Con le Linee guida 9/2020, prendendo le mosse dalla definizione dell’art. 4 del GDPR, il Comitato europeo per la protezione dei dati personali (“EDPB”) ha chiarito in che occasione, nell’ambito di una procedura di cooperazione, si possa ritenere ricorrente una obiezione pertinente e motivata, andandone a tracciare i requisiti caratteristici.
Il Regolamento europeo n. 679/2016, meglio noto come GDPR, ha introdotto una nuova figura soggettiva di tipo amministrativo, la lead supervisory authority o “autorità di controllo capofila”, e con essa una peculiare procedura di investigazione e controllo ma anche di gestione dei reclami provenienti da parte dei singoli, ogniqualvolta ci si trovi in presenza di un trattamento transfrontaliero.
Le Linee Guida sono oggetto di pubblica consultazione.
La procedura di cooperazione
L’art. 56 ha previsto che in caso di trattamento transfrontaliero di dati personali o, in alternativa, di trattamento riguardante cittadini di più Stati membri, la supervisione circa la conformità del trattamento alla normativa, con conseguenti poteri di intervento ed indagine, nonché la gestione di eventuali reclami, spetti a una sola autorità di controllo, appunto l’autorità capofila.
Il GDPR ha quindi consentito a titolari e responsabili del trattamento di riferire ad una sola autorità di controllo in luogo di più autorità, facendo ricorso al principio di stabilimento già noto al diritto comunitario.
Le decisioni assunte dall’autorità capofila saranno direttamente applicabili anche negli altri Stati membri in cui il trattamento si svolge. Tuttavia, questo non deve indurre a pensare che la capofila individuata sia gerarchicamente sovraordinata rispetto alle autorità degli Stati membri presso cui il trattamento viene altresì posto in essere.
L’assunzione delle decisioni avviene, infatti, previo svolgimento della procedura di cooperazione tra le autorità, sostanzialmente basata sullo scambio di informazioni tra autorità amministrative dei singoli Paesi coinvolti e sull’azione congiunta delle stesse, in relazione alla quale la capofila svolge un ruolo direttivo.
Durante la procedura viene proposto da parte delle autorità un progetto di decisione sulla questione oggetto di controllo. È in questa fase che le singole autorità coinvolte possono rappresentare il proprio dissenso, o comunque avanzare le proprie argomentazioni.
Più nello specifico, l’autorità di controllo capofila, in prima istanza, avvia un flusso informativo alle autorità di controllo interessate: il dialogo che si instaura è finalizzato all’individuazione delle informazioni necessarie ai fini dell’elaborazione del progetto di decisione. Questa fase può essere identificata come la fase dell’informazione.
Il progetto di decisione predisposto dall’autorità di controllo capofila è sottoposto alle altre autorità di controllo interessate per ottenere il loro parere: trattasi di una proposta di decisione, suscettibile di osservazioni da parte delle singole autorità destinatarie.
Laddove una delle autorità coinvolte nella procedura di cooperazione non condivida ovvero intenda svolgere osservazioni sul progetto predisposto, questa potrà sollevare un’obiezione “pertinente e motivata” entro il termine stabilito dalla norma, ovvero di quattro settimane.
A questo punto l’autorità di controllo capofila potrà
- ritenere pertinente e motivata l’obiezione e procedere dandovi seguito, pertanto trasmettendo un progetto di decisione riveduto alle altre autorità di controllo interessate per ottenere il loro parere, entro due settimane;
- rimettere l’obiezione al meccanismo di coerenza.
Nel secondo caso, il Comitato europeo per la protezione dei dati è tenuto a tempestivamente assumere una decisione vincolante per stabilire se l’obiezione è “pertinente e motivata” e, in caso affermativo, su tutte le questioni oggetto dell’obiezione.
Con le guidelines del 12 ottobre scorso, l’EDPB ha fornito chiarimenti sul significato da attribuire ai termini “pertinente e motivata” e, come vedremo, non solo.
Quando si può dire una obiezione “pertinente e motivata”?
Bisogna partire dall’art. 4 n. 24 del GDPR, a mente del quale si intende: “un’obiezione al progetto di decisione sul fatto che vi sia o meno una violazione del presente regolamento, oppure che l’azione prevista in relazione al titolare del trattamento o responsabile del trattamento sia conforme al presente regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli interessati e, ove applicabile, alla libera circolazione dei dati personali all’interno dell’Unione ”.
