Ai sensi del Regolamento europeo, l'applicazione del GDPR è di competenza delle Autorità nazionali per la protezione dei dati personali (Garante). Ogni paese del SEE (Spazio economico europeo) dispone di una propria Autorità indipendente per la protezione dei dati, che sovrintende all'applicazione del GDPR, compresa la gestione dei reclami. Per il trattamento dei dati effettuato in più di un paese SEE, il GDPR prevede un sistema di cooperazione tra le Autorità di protezione dei dati competenti, al fine di raggiungere un consenso. Trova una panoramica delle Autorità di protezione dei dati.

Il GDPR fornisce determinati diritti alle persone fisiche, tra cui il diritto di presentare un reclamo all'Autorità competente quando temono che vi sia stata una violazione dei loro diritti in merito alla protezione dei dati.

Compiti e poteri delle Autorità per la protezione dei dati personali (Garante)

Compiti delle Autorità per la protezione dei dati personali

Ogni Autorità nazionale all’interno del SEE (Spazio economico europeo) ha la responsabilità di monitorare e far rispettare l'applicazione del GDPR e promuovere la consapevolezza e la comprensione, da parte del pubblico, dei rischi, delle norme, delle garanzie e dei diritti in relazione al trattamento dei dati personali. Le Autorità garanti della protezione dei dati personali hanno anche il compito di consigliare il Parlamento nazionale, il Governo le altre Istituzioni e organi e di fornire informazioni a chiunque in merito all'esercizio dei loro diritti. Le Autorità per la protezione dei dati promuovono inoltre la consapevolezza dei titolari del trattamento e dei responsabili del trattamento riguardo ai loro obblighi ai sensi del GDPR. Le Autorità per la protezione dei dati gestiscono i reclami delle persone fisiche, conducono indagini sulla corretta applicazione del GDPR e cooperano con altre Autorità per la protezione dei dati sull'applicazione del GDPR. Le Autorità garanti sono inoltre responsabili di:

  • l'adozione e l'autorizzazione di clausole contrattuali tipo;
  • l’approvazione di norme vincolanti d'impresa;
  • l'approvazione dei codici di condotta;
  • di incoraggiare l'istituzione di meccanismi di certificazione della protezione dei dati;
  • di contribuire alle attività dell'EDPB;
  • di svolgere qualsiasi altro compito relativo alla protezione dei dati personali.

Poteri delle Autorità per la protezione dei dati

Ai sensi del GDPR, le Autorità nazionali per la protezione dei dati hanno visto aumentare significativamente i loro poteri esecutivi. L’art. 58 del GDPR definisce i poteri delle Autorità nazionali, dividendoli distintamente in tre gruppi principali:

  • poteri investigativi;
  • poteri correttivi;
  • poteri consultivi.

Poteri investigativi

Le Autorità per la protezione dei dati esercitano i loro poteri investigativi al fine di determinare se vi sia una violazione del Regolamento generale sulla protezione dei dati (GDPR), la sua esatta portata e natura. Tra l'altro, le Autorità possono:

  • Ordinare alle organizzazioni di fornire qualsiasi informazione relativa all'indagine;
  • Condurre indagini sotto forma di audit sulla protezione dei dati e notificare alle organizzazioni una presunta violazione del GDPR.
  • Ottenere l'accesso a tutti i dati personali detenuti da un'organizzazione e a tutte le informazioni necessarie per svolgere i propri compiti, compreso l'accesso a qualsiasi sede dell'organizzazione, alle attrezzature e ai mezzi per il trattamento dei dati, conformemente al diritto processuale dell'UE e nazionale.
  • Effettuare una revisione delle certificazioni rilasciate ai sensi dell'art. 42 paragrafo 7 del GDPR

Poteri correttivi

Quando una violazione delle disposizioni del GDPR è accertata a seguito dell'indagine, o si ritiene che un trattamento comporti un rischio o non soddisfi i requisiti specifici, le Autorità protezione dati hanno il diritto di esercitare uno o più dei loro poteri correttivi, ad esempio:

