Nel corso dell’ultima plenaria, il Comitato Europeo per la protezione dei dati (EDPB) ha adottato un parere sulla nozione di stabilimento principale e sui criteri per l’applicazione del meccanismo One-Stop-Shop, a seguito di una richiesta ai sensi dell’art. 64 GDPR da parte dell’Autorità francese per la protezione dei dati (DPA).
Il parere chiarisce la nozione di “stabilimento principale”, ai sensi del GDPR, di un responsabile del trattamento nell’UE, in particolare nei casi in cui le decisioni relative al trattamento sono prese al di fuori dell’Unione.
Nel suo parere, l’EDPB ritiene che la “sede dell’amministrazione centrale” di un responsabile del trattamento nell’UE possa essere considerata uno stabilimento principale, ai sensi dell’art. 4, paragrafo 16, lett. a), del GDPR, solo se prende le decisioni sulle finalità e sui mezzi del trattamento dei dati personali e se ha il potere di far attuare tali decisioni.
L’EDPB spiega inoltre che il meccanismo del One-Stop-Shop può essere applicato solo se è dimostrato che uno degli stabilimenti del responsabile del trattamento nell’Unione prende le decisioni sulle finalità e sui mezzi del trattamento in questione e ha il potere di farle attuare.
Pertanto, quando le decisioni sulle finalità e sui mezzi del trattamento sono prese al di fuori dell’UE, non dovrebbe esistere uno stabilimento principale del responsabile del trattamento nell’Unione, e quindi il One-Stop-Shop non dovrebbe applicarsi.