Una vez que se ha determinado que el tratamiento en cuestión es un tratamiento transfronterizo, debe señalarse la autoridad de control principal.
De conformidad con el artículo 56 del Reglamento, la autoridad de control del país en el que se encuentre el establecimiento principal de la organización será la autoridad principal.
Cuando una organización tenga un único establecimiento en la UE, pero el tratamiento afecte sustancialmente o sea probable que afecte sustancialmente a interesados de más de un Estado miembro, la autoridad de control principal será la autoridad de control del lugar en el que se encuentre el establecimiento único.
Cuando una organización tenga varios establecimientos en la UE, el principio es que el establecimiento principal sea el lugar de la administración central de dicha organización. No obstante, si otro establecimiento toma las decisiones relativas a los fines y los medios del tratamiento, y tiene potestad para ejecutar dichas decisiones, entonces este se convierte en el establecimiento principal. Corresponde a los responsables del tratamiento definir claramente dónde se toman las decisiones sobre los fines y los medios de las actividades de tratamiento de los datos personales.
A modo ilustrativo, si una empresa realiza una o varias actividades de tratamiento transfronterizo y las decisiones relativas a todo el tratamiento transfronterizo se toman en el lugar de su administración central en la UE, habrá una única autoridad de control principal para todas las actividades de tratamiento transfronterizo. Esta será la autoridad de control del lugar donde se encuentra la administración central de la empresa.
No obstante, si una empresa realiza varias actividades de tratamiento transfronterizo y las decisiones sobre los fines y los medios del tratamiento se toman en establecimientos diferentes, habrá más de una autoridad de control principal. Estas serán las autoridades del lugar donde se encuentran los establecimientos en los que se tomen decisiones sobre las respectivas actividades de tratamiento transfronterizo. Para beneficiarse plenamente del mecanismo de ventanilla única con una sola autoridad de control principal para todo tratamiento transfronterizo, las empresas deben considerar organizar su capacidad decisoria con respecto a las actividades de tratamiento de datos personales en un único lugar.