  • Avvertimento o divieto di trattamento: in caso di rischi esistenti, le Autorità di protezione dati potrebbero inviare avvisi alle organizzazioni al fine di impedire che le loro operazioni di trattamento violino le disposizioni del GDPR. Le Autorità di protezione dati possono anche ordinare una limitazione temporanea o definitiva, compreso il divieto delle attività di trattamento delle organizzazioni, nonché ordinare loro di comunicare le violazioni dei dati, che si sono verificate, alle persone interessate.
  • Ordine di conformità: al fine di garantire la conformità al GDPR o per gestire i casi in cui determinati criteri o requisiti non sono soddisfatti, le Autorità di protezione dati hanno il potere di ordinare alle organizzazioni di soddisfare le richieste delle persone di esercitare i loro diritti ai sensi del GDPR. Ove opportuno, alle organizzazioni potrebbe essere ordinato di rendere le loro operazioni di trattamento conformi alle disposizioni del GDPR in modo specifico ed entro un determinato periodo di tempo.
  • Sospensione dei flussi di dati o revoca della certificazione: inoltre, le Autorità di protezione dati potrebbero anche esercitare il loro potere di sospendere i flussi di dati verso destinatari in paesi terzi o verso organizzazioni internazionali. Inoltre, potrebbero revocare la certificazione o ordinare all'organismo di certificazione di revocare una certificazione rilasciata in linea con gli articoli 42 e 43 del GDPR. Nei casi in cui i requisiti di certificazione non siano soddisfatti o non siano più soddisfatti, di ordinare all'organismo di certificazione di non rilasciare la certificazione.
  • Ammonimenti: in caso di violazioni accertate, le Autorità di protezione dati possono ammonire le organizzazioni.
  • Sanzioni amministrative pecuniarie: Le Autorità di protezione dati possono anche imporre sanzioni amministrative pecuniarie ai sensi dell'articolo 83 del GDPR, in aggiunta o al posto delle altre misure sopra elencate. Il regime sanzionatorio amministrativo richiede una valutazione caso per caso delle circostanze di ogni singola infrazione. La valutazione dovrebbe tenere conto di fattori quali la natura, la gravità e la durata dell'infrazione, la natura intenzionale o negligente, le eventuali misure di mitigazione dei danni eventualmente attuate, le misure tecniche e organizzative (vale a dire la sicurezza) attuate e il modo in cui l'Autorità di protezione dati è venuta a conoscenza del problema.

Il livello massimo della sanzione potenziale dipenderà dal tipo di violazione:

  • può salire fino a un massimo di 10 milioni di EURO, pari al 2 % del fatturato totale annuo mondiale dell'esercizio precedente (ad esempio, per una violazione della "privacy sin dalla progettazione e sin dall’impostazione predefinita" – cioè by design and by default), l'inosservanza dell'obbligo di stipulare un accordo di trattamento dei dati, o la mancata esecuzione di una valutazione d'impatto sulla protezione dei dati o la nomina di un responsabile della protezione dei dati) ai sensi dell'articolo 83 paragrafo 4 del GDPR; oppure
  • può salire fino ad un massimo di 20 milioni o del 4 % del fatturato totale annuo mondiale dell'esercizio precedente (ad esempio, per violazione dei principi fondamentali relativi al trattamento, per il trattamento illecito di dati personali e senza base giuridica, o per violazioni dei diritti degli interessati) ai sensi dell'articolo 83, paragrafo 5, del GDPR. 

Puoi trovare maggiori dettagli sulle sanzioni amministrative associate alle violazioni dei vari articoli del GDPR all'articolo 83 del GDPR e sulle linee guida dell'EDPB sul calcolo delle sanzioni amministrative ai sensi del GDPR

Poteri consultivi

Ogni Autorità garante ha un certo potere di autorizzazione e di consulenza ai sensi del GDPR, attraverso i quali può fornire supporto alle organizzazioni o autorizzare specifiche attività di trattamento. Alcuni esempi sono:

  • Consultazione preventiva: consigliare i titolari del trattamento seconso la procedura di consultazione preventiva ai sensi dell'articolo 36 del GDPR.
  • Pareri sulle attività legislative: fornire, di propria iniziativa o su richiesta, pareri al Parlamento nazionale, al Governo o, conformemente alla normativa nazionale, ad altre istituzioni e organismi nonché al pubblico su qualsiasi questione relativa alla protezione dei dati personali.
  • Codici di condotta e certificazione: approvare progetti di codici di condotta, accreditare gli organismi di certificazione o rilasciare certificazioni e approvare i criteri di certificazione.

