Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Briciole di pane

Search Form Portlet

ricerca avanzata

Autorità di controllo capofila

Autorità di controllo capofila

 

Autorità di Controllo Capofila
(Lead Supervisory Authority)

 

La pagina contiene link alla normativa e a documenti interpretativi, schede informative e pagine tematiche,
ed è in continuo aggiornamento

 

 

 

L'Autorità di Controllo Capofila e la cooperazione prevista dal meccanismo di "sportello unico" nel Regolamento 2016/679
 

Le disposizioni sui meccanismi amministrativi della protezione dei dati nell'Ue sono fissate nei Capi VI e VII del regolamento 2016/679. Il Capo VI, in particolare, prevede la costituzione di un'"autorità di controllo" in ciascuno Stato membro (rinviando al legislatore nazionale la definizione delle modalità di nomina dei componenti e l'attribuzione di idonee risorse), fissa identici compiti e poteri per le autorità (artt. 57 e 58) in tutti i Paesi Ue e introduce (art. 56) la nozione di "autorità di controllo capofila".

 

L'autorità di controllo capofila è, in sintesi, l'autorità dello stabilimento principale o unico nell'Ue del titolare o responsabile del trattamento, alla quale viene trasferita la competenza da tutte le altre autorità di controllo (definite, in questo caso, "autorità interessate") per quanto riguarda i "trattamenti transfrontalieri" di dati personali svolti da quel titolare o responsabile.

 

Le definizioni di "stabilimento principale" e "trattamento transfrontaliero" sono contenute all'art. 4(16) e (23), rispettivamente; anche il concetto di "autorità di controllo interessata" trova definizione all'art. 4 (punto 22) del regolamento.

 

L'obiettivo della devoluzione di competenze a favore dell'autorità capofila è garantire l'esistenza di uno "sportello unico" per i trattamenti transfrontalieri di dati personali: principio sancito dal paragrafo 6 dell'art. 56 ("L'autorità di controllo capofila è l'unico interlocutore del titolare del trattamento o del responsabile del trattamento in merito al trattamento transfrontaliero effettuato da tale titolare o responsabile").

 

Occorre ricordare, tuttavia, che il regolamento stesso prevede alcune eccezioni: l'autorità di controllo che riceve un reclamo (e quindi è, per definizione, un'autorità "interessata") può infatti far valere il carattere esclusivamente locale del caso e chiedere all'autorità capofila di rinunciare alla propria competenza ("se l'oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro"): v. art. 56, paragrafo 2.

 

La cooperazione fra l'autorità capofila e le altre autorità, ma anche fra le autorità di controllo in generale, è disciplinata nel Capo VII del regolamento, che ha per oggetto appunto "Cooperazione e coerenza".

 

In particolare, il meccanismo decisionale nei casi di trattamento transfrontaliero (detto "sportello unico", poiché il titolare o il responsabile potrà rivolgersi alla sola autorità di controllo capofila) è regolato dall'art. 60 del regolamento. Si tratta di un meccanismo di co-decisione, in cui l'autorità capofila è competente a emanare la (unica) decisione finale, ma è obbligata a interpellare tutte le autorità interessate prima di assumere qualsiasi provvedimento che riguardi un titolare o responsabile, e nel farlo deve tenere conto delle "obiezioni pertinenti e motivate" che le autorità interessate possono sollevare sul progetto di decisione o parere fatto circolare dall'autorità capofila, secondo una tempistica molto stretta.

 

L'autorità capofila può, in ogni momento, respingere le obiezioni formulate dalle autorità interessate e adire il Comitato europeo per la protezione dei dati (il "Board") che decide secondo la procedura di cui all'art. 65, ma solo sulla "obiezione pertinente e motivata" - qualunque ne sia l'oggetto. La decisione del Comitato è vincolante per l'autorità capofila e le autorità interessate.

 

Le Linee-guida del WP29 sulla "autorità di controllo capofila" intendono chiarire i criteri che i titolari di trattamento (e anche le autorità di controllo) utilizzeranno per individuare correttamente la propria autorità capofila, rispetto ai trattamenti transfrontalieri di dati personali, e illustrano in concreto il funzionamento del meccanismo di "sportello unico".
 

