Intervento di Franco Pizzetti, professore ordinario di Diritto Costituzionale all’Università di Torino, già presidente dell’Autorità Garante per la Privacy dal 2005 al 2012
Il nuovo Comitato europeo per la protezione dei dati – EDPB – ha poteri e compiti molto più ampi, alla luce del GDPR. E’ il perno essenziale del nuovo sistema dei rapporti tra le Autorità di controllo nazionali; il vero organo titolare del compito fondamentale di garantire la applicazione del Regolamento europeo.
Il 25 maggio 2018 ha tenuto la sua prima riunione il nuovo Comitato europeo per la protezione dei dati (EDPB), previsto dalla Sezione terza del Capo VII del GDPR, dedicato alle norme relative all’obbligo di coerenza e collaborazione tra le Autorità nazionali di controllo.
L’importanza dell’EDPB è evidente dato che è il vero organo europeo titolare del compito fondamentale di garantire la applicazione del Regolamento europeo: è chiamato a controllare che le Autorità nazionali applichino correttamente la nuova regolazione europea.
Fine delle attività per il Working Party art.29
Di conseguenza ha cessato la sua attività il Working Party art.29, istituito dall’art.29 della Direttiva 46/95 CE, che per più di venti anni ha svolto una eccezionale attività di coordinamento e supporto tra le Autorità nazionali, per consentire una applicazione più uniforme possibile delle leggi nazionali in vigore fino alla piena attuazione del GDPR.
Il Working Party non aveva dignità di soggetto autonomo, anche se la Direttiva ne garantiva la indipendenza. Esso era sostanzialmente una struttura di consulenza della Commissione europea e la sede nella quale le Autorità, alle quali spettava eleggere periodicamente il Presidente del gruppo, elaboravano modalità e principi condivisi per assicurare una lettura e una interpretazione delle norme della Direttiva, anche per favorire uniformità nell’applicazione delle leggi nazionali di armonizzazione.
Dopo la entrata in vigore del GDPR, il 25 maggio 2016, il WP29 ha fatto un lavoro eccezionale di preparazione, producendo un elevato numero di pareri e Linee guida relative ai concetti e agli istituti più innovativi della nuova Regolazione.
Dobbiamo dunque essere molto grati al WP29 per l’enorme lavoro svolto e per il grande patrimonio di costruzione giuridica accumulato in questi anni. Una attività che spesso lo ha portato ad avere una influenza determinante anche sull’attività della Commissione e sui rapporti tra UE e Paesi terzi, primi fra tutti gli Stati Uniti.
Il nuovo Comitato europeo per la protezione dei dati
Il nuovo Comitato europeo per la protezione dei dati (EDPB) ha poteri e compiti molto più ampi, in coerenza con quelli assegnati alle Autorità di controllo dal nuovo GDPR.
Esso è il perno essenziale del nuovo sistema dei rapporti tra le Autorità di controllo nazionali, regolato dai principi di cooperazione e coerenza disciplinati nel Capo VII del GDPR e la sua importanza sistemica è facilmente comprensibile. Il Regolamento richiede una attuazione uniforme su tutto il territorio dell’Unione ma, allo stesso tempo, consente ampi poteri alle Autorità nazionali, sia in materia di codici di condotta che di certificazioni. Inoltre esse sono chiamate ad adottare Linee guida in molti settori.
Il meccanismo dell’Autorità capofila
Inoltre il nuovo GDPR prevede il meccanismo dell’Autorità capofila, da individuare secondo criteri determinati nell’art.56, la cui attività deve svolgersi in raccordo con altre Autorità nazionali interessate secondo quanto previsto dall’art.60, fermo restano l’eventuale intervento del Comitato europeo (EDPB).
Lo stesso vale per i meccanismi connessi alle procedure nazionali relative a all’eventuale elenco di trattamenti soggetti a valutazione di impatto, ai Codici di condotta e rilascio di certificati, clausole contrattuali o norme vincolanti di impresa. Potremmo continuare a lungo, soprattutto con riguardo ai compiti e alle competenze specifiche riservate allo EDPB.
I nuovi e ampi poteri dell’EDPB
Proprio in ragione dei nuovi e molto ampi poteri ad esso assegnati, questo Comitato è definito dall’art. 68 primo comma un organismo europeo dotato di personalità giuridica propria.
Esso è dunque a pieno titolo un European Body, con autonoma personalità nel quadro dell’Unione.
