Art. 75 GDPR — Segreteria

Commento

Il segretariato come supporto

L'art. 75 GDPR disciplina il segretariato dell'EDPB, fornito dall'EDPS (European Data Protection Supervisor). È supporto amministrativo, operativo, tecnico al Comitato: organizza riunioni, redige documenti, gestisce comunicazioni, conserva archivi. Senza segretariato efficiente, l'EDPB non potrebbe funzionare con la frequenza e la qualità richieste dall'attività normativa europea. Il considerando 140 sottolinea la natura strumentale.

Fornito dall'EDPS (par. 1)

Il par. 1 prevede che il segretariato sia fornito dall'EDPS. La scelta riflette le sinergie: l'EDPS è già impegnato in attività di protezione dei dati per le istituzioni UE; può fornire competenze, personale, infrastrutture al EDPB. La doppia funzione dell'EDPS (vigilanza UE + segretariato EDPB) è caratteristica del sistema, e ha consentito risparmi e coordinamento.

Indipendenza del segretariato

L'indipendenza del segretariato è regola implicita: il personale del segretariato esegue istruzioni del presidente EDPB e non dell'EDPS nelle funzioni di vigilanza. La separazione funzionale tra segretariato e attività di vigilanza dell'EDPS è disciplinata in protocolli interni. Il par. 2 prevede esplicitamente che il segretariato svolga i suoi compiti unicamente sotto le istruzioni del presidente EDPB.

Compiti del segretariato (par. 2)

Il par. 2 elenca i compiti del segretariato: organizzazione delle riunioni dell'EDPB; redazione di documenti, ordini del giorno, verbali; preparazione dei lavori dei comitati e delle riunioni; supporto nella gestione delle decisioni; coordinamento con segretariati di Autorità nazionali; gestione del sito web e delle pubblicazioni; supporto alla rappresentanza esterna del presidente. È funzione amministrativa ampia.

Risorse e personale

Le risorse e il personale del segretariato sono di dimensione significativa: 40-60 persone dedicate (2024), tra giuristi, IT, amministratori, comunicatori. Il personale è formato in materie GDPR e ha esperienza in cooperazione europea. La professionalità è KPI di efficacia. Il budget è incluso in quello dell'EDPS.

Coordinamento operativo

Il coordinamento operativo è complesso: segretariato EDPB lavora con 28 Autorità nazionali, in 24 lingue, su decine di dossier paralleli. Strumenti dedicati (sistemi documentali, gestione decisioni, comunicazione interna) supportano l'attività. La trasformazione digitale (anche del segretariato) è in corso.

Regola pratica e checklist operativa

Compliance art. 75: per il segretariato: efficienza operativa, professionalità, coordinamento. Per operatori: comprensione del segretariato come braccio operativo facilita comprensione del funzionamento EDPB.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.