 

 

 

- Registro delle decisioni legate al meccanismo Sportello Unico (One Stop Shop)

 

 

 

________________________________________________________

 

 

 

 

 

 

 

 

 

 

 

 

Linee-guida per l'individuazione dell'autorità di controllo capofila in rapporto a uno specifico titolare o responsabile del trattamento - WP244

Adottate il 13 dicembre 2016
Versione emendata e adottata in data 5 aprile 2017

 

 

Le risposte alle domande più frequenti - FAQ
Allegato alle Linee-guida per l'individuazione dell'autorità di controllo capofila in rapporto a uno specifico titolare o responsabile del trattamento - WP244

 

 

 

 

________________________________________________________

 

 

 

 

 

 

 

 

 

 

 

ENGLISH VERSION

 

VEDI ANCHE: comunicato stampa EDPB del 10 novembre 2020

 

 

 

Come funziona la cooperazione transfrontaliera ai sensi del regolamento generale sulla protezione dei dati?

 

Il regolamento generale sulla protezione dei dati (RGPD) impone alle autorità di controllo del SEE di cooperare strettamente per garantire l'applicazione coerente del RGPD e la tutela dei diritti delle persone in materia di protezione dei dati in tutto il SEE. Uno dei compiti delle autorità consiste nel coordinare il processo decisionale nei casi transfrontalieri di trattamento dei dati.

 

Nell'ambito del cosiddetto meccanismo di sportello unico (articolo 60 del RGPD), che si applica alle situazioni di trattamento transfrontaliero, l'autorità di controllo capofila (AC) funge da punto di contatto principale per il titolare o il responsabile di un determinato trattamento, mentre le autorità di controllo interessate (AI) fungono da punto di contatto principale per gli interessati. L'AC è l'autorità incaricata di condurre le indagini e preparare il progetto di decisione relativo al caso e deve cooperare con le altre AI nell’adoperarsi per raggiungere un consenso su tale progetto di decisione.

 

Quando viene emesso un progetto di decisione, le autorità di controllo interessate sono consultate dall'autorità di controllo capofila e possono esprimere obiezioni pertinenti e motivate al progetto di decisione entro un termine di quattro settimane (articolo 60 (4) RGPD).

 

Se nessuna delle autorità di controllo interessate solleva obiezioni, l'AC può procedere all'adozione della decisione.

 

Se almeno una delle autorità di controllo interessate è in disaccordo con il progetto di decisione, può esprimere le proprie obiezioni pertinenti e motivate come indicato sopra. Se intende dar seguito alle obiezioni, l'AC presenta un progetto di decisione riveduto a tutte le autorità di controllo interessate. Le autorità di controllo interessate dispongono quindi di un termine di due settimane (articolo 60 (5) RGPD) per esprimere obiezioni pertinenti e motivate al progetto di decisione riveduto.

 

Se l'AC non intende dar seguito alle obiezioni e, pertanto, sorge una controversia su un progetto di decisione o su un progetto di decisione riveduto e non è possibile raggiungere un consenso, viene attivato il meccanismo di coerenza. Ciò significa che l'AC ha l'obbligo di deferire il caso al comitato europeo per la protezione dei dati (EDPB/CEPD).

 

Il comitato fungerà quindi da organismo di risoluzione delle controversie e, entro un mese dal deferimento della questione, adotterà una decisione a maggioranza di due terzi, vincolante per l'autorità di controllo capofila e le autorità di controllo interessate (articolo 65 del RGPD). Tale termine può essere prorogato di un mese se il caso è complesso. Qualora il comitato non sia in grado di adottare una decisione entro il suddetto periodo con una maggioranza di due terzi, la decisione dovrebbe essere adottata a maggioranza semplice. In caso di parità dei voti dei membri del comitato, la decisione sarà adottata con il voto del presidente dell'EDPB.

 

L'AC, e in alcuni casi l'AI presso la quale è stato presentato il reclamo ove il reclamante sia destinatario della decisione, deve adottare la sua decisione definitiva sulla base della decisione dell'EDPB, che sarà indirizzata al titolare o al responsabile del trattamento e, se del caso, al reclamante.

 

 

 

Chi può attivare il meccanismo di risoluzione delle controversie?

