Art. 67 GDPR — Scambio di informazioni

Commento

La regola dello scambio aperto

L'art. 67 GDPR fissa la regola dello scambio di informazioni: la Commissione può adottare atti di esecuzione di portata generale per specificare le disposizioni relative allo scambio di informazioni elettronico tra le Autorità di controllo e tra le Autorità di controllo e l'EDPB, in particolare il formato standardizzato di cui all'art. 64. La norma è di rinvio alla Commissione per specifiche tecniche: lo scambio efficace richiede infrastrutture comuni, format standardizzati, sicurezza. Il considerando 133 sottolinea l'efficienza.

Soggetti dello scambio

Lo scambio coinvolge le Autorità di controllo nazionali (tra loro), le Autorità nazionali e l'EDPB, la Commissione europea, eventualmente autorità di paesi terzi e organizzazioni internazionali nell'ambito di accordi (art. 50). I contenuti includono: progetti di decisione, pareri, dati di istruttoria, statistiche, segnalazioni, allerte. La scala è significativa: migliaia di comunicazioni annue tra Garanti europei.

Strumenti tecnologici di scambio

Gli strumenti tecnologici di scambio includono IMI (Internal Market Information System), piattaforma sviluppata dalla Commissione europea, e sistemi dedicati EDPB. IMI è usata per richieste di assistenza, scambio di documenti, notifiche. È sistema sicuro, multilingue, accessibile alle Autorità autorizzate. Per scambi più specifici (dati sensibili, indagini in corso), canali ad hoc cifrati. La sicurezza dello scambio è essenziale: le informazioni scambiate sono spesso confidenziali.

Riservatezza nello scambio

La riservatezza dello scambio è regola implicita ma fondamentale: le informazioni scambiate tra Autorità sono coperte da segreto professionale (art. 54, par. 2) e dalle norme di confidenzialità delle istruttorie. La divulgazione è circoscritta: pubblicazione di decisioni motivate (con eventuali oscurazioni), reporting in relazioni annuali, comunicazioni ufficiali. La riservatezza interna non impedisce trasparenza istituzionale.

Coordinamento europeo

Il coordinamento europeo è organico. L'EDPB coordina gli scambi tra Autorità, organizza piattaforme di scambio, sviluppa format standardizzati. La Commissione adotta atti di esecuzione su questioni tecniche. La cooperazione operativa è quotidiana: scambio di intelligence su violazioni, segnalazioni di operatori transfrontalieri, allineamento di prassi. L'efficacia dello scambio è KPI fondamentale del sistema europeo.

Best practice operative

Le best practice operative includono: format standardizzati per richieste e risposte; canali dedicati per emergenze; meeting periodici (annuali e tematici); pool di esperti per indagini complesse; database condivisi di provvedimenti e prassi. L'EDPB ha sviluppato una governance interna sofisticata. Per le Autorità, l'investimento in capacità di scambio (personale dedicato, sistemi sicuri) è elemento di efficacia.

Regola pratica e checklist operativa

Compliance art. 67: per Autorità: investimento in capacità di scambio, sicurezza, personale dedicato. Per operatori: consapevolezza che le Autorità cooperano significa visibilità unitaria di situazioni transfrontaliere; coerenza nella comunicazione con le diverse Autorità è essenziale.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.