Privacy e Trattamento dei dati personali

EDPB: che ruolo ha e come opera il Comitato europeo per la protezione dei dati personali

Read 7 min
Il Comitato europeo per la protezione dei dati è un organismo europeo indipendente e dotato di personalità giuridica propria, che contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione europea e promuove la cooperazione tra le autorità competenti per la protezione dei dati dell’UE.

Il 25 maggio 2018, l’EDPB (European Data Protection Board) ha sostituito il Working PartyArticolo 29”, istituito dall’art. 29 della direttiva 95/46/CE, che fungeva principalmente da organo di consulenza della Commissione europea.

In ogni caso, dopo la entrata in vigore del GDPR, il 25 maggio 2016, il WP29 ha fatto un lavoro eccezionale di preparazione, emanando un massiccio numero di pareri e Linee guida sui concetti e sugli istituti più innovativi introdotti dal Regolamento europeo.

Com’è composto

L’EDPB è composto da rappresentanti delle autorità nazionali per la protezione dei dati e dal Garante europeo della protezione dei dati (GEPD), quest’ultimo istituito nel 2004.

Qualora, in uno Stato membro, più autorità di controllo siano incaricate di sorvegliare l’applicazione delle disposizioni del presente regolamento, è designato un rappresentante comune conformemente al diritto di tale Stato membro.

Ne fanno altresì parte le autorità di controllo degli Stati EFTA/SEE per quanto riguarda le questioni connesse al regolamento generale sulla protezione dei dati (GDPR), senza però che i loro rappresentanti godano del diritto di voto o possano essere eletti presidente o vicepresidenti.

Anche la Commissione europea ha titolo a partecipare alle attività ed alle riunione del comitato ma senza diritto di voto.

Il Comitato europeo per la protezione dei dati è rappresentato dal suo presidente, eletto tra i suoi membri a maggioranza semplice, per un mandato di cinque anni, rinnovabile una volta. La stessa procedura elettorale e lo stesso mandato si applicano ai due vice presidenti.

Attualmente, la Presidenza del Comitato è rappresentata da Andrea Jelinek, in qualità di Presidente, e dai Vice Presidenti Ventsislav Karadjov e Aleid Wolfsen

Compiti del Presidente del Comitato

La ripartizione dei compiti tra presidente e vicepresidenti è stabilita dal comitato europeo nel proprio regolamento interno.

In via generale, il presidente convoca le riunioni del comitato e ne stabilisce l’ordine del giorno; notifica le decisioni adottate dal comitato a norma dell’art. 65 GDPR all’autorità di controllo capofila e alle autorità di controllo interessate ed assicura l’esecuzione tempestiva dei compiti del comitato, in particolare in relazione al meccanismo di coerenza di cui all’art. 63 GDPR.

Quando è stato istituito

Il comitato è stato istituito nel 2016 dal regolamento generale sulla protezione dei dati (Artt. 68 – 76 – Sezione III – Capo VII GDPR) e ha sede a Bruxelles.

Si affianca al già esistente EDPS (European Data Protection Supervisor), istituito col Regolamento CE 45/2001, ovvero l’autorità europea che vigila sul rispetto della protezione dei dati presso gli organi e le istituzioni dell’Unione Europea, al quale però non si applica il GDPR.

Come opera

Il comitato si avvale di un segretariato, fornito dal GEPD, i cui termini di cooperazione sono definiti in un protocollo d’intesa (siglato dal comitato e dallo stesso GEPD).

La segreteria svolge i propri compiti seguendo esclusivamente le istruzioni del presidente del comitato e presta assistenza in materia di analisi, amministrativa e logistica al comitato.  

In particolare la segreteria è incaricata:

  1. della gestione ordinaria del comitato;
  2. della comunicazione tra i membri del comitato, il suo presidente e la Commissione e della comunicazione con le altre istituzioni e il pubblico;
  3. dell’uso di mezzi elettronici per la comunicazione interna ed esterna;
  4. della traduzione delle informazioni rilevanti;
  5. della preparazione delle riunioni del comitato e del relativo séguito nonché della preparazione, redazione e pubblicazione dei pareri, delle decisioni sulla composizione delle controversie tra le autorità di controllo e di altri testi adottati dal comitato.

Il personale del garante europeo della protezione dei dati, coinvolto nell’assolvimento dei compiti attribuiti al comitato dal GDPR, è soggetto a linee gerarchiche separate rispetto al personale coinvolto nello svolgimento dei compiti attribuiti al garante europeo della protezione dei dati.

