Comitato Europeo per la Protezione dei Dati (CEPD – EDPB)

Inquadramento

Il Comitato europeo per la protezione dei dati (CEPD) o European Data Protection Board (EDPB) è un organismo europeo indipendente, dotato di personalità giuridica, ciò proprio a garanzia che lo stesso sia un organismo indipendente dell’unione così come previsto dallo stesso art. 68 e dal considerando 139 al GDPR (esso è dunque a pieno titolo un European Body, con autonoma personalità nel quadro dell’Unione).

È l'organizzazione sotto la cui egida si riuniscono le Autorità nazionali per la protezione dei dati personali (Autorità nazionali di controllo) dei paesi dello Spazio economico europeo (dunque i paesi UE, più Norvegia, Islanda e Liechtenstein), nonché il Garante europeo della protezione dei dati (EDPS).

È stato istituito dal Regolamento UE 2016/679 (GDPR), ed ha sostituito il Working Party art. 29 (istituito dall’art.29 della Direttiva 46/95 CE); le sue caratteristiche e il funzionamento sono disciplinati al Capo VII, sezione 3, artt. 68-76 GDPR).

Il comitato e la sua indipendenza

L’articolo 68, unitamente al Considerando 139, prevede alcuni punti chiave:

• il Comitato è composto dalla figura di vertice di un'autorità di controllo per ciascuno Stato membro e dal garante europeo della protezione dei dati, o dai rispettivi rappresentanti;
• qualora, in uno Stato membro, più autorità di controllo siano incaricate di sorvegliare l'applicazione delle disposizioni del presente regolamento, è designato un rappresentante comune conformemente al diritto di tale Stato membro;
• la Commissione ha il diritto di partecipare alle attività e alle riunioni del Comitato senza diritto di voto. La Commissione designa un rappresentante ed il presidente del Comitato comunica alla Commissione le attività dello stesso;
• nei casi di Composizione delle controversie da parte del Comitato (art. 65), il garante europeo della protezione dei dati ha diritto di voto solo per decisioni che riguardano principi e norme applicabili a istituzioni, organi, uffici e agenzie dell'Unione che corrispondono nella sostanza a quelli del presente regolamento.

L’indipendenza del Comitato viene sancita specificamente dall’art 69. Al suo secondo paragrafo viene disciplinata l’unica eccezione a tale principio, chiarendo  cosa debba intendersi per indipendenza: in particolare, viene chiarito che, salve le richieste di consulenza della Commissione Europea in merito a qualsiasi questione riguardante alla protezione dei dati personali nell’Unione (comprese eventuali proposte di modifica del GDPR), il EDPB nell'esecuzione dei suoi compiti o poteri non debba “sollecitare né accettare istruzioni da alcuno”.

Tuttavia l’indipendenza del Comitato non significa che questo non possa subire controlli di legittimità in merito ai propri atti, che possono avviene ad opera della Corte di Giustizia dell’UE -  in applicazione del meccanismo di controllo previsto dall’art. 263 del TFUE – la quale giudica la legittimità di ogni atto destinato a produrre effetti giuridici nei confronti di terzi.

Vale la pena notare che, stando al testo in inglese del primo periodo dell’art 70 GDPR “The Board shall ensure the consistent application of this Regulation“, il termine “coerente” - così letteralmente tradotto dall’inglese (traduzione ufficiale) - in realtà potrebbe venire altresì inteso anche come “corretta”, in quanto il complessivo sistema delle norme che disciplinano il Comitato, lascia intendere che a quest’ultimo siano deputate attività che vanno oltre una mera funzione di controllo, ma lascino spazio, altresì, ad ampi margini di interpretazione autentica della disciplina.

Il Regolamento, infatti, ha dato largo spazio alle Autorità di controllo ed in particolare al EDPB, espandendo e rafforzando il loro ruolo. La ragione è principalmente giuridica, ed è subordinata al fatto che il regolamento, in quanto direttamente applicabile in tutti i Paesi dell’Unione, necessità di essere “integrato” nelle legislazioni nazionali (e non essere “attuato”, ponendo maggiori problemi di armonizzazione tra i vari Paesi Membri), così da applicarlo in maniera uniforme, a prescindere dalle differenze legate alle leggi nazionali. Il Comitato, di concerto con le altre autorità, ha dunque il compito di gestire il modo in cui questa regolamentazione viene applicata dalle consorelle, imponendo un dialogo costante tra le stesse ed al contempo una reciproca indipendenza.

In sintesi, le Autorità per la  protezione dei dati sono responsabili dell'applicazione del diritto in materia di protezione dei dati a livello nazionale e transfrontaliero, cooperando tra loro attraverso il meccanismo dello sportello unico.