L'esercizio dei summenzionati poteri delle Autorità di protezione dati è soggetto a garanzie adeguate, tra cui un ricorso giurisdizionale effettivo e un giusto processo, come stabilito dal diritto dell'UE e nazionale, secondo la Carta dei diritti fondamentali dell'UE. Ogni Autorità garante ha il potere di portare le violazioni del GDPR all'attenzione delle autorità giudiziarie e, in caso, di avviare o affrontare procedimenti giudiziari, al fine di far rispettare le disposizioni del GDPR. La normativa nazionale può conferire poteri supplementari alle Autorità di protezione dati.

Cooperazione e Sportello Unico

Il GDPR si applica in tutto il SEE, utilizzando lo stesso insieme di norme sulla protezione dei dati per tutti i paesi. Questo approccio sostiene le imprese internazionali, ma anche le PMI, nel loro impegno di sviluppo e di crescita tramite la loro offerta di servizi in più di un paese SEE.

Al fine di ridurre l'onere amministrativo del trattamento dei dati personali in due o più paesi del SEE, il GDPR prevede un sistema di cooperazione tra le Autorità di protezione dati, il cosiddetto meccanismo di "sportello unico", al fine di raggiungere un consenso tra le numerose Autorità di protezione dati.

Se un'organizzazione tratta dati in due o più paesi SEE, l'Autorità competente sui reclami o una violazione dei dati, ad esempio, è quella del paese in cui il titolare del trattamento ha la sua sede principale. Ciò facilita i titolari del trattamento in quanto non devono rispettare le diverse leggi di ciascun paese in cui operano. Inoltre, devono interagire solo con un'unica normativa sulla protezione dei dati. A seconda del tipo di attività e dei prodotti e servizi offerti, il trattamento transfrontaliero potrebbe applicarsi anche alla tua PMI. Molte piccole imprese, come negozi online, siti di e-commerce, applicazioni mobili e informatiche offrono servizi in più paesi.

Se la tua PMI tratta i dati di persone in diversi paesi del SEE, sei tenuto a determinare quale sia l'Autorità competente per la protezione dei dati o l'Autorità capofila. Di solito si tratta dell'Autorità per la protezione dati situata nel paese SEE in cui si trova la sede centrale dell'organizzazione e in cui vengono prese decisioni in merito alle finalità e ai mezzi di trattamento dei dati personali.

Nella pratica

  • I rivenditori online, ad esempio, che vendono vestiti tramite i loro negozi in rete a clienti in diversi paesi del SEE, spesso trattano dati personali. In tal caso transfrontaliero, l'Autorità competente deve essere il paese in cui si trova la sede principale del rivenditore online ("principio di sede di attività").

Una volta che hai determinato quale sia l’Autorità comptetente, devi solo contattarli. L'Autorità competente per la protezione dati collabora e partecipa alle discussioni con le altre autorità di protezione dati interessate del SEE.

Qualora debba essere gestito un reclamo con un aspetto transfrontaliero nell’ambito della cooperazione con un'altra Autorità di protezione dati, sono adottate le seguenti misure di cooperazione:

  • Se un'altra Autorità di protezione dati ha ricevuto la denuncia, ha l'obbligo di informare l’Autorità protezione dati competente in merito al caso;
  • L'Autorità di protezione dei dati interessata, può partecipare all'elaborazione di una decisione sul reclamo;
  • Durante la preparazione di una decisione, l'Autorità di protezione dati capofila deve tenere conto del parere dell'Autorità di protezione dati interessata.

Determinazione dell'Autorità capofila per la protezione dati

Concetti chiave

Trattamento transfrontaliero dei dati personali

Secondo il GDPR, l'identificazione di un'Autorità capofila per la protezione dei dati è pertinente solo per le organizzazioni che effettuano trattamenti transfrontalieri di dati personali.

Il GDPR definisce il "trattamento transfrontaliero" come:

  1. un trattamento di dati personali che ha luogo in più di un paese SEE il cui il titolare del trattamento o il responsabile del trattamento sono presenti in più di un paese SEE; oppure
  2. un trattamento di dati personali che ha luogo in un’unica sede di un'organizzazione nel SEE, ma che incide in modo sostanziale o è suscettibile di incidere in modo sostanziale, sulle persone in più di un paese SEE.

