Il comitato europeo per la protezione dei dati Privacy Day Forum 13 ottobre 2016 Camilla Bistolfi Research fellow Istituto Italiano Privacy 1

STRUTTURA DELLA PRESENTAZIONE Il comitato II. I suoi compiti III. Uno sguardo al futuro 2

Il comitato (artt. 68-69 GDPR) ai sensi del c139, sostituisce il Gruppo art. 29 istituito con direttiva 95/46/CE; organismo indipendente dell’UE; dotato di personalità giuridica per poter raggiungere i suoi obiettivi; Stessa composizione del Gruppo art. 29: rappresentato dal suo presidente e composto dalla figura di vertice dell’autorità di controllo di ciascuno Stato membro e dal Garante europeo della protezione dei dati. la Commissione partecipa alle attività del comitato senza diritto di voto (mentre il Garante europeo della protezione dei dati ha diritti di voto specifici): tale partecipazione è funzionale allo scambio di informazioni che consentano l’adozione da parte della Commissione di atti funzionali a omogeneizzare l’applicazione del Reg. 3

COME? Quali sono i suoi obiettivi? Contribuire all’applicazione coerente (ex art. 63) del Reg. in tutta l’Unione: i suoi compiti sono funzionali a indirizzare gli Stati membri e le loro DPA nazionali verso una applicazione omogenea del Reg. Fornire consulenza alla Commissione, in particolare sul livello di protezione garantito dai paesi terzi o dalle organizzazioni internazionali Promuovere la cooperazione delle autorità di controllo intra e extra UE. COME? 4

I suoi compiti (art. 70 GDPR) 1/5 I suoi compiti (art. 70 GDPR) Applicazione coerente del Reg. L’art. 64.2 stabilisce, un generico potere di adozione di pareri ogniqualvolta un’autorità di controllo, il presidente del comitato o la Commissione rilevi che la questione affrontata sia di applicazione generale o che produca effetti in più di uno Stato membro. Il comitato emette un parere ex art. 64.1 ove un’autorità di controllo competente intenda adottare una delle seguenti misure: redigere l’elenco di trattamenti soggetti al requisito di una valutazione d’impatto; conformità al Reg. di un progetto di codice di condotta o una modifica o proroga allo stesso; approvare i criteri per l’accreditamento di un organismo di monitoraggio dei codici di condotta o di un organismo di certificazione; determinare clausole tipo di protezione dei dati; approvare norme vincolanti d’impresa. Le DPA sembrano doversi conformare in toto a quanto affermato dal comitato, dal momento che la posizione di quest’ultimo è l’espressione sintetica del principio di coerenza: tant’è che in caso di mancata conformazione scatta la procedura di cui all’art. 65.1 5

I suoi compiti (art. 70 GDPR) 2/5 I suoi compiti (art. 70 GDPR) Promozione della cooperazione tra DPA Il comitato adotta una decisione vincolante ex art. 65: per comporre le controversie tra autorità di controllo nazionali (ad es. per questioni di competenza) o tra DPA e autorità capofila (ad es. obiezione a un progetto di decisione della capofila) se una DPA non richiede il parere del comitato o non si conforma al parere del comitato. In tal caso qualsiasi DPA interessata o la Commissione può comunicare la questione al comitato. 6

I suoi compiti (art. 70 GDPR) 3/5 I suoi compiti (art. 70 GDPR) Consulenza alla Commissione Consulenza: in merito a qualsiasi questione relativa alla protezione dei dati personali nell’Unione, comprese eventuali proposte di modifica del Reg.; sul formato e le procedure per lo scambio di informazioni tra titolari del trattamento, responsabili del trattamento e autorità di controllo in merito alle norme vincolanti d’impresa; Pareri: in merito ai requisiti di certificazione; parere in merito alle icone standardizzate per le informative per valutare l’adeguatezza del livello di protezione in un paese terzo o in un’organizzazione internazionale, così come per valutare se il paese terzo, il territorio o uno o più settori specifici all’interno di tale paese terzo, o l’organizzazione internazionale non assicurino più un livello adeguato di protezione. 7