 

Qualora sorga una controversia nel corso di una procedura di sportello unico, è necessario attivare il meccanismo di risoluzione delle controversie. L’autorità capofila è tenuta ad avviare tale processo quando non intende seguire le obiezioni pertinenti e motivate delle autorità di controllo interessate o ritiene che un'obiezione non sia motivata o pertinente.

 

A parte il meccanismo dello sportello unico, nel caso in cui un'autorità di controllo non richieda il parere del comitato rispetto a un progetto di decisione a norma dell'articolo 64 del RGPD o non si conformi al parere del comitato, qualsiasi autorità di controllo e la Commissione europea possono avviare una procedura ai sensi dell'articolo 65.

 

 

 

Il comitato viene investito di un caso ai sensi dell'articolo 65 del RGPD: quali sono i passi successivi?

 

Dopo il deferimento del caso, l'EDPB disporrà di un mese per adottare una decisione. Tale periodo può essere prolungato di un altro mese, a seconda della complessità della materia. Entro tale termine deve essere adottata una decisione vincolante a maggioranza di due terzi.

 

Se il comitato non è stato in grado di adottare una decisione entro tale termine, dovrà adottare la sua decisione entro due settimane dalla scadenza del secondo mese. In quest'ultimo caso, la decisione è adottata a maggioranza semplice.

 

In caso di parità dei voti dei membri del comitato, la decisione sarà adottata con il voto del presidente dell'EDPB.

 

Durante tale periodo resta pendente la procedura di sportello unico e le autorità di controllo interessate non possono adottare una decisione sul caso deferito al comitato.

 

 

 

Chi sono i destinatari delle decisioni dell’EDPB?

 

Tutte le decisioni adottate nell'ambito del meccanismo di risoluzione delle controversie sono indirizzate alle autorità di controllo nazionali. La decisione dell’EDPB è vincolante nei loro confronti.

 

 

 

Quali sono i passi successivi?

 

Una volta che il comitato ha adottato una decisione, il presidente dell'EDPB la notifica alle autorità di controllo nazionali interessate senza indebito ritardo.

 

Per quanto riguarda le procedure di sportello unico, l'autorità capofila o le autorità di controllo interessate alle quali sia stato presentato il reclamo devono adottare, sulla base della decisione dell’EDPB, la decisione definitiva indirizzata al titolare o al responsabile del trattamento e, se del caso, al reclamante. Ciò avviene senza indebito ritardo e al più tardi entro un mese dalla notifica della decisione da parte dell’EDPB. L'autorità capofila e le autorità di controllo interessate comunicano all’EDPB la data in cui la loro decisione definitiva è stata notificata al titolare o al responsabile del trattamento e al reclamante. A seguito di tale notifica, l'EDPB pubblica la sua decisione sul proprio sito web.

 

Le decisioni definitive dell'autorità capofila e delle autorità di controllo interessate sono adottate a norma dell'articolo 60 (7), (8) e (9) del RGPD. La decisione definitiva deve fare riferimento alla decisione del comitato, specificando che sarà pubblicata sul sito web dell'EDPB. Alle decisioni definitive dell’autorità capofila e delle autorità di controllo interessate deve essere allegata la decisione dell’EDPB.

 

 

 

Quando sarà pubblicata la decisione dell’EDPB?

 

Una volta che l’autorità capofila o, in alcuni casi, l'autorità interessata presso la quale è stato presentato il reclamo abbiano comunicato all'EDPB la data in cui la decisione definitiva è stata comunicata al titolare o al responsabile del trattamento e all'interessato, l’EDPB pubblica la sua decisione sul proprio sito web.

 

 

 

È possibile per un’autorità di controllo impugnare una decisione dell’EDPB ai sensi dell'articolo 65 del RGPD?

 

In quanto destinatarie delle decisioni dell'EDPB, le autorità di controllo che intendono contestarle devono presentare ricorso dinanzi alla Corte di giustizia dell'Unione europea (CGUE) entro due mesi dalla notifica.

 

 

 

È possibile per il titolare o il responsabile del trattamento o il reclamante impugnare una decisione dell’EDPB ai sensi dell'articolo 65 del RGPD?

