Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

La guida

Gdpr, trasferimenti transfrontalieri dei dati personali e “Leading Authority”: perché è un tema critico

Il caso Cnil-Google mette in luce alcune criticità del sistema regolatorio costituito dal GDPR: i trasferimenti transfrontalieri e il meccanismo dell’Autorità capofila. Ecco perché il caso ha valenza sistemica e in gioco c’è il successo della strategia Ue di imporre i suoi valori e i suoi principi alle imprese straniere

31 Gen 2019
Franco Pizzetti

Università di Torino


La recente sanzione comminata dal garante privacy francese (Cnil) a Google, accende il faro sui possibili effetti distorsivi del meccanismo della Leading Authority, introdotto dal Gdpr. Non a caso, e di seguito cercheremo di spiegare il perché, la decisione del CNIL è arrivata pochissimo tempo prima che avesse effetto legale la scelta di Google di affidare alla propria sede in Irlanda competenze e funzioni adeguate a configurarla come stabilimento principale ai sensi dell’art.4,16 del GDPR.

Il caso assume pertanto un valore sistemico ed è un segnale evidente delle preoccupazioni di alcune Autorità rispetto al meccanismo dell’autorità capofila, che di fatto potrebbe minare l’efficacia del Gdpr, incentivando le imprese a optare per quei paesi in cui l’interpretazione del regolamento europeo sia più lasca e “business oriented”.

Il caso Cnil-Google

Il recentissimo caso francese della sanzione da 50 milioni di euro comminata dalla CNIL (la Autorità di controllo francese) a Google per inadeguata informativa su trattamento dati da parte del sistema Android, ha, fra l’altro, richiamato l’attenzione sul problema della competenza delle Autorità nazionali di vigilanza a decidere rispetto ai trattamenti di dati che hanno luogo sul loro territorio o riguardano interessati residenti entro i confini nazionali.

In realtà il caso Cnil/Google è ben più complesso e meriterebbe una analisi approfondita nel merito.

Qui interessa sottolineare che la scelta della CNIL di intervenire, anche affidando la decisione al proprio Comitato esecutivo, è stata, ad opinione di molti, accelerata anche al fine di evitare che, a seguito della decisione di Google, l’Autorità di controllo irlandese potesse assumere il ruolo di Leading Authority, competente per ogni violazione dei trattamenti posti in essere da Google nel territorio europeo, determinando così il venir meno della pienezza della competenza dell’Autorità francese.

Il tema dei trasferimenti transfrontalieri dei dati

Proprio per questo aspetto il caso ha richiamato l’attenzione sul tema dei trasferimenti transfrontalieri dei dati e sull’applicazione di due fondamentali principi che sono alla base delle regole adottate in questa materia dal GDPR: quello dell’one stop shop e quello, connesso, del divieto di forum shopping.

Si tratta di aspetti fondamentali del sistema regolatorio costituito dal GDPR, che giova conoscere bene, soprattutto per i Paesi che hanno un sistema economico basato su una rilevante attività di esportazione di beni e servizi nell’ambito dell’UE.

Il sistema è piuttosto complesso ma merita di essere conosciuto a fondo, anche perché il modo di operare delle diverse Autorità nazionali di controllo può non essere sempre omogeneo e ispirato ai medesimi criteri, sia per quanto riguarda la valutazione dei fatti oggetto di accertamento, sia per quanto concerne le sanzioni applicabili.

Come abbiamo detto molte volte, lo scopo essenziale del GDPR è quello di assicurare al medesimo tempo un robusto sistema regolatorio di tutela dei trattamenti, coerente col diritto fondamentale affermato dalla Carta dei diritti dell’Unione Europea, ma anche la libera circolazione dei dati all’interno dell’UE, in un quadro finalizzato a rafforzare la fiducia dei cittadini europei nello sviluppo dell’economia digitale.

Il GDPR dunque non solo comporta una medesima regolazione per tutta l’Unione al fine di tutelare un diritto che, essendo fondamentale, richiede omogeneità di regolazione rispetto a tutti coloro che risiedono nel suo territorio; esso ha come obbiettivo anche che la libera circolazione dei dati sia incentivata da una ragionevole certezza delle modalità con le quali tale regolazione è in concreto applicata.

Gdpr e competenza territoriale delle Autorità

Questo problema è particolarmente rilevante nella logica del GDPR perché si tratta di una normativa che da un lato punta essenzialmente sulla responsabilizzazione (accountability) di titolari e responsabili ma, dall’altro, affida alle Autorità di vigilanza un’amplissima serie di compiti e poteri sia dal punto di vista regolatorio che della tutela dei diritti degli interessati.

La compresenza sul territorio dell’Unione di una o più Autorità di vigilanza e controllo per ciascun Stato membro, prevista in modo vincolante dall’art.51 del GDPR comporta ovviamente che debba essere definita la competenza territoriale di ciascuna Autorità, insieme a meccanismi orientati a garantire quanto più possibile la omogeneità del modo col quale esse assolvono i propri compiti, soprattutto per quanto attiene alla applicazione delle norme e delle sanzioni previste nel GDPR, che sono definite essenzialmente nel Capo VII, non a caso intitolato “cooperazione e coerenza”, e che si incentrano tutti intorno al ruolo e ai compiti del Comitato europeo per la protezione dati, più noto come EDPB (cfr. in particolare la sezione 3 del Capo VII).