In linea generale, l’EDPB afferma che l’obiezione dovrebbe mirare, prima di tutto, a far notare come e perché, secondo l’autorità di controllo che la rileva, il progetto di decisione non affronti in modo adeguato la violazione accertata e/o non preveda azioni appropriate nei confronti del titolare o del responsabile del trattamento.
Il grado di dettaglio dell’obiezione dovrebbe seguire la stessa analiticità presentata dal contenuto del progetto di decisione, ma anche dal coinvolgimento dell’autorità nella cooperazione.
Sin dall’incipit delle proprie linee guida, l’EDPB pone l’accento sulla fase dell’informazione, poiché l’accertamento della ricorrenza delle condizioni per ritenere pertinente e motivata e come tale ammissibile l’obiezione non potrà non dipendere dallo stato dell’informazione delle parti coinvolte: solo mediante l’informazione, infatti, l’autorità può effettivamente ottenere un’approfondita comprensione del caso, e solo a seguito di questa potrà dunque eventualmente formulare il proprio dissenso.
In questo senso il Comitato, pur riconoscendo come l’obiezione non possa essere considerata lo strumento per porre rimedio ad un insufficiente grado di informazione nella fase iniziale del procedimento di cooperazione, tuttavia ritiene che si tratti di un’opzione aperta per rimediare anche (presunte) carenze in termini di coinvolgimento delle singole autorità amministrative nella procedura.
L’obiezione deve essere pertinente e motivata: le due caratteristiche devono coesistere, non potendo l’obiezione difettare di una di esse. Nel seguito, le precisazioni del Comitato su ciascuna.
La pertinenza
L’obiezione è da considerarsi pertinente quando presenta un nesso diretto con il progetto di decisione in questione. Più specificamente, l’obiezione deve essere circostanziata alla violazione del GDPR o alle azioni da intraprendere nei confronti del titolare o del responsabile. Deve, quindi, essere strettamente aderente all’oggetto per cui viene predisposta la decisione.
Per questo motivo, l’obiezione non potrà presentare forma generica o prendere in considerazione solo commenti o obiezioni astratte o di ampia portata.
Il Comitato chiarisce che il fatto che l’obiezione debba riguardare in senso stretto l’oggetto del progetto di decisione non esclude la possibilità che mediante la stessa venga discusso il ragionamento giuridico posto alla base delle conclusioni raggiunte dall’autorità capofila nell’elaborazione del progetto, a condizione però che le considerazioni sull’iter logico siano comunque – appunto – pertinenti all’obiettivo.
L’obiezione deve inoltre essere influente: se accolta, essa deve essere idonea a condurre ad una diversa conclusione in merito all’esistenza di una violazione del GDPR o all’azione da intraprendere.
La motivazione
L’obiezione sarà invece motivata quando adeguatamente fornita di chiarimenti e argomentazioni sul motivo posto alla base della proposta una modifica della decisione (ovvero i presunti errori di fatto/giuridici della bozza di decisione).
Tali argomentazioni dovranno essere corroborate da elementi di fatto e di diritto.
Non solo: l’obiezione dovrà rappresentare i rischi che l’accoglimento del progetto di decisione potrebbe comportare nella sua forma non modificata.
Per questo motivo, sarebbe opportuna l’indicazione delle parti specifiche che si contestano, anche al fine di agevolarne l’emendamento e la valutazione con riferimento alle conseguenze.
In punto di dettaglio della motivazione, sarebbe auspicabile, secondo l’EDPB, esaurire con l’obiezione la rappresentazione delle circostanze contestabili, pur tuttavia residuando il termine stabilito dall’articolo 60, paragrafo 4, del GDPR, per la comunicazione di ulteriori informazioni relative all’obiezione sollevata.
Infine, il Comitato ritiene che per essere considerata completa, e quindi adeguatamente motivata, l’obiezione debba sostanziarsi in una nuova proposta sulla questione discussa.
