Base di conoscenza del GDPR dell'UE

Comprendere il concetto di Autorità di Controllo Capofila nel GDPR

Autore: Punit Bhatia

Una delle disposizioni più discusse del Regolamento Generale sulla Protezione dei Dati dell’UE è il concetto di sportello unico. In poche parole, ciò significa che una società che opera in più paesi può scegliere di trattare con un’Autorità di Controllo (di un paese) scegliendo un’Autorità di Controllo Capofila, invece di dover gestire un’Autorità di Controllo in ciascun paese in cui opera. Per saperne di più, continua a leggere,:

  • Chi può nominare un’Autorità di Controllo Capofila?
  • Quali sono i requisiti nella scelta di un’Autorità di Controllo Capofila?
  • Cosa dovresti aspettarti quando scegli un’Autorità di Controllo Capofila?

Chi può nominare un’Autorità di Controllo Capofila?

Un controllore1) o un processore2) che ha attività in più paesi può scegliere di nominare una singola Autorità di Controllo come propria Autorità di Controllo. Una volta nominata, l’Autorità di Controllo diventa il contatto principale per le questioni di conformità al GDPR come la registrazione di un Responsabile della Protezione dei Dati, le notifiche di violazione dei dati, ecc.

Quali sono i requisiti da tenere in considerazione quando si sceglie un’Autorità di Controllo Capofila?

Per contrastare il rischio che le organizzazioni scelgano un’Autorità di Controllo Capofila che ritengono meno rigida, le linee guida del Gruppo di lavoro Articolo 29 affermano chiaramente che l’Autorità di Controllo Capofila deve essere scelta nel paese in cui la società ha il suo stabilimento principale nell’UE. Ciò significa che deve trovarsi nel luogo in cui si prendono le decisioni relative alle operazioni transfrontaliere.

Vale la pena notare che l’Autorità di Controllo Capofila viene scelta da un’azienda solo nel contesto delle operazioni relative all’UE; ad esempio, un’azienda non è obbligata a scegliere un’Autorità di Controllo Capofila per attività al di fuori dell’UE.

Inoltre, vale la pena notare che qualsiasi azienda che tratti i dati personali di residenti nell’UE rientrerebbe nell’ambito di applicazione del GDPR. Ciò rende le cose molto più semplici, poiché il loro unico ufficio o filiale nell’UE può ora scegliere un’Autorità di Controllo Capofila nel proprio paese di attività ed evitare la necessità di interagire con più Autorità di Controllo.

Una delle sfide relative al concetto di assegnare un’Autorità di Controllo Capofila può riguardare un’azienda che opera in un altro continente, ad esempio negli Stati Uniti o in Australia, ma che tratta i dati personali dei cittadini dell’UE. Se un’azienda di questo tipo non ha un ufficio in Europa, sarebbe arduo scegliere un’Autorità di Controllo di stato membro come Autorità di Controllo Capofila. Sarà interessante vedere come si svilupperà questa questione.

Cosa dovresti aspettarti quando scegli un’Autorità di Controllo Capofila?

Quando una società sceglie un’Autorità di Controllo Capofila, è possibile che un interessato presenti un reclamo presso un’autorità di vigilanza diversa da quella scelta come Autorità di Controllo Capofila. In tali circostanze, l’Autorità di Controllo informa l’Autorità di Controllo Capofila senza alcun ritardo. E, entro tre settimane, l’Autorità di Controllo Capofila decide chi gestisce questo reclamo. Fondamentalmente, ci può essere una decisione su quale l’Autorità di Controllo debba gestire la richiesta. In entrambi i casi, sia l’Autorità di Controllo Capofila che l’Autorità di Controllo coopererebbero in linea con i requisiti indicati nel GDPR; cioè, la bozza di decisione sarà condivisa tra le due.

Conclusione

La nomina di un’Autorità di Controllo Capofila può far risparmiare alla tua organizzazione notevoli costi di amministrazione e semplificare gli sforzi se la tua azienda opera in più sedi. Tuttavia, non dovresti pensare a questo come un modo di scegliere un’Autorità di Vigilanza meno rigida (se ritieni che esista), perché la scelta può essere messa in discussione. E, se messa in discussione, l’onere di spiegare la scelta dell’Autorità di Controllo Capofila sta solo al controllore o al processore.

Clicca qui per accedere al corso online gratuito GDPR Foundations Course per saperne di più sulle Autorità di Controllo.


1) Si utilizza qui e di seguito nel documento il termine non ufficiale di “Controllore” invece di quello ufficiale di “Titolare del trattamento” utilizzato nel testo del GDPR dell’UE in quanto più intuitivo.

2) Si utilizza qui e di seguito nel documento il termine non ufficiale di “Processore” invece di quello ufficiale di “Responsabile del trattamento” utilizzato nel testo del GDPR dell’UE in quanto più intuitivo.

 

Se questo articolo ti è piaciuto, registrati per ricevere aggiornamenti

Migliora la tua conoscenza con le nostre risorse gratuite sul regolamento GDPR dell'UE.

È possibile annullare l'iscrizione in qualsiasi momento.

Per maggiori informazioni su quali dati personali raccogliamo, perché ne abbiamo bisogno, cosa ne facciamo, quanto a lungo li conserviamo e quali siano i tuoi diritti, consulta questa Informativa sulla Privacy.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

CONSULENZA GRATUITA SULLA GDPR dell’UE
Andrei Hanganu
Principale esperto sul GDPR dell’UE,
Advisera

OTTIENI UNA CONSULENZA GRATUITA

Upcoming free webinar
How to handle consents under GDPR
Wednesday – December 18, 2019

I NOSTRI CLIENTI

I NOSTRI PARTNER

  • Alvisera è un fornitore certificato TPECS da Exemplar Global per Unità di Competenza IS, QM, EM, TL e AU.
  • ITIL® e' un marchio registrato che appartiene a AXELOS Limited. Utilizzato sotto licenza di AXELOS Limited. Tutti i diritti riservati.
  • DNV GL Business Assurance e' uno dei principali fornitori di certificazioni accreditate di sistemi di gestione.