STUDIO LEGALE TOSATO

Le novità in materia di privacy. In particolare, la disciplina applicabile agli stabilimenti di imprese nell’UE

di Studio Legale Tosato

È ormai noto che il 25 maggio scorso è entrato in vigore il Regolamento europeo n. 2016/679 che disciplina il trattamento dei dati personali (c.d. GDPR, dall’inglese General Data Protection Regulation).

Le norme del GDPR sono applicabili ai trattamenti di dati personali effettuati nell’ambito delle attività di uno stabilimento collocato nel territorio di uno degli Stati membri dell’UE, indipendentemente dal fatto che l’effettivo trattamento dei dati sia effettuato o meno nell’UE.  In ogni caso, le norme del Regolamento sono applicate ogniqualvolta il trattamento riguardi dati personali di interessati che si trovino nell’Unione.

Il GDPR fa riferimento ad una nozione di “stabilimento” che implica l’effettivo e reale svolgimento di un’attività tramite un’organizzazione stabile, indipendentemente dalla forma giuridica assunta.

Per le imprese che abbiano stabilimenti in più d’uno degli Stati membri UE diviene fondamentale identificare il proprio stabilimento principale, in quanto questa operazione consentirà di individuare l’autorità capofila tra le autorità nazionali di controllo per la protezione dei dati.

In proposito, il Regolamento chiarisce che lo stabilimento principale è, alternativamente, quello in cui l’impresa ha la sua amministrazione centrale o quello in cui sono adottate le decisioni relative al trattamento dei dati personali. Per i gruppi d’imprese, lo stabilimento principale del gruppo coinciderà con quello dell’impresa controllante.

Se un’impresa ha più stabilimenti nell’UE, di norma è considerato stabilimento principale il luogo dell’amministrazione centrale dell’impresa. Tuttavia, se le decisioni sulle finalità e i mezzi del trattamento sono prese in un altro stabilimento – che ha anche la facoltà di ordinare l’esecuzione di tali decisioni – quest’ultimo stabilimento diventa lo stabilimento principale. Spetta ai titolari del trattamento stabilire chiaramente dove sono prese le decisioni sulle finalità e i mezzi del trattamento dei dati personali.

L´obiettivo della devoluzione di competenze a favore dell´autorità capofila è garantire l´esistenza di uno “sportello unico” per i trattamenti transfrontalieri di dati personali: principio sancito dal paragrafo 6 dell´art. 56 del GDPR (“L´autorità di controllo capofila è l´unico interlocutore del titolare del trattamento o del responsabile del trattamento in merito al trattamento transfrontaliero effettuato da tale titolare o responsabile“).

Per le imprese dell’UE, soprattutto per le PMI, la nuova normativa dovrebbe ridurre il costoso onere amministrativo di doversi adeguare alle diverse normative, favorendo così le loro possibilità di espandersi al di là dei confini su basi concorrenziali più eque.

Il Regolamento si occupa nel Capo VII della cooperazione fra l´autorità capofila e le altre autorità, ma anche fra le autorità di controllo in generale. Su questo punto, il Garante per la protezione dei dati personali aveva già pubblicato, in data 02.01.2018, delle indicazioni per chiarire la disciplina dell´autorità di controllo capofila e la cooperazione prevista dal meccanismo di “sportello unico” nel Regolamento.

La disciplina specifica del gruppo d’imprese include altresì la possibilità di nominare un unico responsabile della protezione dei dati per l’intero gruppo, a condizione che lo stesso sia agevolmente raggiungibile dalle altre componenti del gruppo, nonché quella di sottoporre all’autorità di controllo capofila norme di autoregolamentazione, relative al trattamento dei dati personali, vincolanti per le imprese facenti parte del raggruppamento.

Al fine di adattare l’ordinamento interno al GDPR il Governo Italiano, in attuazione della legge di delegazione europea 2016 – 2017 (l. 25.10.2017, n. 163) ha adottato il D.Lgs. 10.08.2018, n. 101, entrato in vigore il 19.09.2018.

Il decreto non reca disposizioni specifiche in merito al trattamento dei dati personali effettuati da un’impresa proveniente da un altro Stato membro che abbia uno stabilimento in Italia.

Il testo innova, invece, la disciplina in merito alle sanzioni penali ed amministrative conseguenti alla violazione delle norme in materia di privacy e prevede un’applicazione semplificata della normativa per le micro, piccole e medie imprese.

Da ultimo vale la pena notare che, per quanto non si rinvengano ancora sentenze relative all’applicazione del nuovo quadro normativo, la giurisprudenza di legittimità ha già avuto modo di richiamare il GDPR al fine di chiarire il proprio orientamento in merito alla natura del consenso dell’interessato. In particolare Cass. civ., sez. I, 02/07/2018, n. 17278, interpretando la nozione di “consenso” contenuta nell’ormai vetusto codice della privacy alla luce della definizione di “consenso informato” propria del GDPR, ha chiarito che quest’ultimo non ammette alcuna compressione né perturbazione derivante da stratagemmi o sotterfugi che potrebbero essere adottati dal titolare del trattamento.