Regolamento - 27/04/2016 - n. 679 art. 70 - Compiti del comitato

I compiti dell'EDPB

Al di là della generica funzione di sorveglianza e garanzia in merito alla corretta applicazione delle disposizioni del GDPR, da cui deriverebbe “necessariamente” l'attribuzione di “poteri impliciti” all'EDPB sono assegnati i seguenti compiti.

L'attività di consulenza

Tra le tipiche attività attribuite all'EDPB rientra la consulenza alla Commissione Europea in merito:

– a qualsiasi questione relativa alla protezione dei dati personali nell'Unione, comprese eventuali proposte di modifica del GDPR;

– al formato ed alle procedure per lo scambio di informazioni tra titolari, responsabili del trattamento e autorità di controllo in merito alle norme vincolanti d'impresa;

– ai requisiti dei meccanismi di certificazione della protezione dei dati;

– alle icone informative standardizzate che potranno essere utilizzate per fornire l'informativa privacy agli interessati, la cui adozione è demandata alla Commissione UE (allo stato, si è ancora in attesa della formale adozione delle presenti icone da parte della Commissione europea);

– all'adeguatezza del livello di protezione in un paese terzo o in un'organizzazione internazionale (Si veda, sul punto, il documento del WP29 “Criteri di riferimento per l'adeguatezza”, [wp254]);

– ai codici di condotta redatti nell'UE.

L'EDPB, inoltre, svolge una specifica attività di consulenza a favore delle singole autorità di controllo nazionali e, in particolare, conformemente al meccanismo di coerenza, emette pareri in merito a specifici progetti di decisione delle autorità di controllo, relativi: i) alla definizione di un elenco di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi dell'articolo 35 GDPR (cfr. sul punto il parere emesso dall'EDPB relativamente all'elenco dei trattamenti di dati personali che devono essere sottoposti a DPIA stilato dal GPDP[doc. web n. 9058979]); ii) alla conformità al GDPR di un progetto, modifica o proroga di un codice di condotta; iii) all'approvazione dei criteri per l'accreditamento di un organismo di certificazione (si veda, sul punto, “EDPB Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679) e Annex 1 to the Guidelines 4/2018 – version for public consultation); iv) alla determinazione di clausole tipo di protezione dei dati; v) all'approvazione di norme vincolanti d'impresa. (Si veda, sul punto, “Working Document Setting Forth a Co-Operation Procedure for the approval of “Binding Corporate Rules” for controllers and processors under the GDPR, [wp 263 rev01]. In materia, si vedano anche i seguenti documenti, i) “Recommendation on the Standard Application for Approval of Controller Binding Corporate Rules for the Transfer of Personal Data, [wp 264]”, ii) “Recommendation on the Standard Application form for Approval of Processor Binding Corporate Rules for the Transfer of Personal Data”, [wp265]”, iii) “Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules, [wp 256 rev.01]”, iv) “Working Document setting up a table with the elements and principles to be found in Processor Binding Corporate Rules, [wp257 rev.01]”.).

Il parere dell'EDPB è adottato entro otto settimane da quando il presidente e l'autorità di controllo competente hanno deliberato la completezza del fascicolo. Il termine per l'adozione può essere prorogato di sei settimane – tenendo conto della complessità della questione – per decisione del presidente assunta di propria iniziativa ovvero su richiesta di almeno un terzo dei membri dell'EDPB. Ai sensi dell'art. 64 GDPR, inoltre, l'autorità di controllo deve tenere “nella massima considerazione” il parere ricevuto dall'EDPB, comunicando a quest'ultimo entro 2 settimane se intende mantenere il proprio progetto di decisione o, viceversa, il progetto modificato.

