Regolamento - 27/04/2016 - n. 679 art. 68 - Comitato europeo per la protezione dei datiComitato europeo per la protezione dei dati 1. Il comitato europeo per la protezione dei dati («comitato») è istituito quale organismo dell'Unione ed è dotato di personalità giuridica. 2. Il comitato è rappresentato dal suo presidente. 3. Il comitato è composto dalla figura di vertice di un'autorità di controllo per ciascuno Stato membro e dal garante europeo della protezione dei dati, o dai rispettivi rappresentanti. 4. Qualora, in uno Stato membro, più autorità di controllo siano incaricate di sorvegliare l'applicazione delle disposizioni del presente regolamento, è designato un rappresentante comune conformemente al diritto di tale Stato membro. 5. La Commissione ha il diritto di partecipare alle attività e alle riunioni del comitato senza diritto di voto. La Commissione designa un rappresentante. Il presidente del comitato comunica alla Commissione le attività del comitato. 6. Nei casi di cui all'articolo 65, il garante europeo della protezione dei dati ha diritto di voto solo per decisioni che riguardano principi e norme applicabili a istituzioni, organi, uffici e agenzie dell'Unione che corrispondono nella sostanza a quelli del presente regolamento. InquadramentoAnche il GDPR è frutto dell'incessante evoluzione tecnologica cui quotidianamente assistiamo, un'evoluzione che mentre da un lato è stata in grado di modificare e trasformare il tessuto economico e sociale mondiale dall'altro ha aperto le porte a nuovi bisogni ed esigenze. L'opportunità di rivedere l'impianto normativo, quello creato con la Direttiva 95/46, si faceva negli ultimi anni sempre più pressante non solo a causa dell'ordinario trascorrere del tempo in grado di rendere – per un comune processo fisiologico – anche la più innovativa previsione legislativa “vecchia” ma soprattutto a causa della “rapidità dell'evoluzione tecnologica e della globalizzazione” (considerando 6), in grado di generare quantità incredibili di informazioni e di renderli disponibili o condividerli su scala mondiale. Cambiano i bisogni, le società individuano il valore economico, diretto e/o potenziale, delle informazioni, il tessuto economico si modella su quello tecnologico, mentre quello sociale assiste ad un'evoluzione già nota ed a tratti fuori controllo. In questo scenario, attraversato da vecchie esigenze di tutela che si plasmano su nuovi bisogni, che emerge la necessità di un rinnovato assetto normativo, fondato su uno strumento diverso, per alcuni versi meno fallimentare di quello che si vuole soppiantare. Del resto l'adattamento al nuovo scenario socio-economico è stato attuato nel corso degli anni dalla corte di giustizia europea, dalle autorità nazionali, e dai pareri forniti dal WP 29 che hanno dato nel corso degli anni linfa nuova alle disposizioni di cui alla Direttiva 95/46 e che oggi rivediamo sostanzialmente presenti nel quadro normativo del GDPR. La decisione di procedere attraverso un atto legislativo diverso dall'ordinario, vale a dire un Regolamento europeo in luogo di una Direttiva è certamente stata una decisione di coraggio e fatica, che per un verso ha mitigato il potere legislativo nazionale con l'unico scopo di abbracciare con coerenza l'obiettivo di creare un sistema di regole in materia di protezione dei dati coerente ed uniforme in tutti i territori dell'Unione europea ma anche al di fuori, ovunque ci fosse stata un organizzazione in grado di trattare dati personali di un cittadino europeo Il GDPR tuttavia non si è limitato a questo. Fermo l'intento di perseguire l'obiettivo di creare un quadro più solido e coerente in materia di protezione dei dati personali (considerando 7) le norme del GDPR intendono altresì creare un clima di maggior fiducia che possa, nel contempo, consentire lo sviluppo dell'economia digitale. Le regole non devono essere viste come un freno alla crescita e all'evoluzione