Il contenuto
Tenuto conto del fatto che l’obiezione potrà riguardare una violazione del GDPR o in alternativa l’azione proposta dalla capofila con riferimento al trattamento transfrontaliero di riferimento, il suo contenuto potrebbe consentire l’individuazione di lacune nel progetto di decisione che giustifichino la necessità di ulteriori indagini da parte della lead supervisory authority. Ad esempio, l’autorità di controllo nazionale potrebbe rilevare che l’indagine condotta dalla capofila ha ad oggetto aspetti differenti rispetto a quelli messi in evidenza dal singolo interessato in punto di reclamo, con conseguente inadempienza della stessa. Di certo, sostiene il Comitato, occorrerà distinguere tra, da un lato, le indagini avviate dall’autorità, dall’altro, le indagini scaturite da denunce o da segnalazioni di potenziali violazioni da parte di interessati.
Anche in questa occasione, pur senza porre divieti, il Comitato ha precisato come l’allineamento delle parti sull’oggetto del progetto di decisione debba avvenire principalmente durante la fase dell’informazione e l’obiezione dovrebbe essere considerata come ultima risorsa per porre rimedio ad un presunto insufficiente coinvolgimento delle stesse nella fase precedente del processo.
Quanto, invece, al difetto di competenza dell’autorità di vigilanza capofila, esso non sarebbe pertinente ai sensi dell’articolo 60.
Per contro, il ricorso al meccanismo di coerenza è consentito per promuovere l’uniforme applicazione di sanzioni amministrative pecuniarie da parte delle autorità di controllo dei Paesi membri. Pertanto, è possibile che l’obiezione contesti gli elementi su cui si è fatto affidamento per calcolare l’importo dell’ammenda. Senz’altro, l’EDPB dovrà tenere in considerazione i parametri di cui all’art. 83, paragrafi 1 e 2, del GDPR.
I rischi
L’obiezione ha l’obbligo di dimostrare la significatività del rischio posto dalla bozza di decisione con riferimento prima di tutto a diritti e libertà degli interessati.
Il Comitato in questo senso richiama il considerando 129 del GDPR:
“È opportuno che i poteri delle autorità di controllo siano esercitati nel rispetto di garanzie procedurali adeguate previste dal diritto dell’Unione e degli Stati membri, in modo imparziale ed equo ed entro un termine ragionevole. In particolare ogni misura dovrebbe essere appropriata, necessaria e proporzionata al fine di (…), tenuto conto delle circostanze di ciascun singolo caso, rispettare il diritto di ogni persona di essere ascoltata prima che nei suoi confronti sia adottato un provvedimento individuale che le rechi pregiudizio ed evitare costi superflui ed eccessivi disagi per le persone interessate”.
Dunque, l’obiezione deve pronunciarsi, tra l’altro, sull’adeguatezza, la necessità e la proporzionalità delle misure ponderate nel progetto di decisione.
Diversamente, a parere del Comitato, un’obiezione che dimostra i rischi connessi esclusivamente in relazione alla libera circolazione dei dati personali, ma non ai diritti e alle libertà degli interessati, non può essere considerata integrare la definizione di cui all’articolo 4, paragrafo 24, del GDPR.
Il meccanismo di coerenza
Ciascuno Stato membro è tenuto a designare l’autorità amministrativa di controllo tenuta a partecipare al meccanismo, sì da garantire in maniera effettiva la cooperazione con altre autorità di controllo, il Comitato Europeo e la Commissione.
L’autorità di controllo competente può comunicare un progetto di decisione al Comitato Europeo quando la decisione è finalizzata a stabilire un elenco di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati, quando riguarda la conformità al GDPR di un progetto di codice di condotta o una modifica o proroga di un codice di condotta, quando ha ad oggetto l’approvazione di criteri per l’accreditamento di un organismo, quando è finalizzata a determinare clausole tipo di protezione dei dati o, infine, quando essa è finalizzata ad autorizzare clausole contrattuali tra il titolare del trattamento ed il destinatario dei dati personali in un Paese terzo o in un’organizzazione internazionale, o norme vincolanti d’impresa.
In questi casi, l’autorità di controllo provvede alla predisposizione di un progetto di decisione che trasmette al Comitato europeo per ottenerne il parere. L’autorità di controllo tiene nella massima considerazione il parere del Comitato: la posizione espressa dal Comitato può, infatti, influire in termini di modifica ed integrazione sul progetto di decisione. Nell’ipotesi in cui l’autorità di controllo non condivida il parere del Comitato, in tutto o in parte, questo dovrà adottare una decisione vincolante di cui all’art. 65 del GDPR.