In questo quadro si collocano anche i due principi richiamati sopra, quello relativo al one stop shop e quello che riguarda il divieto di forum shopping.

La competenza di ciascuna Autorità di controllo è definita dall’art. 55 che specifica: “Ogni autorità di controllo è competente a eseguire i compiti assegnati e a esercitare i poteri ad essa conferiti a norma del presente regolamento nel rispettivo Stato”. Va da sé che, e a maggior ragione, ogni Autorità è competente anche per la applicazione della legislazione nazionale nelle materie in cui il GDPR consente al legislatore dello Stato membro di legiferare.

Se la libera circolazione dei dati all’interno dell’Unione non fosse uno degli obbiettivi essenziali del GDPR, è pacifico che il primo paragrafo dell’art. 55 sarebbe sufficiente a definire quale sia, in ogni caso, la Autorità competente: quella cioè in cui sono effettuati trattamenti di dati da parte di titolari e responsabili residenti in un solo Stato membro e relativi a dati riferibili unicamente a interessati all’interno del medesimo territorio.

Poiché però fin dalla Direttiva 95/46 la libera circolazione dei dati è stata un obbiettivo primario della normativa di protezione dei dati personali, è ovvio che occorre porsi il problema di quale sia la Autorità competente nel caso in cui trattamenti siano posti in essere da un titolare con la sede principale in uno Stato europeo ma riguardino anche interessati residenti in altri Stati, ovvero nel caso in cui il titolare (Controller) risieda in uno Stato, l’eventuale responsabile (Processor) in un altro e alcuni o tutti gli interessati in un terzo.

Direttiva 95/46 e libera circolazione dei dati

Fra queste due ipotesi “estreme” possono verificarsi moltissimi casi intermedi.

Ovviamente già la Direttiva 95/46, basata anch’essa sulla tutela dei trattamenti relativi ai dati personali e sulla libera circolazione dei dati nell’ambito CE, presentava problemi analoghi, riguardo al diritto applicabile rispetto ai trattamenti effettuati.

Tuttavia l’art.4 della Direttiva poneva l’attenzione essenzialmente sul diritto nazionale applicabile e a tal fine faceva riferimento al territorio dello Stato nel quale aveva sede lo stabilimento del titolare che aveva effettuato il trattamento. Quello che contava, insomma, era lo stabilimento che aveva operato il trattamento e per questo allo scopo di definire la legge nazionale applicabile a un trattamento si doveva sempre applicare il c. d. “principio di stabilimento”.

Il medesimo art. 4, coerentemente, prevedeva che ove il titolare avesse stabilimenti in più Stati della Comunità, egli dovesse avere cura di trattare i dati in modo conforme alla legislazione nazionale dello Stato nel quale avveniva il trattamento.

Vi erano poi regole specifiche per i trattamenti effettuati da titolari non stabiliti nel territorio dell’Unione, differenziati a seconda che ad essi si applicasse comunque la legge nazionale in virtù del diritto internazionale pubblico, o che tali trattamenti fossero effettuati con strumenti, automatizzati o no, situati nel territorio dello Stato.

Quello che però merita di più sottolineare è che la Direttiva individuava la legge nazionale da applicare, mentre l’ambito territoriale di competenza delle Autorità nazionali, legato ovviamente al territorio del relativo Stato, non era affatto limitato soltanto alla vigilanza e controllo sulla legge nazionale del proprio Stato.

L’art. 28, affermava infatti che ogni Autorità nazionale era incaricata di “sorvegliare, nel suo territorio, l’applicazione delle disposizioni di attuazione adottate dagli Stati membri”.

In sostanza, nel quadro della Direttiva il focus era sulla legge nazionale applicabile in base al principio di stabilimento e non sulla Autorità competente ad applicarla.

Questo aspetto era del tutto giustificabile, tenendo conto che la Direttiva conteneva solo una normativa di armonizzazione ma ogni Stato membro tutelava i trattamenti dei dati personali in base alla propria legge nazionale.

Dunque, il problema centrale era quale fosse, a seconda dei casi, la legge nazionale applicabile. Problema peraltro risolto troppo semplicisticamente prevedendo che non contasse né la nazionalità del titolare né quella dell’interessato ma solo il principio di stabilimento, interpretato come il luogo in cui il trattamento veniva effettuato.

A conferma di questo l’art. 4, 1, già citato, consentiva che uno stesso titolare potesse avere stabilimenti in più Stati e che il diritto nazionale di volta in volta applicabile dovesse essere quello dello Stato in cui ciascun stabilimento era situato.

Quanto alle Autorità, a tutte spettava anche il compito di vigilare sulla attuazione delle disposizioni adottate dai singoli Stati membri qualora i trattamenti di dati elativi a un interessato residente sul loro territorio fossero stati effettuati da un titolare avvalendosi del suo stabilimento in altro territorio della CE. Ogni Autorità, dunque, ove ricossero le condizioni, doveva verificare, di volta in volta, quale fosse la legge applicabile e verificare la conformità ad essa dei trattamenti effettuati.

