Cooperazione fra autorità garanti: i chiarimenti dell’EDPB


Nella 39esima riunione plenaria ordinaria, svoltasi da remoto nelle giornate del 7 e 8 ottobre 2020, l’European data Protection Board (EDPB), ha adottato le linee guida sul concetto di “obiezione pertinente e motivata”.

L’EDPB è il comitato europeo per la protezione dei dati, organo europeo indipendente che contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione Europea e promuove la cooperazione tra le autorità garanti privacy e data protection competenti.

Ai sensi dell’art. 60 del GDPR, l'autorità di controllo capofila, ovvero l'autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare o del responsabile del trattamento, coopera con le altre autorità di controllo interessate nell'adoperarsi per raggiungere un consenso e giungere quindi ad una decisione sullo specifico caso di volta in volta preso in esame.

A tal fine l'autorità di controllo capofila comunica senza ritardo le informazioni utili sulla questione alle altre autorità di controllo interessate e trasmette a queste ultime, senza indugio, un progetto di decisione per ottenere il loro parere.

L’obiezione pertinente e motivata

 In questa fase le autorità di controllo interessate possono sollevare un'obiezione pertinente e motivata entro un termine specifico (quattro settimane). Per “obiezione pertinente e motivata” nel GDPR si intende “un'obiezione al progetto di decisione sul fatto che vi sia o meno una violazione del regolamento, oppure che l'azione prevista in relazione al titolare del trattamento o responsabile del trattamento sia conforme al regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli interessati e, ove applicabile, alla libera circolazione dei dati personali all'interno dell'Unione”.

Una volta ricevuta un'obiezione pertinente e motivata, l’autorità garante capofila può:

  • Dar seguito all’obiezione, emettere un nuovo progetto di decisione rivisto e trasmetterlo nuovamente alle autorità interessate (che potranno esprimersi sollevando obiezioni entro il termine più stringente di due settimane);
  • Non dar seguito all’obiezione (nel caso in cui, ad esempio, ritenga che non sia pertinente o adeguatamente motivata) e sottoporre la questione all’EDPB che prenderà una decisione vincolante risolvendo la controversia (meccanismo di coerenza, GDPR).

Le linee guida dunque mirano a stabilire un'interpretazione comune della nozione di obiezione "pertinente e motivata", compreso ciò che dovrebbe essere preso in considerazione nel valutare se un'obiezione "dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione".

Una definizione comune

Tali linee guida, non specificamente previste nel programma di lavoro biennale del comitato europeo per la protezione dei dati, derivano direttamente dal considerando 124 del GDPR, il quale prevede che “nell'ambito del suo compito di rilascio di linee guida su qualsiasi questione relativa all'applicazione del presente regolamento, il comitato dovrebbe essere in grado di pubblicare linee guida in particolare sui criteri da prendere in considerazione per accertare se il trattamento in questione incida in modo sostanziale su interessati in più di uno Stato membro e su cosa costituisca obiezione pertinente e motivata”.

Lo scopo delle linee guida, dunque, è quello di dare una definizione comune al concetto e di favorire, in tal modo, la cooperazione fra autorità. Proprio la cooperazione fra autorità, infatti, è uno degli aspetti del Regolamento europeo in materia di protezione dei dati personali che necessitano di miglioramenti, a ormai più di due anni dall’entrata in vigore del GDPR.

La Commissione Europea, nel report biennale sull’applicazione del GDPR pubblicato il 24 giugno 2020, infatti, ha evidenziato come la gestione dei casi transfrontalieri fosse carente e il meccanismo di cooperazione tramite “One-stop-shop” (il “meccanismo dello sportello unico” ovvero un meccanismo di co-decisione, in cui l´autorità capofila è competente a emanare la (unica) decisione finale, ma è obbligata a interpellare tutte le autorità interessate) ancora poco applicato.

A tal fine la Commissione richiedeva al Comitato di sostenere l'armonizzazione nell'applicazione e nell'attuazione del GDPR utilizzando tutti i mezzi a disposizione, anche chiarendo ulteriormente i concetti chiave e garantendo che gli orientamenti nazionali fossero pienamente in linea con gli orientamenti europei.

Le linee guida saranno rese disponibili sul sito web dell'EDPB una volta completato il processo di revisione finale.

Articolo a cura di Federico Corti | Data Protection Consultant, Labor Project

Se ti è piaciuto l'articolo condividi: