GDPR: il principio di coerenza nel trattamento di dati personali
L’articolo 65 del regolamento europeo, dal titolo “composizione delle controversie da parte del comitato”, stabilisce che, ove un’autorità nazionale abbia espresso un parere od emanato un provvedimento, che altre autorità nazionali non condividano, si debba ricorrere al comitato europeo per la protezione dei dati, per risolvere la possibile controversia fra due o più autorità Garanti. La ragione alla base dell’articolo 65 è quella di garantire a tutti i titolari europei una interpretazione congrua ed armonizzata del regolamento generale europeo sulla protezione dei dati, quale che sia il paese in cui il titolare si trova e quale che sia l’autorità Garante che si pronuncia.
Ecco i fatti.
L’autorità Garante irlandese ha pubblicato una bozza di decisione, a seguito della sua indagine sul comportamento della Twitter International Company, che ha sede nella Repubblica irlandese.
La bozza di provvedimento è stata emessa a seguito di una violazione dei dati, notificata da Twitter all’autorità irlandese. La violazione di dati è avvenuta l’8 gennaio 2020.
Quando questa bozza di provvedimento è stata portata a conoscenza di Twitter e di altre autorità garanti europee, le stesse hanno sollevato numerose obiezioni alla bozza di provvedimento. A questo punto non è parso vero a Twitter di fare immediato appello al comitato europeo per la protezione dei dati, che doveva avviare così una procedura per la risoluzione del contrasto tra i vari punti di vista.
La procedura è stata avviata l’8 settembre 2020 e avrebbe dovuto essere completata entro due mesi e mezzo dall’avvio dell’indagine. Vista la complessità dell’argomento, la decisione è stata spostata di un mese ed il 9 novembre 2020 il comitato europeo per la protezione dei dati ha assunto la sua decisione vincolante, che è stata notificata formalmente all’autorità irlandese.
Sulla base di questa decisione, l’autorità irlandese deve emanare il suo provvedimento finale, debitamente modificato.
È questa la prima volta che il comitato europeo per la protezione dei dati ha attuato la procedura prevista dall’articolo 65, che ovviamente può essere attivata da qualsiasi titolare, oppure autorità garante nazionale, che abbia dubbi su provvedimenti o pareri espressi da altre autorità.
Ciò che è significativo, nella situazione illustrata, non è tanto il contenuto della decisione assunta dal comitato europeo, quanto il fatto che la procedura sia stata per la prima volta attuata, a tutela e garanzia di tutti i soggetti coinvolti.
Tra breve questa decisione verrà pubblicata sul sito del comitato europeo, cui rinvio i nostri lettori.
Nel frattempo, allego due documenti, sempre pubblicati dal comitato europeo, che illustrano con chiarezza i diritti e doveri connessi all’applicazione dell’articolo 65 del regolamento generale europeo.
Infografica su articolo 65 (PDF)
FAQ - traduzione a cura di Adalberto Biasiotti
Come funziona la cooperazione transfrontaliera ai sensi del GDPR? Il GDPR richiede che le autorità di vigilanza (SA) di EEA collaborino strettamente per garantire l’applicazione coerente del GDPR e protezione dei diritti delle persone in tema di protezione dei dati attraverso la EEA. Uno dei loro compiti è coordinare il processo decisionale nel trattamento transfrontaliero dei dati casi. Secondo il cosiddetto meccanismo one-stop-shop (art. 60 GDPR), che si applica a situazioni di trattamento transfrontaliero, l'autorità di controllo principale (LSA) funge da punto di contatto principale per il titolare o responsabile per un determinato trattamento, mentre le autorità locali (CSA) agiscono come il principale punto di contatto per gli interessati nel territorio del suo Stato membro. L'LSA è l'autorità incaricata di guidare il processo di cooperazione. Essa condividerà le informazioni pertinenti con le CSA, svolgerà le indagini e preparerà la bozza di decisione relativa al caso, e dovrà cooperare con le altre CSA nel tentativo di raggiunger il consenso su questo progetto di decisione.
Quando viene emesso un progetto di decisione, le CSA vengono consultate dall'LSA e possono esprimere le proprie obiezioni pertinenti e motivate al progetto di decisione, entro un periodo di quattro settimane (articolo 60 (4) GDPR).
Quando nessuna delle CSA si oppone, la LSA può procedere all'adozione della decisione. Nel caso in cui almeno una delle CSA non sia d'accordo con il progetto di decisione, può esprimere le proprie pertinenti e motivate obiezioni, come sopra menzionato. Se la LSA intende accettare le obiezioni, presenterà un progetto di decisione rivisto a tutte le CSA. Le CSA hanno quindi un periodo di due settimane (Art. 60 (5) GDPR) per esprimere le proprie obiezioni pertinenti e motivate alla bozza rivista della decisione.
Se la LSA non intende recepire le obiezioni e quindi sorge una controversia su una bozza di decisione od un progetto di decisione rivisto e nessun consenso può essere raggiunto, viene attivato il meccanismo di coerenza. Ciò significa che la LSA è obbligata a deferire il caso al Comitato Europeo per la protezione dei dati (EDPB).
L'EDPB agirà quindi come organo di risoluzione delle controversie ed entro un mese dal deferimento della controversia, emetterà una decisione a maggioranza di due terzi, vincolante per LSA e CSA (art. 65 GDPR). Questo periodo può essere esteso di un altro mese se il caso è complesso. Quando l'EDPB non è in grado di prendere una decisione entro il suddetto periodo a maggioranza dei due terzi, la decisione dovrebbe essere adottata a maggioranza semplice. Se i membri dell'EDPB sono equamente divisi, la decisione sarà adottata con il voto del presidente dell'EDPB.
La LSA, e in alcune situazioni la CSA presso la quale è stata presentata la denuncia e la cui decisione sarà indirizzata al denunciante, deve adottare la sua decisione finale sulla base della decisione di EDPB, che sarà indirizzata al titolare del trattamento o al responsabile del trattamento e, se del caso, al denunciante.
Chi può attivare il meccanismo di risoluzione delle controversie? Quando una controversia sorge nel corso di una procedura one-stop-shop, il meccanismo per la risoluzione della controversia deve essere attivato. È obbligatorio per LSA attivare questo processo, quando non intende recepire le obiezioni pertinenti e motivate delle CSA o ritiene che un'obiezione non sia motivata o pertinente.
A parte il meccanismo one-stop-shop, nel caso in cui una SA non richieda un parere per un progetto di decisione ai sensi dell'art. 64 GDPR o non recepisce l'opinione dell'EDPB, qualsiasi SA, nonché la Commissione Europea, può attivare una procedura ex Art. 65.
Un caso è stato presentato all'EDPB ai sensi dell'art. 65 GDPR - cosa succede dopo? Dopo il rinvio del caso, l'EDPB avrà un mese per adottare una decisione. Questo periodo può essere prorogato per un ulteriore mese, a seconda della complessità dell'argomento. Entro questo lasso di tempo, una decisione vincolante deve essere adottata a maggioranza di due terzi. Se l'EDPB non è stato in grado di adottare una decisione entro questo termine, adotta la sua decisione entro due settimane dalla scadenza del secondo mese. In quest'ultimo caso, la decisione è adottata a maggioranza semplice. In caso di divisione al 50% dei membri dell'EDPB, la decisione sarà adottata con il voto del presidente di EDPB. Durante questo periodo, la procedura one-stop-shop è in sospeso e le autorità di vigilanza interessate non possono adottare una decisione sul caso deferito all'EDPB. A chi sono rivolte le decisioni? Tutte le decisioni prese nell'ambito del meccanismo di risoluzione delle controversie devono essere indirizzate alla SA nazionale. La decisione dell'EDPB è vincolante.
Cosa succede dopo? Una volta che l'EDPB ha adottato una decisione, il presidente dell'EDPB notifica la decisione alla pertinente SA nazionale senza indebito ritardo. Per quanto riguarda le procedure di one-stop-shop, la LSA o le CSA con cui è stata presentata la denuncia depositata deve adattare la sua decisione finale sulla base della decisione EDPB, che sarà comunicata al titolare del trattamento o al responsabile del trattamento e, se del caso, al denunciante. Questo deve avvenire senza indebito ritardo e al più tardi un mese dopo che l'EDPB ha notificato la sua decisione. Il LSA e CSA notificheranno all'EDPB la data in cui la loro decisione finale è stata notificata al responsabile del trattamento o responsabile del trattamento ed al reclamante. A seguito di tale notifica, l'EDPB pubblica la sua decisione sul suo sito web.
Le decisioni finali delle LSA e CSA saranno prese ai sensi dell'art. 60 (7), (8) e (9) GDPR. La decisione finale deve fare riferimento alla decisione dell'EDPB e deve specificare che verrà pubblicata sul sito web EDPB. Le decisioni finali LSA e CSA devono riportare in allegato la decisione dell'EDPB.
Quando sarà pubblicata la decisione dell'EDPB? Una volta che la LSA o in alcuni casi la CSA, cui è stato presentato il reclamo, ha notificato a EDPB la data in cui la sua decisione finale è stata comunicata al titolare del trattamento o al responsabile del trattamento e, dove pertinente, per il denunciante, l'EDPB pubblicherà la propria decisione sul proprio sito web.
