Il GDPR prevede un meccanismo di coerenza, ex Art 63, gestito dal Comitato europeo per la protezione dei dati (European Data Protection Board – EDPB), organismo indipendente dell’UE dotato di personalità giuridica e composto dai Presidenti delle Autorità di controllo degli Stati facenti parte dello Spazio Economico Europeo, dal Presidente dell’Autorità europea per la protezione dei dati, e partecipato, senza diritto di voto, da un rappresentante della Commissione UE. I compiti dell’Ente sono specificamente indicati all’Art. 70 GDPR e tutte le sue attività hanno come obiettivo il garantire l’uniforme e coerente applicazione del Regolamento (funzione nomofilattica dello EDPB) in tutti i Paesi dell’Unione. Il Comitato consente, altresì, al titolare del trattamento di avere un organismo di riferimento univoco, senza dover negoziare con le varie autorità di controllo dell’Unione.
L’Art. 51, par. 1, (Autorità di controllo) del Regolamento n. 2016/679 UE (GDR) recita «Ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di sorvegliare l’applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all’interno dell’Unione (l’”autorità di controllo”).»; il par. 2 specifica che «Ogni autorità di controllo contribuisce alla coerente applicazione del presente regolamento in tutta l’Unione. A tale scopo, le autorità di controllo cooperano tra loro e con la Commissione, conformemente al Capo VII.»
Inoltre, per ciò che riguarda i trattamenti transfrontalieri – è il caso di ricordare e ribadire che il Considerando 123 del GDPR stabilisce che le Autorità di controllo «dovrebbero controllare l’applicazione del GDPR e contribuire alla sua coerente applicazione in tutta l’Unione, così da tutelare le persone fisiche in relazione al trattamento dei loro dati personali e facilitare la libera circolazione di tali dati nel mercato interno».
Vediamo l’inquadramento dei contenuti del Capo VII del GDPR (in particolare della cooperazione ex Art. 60 GDPR e della coerenza ex Art. 63 GDPR).
Le attività di sorveglianza e coerenza del GDPR
Si tratta di una tematica un po’ trascurata ma senz’altro importante e sempre di maggiore attualità – una delle principali innovazioni del GDPR – anche riguardo a quanto indicato dal Considerando 1 del GDPR «La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea («Carta») e l’articolo 16, paragrafo 1, del trattato sul funzionamento dell’Unione europea («TFUE») stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.».
Le attività di sorveglianza, di cooperazione e coerenza sono essenziali per il conseguimento degli scopi del GDPR e sono necessarie per il raggiungimento degli obiettivi – imperativi propri della natura stessa del GDPR – di uniformità e omogeneizzazione dell’applicazione del Regolamento, attività che sarebbero (sono) oltremodo complesse in considerazione dei diversi articolati normativi degli Stati membri della UE “figli” dell’abrogata Direttiva 95/46 (relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati), sui quali il GDPR non ha potuto incidere in modo diretto. Obiettivi irraggiungibili per il tramite delle 30 Autorità autonome dello Spazio Economico Europeo (lo ricordiamo. Paesi UE oltre a Islanda, Liechtenstein e Norvegia) scollegate, aventi giurisdizione limitata ai confini statali e caratterizzate, nella loro azione, anche da specificità derivanti dalle singole normative nazionali, integrative rispetto al GDPR.
Quindi – in sintesi – il legislatore europeo ha riscritto il ruolo delle Autorità nazionali di controllo per assicurare certezza del diritto, omogeneità di soluzioni e di approccio e facilitazione alle Imprese, introducendo specificità per un’Autorità di controllo definita “capofila” e il meccanismo del c.d. “sportello unico” o del c.d. “one stop shop” che si applica se:
- il Titolare/Responsabile del trattamento opera in più Stati dell’Unione europea;
- il trattamento dei dati, pur effettuato da un Titolare/Responsabile con sede in un solo Stato UE, incide in modo sostanziale su interessati residenti in più di uno Stato membro dell’Unione.
Tali previsioni sono tese sostanzialmente a contemperare la competenza unica dell’Autorità capofila (ex Art. 5 par. 1 GDPR) con il principio di prossimità e il diritto a un ricorso giurisdizionale effettivo sanciti dall’Art. 47 della Carta dei diritti fondamentali della UE e, più in generale, con quanto disposto in materia di protezione dei dati dal citato Art. 16 TFUE, che costituisce una delle basi giuridiche del GDPR.
Le competenze dell’Autorità di controllo capofila (LSA)
Partiamo dalle competenze dell’Autorità di controllo capofila o Lead Supervisory Authority (LSA), ex Art. 56 GDPR.