Il suoi compiti (art. 70 GDPR) 4/5 Il suoi compiti (art. 70 GDPR) Applicazione coerente del Reg. In generale, il comitato esamina, di propria iniziativa o su richiesta di uno dei suoi membri o della Commissione, qualsiasi questione relativa all'applicazione del Reg. e pubblica linee guida, raccomandazioni e migliori prassi in materia di: procedure per la cancellazione di link; criteri e le condizioni delle decisioni basate sulla profilazione; accertamento della violazione di dati personali e determinazione dell’ «ingiustificato ritardo» e le circostanze particolari in cui il titolare del trattamento o il responsabile del trattamento è tenuto a notificare la violazione dei dati personali; violazione dei dati personali suscettibili di presentare un rischio elevato per i diritti e le libertà delle persone fisiche; criteri e i requisiti dei trasferimenti di dati personali basati sulle norme vincolanti d’impresa nonché gli ulteriori requisiti per assicurare la protezione dei dati personali ex art. 47; criteri e i requisiti dei trasferimenti di dati personali sulla base dell’articolo 49; procedure comuni per le segnalazioni da parte di persone fisiche di violazioni del Reg.; misure di cui all’articolo 58, paragrafi 1, 2 e 3 (poteri di indagine, consultivi, correttivi e autorizzativi delle DPA) e la previsione delle sanzioni amministrative pecuniarie di cui all’art. 83. 8

Il suoi compiti (art. 70 GDPR) 5/5 Il suoi compiti (art. 70 GDPR) Applicazione coerente del Reg. Incoraggiare l’elaborazione di codici di condotta e l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati; effettuare l’accreditamento di organismi di certificazione e il suo riesame periodico: tenere un registro pubblico degli organismi di certificazione ti e un registro dei titolari o responsabili del trattamento certificati, stabiliti in paesi terzi; specificare i requisiti ai fini dell’accreditamento degli organismi di certificazione; emettere pareri sui codici di condotta cui la Commissione ha attribuito validità generale a livello di Unione a norma dell’articolo 40, paragrafo 9. promuovere la cooperazione internazionale e l’effettivo scambio di informazioni, documentazione sulle legislazioni e prassi tra le autorità di controllo intra ed extra europee, stimolando l’adozione di programmi comuni di formazione. 9

Uno sguardo al futuro 1/4 Il rapporto tra l’EDPS e il comitato. L’art. 68.6 introduce una regola interessante rispetto al ruolo del Garante Europeo nella composizione delle controversie da parte del comitato ex art. 65. Infatti, anche se l’EDPS è parte del comitato stesso, egli ha diritto di voto solo per decisioni che riguardano principi e norme applicabili a istituzioni, organi, uffici e agenzie dell’UE. La motivazione di suddetta limitazione è la ripartizione delle competenze: l’EDPS è incaricato di sorvegliare il trattamento dei dati personali effettuato dalle istituzioni e degli organismi dell’UE. Tuttavia, tale disposizione non va interpretata in senso restrittivo rispetto alla partecipazione dell’EDPS ai lavori del comitato. Anzi, in tal senso l’art. 75 prevede l’assistenza al comitato da parte di un segretariato messo a disposizione proprio dall’EDPS che ha funzione di raccordo rispetto alle attività delle DPA nazionali riunite nel comitato e l’attività verticale esercitata dall’organismo europeo. Inoltre, sempre nel rispetto della separazione delle sfere di competenza, l’art. 75.3 prevede che il personale dell’EDPS che compone la segreteria del comitato sia soggetto a linee gerarchiche separate rispetto al personale coinvolto nello svolgimento dei compiti attribuiti all’EDPS nei suoi uffici di Bruxelles. 10

