Il principio dell' “one-stop-shop”

Una novità assoluta del regolamento è rappresentata, invece, dal c.d. “one-stop-shop principle”, destinato a rivoluzionare la dinamica dei rapporti che intercorrono tra le varie autorità di supervisione esistenti a livello nazionale.

L’art. 56 del regolamento istituisce l’inedito meccanismo dello “sportello unico”, in base al quale si individua un’ “autorità di controllo capofila”, in ragione del luogo in cui si trova lo stabilimento principale o unico del titolare o del responsabile del trattamento. La nozione di “stabilimento principale” è espressamente definita dal regolamento e tendenzialmente coincide con la sede amministrativa

305

161

centrale di un operatore306 o, altrimenti, con il diverso stabilimento in cui vengono decisi le finalità e i mezzi del trattamento.

Fermo restando che in via generale ciascuna autorità di controllo conserva la propria competenza in relazione al territorio statale di pertinenza, il meccanismo dello “sportello unico” implica che l’autorità di controllo capofila assuma un ruolo preminente, assurgendo a interlocutore unico e adottando decisioni in relazione ai trattamenti transfrontalieri307 effettuati dai titolari o dai responsabili del trattamento, che abbiano lo stabilimento principale o unico nell’ambito territoriale di riferimento della stessa.

L’autorità capofila, tuttavia, non può avocare a sé ogni potere ed estromettere completamente le altre autorità di controllo. Queste ultime rimangono competenti, in linea di principio, a trattare i reclami indirizzati a esse e a occuparsi di eventuali violazioni del

306

Più precisamente, l’art. 4, par. 16 stabilisce che s’intende per “stabilimento principale”:<<a) per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell'Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell'Unione e che quest'ultimo stabilimento abbia facoltà di ordinare l'esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale;

b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell'Unione o, se il responsabile del trattamento non ha un'amministrazione centrale nell'Unione, lo stabilimento del responsabile del trattamento nell'Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a

obblighi specifici ai sensi del presente regolamento>>.

La proposta originaria della Commissione adottava una dizione diversa relativamente al titolare del trattamento, riferendosi al <<luogo di stabilimento nell’Unione in cui sono prese le principali decisioni sulle finalità, le condizioni e i mezzi del trattamento di dati personali; se non sono prese decisioni di questo tipo nell’Unione, il luogo in cui sono condotte le principali attività di trattamento nell’ambito delle attività di uno stabilimento […] nell’Unione>>.

307

L'art. 4, par. 23 offre una duplice definizione:

<<a) trattamento di dati personali che ha luogo nell'ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell'Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure

b) trattamento di dati personali che ha luogo nell'ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell'Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro>>.

162

regolamento, che riguardino soltanto uno stabilimento nel loro Stato membro o che incidano in modo sostanziale solo su interessati nel loro Stato membro.

Se ricorrono queste ipotesi, le autorità di controllo diverse da quella capofila, che abbiano ricevuto reclami o segnalazioni di violazioni, sono tenute a informare immediatamente l’autorità capofila, che dovrà valutare, nel termine di tre settimane, l’opportunità di innescare una speciale procedura ex art. 60 o lasciare che sia l’autorità di controllo direttamente adita dall’interessato a trattare la questione, <<tenendo conto dell'esistenza o meno di uno stabilimento del titolare del trattamento o responsabile del trattamento nello Stato membro dell'autorità di controllo che l'ha informata>>308.

A questo punto, si profila la seguente alternativa procedurale:

 se l’autorità capofila rimette la trattazione del caso all’autorità di controllo inizialmente invocata, quest’ultima conserva integralmente la sua competenza decisionale e potrà svolgere normalmente le sue funzioni, cooperando e scambiando informazioni con altre autorità di controllo, ove necessario;  se invece l’autorità capofila avoca a sé la questione, la

medesima ha il potere di adottare una decisione vincolante anche per le altre autorità di controllo interessate, ma dovrà sottoporre loro in via preliminare il progetto di decisione da essa formulato per la relativa condivisione.

L'autorità capofila, ai sensi dell'art. 60, non può ignorare eventuali obiezioni sollevate dalle altre autorità di supervisione.

Qualora essa le consideri pertinenti e motivate, modifica di conseguenza il progetto di decisione; altrimenti, deve sollecitare l'intervento del Comitato europeo per la protezione dei dati ai fini della composizione del dissidio (“meccanismo di coerenza” su cui v.

infra, par. 6.2.).