Prima di tutto per individuare una LSA occorre stabilire se ci troviamo in presenza di un “trattamento transfrontaliero” di soggetti privati – caso esclusivo di applicazione dell’Art. 60 GDPR (Cooperazione) – così come definito dall’Art. 4, n. 23, GDPR ovvero:
- «trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile siano stabiliti in più di uno Stato membro»;
- «trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro».
Successivamente, si deve individuare in luogo ove si trova lo stabilimento principale o unico (Art. 4 p. 16 GDPR) del Titolare del trattamento dei dati o del Responsabile del trattamento dei dati, o meglio il luogo effettivo dove il Titolare/Responsabile adotta le decisioni sulle finalità dei trattamenti e definisce i mezzi del trattamento dei dati personali. L’Autorità di controllo dello Stato del luogo così individuato è competente ad agire in qualità di LSA per i trattamenti transfrontalieri effettuati dal Titolare/Responsabile ma, comunque, ogni Autorità di controllo nazionale (Considerando 127 GDPR) rimane – in via eccezionale – competente per la gestione dei reclami a essa proposti e per le violazioni GDPR se l’oggetto riguarda o incide unicamente in uno stabilimento con sede nel suo Stato oppure incide unicamente sugli interessati del proprio Stato, rimanendo obbligata a informare la LSA.
Quest’ultima, entro 21 giorni (ex Art. 56 par. 3 GDPR), dovrà decidere se trattare il caso secondo quanto stabilito dall’Art. 60 GDPR (Cooperazione tra l’autorità di controllo capofila e le altre autorità di controllo interessate). Qualora tale decisione fosse assunta dall’Autorità di controllo, potrà presentare alla LSA un “progetto di decisione” mentre, in caso contrario, l’Autorità di controllo tratterà il caso in conformità a quanto disposto dagli Artt. 61 (Assistenza reciproca) e 62 (Operazioni congiunte) GDPR. Comunque, la LSA resta l’unico interlocutore del Titolare del trattamento o del Responsabile del trattamento.
Possono verificarsi situazioni particolarmente complesse nelle quali risulta difficile individuare uno stabilimento principale o stabilire dove sono prese le decisioni in merito al trattamento dei dati. In questi casi o il Titolare/Responsabile indica ove si trova lo stabilimento principale e/o il centro decisionale (tale indicazione può sempre essere sindacata dalle Autorità di controllo, sulla base dei criteri sopra evidenziati) oppure la Società non potrà usufruire dello “sportello unico” e quindi si troverà ad affrontare il GDPR su più “fronti”.
La cooperazione tra la LSA e le altre Autorità di controllo
L’Art. 60 GDPR – che evidentemente ha natura procedurale – al primo paragrafo stabilisce che la LSA collabora con le altre Autorità di controllo con l’impegno di raggiungere il consenso scambiandosi tutte le informazioni utili e trasmettendo loro un “progetto di decisione” (eventuali obiezioni al progetto da parte delle Autorità di controllo entro 4 settimane e successive 2 per le obiezioni al nuovo “progetto di decisione”, salve le richieste di intervento allo EDPB: ulteriori 4 o, se pratiche complesse, 8 settimane aumentabili fino a 10).
E nei paragrafi dal 2 al 7 stabilisce che le decisioni della LSA possono riguardare molte disposizioni del GDPR al fine di garantire l’effettività delle misure come, ad esempio: i “poteri correttivi” ex Art. 58, par. 2 GDPR (ammonimenti, ordinanze, ingiunzioni di ottemperare, sanzioni pecuniarie); la consultazione preventiva in merito all’esito di una valutazione d’impatto (DPIA) ex Art. 36, par. 2 GDPR e i reclami ex Art. 77 GDPR. Tali decisioni verranno notificate allo stabilimento principale (o unico) del Titolare/Responsabile e verranno informate le altre Autorità di controllo interessate, lo EDPB e, in caso di reclamo, il reclamante mentre, in caso di rigetto del reclamo, lo stesso viene notificato al reclamante informando il Titolare. Tutto questo previa presentazione da parte della LSA di un “progetto di decisione”.
La procedura di cooperazione non prevede una tempistica determinata quanto alla sua conclusione perché, se da un lato l’Art. 60 GDPR indica tempi molto precisi (eventuali obiezioni al progetto da parte delle Autorità di controllo entro 4 settimane e successive 2 per le obiezioni al nuovo “progetto di decisione” salve le richieste di intervento allo EDPB: ulteriori 4 o, se pratiche complesse 8 settimane aumentabili fino a 10), dall’altro non ne pone (es.: termine di presentazione del “progetto di decisione” da parte della LSA; termine di presentazione del “progetto di decisione” rivisitato alla luce delle obiezioni delle Autorità di controllo; termine di adozione della decisione; termine per adire allo EDPB).