Nella pratica

  • Ciò significa che se un'organizzazione ha sedi in Germania e Croazia, ad esempio, e il trattamento dei dati personali avviene nell'ambito delle loro attività, ciò costituirà un trattamento transfrontaliero.
  • In alternativa, l'organizzazione può avere solo uno stabilimento in Germania. Tuttavia, se la sua attività di trattamento influisce sostanzialmente — o rischia di incidere in modo sostanziale — sulle persone in Germania e in Croazia, anche questo costituirà un trattamento transfrontaliero.

Interpretazione di "incidere in maniera sostanziale"

Il fatto che un'organizzazione tratti una certa quantità — anche grande — di dati personali, in diversi paesi del SEE, non significa necessariamente che il trattamento abbia o possa avere un effetto sostanziale. Il trattamento con scarso effetto o effetto nullo non costituisce un trattamento transfrontaliero, indipendentemente dal numero di soggetti interessati.

Le Autorità di protezione dati interpreteranno "incidere in maniera sostanziale" caso per caso. Essi terranno conto del contesto del trattamento, del tipo di dati, dello scopo del trattamento e se il trattamento:

  • causi, o è suscettibile di causare, danni, perdite o angoscia agli individui;
  • abbia, o possa avere, un effetto reale in termini di limitazione dei diritti degli individui o di negazione di un'opportunità;
  • influisca, o rischi di influenzare la salute, il benessere o la tranquillità delle persone;
  • incida, o sia suscettibile di incidere sullo stato o sulle condizioni finanziarie o economiche delle persone;
  • lasci gli individui in balia di discriminazioni o di trattamenti ingiusti;
  • comporti l'analisi di categorie particolari di dati personali o di altri tipi di dati invasivi, in particolare dei dati personali dei minori;
  • causi, o rischi di indurre le persone a cambiare il loro comportamento in modo significativo;
  • abbia conseguenze improbabili, impreviste o indesiderate per gli individui;
  • crei imbarazzo o altre conseguenze negative, compresi i danni alla reputazione; o comporti il trattamento di una ampia gamma di dati personali.

Autorità per la protezione dati capofila

In parole povere, “un'Autorità per la protezione dati capofila”, o Autorità capofila, è l'Autorità per la protezione dati che ha la responsabilità primaria di gestire un'attività transfrontaliera di trattamento dei dati, ad esempio, quando una persona presenta un reclamo in merito al trattamento dei propri dati personali. L'Autorità di protezione dati capofila coordinerà tutte le indagini e collaborerà con le Autorità di protezione dati "interessate". L'identificazione dell'Autorità capofila dipende dalla individuazione dell'ubicazione della "sede/stabilimento principale" o della "sede unica" del responsabile del trattamento nell'UE.

Se un'organizzazione è ubicata in un solo paese SEE e ha dunque un’unica sede nell’area SEE, l'Autorità per la protezione dati di quel paese sarà l’Autorità capofila.

Se un'organizzazione è ubicata in più di un paese SEE, è necessario determinare quale sia la sua sede principale per poter stabilire quale sia l'autorità di protezione dati capofila.

Sede/stabilimento principale

Al fine di stabilire dove si trova lo stabilimento/sede principale, è innanzitutto necessario individuare l'ubicazione dell'amministrazione centrale dell'organizzazione nel SEE ("luogo dell'amministrazione centrale; sede centrale), se ci sono. Cioè, lo stabilimento/sede in cui vengono prese le decisioni in merito alle finalità e ai mezzi di trattamento dei dati personali.

Nei casi in cui siano adottate, dall'amministrazione centrale, decisioni relative a diverse attività di trattamento transfrontaliero, vi sarà un'unica Autorità di protezione dati capofila all’interno del SEE, per tutte le attività di trattamento dei dati svolte dalla società multinazionale. Tuttavia, possono verificarsi casi in cui uno stabilimento diverso dal luogo dell'amministrazione centrale prenda decisioni autonome in merito alle finalità e ai mezzi di una specifica attività di trattamento. In questi casi, sarà essenziale per le imprese individuare con precisione dove vengono prese le decisioni in merito allo scopo e ai mezzi di trattamento. La corretta identificazione dello stabilimento/sede principale è nell'interesse sia dei titolari del trattamento che dei responsabili del trattamento, in quanto fornisce chiarezza in termini di quale Autorità  sia competente in relazione ai loro obblighi di conformità, ai sensi del GDPR.