308

163

In un’ottica critica occorre anzitutto sviluppare qualche riflessione sulla nozione di stabilimento principale, che comporta l’attrazione delle competenze di supervisione in capo a una determinata autorità di controllo. Si registra, sotto questo profilo, un sensibile miglioramento nel testo definitivo del regolamento rispetto alla formulazione originaria, perché viene adottato un approccio funzionale, che affianca al criterio fattuale, presente nel testo della Commissione, una nozione formale di stabilimento principale, combinando i vantaggi e riducendo i limiti delle due impostazioni. Una lettura esclusivamente formale rischierebbe di alimentare fenomeni di forum shopping309 da parte dei titolari del trattamento, che potrebbero scegliere di registrare la sede amministrativa centrale nello Stato in cui opera un’autorità di supervisione presumibilmente meno attiva nel reprimere violazioni. L’identificazione dello stabilimento principale solo con il centro amministrativo dell’impresa presta il fianco a ulteriori obiezioni, in quanto non tiene conto dell’effettiva realtà organizzativa delle piccole e medie imprese, che, a differenza delle grandi, non hanno una struttura accentrata, ma, al contrario, presentano un’articolazione decentralizzata310.

D’altra parte, una visione meramente fattuale potrebbe rivelarsi inaffidabile e inidonea a evitare confusione in situazioni dai contorni incerti, per via della complessità organizzativa delle strutture dei titolari del trattamento311.

Il principio dello “sportello unico” è stato uno degli aspetti del regolamento più discussi nel dibattito politico europeo e le relative disposizioni hanno subito una significativa opera di re-styling nel

309

Paolo BALBONI and others, “Rethinking the one-stop-shop mechanism: legal certainty and legitimate expectation”, Computer Law & Security Review, 2014, Vol. 30, p. 400.

310

In tal senso Isabelle FALQUE-PIERROTIN, “What kind of European Protection for Personal Data?”, European Issues, N. 250, European policies, Fondation Robert Schuman Policy Paper, 3.9.2012, p. 5.

311

Paolo BALBONI and others, “Rethinking the one-stop-shop mechanism: legal certainty and legitimate expectation”, cit., p. 400.

164

corso dell’iter legislativo, al fine di imprimere maggiore coerenza al sistema e di assicurarne una semplificazione.

La ratio di fondo del nuovo meccanismo è stata efficacemente colta dal Garante Europeo312, che ha sottolineato come la competenza dell’autorità capofila non abbia carattere di esclusività, bensì configuri una “forma strutturata di cooperazione” con le altre autorità di controllo interessate.

Questa considerazione merita di essere condivisa per una duplice ragione. Come si è cercato di evidenziare sinora, in primo luogo vi sono ipotesi in cui autorità di controllo diverse dall’autorità capofila potrebbero esaminare reclami e segnalazioni di violazioni, previa rinuncia da parte di quest'ultima a intervenire direttamente. In secondo luogo, qualora si realizzi l’accentramento delle competenze in capo all'autorità capofila, in ordine a una questione le cui implicazioni superano gli angusti confini nazionali, le altre autorità di supervisione interessate dovranno poter partecipare al processo decisionale. Pertanto, è vero che in tali casi è l’autorità capofila ad adottare la decisione finale, ma essa dovrà cercare di formare un consenso comune intorno alla soluzione della questione e recepire gli orientamenti e i suggerimenti delle altre autorità di controllo coinvolte nella vicenda. In definitiva, la decisione sarà frutto anche dell’apporto di queste ultime.

Alla luce di tali considerazioni, si può ritenere che nel complesso il legislatore si sia fortemente impegnato nel bilanciare adeguatamente il riparto di poteri tra l’autorità capofila e le altre autorità garanti, assicurando a quest’ultime la possibilità di far valere la loro diversa opinione ed evitando di ridurne il ruolo a quello di mere “cassette della posta”313, che si limitano a smistare i reclami loro pervenuti.

312

EUROPEAN DATA PROTECTION SUPERVISOR, Opinion of the European

Data Protection Supervisor on the data protection reform package (7.3.2012), p.

39.

313

Paolo BALBONI and others, “Rethinking the one-stop-shop mechanism: legal certainty and legitimate expectation”, cit., p. 399.

