Risposta
Il regolamento generale sulla protezione dei dati si applica in tutta l’UE: un’unica serie di norme sulla protezione dei dati per tutti gli Stati membri dell’UE . In questo modo la tua azienda/organizzazione non si troverà alle prese con leggi diverse. In alcuni settori, gli Stati membri dell’UE possono specificare ulteriormente l’applicazione delle norme del GDPR (ad esempio, norme in materia di occupazione, settore della sanità pubblica, norme sulla conciliazione tra libertà di espressione e protezione dei dati). Il GDPR introduce inoltre il cosiddetto meccanismo dello «sportello unico», che garantisce la cooperazione tra le autorità per la protezione dei dati in caso di trattamento transfrontaliero.
Se la tua azienda/organizzazione tratta dati in paesi diversi, l’autorità per la protezione dei dati competente (che sarà l’autorità capofila nei rapporti con altre autorità per la protezione dei dati nell’UE) è l’autorità per la protezione dei dati dello Stato membro dell’UE in cui la tua azienda ha lo stabilimento principale, cioè il luogo in cui ha sede l'amministrazione centrale della tua azienda/organizzazione nell’UE, a meno che le decisioni relative alle finalità e ai mezzi del trattamento dei dati personali siano prese in un'altra sede che abbia anche il potere di attuare tali decisioni.
Se la tua azienda/organizzazione tratta i dati per adempiere a un obbligo giuridico sancito dalla legge nazionale di uno Stato membro dell'UE, è competente solo l’autorità per la protezione dei dati di quello Stato membro dell’UE.
Esempio
Lo stabilimento principale di un’azienda tessile (ossia la sede centrale) è in Italia, ma ha negozi «satelliti» in paesi vicini come Malta, Grecia, Francia e Austria. In questi paesi limitrofi, i negozi hanno creato banche dati che trattano i dati personali dei clienti a fini di marketing. Tuttavia, le decisioni su «come» contattare i clienti, «quando» e «perché» sono prese presso la sede centrale in Italia. Pertanto, in questo caso, la decisione sul trattamento dei dati personali per finalità di marketing si considera presa in Italia. L’autorità italiana per la protezione dei dati è l’autorità capofila della tua azienda.
Riferimenti
Example
A textile company’s main establishment (that is to say its headquarters) is in Italy. It has satellite shops in neighbouring countries such as Malta, Greece, France and Austria. In those neighbouring countries, its satellite shops set up databases which process customers’ personal data for marketing purposes. However, the decisions on ‘how’ to contact the said customers, ‘when’ and ‘why’ are taken at the headquarters in Italy. Thus, in this case, the decision on the processing of personal data for marketing purposes is deemed to be made in Italy. The Italian DPA is the lead authority for your company/organisation.