Gdpr e rapporti tra le autorità nazionali: il ruolo del meccanismo di coerenza

La natura sovranazionale del GDPR e l’esigenza di armonizzare e uniformare i comportamenti evitando asimmetrie applicative ed interpretative deve trovare, nel momento di formazione della volontà dell’Autorità capofila, il punto di contemperazione delle diverse posizioni.

Occorre necessariamente proprio in quella fase da parte di tutte le Autorità interessate, assicurare il massimo sforzo di collaborazione e scambio di informazione per avviare il più ampio confronto possibile con l’obiettivo primario di contemperare le divergenze ed assicurare una decisione condivisa. Evitare il contenzioso dovrebbe essere l’obiettivo primario di un percorso complesso delineato dal GDPR per risolvere conflitti.

Ma non solo: più in generale, il meccanismo di coerenza deve conferire quel respiro europeo che il Regolamento ha voluto introdurre nella protezione dei dati. È infatti parte integrante di un processo che trae origine da uno dei capisaldi del GDPR, l’art.3 che ne definisce l’ambito di applicazione territoriale^[1], elemento che, per concretamente ed efficacemente esplicarsi, presuppone una stretta cooperazione tra le Autorità di controllo competenti negli Stati membri, al fine di assicurare che il trattamento dei dati personali sia conforme alle prescrizioni del GDPR.

Occorre spingersi più in là; è auspicabile che le Autorità europee, cooperino insieme, anche oltre le materie indicate all’art.64 del GDPR e concretizzino l’obiettivo di una applicazione coerente del Regolamento in tutta l’Unione europea. Ma così anche contribuire alla sua evoluzione, al suo stare al passo con lo sviluppo tecnologico e i suoi rapidi mutamenti.

Tale auspicio è sicuramente evidente al Considerando 123 laddove si affida alle Autorità il compito di controllare l’applicazione del Regolamento e contribuire alla sua coerente applicazione in tutta l’Unione, così da tutelare le persone fisiche e facilitare la libera circolazione dei dati nel mercato interno.

Lo strumento, la piattaforma informatica che rende fattuale tale auspicio è costituita dall’IMI, il sistema di informazione del mercato interno, uno strumento online, multilingue e sicuro che facilita lo scambio di informazioni tra le Autorità pubbliche in sede di attuazione pratica della legislazione UE^[2] in diversi ambiti e aiuta le amministrazioni a rispettare gli obblighi di cooperazione amministrativa transfrontaliera nei vari settori politici del mercato unico e a garantire che il mercato unico funzioni in modo concreto le cui basi giuridiche vanno ricercate nelle specifiche direttive.

La procedura

Tutto il Capo VII del Regolamento è centrato sull’esigenza di stimolare e disciplinare l’interazione e la ricerca di buone pratiche tra le Autorità con diversa gradualità e caratteristiche:

• sezione 1: meccanismo di cooperazione e operazioni congiunte;
• sezione 2: meccanismo di coerenza.

Infatti, è stata al legislatore europeo evidente, fin da subito, l’esigenza di un meccanismo di armonizzazione che cogliesse da un lato le diversità inevitabili tra le posizioni delle Autorità dei paesi firmatari (troppo diverse normative) e dall’altro l’esigenza di un sua necessaria applicazione coerente. Infatti, il GDPR ha dedicato l’intero Capo a disciplinare, nel dettaglio, i casi in cui un’Autorità di controllo debba adottare una misura intesa a produrre effetti giuridici con riguardo ad attività di trattamento che incidono in modo sostanziale su un numero significativo di interessati in vari Stati membri.

Cooperazione e Autorità capofila

Il meccanismo di cooperazione introdotto dall’articolo 60 del GDPR si fonda sull’individuazione da un lato dell’Autorità di controllo^[3] capofila, dall’altro dello stabilimento principale^[4] del titolare del trattamento.

