In data 4 luglio 2023, la Commissione ha presentato una proposta di regolamento[1] per razionalizzare la cooperazione tra le autorità di protezione dei dati (Data Protection Authorities, DPA) nell’applicazione del Regolamento generale sulla protezione dei dati (General Data Protection Regulation, GDPR)[2] nei c.d. “casi transfrontalieri”[3].
La proposta trova la sua ratio nelle differenze procedurali che caratterizzano l’operato delle DPA ed ostacolano il regolare ed efficace funzionamento dei meccanismi di cooperazione e di composizione delle controversie del GDPR nei casi transfrontalieri, che hanno evidenziato la necessità di renderne la gestione più efficiente ed armonizzata in tutta l’Unione. Di conseguenza, la proposta mira ad affrontare le problematiche rilevate dalla Commissione[4] specificando le norme procedurali per alcune fasi del processo di indagine nei casi transfrontalieri, di modo da assicurarne una risoluzione più rapida nonché rimedi più immediati per i privati e maggior certezza del diritto per le imprese.
In primo luogo, la proposta fornisce un modulo che specifica le informazioni richieste per i reclami transfrontalieri presentati in base all’articolo 77 del GDPR[5] e stabilisce i fattori che le DPA devono prendere in considerazione nel valutare in che misura è opportuno svolgere indagini su un reclamo. Più particolarmente, dopo aver accertato la completezza delle informazioni inserite nel modulo entro un mese, la DPA destinataria del reclamo deve trasmetterlo all’autorità di controllo capofila, accusando ricevuta dello stesso entro una settimana[6]. La proposta, inoltre, fornisce un quadro giuridico per la composizione amichevole dei reclami, al fine di facilitare il ricorso a tale strumento da parte delle DPA e di chiarirne le implicazioni giuridiche per queste ultime e per i reclamanti[7].
In secondo luogo, la proposta rafforza la cooperazione tra le autorità di controllo nei casi transfrontalieri, specificando i documenti[8]compresi nelle informazioni utili che le stesse sono tenute a condividere nel corso della cooperazione transfrontaliera[9]. Una volta formatasi un’opinione preliminare sulle questioni principali dell’indagine, inoltre, l’autorità capofila deve trasmettere una “sintesi sulle questioni chiave” che indichi alle DPA interessate le sue opinioni e le principali constatazioni di fatto in merito al caso, consentendo loro di incidere in modo significativo sull’indagine in corso[10].Qualora, infine, non si raggiunga un accordo sull’ambito dell’indagine nei casi basati su un reclamo o su una valutazione giuridica o tecnologica complessa effettuata dall’autorità capofila, la DPA in disaccordo con quest’ultima può presentare una richiesta ai sensi del GDPR[11]. Laddove, invece, le DPA non raggiungano un accordo in merito all’ambito dell’indagine, nei casi basati su un reclamo, la capofila può chiedere una decisione vincolante d’urgenza al Comitato Europeo per la Protezione dei Dati (European Data Protection Board, EDPB)[12].
In terzo luogo, la proposta armonizza il diritto delle parti oggetto dell’indagine di essere ascoltate, prevedendo l’obbligo per l’autorità capofila di sottoporre loro le proprie constatazioni preliminari, in cui sono delineate, tra le altre cose, le obiezioni sollevate, i fatti pertinenti, le prove a sostegno, l’analisi giuridica nonché le eventuali misure correttive proposte, di modo da consentire alle parti di comprendere appieno le accuse mosse nei loro confronti[13] e di rispondere adeguatamente presentando per iscritto le loro osservazioni[14]. Le parti oggetto dell’indagine, inoltre, avranno ora la possibilità di esprimere le proprie opinioni nel caso in cui l’autorità capofila intenda presentare un progetto di decisione riveduto alla luce delle obiezioni sollevate dalle DPA interessate[15].
