lug 08 2018

Autore: Avv. Fabrizio Corona

Meccanismo di Coerenza


Il GDPR, al fine di assicurare un’applicazione coerente del Regolamento generale sulla protezione dei dati in tutta l’Unione Europea, ha dotato le Autorità di controllo nazionali di un nuovo strumento: il meccanismo di coerenza

L’art. 63 del GDPR sancisce che “al fine di contribuire all’applicazione coerente dello stesso Regolamento in tutta l'Unione, le autorità di controllo cooperano tra loro e, se del caso, con la Commissione mediante il meccanismo di coerenza”.

Per rendere efficace ed operativo tale strumento, ogni Stato Membro deve designare l’autorità di controllo che avrà il compito di fungere da punto di contatto per la reale partecipazione di tutte le autorità al meccanismo, al fine di garantire la rapida e agevole cooperazione con altre autorità di controllo, il comitato e la Commissione.

Meccanismo di coerenza

L'importanza delle parole non dette

Tale strumento risulterà particolarmente utile quando un’autorità di controllo intenda adottare delle misure, con riguardo ad attività di trattamento, che possono produrre effetti giuridici che incidono su un numero significativo di interessati in vari Stati membri.

Ma potrà essere attivato anche nel caso in cui un’autorità di controllo interessata o la Commissione chiede che tale questione sia trattata nell’ambito del meccanismo di coerenza, proprio per garantire un trattamento uniforme nei vari Stati.

Inoltre, il meccanismo di coerenza, potrà essere adoperato anche per garantire un’ applicazione coerente delle sanzioni amministrative pecuniarie.

Vediamo come opera questo strumento.

Il meccanismo unico di risoluzione

L’Autorità di Controllo designata dallo Stato, in alcuni casi, può comunicare un progetto di decisione al Comitato europeo che emette un parere.

In particolare, ai sensi dell’art. 64 GDPR, l’Autorità di controllo si rivolge al Comitato quando la decisione:

  1. è finalizzata a stabilire un elenco di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi dell'articolo 35, paragrafo 4;
  2. riguarda una questione di cui all'articolo 40, paragrafo 7, relativa alla conformità al presente regolamento di un progetto di codice di condotta o una modifica o proroga di un codice di condotta;
  3. è finalizzata ad approvare i criteri per l'accreditamento di un organismo ai sensi dell'articolo 41, paragrafo 3, o di un organismo di certificazione ai sensi dell'articolo 43, paragrafo 3;
  4. è finalizzata a determinare clausole tipo di protezione dei dati;
  5. è finalizzata ad autorizzare clausole contrattuali di cui all'articolo 46, paragrafo 3, lettera a) oppure è finalizzata ad approvare norme vincolanti d'impresa ai sensi dell'articolo 47.

Il parere è adottato dal Comitato entro un termine di otto settimane a maggioranza semplice dei membri. Tale termine può essere prorogato di sei settimane, tenendo conto della complessità della questione.

Le autorità di controllo e la Commissione comunicano per via elettronica, usando un modulo standard, al comitato tutte le informazioni utili, in particolare, offrendo una sintesi dei fatti, il progetto di decisione, i motivi che rendono necessaria l’attuazione di tale misura e i pareri delle altre autorità di controllo interessate.

Il presidente del comitato, poi, informa con mezzi elettronici: i membri del comitato e la Commissione di tutte le informazioni utili che sono state comunicate al comitato con modulo standard e l’autorità di controllo.

LEGGI ANCHE: Benvenuto GDPR, addio Codice Privacy

Autorità di controllo e la vigilanza europea

Autorità di controllo e la vigilanza europea

L’autorità di controllo tiene nella massima considerazione il parere del comitato e, entro due settimane dal ricevimento del parere, comunica per via elettronica, usando un modulo standard, al presidente del comitato se intende mantenere o modificare il progetto di decisione e, se del caso, il progetto di decisione modificato.

Se l'autorità di controllo interessata informa il presidente del comitato, fornendo le pertinenti motivazioni, che non intende conformarsi al parere del comitato, in tutto o in parte, quest’ultimo dovrà adottare una decisione vincolante di cui all’art. 65 del Regolamento.

Secondo tale disposizione, il Comitato adotta una decisione vincolante:

  1. se un'autorità di controllo interessata ha sollevato un'obiezione pertinente e motivata a un progetto di decisione dell'autorità capofila o l'autorità capofila ha rigettato tale obiezione in quanto non pertinente o non motivata;
  2. se vi sono opinioni contrastanti in merito alla competenza delle autorità di controllo interessate per lo stabilimento principale;
  3. se un'autorità di controllo competente non richiede il parere del comitato o non si conforma al parere del comitato emesso a norma dell'articolo 64.

La decisione è adottata entro un mese dal deferimento della questione da parte di una maggioranza di due terzi dei membri del comitato. Tale termine può essere prorogato di un mese, in considerazione della complessità della questione.

Il presidente del comitato notifica senza ingiustificato ritardo alle autorità di controllo interessate la decisione e ne informa la Commissione.

La decisione, dopo che l'autorità di controllo ha notificato la decisione definitiva, è poi pubblicata senza ritardo sul sito web del comitato.

L’art. 66 del GDPR delinea una Procedura d’urgenza che potrà essere adottata, in circostanze eccezionali: in questi casi l’autorità di controllo interessata “qualora ritenga che urga intervenire per proteggere i diritti e le libertà degli interessati può, in deroga al meccanismo di coerenza di cui agli articoli 63, 64 e 65, o alla procedura di cui all'articolo 60, adottare immediatamente misure provvisorie intese a produrre effetti giuridici nel proprio territorio, con un periodo di validità determinato che non supera i tre mesi”.

Conclusioni

L’autorità di controllo comunica senza ritardo tali misure e la motivazione della loro adozione alle altre autorità di controllo interessate, al comitato e alla Commissione.

Qualora abbia adottato una misura e ritenga che urga adottare misure definitive, l’autorità di controllo può chiedere un parere d’urgenza o una decisione vincolante d’urgenza del comitato, motivando tale richiesta.

Qualsiasi autorità di controllo può chiedere un parere d’urgenza o una decisione vincolante d’urgenza, a seconda dei casi, del comitato qualora un’autorità di controllo competente non abbia adottato misure adeguate in una situazione in cui urge intervenire per proteggere i diritti e le libertà degli interessati, motivando la richiesta di tale parere o decisione, in particolare l’urgenza dell'intervento.

In deroga alle disposizioni generali, il parere d’urgenza o la decisione vincolante d’urgenza di cui all’art. 66 del GDPR sono adottati entro due settimane a maggioranza semplice dei membri del comitato.

Autore: Matteo Migliore

Matteo Migliore - Fondatore di LEGALDESK

Mettiti in contatto su LinkedIn

Clicca su Mi piace!


LEGALDESK

Categoria

Privacy


ARTICOLI CONSIGLIATI