Compiti e doveri del comitato (art. 70)

Cosa fa il EDPB?

Il Comitato non si limita a pubblicare linee guida sull’interpretazione dei concetti fondamentali del GDPR, ma è chiamato anche a pronunciarsi con decisioni vincolanti sulle controversie relative al trattamento transfrontaliero, così da garantire un’applicazione uniforme delle norme dell’UE evitando che lo stesso caso possa essere trattato in modo diverso nelle varie giurisdizioni.

In sintesi il Comitato, ai sensi dell’art. 70 GDPR:

• fornisce una guida generale (compresi orientamenti, raccomandazioni e migliori pratiche) per chiarire il GDPR;
• adotta conclusioni coerenti, volte a garantire che il GDPR sia interpretato in modo uniforme da tutti gli organismi di regolamentazione nazionali, ad esempio nei casi riguardanti due o più paesi;
• incoraggia le autorità nazionali preposte alla protezione dei dati a collaborare e condividere informazioni e migliori pratiche.

In particolare:

• monitora il GDPR e ne assicura l’applicazione corretta nei casi in cui il Comitato debba emettere pareri o nei casi di composizione delle controversie come disciplinati dagli artt. 64 e 65;
• può altresì esaminare – di propria iniziativa o su richiesta di uno dei suoi membri o della Commissione europea – ogni questione attinente all’applicazione del GDPR;

• fornisce consulenza alla Commissione Europea: sulle questioni riguardanti la protezione dei dati e qualsiasi nuova normativa dell'UE di particolare importanza per la protezione dei dati personali, comprese eventuali proposte di modifica al GDPR; ai requisiti dei meccanismi di certificazione della protezione dei dati personali; all’adeguatezza del livello di protezione di un paese terzo o un’organizzazione internazionale; ai codici di condotta;

• pubblica linee guida, raccomandazioni e migliori prassi
  • per chiarire e promuovere una comprensione comune della normativa UE in materia di protezione dei dati es. in materia di procedure per la cancellazione di link, copie o riproduzioni di dati personali dai servizi di comunicazione accessibili al pubblico di cui all’art. 17, par. 2, GDPR, nel rispetto degli obblighi di cancellazione di cui il titolare del trattamento è soggetto);
  • per specificare ulteriormente i criteri e le condizioni delle decisioni basate sulla profilazione ai sensi dell’art. 22, par. 2; quest’ultimo articolo, in particolare, esplica i casi in cui non si applica il divieto di sottoporre l’interessato a decisioni automatizzate tra cui la profilazione;
  • per accertare la violazione di dati personali e determinare l’ingiustificato ritardo di cui all’art. 33, parr. 1 e 2, e le circostanze particolari in cui il titolare del trattamento o il responsabile del trattamento è tenuto a notificare la violazione dei dati personali; il Comitato, ai sensi della lett. g dell’art. 70, ha il compito di chiarire quando possa ritenersi congruo il lasso temporale trascorso dalla violazione alla notifica (per il primo caso) e/o quando il titolare non incorra in un ”ingiustificato ritardo”.
  • relative alle circostanze in cui una violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche di cui all’art. 34, par. 1; il EDPB inquadra le situazioni ove una violazione costituisca un rischio elevato per i diritti e le libertà delle persone fisiche;
  • al fine di specificare ulteriormente i criteri e i requisiti dei trasferimenti di dati personali basati sulle norme vincolanti d’impresa applicate, rispettivamente, dai titolari del trattamento e dai responsabili del trattamento, nonché gli ulteriori requisiti per assicurare la protezione dei dati personali degli interessati di cui all’art. 47 GDPR; a tal proposito si menzionano la Raccomandazione adottata in data 14.11.2022 dal European Data Protection Board (EDPB) n. 1/2022 avente ad oggetto le norme vincolanti d’impresa (meglio note come “BCR”: binding corporate rules), strumento utilizzabile da parte delle organizzazioni appartenenti a un medesimo gruppo imprenditoriale ex art. 4, n. 19 GDPR ovvero da un gruppo di imprese che svolgono un’attività economica comune, ivi incluso il relativo personale dipendente, per il trasferimento dei dati personali, in ossequio al Capo V;
  • per stabilire procedure comuni per le segnalazioni da parte di persone fisiche di violazioni del presente regolamento ai sensi dell’art. 54, par. 2 (GDPR), definendo i doveri di riservatezza dei membri di ogni autorità di controllo, sia durante che dopo il loro mandato.
• adotta pareri indirizzati alla Commissione europea o alle Autorità nazionali di controllo:
  • sulla valutazione dell’adeguatezza del livello di protezione in un paese terzo, al fine di specificare ulteriormente i criteri ed i requisiti dei trasferimenti di dati personali che forniscano garanzie adeguate al trasferimento, oltre a pareri sulle icone e sui requisiti di certificazione;
  • allo scopo di garantire la coerenza delle attività delle Autorità nazionali in questioni transfrontaliere (articolo 64 del GDPR). Se le autorità non rispettano un parere emesso dal EDPB, quest’ultimo può adottare una decisione vincolante;
  • su determinati progetti di decisione delle autorità di controllo.