Inoltre il paragrafo 6 dell’art. 28 della Direttiva specificava che ogni Autorità nazionale, indipendentemente dalla legge nazionale applicabile, era competente ad esercitare tutti i poteri ad essa attribuiti, anche su richiesta dell’Autorità di un altro Stato.

La cooperazione tra Autorità, nel quadro della Direttiva, era sostanzialmente limitata allo scambio di informazioni reciproche previsto dall’art. 28 paragrafo secondo periodo, mentre il Gruppo dell’art.29 aveva poteri essenzialmente consultivi e, ai fini della omogeneità dell’applicazione della Direttiva o delle modalità di azione delle Autorità, aveva sostanzialmente soltanto poteri di segnalazione alla Commissione.

Il principio del mutuo riconoscimento tra Stati

Dunque, nel contesto della Direttiva 95/46 il quadro della regolazione delle competenze proprie delle singole Autorità nazionali era secondario rispetto al problema principale costituito da quale fosse la legge applicabile rispetto ai trattamenti effettuati. Problema risolto, come si è già detto, in base al principio di stabilimento, mentre le competenze delle Autorità andavano oltre la vigilanza sulla applicazione della legge nazionale e si estendevano anche alla vigilanza sull’applicazione delle leggi di altri Stati in quanto queste fossero applicabili nel suo territorio.

Inoltre, il sistema regolatorio relativo alla circolazione dei dati posto in essere dalla Direttiva, proprio perché basato su una Direttiva di armonizzazione e una pluralità di diverse e distinte legislazioni nazionali attuative, era fondato, rispetto alla libera circolazione dei dati all’interno della CE, sul principio del mutuo riconoscimento tra Stati.

Questo principio, pur non esplicitamente affermato, era la conseguenza implicita di quanto disposto dall’ art. 1 che nel definire l’oggetto della Direttiva precisava due punti essenziali.

  • Il primo, che “gli Stati membri garantiscono, conformemente alle disposizioni della presente direttiva, la tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, con riguardo al trattamento dei dati personali” (art.1, paragrafo1 Direttiva).
  • Il secondo, per certi spetti ancora più importante, che “Gli Stati membri non possono restringere o vietare la libera circolazione dei dati personali tra Stati membri, per motivi connessi alla tutela garantita a norma del paragrafo1”.

Dunque, a condizione che uno Stato avesse adottato la normativa nazionale di tutela dei dati personali in conformità alla Direttiva, i dati così trattati avevano libera circolazione nella CE, senza che alcun altro Stato potesse porre limiti a tale circolazione.

Insomma, e per chiarire questo punto, nel contesto della Direttiva non aveva cittadinanza l’ipotesi di regolare il trasferimento transfrontaliero dei dati proprio perché la regolazione era nazionale e la Direttiva era solo il parametro di conformità della legislazione nazionale ai principi comuni di armonizzazione adottati.

A condizione che fosse rispettata da parte del titolare del trattamento la legge nazionale dello Stato nel quale era situato lo stabilimento che operava i trattamenti, i dati così trattati avevano libera circolazione in tutto il territorio CE, né gli altri Stati (e dunque neanche le altre Autorità di controllo, potevano porre alcun ostacolo.

Titolari non risiedenti nel territorio della CE

I medesimi criteri si applicavano anche a titolari non risiedenti nel territorio della CE quando essi operassero trattamenti attraverso loro stabilimenti situati nel territorio di uno Stato CE. Rispettata la legge di questo Stato, i dati così trattati potevano poi avere libera circolazione in tutto il territorio CE.

Tralasciando altri aspetti più di dettaglio, pure importanti ma che qui sarebbe eccessivo approfondire, è del tutto evidente che nel quadro della Direttiva CE non aveva neppure cittadinanza il principio di trasferimento transfrontaliero dei dati, proprio perché quello che contava era la disciplina nazionale del territorio nel quale i dati erano trattati.

Ciò spiega anche perché nel quadro della Direttiva l’attenzione fosse tutta concentrata sul tema del trasferimento dei dati all’estero, cioè dati trattati e trasferiti da territori di Stati non appartenenti alla CE o da questa verso di essi.

La pratica del forum shopping

Soprattutto, il sistema vigente nel quadro della Direttiva 95/46 aveva nel tempo favorito il dilatarsi del fenomeno del c.d. forum shopping.

In sostanza molti titolari, soprattutto aventi la loro sede principale fuori dal territorio CE, sceglievano di insediare loro stabilimenti nel territorio degli Stati che, pur rispettando ovviamente la Direttiva, avessero una legge nazionale particolarmente “lasca” rispetto ai vincoli a tutela degli interessati, o comunque particolarmente favorevole alle esigenze delle imprese, specie di quelle operanti nell’ambito dei servizi della società dell’informazione.

Non a caso, come è noto, la maggioranza degli OTT, da Facebook a Google avevano scelto di insediare proprio in Irlanda i loro stabilimento operanti nel territorio CE.

Era noto infatti che la legge irlandese di protezione dati, pur conforme ai principi generali della Direttiva, era particolarmente favorevole alle esigenze delle imprese e abbastanza evidentemente business oriented.

