Art. 56 GDPR — Competenza dell’autorità di controllo capofila

Commento

Il meccanismo one-stop-shop

L'art. 56 GDPR introduce il meccanismo dell'Autorità capofila (lead supervisory authority, LSA), uno degli elementi più innovativi del GDPR. La logica è il one-stop-shop: per trattamenti transfrontalieri, un'unica Autorità coordina, gli operatori hanno un solo interlocutore principale, le altre Autorità interessate cooperano. È rivoluzione organizzativa: prima del GDPR, i gruppi multinazionali interfacciavano 27 Autorità nazionali con regole diverse. Il considerando 124-128 spiega la ratio: semplificare per gli operatori e coordinare l'enforcement.

Stabilimento principale (par. 1)

Il par. 1 fissa il criterio: l'Autorità di controllo dello stabilimento principale o dell'unico stabilimento del titolare o del responsabile del trattamento è competente ad agire in qualità di Autorità capofila per il trattamento transfrontaliero effettuato dal titolare o dal responsabile. Lo stabilimento principale è definito dall'art. 4, n. 16: il luogo della sua amministrazione centrale nell'Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento siano adottate in altro stabilimento.

Coordinamento con autorità interessate (par. 2)

Il par. 2 prevede che, in deroga al par. 1, ogni Autorità sia competente a esaminare un reclamo presentato presso di essa o un'eventuale violazione del Regolamento se l'oggetto riguarda unicamente uno stabilimento nel suo SM o incide significativamente sugli interessati unicamente nel suo SM. È regola che evita il sovraccarico della LSA: per casi puramente locali, l'Autorità nazionale interviene direttamente. Il par. 3 prevede comunque l'informazione della LSA, che può decidere di farsi carico del caso.

Trasferimento del caso (par. 5)

Il par. 5 disciplina il trasferimento del caso: se l'Autorità nazionale che ha ricevuto un reclamo o una violazione informa la LSA, e quest'ultima decide di farsi carico, l'Autorità interessata può sottoporre un progetto di decisione. La LSA tiene conto del progetto nella sua decisione. È meccanismo cooperativo: la LSA non agisce in isolamento ma integra il contributo delle Autorità interessate. La cooperazione si articola in fasi (art. 60).

Competenza diretta locale (par. 2)

La competenza diretta locale (par. 2) è importante: per casi che incidono solo sugli interessati di uno SM, l'Autorità nazionale può agire senza coinvolgere la LSA. Esempio: un gruppo francese con stabilimento principale a Parigi (CNIL come LSA) ha violazione che riguarda solo gli utenti italiani. Il Garante italiano è competente. Per casi che incidono su più SM, scatta il meccanismo cooperativo. La distinzione è importante e a volte fonte di contenzioso.

Casi applicativi e impatto

Il meccanismo del capofila ha avuto impatto significativo. La DPC irlandese è capofila per la maggior parte delle Big Tech (Meta, Google, Apple, Microsoft, LinkedIn) per stabilimento europeo. Ha condotto investigazioni miliardarie. La giurisprudenza ha precisato i contorni: il caso Schrems II ha confermato la cooperazione tra DPC e altre Autorità sulla questione dei trasferimenti USA. Le critiche all'inefficacia di alcune LSA hanno portato a discussioni di riforma istituzionale (proposta GDPR procedural regulation).

Regola pratica e checklist operativa

Compliance art. 56: (i) identificare lo stabilimento principale; (ii) confermare LSA; (iii) costruire relazione di interlocuzione (DPO referente); (iv) preparazione per richieste e ispezioni; (v) coordinamento con altre Autorità interessate; (vi) integrazione nel registro. Per multinazionali, la scelta della LSA è strategica.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.