Sui trattamenti di dati all’estero svolti da una società italiana è l’autorità Garante locale a fare le valutazioni
Le numerose operazioni societarie condotte negli ultimi anni nel nostro Paese di acquisizione di aziende italiane da parte di multinazionali, ci consentono di affrontare il tema dei trattamenti transfrontalieri svolti da società appartenenti a gruppi societari stranieri.
La definizione di “trattamento transfrontaliero” contenuta nell’art. 4, n.23 del Regolamento UE 2016/679 (GDPR) fa riferimento a due distinte ipotesi.
Nella prima si ha riguardo al “trattamento di dati personali che ha luogo nell'ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell'Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro” (art. 4, n. 23, lett. a) del Regolamento).
La seconda ipotesi fa riferimento invece al “trattamento di dati personali che ha luogo nell'ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell'Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro” (art. 4, n. 23, lett. b) del Regolamento).
Ha osservato il Garante (Provv. 15 Dicembre 2022, n. 427) come l’esistenza di un gruppo di società, non ha come conseguenza la configurazione di un nuovo centro di imputazione di rapporti giuridici che si sovrappone alle singole società facenti parte del gruppo (in senso conforme si vedano le Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, versione 2.0, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, p. 32, punto 89: “all’interno di un gruppo di società, una società diversa da quella del titolare del trattamento o del responsabile del trattamento è un terzo, anche se appartiene al medesimo gruppo al quale appartiene la società che agisce in qualità di titolare o di responsabile del trattamento”).
La partecipazione a un gruppo societario, pertanto, non determina una unificazione giuridico-formale degli enti societari coinvolti, i quali mantengono la loro soggettività giuridica.
Da queste brevi considerazioni emerge che i trattamenti svolti da una società italiana, salvo risulti essere uno “stabilimento” della capogruppo, saranno valutati dalla locale Autorità Garante.
Si pensi ad esempio ai casi di contratti stipulati dalla società italiana con altra società avente sede legale in Italia. In tale ipotesi si applica l’art. 55 del Regolamento che stabilisce la competenza delle Autorità di controllo nazionali a esercitare i poteri e ad assolvere i compiti a essa attribuiti dal Regolamento in relazione ai trattamenti effettuati sul territorio nazionale dal soggetto ivi stabilito, per i quali lo stesso agisca in qualità di autonomo titolare (v. art. 55 e considerando 122 del Regolamento).
Giova precisare che in materia di procedure di cooperazione tra le autorità di controllo europee, pur in presenza di trattamenti transfrontalieri l’autorità nazionale dello stabilimento rimane competente nel caso in cui la stessa riceva un reclamo o nel caso di eventuali violazioni del Regolamento se l'oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incida in modo sostanziale sugli interessati unicamente nel suo Stato membro (art. 56, par. 2, Regolamento).