Questo, insieme a una tassazione molto favorevole, aveva fatto dell’Irlanda la sede territoriale preferita da molte imprese straniere, operando così una evidente distorsione del sistema pensato dalla Direttiva.

Distorsione rafforzata dal fatto che, coerentemente, anche la Autorità irlandese nell’attuare la legge nazionale irlandese, e nel chiedere alle altre Autorità operanti in altri Paesi di tener conto della regolazione nazionale dell’Irlanda, di fatto agevolava.

Si trattava appunto del c.d. Forum shopping, sempre mal tollerato dalle Autorità degli altri Paesi e, soprattutto, unanimemente considerato come un elemento di debolezza complessiva del sistema.

Cos’è cambiato col Gdpr

Con la entrata in vigore del GDPR ovviamente il quadro è molto mutato.

Almeno per la parte relativa alla applicazione della normativa regolamentare europea, infatti, non ha più ragione d’essere chiedersi quale sia la legge nazionale applicabile e, di conseguenza, viene meno il principio di stabilimento come principio cardine per individuare la legge da applicare ai trattamenti.

Per definizione, ovunque sia situato lo stabilimento che opera il trattamento di dati è sempre il GDPR che deve essere applicato.

Ovvio che possono porsi problemi specifici rispetto ai casi in cui gli Stati membri abbiano adottato, avvalendosi della competenza ad essi attribuita dallo stesso GDPR, leggi nazionali specifiche, che possono anche prevedere un sistema sanzionatorio nazionale, sempre ovviamente nel quadro dei principi posti dal GDPR.

Rispetto alle leggi nazionali, infatti, e al problema di quale sia la Autorità competente a vigilare sulla loro attuazione, sorgono problemi specifici, che però vedremo alla fine di questa analisi.

Restando invece nell’ambito del tema principale, e cioè della normativa contenuta nel GDPR, non vi è dubbio che essa trova applicazione nello stesso modo su tutto il territorio dell’Unione, indipendentemente da dove sia collocato lo stabilimento che opera i trattamenti.

La ovvia conseguenza è che i dati che circolano liberamente da uno Stato all’altro nell’ambito dell’Unione, e i trattamenti ai cui essi sono sottoposti, restano sempre oggetto di una medesima regolazione.

Ovviamente sarebbe forse stato possibile mantenere il principio già esistente nella Direttiva, e cioè che ogni Autorità nazionale fosse competente a vigilare e controllare i trattamenti dei dati operati da un titolare che avesse lo stabilimento sul territorio del proprio Stato, indipendentemente dal fatto che essi avessero effetti solo nell’ambito del suo territorio o anche sul territorio di altri Paesi.

La nozione di “trasferimento transfrontaliero dei dati”

Tuttavia, proprio perché la regolazione da applicare è uniforme, è apparso ragionevole, fin dai lavori preparatori del nuovo Regolamento, cercare di evitare che i medesimi trattamenti di dati svoltisi sul territorio di uno Stato, ma aventi effetti anche in quello di altri, potessero essere sottoposti al sindacato di una pluralità di Autorità di controllo, ciascuna in quanto competente per gli effetti provocati sul proprio territorio,

Di qui la scelta fatta, lo si ripete, fin dall’avvio dei lavori preparatori della bozza di Regolamento poi presentata dalla Commissione nel 2012, di prevedere che nel caso di trattamenti di dati che comportassero la circolazione transfrontaliera dei dati trattati la competenza a controllare i trattamenti stessi fosse affidata a un’unica Autorità competente, da individuare sulla base di criteri definiti.

Questa scelta ha condotto a definire la nozione di “trasferimento transfrontaliero dei dati”, non presente nella Direttiva 95/46, e a prevedere, sulla scorta di tale definizione, anche il nuovo istituto dell’Autorità capofila.

I timori delle Autorità garanti

Le Autorità garanti nel corso dei lavori preparatori del GDPR e anche durante la discussione della bozza presentata dalla Commissione si sono espresse più volte, anche sull’istituzione della Autorità capofila, mostrando sempre molte perplessità e anche timori. La preoccupazione principale era anche allora, come lo è oggi, che questo istituto concorresse a indebolire la tutela dei diritti fondamentali, come potrebbe avvenire se titolari e responsabili, specialmente con sede amministrativa all’estero, optassero per istituire il loro stabilimento principale nel territorio di uno Stato membro la cui Autorità operasse secondo principi ispirati a favorire eccessivamente la circolazione dei dati e la loro utilizzazione anche a detrimento della difesa dei diritti fondamentali.

Merita citare a questo proposito, per completezza e per chi fosse interessato, lo Statement of the WP29 on current discussion in the Council regarding the EU General Data Protection Regulation, che richiama anche i pareri precedenti n.191 e 194, sempre del WP29, adottati nel 2012 e nel 2013.

Quello che certamente si può affermare è che intorno a questo istituto l’attenzione (e anche le preoccupazioni) delle Autorità nazionali sono sempre state, e sono tuttora, elevate. Anche per questo il testo del GDPR adottato circonda questo istituto di molte garanzie e limitazioni, come dimostrano le complicate norme contenute negli artt. 56 e 60, nonché tutte quelle contenute nella sezione seconda del Capo VII sui meccanismi di coerenza.

