In caso di trattamento transfrontaliero27 dei dati personali, una violazione può riguardare interessati in più Stati membri. L’articolo 33, paragrafo 1, chiarisce che quando si è verificata una violazione, il titolare del trattamento deve effettuare una notifica all’autorità di controllo competente ai sensi dell’articolo 55 del regolamento28. L’articolo 55, paragrafo 1, afferma che:
“Ogni autorità di controllo è competente a eseguire i compiti assegnati e a esercitare i poteri a essa conferiti a norma del presente regolamento nel territorio del rispettivo Stato membro”.
Tuttavia, l’articolo 56, paragrafo 1, stabilisce che:
“Fatto salvo l’articolo 55, l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare del trattamento o responsabile del trattamento è competente ad agire in qualità di autorità di controllo capofila per i trattamenti transfrontalieri effettuati dal suddetto titolare del trattamento o responsabile del trattamento, secondo la procedura di cui all’articolo 60”.
Inoltre, l’articolo 56, paragrafo 6, afferma che:
“L’autorità di controllo capofila è l’unico interlocutore del titolare del trattamento o del responsabile del trattamento in merito al trattamento transfrontaliero effettuato da tale titolare del trattamento o responsabile del trattamento”.
Ciò significa che ogniqualvolta si verifichi una violazione nel contesto di un trattamento transfrontaliero e si renda necessaria la notifica, il titolare del trattamento dovrà effettuare la notifica all’autorità di controllo capofila. Pertanto, nel redigere il proprio piano di risposta alle violazioni, il titolare del trattamento deve valutare quale autorità di controllo sia l’autorità capofila a cui indirizzare le notifiche. Il titolare del trattamento sarà così in grado di rispondere tempestivamente alle violazioni e di adempiere i propri obblighi di cui all’articolo 33. Dovrebbe essere chiaro che, in caso di violazione che comporta un trattamento transfrontaliero, la notifica deve essere effettuata all’autorità di controllo capofila, che non si trova necessariamente nel luogo in cui si trovano gli interessati coinvolti o dove si è verificata la violazione. Al momento della notifica all’autorità capofila, il titolare del trattamento dovrebbe indicare, se del caso, se la violazione coinvolge stabilimenti situati in altri Stati membri e gli Stati membri in cu potrebbero esserci interessati colpiti dalla violazione. Se nutre dei dubbi sull’identità dell’autorità di controllo capofila, il titolare del trattamento deve come minimo effettuare la notifica all’autorità di controllo locale del luogo in cui si è verificata la violazione.