Art. 69 GDPR — Indipendenza

Commento

Principio di indipendenza

L'art. 69 GDPR fissa l'indipendenza dell'EDPB: il Comitato europeo per la protezione dei dati agisce in piena indipendenza nello svolgimento dei suoi compiti e nell'esercizio dei suoi poteri ai sensi dei presenti regolamento. È estensione del principio di indipendenza già fissato per le Autorità nazionali (art. 52). La logica è coerente: senza indipendenza, l'EDPB diventerebbe strumento del potere esecutivo o di gruppi di pressione. Il considerando 139 sottolinea l'importanza.

Indipendenza nell'esercizio (par. 1)

Il par. 1 prevede che l'EDPB agisca in piena indipendenza. La regola opera nei confronti di: Commissione europea (anche se partecipa senza voto); Consiglio europeo; Parlamento europeo; governi nazionali; lobby; operatori controllati. L'EDPB decide autonomamente sulla base del Regolamento e delle proprie procedure. La giurisprudenza CGUE ha confermato la natura indipendente.

Indipendenza dei membri

L'indipendenza dei membri è componente del principio: i rappresentanti delle Autorità nazionali nell'EDPB sono già indipendenti ex art. 52 nelle proprie funzioni nazionali. Nell'EDPB votano secondo coscienza, sulla base del proprio mandato istituzionale, non secondo istruzioni del proprio governo. La doppia indipendenza (nazionale e europea) è caratteristica della governance.

Risorse del Comitato

Il par. 2 (non presente, ma implicito) richiede risorse adeguate. L'EDPB ha un proprio budget, supportato dal segretariato fornito dall'EDPS. Le risorse sono finanziarie e umane. L'EDPB ha personale dedicato, esperti tematici, supporto amministrativo. L'investimento nelle capacità è prerequisito di efficacia.

Procedure di decisione

Le procedure di decisione riflettono l'indipendenza: maggioranze qualificate (2/3 per decisioni vincolanti in composizione controversie), procedure trasparenti, motivazione delle decisioni. Le riunioni sono di norma riservate (segreto professionale), ma le decisioni e i pareri sono pubblicati. La trasparenza si combina con la riservatezza dell'istruttoria.

Effetti sulla prassi

Gli effetti sulla prassi sono significativi: le linee guida EDPB, anche se formalmente soft law, godono di forte autorità in virtù dell'indipendenza istituzionale. Operatori e Garanti nazionali si conformano. La giurisprudenza nazionale e CGUE cita pareri EDPB come riferimento interpretativo. L'autorevolezza dell'EDPB è frutto della sua indipendenza e della qualità tecnica del suo lavoro.

Regola pratica e checklist operativa

Compliance art. 69: per Autorità: rispetto dell'indipendenza dell'EDPB, partecipazione attiva, conformità alle decisioni. Per operatori: consapevolezza della centralità EDPB, monitoring linee guida, integrazione in compliance. L'indipendenza è valore strutturale.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.