In quarto luogo, la proposta stabilisce norme dettagliate relative all’accesso al fascicolo e al trattamento delle informazioni riservate, facendo chiarezza sui documenti che dovrebbero far parte del fascicolo amministrativo nei casi transfrontalieri e sul momento in cui vi è fornito l’accesso alle parti oggetto dell’indagine. Più particolarmente, il fascicolo amministrativo comprende tutti i documenti a carico e a discarico delle parti oggetto dell’indagine, che possono accedervi dopo che l’autorità capofila ha notificato loro le constatazioni preliminari[16]. L’autorità di controllo, inoltre, non comunica né rende accessibili le informazioni che ha raccolto o ottenuto nei casi transfrontalieri a norma del GDPR, compresi i documenti che le riportano, nella misura in cui contengono segreti aziendali o altre informazioni riservate di qualsiasi persona, e fintanto che il procedimento è in corso tali informazioni sono escluse da eventuali richieste di accesso[17].
La proposta, infine, specifica i documenti[18] che l’autorità capofila è tenuta a fornire all’EDPB nel momento in cui presenta una questione per la composizione delle controversie previsto dal GDPR[19], prevedendo l’audizione delle parti oggetto dell’indagine o, in caso di rigetto di un reclamo, del reclamante prima della decisione vincolante del comitato[20].
[1] Com. Comm. COM(2023) 348 final del 04.07.2023, Proposta di Regolamento del Parlamento Europeo e del Consiglio che stabilisce norme procedurali aggiuntive relative all’applicazione del regolamento (UE) 2016/679.
[2] Regolamento 2016/679/UE del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, GUUE L 119 del 04.05.2016.
[3] L’articolo 4 GDPR, intitolato “Definizioni”, al numero 23 dispone: “… Ai fini del presente regolamento s’intende per:
(…)
23) «trattamento transfrontaliero»:
a) trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure
b) trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro…”.
[4] Com. Comm. COM(2020) 264 final del 24.06.2020, La protezione dei dati come pilastro dell’emancipazione dei cittadini e l’approccio dell’UE alla transizione digitale: due anni di applicazione del regolamento generale sulla protezione dei dati.
[5] L’articolo 77 del GDPR, intitolato “Diritto di proporre reclamo all’autorità di controllo”, al paragrafo 1 dispone: “… Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione…”.
[6] L’articolo 3 della Proposta, intitolato “Reclami transfrontalieri”, dispone: “… Il reclamo basato sul regolamento (UE) 2016/679 e riguardante un trattamento transfrontaliero fornisce le informazioni richieste nel modulo di cui all’allegato. Ai fini della ricevibilità del reclamo non sono necessarie ulteriori informazioni.
L’autorità di controllo cui è stato proposto il reclamo determina se esso riguarda un trattamento transfrontaliero.
L’autorità di controllo cui è stato proposto il reclamo accerta la completezza delle informazioni richieste nel modulo entro un mese.
Previa valutazione della completezza delle informazioni richieste nel modulo, l’autorità di controllo cui è stato proposto il reclamo trasmette il reclamo all’autorità di controllo capofila.
Il reclamante che nel proporre reclamo rivendichi la riservatezza presenta anche una versione non riservata del reclamo.
L’autorità di controllo cui il reclamo è stato proposto accusa ricevuta dello stesso entro una settimana. L’accusa di ricevuta non pregiudica la valutazione della ricevibilità del reclamo a norma del paragrafo 3…”.
[7] L’articolo 5 della Proposta, intitolato “Composizione amichevole”, dispone: “… Il reclamo può essere risolto mediante composizione amichevole tra il reclamante e le parti oggetto dell’indagine. Ove ritenga che sia stata raggiunta una composizione amichevole del reclamo, l’autorità di controllo comunica la proposta di composizione al reclamante…”.
[8] Si veda l’articolo 8 della Proposta, intitolato “Informazioni utili ai sensi dell’articolo 60, paragrafi 1 e 3, del regolamento (UE) 2016/679”.
[9] L’articolo 60 del GDPR, intitolato “Cooperazione tra l’autorità di controllo capofila e le altre autorità di controllo interessate”, al paragrafo 1 dispone: “… L’autorità di controllo capofila coopera con le altre autorità di controllo interessate conformemente al presente articolo nell’impegno per raggiungere un consenso. L’autorità di controllo capofila e le autorità di controllo interessate si scambiano tutte le informazioni utili…”.