L’obiettivo della devoluzione di competenze a favore dell’Autorità capofila è quello di garantire in primo luogo all’interessato uno “sportello unico” a cui rivolgersi a sua tutela nei casi di trattamenti transfrontalieri di dati personali. Principio questo sancito dal paragrafo 6 dell´art. 56: “L’Autorità di controllo capofila è l’unico interlocutore del titolare del trattamento o del responsabile del trattamento in merito al trattamento transfrontaliero effettuato da tale titolare o responsabile” che ha stabilimenti in più di uno Stato membro oppure per trattamenti che incidono in modo sostanziale su interessati in più di uno Stato membro^[5].

L’Autorità capofila deputata ad attivare la procedura per verificare la conformità al GDPR dei trattamenti è quindi l’Autorità di controllo dello Stato^[6] dove ha sede lo stabilimento principale: ad essa viene trasferita la competenza da tutte le altre Autorità di controllo interessate, delle cui obiezioni pertinenti e motivate deve tener conto.

Si tratta di un meccanismo di co-decisione, in cui l’Autorità capofila è competente a emanare la (unica) decisione finale, ma è obbligata a interpellare tutte le Autorità interessate prima di assumere qualsiasi provvedimento che riguardi un titolare o responsabile al fine di raggiungere un consenso e garantire la coerenza. La cooperazione tra le Autorità di controllo interessate comprende lo scambio di informazioni, l’assistenza reciproca, nonché condurre operazioni congiunte, incluse indagini e misure di contrasto cui possono partecipare membri o personale di Autorità di controllo di altri Stati membri. Le Autorità di controllo devono gestire con precisione le richieste di informazioni provenienti da altre Autorità di controllo secondo la procedura dettagliata dall’art. 60 del GDPR^[7].

L’Autorità capofila deve trasmettere ogni informazione utile alle Autorità interessate, trasmettere loro senza indugio il progetto di decisione e tener conto delle opinioni rappresentate.

In particolare, le obiezioni pertinenti e motivate sollevate dalle altre Autorità entro un termine di quattro settimane dall’avvio della consultazione devono essere valutate dall’Autorità capofila. Il progetto di decisione rivisto alla luce delle osservazioni pervenute deve essere nuovamente inviato alle Autorità interessate per ottenerne il parere che deve essere espresso entro due settimane.

Se non pervengono obiezioni, la decisione è adottata dall’Autorità capofila e notificata al titolare, alle altre Autorità e al Comitato europeo per la protezione dei dati^[8] (di seguito: Comitato) e all’interessato

Nel caso in cui l’Autorità capofila non dia seguito all’obiezione o non la ritenga pertinente o motivata deve adire al Comitato attivando così il meccanismo di coerenza di cui all´art. 65.

La decisione del Comitato è vincolante per l’Autorità capofila e le Autorità interessate.

La decisione viene notificata al titolare che è tenuto ad adottare le misure necessarie per garantire la conformità alla decisione relativamente alle attività del trattamento nel contesto di tutti i suoi stabilimenti nell’UE

Il Regolamento stesso prevede alcune eccezioni: l’Autorità di controllo che riceve un reclamo (e quindi è, per definizione, un’Autorità “interessata”) può infatti far valere il carattere esclusivamente locale del caso e chiedere all’Autorità capofila di rinunciare alla propria competenza se l’oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro“^[9].

Operazioni congiunte

L’articolo 62 del GDPR prevede e regola altresì i casi in cui le Autorità conducono operazioni congiunte, incluse indagini e misure di contrasto, cui partecipano membri o personale di Autorità di controllo di altri Stati membri.

Il diritto di partecipare alle operazioni congiunte sorge qualora il titolare del trattamento o responsabile del trattamento abbia stabilimenti in diversi Stati membri o qualora esista la probabilità che il trattamento abbia un impatto negativo su un numero significativo di interessati in più di uno Stato membro. L’Autorità di controllo capofila (come individuata alla lettera b) invita l’Autorità di controllo di ogni Stato membro interessato a partecipare alle attività istruttorie e risponde senza ritardo alle richieste di partecipazione delle Autorità di controllo.