L’importanza del rispetto del principio di prossimità

In sostanza, la proposta della Commissione presentata nel 2012, che prevedeva sempre la competenza dell’Autorità nella quale avesse sede lo stabilimento principale di una impresa, indipendentemente dal fatto dove questa avesse la sede amministrativa, se collocata all’estero, e da dove risiedessero gli interessati, anche nel caso che venissero effettuati trattamenti che comportassero una massiccia circolazione di dati transfrontalieri e riguardassero interessati risiedenti in Paesi UE diversi da quello dello stabilimento principale non poteva essere accettata.

L’adozione del meccanismo secco, secondo una formula analoga a quella oggi contenuta nell’art. 56.1, avrebbe violato, infatti, il principio di prossimità.

Un principio, questo, particolarmente importante, tanto più trattandosi della tutela di un diritto fondamentale: deve, infatti, essere possibile all’interessato, che ritenga violati i propri diritti da un trattamento illegittimo dei propri dati, presentare reclamo alla Autorità di controllo ed eventualmente, se necessario, di ricorrere alla autorità giudiziaria del Paese in cui risiede, indipendentemente da dove abbia sede lo stabilimento che ha effettuato il trattamento.

Di qui, anche grazie alla forte interazione tra WP29, Commissione e Parlamento, è scaturito il dettato normativo contenuto nell’art. 56.2, che fa salva la competenza dell’Autorità nazionale non solo a ricevere i reclami ad essa presentati, ma anche a esercitare essa stessa i poteri relativi quando questi riguardino unicamente l’attività svolta da uno stabilimento collocato nel suo territorio, indipendentemente da dove sia la sede o lo stabilimento principale dell’impresa, ovvero nel caso in cui i trattamenti incidano in modo sostanziale solo rispetto a interessati residente nel territorio dello Stato.

Di qui, inoltre, il complesso meccanismo di cooperazione disciplinato dall’art. 60 del GDPR.

L’istituto della “Leading Authority”

Il concetto di trasferimento transfrontaliero dei dati è definito nell’art. 4,1,23 che distingue due ipotesi:

  • “trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o di un responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro;
  • trattamento di dati personali che ha luogo nell’ambito delle attività di un uno stabilimento di un titolare o di un responsabile del trattamento nell’Unione, ma che incide in modo sostanziale su interessati in più di uno Stato membro”.

In queste due diverse tipologie di casi, è chiaro il rischio che una pluralità di Autorità nazionali diverse si pronuncino, magari in modo anche comprensibilmente difforme, sul rispetto del GDPR da parte dei trattamenti di dati operati in più stabilimenti in diversi Paesi o che, pur provenienti da un unico stabilimento situato in un solo Paese, circolano nel territorio di altri Stati. Per evitare possibili conflitti, di fatto o di diritto, fra le Autorità il GDPR prevede un nuovo istituto: la “Autorità di controllo capofila” o, se si usa la preferibile dizione inglese, della “Leading Authority”.

Una innovazione così rilevante da aver spinto il Working Party 29 ad adottare, fin dal 13 dicembre 2016, le “Linee Guida per l’individuazione dell’autorità di controllo capofila in relazione a uno specifico titolare o responsabile del trattamento. Linee guida poi adottate, dopo la consultazione pubblica, in via definitiva dal Working Party 29 fin dal 5 aprile 2017 e successivamente fatte proprie dall’EDPB nella seduta del 25 maggio 2018.

In esse, fin dal punto 1, il WP29 sottolinea che “l’esigenza di individuare l’autorità di controllo capofila sorge solo se il titolare o responsabile del trattamento effettua un trattamento transfrontaliero di dati personali” che abbia le caratteristiche previste dall’art. 4, punto 23 del GDPR.

L’Autorità di controllo capofila, a sua volta, è definita nell’art. 56 che al primo paragrafo, dopo aver richiamato l’art.55 che definisce in via generale la competenza delle Autorità di controllo, recita:

“L’Autorità di controllo dello stabilimento principale (main establishment) o dello stabilimento unico del titolare del trattamento è competente ad agire in qualità di Autorità di controllo capofila per i trattamenti transfrontalieri effettuati dal suddetto titolare o responsabile del trattamento, secondo la procedura dell’art.60”.

Questo articolo, a sua volta, definisce modi e procedure per assicurare la collaborazione tra la Autorità di controllo capofila e le altre Autorità interessate.

Completa il quadro l’art. 65, che stabilisce i casi, le procedure e le modalità dell’eventuale intervento dello EDPB quando occorra procedere alla “composizione delle controversie” tra le diverse Autorità.

Il sistema dell’Autorità di controllo capofila non scatta, tuttavia, nei casi previsti dall’art. 56, paragrafo 2. Questa norma stabilisce: “in deroga al paragrafo 1 ogni Autorità è competente per la gestione dei reclami ad essa proposti o di eventuali violazioni del presente Regolamento se l’oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale unicamente nel suo Stato membro”.

