materia di responsabilità previste nel regolamento, con particolare riguardo alle disposizioni dell'articolo 82, paragrafo 4.

2.2 Casi limite

Possono esserci situazioni limite o particolarmente complesse in cui risulta difficile individuare lo stabilimento principale o stabilire dove sono prese le decisioni in merito ai trattamenti, per esempio quando c'è un trattamento transfrontaliero e il titolare del trattamento è stabilito in più Stati membri ma non ha un'amministrazione centrale nell'UE e nessuno degli stabilimenti nell'UE ha poteri decisionali rispetto al trattamento – ossia quando le decisioni sono prese al di fuori dell'UE.

In tal caso, la società che effettua trattamenti transfrontalieri ha probabilmente interesse a interagire con un'autorità capofila così da beneficiare del principio dello sportello unico. Tuttavia, il regolamento non offre una soluzione specifica; in situazioni del genere, la società dovrebbe designare come stabilimento principale quello che dispone della facoltà di ordinare l'esecuzione delle decisioni in materia di trattamento e assumersi le relative responsabilità, anche in termini di sufficienti risorse patrimoniali. Se la società non sceglie di designare uno stabilimento principale nei modi descritti, non sarà possibile individuare un'autorità capofila. Resta ferma la possibilità per le autorità di controllo di condurre ulteriori accertamenti se del caso.

Il regolamento non consente il "forum shopping": se una società afferma che il proprio stabilimento principale si trova un determinato Stato membro, ma tale stabilimento non svolge alcun esercizio reale ed effettivo di attività gestionali o decisionali rispetto al trattamento di dati personali, le autorità di controllo pertinenti (e, in ultima analisi, il Comitato) decideranno quale sia l'autorità di controllo "capofila" sulla base di criteri oggettivi e dell'analisi degli elementi probatori disponibili. Per determinare dove si trovi lo stabilimento principale potranno essere necessarie fattive attività di accertamento e collaborazione da parte delle autorità di controllo; la valutazione finale non può fondarsi esclusivamente sulle dichiarazioni rese dalla società o dal soggetto sotto esame. L'onere della prova ricade, in ultima analisi, su titolari del trattamento e responsabili del trattamento: questi dovrebbero essere in grado di dimostrare alle pertinenti autorità di controllo dove siano effettivamente assunte le decisioni che riguardano il trattamento di dati e dove si trovi la facoltà di ordinare l'esecuzione di tali decisioni. Un'efficace documentazione delle attività di trattamento faciliterebbe l'individuazione dell'autorità capofila tanto da parte delle società quanto da parte delle autorità di controllo. L'autorità di controllo capofila o le autorità interessate possono respingere l'analisi svolta dal titolare del trattamento, sulla base di un'analisi oggettiva dei fatti pertinenti, e chiedere, se necessario, informazioni ulteriori.

In alcuni casi le autorità di controllo pertinenti chiederanno al titolare del trattamento di fornire elementi inequivocabili – conformi alle linee guida eventualmente pubblicate dal Comitato europeo per la protezione dei dati – a dimostrazione del luogo dove si trova lo stabilimento principale ovvero dove sono prese le decisioni che riguardano un determinato trattamento. A questi elementi probatori sarà attribuito il giusto valore e le autorità di controllo individueranno congiuntamente quale di loro fungerà da capofila. Il Comitato sarà adito soltanto se, ai sensi dell'articolo 65, paragrafo 1, lettera b), le autorità non concorderanno sull'individuazione dell'autorità capofila; tuttavia, ci si attende che, nella maggioranza dei casi, le autorità siano in grado di definire un modus operandi con generale soddisfazione.

2.3 Responsabili del trattamento

Il regolamento consente di beneficiare del sistema di "sportello unico" anche ai responsabili del trattamento soggetti all'applicazione del regolamento stesso e con stabilimenti in più Stati membri.

In base all'articolo 4, punto 16, lettera b), del RGPD, lo stabilimento principale del responsabile del trattamento è il luogo della sua amministrazione centrale nell'UE ovvero, qualora non vi sia un'amministrazione centrale nell'UE, lo stabilimento nell'UE dove sono condotte le principali attività di trattamento di tale responsabile.

Tuttavia, in base al considerando 36, l'autorità di controllo capofila dovrebbe essere l'autorità capofila per il titolare del trattamento nei casi in cui in un trattamento siano coinvolti sia il titolare sia il responsabile del trattamento. In queste circostanze l'autorità di controllo competente per il responsabile del trattamento sarà un' "autorità interessata" e dovrebbe partecipare alla procedura di cooperazione. Questa regola troverà applicazione esclusivamente se il titolare del trattamento è stabilito nell'UE; se invece il titolare del trattamento è soggetto all'applicazione del regolamento sulla base di quanto dispone l'articolo 3, paragrafo 2, dello stesso, tale titolare sarà escluso dall'intervento del meccanismo di "sportello unico".

