Dalle maxi sanzioni inflitte a Meta un'importante lezione per i DPO

Come è noto, uno dei nodi importanti affrontato dal GDPR è stato quello di assicurare che fossero chiari i rapporti tra le autorità di protezione dei dati dei vari paesi, sia sotto il profilo della ripartizione delle competenze tra esse, che sotto quello della conformità dei criteri adottati per applicare le norme del Regolamento UE, e sia per gli aspetti relativi alla qualificazione degli eventuali trattamenti illeciti di dati, che alla definizione delle sanzioni da adottare.

A questo fine, il Capo VI del GDPR contiene una sezione apposita (la seconda), intitolata “Competenza, compiti e poteri”, che all’art.56 specifica la competenza della Autorità di controllo Capofila, individuata nell’autorità dello Stato della UE in cui ha sede lo stabilimento unico o lo stabilimento principale del titolare o del responsabile del trattamento nell’ambito della UE.

E' vero inoltre che il paragrafo 2 dell’art. 56 prevede che nel caso in cui il trattamento riguardi solo uno stabilimento situato in uno Stato membro o solo interessati residenti in uno Stato membro, allora la competenza è della Autorità di questo Stato, ma è vero anche che il paragrafo 3 del medesimo articolo impone alla Autorità dello Stato di informare entro tre settimane la Autorità Capofila, la quale a sua volta ha tre settimane per decidere se intende o meno trattare essa stessa il procedimento, applicando la procedura prevista dall’art. 60 del Regolamento.

I compiti del Comitato Europeo per la Protezione dei Dati

Nel caso in cui la Autorità capofila intenda trattare essa stessa il caso, ne informa la Autorità dello Stato, che a sua volta ha la possibilità di presentare alla Autorità capofila un suo progetto di decisione. In ogni caso, la Autorità di controllo capofila deve cooperare con tutte le autorità nazionali interessate e tenere nel massimo conto le loro opinioni, e ai sensi dell’art.60 deve, a tal fine, trasmettere alle altre autorità interessate un progetto di decisione per avere il loro parere.

Se una o più delle altre autorità sollevano obiezioni e la autorità capofila non intende accoglierle, allora quest’ultima deve ricorrere al meccanismo di coerenza disciplinato dalla Sezione 2 del Capo VII. In tal caso, la decisione è di competenza del Comitato Europeo per la Protezione dei Dati (European Data Protection Board) disciplinato nella Sezione 3 del Capo VII. Il Comitato è, ai sensi dell’art.68, un organismo dell’Unione composto dai rappresentanti delle autorità degli stati membri e dal Garante Europeo per la protezione dei dati (EDPS).

I compiti del Comitato sono numerosi, ed esso è anche organo di consulenza della Commissione UE. In particolare, esso può pubblicare linee guida sui temi che ritiene più importanti e che a suo giudizio più richiedano, con particolare riguardo alla interpretazione e applicazione dello stesso GDPR. Il Board europeo emette pareri vincolanti in tutti i casi previsti dall’art.65, assicurando così appunto la coerenza delle decisioni adottate dalle autorità nazionali, e in primo luogo dalle autorità capofila negli ambiti di loro competenza.

Ovviamente, quanto detto è solo un richiamo, necessariamente sintetico e anche frettoloso, al contenuto del GDPR. Esso però è, crediamo, sufficiente a ricordare che il meccanismo di coerenza è stato voluto, insieme alla istituzione dello European Data Protection Board, proprio come garanzia che il meccanismo della autorità capofila fosse sufficiente ad evitare che i titolari dei trattamenti potessero scegliersi a loro piacere la autorità competente a controllarli, semplicemente scegliendo di collocare la loro sede principale in UE nel paese con la autorità garante più favorevole alle loro prassi.

Per proseguire la lettura di questa interessante analisi di Francesco Pizzetti - Presidente Autorita' Garante per la protezione dei dati personali (18 aprile 2005- 17 giugno 2012).  Professore ordinario di diritto costituzionale a Torino e docente alla Luiss - questo il link