Le criticità del meccanismo

Il meccanismo descritto è molto complesso e presenta non pochi punti di potenziale criticità. Tuttavia è indispensabile che titolari e responsabili, e i loro DPO, lo conoscano approfonditamente, soprattutto quando i loro trattamenti riguardano dati destinati alla circolazione transfrontaliera.

Il punto essenziale, che deve essere chiaro, è che se scatta il meccanismo della Leading Authority la competenza a definire il caso ed a comminare le sanzioni spetta unicamente alla Autorità di controllo capofila, anche se essa deve consultarsi con le altre Autorità e in particolare con quelle che abbiano ricevuto reclami da interessati residenti sul loro territorio.

Infatti, è sempre possibile agli interessati presentare reclamo all’Autorità di controllo nello Stato di residenza, ovviamente se il trattamento operato da un titolare o responsabile che ha lo stabilimento principale in altro Paese ha riguardato suoi dati personali. In questi casi le Autorità che ricevono tali reclami devono comunicarle, se ne ricorrono le condizioni, all’Autorità capofila. Tuttavia esse assumono per definizione la qualifica di Autorità interessate e dunque devono essere da questa specificamente consultate.

I titolari e i responsabili dei trattamenti, dal canto loro, devono conoscere bene le regole di questo meccanismo, delle norme che lo regolano e delle Linee guida adottate dal WP29 e dallo EDPB. Solo così potranno avere chiara consapevolezza di quale potrà essere la Autorità di controllo competente a sindacare i loro trattamenti e ad adottare le relative sanzioni. Problema, questo, molto rilevante, specialmente ove essi abbiano stabilimenti operanti in più Paesi, o comunque i dati trattati possano riguardare anche interessati residenti in altri Stati e siano oggetto di circolazione transfrontaliera.

Quando si ricorre alla Leading Authority, i casi

Ovviamente non è possibile nello spazio di un articolo che non può superare una dimensione ragionevole, indicare tutti i punti di maggiore rilevanza di questa tematica.

Occorre dunque limitarsi a segnalare solo i principali.

Innanzitutto, va tenuto presente che la circolazione transfrontaliera dei dati, premessa essenziale per l’intervento del meccanismo della Autorità di controllo capofila, può riguardare due aspetti distinti e alternativi l’uno all’altro:

  • il primo, che il trattamento abbia luogo nell’ambito di più stabilimenti situati in più di uno Stato membro, riconducibili a un medesimo titolare o responsabile;
  • il secondo, che il trattamento, anche se ha luogo nell’ambito di un unico stabilimento, incida, o comunque probabilmente possa incidere, in modo sostanziale su più interessati residenti in più di uno Stato membro.

Il primo caso ha carattere oggettivo, presupponendo che un medesimo trattamento avvenga in più stabilimenti collocati in più Stati ma riconducibili a un unico titolare o responsabile.

Molto più complesso, invece, è definire quando il trattamento, operato in un unico stabilimento istituito in un unico Stato, incida o possa incidere in modo sostanziale su più interessati residenti in più Stati.

Le Linee guida offrono a questo fine un lungo elenco di circostanze ricorrendo le quali può ritenersi che scatti la clausola della lettera b) dell’art. 4, punto 23 e quindi si debba far ricorso al meccanismo dell’Autorità di controllo.

È ovvio, tuttavia, e le stesse Linee guida lo riconoscono, che sono circostanze indicate a titolo esemplificativo e non esaustivo. Toccherà dunque ad ogni Autorità che riceva reclami da interessati residenti nel suo territorio valutare, in base a quanto stabilito dall’art. 56, secondo paragrafo, se e quanto essa possa risolvere autonomamente il caso o se debba invece segnalare il reclamo alla Autorità di controllo capofila.

Autorità nazionali e Leading Authority, alla ricerca del giusto equilibrio

È inevitabile un certo grado di incertezza rispetto al rapporto che sussiste tra l’art. 4, punto 23 in ordine ai trasferimenti transfrontalieri, l’art. 56, paragrafo 1, relativo ai casi in cui occorre rimettersi alla competenza dell’Autorità capofila e l’art. 56, paragrafo 2, che indica invece i casi in cui ciascuna Autorità nazionale interpellata possa esercitare le proprie competenze senza dover rimettere il caso alla Autorità capofila.

Le indicazioni, largamente esemplificative, contenute nelle Linee guida già citate certamente non bastano a risolvere tutti i problemi che potranno presentarsi.

Per questo è in corso in questi mesi un ulteriore sforzo di approfondimento che le Autorità nazionali stanno facendo, per ora in modo informale, nell’ambito dello EDPB.

Lo scopo è quello di concordare alcuni criteri interpretativi ulteriori, tanto rispetto all’art. 4, punto 23, quanto all’art. 56, paragrafo 2 che possano ridurre o evitare i contrasti che potrebbero insorgere tra le Autorità.

La questione è ovviamente estremamente delicata, sia perché bisogna evitare che titolari e responsabili, messi di fronte a criteri troppo “laschi”, tentino di mettere in atto nuove forme di forum shopping, sia perché è bene trovare un giusto punto di equilibrio tra il principio della Autorità capofila e quello della competenza piena delle Autorità nazionali.

