pulsante lavora con noi studio essepi

Consulenza e formazione. Dal 1995 un punto di riferimento per aziende e professionisti.

Magazine

Dati personali: il principio di coerenza nel GDPR

Dati personali: il principio di coerenza nel GDPR

In materia di trattamento dei dati personali, il principio di coerenza, previsto nel GDPR 2016/679, ha l'obiettivo di garantire maggiore adeguatezza e uniformità del regolamento, tra le Autorità di controllo dei diversi Paesi europei.

L'art. 63 del GDPR, infatti, precisa: "Al fine di contribuire all'applicazione coerente del presente regolamento in tutta l'Unione, le autorità di controllo cooperano tra loro e, se del caso, con la Commissione mediante il meccanismo di coerenza stabilito nella presente sezione".

Gestito dal Comitato europeo per la protezione dei dati, si tratta di uno strumento giuridico volto ad armonizzare le diverse normative dei Paesi firmatari, disciplinando la procedura nei casi di controversia sui dati personali che coinvolgono più Stati membri dell’Ue.

Vediamo maggiori dettagli, in questo articolo.

Principio di coerenza: Garante Privacy e Autorità capofila

Il Capo VI del GDPR prevede la costituzione di una "Autorità di controllo" per ciascuno Stato membro (art. 54) e fissa identici compiti e poteri per le Autorità in tutti i Paesi Ue.

In Italia è il Garante per la protezione dei dati personali (Garante Privacy) a ricoprire tale ruolo. L’autorità di controllo gestisce i reclami e le eventuali violazioni al regolamento europeo e delle norme nazionali sulla protezione dei dati, riguardanti attività che avvengono sul suolo nazionale. Oppure, quando gli esiti incidono sostanzialmente sugli interessati in quell’unico Stato.

Invece, per misure legislative che producono effetti giuridici anche sugli altri Stati membri, per esempio il trasferimento di dati personali all’estero, si attua il principio di coerenza.

In particolare, quando:

  • il soggetto titolare del trattamento opera in più Stati dell’Unione Europea;
  • riguarda un "trattamento transfrontaliero", ovvero il titolare del trattamento dei dati personali ha sede in uno Stato ma le sue attività incidono sugli interessati residenti in altri Stati europei.

In questi casi, l’Autorità di controllo dello Stato in cui ha sede principale il soggetto diventa Autorità di controllo capofila (LSA, Leading Supervision Authority) la quale agisce come “unico interlocutore del titolare del trattamento o del responsabile del trattamento in merito al trattamento transfrontaliero effettuato da tale titolare o responsabile” (art. 56 par. 6).

Tale competenza, trasferita dagli altri organi di controllo nazionali, è realizzata attraverso il “principio dello sportello unico” (o one-stop-shop), utile soprattutto a stabilire la lead authority nei casi di gruppi di imprese o multinazionali con più soggetti cointestatari del trattamento.

L’Autorità capofila ha il diritto di emanare decisioni vincolanti per le altre autorità, quindi estese a tutti i Paesi europei. Ecco perché è fondamentale un principio applicativo e interpretativo coerente.

Principio di coerenza GDPR: procedura di attuazione

Come detto, il meccanismo di coerenza attiva procedure di cooperazione tra Autorità di controllo e di coordinamento delle dinamiche legislative, per giungere a una via univoca valida su tutto il suolo europeo.

In particolare, la collaborazione tra Autorità di controllo può contemplare:

  • scambio di informazioni tra Autorità di controllo e capofila;
  • assistenza reciproca mediante attività istruttorie dell’Autorità di controllo sul proprio territorio;
  • richiesta di operazioni congiunte di indagine, in cui l’Autorità di controllo ospitata esercita pieni poteri in conformità dello Stato membro.

Una volta che l’Autorità capofila ha presentato il progetto di decisione, i Garanti nazionali possono sollevare obiezioni pertinenti e motivate entro 4 settimane dall’inizio delle consultazioni.

