Il 10 ottobre 2021 il Comitato Europeo per la Protezione dei Dati (EDPB) ha adottato le Guidelines 8/2022 on identifying a controller or processor’s lead supervisory authority. Trattasi della versione aggiornata delle precedenti linee guida WP244 (rev.01) che furono adottate il 13 febbraio 2016 dal Gruppo di lavoro art. 29 e poi approvate dall’EDPB il 25 maggio 2018. Il nuovo testo è soggetto ad una breve consultazione pubblica mirata.
Gli aggiornamenti delle linee guida chiariscono la posizione in relazione alla designazione di un’autorità di controllo capofila in presenza di contitolari del trattamento nello Spazio Economico Europeo. La questione non è trattata direttamente nel Regolamento 2016/679 e le linee 8/2022 sottolineano che contitolari devono “determinare in modo trasparente le rispettive responsabilità per il rispetto degli obblighi previsti dal GDPR“.
Gli aggiornamenti prevedono inoltre che i contitolari del trattamento debbano delegare le responsabilità tra loro per garantire la conformità al GDPR, in particolare per quanto riguarda l’organizzazione dei riscontri agli interessati e le autorità di controllo. Tuttavia, ciò non sostituisce la determinazione standard di un’autorità di controllo competente ai sensi del GDPR, e i contitolari non possono eleggere uno stabilimento principale comune e quindi un’autorità di controllo principale comune. Inoltre, le stesse autorità di controllo non sono vincolate ad alcun accordo tra i contitolari e l’esercizio dei loro poteri non può essere limitato da tali accordi.
Le linee guida 8/2022 stabiliscono ora una sorta di test per identificare le autorità di controllo capofila dei contitolari. Oltre a verificare se i contitolari sono stabiliti nel SEE, il test consiste nell’individuare il paese in cui si trova la sede dell’amministrazione centrale nel SEE per ciascun contitolare, paese che agirà quindi come autorità di controllo capofila per il rispettivo contitolare.
Le Guidelines 8/2022 resteranno in consultazione pubblica fino al 2 dicembre 2022.