Dopo il Congresso di Vienna tenutosi a maggio 2022, l’European Data Protection Board ha adottato lo scorso 14 luglio i criteri per l’identificazione dei casi transfrontalieri di particolare importanza strategica, ossia quei casi in cui è necessario che le Autorità di sorveglianza degli Stati Membri collaborino assieme per la tutela dei diritti degli interessati. Per quanto la notizia possa sembrare minore, è un passo importante un’ottica di una regolamentazione sempre più granulare del mercato europeo dei dati.
Il potere dei dati: le scelte dell’Europa per contare sullo scacchiere globale
Il Congresso di Vienna
Lo scorso 4 maggio 2022, i membri dell’European Data Protection Board (ossia quell’organismo europeo indipendente che è composto dai rappresentanti delle Autorità di sorveglianza nazionali degli Stati membri, da Islanda, Liechtenstein and Norvegia, cioè tre Paesi appartenenti allo Spazio Economico Europeo e dal Garante Europeo per la Protezione dei Dati) hanno concordato, fra le altre cose, di stabilire delle procedure di cooperazione che consentano alle Autorità nazionali e all’EDPB stesso di collaborare tra di loro.
Tanto, infatti, si è reso necessario per meglio perseguire gli obiettivi propri dell’EDPB, ossia di:
- identificare e classificare i casi di importanza strategica all’interno dei diversi Stati Membri, al fine di renderne prioritaria la trattazione a livello europeo;
- stimolare lo scambio di opinioni sui principi e sugli obblighi previsti dal GDPR;
- incentivare lo scambio di informazioni fra le Autorità, per semplificare la trattazione dei casi nazionali;
- creare un sistema efficace per la futura necessaria armonizzazione e applicazione coerente del GDPR e delle normative ad esso connesse (come la legislazione europea di recente approvazione in materia di trattamento, circolazione e utilizzo dei dati, ossia il Digital Markets Act, il Digital Services Act, il Data Act, l’AI Act e il Data Governance Act).
Il 14 luglio scorso, invece, l’EDPB ha annunciato di aver adottato di comune accordo i criteri per l’identificazione dei casi di importanza strategica, definendo, così, un framework comune all’interno del quale le Autorità di sorveglianza possano collaborare per la tutela dei diritti degli interessati.
Il meccanismo del one-stop-shop
Infatti, è il caso di ricordare che gli interessati godono della stessa tutela uniforme in tutti i Paesi dell’Unione Europea, dato che il GDPR si applica in ciascuno di essi. Proprio per questo, ove i loro diritti vengano violati, possono rivolgersi direttamente alla loro Autorità di sorveglianza (nel caso dell’Italia, ovviamente, all’Autorità Garante per la Protezione dei Dati Personali) dato che, come è noto, ognuna di esse non solo è responsabile dell’applicazione del GDPR, ma deve anche gestire le istanze presentate dai singoli interessati.
Ove, però, una istanza dia inizio a una procedura che si riguardi anche altri Stati membri, sarà onere dell’Autorità adita contattare le altre Autorità coinvolte per cooperare per la risoluzione del caso. Detto meccanismo viene definito dallo stesso EDPB “one-stop-shop”, dato che consente agli interessati di lamentare una violazione dei propri dati personali alla propria Autorità di sorveglianza, senza preoccuparsi di altro.
Come ulteriore estrinsecazione del suddetto meccanismo, l’EDPB ha annunciato che sarà adottato un modello unico per i reclami degli interessati, che, però, potrà essere adottato da ogni Autorità su base volontaria.
I criteri di identificazione dei casi strategici transfrontalieri
Ogni Autorità nazionale ha il compito di identificare regolarmente quali casi, fra quelli segnalati dagli interessati, possano essere qualificati quali casi transfrontaliero di importanza strategica utilizzando i criteri adottati lo scorso 14 luglio 2022 e che, quindi, necessitano di una collaborazione prioritaria e congiunta da parte delle Autorità coinvolte, con il supporto dello stesso EDPB.
Per procedere con l’accennata identificazione, le Autorità devono verificare la sussistenza di alcuni criteri che possono essere essenzialmente ricondotti a due distinte tipologie: quella dei criteri quantitativi e quella dei criteri qualitativi.
Dunque, per identificare un caso transfrontaliero di importanza strategica, occorre prendere in considerazione uno o più dei seguenti criteri:
- un problema strutturale o ricorrente in diversi Stati membri, in particolare se il caso riguarda una questione giuridica generale relativa all’interpretazione, all’applicazione o all’esecuzione del GDPR;
- un caso relativo alla commistione tra la protezione dei dati e altri ambiti giuridici;
- un caso che riguarda un gran numero di interessati in diversi Stati membri;
- un caso che coinvolge un numero elevato di reclami in diversi Stati membri;
- un caso riguardante una questione fondamentale che rientra nell’ambito della strategia EDPB;
- un caso in cui il GDPR implica l’assunzione di un rischio elevato, come ad esempio:
- il trattamento di categorie particolari di dati;
- trattamento di persone vulnerabili come i minori;
- situazioni in cui è richiesta una valutazione d’impatto sulla protezione dei dati (DPIA).
Ebbene, ove il caso in esame integri uno o più di uno dei suddetti criteri, l’Autorità di controllo che ha ricevuto l’istanza dall’interessato potrà proporre il caso alle altre Autorità. A questo punto, i Membri del Board decideranno se il caso può essere qualificato come caso di importanza strategica per l’Europa.
Ove il caso passi il vaglio del Board, la cooperazione fra le Autorità sarà prioritizzata e supportata dall’EDPB. In particolare, in un primo momento, i Garanti collaboreranno tra loro per scambiare le informazioni del caso, mentre la gestione dello stesso avverrà secondo le procedure e gli strumenti previsti dalla sezione 7 del GDPR.
Conclusioni
Dunque, la gestione dei casi di particolare importanza sarà d’ora in poi più fluida e immediata. Peraltro, ogni decisione assunta dall’Autorità capofila e dalle altre Autorità coinvolte, EDPB incluso, potrà essere di aiuto per la risoluzione dei casi similari in tutta Europa, visto che l’interpretazione del GDPR dovrà ritenersi quasi come “autentica”.
Insomma, a distanza di quattro anni dall’entrata in vigore del Regolamento Generale sulla Protezione dei Dati Personali, si sta delineando sempre più una collaborazione ancora più stretta all’interno dell’organismo che un tempo era conosciuto come Working Party 29 (o WP29) che non potrà che costituire un ulteriore baluardo per la difesa della privacy di ogni interessato.
