Temi

Shape 5 Live Search

logo

Il nuovo Regolamento europeo per la protezione dei dati personali introduce il principio dello sportello unico (one stop shop).

Poiché l'obiettivo del regolamento europeo è quello di armonizzare le norme e l'applicazione di tali norme nel territorio dell'Unione, tale principio stabilisce che le imprese, e in genere i titolari del trattamento, avranno a che fare con una sola Autorità di controllo, cioè quella del paese dove hanno la sede principale, piuttosto che con le autorità di 28 Stati europei. Ciò che decide l'autorità di controllo nazionale (es. le norme vincolanti di impresa) trova applicazione anche negli altri paesi dell'Unione. 

Questo principio, fortemente auspicato dalle imprese, porta alla semplificazione delle procedure e dovrebbe garantire una maggiore coerenza delle decisioni. Di contro consente all'azienda di scegliersi l'Autorità di vigilanza con la quale avrà a che fare, potendo ovviamente decidere dove stabilire la sede nell'ambito del territorio dell'Unione. Sono, però, nate vibranti polemiche, in quanto tale principio comportamaggiori difficoltà per i cittadini, i cui reclami dovranno essere indirizzati all'Autorità del paese dove ha sede l'azienda, che potrebbe anche essere differente dal paese di residenza del cittadino che ritiene di aver subito un torto. Quindi i cittadini potrebbero incontrare difficoltà dovute alla distanza (e alla differenza di lingua) per far valere i propri diritti.
Inoltre, tale principio si pone anche in contrapposizione con i principi alla base della normativa posta a tutela dei consumatori, che radica la competenza di un Giudice presso la residenza del consumatore medesimo. Tutto ciò finisce per alimentare l'idea di un'Europa burocratica e lontana dai cittadini. Per questo motivo il principio è stato temperato. 

 

One Stop Shop e Autorità Capofila (Leading Authority)

Il principio dello "sportello unico" si applica se: 
- il titolare (o responsabile) del trattamento opera in più Stati dell'Unione europea; 
- il trattamento dei dati pur effettuato da un titolare con sede in un solo Stato incide in modo sostanziale sugli interessati residenti in più di uno Stato membro dell'Unione. 

In questi casi l'autorità di controllo dello Stato in cui si trova la sede oppure la sede principale del titolare (o responsabile) del trattamento funge da autorità di controllo capofila (leading authority) per le attività di trattamento transfrontaliero e per le indagini. Tale autorità ha il diritto di emanare decisioni vincolanti per le altre autorità. Dovrà però cooperare con le altre autorità per i casi più rilevanti che riguardano le violazioni al regolamento europeo sulla protezione dei dati personali e in caso di opinioni contrastanti tra le varie autorità. Le altre autortà, infatti, potranno comunque avviare istruttorie in caso di reclami dei cittadini, notiziando l'autorità capifila che potrà prendere in carico la decisione. In questo caso l'autorità che ha avviato il caso potrà preparare un documento iniziale che l'autorità capofila dovrà tenere in conto.

L'autorità di controllo capofila deve cercare di raggiungere un consenso con le altre autorità interessate sulla gestione dei reclami. Nel caso in cui non si raggiungesse un accordo, le autorità interessate possono ricorrere al Comitato europeo per la protezione dei dati (EDPB) che può emanare decisioni vincolanti in merito alla controversia. In caso di urgenza (art. 66 GDPR), anche le altre autorità di vigilanza possono adottare misure unilaterali indipendentemente dall'autorità capofila, a condizione che tali misure siano provvisorie (per non più di tre mesi) e limitate al proprio territorio. Il sistema nasce dall'esigenza di supportare autorità di controllo come quella dell'Irlanda, che si trova ad avere nela sua giurisdizione sostanzialmente tutte le grandi aziende del web. 

Invece, nel caso in cui il trattamento incide solo su interessi locali, il principio non si applica e la competenza rimane dell'autorità del paese del trattamento. 

Stabilire quale è la leading authority può non essere semplice nel caso coesistano più contitolari del trattamento (es. gruppi di imprese). In questo caso il Working Party Article 29 raccomanda ai contitolari del trattamento (joint controller) di designare quale di loro ha il potere di implementare decisioni vincolanti, al fine di fissare lo stabilimento principale in base al quale, poi, individuare la leading authority

 

Principio di coerenza

Il Regolamento europeo prevede, quindi, un meccanismo di coerenza, gestito dal Comitato europeo per la protezione dei dati, che uniforma l'interpretazione e applicazione del Regolamento in tutti i Paesi dell'Unione, e fa si che un titolare del trattamento non debba negoziare con tutte le autorità di controllo dell'Unione.