Protezione dati, così il Gdpr armonizza la governance europea e nazionale

L’intero capo settimo del Regolamento Europeo 2016/679 sulla Protezione dei Dati (GDPR o Regolamento) è incentrato sui meccanismi di cooperazione e coerenza.

Coerenza e coesione tra le diverse autorità di controllo sono viste (e dettagliatamente disciplinate) come elemento necessario per garantire un’applicazione omogenea delle regole ed evitare asimmetrie applicative che possono scardinare il fondamento dell’azione della Commissione europea che partendo dal diritto alla protezione dei dati personali dell’individuo, a prescindere dalla sua nazionalità e residenza, quale diritto fondamentale, vuole assicurare una applicazione immediata e uniforme in tutti i paesi evitando anche di produrre possibili effetti giuridici discriminanti per quelle attività di trattamento (sempre più diffuse) che incidono in modo sostanziale su un numero significativo di interessati in vari Stati membri.

Tale obiettivo trova conferma nella dichiarata esigenza di fare un passo avanti rispetto alla Direttiva 95/46/CE, espressa nel Considerando 9 laddove si ravvisa che “Sebbene i suoi obiettivi e principi rimangono tuttora validi….non ha impedito la frammentazione dell’applicazione della protezione dei dati personali nel territorio dell’Unione, né ha eliminato l’incertezza giuridica o la percezione, largamente diffusa nel pubblico, che in particolare le operazioni on line comportano rischi per la protezione delle persone fisiche”

Occorre aggiungere che la ricerca di una efficace protezione dei dati personali in tutta l’Unione, da parte della Commissione, è resa evidente dalla scelta di un diverso strumento giuridico per intervenire: non più una Direttiva che anche solo per entrare in vigore deve necessariamente essere recepita dagli Stati membri^[1] ma un Regolamento esso stesso direttamente applicabile, sia pure con un congruo periodo prima della sua diretta efficacia e con un margine di manovra rimesso alla decisione degli Stati membri per tipologie e ambiti determinati.

Ma il GDPR non si è fermato in questo caso a fissare i principi: ha disciplinato in modo dettagliato le modalità operative attraverso le quali le autorità nazionali operano nei casi in cui i trattamenti, per motivazioni oggettive o soggettive, superano i confini nazionali.

E non solo: il GDPR rende manifestamente evidente la nascita di organismi sovranazionali con poteri di incidere direttamente nelle sfere che prima erano di competenza degli organismi nazionali ^[2].

Ne è palese la motivazione: l’Europa deve porsi come un corpo unico, armonico, almeno in quei settori di attività dove regole, o anche loro sfumature diverse, possono inceppare la macchina. Settori che vedono l’Europa tra USA e Cina, i due giganti che governano, per motivi diversi con obiettivi, politiche e metodi diversi, una quantità consistente di dati personali dei cittadini europei.

Il Comitato europeo per la protezione dei dati (EDPB)

Il GDPR segna l’istituzione di un organismo europeo indipendente dotato anche di poteri propri ed incisivi sulle realtà nazionali che deve contribuire all’applicazione coerente delle norme sulla protezione dei dati. Sostituisce il Gruppo dell’articolo 29 (Article 29 Working Party o WP29), gruppo di lavoro comune delle Autorità nazionali di vigilanza e protezione dei dati, istituito dall’art. 29 della Direttiva 46/95 CE. Il WP29 non aveva dignità di soggetto giuridico, anche se la Direttiva comunque ne garantiva l’indipendenza. Era sostanzialmente una struttura di consulenza che per più di venti anni ha svolto attività di coordinamento e supporto tra le Autorità nazionali con l’obiettivo di consentire una applicazione più uniforme possibile delle diverse leggi nazionali in vigore.

La sua attività è continuata fino al 24 maggio 2018, data di piena efficacia del GDPR, attraverso l’elaborazione di strumenti di “soft law” contenenti modalità e principi condivisi per favorire uniformità nell’applicazione delle leggi nazionali di recepimento della “vecchia” direttiva e, da ultimo, nell’applicazione del GDPR da parte dei diversi Stati.

