Lo EDPB ha rilasciato le linee guida 02/2022 sull’applicazione dell’articolo 60 del GDPR, cioè sulle modalità procedurali del meccanismo di cooperazione, noto come “one-stop-shop”.
Il documento, a primo acchito, sembrerebbe indirizzato prevalentemente alle autorità di supervisione ma offre spunti di riflessione e takeaways utili per titolari e responsabili del trattamento, nonché per i consulenti della materia.
Prodromi
Le linee guida, di fatto, sono in risposta all’invito rivolto dalla Commissione UE all’EDPB contenuto nella relazione sullo stato del GDPR all’indomani del primo biennio di sua piena applicazione (Communication from the Commission to the European Parliament and the Council – Data protection as a pillar of citizens’ empowerment and the EU’s approach to the digital transition – two years of application of the General Data Protection Regulation).
Nel documento, la Commissione faceva rilevare che «lo sviluppo di una cultura europea della protezione dei dati veramente comune tra le autorità preposte alla protezione dei dati è ancora un processo in corso. Le autorità per la protezione dei dati non hanno ancora sfruttato appieno gli strumenti forniti dal GDPR, come le operazioni congiunte che potrebbero portare a indagini congiunte.». La Commissione concludeva nel senso che «(s)ono necessari ulteriori progressi per rendere il trattamento dei casi transfrontalieri più efficiente e armonizzato in tutta l’UE, anche da un punto di vista procedurale (…)» e accoglieva con favore il processo di riflessione avviato dall’EDPB in merito. Le riflessioni del Comitato, infine, sono confluite nelle linee guida 02/2022.
One-stop-shop
Nel richiamato documento della Commissione veniva evidenziato che sebbene fosse «ancora presto per valutare appieno il funzionamento dei nuovi meccanismi di cooperazione e coerenza, le autorità di protezione dei dati hanno sviluppato la loro cooperazione attraverso il meccanismo dello sportello unico e un ampio ricorso all’assistenza reciproca. Il meccanismo dello sportello unico (…) è una risorsa fondamentale del mercato interno, (che) viene utilizzato per decidere molti casi transfrontalieri. (…) Queste decisioni, che coinvolgono spesso le grandi aziende tecnologiche multinazionali, avranno un impatto sostanziale sui diritti delle persone in molti Stati membri.».
Il meccanismo di cooperazione è un istituto del tutto nuovo, introdotto dal GDPR per i trattamenti di dati personali che generano un impatto in più Stati membri (cosiddetti “trattamenti transfrontalieri”).
Preoccupazioni per le azioni di tutela
Contenuto nella proposta di regolamento della Commissione UE come strumento di coordinamento tra le autorità di supervisione nazionali nonché di facilitazione per titolari e responsabili del trattamento internazionali, durante le discussioni in merito al contenuto del regolamento, il “one-stop-shop” aveva sollevato perplessità per il rischio ad esso connesso di rendere maggiormente difficoltose le azioni di tutela dei diritti da parte degli interessati.
La previsione di uno sportello unico, identificato nell’autorità di supervisione presente sul territorio dello Stato membro dove si trova lo stabilimento principale (o l’unico stabilimento) del titolare/responsabile, avrebbe potuto rendere maggiormente difficoltoso – per un interessato che si fosse trovato in un diverso Stato membro e che fosse impattato dalle conseguenti operazioni del trattamento transfrontaliero – inoltrare reclami a tale autorità (estera) a difesa dei propri diritti.
Sportello unico e azioni di tutela
Per rimediare alla possibile controindicazione richiamata, la proposta della Commissione fu emendata al fine di prevedere il diritto dell’interessato di agire presso la propria autorità nazionale di supervisione a tutela dei propri diritti, pur mantenendo inalterata l’impostazione strutturale originaria dello sportello unico e dei correlati ruoli di autorità capofila e autorità interessate.
Di conseguenza, quando il meccanismo di cooperazione è innescato dal processo di gestione di un reclamo (anziché, ad esempio, da un’indagine d’ufficio), viene a realizzarsi un “deviatoio”: su un binario, titolare/responsabile potranno interagire con l’autorità competente sul territorio del proprio stabilimento (“capofila”) come loro unico interlocutore, mentre su un diverso binario, gli interessati si interfacceranno con la propria rispettiva autorità di supervisione nazionale, che agirà nel meccanismo di cooperazione come “autorità interessata” [art. 4, punto 22), GDPR]. I due distinti binari divaricatisi a seguito del deviatoio, si ricongiungeranno in seguito, grazie al meccanismo di cooperazione tra l’autorità capofila e le autorità interessate, così da assicurare l’uniforme applicazione delle regole sulla protezione dei dati personali mediante una loro coerente interpretazione, senza che ciò impatti negativamente sull’esercizio delle azioni di tutela.