Oltre a ciò, il Comitato deve adottare decisioni vincolanti in tre casi. Si tratta perlopiù della risoluzione di controversie tra autorità di controllo:

• se un’autorità di controllo interessata ha sollevato un’obiezione ad un progetto di decisione dell’autorità capofila o l’autorità di controllo capofila ha rigettato tale obiezione (meccanismo di sportello unico);
• se vi sono opinioni contrastanti su quale autorità di controllo sia la capofila;
• se un’autorità di controllo non richiede il parere del Comitato (parere necessario secondo il meccanismo di coerenza) o non si conforma al parere del Comitato.

In ogni caso, il Comitato trasmette pareri, linee guida, raccomandazioni e migliori prassi alla Commissione e al Comitato di cui all’art. 93 GDPR (il Comitato che assiste la Commissione), e li pubblica.

L’EDPB viene citato altresì nel Codice Privacy – così come novellato dal d. lgs. n. 101/2018 – all’art. 2-septies, “Misure di garanzia per il trattamento di dati genetici, biometrici e relativi alla salute”; la norma prevede che il Garante Privacy sia tenuto ad emanare un provvedimento che individui le misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute, tenuto conto delle linee guida, migliori prassi e raccomandazioni emanate dal Comitato; tale norma fa emergere il ruolo pregnante del Comitato sul ruolo delle autorità dei singoli Stati.

Relazioni (Art. 71)

Il Comitato redige una relazione annuale sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali nell’Unione e, se del caso, nei paesi terzi e nelle organizzazioni internazionali. La relazione è pubblicata ed è trasmessa al Parlamento europeo, al Consiglio e alla Commissione.

La relazione annuale include la valutazione dell’applicazione pratica delle linee guida, raccomandazioni e migliori prassi di cui all’articolo 70, paragrafo 1, lettera l), GDPR, nonché delle decisioni vincolanti di cui all’articolo 65 (riguardante la composizione delle controversie).

Inoltre il regolamento interno del Comitato (adottato ai sensi dell’art. 72, paragrafo secondo in data 23/11/2018) statuisce all’art. 35 che il Comitato pubblichi una relazione annuale sul proprio sito web, che viene resa disponibile in inglese; mentre la relativa sintesi viene messa a disposizione in tutte le lingue ufficiali dell’UE.

Procedure (Art. 72)

L’art. 72 GDPR prevede che il Comitato decida a maggioranza semplice dei suoi membri, salvo sia diversamente previsto dallo stesso regolamento. Al secondo paragrafo viene previsto che il Comitato adotti il proprio regolamento interno, nella quale stabilisce le modalità del proprio funzionamento, deliberando a maggioranza di due terzi dei suoi membri.

Il Comitato opera secondo i principi guida così come indicati all’art. 3 del Regolamento Interno e di seguito elencati:

• Principio di indipendenza e imparzialità: conformemente al principio di indipendenza sancito dall’articolo 69 GDPR, il Comitato opera in modo imparziale e con totale indipendenza nell’esecuzione dei suoi compiti o nell’esercizio dei suoi poteri.
• Principi di buona governance, integrità e buona condotta amministrativa: prevede che il Comitato operi nell’interesse pubblico - in qualità di organismo esperto, affidabile e autorevole nel settore della protezione dei dati - con validi processi decisionali e una sana gestione finanziaria.
• Principio di collegialità e inclusività: il Comitato è organizzato ed opera collettivamente come organo collegiale.
• Principio di cooperazione: prevede che il Comitato promuova la cooperazione tra le autorità di controllo e si impegni ad operare, ove possibile, per consenso, nel rispetto del GDPR e della direttiva sulla protezione dei dati destinata alla polizia ed alle autorità giudiziarie penali.
• Principio di trasparenza, il Comitato opera nella maniera più trasparente possibile, in modo da essere più efficace e più responsabile nei confronti delle persone, e illustra le proprie attività in un linguaggio chiaro e accessibile a tutti.
• Principio di efficienza e modernizzazione: attuato utilizzando nuove tecnologie atte a rendere più efficienti gli attuali metodi di lavoro, ad esempio per ridurre al minimo le formalità e fornire un sostegno amministrativo efficace.
• Principio di proattività: il Comitato, di propria iniziativa, prevede e sostiene soluzioni innovative per contribuire a superare le sfide digitali in materia di protezione dei dati, garantendo così, per mezzo dell’effettiva partecipazione delle parti interessate (membri, osservatori, personale ed esperti invitati), di tenere pienamente conto di esigenze e aspirazioni reali.