ma al contrario come un volano necessario a consentire lo sviluppo della società digitale nel rispetto della libertà individuale e dei diritti fondamentali delle persone. Il perseguimento di simili obiettivi, senza dubbio ambiziosi, non è demandato esclusivamente alle prescrizioni del GDPR o all'attività dei singoli stati membri e delle loro autorità nazionali – che conservano ancora margini di flessibilità rispetto a specifici temi (es. lavoro, sanità etc.) –, ma è affidato altresì all'attività del Comitato Europeo per la protezione dei dati, istituito con l'art. 68 GDPR. Al Comitato Europeo per la protezione dei dati (anche, “European Data Protection Board” o “EDPB”), organo europeo indipendente dotato di propria personalità giuridica con sede a Bruxelles, è appunto assegnato il compito principale di promuovere l'applicazione coerente del GDPR in tutta l'Unione Europea sostenendo nel contempo la cooperazione tra le autorità indipendenti in Europa. Il WP29 e l'EDPBA partire dal 25 maggio 2018 – data di abrogazione della Direttiva 95/46/CE e di contestuale operatività in vigore del GDPR – il Comitato Europeo inizia la propria attività andandosi a sostituire al “Working Party 29” o “WP29” (anche, “Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali”) al preciso fine di promuovere l'applicazione coerente del GDPR in tutta l'Unione Europea (considerando 139). Infatti già la Direttiva 95/46/CE, aveva recepito l'opportunità di creare un organo cui affidare il compito di contribuire alla creazione di linee applicative e di principio omogenee in modo da garantire l'attuazione corrente dei principi della direttiva negli Stati membri, e questo appunto il Working Group ex art. 29 della citata direttiva. Il WP 29, è un gruppo dei garanti europei, organo indipendente, con funzioni consultive ed i suoi compiti principali erano: i) rilasciare pareri, ii) esaminare le questioni riguardanti l'applicazione delle norme di attuazione della Direttiva 95/46, iii) rilasciare raccomandazioni sulle questioni rilevanti in materia di tutela dei dati. Detto organo viene meno alla data di effettiva operatività del GDPR. Tuttavia il GDPR non disciplina compiutamente l'avvicendamento del WP29 con il Comitato, se non nel considerando 139 in cui si dichiara l'opportunità di una simile sostituzione e nell'art. 94.2 dove si sottolinea la necessità di una continuità tra attività del WP29 e quella dell'EDPB tanto da rendere riferibili al Comitato i riferimenti al WP29, con la conseguenza che l'attività interpretativa, di indirizzo e di coordinamento effettuata dal WP29 sino all'entrata in vigore del GDPR (i.e. gli atti, i documenti, le linee guida, i pareri e le interpretazioni) non perde di efficacia ma continua a rimanere in vigore. Un passaggio così delicato quello del subentro di ruolo, considerato anche il ruolo di forza attribuito all'EDPB, avrebbe forse meritato maggiore attenzione da parte del legislatore Europeo, ed invece è proprio il WP29 che in data 2 febbraio 2016 all'interno del “Programma di lavoro 2016-2018” e “Statement on the 2016 action plan for the implementation of GDPR” a definire un piano di transizione dal WP29 all'EDPB (secondo il Programma di lavoro 2016-2018) «a partire dall'adozione di questo pacchetto, il Gruppo di lavoro avrà due anni per prepararsi a divenire il comitato europeo per la protezione dei dati e operare in tale veste. Il Gruppo di lavoro continuerà ad analizzare le materie pertinenti conformemente all'attuale Direttiva 95/46/CE e a formulare pareri al riguardo, sia per le tematiche già incluse nel precedente programma di lavoro che devono essere portate avanti sia per le nuove questioni da affrontare nei prossimi due anni». Per meglio definire l'EDPB ed il ruolo attribuitogli dal legislatore è necessario preliminarmente capire le differenze rispetto al WP29. In primo luogo, dalla lettura degli articoli che vengono dedicati al EDPB