2/4 Uno sguardo al futuro La difficoltà nel ricorso contro le decisioni del comitato.  Tra gli articoli del RGPD non è presente alcuna menzione relativa all’annullamento delle decisioni del comitato da parte di qualsivoglia organo nazionale o europeo. L’unica disposizione in tal senso deriva dal c143, il quale prevede che qualsiasi persona fisica o giuridica ha diritto di proporre un ricorso per l’annullamento delle decisioni del comitato dinanzi alla CGUE, alle condizioni previste all’articolo 263 TFUE. In quanto destinatari di tali decisioni, quindi, le autorità di controllo interessate che intendono impugnarle devono proporre ricorso entro due mesi dalla loro notifica, conformemente all’articolo 263 TFUE. Ove le decisioni del comitato si riferiscano direttamente e individualmente a un titolare o a un responsabile del trattamento, anche questi hanno diritto a presentare ricorso rispetto alle decisioni del comitato, ma quali decisioni? Tutte quelle ad effetto verticale diretto sul titolare o responsabile relative alle linee guida, buone pratiche e raccomandazioni su tutto ciò che riguarda l’applicazione del Reg. (ad es. le procedure per la cancellazione di link, quelle concernenti la specifica dei criteri e delle condizioni delle decisioni basate sulla profilazione o con riguardo all’accertamento della violazione di dati personali e la determinazione dell’ “ingiustificato ritardo” o alle circostanze particolari in cui il titolare è tenuto a notificare la violazione in questione, all’esito negativo del riesame periodico dell’accreditamento degli organismi di certificazione). 11

3/4 Uno sguardo al futuro Ricorsi difficili=sovra-potenziamento del ruolo del comitato?  Dalla lettura del c143 ciò che emerge, è un netto sovra-potenziamento del suo ruolo istituzionale. Esso infatti, considerata la scarsa agevolazione nella presentazione di ricorsi addirittura alla CGUE, rischia di avere poteri pressoché insindacabili nei fatti. E ancora, l’art. 70.1.l) prevede che il comitato valuti l’applicazione pratica delle linee guida, delle raccomandazioni e delle migliori prassi proposte dal comitato stesso: quindi, oltre ad una semi-insindacabilità, è prevista anche un’autovalutazione, confermata dall’art. 71 che stabilisce che il comitato debba redigere una relazione annuale sulla protezione delle persone fisiche con riguardo al trattamento nell’Unione e, se del caso, nei paesi terzi e nelle organizzazioni internazionali da pubblicare e trasmettere al Parlamento europeo, al Consiglio e alla Commissione, includendo anche una (auto)valutazione. 12

4/4 Uno sguardo al futuro Dall’altro l’estensione delle competenze di tale organismo europeo potrebbe comportare un suo potere eccessivo. È infatti il comitato che guida, il comitato che detta gli orientamenti (che a quanto pare sono tutte decisioni giuridicamente vincolanti, al di là dei rassicuranti termini soft “linee guida”, “raccomandazioni” e “migliori prassi”) ed è sempre il comitato che ne giudica persino l’applicazione pratica senza che possa esservi un ricorso meno complesso di quello alla CGUE ex c143 e art. 263 TFUE. Da un lato, dunque, tutti i compiti di lead body del comitato hanno certamente il senso di dare attuazione al meccanismo di coerenza rispetto sia alla Commissione, sia alle DPA, sia ai trattamenti effettuati da titolari e responsabili. 13

Attenzione! Accreditamento degli organismi di certificazione e relativo riesame periodico da parte del comitato.  Si presti attenzione al fatto che l’art. 43.1.a) e (b) prevede che gli organismi di certificazione possano essere accreditati solo dall’autorità di controllo competente ai sensi degli artt. 55 o 56; oppure dall’organismo nazionale di accreditamento designato in virtù del regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio conformemente alla norma EN-ISO/IEC 17065/2012 e ai requisiti aggiuntivi stabiliti dall’autorità di controllo competente ai sensi degli articoli 55 o 56. Sempre l’art. 43 al paragrafo .7 prevede che solo l’autorità di controllo competente o l’organismo nazionale di accreditamento possano revocare l’accreditamento di un organismo di certificazione, se le condizioni per l’accreditamento non sono più rispettate. Tuttavia, l’art. 70.1.o) prevede espressamente che anche il comitato possa effettuare « l’accreditamento di organismi di certificazione e il suo riesame periodico a norma dell’articolo 43 », circostanza assolutamente non desumibile dal contenuto dell’art. 43 stesso, il quale cita il comitato solo con riferimento alla tenuta del registro relativo a tutti i meccanismi di certificazione e i sigilli di protezione dei dati (cfr. art. 43.6). 14

GRAZIE!