Il WP29 era composto da un rappresentante delle diverse autorità nazionali, dal Garante europeo della protezione dei dati e da un rappresentante della Commissione. Il presidente era eletto dal Gruppo al suo interno con un mandato di due anni, rinnovabile una sola volta. Le sue decisioni erano adottate a maggioranza semplice dei rappresentanti delle autorità di controllo.

Oltre a fornire pareri agli Stati membri aveva il compito di:

• promuovere l’applicazione coerente della direttiva sulla protezione dei dati in tutti gli Stati membri dell’UE, nonché in Norvegia, Liechtenstein e Islanda^[3];
• fornire alla Commissione un parere sulle leggi comunitarie;
• fornire raccomandazioni a chiunque su questioni relative alla protezione delle persone con riguardo al trattamento dei dati personali e alla privacy nella Comunità europea.

Dopo la entrata in vigore del GDPR, il 25 maggio 2016, il WP29 ha continuato, sempre attraverso pareri e linee guida a preparare il terreno per consentire ai concetti e agli istituti più innovativi della nuova Regolazione di divenire efficaci. Senza tale attività, sicuramente, la difficile transizione sarebbe stata ancora più complessa e difficile.

Con il 25 maggio 2018 il Comitato europeo per la protezione dei dati (Comitato o EDPB) previsto dalla Sezione terza del Capo VII del GDPR, è divenuto il perno essenziale del nuovo sistema dei rapporti tra le Autorità di controllo nazionali: è il Comitato il vero organo titolare del compito fondamentale di garantire la applicazione corretta della nuova regolazione europea.

Nella sua prima riunione, il Comitato ha convalidato i documenti adottati dal WP29 con riferimento al GDPR.^[4]

Il Comitato è composto da rappresentanti delle autorità nazionali per la protezione dei dati e dal Garante europeo della protezione dei dati. Ne fanno altresì parte le autorità di controllo degli Stati EFTA/SEE^[5] per quanto riguarda le questioni connesse al regolamento generale sulla protezione dei dati (GDPR), senza però che i loro rappresentanti godano del diritto di voto o possano essere eletti presidente o vicepresidenti. Il comitato ha sede a Bruxelles. La Commissione europea e, per quanto riguarda le questioni connesse al regolamento generale sulla protezione dei dati, l’Autorità di vigilanza EFTA hanno titolo a partecipare alle attività e alle riunioni del comitato senza diritto di voto.

Il Garante europeo della protezione dei dati (EDPS)

Il nuovo organismo si affianca al già esistente EDPS (European Data Protection Supervisor), istituito col Regolamento CE 45/2001, le cui attribuzioni sono richiamate in alcuni paragrafi del GDPR.

Fino all’istituzione dell’EDPB, infatti, l’EDPS, pur essendo una Autorità con competenza limitata ai dati trattati dalle istituzioni, organi, uffici e agenzie della Comunità Economica, era la sola Autorità di diritto europeo.

Dopo il 25 maggio 2018, il quadro cambia: gli organi europei che si occupano di protezione dei dati personali sono due e distinti tra loro per composizione, competenze e basi giuridiche.

Rileva che l’EDPB è l’organismo europeo che riunisce tutte le Autorità nazionali, deputato a controllare che le Autorità nazionali applichino correttamente la nuova regolazione europea e ad assumere decisioni vincolanti nei confronti di tutte le autorità di vigilanza nazionali in caso di controversie, per garantire un’applicazione coerente della normativa europea sulla privacy, fornire orientamenti generali e chiarire il significato delle suddette disposizioni.

Entrambi gli organismi certamente, sia pure in tempi diversi, hanno lo scopo di contribuire all’applicazione omogenea e coerente delle norme contenute nel quadro normativo vigente in tutta l’Unione europea e promuove la cooperazione tra le autorità dell’UE in materia di protezione dei dati.

