Art. 68 GDPR — Comitato europeo per la protezione dei dati

Commento

EDPB come pilastro istituzionale

L'art. 68 GDPR istituisce il Comitato europeo per la protezione dei dati (EDPB), erede del Working Party 29 ma con poteri rafforzati. È organo dell'Unione europea con personalità giuridica, composto dai presidenti delle Autorità di controllo nazionali (uno per SM), dal Garante europeo della protezione dei dati (EDPS) e dalla Commissione europea (senza diritto di voto). L'EDPB è l'attore centrale della governance europea della privacy: coordina, decide, pubblica linee guida, agisce nel meccanismo di coerenza.

Composizione (par. 3)

Il par. 1 prevede che l'EDPB sia istituito come organo dell'Unione con personalità giuridica. La personalità giuridica gli consente di agire autonomamente in attività amministrative, contrattuali, processuali. È istituzionalmente distinto dalla Commissione: dipende dalle Autorità nazionali nel proprio operato decisionale, ma ha autonomia gestionale. La sede è a Bruxelles, con segretariato fornito dall'EDPS.

Personalità giuridica (par. 1)

Il par. 3 specifica la composizione: il presidente di una delle Autorità di controllo di ogni SM e il EDPS, o i loro rispettivi rappresentanti. La Commissione partecipa alle attività e alle riunioni dell'EDPB senza diritto di voto. Il presidente designato della Commissione presiede gli incontri con la Commissione su questioni di sua competenza. Sono 28 membri votanti (27 SM + EDPS); per UE 27, 27+1 = 28.

Rappresentanti delle Autorità

I rappresentanti delle Autorità sono di norma i presidenti, ma possono essere altri membri o personale autorizzato. La continuità è essenziale: la stessa persona o successori formati partecipano a riunioni e gruppi di lavoro. La specializzazione tematica (AI, ePrivacy, breach, trasferimenti) è gestita tramite expert subgroups. L'investimento personale delle Autorità nell'EDPB è KPI di efficacia.

Partecipazione di EDPS e Commissione

L'EDPS (European Data Protection Supervisor) è il Garante europeo per le istituzioni UE, distinto dai Garanti nazionali. Partecipa all'EDPB con pieni diritti di voto. Fornisce anche segretariato all'EDPB. La doppia funzione (vigilanza UE + supporto EDPB) crea sinergie. L'EDPS è regolato dal Regolamento 2018/1725, parallelo al GDPR per istituzioni UE.

Sede e supporto

La Commissione partecipa senza diritto di voto. La sua presenza è essenziale per il coordinamento legislativo: la Commissione propone atti delegati, aggiornamenti, decisioni di adeguatezza. La sua partecipazione consente input legislativo e contributo tecnico. La separazione del voto preserva l'indipendenza dell'EDPB rispetto al potere esecutivo UE.

Regola pratica e checklist operativa

Compliance art. 68: per operatori: conoscere EDPB come riferimento europeo, monitoring delle posizioni, partecipazione a consultazioni pubbliche. Per Autorità: investimento nella partecipazione attiva. La governance europea è centralizzata.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.