Un mese fa è passata inosservata una delle ultime opinioni adottate dal comitato dei garanti europei della protezione dei dati (European Data Protection Board) sulla designazione dello Stabilimento principale. Qualsiasi azienda nel trattare dati personali si relaziona con il Garante della privacy dello Stato in cui ha il suo stabilimento principale. Nel caso in cui sia presente in più Stati con i suoi prodotti e servizi, per semplificare la procedura ed evitare un aumento di costi e tempo per la compliance, il legislatore offrì la possibilità di optare per il meccanismo dello “one-stop-shop” (sportello unico).
Il punto di riferimento dello Stabilimento principale
L’azienda avrebbe potuto relazionarsi soltanto con l’Autorità del Paese dove aveva il suo stabilimento principale. Sul punto il garante francese, la Cnil, ha di recente chiesto delucidazioni all’Edpb sui criteri per individuare questo stabilimento. La lettera del regolamento (art. 4,16 Gdpr) dice che si presume sia quello dove opera l’amministrazione centrale sul territorio dell’Unione, «salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale».
L’interpretazione dell’Edpb
Se, dunque, lo stabilimento è a Parigi, ma le decisioni sono prese a Stoccolma, sarà il Garante svedese l’interlocutore dell’azienda e, in ogni caso, spetterà all’azienda dimostrare che le decisioni sono prese effettivamente dove è indicato lo stabilimento principale. A giustificare questa lettura del regolamento viene in aiuto dell’Edpb la prima versione del testo proposto dalla Commissione, che prevedeva esplicitamente la possibilità di avere uno stabilimento principale anche «se le decisioni relative alle finalità, alle condizioni e ai mezzi del trattamento dei dati personali non vengono prese nell’Unione». Tuttavia, questa parte è stata eliminata senza poi essere sostituita. Per l’Edpb, dunque, questo è l’indizio che il legislatore intendeva limitare l’applicazione del beneficio del meccanismo dello sportello unico a quelle società che prendono le decisioni sulle finalità e sui mezzi del trattamento nell’Unione e hanno il potere di farle attuare.
Come funzionerebbe il processo di verifica
Qual è dunque il processo da seguire per tale verifica? L’Autorità locale potrà chiedere informazioni alle società che diano evidenza di dove sono prese le decisioni e, una volta terminata la sua analisi, dovrà condividerla con le colleghe presenti negli altri Stati dove la società opera, per verificare che non ci siano obiezioni e, in caso di contrasto, si potrà chiedere all’Edpb di pronunciarsi. Tale analisi dovrà essere fatta per lo specifico trattamento oggetto dell’indagine. Tuttavia, e qui sta la conclusione più interessante e dirompente, se dalle prove portate fosse evidente che le decisioni sono prese e fatte rispettare non in uno stato diverso nell’Unione, ma fuori dal territorio dell’Unione, il meccanismo dello one-stop-shop non si applicherebbe, e qualsiasi Autorità nazionale tornerebbe competente per i trattamenti che operano sul suo territorio.
L’Irlanda può perdere il suo ruolo per le multinazionali
Questa interpretazione potrebbe creare non pochi problemi alle aziende multinazionali extra europee, non essendo sempre facile dimostrare che le scelte sui fini e i mezzi del trattamento dei dati sono prese in Europa e non ad altre latitudini. Nel caso in cui le Autorità non fossero soddisfatte delle prove offerte, le multinazionali potrebbero trovarsi ad affrontare autorità diverse da quella irlandese, da sempre la prima scelta per le multinazionali, che negli anni è stata spesso criticata per non essere all’altezza del suo ruolo di garante deputato al controllo delle Big Tech. Questo vuol dire una rinnovata rilevanza anche per il Garante privacy in Italia e per le autorità nazionali degli altri grandi Paesi della Ue nei confronti delle grandi multinazionali e una necessità di maggior coordinamento tra le Autorità europee, obiettivo che l’Edpb si è posto come primario e che è oggetto della proposta di regolamento in discussione a Bruxelles proprio sulle procedure che riguardano più Autorità coinvolte.