Sotto questo profilo il nuovo organismo si affianca al già esistente EDPS (European Data Protection Supervisor), istituito col Regolamento CE 45/2001, al quale però non si applica il GDPR.
Fino all’istituzione dell’EDPB, infatti, l’EDPS, pur essendo una Autorità con competenza limitata ai dati trattati dalle istituzioni, organi, uffici e agenzie della Comunità Economica (ora dell’UE), era pur sempre la sola Autorità di diritto europeo.
Con l’istituzione dell’EDPB il quadro cambia totalmente.
Dopo il 25 maggio 2018, infatti, gli organi europei che si occupano di protezione dei dati personali sono due e distinti tra loro per composizione, competenze e basi giuridiche che ne definiscono le competenze. Molto più importante, però è che l’EDPB è il solo organo europeo di protezione dei dati istituito e previsto dal Regolamento; il solo che riunisce tutte le Autorità nazionali; il solo che, sia pure soltanto nell’ambito dei suoi compiti, è chiamato a controllare che le Autorità nazionali applichino correttamente la nuova regolazione europea e a decidere sulle loro eventuali controversie di competenza.
I limiti delle competenze dell’EDPS
L’EDPS invece, pur essendo anch’ esso organo dell’Unione Europea, ha una diversa base istitutiva, competenze limitate alla organizzazione della UE e agli atti giuridici a cui si applica il Regolamento 45/2001 che lo ha istituito. Così infatti prevede anche l’art.2 paragrafo 3 che specifica: “per il trattamento dei dati personali da parte di istituzioni, organi, uffici e agenzie dell’Unione si applica il Regolamento 45/2001 CE”. Non a caso, del resto, in quello stesso paragrafo il GPDR invita i decisori europei ad adeguare il Regolamento 45/2001 ai principi della nuova Regolazione, cosa che allo stato non risulta essere ancora avvenuta.
Dunque è pacifico che con la entrata in funzione dell’EDPB sia questo organo ad assumere d fatto il ruolo di punto di riferimento essenziale dell’Unione in materia di protezione dei dati personali.
Il rapporto tra EDPB e EDPS: il Segretariato comune
Il rapporto tra EDPB e EDPS non riguarda però solo la enorme differenza di ruolo, di compiti e, soprattutto, di base giuridica che esiste tra i due organismi, entrambi di diritto europeo.
Il GDPR, proprio perché ha rafforzato enormemente il ruolo del nuovo Comitato europeo di protezione dati rispetto al WP29, ha previsto che esso disponga di una propria segreteria, che ne rafforzi la indipendenza e ne supporti le attività.
Per contenere la spesa, però, il GDPR ha previsto che lo EDPB si avvalga dei servizi di segreteria messi a sua disposizione dallo stesso Segretariato istituito fin dal 2001 presso lo EDPS.
L’art. 75 del GDPR specifica però, ai paragrafi 2 e 3, che la struttura di segretaria messa a disposizione del EDPB debba seguire esclusivamente le istruzioni del Presidente del Board, e che il personale assegnato debba essere soggetto a linee gerarchiche diverse e separate rispetto al personale del Segretariato assegnato allo svolgimento dei compiti dello EDPS.
Il medesimo articolo prevede ai paragrafi 5 e 6 i compiti specifici che questa segreteria deve svolgere a supporto dell’attività dello EDPB.
Sono compiti che, oltre al supporto in materia amministrativa, contabile e di analisi dei problemi, si articolano in un dettagliato elenco che va dalla lettera a) alla lettera g) del paragrafo 6.
Tra EDPB ed EDPS esistono dunque differenze molto rilevanti ma essi sono però legati tra loro in ragione del fatto che i due organismi hanno, per volontà del GDPR, una struttura comune, il Segretariato, finora ad uso esclusivo dello EDPS.
Con l’entrata in vigore del GDPR questa struttura deve essere necessariamente articolata in due parti distinte e separate, una delle quali resta nella piena disponibilità dello EDPS, mentre l’altra deve essere alle dipendenze esclusive del Chair dello EDPB per le attività di questo organismo.