Presidenza e composizione (Artt. 73, 74, 75)

La composizione del Comitato è disciplinata dagli artt. 73, 74 e 75 e completata dall’art. 4 del regolamento interno.

L'art 73 GDPR prevede che “Il Comitato elegge un presidente e due vicepresidenti tra i suoi membri a maggioranza semplice Il presidente e i vicepresidenti hanno un mandato di cinque anni, rinnovabile una volta..”. Attualmente il EDPB è guidato dalla Presidente, Anu Talus, e da due Vicepresidenti, Irene Loizidou Nicolaidou e Aleid Wolfsen.

I compiti del presidente sono definiti al successivo art. 74 e sono:

1. convocare le riunioni del Comitato e stabilirne l’ordine del giorno;
2. notificare le decisioni adottate dal Comitato a norma dell’art. 65 all’autorità di controllo capofila e alle autorità di controllo interessate;
3. assicurare l’esecuzione tempestiva dei compiti del Comitato, in particolare in relazione al meccanismo di coerenza di cui all’articolo 63.

Al paragrafo 2 viene poi stabilito che il Comitato europeo stabilisce nel proprio regolamento interno la ripartizione dei compiti tra presidente e vicepresidenti.

L'EDPB dispone altresì di un Segretariato, come previsto dall’art. 75 GDPR e dall’art. 14 del regolamento interno, con sede a Bruxelles.

In particolare, il Garante europeo della protezione dei dati (EDPS) mette a disposizione il segretariato al Comitato; il compito del Segretariato è quello di fornire sostegno analitico, amministrativo e logistico al Comitato stesso. Ai sensi dell’articolo 75, paragrafo 2, il segretariato svolge i propri compiti seguendo esclusivamente le istruzioni del presidente del Comitato.

Lo stesso regolamento interno, all’art. 17, rubricato “sistema d’informazione e di comunicazione interna”, prevede che il Segretariato del Comitato metta a disposizione un sistema di informazione e comunicazione a sostegno dello scambio elettronico di documenti nell’ambito dei meccanismi di cooperazione.

Inoltre il protocollo d’intesa, siglato in data 25/5/2018, specifica ulteriori compiti in capo al segretariato, prevedendo che si occupi:

• dell’organizzazione delle riunioni del EDPB;
• del trattamento delle richieste di accesso pubblico ai documenti;
• della sicurezza delle informazioni;
• delle attività di informazione e comunicazione, del mantenimento dei rapporti con la stampa e della redazione e pubblicazione di comunicati stampa, della produzione di contenuti web o social, di materiale audiovisivo e/o presentazioni;
• delle relazioni pubbliche con le altre istituzioni, compresa la rappresentanza  del consiglio di amministrazione dinanzi ai tribunali;
• della traduzione dei documenti del EDPB, conformemente al Regolamento interno del EDPB.

Riservatezza

Ai sensi dell’articolo 76 GDPR, nel caso in cui il Comitato europeo lo ritenga necessario, le deliberazioni possono avere carattere riservato, come ulteriormente previsto dal regolamento interno.

Quest’ultimo, nello specifico all’art. 33 “Riservatezza delle discussioni”, stabilisce che le discussioni del Comitato e dei sottogruppi di esperti abbiano carattere riservato quando: a) riguardano una persona specifica; b) riguardano il meccanismo di coerenza; c) il Comitato decide che le discussioni su un determinato argomento debbano rimanere riservate (ad esempio quando vertono sulle relazioni internazionali e/o nei casi in cui l’assenza di riservatezza comprometterebbe gravemente il processo decisionale dell’istituzione, a meno che vi sia un interesse pubblico prevalente alla divulgazione), oltre a prevedere, al paragrafo 2, che il presidente o i coordinatori dei sottogruppi di esperti adottino le misure atte a garantire la riservatezza.

Riferimenti

General Data Protection Regulation (EU GDPR);

COMITATO EUROPEO PER LA PROTEZIONE DEI DATI REGOLAMENTO INTERNO - Versione 8; Adottato il 25 maggio 2018. Modificato da ultimo ed adottato il 6 aprile 2022(https://www.edpb.europa.eu/our-work-tools/our-documents/rules-procedure/rules-procedure-version-8_it);

https://www.edpb.europa.eu/edpb_it