One stop shop (sportello unico)

One stop shop (sportello unico)

Il nuovo Regolamento europeo per la protezione dei dati personali all'art. 60 introduce il principio dello sportello unico (one stop shop).

Poiché l'obiettivo del regolamento europeo è quello di armonizzare le norme in materia di protezione dei dati personali e la loro applicazione nel territorio dell'Unione, tale principio stabilisce che le imprese, e in genere i titolari del trattamento, avranno a che fare con una sola Autorità di controllo, cioè quella del paese dove hanno la loro sede principale, piuttosto che con le autorità dei 28 Stati europei. La decisione presa dall'autorità di controllo nazionale (es. le norme vincolanti di impresa) trova quindi applicazione anche negli altri paesi dell'Unione. Ricordiamo, però, che la mera designazione di un rappresentante nel territorio dell'Unione non comporta l'applicazione del principio dello sportello unico, per il quale è richiesto, invece, l'effettivo stabilimento del titolare nel territorio dell'Unione europea. 

Questo principio, fortemente auspicato dalle imprese, determina una semplificazione delle procedure e dovrebbe garantire una maggiore coerenza delle decisioni. Ci sono, però, anche aspetti negativi, ad esempio consente all'azienda di scegliersi l'Autorità di vigilanza con la quale avrà a che fare, potendo, ovviamente, decidere dove stabilire la sede nell'ambito del territorio dell'Unione. Quindi questo principio può portare a maggiori difficoltà per i cittadini, i cui reclami dovranno essere indirizzati all'Autorità del paese dove ha sede l'azienda, che potrebbe anche essere differente dal paese di residenza del cittadino che ritiene di aver subito un torto. Per cui i cittadini potrebbero incontrare difficoltà dovute alla distanza (e alla differenza di lingua) per far valere i propri diritti.
Inoltre, tale principio si pone anche in contrapposizione con i principi alla base della normativa posta a tutela dei consumatori, che radica la competenza di un Giudice presso la residenza del consumatore medesimo. Tutto ciò finisce per alimentare l'idea di un'Europa burocratica e lontana dai cittadini. Per questo motivo il principio è stato in parte temperato. 

 

Principio di coerenza e Autorità Capofila (Leading Supervision Authority)

In linea di massima un interessato può rivolgersi all'Autorità di controllo del suo paese di residenza, anche se il titolare del trattamento ha sede in un altro paese. Ma il Regolamento europeo prevede un meccanismo di coerenza, gestito dal Comitato europeo per la protezione dei dati, che uniforma l'interpretazione e applicazione del Regolamento in tutti i Paesi dell'Unione, e fa si che un titolare del trattamento non debba negoziare con tutte le autorità di controllo dell'Unione. 

Il principio dello "sportello unico" si applica se: 
- il titolare (o il responsabile) del trattamento opera in più Stati dell'Unione europea; 
- il trattamento dei dati pur effettuato da un titolare con sede in un solo Stato incide in modo sostanziale sugli interessati residenti in più di uno Stato membro dell'Unione. 

In questi casi l'autorità di controllo dello Stato in cui si trova la sede oppure la sede principale del titolare (o responsabile) del trattamento funge da autorità di controllo capofila (LSA, Leading Supervision Authority) per le attività di trattamento transfrontaliero e per le indagini. Tale autorità ha il diritto di emanare decisioni vincolanti per le altre autorità. Dovrà però cooperare con le altre autorità per i casi più rilevanti che riguardano le violazioni al regolamento europeo sulla protezione dei dati personali e in caso di opinioni contrastanti tra le varie autorità. Le altre autortà, infatti, potranno comunque avviare istruttorie in caso di reclami dei cittadini, notiziando l'autorità capifila che potrà prendere in carico la decisione. In questo caso l'autorità che ha avviato il caso potrà preparare un documento iniziale che l'autorità capofila dovrà tenere in conto.

L'autorità di controllo capofila deve cercare di raggiungere un consenso con le altre autorità interessate sulla gestione dei reclami, e le autorità nazionali hanno un obbligo di cooperazione. Nel caso in cui non si raggiungesse un accordo, le autorità interessate possono ricorrere al Comitato europeo per la protezione dei dati (EDPB) che può emanare decisioni vincolanti in merito alla controversia. In caso di urgenza (art. 66 GDPR), anche le altre autorità di vigilanza possono adottare misure unilaterali indipendentemente dall'autorità capofila, a condizione che tali misure siano provvisorie (per non più di tre mesi) e limitate al proprio territorio. Il sistema nasce dall'esigenza di supportare autorità di controllo come quella dell'Irlanda, che si trova ad avere nella sua giurisdizione praticamente tutte le grandi aziende del web. 

Stabilire quale è la leading authority può non essere semplice nel caso coesistano più contitolari del trattamento (es. gruppi di imprese). In questo caso il Working Party Article 29 raccomanda ai contitolari del trattamento (joint controller) di designare quale di loro ha il potere di implementare decisioni vincolanti, al fine di fissare lo stabilimento principale in base al quale, poi, individuare la leading authority

Invece, nel caso in cui il trattamento incida solo su interessi locali, il principio non si applica e la competenza rimane dell'autorità del paese del trattamento. La Corte di Giustizia europea (C-645/19 del giugno 2021) ha chiarito meglio questo punto, sostenendo che qualsiasi autorità Garante può procedere contro un'azienda anche agendo verso la sede secondaria eventualmente, se quella principale si trova in un altro Stato. Poi sta ai Garanti nazionali, e in particolare alla leading authority, collaborare tra loro. Tale posizione più aperta probabilmente consegue alla critiche mosse da alcuni Garanti europei al Garante irlandese accusato di non essere sufficientemente attivo. 

Al momento permangono le critiche al meccanismo. In particolare non risolve il problema per i cittadini, che alla fine dovrebbero comunque dialogare con due autorità. Di contro aggrava il carico di lavoro delle stesse autorità che dovranno occuparsi di numerosi casi riguardanti aziende con sede in altri paesi. 
 

one stop shop

 

Registro delle decisioni

Il 20 giugno 2020 l'EDPB ha pubblicato il registro delle decisioni delle autorità di controllo nazionali basate sulla procedura di cooperazione One-Stop-Shop. Il registro fornisce alle aziende e ai professionisti della protezione dei dati l'accesso a preziose informazioni su come le autorità di vigilanza lavorano insieme per far rispettare il GDPR. Il registro include collegamenti alle decisioni complete prese nell'ambito del meccanismo One-Stop-Shop nonché sintesi delle decisioni in inglese. Inoltre, per ogni decisione il registro identifica le Autorità capofila (LSA, Leading Supervision Authority), le autorità interessate interessate e la disposizione del GDPR in gioco.