Il 13 febbraio scorso, il Comitato europeo per la protezione dati (EDPB, European Data Protection Board) ha adottato un parere sulla nozione di “stabilimento principale” e sui criteri per l’applicazione del meccanismo dello One-Stop-Shop (Sportello Unico).
Lo Sportello unico e i poteri delle Autorità privacy Ue
Quindi, nel momento in cui un’impresa extra-Ue ha uno stabilimento nei Paesi dell’Unione ma le decisioni sono prese al di fuori dei confini europei, qualunque Autorità privacy dei Paesi membri potrà muoversi autonomamente per tutelare i diritti dei cittadini.
In questo caso, il meccanismo dello “Sportello Unico” non si applica. Il principio dello “Sportello Unico” (o One-Stop-Shop), delineato dall’articolo 60 del Regolamento europeo per la protezione dei dati (GDPR), stabilisce che le imprese, e in generale i titolari del trattamento, avranno a che fare con una sola Autorità di controllo, cioè quella del Paese dove hanno la loro sede principale.
Il meccanismo dello One-Stop-Shop potrà, quindi, essere applicato solo agli “stabilimenti principali” che fungono da “luogo di amministrazione centrale”, ossia se è solo lì che si prendono decisioni sulle finalità e sui mezzi del trattamento dei dati personali.
Effettivamente, quindi, “spetta al titolare l’onere di dimostrare che le decisioni sulle finalità e sui mezzi del trattamento dei dati personali siano state prese nel Paese Ue dove è stabilito lo stabilimento principale e le sue conclusioni possono comunque essere confutate dalle Autorità di protezione dati”.
Articolo di T.S.