165

La regola dello “sportello unico” va fortemente apprezzata per la sua innegabile attitudine a semplificare il quadro normativo e ad assicurare la certezza del diritto. Sotto la vigenza della direttiva 95/46/CE, i responsabili del trattamento, che svolgevano la loro attività in più Stati membri, dovevano non solo fare i conti con una cornice legale estremamente frammentata, ma anche interagire con molteplici autorità di supervisione, con un notevole aggravio di costi per adeguarsi ai differenti contesti normativi nazionali.

Con l’entrata in vigore del regolamento, invece, gli operatori non dovranno scontare incertezze circa le regole da osservare e troveranno un interlocutore unico nell’autorità di controllo dello Stato membro, in cui ha sede il loro stabilimento principale.

Il regolamento, tuttavia, tace in ordine all’eventualità che il titolare o il responsabile del trattamento non abbiano uno stabilimento nel territorio dell’Unione e l’applicabilità delle sue previsioni sia determinata da uno dei criteri di collegamento residuali, enunciati dall’art. 3. In tali ipotesi non potrebbe operare il parametro dettato dall’art. 56, al fine di individuare l’autorità di controllo capofila. Per sciogliere questo nodo critico, il Gruppo di lavoro Articolo 29 aveva suggerito, a titolo esemplificativo, di far riferimento allo Stato membro, dove si svolgono le principali attività di trattamento o si trovano persone interessate, che ne subiscono gli effetti o che hanno presentato reclami314. Nell’eventualità che i criteri appena esposti comportino l’individuazione di più autorità di controllo e queste non riescano a raggiungere un’intesa, il Gruppo di lavoro Articolo 29 aveva ritenuto opportuno attribuire all’istituendo Comitato europeo per la protezione dei dati (l’organo suo successore) il compito di designare l’autorità capofila, specie laddove il trattamento incida su

314

GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI,

Parere 01/2012 sulle proposte di riforma in materia di protezione dei dati (WP

166

interessati residenti in più Stati membri315. Il carattere transnazionale assunto dalla questione esigerebbe comunque, pur in assenza di uno stabilimento sul territorio europeo, l’individuazione di un referente unitario, che assicuri dall’alto il coordinamento delle attività di supervisione.

Questa lacuna sembra confliggere con l’obiettivo di creare le basi per una competizione equa tra imprese europee e straniere, sottolineato nelle dichiarazioni ufficiali della Vice-presidente della Commissione, Viviane Reding316. Le società che hanno stabilito il loro quartier generale al di fuori dell’Unione sarebbero soggette alle norme del regolamento, qualora indirizzino l’offerta di beni e servizi verso cittadini europei, ma non potrebbero beneficiare della semplificazione e della maggiore prevedibilità delle regole da osservare, garantita dal meccanismo dello “sportello unico”.

Anche se questo profilo potrebbe rivestire minor rilievo ai fini della tutela delle persone fisiche rispetto ad altre questioni, una simile discrasia è incompatibile con il principio della parità di trattamento. Qualcuno ha suggerito che la mancata considerazione di questa problematica nel regolamento sia frutto, non già di una svista, bensì di un’omissione intenzionale, finalizzata a indurre le imprese estere a creare stabilimenti nell’Unione317.

A prescindere dal fatto che si ritenga credibile o meno questa ricostruzione, non pare del tutto infondato il timore che le piccole e medie imprese, che rappresentano una larga fetta del settore, siano

315

ARTICLE 29 WORKING PARTY, Additional statement on the reform package

of 27.02.2013, Annex 1 Competence and Lead Authority, 27.2.2013, p. 3.

316

<<This is about creating a level playing-field between European and non- European businesses. About fair competition in a globalised world>>. V. Viviane REDING, The EU Data Protection Regulation: Promoting Technological

Innovation and Safeguarding Citizens’ Rights (Brussels, 4 March 2014),

http://europa.eu/rapid/press-release_SPEECH-14-175_en.htm.

317

Omer TENE, Christopher WOLF, White Paper - Overextended: Jurisdiction and

Applicable Law under the EU General Data Protection Regulation, The Future of

167

disincentivate dall’accedere al mercato interno318

, per via della prospettiva di dover conformarsi agli obblighi che discendono dal regolamento, senza poter contare su un referente unico per le questioni relative all’ottemperanza al nuovo regime.