Quindi tempi sostanzialmente indefiniti e procedura soggetta – di fatto – solo alle normative nazionali di funzionamento dell’attività amministrativa, a cui anche l’Autorità di controllo è soggetta, che prevedono, in assenza di termini, solo l’obbligo di motivazione dei tempi impiegati.
Un interessante caso particolare riguarda i casi di archiviazione o rigetto totale o parziale di un reclamo proposto dall’interessato. In questi casi la LSA esperisce le azioni relative al Titolare/Responsabile, la notifica allo stabilimento principale (o unico) e informa il reclamante, mentre l’Autorità di controllo dello Stato membro del reclamante adotta la decisione e gliela notifica informando il Titolare, in modo da consentire al reclamante di adire alla giustizia ordinaria del proprio Stato per impugnare la decisione.
Il meccanismo di coerenza nel GDPR
Per raggiungere l’obiettivo dell’applicazione coerente del GDPR la metodologia prevista dallo stesso consiste nella cooperazione attraverso il “meccanismo di coerenza” (ex Art. 63 GDPR) che prevede, in ogni caso, l’intervento dello EDPB quale elemento unificatore e armonizzante risolutore di eventuali controversie tra le Autorità di controllo. È del tutto evidente che la cooperazione e la coerenza siano strettamente correlate: la cooperazione, come abbiamo visto mira alla ricerca del consenso, mentre il “meccanismo di coerenza” è un intervento obbligatorio, ma pur sempre residuale, nei casi nei quali non sia stato trovato il consenso fra le varie Autorità o non vi sia stata piena cooperazione. Quindi, in via principale, viene avviata la cooperazione e, in via secondaria, sovviene l’intervento strumentale dello EDPB, organismo in grado di imporre decisioni vincolanti alle singole Autorità.
In sostanza il “meccanismo di coerenza” ha la duplice veste di strumento correttivo del “meccanismo di cooperazione”, da un lato, e, dall’altro, si pone come presupposto di liceità necessario per tutte quelle misure delle Autorità nazionali che devono passare il “filtro” dello EDPB (trattamenti transfrontalieri e mancato consenso). Pertanto, tutte i provvedimenti adottati dalle Autorità nazionali e dall’LSA senza rispettare l’obbligo di coerenza, sancito dall’Art. 63 GDPR, saranno automaticamente illegittime (vedi Considerando 138).
Conclusioni
Ritengo che gli Artt. 60 e 63 del GDPR siano da annoverarsi tra gli elementi fondanti della disciplina europea sulla protezione dei dati personali. È solo dal rispetto di tali regole che si dà concretezza al concetto d’integrazione europea, assicurando un canone interpretativo di valenza generale, garantendo trattamenti dei dati personali equivalenti in tutti gli Stati membri e la piena mobilità all’interno dello Spazio Economico Europeo. Non dimentichiamo che queste esigenze, già improcrastinabili, divengono giorno dopo giorno sempre più pressanti, grazie alle nuove tecnologie e all’impiego di strumenti di intelligenza artificiale, che prescindono completamente dalla dimensione nazionale dei trattamenti.
L’esercizio delle attività economiche sul territorio europeo deve basarsi sul principio di leale concorrenza e deve, comunque, svolgersi in modo tale da assicurare un livello coerente ed elevato di protezione delle persone fisiche, dei loro diritti e delle loro libertà, sotto la sorveglianza di Autorità nazionali di controllo che agiscono sotto una comune visione e in maniera coordinata.
Vale la pena, in chiusura, riportare quanto indicato nel Considerando 135 «È opportuno istituire un meccanismo di coerenza per la cooperazione tra le autorità di controllo, al fine di assicurare un’applicazione coerente del presente regolamento in tutta l’Unione. Tale meccanismo dovrebbe applicarsi in particolare quando un’autorità di controllo intenda adottare una misura intesa a produrre effetti giuridici con riguardo ad attività di trattamento che incidono in modo sostanziale su un numero significativo di interessati in vari Stati membri. È opportuno che il meccanismo si attivi anche quando un’autorità di controllo interessata o la Commissione chiede che tale questione sia trattata nell’ambito del meccanismo di coerenza. Tale meccanismo non dovrebbe pregiudicare le misure che la Commissione può adottare nell’esercizio dei suoi poteri a norma dei trattati.»