Ogni stato membro è competente a determinare poteri, anche d’indagine, dei membri o del personale dell’Autorità di controllo ospitata che partecipano alle operazioni congiunte o, in alternativa, a consentire ai membri o al personale dell’Autorità di controllo ospitata, di esercitare i loro poteri in conformità al diritto dello Stato membro dell’Autorità di controllo ospitata.

Il medesimo articolo fissa il principio che lo Stato membro dell’Autorità di controllo ospite si assume la responsabilità dell’operato, compreso l’obbligo di risarcimento, per i danni causati da detto personale nel corso delle operazioni, conformemente al diritto dello Stato membro nel cui territorio esso opera. Analogamente, dallo Stato membro dell’Autorità di controllo ospitata, il cui personale il cui personale ha causato danni a terzi, vengono rimborsati integralmente gli importi corrisposti agli aventi diritto per conto di detti terzi.

Meccanismo di coerenza

Perno essenziale del nuovo sistema dei rapporti tra le Autorità di controllo nazionali è il Comitato: organo titolare del compito fondamentale di garantire e controllare la corretta e coerente applicazione della nuova regolazione europea, è quello che assume decisioni vincolanti nei confronti di tutte le autorità di vigilanza nazionali in caso di controversie oltre a fornire orientamenti generali e chiarire il significato delle disposizioni.

Il Comitato è al centro (e decisore in ultima istanza) del meccanismo di coerenza, lo strumento, che concretizza la cooperazione tra le Autorità di controllo.

Tale meccanismo, come abbiamo visto nel paragrafo precedente, si attiva quando un’Autorità di controllo intenda adottare una misura intesa a produrre effetti giuridici con riguardo ad attività di trattamento che incidono in modo sostanziale su un numero significativo di interessati in vari Stati membri.

Infatti, interviene in caso di controversia ma anche quando un’Autorità di controllo interessata o la Commissione chiede che una questione sia trattata nell’ambito del meccanismo di coerenza. In caso di contrasto, in ultima analisi, il potere di adottare decisioni giuridicamente vincolanti è rimesso al Comitato.

Il meccanismo si applica per assicurare una interpretazione coerente del GDPR tra tutti gli Stati membri e può essere invocato da una Autorità o per favorire un’applicazione coerente delle sanzioni amministrative.

In particolare, l’Autorità di controllo si rivolge al Comitato quando la decisione:

• è finalizzata a stabilire un elenco di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati (articolo 35, paragrafo 4);
• riguarda una questione di cui all’articolo 40, paragrafo 7, relativa alla conformità al Regolamento di un progetto di codice di condotta o una modifica o proroga di un codice di condotta;
• è finalizzata ad approvare i requisiti per l’accreditamento di un organismo ai sensi dell’articolo 41, paragrafo 3, di un organismo di certificazione ai sensi dell’articolo 43, paragrafo 3, o i criteri per la certificazione di cui all’articolo 42, paragrafo 5;
• è finalizzata a determinare clausole tipo di protezione dei dati di cui all’articolo 46, paragrafo 2, lettera d), e all’articolo28, paragrafo 8;
• è finalizzata ad autorizzare clausole contrattuali di cui all’articolo 46, paragrafo 3, lettera a) oppure
• è finalizzata ad approvare norme vincolanti d’impresa ai sensi dell’articolo 47.

In tali casi il parere è adottato dal Comitato entro un termine di otto settimane a maggioranza semplice dei membri. Tale termine può essere prorogato di sei settimane, tenendo conto della complessità della questione.

L’Autorità di controllo tiene nella massima considerazione il parere del comitato e, entro due settimane dal ricevimento del parere, comunica per via elettronica, usando un modulo standard, al presidente del comitato se intende mantenere o modificare il progetto di decisione e, se del caso, il progetto di decisione modificato.

Se l’Autorità di controllo interessata informa il presidente del comitato, fornendo le pertinenti motivazioni, che non intende conformarsi al parere del comitato, in tutto o in parte, quest’ultimo dovrà adottare una decisione vincolante di cui all’art. 65 del Regolamento.