emerge chiaramente il ruolo di maggior forza attribuito a quest'organo anche grazie all'attribuzione di poteri rafforzati e maggiormente cogenti dovuti essenzialmente alla dignità di “organismo dell'Unione” dotato di personalità giuridica conferitogli dall'articolo in commento. Questa attribuzione comporta conseguenze anche sotto il profilo giuridico, come ad esempio la possibilità di sindacarne la legittimità degli atti produttivi di effetti giuridici adottati dal Comitato proponendo ricorso innanzi alla Corte di Giustizia dell'Unione Europea ai sensi dell'art. 263 TFUE. Il considerando 143, infatti definisce le condizioni per tale azione. Altra sostanziale distinzione riguarda l'attribuzione della personalità giuridica, non attribuita al WP29 dalla Direttiva 95/46; comportando una diretta responsabilità degli atti compiuti e la necessità di individuare la rappresentanza dell'organo al Presidente, di cui sono tratteggiati i compiti e il ruolo negli artt. 73 e 74 del GDPR. Il ruolo dell'EDPBL'EDPB ha il compito di contribuire all'applicazione coerente delle norme sulla protezione dei dati in tutta l'Unione Europea e di promuovere la cooperazione tra le autorità di controllo degli Stati membri. La previsione di un nuovo organismo europeo all'interno del Capo VII del GDPR – rubricato “cooperazione e coerenza” – denota, infatti, l'obiettivo del legislatore comunitario di garantire un'applicazione uniforme delle nuove norme in materia di protezione dei dati personali, in conformità al generale principio di certezza del diritto. Coerentemente con i principi di sussidiarietà e proporzionalità, inoltre, il GDPR prevede che siano le diverse autorità di controllo degli Stati membri ad avere il compito, in primis, di applicare e verificare la corretta applicazione delle disposizioni del GDPR. All'EDPB, invece, è assegnato un ruolo secondario (o, “di chiusura”), in quanto, in piena indipendenza ed autonomia, tale organo interviene solo quando l'obiettivo di una applicazione coerente del GDPR in tutta l'UE rischia di non essere raggiunto e/o garantito. A differenza della Direttiva 95/46/CE, infine, il GDPR attribuisce compiti molto specifici e puntuali all'EDPB, di cui si dirà più in dettaglio nel prosieguo. Per quel che rileva in questa sede, è opportuno ricordare che all'interno di tali compiti sono ricomprese sia funzioni di consulenza nei confronti della Commissione UE (ad es., in merito a eventuali proposte di modifica del GDPR, ai requisiti per la certificazione, ecc.), sia funzioni di indirizzo normativo (ad es., pubblicazione di linee guida, pareri, raccomandazioni e migliori prassi) sia, ancora, funzioni di coordinamento (ad es., incoraggiamento dell'elaborazione di codici di condotta, promozione di programmi comuni di formazione e scambio di conoscenze e documentazione in materia di protezione dei dati personali tra le autorità di controllo di tutto il mondo). Composizione dell'EDPBL'EDPB è un organo collegiale, con sede a Bruxelles, rappresentato dl suo Presidente e composto da una figura di vertice di ogni autorità di controllo europea e dal Garante europeo della protezione dei dati (GEPD). Nel caso in uno Stato Membro fossero presenti più autorità di controllo, come ad esempio in Germania, conformemente al diritto dello Stato membro viene designato un rappresentante comune che partecipa all'attività del comitato. Il Comitato adotta le sue decisioni a maggioranza semplice dei suoi membri (art. 72 del GDPR), salvo espresse previsioni di segno contrario, con la conseguenza che le decisioni assunte sono espressione dell'organo stesso. Relativamente alle attività poste in essere dall'EDPB, assume un ruolo molto importante la Commissione europea che, come previsto dall'articolo in commento, ha il diritto di partecipare alle attività e alle riunioni dell'EDPB stesso, senza tuttavia disporre del diritto di voto. Anche tale aspetto differenzia nettamente