Regolamento Europeo sulla protezione dei dati

È un organismo dell’UE incaricato dell’applicazione del regolamento generale sulla protezione dei dati a partire dal 25 maggio 2018. L’EDPB è un organismo indipendente che:

• assicura che il diritto dell’UE in questo settore – in particolare il regolamento generale sulla protezione dei dati (RGPD) e la direttiva sulla protezione dei dati nell’ambito delle attività di contrasto – sia applicato in modo coerente in tutti i paesi che ne sono coperti
•  promuove la cooperazione fra le autorità nazionali preposte alla protezione dei dati

Chi fa parte dell’EDPB?

• Un presidente e due vicepresidenti, nominati per un mandato rinnovabile di 5 anni.
• Ogni autorità nazionale preposta alla protezione dei dati e il garante europeo della protezione dei dati (GEPD).

Cosa fa l’EDPB?

• fornisce una guida generale (compresi orientamenti, raccomandazioni e migliori pratiche) per chiarire l’RGPD
• adotta conclusioni coerenti , volte a garantire che l’RGPD sia interpretato in modo coerente da tutti gli organismi di regolamentazione nazionali, ad esempio nei casi riguardanti due o più paesi
• fornisce consulenze alla Commissione europea sulle questioni riguardanti la protezione dei dati e qualsiasi nuova normativa dell’UE di particolare importanza per la protezione dei dati personali
• incoraggia le autorità nazionali preposte alla protezione dei dati a collaborare e condividere informazioni e migliori pratiche.

Applicazione territoriale (art.3) Il regolamento si applica – ai soggetti stabiliti sul territorio comunitario:

• sia che trattino i dati all’interno del territorio comunitario
• sia che li trattino fuori dal territorio comunitario

– ai soggetti stabiliti al di fuori del territorio comunitario quando il trattamento riguarda:

• l’offerta di beni e servizi per soggetti residenti nell’UE
• il monitoraggio del comportamento dei cittadini dell’UE

Ne consegue che le aziende che oggi non sono soggetti alla applicazione della dir 95/46/CEE dovranno invece ottemperare agli obblighi del Regegolamento 679/2016.

Le disposizioni sui meccanismi amministrativi della protezione dei dati nell’Ue sono fissate nei Capi VI e VII del regolamento 2016/679. Il Capo VI, in particolare, prevede la costituzione di un’”autorità di controllo” in ciascuno Stato membro (rinviando al legislatore nazionale la definizione delle modalità di nomina dei componenti e l’attribuzione di idonee risorse), fissa identici compiti e poteri per le autorità (artt. 57 e 58) in tutti i Paesi Ue e introduce (art. 56) la nozione di “autorità di controllo capofila”. L’autorità di controllo capofila è, in sintesi, l’autorità dello stabilimento principale o unico nell’Ue del titolare o responsabile del trattamento, alla quale viene trasferita la competenza da tutte le altre autorità di controllo (definite, in questo caso, “autorità interessate”) per quanto riguarda i “trattamenti transfrontalieri” di dati personali svolti da quel titolare o responsabile. Le definizioni di “stabilimento principale” e “trattamento transfrontaliero” sono contenute all’art. 4(16) e (23), rispettivamente; anche il concetto di “autorità di controllo interessata” trova definizione all’art. 4 (punto 22) del regolamento. L’obiettivo della devoluzione di competenze a favore dell’autorità capofila è garantire l’esistenza di uno “sportello unico” per i trattamenti transfrontalieri di dati personali: principio sancito dal paragrafo 6 dell’art. 56 (“L’autorità di controllo capofila è l’unico interlocutore del titolare del trattamento o del responsabile del trattamento in merito al trattamento transfrontaliero effettuato da tale titolare o responsabile“). Occorre ricordare, tuttavia, che il regolamento stesso prevede alcune eccezioni: l’autorità di controllo che riceve un reclamo (e quindi è, per definizione, un’autorità “interessata”) può infatti far valere il carattere esclusivamente locale del caso e chiedere all’autorità capofila di rinunciare alla propria competenza (“se l’oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro”): v. art. 56, paragrafo 2. La cooperazione fra l’autorità capofila e le altre autorità, ma anche fra le autorità di controllo in generale, è disciplinata nel Capo VII del regolamento, che ha per oggetto appunto “Cooperazione e coerenza”. In particolare, il meccanismo decisionale nei casi di trattamento transfrontaliero (detto “sportello unico”, poiché il titolare o il responsabile potrà rivolgersi alla sola autorità di controllo capofila) è regolato dall’art. 60 del regolamento. Si tratta di un meccanismo di co-decisione, in cui l’autorità capofila è competente a emanare la (unica) decisione finale, ma è obbligata a interpellare tutte le autorità interessate prima di assumere qualsiasi provvedimento che riguardi un titolare o responsabile, e nel farlo deve tenere conto delle “obiezioni pertinenti e motivate” che le autorità interessate possono sollevare sul progetto di decisione o parere fatto circolare dall’autorità capofila, secondo una tempistica molto stretta. L’autorità capofila può, in ogni momento, respingere le obiezioni formulate dalle autorità interessate e adire il Comitato europeo per la protezione dei dati (il “Board”) che decide secondo la procedura di cui all’art. 65, ma solo sulla “obiezione pertinente e motivata” – qualunque ne sia l’oggetto. La decisione del Comitato è vincolante per l’autorità capofila e le autorità interessate. Le Linee-guida del WP29 sulla “autorità di controllo capofila” intendono chiarire i criteri che i titolari di trattamento (e anche le autorità di controllo) utilizzeranno per individuare correttamente la propria autorità capofila, rispetto ai trattamenti transfrontalieri di dati personali, e illustrano in concreto il funzionamento del meccanismo di “sportello unico”.