Ai sensi di tale norma del Regolamento il comitato adotta una decisione vincolante nei seguenti casi:

• se un’Autorità di controllo interessata ha sollevato un’obiezione pertinente e motivata a un progetto di decisione dell’Autorità capofila o l’Autorità capofila ha rigettato tale obiezione in quanto non pertinente o non motivata;
• se vi sono opinioni contrastanti in merito alla competenza delle Autorità di controllo interessate per lo stabilimento principale;
• se un’Autorità di controllo competente non richiede il parere del comitato o non si conforma al parere del comitato emesso a norma dell’articolo 64.

La decisione è adottata entro un mese dal deferimento della questione da parte di una maggioranza di due terzi dei membri del comitato. Tale termine può essere prorogato di un mese, in considerazione della complessità della questione.

La decisione del comitato è motivata e trasmessa all’Autorità di controllo capofila e a tutte le Autorità di controllo interessate ed è per esse vincolante.

La decisione è pubblicata senza ritardo sul sito web del comitato dopo che l’Autorità di controllo ha notificato la decisione definitiva.

L’art. 66 del GDPR prevede che in circostanze eccezionali, un’Autorità di controllo interessata, qualora ritenga che urga intervenire per proteggere i diritti e le libertà degli interessati, può, in deroga al meccanismo di coerenza adottare immediatamente misure provvisorie intese a produrre effetti giuridici nel proprio territorio, con un periodo di validità determinato che non supera i tre mesi. L’Autorità di controllo comunica senza ritardo tali misure e la motivazione della loro adozione alle altre Autorità di controllo interessate, al comitato e alla Commissione.

Qualora abbia adottato una misura e ritenga che urga adottare misure definitive, l’Autorità di controllo può chiedere un parere d’urgenza o una decisione vincolante d’urgenza del comitato, motivando tale richiesta.

Qualsiasi Autorità di controllo può chiedere, a seconda dei casi, un parere d’urgenza o una decisione vincolante d’urgenza del comitato qualora un’Autorità di controllo competente non abbia adottato misure adeguate in una situazione in cui urge intervenire per proteggere i diritti e le libertà degli interessati, motivando la richiesta di tale parere o decisione, in particolare l’urgenza dell’intervento.

In deroga all’articolo 64, paragrafo 3, e all’articolo 65, paragrafo 2 del Regolamento, il parere d’urgenza o la decisione vincolante d’urgenza di cui all’art. 66 sono adottati entro due settimane a maggioranza semplice dei membri del Comitato.

Il meccanismo di coerenza come armonizzazione di decisioni

Un chiaro esempio di richiesta di applicazione del meccanismo di coerenza, su iniziativa di una Autorità nazionale, con l’obiettivo esplicito di avviare una riflessione generale che deve essere condivisa con le altre Autorità, va ricercato nella richiesta avanzata dal Garante italiano a fine settembre di un intervento del Comitato dei regolatori in merito ad un caso che è stato sollevato da alcune aziende della grande distribuzione che si lamentavano di aver ricevuto richieste di trasferire ad una piattaforma privata dati personali e di consumo registrati nelle carte di fedeltà.

La piattaforma si propone come intermediaria nel rapporto tra aziende e utenti chiedendo, su delega di questi ultimi, di ottenere le informazioni personali custodite presso grandi imprese allo scopo di riunirle all’interno della propria banca dati.

Ad avviso del nostro Garante infatti la vicenda, che sottende anche il tema etico della commerciabilità dei dati, in quanto connessa all’attribuzione di un vero e proprio controvalore economico al dato personale, merita una riflessione generale da condividere con tutte le altre Autorità di protezione dei dati in modo che su un tema così rilevante ogni decisione sia coordinata e condivisa tra tutti.