L’armonizzazione delle attività di EDPB e EDPS

E il Regolamento si preoccupa di armonizzarne le attività dei due corpi: infatti l’art. 75 del GDPR oltre ad affidare al Garante europeo il compito di fornire la Segreteria al Comitato, ne stabilisce i compiti di supporto all’attività, ne fissa l’esclusiva dipendenza gerarchica e gli obblighi di reciproca cooperazione da riportare in un Protocollo d’intesa tra i due organismi.

L’art. 75 del GDPR specifica infatti, ai paragrafi 2 e 3, che la struttura di segreteria messa a disposizione dell’EDPB debba seguire esclusivamente le istruzioni del Presidente del Board, e che il personale assegnato debba essere soggetto a linee gerarchiche diverse e separate rispetto al personale della Segretaria assegnato allo svolgimento dei compiti dell’EDPS.

Il medesimo articolo prevede ai paragrafi 5 e 6 i compiti specifici che questa segreteria deve svolgere a supporto dell’attività dell’EDPB.

Le attribuzioni, oltre al supporto in materia amministrativa, contabile e di analisi dei problemi, prevedono:

• rapporti e comunicazioni con altre istituzioni e pubblico;
• preparazione delle riunioni del Comitato e loro attuazione;
• preparazione, redazione e pubblicazione dei pareri e delle decisioni sulla composizione delle controversie.

È evidente la rilevanza e il ruolo che assume tale struttura: è il vero e proprio corpo amministrativo che elabora, confronta, attua le decisioni del Board.

Le possibili difficoltà di tale organizzazione delle due strutture contemporaneamente alla necessità di assicurare e garantire comunque la piena indipendenza e funzionalità dell’EDPB sono state affrontate dallo stesso GDPR all’art. 75 paragrafo 4, dove prevede che i due organismi stabiliscano e pubblichino un protocollo di intesa che vada a definire i termini della loro cooperazione nell’ambito delle decisioni relative all’articolazione della Segretaria. Il contenuto del protocollo si applica anche al personale e alle risorse finanziarie e strumentali che l’EDPS deve mettere a disposizione e alle dipendenze dirette dell’EDPB.

E tra i primi atti approvati dall’EDPB il 25 maggio 2018 troviamo il “Memorandum of undertstanding between the European Data Protection Board and the European Data Protection Supervisor” che ha fissato principi di netta separazione, anche relativamente all’accesso oltre che ai luoghi di lavoro, del personale della Segretaria; la ripartizione delle risorse umane, materiali e finanziarie da mettere a disposizione della struttura di supporto dell’EDPB saranno successivamente determinate, in dialogo tra le parti e in collaborazione con le strutture interne, e saranno essere rese pubbliche nella relazione annuale.

Il provvedimento prevede scambi di informazioni reciproche costanti in ordine ai trattamenti effettuati da ciascuno dei due organismi, agli strumenti anche tecnologici utilizzati, alle misure di sicurezza adottate da ciascuno dei due organi, ognuno nel proprio ambito di competenza.

Si noti come i due organismi europei di tutela dei dati personali pur nella loro diversità vadano a delineare una competenza sovranazionale non solo nella disciplina delle controversie ma anche e soprattutto nella fase di regolazione transfrontaliera proprio con l’obiettivo di prevenire gli stessi conflitti e di fare fronte comune.

Infatti, l’art. 70 del GDPR affida al Comitato, tra l’altro, i seguenti compiti:

• garantire e monitorare l’applicazione coerente del GDPR e ne assicura l’applicazione corretta del meccanismo di coerenza;
• fornire orientamenti generali (fra cui linee guida, raccomandazioni e migliori prassi) per chiarire le disposizioni normative;
• fornire consulenza alla Commissione europea su qualsiasi questione correlata alla protezione dei dati personali e a proposte normative nell’Unione europea;
• adottare strumenti di coerenza in casi transfrontalieri relativi alla protezione dei dati;
• promuovere la cooperazione e lo scambio efficace di informazioni e migliori prassi fra le autorità di controllo nazionali;
• elaborare una relazione annuale dell’attività svolta che dovrà essere pubblicata e inviata al Parlamento europeo, al Consiglio e alla Commissione.

