L’ABC del GDPR: meccanismi di cooperazione e di coerenza tra Autorità di controllo
- Sara Maria Marsella
- 27 giu 2024
- Tempo di lettura: 4 min
Dopo aver analizzato il Capo VI del GDPR passiamo al Capo VII sui meccanismi di cooperazione e di coerenza tra le Autorità di controllo. Infatti, uno degli obiettivi del GDPR è ottenere un’applicazione uniforme delle sue norme per garantire il medesimo livello di protezione agli interessati, sia che essi si trovino in Italia o in un qualsiasi altro Stato Membro.
1. Cooperazione
L’articolo 60 apre il Capo VII trattando le modalità di cooperazione tra l’Autorità di controllo capofila, per l’individuazione della quale si rinvia alla Pillola sul Capo VI, e le altre Autorità di controllo interessate. L’obiettivo è raggiungere il consenso sul progetto di decisione: l’Autorità capofila svolge un ruolo di coordinamento fondamentale.
2. Assistenza reciproca e operazioni congiunte
Essendo la cooperazione tra le Autorità di controllo un elemento fondamentale, le Autorità di controllo sono tenute ad assistersi reciprocamente come previsto nell’articolo 61. La richiesta di assistenza deve contenere tutte le informazioni necessarie e l’adozione delle misure opportune per rispondere alle richieste di assistenza avanzate dalle altre Autorità deve avvenire «senza ingiustificato ritardo» e al massimo entro un mese. Spesso però le Autorità di controllo non si fermano alla richiesta di informazioni: vi sono numerosi casi in cui si rende necessario agire concretamente attraverso operazioni congiunte, incluse le indagini e l’adozione di misure e provvedimenti. In questi casi, come descritto nell’articolo 62, tali attività vedono il coinvolgimento di Autorità di controllo di diversi Paesi, che agiscono debitamente autorizzate.
3. Coerenza
L’altro pilastro su cui si basano le interazioni tra le diverse Autorità di controllo è il meccanismo di coerenza.
All’articolo 64 sono descritti i casi in cui spetta al Comitato europeo per la protezione dei dati (in inglese, European Data Protection Board, di seguito “EDPB”) emettere pareri in relazione alle misure che l’Autorità competente intende adottare. Infatti, in quei casi l’Autorità di controllo è tenuta a comunicare il progetto di decisione all’EDPB. Inoltre, qualsiasi Autorità di controllo, il Presidente dell’EDPB o la Commissione europea (di seguito, “Commissione”) possono richiedere l’esame, per ottenere un parere, di questioni di applicazione generale o che comunque producono effetti in più Stati Membri.
Il parere viene emesso entro 8 settimane (termine prorogabile di 6 settimane) votando a maggioranza semplice, a meno che l’EDPB non si sia già espresso sulla medesima questione. Poi, il Presidente comunica il parere all’Autorità di controllo o alla Commissione, a seconda dei casi, e lo rende pubblico. Cosa significa tutto ciò? Finché l’EDPB non si è espresso, l’Autorità di controllo si astiene dall’adottare il progetto di decisione, proprio perché altrimenti verrebbe meno la coerenza, obiettivo della procedura esaminata.
E se l’Autorità decide di non conformarsi in tutto o in parte al parere dell’EDPB? La risposta si trova nell’articolo 65. In caso di controversia l’EDPB adotta una decisione vincolante, entro un mese (prorogabile di un altro mese) dal deferimento della questione da parte di una maggioranza di ⅔ dei membri dell’EDPB: tale decisione, opportunamente motivata, viene trasmessa alla Autorità capofila e alle altre Autorità interessate ed è vincolante. L’Autorità capofila o comunque l’Autorità che ha ricevuto il reclamo adotta la sua decisione definitiva sulla base della decisione vincolante dell’EDPB entro massimo un mese dalla notifica della decisione. Anche in questo caso finché pende la decisione dell’EDPB le Autorità interessate si astengono dall’adottare decisioni.
4. Procedura di urgenza
I tempi descritti sia per il parere che per la decisione vincolante possono risultare piuttosto lunghi: cosa accade quando è urgente intervenire per proteggere i diritti e le libertà degli interessati?
In questi casi eccezionali si può derogare al meccanismo di coerenza (articoli 63, 64 e 65) o al principio di cooperazione (articolo 60): l’Autorità di controllo può adottare immediatamente misure provvisorie che producono effetti giuridici nel proprio territorio, valide al massimo per 3 mesi. Spetta all’Autorità che le adotta comunicare tali misure e le ragioni dietro alla loro adozione alle altre Autorità di controllo interessate, all’EDPB e alla Commissione. Qualora fosse necessario adottare misure definitive si può chiedere un parere d’urgenza o una decisione vincolante d’urgenza all’EDPB: motivare tale richiesta è fondamentale.
Se si ritiene che l'Autorità di controllo competente non abbia adottato misure adeguate in questi casi urgenti, qualsiasi Autorità può rivolgersi all'EDPB per chiedere un parere d'urgenza o una decisione vincolante d'urgenza. In questi casi, considerata l'urgenza, cambiano i termini per l'EDPB: deve adottare il parere o la decisione entro 2 settimane a maggioranza semplice.
5. European Data Protection Board
Finora si è parlato di EDPB, ma che ruolo ha e da chi è costituito? Si tratta di un organismo dell'UE, è indipendente, ha una sua personalità giuridica e un proprio Presidente. È composto dalla figura di vertice dell'Autorità di controllo di ogni Stato Membro (il rappresentante italiano è il Prof. Pasquale Stanzione) e dal Garante europeo. La Commissione può partecipare alle attività e alle riunioni dell'EDPB ma non ha diritto di voto. Nei casi di cui all’articolo 65, il Garante europeo ha diritto di voto solo per le decisioni riguardanti principi e norme applicabili alle istituzioni, organi, uffici e agenzie UE.
L’EDPB sostituisce in modo più strutturato ciò che era l’Article 29 Working Party. Il suo ruolo è garantire l'applicazione coerente del GDPR. Quindi, di propria iniziativa o su richiesta della Commissione svolge una serie di compiti, elencati nell’articolo 70: ad esempio, ha il compito di pubblicare linee guida che chiariscono importanti aspetti del GDPR. Generalmente decide a maggioranza semplice e è dotato di un proprio regolamento interno. In alcuni casi le deliberazioni possono essere riservate, anche se poi le decisioni e i pareri sono resi pubblici.
Come previsto per le Autorità di controllo statali, anche l'EDPB redige una relazione annuale per illustrare il proprio operato.
6. Caso concreto
Per comprendere meglio quanto illustrato finora, si invita a leggere la decisione adottata dall’EDPB il 27 ottobre 2023 sulla base dell’attivazione della procedura di urgenza da parte dell’Autorità di controllo norvegese (Datatilsynet) per l’adozione di misure definitive nei confronti di Meta Platforms Ireland Ltd. La questione, dal punto di vista sostanziale, riguardava l’individuazione della corretta base giuridica per le pubblicità personalizzate basate sul comportamento degli individui disponibili sulle applicazioni di Meta. La decisione è stata adottata sulla base del paragrafo 2 dell’articolo 66, dato che l’Autorità norvegese aveva già adottato misure provvisorie.
L’EDPB sottolinea come per ottenere la decisione d’urgenza sulle misure definitive vadano rispettate due condizioni cumulative: l’esistenza di una o più violazioni e l’esistenza di una situazione di urgenza che giustifica la deroga ai meccanismi di cooperazione e di coerenza. In questo caso, l’EDPB ha ritenuto che entrambe le condizioni fossero rispettate.
Comments