Può una SA contestare la decisione ex articolo 65 del GDPR, emessa dal EDPB? In qualità di destinatari delle decisioni EDPB, le autorità competenti che desiderano impugnarle possono attivare un’azione dinanzi alla Corte di giustizia europea (CGUE), entro due mesi dalla notifica.
Il titolare del trattamento, il responsabile del trattamento o il denunciante possono contestare una decisione ai sensi dell'articolo 65 dello EDPB? Le decisioni adottate dall'EDPB sulla base dell'articolo 65 GDPR sono "vincolanti" a livello nazionale delle SC, che adottano la decisione finale sulla base della decisione EDPB. Le decisioni vincolanti riguardano principalmente le SA nazionali e sono vincolanti per loro.
Qualora le decisioni dell'EDPB riguardino direttamente e individualmente il titolare del trattamento, il responsabile del trattamento o il denunciante, essi possono presentare un ricorso di annullamento contro tali decisioni, entro due mesi dalla loro pubblicazione sul sito web dell'EDPB, dinanzi alla CGUE, ai sensi dell'art. 263 TFUE.
Fermo restando questo diritto di cui all'art. 263 TFUE, ogni persona fisica o giuridica può anche attivare un ricorso giurisdizionale effettivo dinanzi al giudice nazionale competente contro tali decisioni definitive presa dalla SA, che produce effetti giuridici nei confronti di quella persona. Questo diritto deve essere esercitato in conformità alla legislazione nazionale applicabile.
Quando una decisione di una SA – in attuazione di una decisione ex GDPR art. 65 dell'EDPB - sia impugnato dinanzi a un giudice nazionale dall'interessato o dal titolare del trattamento / responsabile del trattamento ed è in discussione la validità della decisione, in conformità all’articolo 65, presa da 'EDPB, il giudice nazionale non ha il potere di dichiarare tale decisione non valida, ma deve riferire la questione di validità alla CGUE ai sensi dell'art. 267 TFUE.
Tuttavia, un giudice nazionale può decidere di non sottoporre una questione sulla validità di una decisione dell'EDPB, quando una persona fisica o giuridica sia nelle condizioni legali per intentare un'azione annullamento di tale decisione dinanzi alla CGUE, ma non lo abbia fatto entro il termine previsto nell'Art. 263 TFUE.
Esistono altre situazioni, che possono attivare il meccanismo di risoluzione delle controversie? Il meccanismo di risoluzione delle controversie non viene attivato solo nel caso in cui un LSA "non recepisce un obiezione pertinente e motivata delle CSA o respinge un'obiezione in quanto non pertinente o motivata "(art. 60 GDPR). Può essere attivato anche in specifiche differenti ipotesi previste dall'art. 65 (1), ad esempio in caso di opinioni contrastanti su quale delle AS dovrebbe agire come LSA.
Inoltre, in alcune circostanze, elencate all'art. 64 (1) GDPR, ogni SA competente ha il dovere di richiedere un parere all'EDPB prima di adottare il suo progetto di decisione nazionale (come prima dell'approvazione di una nuova serie di contratti standard). Ai sensi dell'Art. 64 (2) GDPR, l’autorità può anche richiedere un parere di coerenza dell'EDPB su qualsiasi questione di applicazione generale o da tale da produrre effetti in più di uno Stato membro. Se una SA non richiede il parere di l'EDPB per i casi elencati all'art. 64 (1) GDPR o non recepisce il parere di EDPB rilasciato ai sensi dell'art. 64 GDPR, qualsiasi SA e la Commissione Europea possono avviare una procedura di risoluzione della controversia ai sensi dell'articolo 65. Come ha chiarito la CGUE nella sua sentenza nella causa C-311/18 (Scherma II) (paragrafo 147): “Per quanto riguarda il fatto, sottolineato dal Commissario, che trasferisce dati personali a tali un paese terzo può comportare l'adozione da parte delle autorità di controllo dei vari Stati membri decisioni divergenti, va aggiunto che, come risulta dall'articolo 55, paragrafo 1, e dall'articolo 57, paragrafo 1, lettera a) del GDPR, il compito di far rispettare tale normativa è conferito, in linea di principio, a ciascuno autorità di controllo sul territorio del proprio Stato membro. Inoltre, al fine di evitare decisioni divergenti, l'articolo 64, paragrafo 2, del GDPR prevede la possibilità di un controllo autorità che ritiene che i trasferimenti di dati a un paese terzo debbano, in generale, essere vietato, di deferire la questione al comitato europeo per la protezione dei dati (EDPB) per un parere, che può, ai sensi dell'articolo 65 (1) (c) del GDPR, adottare una decisione vincolante, in particolare laddove un'autorità di controllo non segue il parere emesso.” |
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.