Il Garante europeo istituito, come si è già detto, nel 2004 con il ruolo di garantire che le istituzioni e gli organi dell’UE rispettino il diritto dei cittadini alla tutela dei dati personali ha il compito di tutelare il rispetto delle norme in materia di protezione dati e, in particolare:

• controlla il trattamento dei dati personali da parte dell’amministrazione dell’UE allo scopo di assicurare il rispetto delle norme sulla privacy;
• fa da consulente per le istituzioni e gli organi dell’UE su tutti gli aspetti del trattamento dei dati personali e delle relative politiche e legislazione;
• gestisce le denunce e conduce indagini;
• collabora con le amministrazioni nazionali dei paesi dell’UE per assicurare la coerenza nell’ambito della protezione dei dati;
• controlla le nuove tecnologie che possono influire sulla protezione dei dati.

Il 2018 è stato un anno di svolta nella salvaguardia dei diritti fondamentali dei cittadini europei ma il lavoro di regolamentazione è appena iniziato. Sicuramente due sono le sfide che ci troviamo di fronte (anche se altre non mancano): un grande sforzo di sensibilizzazione e crescita della consapevolezza della collettività^[6], nella sua accezione più ampia, con iniziative concentrate sull’etica digitale e una diffusa cooperazione tra regolatori, che dovranno individuare, nelle nuove procedure e nei rinnovati organismi, gli strumenti per costruire un idem sentire europeo sul diritto fondamentale alla protezione dei dati personali.

______________________________________________________________________________________________

1. Le conseguenze del mancato rispetto dei termini di scadenza per il recepimento hanno, in realtà, un basso effetto deterrente. ↑
2. Evidenza che inizia a delinearsi che in altri settori: ad esempio in tema di energia laddove il Clean energy package affida a quello che era solo un organismo di coordinamento dei regolatori nazionali veri e propri compiti decisionali. ↑
3. Paesi facenti parte dello Spazio Economico Europeo (SEE). ↑
4. Sono le: Guidelines on consent (WP259 rev.01), Guidelines on transparency (WP260 rev.01), Guidelines on Automated individual decision-making and Profiling (WP251rev.01), Guidelines on Personal data breach notification (WP250 rev.01), Guidelines on the right to data portability (WP242 rev.01), Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” (WP248 rev.01), Guidelines on Data Protection Officers (‘DPO’) (WP243 rev.01), Guidelines for identifying a controller or processor’s lead supervisory authority (WP244 rev.01), Position Paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR, Working Document Setting Forth a Co-Operation Procedure for the approval of “Binding Corporate Rules” for controllers and processors under the GDPR (WP 263 rev.01), Recommendation on the Standard Application for Approval of Controller Binding Corporate Rules for the Transfer of Personal Data (WP 264), Recommendation on the Standard Application form for Approval of Processor Binding Corporate Rules for the Transfer of Personal Data (WP 265), Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules (WP 256 rev.01), Working Document setting up a table with the elements and principles to be found in Processor Binding Corporate Rules (WP 257 rev.01), Adequacy Referential (WP 254 rev.01), Guidelines on the application and setting of administrative fines (WP 253). ↑
5. Paesi facenti parte dell’ European Free Trade Association – Associazione Europea di Libero Scambio (EFTA): l’Islanda, il Liechtenstein, la Norvegia e la Svizzera. ↑
6. Come messo in luce dalla recente indagine europea sul GDPR (Special Eurobarometer 487/a, pubblicato a giugno di quest’anno), più di due terzi degli intervistati (67%) ne ha sentito parlare, ma solo il 36% sa di cosa si tratta. Peraltro in Italia queste percentuali scendono drasticamente: il 49% ha sentito parlare del GDPR (fa peggio solo la Francia col 44%) e appena il 17% con cognizione di causa. ↑