L’impresa italiana, che gestisce la app e offre servizi di vario genere (offerte commerciali, analisti statistiche e di mercato), si propone infatti come intermediaria nel rapporto tra aziende e utenti chiedendo, su delega di questi ultimi, di ottenere le informazioni personali custodite presso grandi imprese allo scopo di riunirle all’interno della propria banca dati. Il che implica evidenti risvolti sulla corretta applicazione, da parte della società, del cosiddetto diritto alla “portabilità dei dati” introdotto dal nuovo GDPR, con l’ulteriore complicazione determinata dall’esercitare tale diritto mediante una delega e con il conseguente rischio di possibili duplicazioni delle banche dati oggetto di portabilità. L’altro aspetto segnalato dal Garante nella lettera riguarda il delicato tema della “commerciabilità” dei dati, causata dall’attribuzione di un vero e proprio controvalore al dato personale. Su entrambe le questioni, il Garante ha dunque chiesto al Comitato, che riunisce tutte le Autorità Garanti dell’Unione, di pronunciarsi.

Ma un tema sicuramente sfidante sul quale le Autorità e il Comitato saranno necessariamente chiamate a confrontarsi è quello delle sanzioni. In particolare, i criteri di determinazione delle sanzioni, anche alla luce delle prime determinazione delle Autorità, necessitano una riflessione.

Non sono sufficienti, vanno interpretati in maniera coesa, vanno individuate linee applicative e criteri effettivamente equi per evitare “isole felici”, presupposto per un fallimento dell’obiettivo unitario posto a fondamento dell’intera normativa.

___________________________________________________________________

1. Il Regolamento generale sulla protezione dei dati 2016/679 (nel testo: Regolamento o GDPR) si applica:ai trattamenti di dati personali effettuati da un titolare del trattamento o responsabile del trattamento che risiede nell’Unione, indipendentemente dal fatto che il trattamento stesso sia effettuato o meno nell’UE;ai trattamenti di dati personali di persone fisiche (interessati) che si trovano nell’Unione, effettuato da un titolare o responsabile del trattamento al di fuori dell’Unione quando:

   offrono beni e servizi ai residenti UE,

   monitorano il comportamento dei residenti UE. ↑

2. Attualmente l’IMI sostiene 56 procedure di cooperazione amministrativa in 14 settori politici diversi. Ha iniziato a funzionare nel 2008 in materia di riconoscimento delle qualifiche professionali (Direttiva 2005/36/CE), si è successivamente allargato al trasporto transfrontaliero di contante in euro (Regolamento 1214/2011) alla tutela dei diritti dei pazienti (direttiva 2011/24/UE), al commercio elettronico (Direttiva 2000/31/CE) agli appalti pubblici (direttive 2014/24/UE e 2014/25/UE) alla restituzione dei beni culturali (direttiva 2014/60/UE) ai Documenti pubblici (Regolamento 2016/1191). ↑
3. Il Capo VI, in particolare, prevede la costituzione di un´”Autorità di controllo” in ciascuno Stato membro (rinviando al legislatore nazionale la definizione delle modalità di nomina dei componenti e l’attribuzione di idonee risorse), fissa identici compiti e poteri per le Autorità (artt. 57 e 58) in tutti i Paesi Ue e introduce (art. 56) la nozione di “Autorità di controllo capofila”. ↑
4. Le definizioni di “stabilimento principale”, “trattamento transfrontaliero” e “Autorità di controllo interessata” sono contenute all´art. 4, rispettivamente paragrafi 16, 23 e 22 del regolamento. ↑
5. Per entrambi i concetti si fa riferimento alle Linee guida per l’individuazione dell’Autorità di controllo capofila in relazione a uno specifico titolare del trattamento o responsabile del trattamento adottate dal WG 29 Adottate il 13 dicembre 2016 ed emendate in data 5 aprile 2017 ↑
6. Nomina resa obbligatoria dall’art. 51 del GDPR. ↑
7. Il Regolamento n.1/2019 adottato dal Garante italiano all’articolo 18 disciplina i procedimenti transfrontalieri. ↑
8. Il Comitato europeo per la protezione dei dati previsto dalla Sezione terza del Capo VII del GDPR,  è composto da rappresentanti delle autorità nazionali per la protezione dei dati e dal Garante europeo della protezione dei dati. Ne fanno altresì parte le autorità di controllo degli Stati EFTA/SEE e la Commissione europea senza diritto di voto. ↑
9. art. 56, paragrafo 2 del GDPR ↑