[10] L’articolo 9 della Proposta, intitolato “Sintesi delle questioni chiave”, ai paragrafi 1-2 dispone: “… Una volta formatasi un’opinione preliminare sulle questioni principali dell’indagine, l’autorità di controllo capofila redige una sintesi delle questioni chiave ai fini della cooperazione a norma dell’articolo 60, paragrafo 1, del regolamento (UE) 2016/679.
La sintesi delle questioni chiave comprende tutti i seguenti elementi:
(a) i principali fatti pertinenti;
(b) l’individuazione preliminare dell’ambito dell’indagine, in particolare le disposizioni del regolamento (UE) 2016/679 interessate dalla presunta violazione su cui si svolgerà l’indagine;
(c) l’individuazione delle valutazioni giuridiche e tecnologiche complesse pertinenti per l’orientamento valutativo preliminare;
(d) l’individuazione preliminare di potenziali misure correttive…”.
[11] Si vedano gli articoli 61-62 del GDPR.
[12] L’articolo 10 della Proposta, intitolato “Mezzi per raggiungere un consenso”, al paragrafo 4 dispone: “… Qualora in un caso basato su un reclamo l’autorità di controllo capofila e una o più autorità di controllo interessate non raggiungano un consenso sulla questione di cui all’articolo 9, paragrafo 2, lettera b), del presente regolamento, l’autorità di controllo capofila chiede una decisione vincolante d’urgenza del comitato a norma dell’articolo 66, paragrafo 3, del regolamento (UE) 2016/679. In tal caso si presumono soddisfatte le condizioni per chiedere una decisione vincolante d’urgenza a norma dell’articolo 66, paragrafo 3, del regolamento (UE) 2016/679…”.
[13] L’articolo 14 della Proposta, intitolato “Constatazioni preliminari e risposta”, ai paragrafi 1-3 dispone: “… L’autorità di controllo capofila formula constatazioni preliminari quando intende trasmettere alle altre autorità di controllo interessate un progetto di decisione ai sensi dell’articolo 60, paragrafo 3, del regolamento (UE) 2016/679 che constata una violazione di tale regolamento.
Le constatazioni preliminari espongono le accuse sollevate in modo esaustivo e sufficientemente chiaro per consentire alle parti oggetto dell’indagine di prendere conoscenza della condotta indagata dall’autorità di controllo capofila. In particolare devono esporre chiaramente tutti i fatti e l’integralità della valutazione giuridica addotti contro le parti oggetto dell’indagine affinché queste possano esprimere le loro opinioni sui fatti e sulle conclusioni giuridiche che l’autorità di controllo capofila intende trarre nel progetto di decisione ai sensi dell’articolo 60, paragrafo 3, del regolamento (UE) 2016/679, ed elencare tutti gli elementi di prova su cui si basano.
Le constatazioni preliminari indicano le misure correttive cui l’autorità di controllo capofila intende ricorrere.
Qualora intenda infliggere una sanzione pecuniaria, l’autorità di controllo capofila elenca nelle constatazioni preliminari gli elementi alla base del calcolo della sanzione. In particolare l’autorità di controllo capofila elenca i fatti e le questioni di diritto essenziali che possono comportare l’imposizione della sanzione pecuniaria, e gli elementi di cui all’articolo 83, paragrafo 2, del regolamento (UE) 2016/679, compresi gli eventuali fattori aggravanti o attenuanti di cui terrà conto.
L’autorità di controllo capofila notifica le constatazioni preliminari a ciascuna parte oggetto dell’indagine…”.
[14] L’articolo 15 della Proposta, intitolato “Trasmissione delle constatazioni preliminari ai reclamanti”, al paragrafo 1 dispone: “… Qualora l’autorità di controllo capofila formuli constatazioni preliminari sulla questione su cui ha ricevuto un reclamo, l’autorità di controllo cui è stato proposto il reclamo fornisce al reclamante una versione non riservata delle constatazioni preliminari e fissa un termine entro il quale il reclamante può comunicare le proprie opinioni per iscritto…”.