Il punto essenziale è evitare di cadere in uno dei due estremi possibili: enfatizzare il ruolo dell’Autorità capofila, restringendo al massimo la competenza che deve restare alle Autorità nazionali in virtù dell’art. 56 paragrafo 2; evitare che un atteggiamento eccessivamente rivendicativo da parte delle Autorità nazionali tenda a marginalizzare il meccanismo della Autorità capofila.

In ogni caso il lavoro di approfondimento in corso è certamente molto utile, anche per evitare un continuo e logorante ricorso alle procedure di composizione delle controversie di cui all’art.65.

Individuazione dell’Autorità capofila, i criteri

Quanto alla individuazione di quale debba essere, caso per caso, l’Autorità di controllo capofila, l’art. 56, primo paragrafo, è apparentemente assai chiaro: essa è l’Autorità dello Stato in cui il titolare o il responsabile abbiano lo stabilimento principale ovvero il loro unico stabilimento nell’UE.

Il concetto di stabilimento principale è definito dall’art. 4, paragrafo 16, che contiene due ipotesi diverse, a seconda che il titolare o il responsabile abbiano la loro amministrazione centrale nell’Unione o invece l’abbiano all’estero.

Nel primo caso, quello in cui la amministrazione centrale sia situata nell’Unione, la la competenza territoriale di ciascuna Autorità,.

Fa eccezione solo il caso in cui i trattamenti siano effettuati da stabilimenti che, situati in altri Stati, abbiano piena facoltà decisionale sulle finalità, i mezzi e le decisioni da adottare rispetto a trattamenti posti in essere. In questi casi la sede principale da prendere in considerazione non sarà quella amministrativa ma quella dello stabilimento che, per le modalità con cui agisce, assume necessariamente la qualifica di titolare o responsabile. Di conseguenza la Autorità capofila sarà quella dello Stato dove tale stabilimento ha sede.

Se invece il titolare o il responsabile non hanno la sede amministrativa nella UE, il loro stabilimento principale sarà quello in cui sono condotte le principali attività relative ai trattamenti posti in essere. La responsabilità di questi trattamenti sarà riconducibile, ovviamente, ai titolari e responsabili per i quali tale stabilimento opera, anche se residenti all’estero. L’Autorità capofila sarà, altrettanto ovviamente, quella del Paese in cui ha sede lo stabilimento in questione.

È innegabile, comunque, che per titolari o responsabili con sede amministrativa all’estero la individuazione dello stabilimento principale in UE richieda non solo uno stato di fatto dimostrabile ma anche una scelta dichiarata. Questo specifico aspetto può certamente costituire in alcuni casi un “cono d’ombra” come la decisione della CNIL, che ha comminato a Google la sanzione da 50 milioni di euro, ha dimostrato.

Il ricorso a strumenti di contitolarità

In questo quadro è comunque chiaro che anche la individuazione di quale sia la sede principale del titolare o del responsabile che pone in opera un trattamento può sempre essere oggetto di discussione. Tanto più questo può accadere nel caso in cui, pur essendovi una sede amministrativa chiaramente individuata, alcuni stabilimenti del gruppo, operanti in altri Paesi, siano dotati di autonomia decisionale.

Per questo le Linee guida prospettano anche la possibilità che, in questi casi, tra la sede principale e gli stabilimenti dotati di autonomia decisionale possano anche essere posti in atto strumenti di contitolarità.

In particolare, il ricorso ad accordi di contitolarità sembra raccomandabile e opportuno, come anche le Linee guida sottolineano al punto 2.1.3, nel caso di Gruppi imprenditoriali.

Più chiaro invece quale sia il “peso” del rapporto tra titolare e responsabile rispetto all’individuazione della Autorità di controllo capofila.

Le Linee guida, citando anche il Considerando 36, sembrano indicare con nettezza che la Autorità di controllo capofila è sempre quella del titolare (Controller), anche quando sia chiamata in causa, rispetto ai trattamenti svolti, pure l’attività del responsabile (Processor).

I poteri della Leading Authority

Quanto ai poteri della Autorità di controllo capofila, non vi è dubbio che essi sono quelli propri di ogni Autorità, compresa la imposizione e riscossione delle sanzioni. Anche per questo può essere molto delicato individuare quando debba scattare il meccanismo della Autorità capofila.

È chiaro, infatti, che quando ciò avviene le Autorità nazionali interessate per un verso sono obbligate a dialogare e dare assistenza all’Autorità di controllo capofila, ma per l’altro non definiscono né riscuotono le sanzioni eventualmente comminate.

Anche per questo i contenziosi tra le diverse Autorità circa la applicabilità del primo paragrafo dell’art.56, con la necessaria individuazione della Autorità capofila e la rimessione ad essa della competenza, e l’art. 56, paragrafo 2, che consente invece a ciascuna Autorità nazionale di gestire, nei casi indicati, i reclami ad essa presentati, possono essere particolarmente delicati e rischiosi.

Una ragione in più per vedere con favore il lavoro in atto tra le Autorità per definire, almeno nei rapporti tra di loro, criteri condivisi che riducano i casi di conflitto.

