Il ruolo del Comitato europeo per la protezione dati
In seguito alla piena applicazione del nuovo Regolamento europeo in materia di protezione dei dati personali, tra le altre cose si assiste alla fine delle attività per il Working Party art.29, l’organismo istituito dall’art.29 della Direttiva 46/95 CE che per oltre venti anni ha coordinato e supportato i Garanti privacy nazionali nel compito di garantire un’applicazione il più possibile uniforme possibile delle leggi nazionali in materia. Al posto di questa entità, un nuovo organismo chiamato Comitato europeo per la protezione dei dati (Edpb), dotato di compiti e poteri decisamente più ampi, avrà il compito fondamentale di garantire la applicazione del Regolamento europeo, controllando che che le Autorità nazionali operino effettivamente in tal senso.
La prima riunione dell’Edpb si è tenuta lo scorso 25 maggio, data a partire dalla quale gli Stati nazionali sono entrati nel regime di piena applicazione della normativa. Pochi giorni dopo, Franco Pizzetti ha descritto i suoi compiti e attività su Agenda Digitale.
Il nuovo Comitato europeo per la protezione dei dati (EDPB) - si legge in apertura - ha poteri e compiti molto più ampi, in coerenza con quelli assegnati alle Autorità di controllo dal nuovo GDPR.
Esso è il perno essenziale del nuovo sistema dei rapporti tra le Autorità di controllo nazionali, regolato dai principi di cooperazione e coerenza disciplinati nel Capo VII del GDPR e la sua importanza sistemica è facilmente comprensibile. Il Regolamento richiede una attuazione uniforme su tutto il territorio dell’Unione ma, allo stesso tempo, consente ampi poteri alle Autorità nazionali, sia in materia di codici di condotta che di certificazioni. Inoltre esse sono chiamate ad adottare Linee guida in molti settori.
Il meccanismo dell’Autorità capofila
Inoltre il nuovo GDPR prevede il meccanismo dell’Autorità capofila, da individuare secondo criteri determinati nell’art.56, la cui attività deve svolgersi in raccordo con altre Autorità nazionali interessate secondo quanto previsto dall’art.60, fermo restano l’eventuale intervento del Comitato europeo (EDPB).
Lo stesso vale per i meccanismi connessi alle procedure nazionali relative a all’eventuale elenco di trattamenti soggetti a valutazione di impatto, ai Codici di condotta e rilascio di certificati, clausole contrattuali o norme vincolanti di impresa. Potremmo continuare a lungo, soprattutto con riguardo ai compiti e alle competenze specifiche riservate allo EDPB.
I nuovi e ampi poteri dell’EDPB
Proprio in ragione dei nuovi e molto ampi poteri ad esso assegnati, questo Comitato è definito dall’art. 68 primo comma un organismo europeo dotato di personalità giuridica propria.
Esso è dunque a pieno titolo un European Body, con autonoma personalità nel quadro dell’Unione.
Sotto questo profilo il nuovo organismo si affianca al già esistente EDPS (European Data Protection Supervisor), istituito col Regolamento CE 45/2001, al quale però non si applica il GDPR.
Fino all’istituzione dell’EDPB, infatti, l’EDPS, pur essendo una Autorità con competenza limitata ai dati trattati dalle istituzioni, organi, uffici e agenzie della Comunità Economica (ora dell’UE), era pur sempre la sola Autorità di diritto europeo.
Con l’istituzione dell’EDPB il quadro cambia totalmente.
Dopo il 25 maggio 2018, infatti, gli organi europei che si occupano di protezione dei dati personali sono due e distinti tra loro per composizione, competenze e basi giuridiche che ne definiscono le competenze. Molto più importante, però è che l’EDPB è il solo organo europeo di protezione dei dati istituito e previsto dal Regolamento; il solo che riunisce tutte le Autorità nazionali; il solo che, sia pure soltanto nell’ambito dei suoi compiti, è chiamato a controllare che le Autorità nazionali applichino correttamente la nuova regolazione europea e a decidere sulle loro eventuali controversie di competenza…