Un responsabile del trattamento può fornire servizi a più titolari situati in diversi Stati membri: si pensi, per esempio, a un importante fornitore di servizi cloud. In casi del genere, l'autorità di controllo capofila sarà quella competente a fungere da capofila nei riguardi del titolare del trattamento. Ciò significa, in ultima analisi, che un responsabile del trattamento potrà trovarsi a interagire con molteplici autorità di controllo.

3 - Altre problematiche rilevanti

3.1 Il ruolo dell'"autorità di controllo interessata"

L'articolo 4, punto 22, del RGPD afferma quanto segue:

[si intende per] «autorità di controllo interessata»: un'autorità di controllo interessata dal trattamento di dati personali in quanto: a) il titolare del trattamento o il responsabile del trattamento è stabilito sul territorio dello Stato membro di tale autorità di controllo; b) gli interessati che risiedono nello Stato membro dell'autorità di controllo sono o sono probabilmente influenzati in modo sostanziale dal trattamento; oppure c) un reclamo è stato proposto a tale autorità di controllo.

La nozione di "autorità di controllo interessata" è tesa a garantire che il principio dell'"autorità di controllo capofila" non impedisca ad altre autorità di controllo di esprimere il proprio punto di vista sull'approccio a una specifica problematica – per esempio, qualora persone residenti al di fuori del territorio di competenza dell'autorità di controllo capofila siano influenzate in modo sostanziale da un determinato trattamento. Per quanto riguarda la circostanza di cui alla lettera a), valgono le considerazioni già svolte rispetto all'individuazione dell'autorità di controllo capofila. Per quanto riguarda la condizione di cui alla lettera b), occorre rilevare che essa postula esclusivamente la residenza dell'interessato nello specifico Stato membro: non occorre, dunque, che si tratti di un cittadino di tale Stato membro. Nel caso di cui alla lettera c), non vi saranno generalmente difficoltà a stabilire se una determinata autorità di controllo abbia nei fatti ricevuto un reclamo.

In base all'articolo 56, paragrafi 2 e 5, del regolamento, l'autorità di controllo interessata ha voce in capitolo nella trattazione di un caso anche senza fungere da autorità di controllo capofila. Se l'autorità di controllo capofila decide di non trattare un caso, sarà l'autorità interessata che ne ha informato la capofila a occuparsene, nel rispetto delle procedure di cui all'articolo 61 (assistenza reciproca) e 62 (operazioni congiunte delle autorità di controllo) del regolamento. Una situazione del genere può configurarsi, ad esempio, nel caso in cui una società di marketing il cui stabilimento principale è situato a Parigi lanci un prodotto che produce i propri effetti soltanto su interessati che risiedono in Portogallo. In questo caso le autorità di controllo francese e portoghese potranno stabilire di comune accordo che è opportuno che sia l'autorità di controllo portoghese a gestire la questione. Le autorità di controllo potranno chiedere ai titolari del trattamento di fornire chiarimenti rispetto agli accordi societari in essere. Poiché il trattamento produce effetti esclusivamente locali, ossia solo su interessati nel Portogallo, le due autorità di controllo sono libere di decidere se debba essere quella francese o quella portoghese a occuparsi del caso, conformemente al considerando 127.

Il RGPD impone all'autorità di controllo capofila e alle autorità di controllo interessate di collaborare tenendo in debita considerazione le rispettive posizioni, così da assicurare che le singole problematiche siano esaminate e risolte con mutua soddisfazione e garantendo una via di ricorso efficace agli interessati. Le autorità di controllo sono tenute a ricercare approcci che siano accettabili su base condivisa. Il meccanismo di coerenza dovrebbe entrare in gioco solo se il risultato delle attività di cooperazione non risulta accettabile per tutte le parti in causa.

La reciproca accettazione delle decisioni proposte vale tanto per le conclusioni sostanziali sul caso quanto per l'approccio che si sceglie di adottare – anche rispetto alle attività di indagine (che possono essere a tutto campo ovvero a raggio limitato). Lo stesso dicasi per l'eventuale decisione di non trattare un caso in conformità con il regolamento – per esempio in rapporto a priorità individuate ufficialmente da un'autorità, o a causa dell'esistenza di altre autorità interessate nei termini di cui sopra.

La ricerca di collegialità e un approccio collaborativo fra le autorità di controllo sono elementi essenziali ai fini della riuscita delle procedure di cooperazione e coerenza previste nel regolamento.

3.2 Trattamenti locali

I trattamenti di dati svolti in sede locale non ricadono nel campo di applicazione delle disposizioni del RGPD in materia di cooperazione e coerenza. Le autorità di controllo rispetteranno la competenza reciproca nella gestione su base locale dei trattamenti che hanno impatto locale. Anche i trattamenti svolti dalle autorità pubbliche saranno sempre gestiti su base "locale".