Quando non è necessario o possibile il ricorso alla Leading Authority

Un brevissimo accenno, per ora quasi solo per memoria, va fatto infine rispetto alla problematica delle leggi nazionali che ciascun Stato membro abbia adottato nell’ambito delle competenze ad esso riconosciute e attribuite dal GDPR.

È chiaro che rispetto a queste leggi saranno ragionevolmente prevalenti i casi in cui scattano le clausole dell’art. 56, secondo paragrafo, e dunque non sia necessario fare ricorso alla Autorità capofila.

Tuttavia è ragionevole pensare che, specialmente nell’ambito della ricerca scientifica e dei trattamenti relativi alla salute e in generale rispetto alle categorie particolari di dati, possano essere numerosi i casi dei trattamenti fatti da un titolare con sede principale in uno Stato che interessano anche residenti in altri Paesi dell’Unione, o trattamenti posti in essere da un titolare attraverso un suo stabilimento o uno stabilimento del suo gruppo, dotato di autonomia operante in altro Stato dell’Unione.

Da ultimo, ma certamente non ultimo per importanza, deve essere precisato anche che ai trattamenti operati da autorità pubbliche o organismi privati che agiscono sulla base dell’art. 6, paragrafo 1, lettere c) od e), non si applica mai l’art. 56 relativo all’Autorità capofila.

Rispetto ai trattamenti di dati posti in essere da questi soggetti, infatti, è sempre e solo competente la Autorità di controllo dello Stato membro interessato.

Il valore sistemico del caso Cnil/Google

Essendo partiti in questa analisi dal caso Cnil/Google, è giusto ora concludere tornando al significato sistemico che quel caso assume, essendo di fatto un precedente forte rispetto all’applicazione di tutta questa tematica.

Come si è visto, quando un titolare non abbia la sede amministrativa nell’Unione e abbia invece vari stabilimenti in vari Stati UE, è in una sua facoltà, sia pure nel rispetto delle condizioni stabilite dalle Linee guida sulla Autorità capofila, individuare quale tra questi costituisca lo stabilimento principale (the main establishment).

In questo modo, e così facendo, l’impresa ha di fatto la libertà di scegliersi anche quale sia l’Autorità che, in caso di controversie relative ai trattamenti posti in essere dai suoi stabilimenti in UE, il ruolo di “capofila” (Leading Authority), esercitando tutte le competenze proprie dell’Autorità comprese la decisione sulla legittimità dei trattamenti, la adozione di provvedimenti prescrittivi, la imposizione e l’incasso delle eventuali relative sanzioni.

Come si è detto, l’art. 56.2 pone dei limiti questo meccanismo. Tuttavia, è evidente che, fermo restando il dibattito in corso tra le Autorità su come debbano essere interpretati i requisiti di cui all’art. 56.2, il meccanismo si presta a determinare effetti distorsivi sia incentivando le imprese, specie se residenti all’estero, a scegliere come stabilimento principale quello situato nel territorio dove opera una Autorità orientata ad applicare il GDPR in modo più agreeable per l’impresa. Di conseguenza potrebbe svilupparsi anche una potenziale e non sana concorrenza tra le Autorità ad adottare modalità di applicazione del GDPR tali da costituire un motivo ulteriore di attrazione di investimenti stranieri nel territorio del proprio Stato, magari unitamente a trattamenti fiscali particolarmente favorevoli previsti dalla legislazione nazionale.

È vero che esiste sempre il meccanismo di cooperazione e il diritto delle Autorità interessate a interagire con l’Autorità capofila. Non vi è dubbio però che questo meccanismo può costituire comunque un aspetto di forte criticità per il GDPR.

Le Autorità nazionali dei grandi Paesi, e quelle tradizionalmente più attente alla tutela dei diritti fondamentali degli interessati sono naturalmente intenzionate a operare con tutti i mezzi che il GDPR consente per evitare una diminuita tutela dei diritti degli interessati e, soprattutto, a ostacolare una non decorosa corsa a cercare di attrarre investimenti stranieri anche a costo di mettere in secondo piano il rispetto dei diritti fondamentali dei cittadini.

La decisione della CNIL, assunta al termine di una istruttoria in corso da parecchi mesi, ma probabilmente accelerata dall’intento di evitare che l’eventuale scelta di Google di insediare il proprio stabilimento principale in altro Stato della UE facesse sorgere complessi problemi di competenza e costringesse a prolungare ulteriormente l’istruttoria in atto è un segnale chiaro della preoccupazione che alcune Autorità di grandi Paesi hanno (e hanno sempre avuto) rispetto a questo meccanismo.

Allo stesso tempo è un segnale inequivoco del perché è così necessario che il dialogo in corso tra le diverse Autorità per trovare un accordo comune su come applicare le regole dell’art. 56.1 e 56.2 e, in generale, il meccanismo di coerenza è così importante.

Come si capisce, in gioco vi è, in ultima analisi, se la strategia UE di imporre i suoi valori e i suoi principi alle imprese straniere che operano sul proprio territorio avrà pieno successo, o se, utilizzando il cavallo di Troia costituito dal meccanismo della Autorità capofila, le più importanti imprese multinazionali potranno sperare di contare su applicazioni del GDPR più compiacenti, anche a danno della coesione europea.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3