Nella pratica

  • Un rivenditore di abbigliamento ha la sua sede (vale a dire il suo "luogo di amministrazione centrale") a Sofia, in Bulgaria. Ha stabilimenti in vari altri paesi del SEE, che tengono contatti con i clienti. Tutti gli stabilimenti utilizzano lo stesso software per elaborare i dati personali dei clienti per scopi di marketing. Tutte le decisioni in merito alle finalità di marketing e ai mezzi di trattamento dei dati personali dei clienti sono prese all'interno della sede di Sofia. Ciò significa che l'Autorità per la protezione dati capofila, competente per le attività di trattamento transfrontaliero di questa società, è l'Autorità di protezione dati bulgara.

Organizzazioni non ubicate nell’area SEE

Se la tua organizzazione non ha sede nell’area SEE, ma è soggetta al GDPR in quanto rientra nell' ambito di applicazione territoriale del GDPR, potrebbe essere necessario nominare un rappresentante in uno dei paesi SEE.

Tuttavia, se un'organizzazione non ha sede nell’area SEE, la mera presenza di un rappresentante in uno dei paesi SEE non attiva il sistema dello sportello unico. Ciò significa che le organizzazioni senza sede nell’area SEE devono cooperare con le Autorità di protezione dati nazionali di tutti i paesi SEE in cui operano, attraverso il loro rappresentante locale.

Ruolo del Comitato europeo per la protezione dei dati personali (EDPB)

L'EDPB è un organismo europeo indipendente dotato di personalità giuridica che contribuisce all'applicazione coerente delle norme sulla protezione dei dati in tutta l’area SEE e promuove la cooperazione tra le Autorità per la protezione dati del SEE. L'EDPB è composto dai vertici delle Autorità di protezione dati e dal Garante europeo della protezione dati (EDPS) o dai loro rappresentanti.

Scopri di più sull'EDPB

Nell'EDPB, le Autorità di protezione dati collaborano per:

  • fornire indirizzi generali (comprese linee guida, pareri, raccomandazioni e migliori pratiche) sulla normativa relativa alla protezione dati, in particolare al GDPR;
  • consigliare la Commissione europea su qualsiasi questione relativa alla protezione dei dati personali e alle nuove proposte di legge nell'UE;
  • adottare decisioni e pareri coerenti nei casi transfrontalieri di protezione dati.

Invece di rispondere a richieste specifiche o individuali, l'EDPB fornisce linee guida generali.

L'EDPB ha adottato diversi documenti di indirizzo che sono direttamente pertinenti per le imprese, comprese le PMI. Queste linee guida chiariscono diverse nozioni del GDPR, come i principi di trattamento di base, la protezione dei dati fin dalla progettazione e dall'impostazione predefinita, i trasferimenti internazionali di dati e i diritti degli interessati. Potete trovare una panoramica di questi documenti qui.

 

Meccanismo di coerenza

Il meccanismo di coerenza può avere un impatto diretto sulle PMI. In primo luogo, il meccanismo di coerenza può essere attivato quando l'Autorità di protezione dati capofila e le Autorità di protezione dati interessate non riescono a raggiungere un accordo su uno specifico caso transfrontaliero. In tali casi, il caso sarà deferito all'EDPB che adotterà una decisione vincolante per risolvere la controversia.

Inoltre, l'EDPB formula pareri di coerenza su alcune proposte di decisioni elaborate dalle Autorità di protezione dati dell’area SEE che hanno effetti transfrontalieri (ad esempio su una nuova serie di contratti standard o su codici di condotta).

L'EDPB può inoltre fornire pareri di coerenza su qualsiasi questione di applicazione generale del GDPR o su qualsiasi questione che abbia un effetto in più di un paese SEE. Questo lavoro mira a garantire che il GDPR sia compreso e applicato in modo coerente nei diversi paesi dell’area SEE.