In sintesi
- L'art. 55 GDPR fissa la competenza nazionale: ogni Autorità è competente sul proprio territorio.
- Regola di base per trattamenti puramente nazionali.
- Trattamenti pubblici (par. 2): Autorità del proprio SM, no capofila.
- Esclusione per autorità giurisdizionali nell'esercizio delle funzioni (par. 3).
- Conflitti di competenza gestiti tramite cooperazione e EDPB (art. 65).
- Coordinamento con capofila ex art. 56 per trattamenti transfrontalieri.
Testo dell'articoloVigente
Articolo 55 del Regolamento (UE) 2016/679 (GDPR) — Competenza.
Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Commento
La competenza nazionale
L'art. 55 GDPR disciplina la competenza dell'Autorità di controllo nazionale: ciascuna Autorità è competente a eseguire i compiti assegnati e ad esercitare i poteri di cui al Regolamento sul territorio del proprio Stato membro (par. 1). È regola di base che attribuisce a ogni Autorità giurisdizione piena sul territorio nazionale. Per i trattamenti transfrontalieri, la regola si combina con il meccanismo della Autorità capofila (art. 56): un'unica Autorità coordina, le altre cooperano.
Competenza territoriale (par. 1)
La competenza territoriale ricalca il principio di sovranità: ogni Autorità è responsabile per i trattamenti che avvengono sul suo territorio o che hanno effetti su di esso. Per i trattamenti puramente nazionali (titolare e interessati nello stesso SM), l'Autorità nazionale è competente. Per i trattamenti transfrontalieri, la competenza è ripartita tra Autorità (capofila + interessate) secondo il meccanismo art. 56-67. La regola del one-stop-shop semplifica i rapporti tra operatori e Autorità.
Trattamenti pubblici (par. 2)
Il par. 2 prevede che, se il trattamento è effettuato da autorità pubbliche o da organismi privati nei casi di cui all'art. 6, par. 1, lett. c o e (obbligo legale o interesse pubblico), l'Autorità del proprio SM sia competente. È regola che esclude per le autorità pubbliche il meccanismo del capofila: il controllo sui trattamenti pubblici resta nazionale. La logica è di rispetto della sovranità statale sui propri organi.
Esclusioni (par. 3)
Il par. 3 esclude la competenza dell'Autorità di controllo per i trattamenti effettuati dalle autorità giurisdizionali nell'esercizio delle loro funzioni giurisdizionali. È regola di indipendenza della magistratura: i giudici non sono soggetti al controllo dell'Autorità amministrativa indipendente sui trattamenti effettuati nell'esercizio del proprio ruolo. Il controllo sull'attività giurisdizionale è interno (Consiglio Superiore della Magistratura) e giurisdizionale (impugnazioni delle decisioni). I trattamenti amministrativi delle cancellerie restano sotto Autorità.
Conflitti di competenza
I conflitti di competenza tra Autorità sono gestiti tramite cooperazione e meccanismo di coerenza (artt. 60-65). L'EDPB può comporre conflitti tra Autorità (art. 65): decide a maggioranza di 2/3, decisione vincolante per le Autorità. La giurisprudenza ha gestito casi di conflitto su priorità investigative e su qualificazione del capofila. La cooperazione è regola, il conflitto è eccezione.
Coordinamento con capofila (art. 56)
Il coordinamento con la Autorità capofila ex art. 56 è essenziale per gli operatori transfrontalieri. Big Tech con stabilimento principale in Irlanda hanno DPC come capofila; Meta, Google, Apple, Microsoft sono soggetti a investigazioni coordinate da Dublino con cooperazione di altre Autorità. Il Garante italiano è capofila per gruppi italiani con dimensione europea. La regola opera per il GDPR; per il Codice Privacy nazionale e per la Direttiva 2016/680 (penale) ci sono regole diverse.
Regola pratica e checklist operativa
Compliance art. 55: (i) identificare l'Autorità competente; (ii) per puramente nazionali, Garante nazionale; (iii) per transfrontalieri, capofila + cooperazione; (iv) per pubbliche autorità, Garante nazionale; (v) per giurisdizionali, controllo interno. La mappatura è primo passo della governance.
Accountability e documentazione
Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.
Coordinamento con il Codice Privacy italiano
L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.
Casi pratici
Caso 1: Tizio: PMI italiana e Garante
Tizio, PMI italiana, opera solo in Italia. Art. 55, par. 1: Garante italiano è competente. No applicazione del meccanismo capofila.
Caso 2: Caio: Comune e trattamenti pubblici
Caio, Comune, tratta dati per finalità di interesse pubblico. Art. 55, par. 2: Garante italiano è competente, no capofila irlandese. Sovranità sui trattamenti pubblici.
Caso 3: Sempronio: gruppo italiano in UE
Sempronio, gruppo italiano con sedi UE, ha trattamento transfrontaliero. Capofila è il Garante italiano (stabilimento principale in Italia). Cooperazione con altre Autorità interessate.
Caso 4: Commento applicativo
L'art. 55 è la base territoriale. Per operatori puramente nazionali, regola semplice. Per transfrontalieri, integrazione con art. 56 (capofila) e art. 60 (cooperazione).
Domande frequenti
Chi è competente per il mio trattamento?
L'Autorità nazionale per trattamenti puramente nazionali. Per trattamenti transfrontalieri, l'Autorità capofila (art. 56) coordina, altre Autorità interessate cooperano.
Le autorità pubbliche hanno regole diverse?
Sì. Per trattamenti basati su obbligo legale o interesse pubblico (art. 6, lett. c-e), l'Autorità del proprio SM è competente. No meccanismo capofila.
I giudici sono soggetti al Garante?
No, per i trattamenti effettuati nell'esercizio delle funzioni giurisdizionali (par. 3). Sì per trattamenti amministrativi delle cancellerie e degli uffici giudiziari.
Cosa succede in conflitto tra Autorità?
Cooperazione tramite meccanismo di coerenza (artt. 60-65). L'EDPB può comporre conflitti con decisione vincolante a maggioranza dei 2/3 (art. 65).
Come si identifica la capofila?
L'art. 56 prevede che sia l'Autorità del paese di stabilimento principale del titolare/responsabile. Per gruppi, il luogo di amministrazione centrale UE.
Vedi anche