Le linee guida, le raccomandazioni e le migliori prassi

L'EDPB, inoltre, al fine di promuovere l'applicazione del GDPR, svolge un'importante funzione di indirizzo normativo e pubblica linee guida, raccomandazioni e migliori prassi, rivolte alle autorità di controllo nazionali e agli interessati. Si noti che, in molti casi, i documenti citati in questo paragrafo sono stati predisposti e redatti dal WP29 e non direttamente dal WP29. Tuttavia, come spiegato in precedenza all'interno del presente commentario, in conformità al disposto dell'art. 94.2 GDPR, è possibile attribuire all'EDPB gli atti posti in essere dallo stesso WP29 prima della piena applicazione del GDPR. Tali atti possono essere ricompresi all'interno delle cd. “fonti secondarie” del diritto, che hanno la funzione di integrare le disposizioni del GDPR a livello ermeneutico e di precisare meglio quanto previsto dalle norme del citato Regolamento. Le linee guida, raccomandazioni e prassi di cui al presente paragrafo, pertanto, non hanno una diretta forza vincolante nei confronti dei destinatari cui sono rivolte (i.e. non impongono obblighi e/o doveri): esse, tuttavia, trovano spesso concreta e costante applicazione all'interno dei singoli ordinamenti nazionali – se del caso, in specifiche circostanze, anche in atti aventi natura di legge. Prima di essere sottoposti al voto dell'EDPB, i pareri, gli orientamenti, le raccomandazioni e le migliori prassi dell'EDPB sono redatti da un relatore e dai sottogruppi di esperti di concerto con il segretariato.

Le linee guida, raccomandazioni e migliori prassi sono predisposte:

– in materia di procedure per la cancellazione di link, copie o riproduzioni di dati personali dai servizi di comunicazione accessibili al pubblico;

– per specificare ulteriormente i criteri e le condizioni delle decisioni basate sulla profilazione ai sensi dell'art. 22, paragrafo 2 GDPR (si veda, sul punto, “Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 [wp251rev.01]”;

– per accertare la violazione di dati personali e determinare l'ingiustificato ritardo di cui all'art. 33, paragrafi 1 e 2 GDPR, e le circostanze particolari in cui il titolare o il responsabile del trattamento è tenuto a notificare la violazione dei dati personali, oltre alle circostanze in cui una violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche di cui all'art. 34, paragrafo 1 (si veda, sul punto, “Guidelines on Personal data breach notification under Regulation 2016/679, [wp250 rev.01]”);

– al fine di specificare ulteriormente i criteri e i requisiti dei trasferimenti di dati personali basati sulle norme vincolanti d'impresa applicate, rispettivamente, dai titolari e dai responsabili del trattamento, nonché gli ulteriori requisiti per assicurare la protezione dei dati personali degli interessati di cui all'art. 47 GDPR e i criteri e i requisiti dei trasferimenti di dati personali sulla base dell'art. 49, paragrafo 1 GDPR (si veda, sul punto, “EDPB Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679”);

– al fine di specificare l'applicazione delle misure di cui all'art. 58, paragrafi 1, 2 e 3, e la previsione delle sanzioni amministrative pecuniarie ai sensi dell'art. 83 GDPR (si veda, sul punto, “Guidelines on the application and setting of administrative fines for the purposes of the Regulation 2016/679 [wp253]”);

– per stabilire procedure comuni per le segnalazioni da parte di persone fisiche di violazioni del presente regolamento ai sensi dell'art. 54, paragrafo 2.

All'EDPB, inoltre, sono attualmente riferite ulteriori Linee Guida, raccomandazioni e prassi, emanate dal WP29 in ambiti diversi ed ulteriori rispetto a quelli previsti dall'art. 70 GDPR, e, in particolare:

– le linee guida sul consenso – “Guidelines on consent under Regulation 2016/679, [wp259 rev.01]”;

– le linee guida in materia di trasparenza – “Guidelines on transparency under Regulation 2016/679, [wp260 rev.01]”;

– le linee guida sull'ambito di applicazione territoriale del GDPR – “EDPB Guidelines 3/2018 on the territorial scope of the GDPR (Article 3);

– le line guida sul diritto alla portabilità – “Guidelines on the right to data portability under Regulation 2016/679, [wp242 rev.01]”;

– le linee guida sul Data Protection Officer – “Guidelines on Data Protection Officers (‘DPO'), [wp243 rev.01]”;

– le linee guida sull'identificazione dell'autorità di controllo capofila – “Guidelines for identifying a controller or processor's lead supervisory authority, [wp244 rev.01]”;

– il parere sulle deroghe all'obbligo di tenuta di un Registro delle attività di trattamento ai sensi dell'art. 30, paragrafo 5 del GDPR.

