Il Consiglio UE ed il Parlamento europeo hanno raggiunto un accordo provvisorio su una posizione comune sulla proposta di regolamento presentata dalla Commissione europea a luglio 2023, volta a stabilire norme procedurali aggiuntive per la gestione del reclamo e lo svolgimento delle indagini, riguardanti un trattamento transfrontaliero dei dati personali, da parte delle Autorità di controllo, come il Garante privacy in Italia, nell’applicazione del GDPR (Regolamento 2016/679/UE).
Su ricorda che il GDPR, ovvero la normativa di riferimento dell’UE in materia di protezione dei dati personali, ha istituito un sistema di cooperazione tra le autorità nazionali preposte alla protezione dei dati: tali autorità, responsabili dell’applicazione del GDPR, sono tenute a cooperare quando un caso di protezione dei dati riguardi un trattamento transfrontaliero, ovvero quando il reclamante risiede in uno Stato membro diverso da quello della società oggetto dell’indagine.
In tali casi transfrontalieri, un’unica autorità nazionale assumerà il ruolo di autorità capofila nell’indagine, ma sarà tenuta a collaborare con le sue omologhe negli altri Stati membri.
L’accordo raggiunto fra Parlamento europeo e Consiglio UE ha quindi ad oggetto le norme della proposta di regolamento della Commissione che semplificheranno le procedure amministrative relative, ad esempio, ai diritti dei reclamanti o all’ammissibilità dei casi, rendendo così più efficiente l’applicazione del GDPR.
Una volta adottato, nell’auspicio delle istituzioni UE, il regolamento accelererà la gestione dei reclami transfrontalieri, ai sensi del GDPR, presentati da cittadini o organizzazioni e le relative indagini di follow-up; pertanto, armonizzando a livello europeo i requisiti di ammissibilità delle azioni transfrontaliere, indipendentemente dal luogo in cui un cittadino presenterà un reclamo relativo al trattamento transfrontaliero dei dati, l’ammissibilità del reclamo stesso (al Garante privacy in Italia) sarà valutata sulla base delle stesse informazioni.
Il nuovo regolamento, in estrema sintesi:
- armonizzerà i requisiti e le procedure per l’audizione del reclamante in caso di rigetto di un reclamo
- prevede norme comuni sul coinvolgimento del reclamante nella procedura
- garantisce il diritto di essere ascoltato per la società o l’organizzazione oggetto di indagine, anche nelle fasi chiave della procedura.
- garantisce al reclamante e alla società o all’organizzazione sottoposta a indagine il diritto di ricevere conclusioni preliminari (ovvero prima della decisione finale) per esprimere il proprio parere in merito
- introduce scadenze per il completamento delle indagini, ovvero, in particolare:
- un termine complessivo per l’indagine di 15 mesi, prorogabile di 12 mesi per i casi più complessi
- in caso di procedura di cooperazione semplice tra autorità nazionali per la protezione dei dati, l’indagine dovrebbe concludersi entro 12 mesi
- prevede un meccanismo di risoluzione anticipata delle controversie, che consente alle autorità di protezione dei dati di risolvere un caso prima di attivare le procedure standard per la gestione di un reclamo transfrontaliero, ovvero prima di coinvolgere altre autorità nazionali: ad esempio, quando l’organizzazione in questione ha gestito la violazione e il reclamante non si è opposto alla risoluzione anticipata del reclamo (o in caso di composizione amichevole del reclamo)
- prevede una procedura di cooperazione semplificata: al fine di evitare lunghe discussioni tra le diverse autorità di protezione dei dati su un caso specifico, vengono introdotte misure volte a facilitare la cooperazione e l’accordo fra Autorità, come l’obbligo per l’Autorità capofila di inviare una sintesi delle questioni chiave alle controparti nell’UE, garantendo che queste dispongano di tutte le informazioni necessarie per esprimere tempestivamente il proprio parere sul caso
L’accordo provvisorio raggiunto oggi dovrà essere confermato dal Consiglio UE e dal Parlamento europeo e il regolamento entrerà in vigore dopo l’adozione definitiva da parte di entrambe le istituzioni.