 

Qualora la decisione dell'EDPB riguardi direttamente e individualmente il titolare del trattamento, il responsabile del trattamento o il reclamante, questi possono proporre un ricorso di annullamento contro tale decisione dinanzi alla CGUE, entro due mesi dalla pubblicazione sul sito web dell'EDPB, conformemente all'articolo 263 del TFUE.

 

Fatto salvo tale diritto ai sensi dell'articolo 263 del TFUE, ogni persona fisica o giuridica dispone inoltre di un ricorso giurisdizionale effettivo dinanzi al giudice nazionale competente avverso le decisioni definitive adottate dall'autorità di controllo che producono effetti giuridici nei suoi confronti. Tale diritto deve essere esercitato conformemente alla legislazione nazionale pertinente.

 

Qualora la decisione di un'autorità di controllo che attua una decisione dell'EDPB ai sensi dell'articolo 65 del RGPD sia contestata dinanzi a un'autorità giurisdizionale nazionale dall'interessato o dal titolare/responsabile del trattamento, e sia in discussione la validità della decisione dell'EDPB assunta ai sensi dell'articolo 65 e oggetto di tale attuazione, l’autorità giurisdizionale nazionale non ha il potere di dichiarare invalida la decisione dell'EDPB ai sensi dell'articolo 65 del RGPD, ma deve deferire la questione della validità alla CGUE conformemente all'articolo 267 del TFUE.

 

Tuttavia, un giudice nazionale può decidere di non deferire alla CGUE una questione concernente la validità di una decisione dell'EDPB quando una persona fisica o giuridica ha avuto la possibilità di presentare un ricorso di annullamento avverso tale decisione dinanzi alla CGUE, ma non lo ha fatto entro il termine di cui all'articolo 263 del TFUE.

 

 


Esistono altre situazioni in cui è possibile attivare il meccanismo di risoluzione delle controversie?

 

L’attivazione del meccanismo di risoluzione delle controversie non è limitata al solo caso in cui un'autorità di controllo capofila non dia seguito a un’obiezione pertinente e motivata delle autorità di controllo interessate o rigetti un'obiezione in quanto non pertinente o non motivata (articolo 60 del RGPD). Tale meccanismo può essere attivato anche in altri casi specifici previsti dal paragrafo 1 dell’art. 65 del RGPD, ad esempio in caso di opinioni contrastanti su quale sia l’autorità di controllo capofila.

 

Inoltre, in alcune circostanze, elencate all'articolo 64 (1) del RGPD, ogni autorità di controllo competente è tenuta a chiedere un parere al comitato prima di adottare il proprio progetto di decisione nazionale (ad esempio prima di approvare una nuova serie di clausole contrattuali standard). Se un'autorità non chiede il parere del comitato o non si conforma al parere emesso a norma dell'articolo 64 del RGPD, qualsiasi autorità di controllo o la Commissione europea può avviare una procedura di risoluzione della specifica controversia a norma dell'articolo 65. A tale riguardo, è opportuno ricordare la sentenza della Corte di giustizia nella causa C 311/18 (Schrems II), in particolare il punto 147:

 

"Per quanto riguarda il fatto, sottolineato dal Commissario, che i trasferimenti di dati personali verso un siffatto paese terzo possono portare le autorità di controllo dei vari Stati membri ad adottare decisioni divergenti, occorre aggiungere che, come risulta dall'articolo 55, paragrafo 1, e dall'articolo 57, paragrafo 1, lettera a), del RGPD, il compito di far rispettare tale regolamento è, in linea di principio, conferito a ciascuna autorità di controllo nel territorio del proprio Stato membro. Inoltre, al fine di evitare decisioni divergenti, l'articolo 64, paragrafo 2, del RGPD prevede la possibilità per un'autorità di controllo che ritenga che i trasferimenti di dati verso un paese terzo debbano, in generale, essere vietati, di deferire la questione al comitato europeo per la protezione dei dati (EDPB) per un parere, che può, ai sensi dell'articolo 65, paragrafo 1, lettera c), del RGPD, adottare una decisione vincolante, in particolare qualora un'autorità di controllo non segua il parere formulato."

 

 

 

 

 

g-menu Portlet

Infografica