Ed ancora nel corso degli ultimi anni numerose sono state le Linee guida e le raccomandazioni adottate, anche a fronte di un consultazione pubblica, come, a titolo esemplificativo: Linee Guida sull'utilizzo della tecnologia di riconoscimento facciale da parte dell'attività di polizia (Linee Guida 5/2022); Linee Guida sul diritto d'accesso degli interessati (Linee Guida 01/2022); Linee Guida sulla notifica di violazioni di dati personali (Linee Guida 9/2022 (Linee Guida sulla certificazione come strumento per i trasferimenti (Linee Guida 7/2022); Raccomandazioni sulle basi legali per la conservazione dei dati di carte di credito per la sola finalità di facilitare ulteriori operazioni on line (Raccomandazione 02/2021) Raccomandazione sulle garanzie per le misure di sorveglianza(Raccomandazione 2/2020); raccomandazione sulle misure integrative agli strumenti di trasferimento al fine di assicurare la compliance con le garanzie europee (Raccomandazione 1/2020); c) Linee guida in relazione al diritto di opposizione (Linee Guida 9/2020); d) Linee Guida 8/2020 sul targeting degli utenti dei social media; e) Linee guida 7/2020 sui concetti di titolare e responsabile.

Come è agevole notare tutte le materia trattate sono materie di grande interesse sulla quali lo EDPB è intervenuto a fronte di una esigenza di chiarezza conformemente al dettato del Regolamento.

Gli altri compiti

In aggiunta ai compiti di cui detto ai precedenti paragrafi 2.1 e 2.2, il legislatore comunitario ha attribuito all'EDPB anche una serie di ulteriori funzioni, finalizzate allo svolgimento di un'attività propulsiva in materia di protezione dei dati personali. Tra queste:

– l'incoraggiamento all'elaborazione di codici di condotta e l'istituzione di meccanismi di certificazione e di sigilli e marchi di protezione dei dati;

– l'accreditamento di organismi di certificazione, il riesame periodico degli stessi e la tenuta di un registro pubblico di organismi accreditati e dei titolari o responsabili del trattamento accreditati, stabiliti in paesi terzi;

– la promozione della cooperazione e dell'effettivo scambio di informazioni e prassi tra le autorità di controllo a livello bilaterale e multilaterale;

– la promozione di programmi comuni di formazione e facilitazione dello scambio di personale tra le autorità di controllo e, se del caso, con le autorità di controllo di paesi terzi o di organizzazioni internazionali;

– la promozione dello scambio di conoscenze e documentazione sulla legislazione e sulle prassi in materia di protezione dei dati tra autorità di controllo di tutto il mondo;

– la tenuta di un registro elettronico, accessibile al pubblico, delle decisioni adottate dalle autorità di controllo e dalle autorità giurisdizionali su questioni trattate nell'ambito del meccanismo di coerenza.

Un ulteriore ed importante compito è quello relativo allo svolgimento di funzioni consultive nei confronti della Commissione europea in merito alle questioni connesse alla protezione dei dati personali, compresa l'adeguatezza del livello di protezione dei dati nei paesi terzi o presso le organizzazioni internazionali. Si evidenzia infatti che l'EDPB ha pubblicato un parere sull'interazione tra il regolamento sulla sperimentazione clinica e il regolamento generale sulla protezione dei dati, su richiesta della direzione generale della Salute e della sicurezza alimentare della Commissione europea.

Di particolare rilievo l'attribuzione al Comitato di un potere propulsivo nell'ambito della regolamentazione in materia di protezione dei dati personali, attraverso la promozione e l'incoraggiamento di iniziative ed attività condivise fra le diverse autorità di controllo nonché la possibilità di adottare strumenti qualificabili come “soft law”, vale a dire atti non legislativi di natura non vincolante. Nonostante il carattere informale di tali strumenti, oggi rivestono un ruolo rilevante nel panorama regolamentare europeo ed internazionale, in quanto necessari ad integrare le tradizionali fonti di produzione legislativa, che spesso, registrano un forte ritardo rispetto allo scenario sociale ed economico che devono disciplinare.