l'EDPB dal WP29, che era composto anche da un rappresentante della Commissione Europea il quale aveva il diritto di rappresentare la volontà di tale istituzione UE nel corso delle votazioni. Come previsto dall'art. 8 del Regolamento interno dell'EDPB, quest'ultimo può inoltre decidere, salva opposizione della maggioranza dei membri o del presidente: (i) di concedere lo status di osservatore permanente o temporaneo ad un'autorità di controllo di un Paese terzo, che partecipi alle proprie riunioni plenarie o a parti di esse relativamente all'elaborazione di orientamenti e che sia tenuta agli stessi obblighi di riservatezza dei membri dell'EDPB; (ii) di invitare, tramite il segretariato, esperti, ospiti o altri soggetti esterni a partecipare ad una riunione plenaria. Infine, conformemente al Regolamento UE 2018/1725 concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi dell'UE, l'EDPB è tenuto a nominare un responsabile della protezione dei dati (anche, Data Protection Officer) che riferisce direttamente al presidente. Il comitato si avvale di un segretario fornito dal Garante Europeo per la Protezione dei dati (GEPD), ed un protocollo di intesa definisce i termini della collaborazione tra il comitato e il GEPD. Il valore giuridico degli atti dell'EDPBIl riconoscimento della personalità giuridica in capo all'EDPB, come auspicato anche dal WP29 nella fase transitoria antecedente al 25 maggio 2018, conferisce a tale organo il potere di emettere, nelle ipotesi espressamente previste all'art. 65 del GDPR, pareri e decisioni vincolanti in applicazione del meccanismo di coerenza. Ai sensi dell'art. 65 del GDPR, l'EDPB adotta una decisione vincolante nei seguenti casi: «a) se, in un caso di cui all'art. 60, paragrafo 4, un'autorità di controllo interessata ha sollevato un'obiezione pertinente e motivata a un progetto di decisione dell'autorità capofila o l'autorità capofila ha rigettato tale obiezione in quanto non pertinente o non motivata. La decisione vincolante riguarda tutte le questioni oggetto dell'obiezione pertinente e motivata, in particolare se sussista una violazione del presente regolamento; b) se vi sono opinioni contrastanti in merito alla competenza delle autorità di controllo interessate per lo stabilimento principale; c) se un'autorità di controllo competente non richiede il parere del comitato nei casi di cui all'art. 64, paragrafo 1, o non si conforma al parere del comitato emesso a norma dell'articolo 64. In tal caso qualsiasi autorità di controllo interessata o la Commissione può comunicare la questione al comitato». L'EDPB ha altresì il potere di adottare decisioni giuridicamente vincolanti qualora insorgano controversie tra autorità di controllo (e.g. in casi in cui vi siano pareri divergenti tra le autorità di controllo segnatamente nell'ambito del meccanismo di cooperazione tra l'autorità di controllo capofila e le autorità di controllo interessate, in particolare in merito alla sussistenza di una violazione del GDPR). Da un punto di vista giurisprudenziale, infine, è necessario evidenziare che, laddove una decisione dell'autorità di controllo che attua una decisione dell'EDPB venga impugnata dinanzi a un'autorità giurisdizionale nazionale e sia in questione la validità della decisione dell'EDPB stesso, tale autorità giurisdizionale nazionale non ha il potere di invalidare la decisione dell'EDPB, ma deve deferire la questione di validità alla Corte di giustizia dell'UE, ai sensi dell'art. 267 del TFUE, ove ritenga la decisione non valida. BibliografiaBarbarossa, in d'Agostino, Barlassina, Colarocco (a cura di), Commentario al Regolamento UE 2016/679 e al Codice della privacy aggiornato, Milano, 2018, 499 ss.; Riccio, Scorza, Belisario (a cura di), GDPR e normativa privacy commentario, Milano, 2018, 674; Pizzetti, Privacy e il diritto europeo alla protezione dei dati personali: Il Regolamento europeo 2016/679, Torino, 2016. |
