Nel gennaio 2024 l’EDPB ha pubblicato il rapporto sulla designazione e la posizione dei DPO, come risultato dell’Azione Coordinata di Applicazione (Coordinated Enforcement Action “CEA”) svolta nel 2023, nell’ambito del Quadro Coordinato di Applicazione (Coordinated Enforcement Framework “CEF”) indetto nel 2022.
In precedenza, lo stesso Comitato aveva condotto nel 2021 il primo CEF sull’uso dei servizi cloud da parte della PA.
Il CEF, insieme alla creazione di un pool di esperti di supporto (“SPE”), è considerata un’azione chiave dell’EDPB, finalizzata a semplificare l’applicazione e la cooperazione tra le autorità di supervisione.
In questa puntata dell’Alert cercheremo di comprendere meglio l’istituto del CEF e della CEA e come essi si rapportano con altri strumenti di cooperazione e coordinamento tra le autorità nazionali, previsti dal GDPR. Queste iniziative di cooperazione e coerenza tra le autorità portano a letture omogenee del GDPR e sulle conseguenti modalità implementative, le quali sono di grande rilevanza per il superamento della frammentazione interpretativa e per la certezza del diritto.
Ruoli e competenze tra autorità di supervisione nazionali e EDPB
In base al regolamento, ferma restando la competenza giurisdizionale dei giudici, le autorità di supervisione nazionali, nell’ambito delle proprie giurisdizioni, hanno competenza esclusiva di effettuare attività investigative o di agire in via esecutiva in materia di protezione dei dati personali (art. 58, GDPR).
All’EDPB spetta il compito di assicurare l’applicazione coerente del regolamento (art. 70, GDPR).
Nel CEF si ha una combinazione di questi reciproci compiti, in quanto l’EDPB fornisce la piattaforma di condivisione dell’operato delle autorità nazionali ed è responsabile per le linee guida e le raccomandazioni eventualmente indicate all’esito della CEA, mentre le autorità nazionali provvedono alle investigazioni ed alle conseguenti azioni esecutive nelle rispettive giurisdizioni, nell’ambito della CEA.
Applicazione coerente del GDPR
Il regolamento generale, come riportato nel suo titolo, persegue i due obiettivi di:
- protezione delle persone fisiche riguardo al trattamento dei dati personali e
- libera circolazione dei dati all’interno dell’Unione.
L’applicazione coerente del GDPR, agevolata dalla cooperazione tra le autorità nazionali, facilita la libera circolazione dei dati nella UE. Per questo, il GDPR impone obblighi di coordinamento e cooperazione tra le autorità nazionali e assegna all’EDPB il compito di promuovere la cooperazione tra le autorità di supervisione dell’UE.
Coordinamento e cooperazione tra le autorità nazionali
Le autorità di supervisione nazionali, nello svolgere i propri compiti nell’ambito delle rispettive giurisdizioni, hanno anche il dovere di coordinarsi e cooperare tra loro [artt. 57.1(g) e 61.1, GDPR].
Il regolamento prevede specifiche prescrizioni al Capo VII rubricato “Cooperazione e coerenza”, funzionali al coordinamento e alla cooperazione tra le autorità, come il meccanismo dello sportello unico (art. 60), l’assistenza reciproca (art. 61), le operazioni congiunte (art. 62). A queste si aggiunge il meccanismo di coerenza (sezione 2 del Capo VII).
Queste disposizioni hanno lo scopo di raggiungere l’obiettivo di un’applicazione coerente del regolamento in tutta l’Unione, per la certezza del diritto e il libero scambio dei dati nella UE.
Continua…
