Le nuove interpretazioni del GDPR mettono sotto pressione le big tech in Europa.
Di recente, l’European Data Protection Board (EDPB) ha fornito chiarimenti cruciali sulla designazione dello stabilimento principale ai sensi del GDPR, gettando nuova luce su un aspetto che era rimasto finora in ombra.
Il nuovo parere dell’EDPB: il concetto di stabilimento principale
Secondo il GDPR, le aziende devono interagire con l’autorità di protezione dei dati del paese dell’Unione Europea in cui si trova il loro stabilimento principale. Questo meccanismo, noto come “one-stop-shop“, mira a semplificare le procedure di compliance, riducendo costi e tempi per le aziende attive in più stati.
Tuttavia, la Cnil, l’autorità garante francese per la privacy, ha sollevato questioni sull’interpretazione di questo concetto, portando l’EDPB a precisare i criteri per determinare la posizione dello stabilimento principale.
Il regolamento stabilisce che, di norma, lo stabilimento principale è dove si trova l’amministrazione centrale, a meno che le decisioni riguardanti le finalità e i mezzi del trattamento dei dati personali non siano prese altrove nell’UE, caso in cui quel luogo diventa lo stabilimento principale.
GDPR: le implicazioni per le multinazionali
Come riportato da Ilsole24ore.com, questa interpretazione solleva questioni importanti per le multinazionali, specialmente quelle extraeuropee, che potrebbero trovarsi a dover dimostrare che le decisioni critiche vengono prese all’interno dell’UE.
Se le autorità non ritengono soddisfacenti le prove fornite, le aziende potrebbero dover interagire con diverse autorità nazionali, anziché con un’unica autorità nel paese di stabilimento principale, come era prassi finora. Questo scenario potrebbe ridurre l’attrattiva dell’Irlanda come hub principale per le multinazionali nel settore della privacy, dato il suo ruolo storico come punto di riferimento per le big tech nel contesto GDPR.
Il processo di verifica proposto dall’EDPB richiede che le aziende forniscano evidenze concrete sul luogo di presa delle decisioni e, in caso di disaccordo tra le autorità degli stati membri, l’EDPB potrà essere chiamato a pronunciarsi. Questa nuova interpretazione enfatizza la necessità di un maggiore coordinamento tra le autorità nazionali di protezione dei dati nell’UE, in linea con l’obiettivo di maggiore coesione tra gli stati membri su temi di privacy e protezione dei dati.
