Durante l’ultima sessione plenaria, il Comitato Europeo per la protezione dei dati (EDPB) ha deliberato un parere riguardante la definizione di “stabilimento principale” e i criteri per l’applicazione del meccanismo One-Stop-Shop, in risposta a una richiesta ai sensi dell’articolo 64 del GDPR avanzata dall’Autorità francese per la protezione dei dati.
Secondo l’EDPB, la “sede dell’amministrazione centrale” di un responsabile del trattamento nell’UE può essere considerata uno stabilimento principale, conformemente all’art. 4, par. 16, lett. a) del GDPR, solo se assume decisioni riguardanti le finalità e i metodi del trattamento dei dati personali e ha l’autorità di farle eseguire.
Inoltre, l’EDPB spiega che il meccanismo del One-Stop-Shop può essere attivato solo nel caso in cui sia dimostrato che uno degli stabilimenti del responsabile del trattamento nell’Unione prende le decisioni sulle finalità e i mezzi del trattamento in questione e ha il potere di farle attuare.
Di conseguenza, quando le decisioni riguardanti le finalità e i mezzi del trattamento sono prese al di fuori dell’Unione Europea, non dovrebbe esserci uno stabilimento principale del responsabile del trattamento nell’Unione, e di conseguenza il meccanismo One-Stop-Shop non dovrebbe essere applicato.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Legal design e informative privacy: verso una comunicazione più chiara e accessibile - 25 Febbraio 2025
- i nuovi criteri per l’applicazione per la Clausola di salvaguardia del Decreto NIS - 11 Febbraio 2025
- Pubblicati dalla Commissione Europea gli orientamenti sulle pratiche vietate in materia di intelligenza artificiale - 5 Febbraio 2025
- Data Act: implicazioni e prospettive per la proprietà dei dati nell’Unione Europea - 5 Febbraio 2025
- Le Nuove linee guida della Commissione Europea sulla definizione di un sistema di intelligenza artificiale - 5 Febbraio 2025