3.3 Società non stabilite nell'UE

Il meccanismo di cooperazione e coerenza previsto dal RGPD si applica esclusivamente ai titolari del trattamento che abbiano uno o più stabilimenti nell'Unione europea. Se una società non dispone di uno stabilimento nell'UE, la semplice esistenza di un rappresentante designato in uno Stato membro non comporta l'intervento del meccanismo di "sportello unico". Ciò significa che un titolare del trattamento che non sia stabilito in alcun paese dell'UE dovrà interfacciarsi con le autorità di controllo di ciascuno Stato membro in cui opera, per il tramite del rappresentante designato.

Fatto a Bruxelles il 13 dicembre 2016

Per il Gruppo di lavoro,

La Presidente

Isabelle FALQUE-PIERROTIN

Versione emendata e adottata in data 5 aprile 2017

Per il Gruppo di lavoro

La Presidente

Isabelle FALQUE-PIERROTIN

ALLEGATO I – Guida all'individuazione dell'autorità di controllo capofila

1. Il titolare del trattamento o il responsabile del trattamento effettua trattamenti transfrontalieri di dati personali?

a. Sì, se:

• il titolare del trattamento o il responsabile del trattamento è stabilito in più Stati membri dell'UE, e
• il trattamento di dati personali avviene nel contesto delle attività di stabilimenti situati in più Stati membri dell'UE.

In tal caso, si vada al punto 2.

b. Sì, se:

• il trattamento di dati personali avviene nel contesto delle attività di un unico stabilimento del titolare del trattamento o del responsabile del trattamento nell'UE, ma tale trattamento:
• incide, o probabilmente incide, in modo sostanziale su interessati in più di uno Stato membro.

In tal caso, l'autorità capofila è quella competente sull'unico stabilimento del titolare del trattamento o del responsabile del trattamento situato nello specifico Stato membro. Quest'ultimo, a termini di logica, è necessariamente lo stabilimento principale del titolare del trattamento o del responsabile del trattamento in quanto è l'unico stabilimento loro pertinente.

2. Individuazione dell'autorità di controllo capofila

a. Se è coinvolto solo un titolare del trattamento:

i. individuare il luogo della sua amministrazione centrale nell'UE;

ii. l'autorità di controllo dello Stato membro dove si trova il luogo di amministrazione centrale del titolare del trattamento è l'autorità capofila per tale titolare.

Tuttavia:

iii. se le decisioni su finalità e mezzi del trattamento sono prese in un altro stabilimento nell'UE, e tale stabilimento dispone della facoltà di ordinare l'esecuzione di tali decisioni, l'autorità capofila sarà quella situata nello Stato ove si trova tale altro stabilimento nell'UE.

b. Se sono coinvolti sia un titolare del trattamento sia un responsabile del trattamento:

i. verificare se il titolare del trattamento è stabilito nell'UE e soggetto al meccanismo di sportello unico. In caso affermativo,

ii. individuare l'autorità di controllo capofila per il titolare del trattamento, che fungerà da autorità di controllo capofila anche per il responsabile del trattamento;

iii. l'autorità di controllo (non capofila) competente per il responsabile del trattamento sarà un'autorità interessata – si veda il punto 3.

c. Se è coinvolto soltanto un responsabile del trattamento:

i. individuare il luogo della sua amministrazione centrale nell'UE;

ii. qualora non vi sia un luogo di amministrazione centrale nell'UE, individuare lo stabilimento nell'UE nel contesto del quale si svolgono le principali attività di trattamento del responsabile.

d. Se sono coinvolti contitolari del trattamento:

i. verificare se i contitolari del trattamento sono stabiliti nell'UE;

ii. designare, fra gli stabilimenti ove sono assunte decisioni in merito alle finalità e ai mezzi del trattamento, quello che dispone della facoltà di ordinare l'esecuzione di tali decisioni con riguardo alla totalità dei contitolari. Questo stabilimento sarà considerato lo stabilimento principale rispetto al trattamento svolto dai contitolari. L'autorità capofila è quella situata nel paese ove si colloca tale stabilimento.

3. Vi sono "autorità di controllo interessate"?

Un'autorità di controllo è un' "autorità di controllo interessata":

• qualora il titolare del trattamento o il responsabile del trattamento abbia uno stabilimento nel suo territorio, ovvero
• qualora il trattamento incida, o è probabile che incida, in modo sostanziale su interessati nel suo territorio, ovvero
• qualora riceva un reclamo.

Fonte: Garante per la Protezione dei dati - Linee guida per l'individuazione dell'autorità di controllo capofila in relazione a uno specifico titolare del trattamento o responsabile del trattamento

LINK: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611235