In questo senso anche gli atti del Comitato. La forza integrativa degli atti di soft law trova ampia affermazione ed applicazione ed è senza dubbio visto come strumento adeguato stante la duttilità di questo strumento capace di veicolare le esigenze traducendole in disposizioni non direttamente vincolanti ed applicabili, ma in grado di ingenerare delle ragionevoli aspettative di osservanza delle relative regole e/interpretazioni.

Gli strumenti di soft al comitato ricomprendono un'ampia gamma di attività che vanno dalla redazione di linee guida, raccomandazioni etc. che seppur non assurgono a rango di veri atti giuridici, creano una guida una base giuridica per la miglior definizione coerente ed uniforme delle disposizioni in materia di trattamento dei dati.

L'EDPB nel Codice Privacy

All'interno del Codice Privacy – così come e modificato dal d.lgs. n. 101/2018 – troviamo un preciso riferimento all'EDPB all'art. 2-septies, rubricato “Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute”. Ai sensi del citato articolo, infatti, il Garante Privacy è tenuto ad emanare, con cadenza almeno biennale, un provvedimento che stabilisca le misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute: provvedimento che deve necessariamente tenere conto «delle linee guida, delle raccomandazioni e delle migliori prassi pubblicate dal Comitato europeo per la protezione dei dati e delle migliori prassi in materia di trattamento dei dati personali».

L'art. 2-septies del cod. privacy rappresenta un chiaro esempio di come gli atti dell'EDPB entrino direttamente a far parte della legislazione nazionale dei singoli Stati membri, al fine di integrare le previsioni in materia di protezione dei dati personali applicabili e, se del caso, imporre nuovi obblighi e/o doveri alle autorità di controllo.

Le consultazioni pubbliche

La pubblica consultazione svolge un importante ruolo all'interno del panorama legislativo europeo in quanto è finalizzata a migliorare la qualità della legislazione in materia di protezione dei dati personali e, in particolare, a far si che le azioni intraprese dagli organi UE possano essere apprezzate e comprese direttamente dai destinatari finali (i.e. i destinatari cui l'atto è rivolto, le autorità di controllo nazionali, ecc.). Tale obiettivo, a livello UE, risulta chiaramente specificato all'interno dell'Accordo interistituzionale cd. «Legiferare meglio» siglato tra il Parlamento europeo, il Consiglio dell'Unione europea e la Commissione europea nel 2016, secondo cui: «La consultazione del pubblico e dei portatori di interesse è parte integrante di un processo decisionale ben informato e del miglioramento della qualità di tale processo».

Procedere ad ampie consultazioni delle parti interessate al fine di assicurare la coerenza e la trasparenza delle azioni dell'Unione è, inoltre, per gli organi UE un obbligo giuridicamente vincolante, sancito dall'art. 11 comma 3 del Trattato sull'Unione europea (TUE) (Ai sensi del comma 1 del medesimo articolo, «le istituzioni dell'Unione europea devono offrire ai cittadini e alle associazioni rappresentative, attraverso gli opportuni canali, la possibilità di far conoscere e di scambiare pubblicamente le loro opinioni in tutti i settori di azione dell'Unione»).

Ai sensi del paragrafo 4 dell'articolo in commento, l'EDPB – laddove ritenga di non dover emettere una decisione avente carattere riservato ai sensi dell'art. 76 del GDPR – è tenuto a consultare le parti interessate prima dell'approvazione e della pubblicazione definitiva dei suoi atti e ad offrire loro la possibilità di esprimere commenti entro un termine ragionevole. Tale procedura di consultazione è stata adottata, nel corso degli anni, anche dal WP29, senza tuttavia che la Direttiva 95/46/CE ne prevedesse espressamente la possibilità.

La ratio della procedura di consultazione, quindi, è quella di evitare che il giudizio su un atto destinato ad applicarsi in tutta l'UE rimanga di appannaggio del solo legislatore e/o di gruppi di esperti del settore coinvolti nella procedura legislativa e di far in modo che lo stesso sia frutto di una serie di riflessioni e/o commenti provenienti da coloro che sono direttamente interessati dall'applicazione dell'atto stesso.