In sintesi
- L'art. 61 GDPR fonda l'assistenza reciproca tra Autorità di controllo.
- Scambio di informazioni e assistenza per coerenza applicativa.
- Richiesta motivata con indicazione di finalità, base, informazioni (par. 2).
- Risposta entro 1 mese dalla ricezione, proporzionata (par. 3-5).
- Eccezioni (par. 4): incompetenza, contrasto con GDPR, segreto professionale.
- Gratuità tra Autorità (par. 5); piattaforme di scambio (IMI).
Testo dell'articoloVigente
Articolo 61 del Regolamento (UE) 2016/679 (GDPR) — Assistenza reciproca.
Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Commento
La cooperazione orizzontale
L'art. 61 GDPR fonda l'assistenza reciproca tra Autorità di controllo, principio essenziale di cooperazione orizzontale. Le Autorità si scambiano informazioni utili e si forniscono assistenza per attuare e applicare il Regolamento in modo coerente. L'assistenza opera oltre il meccanismo capofila: anche tra Autorità che non sono in rapporto LSA-interessata, lo scambio è regolare per allineare prassi, raccogliere prove transfrontaliere, condurre indagini coordinate. Il considerando 133 sottolinea l'importanza.
Obbligo di assistenza (par. 1)
Il par. 1 prevede che le Autorità di controllo si forniscano reciprocamente informazioni e assistenza pertinenti per attuare e applicare il Regolamento in modo coerente, e adottino misure per cooperare in modo efficace. L'assistenza reciproca comprende, in particolare, le richieste di informazioni e le misure di controllo (autorizzazioni e consultazioni preventive, ispezioni e indagini). L'art. 61 è dunque base operativa per la cooperazione quotidiana tra Garanti.
Richiesta motivata (par. 2)
Il par. 2 disciplina la richiesta motivata: le Autorità di controllo si rivolgono richieste motivate per ricevere assistenza. La richiesta deve indicare la finalità, la base giuridica, le informazioni richieste. È strumento formale che innesca la cooperazione. Le richieste possono riguardare: accesso a documenti, audizione di testimoni, ispezioni in loco, accertamento di fatti, scambio di analisi.
Risposta entro un mese (par. 3-5)
Il par. 3-5 fissa i tempi: l'Autorità destinataria adotta tutte le misure appropriate per rispondere senza indebito ritardo e comunque non oltre un mese dalla ricezione della richiesta. Il termine può essere prorogato in casi complessi. La risposta è proporzionata al carattere e alla complessità della richiesta. La gratuità è regola (par. 5): nessun compenso tra Autorità.
Eccezioni e diniego motivato (par. 4)
Il par. 4 elenca le eccezioni che giustificano il diniego: (a) l'Autorità destinataria non è competente; (b) l'esecuzione contrasterebbe con il GDPR o con il diritto UE/SM; (c) il rispetto della richiesta violerebbe il segreto professionale. Il diniego deve essere motivato. La giurisprudenza ha precisato che le eccezioni sono restrittive: il rifiuto immotivato espone l'Autorità a rilievi da parte dell'EDPB e a sanzioni in cooperazione.
Gratuità e formato comune
L'EDPB ha sviluppato format comuni per le richieste di assistenza, piattaforme di scambio informativo (IMI, Internal Market Information System), procedure standardizzate. La cooperazione operativa è quotidiana: scambio di dati su istruttorie, segnalazioni di operatori transfrontalieri, allineamento di prassi su questioni emergenti (AI, cookie, breach). L'efficacia dell'assistenza reciproca è KPI fondamentale del sistema europeo.
Regola pratica e checklist operativa
Compliance art. 61: per Autorità: cooperazione operativa, uso di IMI, rispetto dei tempi. Per operatori: comprendere che le Autorità cooperano significa che istruttorie e sanzioni in un paese possono influenzare situazioni in altri. La governance transfrontaliera è unitaria.
Accountability e documentazione
Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.
Coordinamento con il Codice Privacy italiano
L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.
Casi pratici
Caso 1: Tizio: Garante richiede informazioni a Garante francese
Tizio, Garante, indaga su gruppo italiano con sede secondaria in Francia. Richiede informazioni alla CNIL via art. 61. Risposta entro 1 mese.
Caso 2: Caio: cooperazione su data breach transnazionale
Caio, Garante, riceve notifica di breach che coinvolge interessati in 5 SM. Coopera con Garanti corrispondenti ex art. 61: scambio analisi, allineamento misure.
Caso 3: Sempronio: rifiuto motivato
Sempronio, Garante, riceve richiesta da altra Autorità ma la richiesta riguarda materia esclusa. Par. 4, lett. a): diniego motivato per incompetenza.
Caso 4: Commento applicativo
L'art. 61 è la rete operativa europea. Cooperazione fluida tra Garanti riduce frammentazione, accelera istruttorie, allinea standard. Per operatori, prevedibilità.
Domande frequenti
Cosa è l'assistenza reciproca?
Scambio di informazioni e assistenza tra Autorità di controllo per applicare il GDPR in modo coerente. Include richieste di informazioni e misure di controllo.
Come si presenta una richiesta?
Motivata, con indicazione di finalità, base giuridica, informazioni richieste. Strumento formale che innesca la cooperazione.
Quanto tempo per rispondere?
Entro 1 mese dalla ricezione, prorogabile in casi complessi. La risposta è proporzionata al carattere della richiesta.
Quando si può rifiutare?
Tre eccezioni (par. 4): incompetenza, contrasto con GDPR/diritto UE/SM, violazione del segreto professionale. Diniego motivato.
Quali piattaforme di scambio?
IMI (Internal Market Information System) e altre piattaforme dedicate. Format comuni sviluppati dall'EDPB facilitano lo scambio.
Vedi anche