Comitato Europeo per la Protezione dei Dati, adottata la prima decisione a norma dell'art. 65 del Gdpr

MILANO - Nel corso della sua 41a sessione plenaria, il Comitato Europeo per la protezione dei dati ha adottato, a maggioranza di 2/3 dei membri, la prima decisione che ha per oggetto la risoluzione di una controversia ai sensi dell'articolo 65 del RGPD.

La decisione, la cui natura è vincolante, intende risolvere la controversia sorta a seguito di un progetto di decisione emesso dall'autorità di controllo irlandese, in qualità di autorità di controllo capofila, nei confronti a Twitter International Company e delle obiezioni pertinenti e motivate (RRO) formulate successivamente da alcune autorità di controllo interessate.

L'autorità di controllo irlandese  ha emesso il progetto di decisione a seguito di indagini e accertamenti d’ufficio condotti nei confronti di Twitter International Company, dopo che la società aveva notificato una violazione di dati personali all'autorità di controllo l’8 gennaio 2019.

Lo scorso mese di maggio, l'autorità di controllo irlandese ha condiviso il suo progetto di decisione con le autorità di controllo interessate a norma dell'articolo 60 (3) del RGPD. Le autorità di controllo interessate disponevano di quattro settimane per presentare le rispettive obiezioni pertinenti e motivate (RRO). Sono state quindi presentate RRO riguardanti, tra l'altro, le violazioni del RGPD individuate dall'autorità di controllo capofila, il ruolo di Twitter International Company in qualità di (unico) titolare del trattamento dei dati e la quantificazione della sanzione pecuniaria proposta.

Una questione complessa

Avendo respinto le obiezioni e/o ritenuto che non fossero "pertinenti e motivate", l'autorità capofila ha deferito la questione al comitato a norma dell'articolo 60 (4) del RGPD, avviando in tal modo la procedura di risoluzione delle controversie. A seguito del deferimento da parte dell'autorità capofila, è stata valutata la completezza del fascicolo e successivamente si è proceduto all'avvio formale della procedura ex articolo 65, in data 8 settembre 2020. In conformità dell'articolo 65, paragrafo 3, del RGPD e in combinato disposto con l'articolo 11, paragrafo 4, del regolamento interno del Comitato, il termine di un mese previsto in via generale per l’adozione della decisione è stato prorogato di un altro mese a causa della complessità della questione.

Il 9 novembre 2020, il Comitato ha adottato la sua decisione vincolante e a breve la notificherà formalmente all'autorità di controllo irlandese. L'autorità irlandese adotta la sua decisione definitiva, indirizzata al titolare del trattamento, sulla base della decisione del Comitato, senza indebito ritardo, e al più tardi entro un mese dalla notifica della decisione da parte del comitato stesso. L'autorità capofila e le autorità di controllo interessate comunicano al comitato la data di notifica al titolare della decisione definitiva. A seguito di tale notifica, il Comitato pubblicherà la sua decisione sul proprio sito web.