Un’articolazione complessa
Lo stesso GDPR è consapevole della complessità di questa articolazione, ma anche della delicatezza che comporta garantire che lo schema normativo sia applicato in modo efficiente e adeguato a garantire la piena indipendenza e funzionalità dello EDPB. Stabilisce infatti all’art. 75 paragrafo 4 che il Chair dello EDPB e lo EDPS stabiliscono e pubblicano un protocollo di intesa che definisce i termini della loro cooperazione nell’ambito delle decisioni relative all’articolazione del Segretariato. Il contenuto del protocollo si applica anche al personale e alle risorse finanziarie e strumentali che lo EDPS deve mettere a disposizione e alle dipendenze dirette dell’EDPB.
Il primo atto approvato dallo EDPB
Va dato atto che il primo atto a rilevanza esterna approvato dallo EDPB il 25 maggio 2018 è stato proprio il “Memorandum of undertstanding between the European Data Protection Board and the European Data Protection Supervisor”.
Il Memorandum è stato firmato dalla attuale Chair dello EDPB, Andrea Jellinek, Presidente anche della Autorità austriaca, e dall’EDPS in carica, l’italiano Giovanni Buttarelli. Si tratta di un documento assai articolato, composto di nove paragrafi.
I contenuti del Memorandum
Nel Memorandum si stabilisce che il personale del Segretariato sia diviso in due parti distinte e separate, anche con riguardo ai locali in cui si deve svolgere il loro lavoro, stabilendo persino che possano essere definiti accessi diversi e separati, utilizzabili solo dal personale assegnato all’una o all’altra struttura.
Si prevede inoltre che lo EDPS, in dialogo con il Chair dello EDPB, debba assicurare l’attuazione del Memorandum con specifico riguardo anche alla ripartizione delle risorse umane, materiali e finanziarie da mettere a disposizione della struttura di supporto dello EDPB.
Si stabilisce inoltre che lo EDPS debba rendere pubblici, nella sua relazione annuale, la ripartizione delle risorse effettuate e i criteri seguiti.
Il Chair dell’EDPB e l’EDPS si impegnano inoltre a collaborare tra loro e con i vertici delle strutture interne del Segretariato, anche tenendo conto del consenso del personale rispetto alle decisioni assunte. Sono previsti scambi di informazioni reciproche costanti in ordine ai trattamenti effettuati da ciascuno dei due organismi, agli strumenti anche tecnologici utilizzati, alle misure di sicurezza adottate da ciascuno dei due organi, ognuno nel proprio ambito di competenza.
E’ previsto anche quali procedure debbano essere seguite se si verificano perdite di dati nell’ambito dei trattamenti effettuati dalle strutture assegnate allo EDPB o all’EDPS.
All’EDPB il compito di garantire l’applicazione del GDPR
Si tratta di un documento estremamente interessante, anche perché contiene interessanti affermazioni relative ai principi generali di mutuo riconoscimento dei due organi nella loro qualità di titolari, sia pure in ambiti e competenze diverse, di una analoga funzione istituzionale, legata alla protezione dei dati personali.
Mentre sul piano del ruolo, della base normativa, dei compiti e delle funzioni la differenza tra EDPB e EDPS è enorme, tanto da consentire di dire che con l’entrata in vigore del GDPR il vero organo titolare del compito fondamentale di garantire la applicazione del Regolamento europeo è l’EDPB.
In un certo senso è come se oggi il legame che si viene a creare tra i due organismi europei fosse analogo a quello di due soggetti, diversissimi tra loro ma legati da un legame inscindibile, costituito proprio dal doversi avvalere di una struttura che da un lato resta unitaria ma dall’altro diventa duplice.
Due soggetti diversi per un’analoga funzione istituzionale
Un Segretariato che opera come un Giano bifronte lega fra loro due organismi europei che, pur operando entrambi nell’ambito della tutela dei dati personali, hanno competenze e soprattutto ambiti diversissimi di attività.
Sarà necessaria molta attenzione alle forme oltre che alla sostanza, e ciascuno dei due organismi, e chi li rappresenta, dovrà porre la massima attenzione non solo nel rispettare le regole e gli accordi ma anche nell’evitare inedite e inopportune invasioni di campo.
E’ bene che ciascuno resti sempre nell’ambito del suo ruolo ed eviti anche di suscitare reazioni nazionali di irritazione che potrebbero manifestarsi anche in questo campo, come di recente è avvenuto rispetto alle inopportune dichiarazioni del Commissario Oettinger sugli italiani, il loro modo di votare e il loro debito.
EDPB, Comitato Europeo per la Protezione dei Dati, consultare questo link