Nell’ipotesi di opinioni contrastanti, o quando si rende necessario un protocollo coerente, il Comitato europeo per la protezione di dati (EDPB - European Data Protection Board) diventa l’organo decisore attraverso il meccanismo di coerenza: esamina gli argomenti di controversia ed emette un parere a maggioranza dei suoi membri.

Come indicato all’articolo 64, un’Autorità di controllo può rivolgersi al Comitato quando la decisione:

  • è finalizzata a stabilire un elenco di trattamenti soggetti al requisito di valutazione d’impatto sulla protezione dei dati;
  • riguarda una questione relativa alla conformità al Regolamento di un progetto di codice di condotta, oppure una modifica o proroga di un codice di condotta;
  • è finalizzata ad approvare i requisiti per l’accreditamento di un organismo (ai sensi dell’art. 41, par. 3), di un organismo di certificazione (ai sensi dell’art. 43, par. 3), o i criteri per la certificazione (di cui all’art.42, par. 5);
  • è finalizzata a determinare clausole tipo di protezione dei dati (di cui all'articolo 46, par. 2, lettera d, e all'articolo 28, par. 8):
  • è finalizzata ad autorizzare clausole contrattuali, di cui all’art. 46, par. 3, lettera a);
  • è finalizzata ad approvare norme vincolanti d’impresa (ai sensi dell’art. 47).

A questo punto, gli esiti possono essere di due tipi: l’Autorità di controllo interessata, che ha dato avvio al reclamo, mantiene o modifica il progetto di decisione, tenendo in massima considerazione il parere del comitato. Oppure, comunica di non volersi conformare, in tutto o in parte, a tale parere.

Principio di coerenza GDPR: decisione vincolante ed eccezioni

Senza un allineamento giuridico, il Comitato adotta una decisione vincolante nei casi in cui:

  1. un'autorità di controllo interessata ha sollevato un'obiezione pertinente e motivata a un progetto di decisione dell'autorità di controllo capofila, e quest’ultima non ha dato seguito all'obiezione (oppure l’ha rigettata in quanto non pertinente o non motivata);
  2. vi sono opinioni contrastanti in merito alla competenza delle autorità di controllo interessate per lo stabilimento principale;
  3. un'autorità di controllo competente non richiede il parere del comitato (nei casi di cui all'articolo 64, paragrafo 1) oppure non si conforma al parere del comitato emesso a norma dell'articolo 64.

Dal momento che l’obiettivo è quello di assicurare un’interpretazione adeguata del GDPR tra tutti gli Stati membri, l’art. 66 ne disciplina anche le circostanze eccezionali: “Qualora ritenga che urga intervenire per proteggere i diritti e le libertà degli interessati, un'autorità di controllo interessata può […] adottare immediatamente misure provvisorie intese a produrre effetti giuridici nel proprio territorio, con un periodo di validità determinato che non supera i tre mesi”.

Conseguente alle misure provvisorie, l’Autorità di controllo può richiedere al Comitato europeo una misura di applicazione definitiva attraverso un parere d’urgenza o una decisione vincolante d’urgenza.

Nell’ottica di offrire importanti informazioni per i professionisti della protezione dei dati, da giugno 2020 è disponibile online il registro europeo delle decisioni delle autorità di controllo, con dati sulle questioni dibattute e le Autorità di controllo interessate.

La protezione e il trattamento dei dati personali è un tema complesso, che molte aziende ancora oggi sottovalutano, senza comprendere, in realtà, che sono in gioco informazioni sensibili (di clienti, fornitori, partner, ecc.) e che si rischiano sanzioni anche pesanti da parte del Garante.

Vuoi essere certo che la tua attività stia rispettando le normative su privacy e utilizzo dei dati sensibili? Contattaci ora e richiedi la consulenza di un nostro professionista.


banner ebook studio essepi 


sara-bittesnik-studio-essepi  

Scritto da: Sara Bittesnik


Consulente e formatrice specializzata in igiene alimentare, sistemi di gestione e privacy, amante di cucina ed enologia.





Chiamaci

045 8621499