Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

 

 

 

Autorità di controllo capofila
(Lead Supervisory Authority)

 

La pagina contiene link alla normativa e a documenti interpretativi, schede informative e pagine tematiche,
ed è in continuo aggiornamento.

Ultimo aggiornamento 27 giugno 2017

 

 

 

 

 

L'autorità di controllo capofila e la cooperazione prevista dal meccanismo di "sportello unico" nel regolamento 2016/679
 

Le disposizioni sui meccanismi amministrativi della protezione dei dati nell'Ue sono fissate nei Capi VI e VII del regolamento 2016/679. Il Capo VI, in particolare, prevede la costituzione di un'"autorità di controllo" in ciascuno Stato membro (rinviando al legislatore nazionale la definizione delle modalità di nomina dei componenti e l'attribuzione di idonee risorse), fissa identici compiti e poteri per le autorità (artt. 57 e 58) in tutti i Paesi Ue e introduce (art. 56) la nozione di "autorità di controllo capofila".

 

L'autorità di controllo capofila è, in sintesi, l'autorità dello stabilimento principale o unico nell'Ue del titolare o responsabile del trattamento, alla quale viene trasferita la competenza da tutte le altre autorità di controllo (definite, in questo caso, "autorità interessate") per quanto riguarda i "trattamenti transfrontalieri" di dati personali svolti da quel titolare o responsabile.

 

Le definizioni di "stabilimento principale" e "trattamento transfrontaliero" sono contenute all'art. 4(16) e (23), rispettivamente; anche il concetto di "autorità di controllo interessata" trova definizione all'art. 4 (punto 22) del regolamento.

 

L'obiettivo della devoluzione di competenze a favore dell'autorità capofila è garantire l'esistenza di uno "sportello unico" per i trattamenti transfrontalieri di dati personali: principio sancito dal paragrafo 6 dell'art. 56 ("L'autorità di controllo capofila è l'unico interlocutore del titolare del trattamento o del responsabile del trattamento in merito al trattamento transfrontaliero effettuato da tale titolare o responsabile").

 

Occorre ricordare, tuttavia, che il regolamento stesso prevede alcune eccezioni: l'autorità di controllo che riceve un reclamo (e quindi è, per definizione, un'autorità "interessata") può infatti far valere il carattere esclusivamente locale del caso e chiedere all'autorità capofila di rinunciare alla propria competenza ("se l'oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro"): v. art. 56, paragrafo 2.

 

La cooperazione fra l'autorità capofila e le altre autorità, ma anche fra le autorità di controllo in generale, è disciplinata nel Capo VII del regolamento, che ha per oggetto appunto "Cooperazione e coerenza".

 

In particolare, il meccanismo decisionale nei casi di trattamento transfrontaliero (detto "sportello unico", poiché il titolare o il responsabile potrà rivolgersi alla sola autorità di controllo capofila) è regolato dall'art. 60 del regolamento. Si tratta di un meccanismo di co-decisione, in cui l'autorità capofila è competente a emanare la (unica) decisione finale, ma è obbligata a interpellare tutte le autorità interessate prima di assumere qualsiasi provvedimento che riguardi un titolare o responsabile, e nel farlo deve tenere conto delle "obiezioni pertinenti e motivate" che le autorità interessate possono sollevare sul progetto di decisione o parere fatto circolare dall'autorità capofila, secondo una tempistica molto stretta.

 

L'autorità capofila può, in ogni momento, respingere le obiezioni formulate dalle autorità interessate e adire il Comitato europeo per la protezione dei dati (il "Board") che decide secondo la procedura di cui all'art. 65, ma solo sulla "obiezione pertinente e motivata" - qualunque ne sia l'oggetto. La decisione del Comitato è vincolante per l'autorità capofila e le autorità interessate.

 

Le Linee-guida del WP29 sulla "autorità di controllo capofila" intendono chiarire i criteri che i titolari di trattamento (e anche le autorità di controllo) utilizzeranno per individuare correttamente la propria autorità capofila, rispetto ai trattamenti transfrontalieri di dati personali, e illustrano in concreto il funzionamento del meccanismo di "sportello unico".
 

 

 

 

 

Linee-guida per l'individuazione dell'autorità di controllo capofila in rapporto
a uno specifico titolare o responsabile del trattamento - WP244

adottate dal Gruppo di lavoro Art. 29 il 13 dicembre 2016

(Traduzione della versione emendata e adottata il 5 aprile 2017)

 

english version

Guidelines for identifying a controller or processor's lead supervisory authority, wp244rev.01
As last Revised and Adopted on 5 April 2017