Il Regolamento UE n. 679/2016 ha introdotto rilevanti novità anche nell’ambito del trattamento transfrontaliero (cross border) di dati personali, ovvero quei trattamenti di dati che interessano più Stati dell’Unione Europea, nell’ottica di una maggiore semplificazione in favore di imprese e cittadini che operano nel contesto dell’Unione e nel rispetto dello stesso principio di uniformità normativa voluto dallo stesso regolamento. Una di queste novità è il meccanismo dello ONE-STOP-SHOP o Sportello Unico che nella maggior parte dei casi riguarda imprese o multinazionali che hanno sedi o stabilimenti in diversi luoghi dell’Unione e che possono trovarsi ad effettuare un trattamento transfrontaliero di dati personali. Lo Sportello Unico introdotto dall’art. 56 del Regolamento si applica infatti ai trattamenti transfrontalieri di dati personali e prevede che il titolare/responsabile del trattamento possa rivolgersi all’autorità capofila, ovvero all’autorità garante situata nel territorio in cui il titolare/responsabile ha la propria sede o stabilimento principale che controllerà e vigilerà sul trattamento transfrontaliero. Un trattamento transfrontaliero, come chiarito anche nelle linee guida (WP244) del WP29, si verifica solo quando un singolo titolare del trattamento o un responsabile del trattamento opera in più di uno Stato membro o, se opera solo in un singolo Stato membro, quando svolge trattamenti che incidono o potrebbero incidere in modo sostanziale sulle persone di diversi Sati membri.
Di conseguenza, non tutte le organizzazioni anche multinazionali con stabilimenti nell'UE possono beneficiare dello One Stop Shop; ad esempio, le società di un gruppo aziendale i cui membri del gruppo esercitano ciascuno un potere decisionale individuale e autonomo sulle proprie attività di trattamento dei dati non faranno riferimento all'OSS, ma dovranno rivolgersi a ciascuna specifica autorità garante nazionale; e ciò vale anche per i titolari/responsabili non appartenenti al SEE comunque soggetti al GDPR.
Le regole relative allo Sportello Unico - ONE-STOP-SHOP - sono molto complesse, pertanto, ...
Articolo
Trattamenti transfrontalieri di dati personali: in cosa consiste il nuovo meccanismo dello One Stop Shop?
Il GDPR ha introdotto il nuovo meccanismo dello Sportello Unico o One Stop Shop che consente una maggiore semplificazione nella gestione dei rapporti con le autorità garanti dei diversi Stati dell’UE nel contesto dei trattamenti transfrontalieri di dati personali. La procedura è particolarmente complessa, ragion per cui è fondamentale individuare in anticipo la propria leading authority nei trattamenti transfrontalieri, considerando l’obbligo di comunicazione del data breach che prevede tempi stretti (art. 33 GDPR), il diritto di reclamo all’autorità garante competente in favore degli interessati (art. 13 lett. d GDPR) e la consultazione preventiva alla stessa autorità nei casi di trattamenti che anche dopo aver svolto una DPIA continuano a presentare rischi elevati (art. 36 GDPR).