Numerose sono le prescrizioni di DGA, DMA, DSA e della proposta EHDS che intersecano quelle del GDPR venendo a realizzare su vari temi una disciplina composita, proveniente da più fonti.
In questa tornata ci soffermiamo sulle novità in tema di rappresentante UE, intermediazione dei dati, riutilizzo dei dati e modalità di controllo degli interessati.
Rappresentante UE
In via di analogia con quanto disposto dall’articolo 27 del GDPR, sia il DGA che il DSA prevedono l’obbligo di designare un rappresentante UE.
Secondo il DGA, qualora un fornitore di servizi di intermediazione dei dati non stabilito nell’Unione offra servizi nell’Unione, deve designare un rappresentante legale che agisce per suo conto, riguardo agli obblighi previsti dal DGA. In caso di violazione, le autorità competenti possono avviare un procedimento esecutivo contro un prestatore di servizi di intermediazione dei dati inadempiente non stabilito nell’Unione, tramite il suo rappresentante. [Considerando (42) e artt. 2(21) e 11(3)].
Secondo il DSA, i prestatori di servizi intermediari che sono stabiliti in un paese terzo e che offrono servizi di intermediazione nell’Unione devono designare un rappresentante legale nella UE, investito di un mandato adeguato e che disponga dei poteri e delle risorse necessari per cooperare con le pertinenti autorità. Il rappresentante legale designato può essere ritenuto responsabile del mancato rispetto degli obblighi derivanti dal DSA.
Diversamente dai rappresentanti previsti dal DGA e dal DSA, il rappresentante del GDPR, invece, non è responsabile per violazioni del regolamento generale, compiute dai propri mandanti.
I tre atti del GDPR, DGA e DSA sono allineati nello stabilire che la designazione di un rappresentante legale all’interno dell’Unione non comporta la costituzione di uno stabilimento nell’Unione [Considerando (44) e art. 13, DSA].
Per l’EHDS, infine, il produttore di un sistema di cartelle cliniche elettroniche stabilito fuori della UE nomina un proprio rappresentante autorizzato prima di mettere il sistema sul mercato UE (art. 18, EHDS).
Gli obblighi di designazione dei rappresentanti UE contenuti nelle norme richiamate sono complementari e non sostitutivi di quello previsto dall’articolo 27 del GDPR per cui, nella pratica, si dovranno prevedere mandati differenti ma si ritiene che essi possano anche confluire sul medesimo soggetto, persona fisica o giuridica.
Continua…