Missione

Il comitato europeo per la protezione dei dati ha come obiettivo quello di garantire l’applicazione coerente nell’Unione europea del regolamento generale sulla protezione dei dati (GDPR) e della direttiva sulla protezione dei dati personali nelle attività di polizia e giudiziarie (PDPD).

La PDPD si applica al trattamento dei dati personali effettuato dalle autorità competenti ai fini della prevenzione, dell’indagine, dell’accertamento o del perseguimento dei reati o dell’esecuzione delle sanzioni penali.

Questa direttiva è stata adottata, insieme al GDPR, il 27 aprile 2016 e pubblicata nella Gazzetta ufficiale dell’UE il 4 maggio 2016.

Il GDPR e la PDPD hanno sostituito la direttiva 95/46/CE per il settore privato e per la maggior parte del settore pubblico, nonché la decisione quadro 2008/977/GAI del Consiglio per quanto concerne le autorità di polizia e giudiziarie.

Il comitato ha il potere di adottare orientamenti generali per chiarire le disposizioni della normativa europea sulla protezione dei dati, così da fornire a tutti i destinatari di tali disposizioni un’interpretazione uniforme dei loro diritti e obblighi.

Inoltre, il comitato può adottare  decisioni vincolanti ai sensi del GDPR nei confronti delle autorità nazionali di controllo al fine di garantire un’applicazione coerente delle norme.

Il comitato opera in conformità del regolamento interno e dei suoi principi guida.

Compiti e poteri

Il comitato, di propria iniziativa o, se del caso, su richiesta della Commissione europea, ai sensi dell’art. 70 GDPR:

  • monitora il GDPR e ne assicura l’applicazione corretta nei casi previsti agli artt. 64 e 65 GDPR, fatti salvi i compiti delle autorità nazionali di controllo;
  • fornisce consulenza alla Commissione in merito a qualsiasi questione relativa alla protezione dei dati personali nell’Unione, comprese eventuali proposte di modifica del GDPR;
  • fornisce consulenza alla Commissione sul formato e sulle procedure per lo scambio di informazioni tra titolari del trattamento, responsabili del trattamento e autorità di controllo in merito alle norme vincolanti d’impresa;
  • pubblica linee guida, raccomandazioni e migliori prassi in materia di procedure per la cancellazione di link, copie o riproduzioni di dati personali dai servizi di comunicazione accessibili al pubblico di cui all’art. 17, par. 2, GDPR;
  • esamina, di propria iniziativa o su richiesta di uno dei suoi membri o della Commissione, qualsiasi questione relativa all’applicazione del presente regolamento e pubblica linee guida, raccomandazioni e migliori prassi al fine di promuovere l’applicazione coerente del GDPR;
  • pubblica linee guida, raccomandazioni e migliori pratiche per specificare ulteriormente i criteri e le condizioni delle decisioni basate sulla profilazione ai sensi dell’art. 22, par. 2, GDPR;
  • pubblica linee guida, raccomandazioni e migliori prassi per accertare la violazione di dati personali e determinare l’ingiustificato ritardo di cui all’art. 33, parr. 1 e 2, e le circostanze particolari in cui il titolare del trattamento o il responsabile del trattamento è tenuto a notificare la violazione dei dati personali;
  • pubblica linee guida, raccomandazioni e migliori prassi relative alle circostanze in cui una violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche di cui all’art. 34, par. 1, GDPR;
  • pubblica linee guida, raccomandazioni e migliori prassi al fine di specificare ulteriormente i criteri e i requisiti dei trasferimenti di dati personali basati sulle norme vincolanti d’impresa applicate, rispettivamente, dai titolari del trattamento e dai responsabili del trattamento, nonché gli ulteriori requisiti per assicurare la protezione dei dati personali degli interessati di cui all’art. 47 GDPR;
  • pubblica linee guida, raccomandazioni e migliori prassi al fine di specificare ulteriormente i criteri e i requisiti dei trasferimenti di dati personali sulla base dell’art. 49, par. 1, GDPR;
  • elabora per le autorità di controllo linee guida riguardanti l’applicazione delle misure di cui all’art. 58, parr. 1-2-3, GDPR e la previsione delle sanzioni amministrative pecuniarie ai sensi dell’art. 83 GDPR;
  • valuta l’applicazione pratica delle linee guida, raccomandazioni e migliori prassi;
  • pubblica linee guida, raccomandazioni e migliori prassi per stabilire procedure comuni per le segnalazioni da parte di persone fisiche di violazioni del presente regolamento ai sensi dell’art. 54, par. 2, GDPR;
  • incoraggia l’elaborazione di codici di condotta e l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati ai sensi degli artt. 40 e 42 GDPR;
  • approva i criteri di certificazione a norma dell’art. 42, par. 5, GDPR, e tiene un registro pubblico di meccanismi di certificazione e di sigilli e marchi di protezione dei dati a norma dell’art. 42, par. 8, GDPR e dei titolari o responsabili del trattamento certificati, stabiliti in paesi terzi a norma dell’art. 42, par. 7;
  • approva i requisiti di cui all’art. 43, par. 3, GDPR ai fini dell’accreditamento degli organismi di certificazione di cui all’art. 43 GDPR;
  • fornisce alla Commissione un parere in merito ai requisiti di certificazione di cui all’art. 43, par. 8, GDPR;
  • fornisce alla Commissione un parere in merito alle icone di cui all’art. 12, par. 7, GDPR;
  • fornisce alla Commissione un parere per valutare l’adeguatezza del livello di protezione in un paese terzo o in un’organizzazione internazionale, così come per valutare se il paese terzo, il territorio o uno o più settori specifici all’interno di tale paese terzo, o l’organizzazione internazionale non assicurino più un livello adeguato di protezione. A tal fine, la Commissione fornisce al comitato tutta la documentazione necessaria, inclusa la corrispondenza con il governo del paese terzo, con riguardo a tale paese terzo, territorio o settore specifico, o con l’organizzazione internazionale;
  • emette pareri sui progetti di decisione delle autorità di controllo conformemente al meccanismo di coerenza di cui all’art. 64, par. 1, GDPR, e sulle questioni presentate conformemente all’art. 64, par. 2, GDPR, ed emette decisioni vincolanti ai sensi dell’art. 65 GDPR, anche nei casi di cui all’art. 66 GDPR;
  • promuove la cooperazione e l’effettivo scambio di informazioni e prassi tra le autorità di controllo a livello bilaterale e multilaterale;
  • promuove programmi comuni di formazione e facilita lo scambio di personale tra le autorità di controllo e, se del caso, con le autorità di controllo di paesi terzi o di organizzazioni internazionali;
  • promuove lo scambio di conoscenze e documentazione sulla legislazione e sulle prassi in materia di protezione dei dati tra autorità di controllo di tutto il mondo;
  • emette pareri sui codici di condotta redatti a livello di Unione a norma dell’art. 40, par. 9, GDPR;
  • tiene un registro elettronico, accessibile al pubblico, delle decisioni adottate dalle autorità di controllo e dalle autorità giurisdizionali su questioni trattate nell’ambito del meccanismo di coerenza.

