Testo dell'articoloVigente
Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Articolo 61 del Regolamento (UE) 2016/679 (GDPR) – Assistenza reciproca.
Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.
Vedi anche
→GDPR art. 60 - Art. 60 GDPR - Cooperazione tra l’autorità di controllo capofila…→GDPR art. 62 - Art. 62 GDPR - Operazioni congiunte delle autorità di controllo→Cod. Privacy art. 1 - Art. 1 D.Lgs. 196/2003 - Oggetto→Cost. art. 15 - Segretezza comunicazioni→Art. 59 GDPR – Relazione di attività→Art. 63 GDPR – Meccanismo di coerenza→Art. 58 GDPR – Poteri→Art. 64 GDPR – Parere del comitato→Art. 57 GDPR – Compiti→Art. 65 GDPR – Composizione delle controversie da parte del comitato→Art. 56 GDPR – Competenza dell’autorità di controllo capofila→Art. 66 GDPR – Procedura d’urgenza
Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
In sintesi
Indice dei contenuti
La cooperazione orizzontale
L'art. 61 GDPR fonda l'assistenza reciproca tra Autorità di controllo, principio essenziale di cooperazione orizzontale. Le Autorità si scambiano informazioni utili e si forniscono assistenza per attuare e applicare il Regolamento in modo coerente. L'assistenza opera oltre il meccanismo capofila: anche tra Autorità che non sono in rapporto LSA-interessata, lo scambio è regolare per allineare prassi, raccogliere prove transfrontaliere, condurre indagini coordinate. Il considerando 133 sottolinea l'importanza.
Obbligo di assistenza (par. 1)
Il par. 1 prevede che le Autorità di controllo si forniscano reciprocamente informazioni e assistenza pertinenti per attuare e applicare il Regolamento in modo coerente, e adottino misure per cooperare in modo efficace. L'assistenza reciproca comprende, in particolare, le richieste di informazioni e le misure di controllo (autorizzazioni e consultazioni preventive, ispezioni e indagini). L'art. 61 è dunque base operativa per la cooperazione quotidiana tra Garanti.
Richiesta motivata (par. 2)
Il par. 2 disciplina la richiesta motivata: le Autorità di controllo si rivolgono richieste motivate per ricevere assistenza. La richiesta deve indicare la finalità, la base giuridica, le informazioni richieste. È strumento formale che innesca la cooperazione. Le richieste possono riguardare: accesso a documenti, audizione di testimoni, ispezioni in loco, accertamento di fatti, scambio di analisi.
Risposta entro un mese (par. 3-5)
Il par. 3-5 fissa i tempi: l'Autorità destinataria adotta tutte le misure appropriate per rispondere senza indebito ritardo e comunque non oltre un mese dalla ricezione della richiesta. Il termine può essere prorogato in casi complessi. La risposta è proporzionata al carattere e alla complessità della richiesta. La gratuità è regola (par. 5): nessun compenso tra Autorità.
Eccezioni e diniego motivato (par. 4)
Il par. 4 elenca le eccezioni che giustificano il diniego: (a) l'Autorità destinataria non è competente; (b) l'esecuzione contrasterebbe con il GDPR o con il diritto UE/SM; (c) il rispetto della richiesta violerebbe il segreto professionale. Il diniego deve essere motivato. La giurisprudenza ha precisato che le eccezioni sono restrittive: il rifiuto immotivato espone l'Autorità a rilievi da parte dell'EDPB e a sanzioni in cooperazione.
Gratuità e formato comune
L'EDPB ha sviluppato format comuni per le richieste di assistenza, piattaforme di scambio informativo (IMI, Internal Market Information System), procedure standardizzate. La cooperazione operativa è quotidiana: scambio di dati su istruttorie, segnalazioni di operatori transfrontalieri, allineamento di prassi su questioni emergenti (AI, cookie, breach). L'efficacia dell'assistenza reciproca è KPI fondamentale del sistema europeo.
Regola pratica e checklist operativa
Compliance art. 61: per Autorità: cooperazione operativa, uso di IMI, rispetto dei tempi. Per operatori: comprendere che le Autorità cooperano significa che istruttorie e sanzioni in un paese possono influenzare situazioni in altri. La governance transfrontaliera è unitaria.
Accountability e documentazione
Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.
Coordinamento con il Codice Privacy italiano
L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.
Casi pratici
Caso 1: Tizio: Garante richiede informazioni a Garante francese
Tizio, Garante, indaga su gruppo italiano con sede secondaria in Francia. Richiede informazioni alla CNIL via art. 61. Risposta entro 1 mese.
Caso 2: Caio: cooperazione su data breach transnazionale
Caio, Garante, riceve notifica di breach che coinvolge interessati in 5 SM. Coopera con Garanti corrispondenti ex art. 61: scambio analisi, allineamento misure.
Caso 3: Sempronio: rifiuto motivato
Sempronio, Garante, riceve richiesta da altra Autorità ma la richiesta riguarda materia esclusa. Par. 4, lett. a): diniego motivato per incompetenza.
Caso 4: Commento applicativo
L'art. 61 è la rete operativa europea. Cooperazione fluida tra Garanti riduce frammentazione, accelera istruttorie, allinea standard. Per operatori, prevedibilità.
Domande frequenti
Cosa è l'assistenza reciproca?
Scambio di informazioni e assistenza tra Autorità di controllo per applicare il GDPR in modo coerente. Include richieste di informazioni e misure di controllo.
Come si presenta una richiesta?
Motivata, con indicazione di finalità, base giuridica, informazioni richieste. Strumento formale che innesca la cooperazione.
Quanto tempo per rispondere?
Entro 1 mese dalla ricezione, prorogabile in casi complessi. La risposta è proporzionata al carattere della richiesta.
Quando si può rifiutare?
Tre eccezioni (par. 4): incompetenza, contrasto con GDPR/diritto UE/SM, violazione del segreto professionale. Diniego motivato.
Quali piattaforme di scambio?
IMI (Internal Market Information System) e altre piattaforme dedicate. Format comuni sviluppati dall'EDPB facilitano lo scambio.