[15] L’articolo 17 della Proposta, intitolato “Diritto di essere ascoltati sul progetto di decisione riveduto”, al paragrafo 1 dispone: “… Qualora ritenga che il progetto di decisione riveduto ai sensi dell’articolo 60, paragrafo 5, del regolamento (UE) 2016/679 presenti elementi sui quali le parti oggetto dell’indagine dovrebbero avere la possibilità di esprimersi, l’autorità di controllo capofila, prima di trasmettere il progetto di decisione riveduto a norma del suddetto paragrafo, dà alle parti oggetto dell’indagine la possibilità di esprimersi su tali nuovi elementi…”.
[16] L’articolo 20 della Proposta, intitolato “Accesso al fascicolo amministrativo e uso dei documenti”, ai paragrafi 1-2 dispone: “…L’autorità di controllo capofila dà accesso al fascicolo amministrativo alle parti oggetto dell’indagine, consentendo loro di esercitare il diritto di essere ascoltate. L’accesso al fascicolo amministrativo è dato dopo che l’autorità di controllo capofila ha notificato le constatazioni preliminari alle parti oggetto dell’indagine.
Il fascicolo amministrativo comprende tutti i documenti a carico e a discarico, inclusi i fatti e i documenti noti alle parti oggetto dell’indagine…”.
[17] L’articolo 21 della Proposta, intitolato “Individuazione e protezione delle informazioni riservate”, ai paragrafi 1-2 dispone: “… Salvo altrimenti disposto nel presente regolamento, l’autorità di controllo non comunica né rende accessibili le informazioni che ha raccolto o ottenuto nei casi transfrontalieri a norma del regolamento (UE) 2016/679, compresi i documenti che le riportano, nella misura in cui contengono segreti aziendali o altre informazioni riservate di qualsiasi persona.
Fintantoché il procedimento è in corso, le informazioni raccolte o ottenute da un’autorità di controllo nei casi transfrontalieri a norma del regolamento (UE) 2016/679, compresi i documenti che le riportano, sono escluse dalle richieste di accesso a norma della normativa sull’accesso del pubblico ai documenti ufficiali…”.
[18] L’articolo 22 della Proposta, intitolato “Deferimento al meccanismo di composizione delle controversie a norma dell’articolo 65 del regolamento (UE) 2016/679”, al paragrafo 2 dispone: “… Nel deferire la questione al meccanismo di composizione delle controversie l’autorità di controllo capofila fornisce al comitato tutti i seguenti documenti:
(a) il progetto di decisione o il progetto di decisione riveduto oggetto delle obiezioni pertinenti e motivate;
(b) una sintesi dei fatti pertinenti;
(c) le constatazioni preliminari;
(d) l’opinione espressa per iscritto dalle parti oggetto dell’indagine a norma degli articoli 14 o 17, secondo il caso;
(e) le opinioni espresse per iscritto dai reclamanti a norma degli articoli 11, 12 o 15, secondo il caso;
(f) le obiezioni pertinenti e motivate cui l’autorità di controllo capofila non ha dato seguito;
(g) i motivi per cui l’autorità di controllo capofila non ha dato seguito alle obiezioni pertinenti e motivate o ha ritenuto che le obiezioni non fossero pertinenti o motivate…”.
[19] Si veda l’articolo 65 del GDPR.
[20] L’articolo 24 della Proposta, intitolato “Motivazione prima dell’adozione di una decisione a norma dell’articolo 65, paragrafo 1, lettera a), del regolamento (UE) 2016/679”, al paragrafo 1 dispone: “… Prima di adottare la decisione vincolante a norma dell’articolo 65, paragrafo 1, lettera a), del regolamento (UE) 2016/679, il presidente del comitato, tramite l’autorità di controllo capofila, comunica alle parti oggetto dell’indagine e/o, in caso di rigetto totale o parziale del reclamo, al reclamante la motivazione del ragionamento che il comitato intende seguire nella decisione. Qualora intenda adottare una decisione vincolante che impone all’autorità di controllo capofila di modificare il progetto di decisione o il progetto di decisione riveduto, il comitato decide se la motivazione debba essere corredata delle obiezioni pertinenti e motivate accolte sulla cui base il comitato intende adottare la decisione…”.