La Commissione, tenuto conto dell’urgenza della questione qualora chieda consulenza al comitato, può anche indicare un termine.

Il comitato trasmette pareri, linee guida, raccomandazioni e migliori prassi alla Commissione e al comitato di cui all’art. 93 GDPR, e li pubblica.

Se ritenuto opportuno, il comitato consulta le parti interessate e offre loro la possibilità di esprimere commenti entro un termine ragionevole. Fatto salvo l’art. 76 GDPR, il comitato rende pubblici i risultati della procedura di consultazione.

Se il comitato europeo lo ritiene necessario, le sue deliberazioni hanno carattere riservato, come previsto dal suo regolamento interno. L’accesso ai documenti trasmessi ai membri del comitato, agli esperti e ai rappresentanti di terzi è disciplinato dal regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio.

Il comitato elabora inoltre una relazione annuale di attività, che include la valutazione dell’applicazione pratica delle linee guida, raccomandazioni e migliori prassi di cui all’art. 70, par. 1, lettera l) GDPR, nonché delle decisioni vincolanti di cui all’art. 65 GDPR, pubblicandola e trasmettendola al Parlamento europeo, al Consiglio e alla Commissione.

Il Comitato non fornisce servizi di consulenza individuali. Ai singoli o alle organizzazioni che necessitano di chiarimenti in materia di normativa sulla protezione dei dati si consiglia di consultare il sito dell’autorità di controllo del proprio paese.

Principi guida

I principi guida a cui deve attenersi nel suo operato sono:

  • indipendenza e imparzialità
  • buona governance, integrità e buona amministrazione
  • collegialità
  • cooperazione
  • trasparenza
  • efficienza e modernizzazione
  • proattività

Per maggiori informazioni, si veda il regolamento interno del comitato europeo per la protezione dei dati.

VP

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *