Testo dell'articoloVigente
Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Articolo 97 del Regolamento (UE) 2016/679 (GDPR) – Relazioni della Commissione.
Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.
Vedi anche
→GDPR art. 96 - Art. 96 GDPR - Rapporto con accordi precedentemente conclusi→GDPR art. 98 - Art. 98 GDPR - Riesame di altri atti giuridici dell’Unione in mat…→Cod. Privacy art. 1 - Art. 1 D.Lgs. 196/2003 - Oggetto→Cost. art. 15 - Segretezza comunicazioni→Art. 95 GDPR – Rapporto con la direttiva 2002/58/CE→Art. 99 GDPR – Entrata in vigore e applicazione→Art. 94 GDPR – Abrogazione della direttiva 95/46/CE→Art. 93 GDPR – Procedura di comitato→Art. 92 GDPR – Esercizio della delega→Art. 91 GDPR – Norme di protezione dei dati vigenti presso chiese e associazioni religiose→Art. 90 GDPR – Obblighi di segretezza→Art. 89 GDPR – Garanzie e deroghe relative al trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici
Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
In sintesi
Indice dei contenuti
La rendicontazione periodica della Commissione
L'art. 97 GDPR impone alla Commissione di presentare relazioni periodiche sull'applicazione del Regolamento. Entro il 25 maggio 2020 e successivamente ogni quattro anni, la Commissione presenta al Parlamento europeo e al Consiglio una relazione sulla valutazione e sul riesame del Regolamento. La norma è meccanismo di monitoraggio e ammodernamento: il Regolamento è atto base, ma la sua applicazione richiede valutazione continua per identificare problemi e opportunità di riforma.
Termini e frequenza (par. 1)
Il par. 1 fissa termini: prima relazione entro il 25 maggio 2020 (presentata); successivamente ogni 4 anni (2024, 2028, ecc.). La cadenza è regolare e consente valutazioni programmate. La Commissione può presentare relazioni intermedie su questioni specifiche.
Contenuto delle relazioni
Il contenuto include: valutazione dell'applicazione del Regolamento; identificazione di problemi attuativi; proposte di modifica o aggiornamento; analisi di temi specifici (trasferimenti, AI, biometria, ecc.); cooperazione con EDPB. La relazione del 2020 ha riconosciuto progressi ma identificato aree di miglioramento (frammentazione di Autorità, lentezza enforcement, sfide tecnologiche).
Cooperazione con EDPB e SM
La cooperazione con EDPB e SM è strutturale: la Commissione consulta l'EDPB, raccoglie input dagli SM, organizza consultazioni pubbliche, commissiona studi indipendenti. La relazione integra valutazione istituzionale e analisi empirica. È processo partecipativo che assicura legittimità.
Proposte di riforma
Le proposte di riforma derivano dalla relazione. Esempi: proposta di GDPR procedural regulation (2023) per rafforzare cooperazione e accelerare enforcement transfrontaliero; aggiornamento clausole tipo (Decisione 2021/914); allineamenti con AI Act e Data Governance Act. La riforma è continuo: il GDPR non è atto fisso ma sistema in evoluzione.
Impatto sulla prassi
L'impatto sulla prassi è significativo. Le relazioni della Commissione orientano le politiche dell'EDPB, le strategie degli Stati membri, le aspettative degli operatori. Per DPO e privacy professionals, sono lettura essenziale per anticipare evoluzioni. Le proposte legislative emergenti (procedural regulation, ePrivacy, Data Act) sono fortemente collegate ai contenuti delle relazioni.
Regola pratica e checklist operativa
Compliance art. 97: per DPO e privacy professionals: monitoring delle relazioni come intelligence strategica; partecipazione a consultazioni pubbliche; anticipazione di riforme. Per associazioni: contributo policy.
Accountability e documentazione
Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.
Coordinamento con il Codice Privacy italiano
L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.
Casi pratici
Caso 1: Tizio: relazione 2020
Tizio, DPO, analizza relazione Commissione 2020. Identifica priorità di compliance: trasferimenti, cooperazione, AI. Orienta strategia futura.
Caso 2: Caio: procedural regulation
Caio, multinazionale, segue proposta di GDPR procedural regulation. Cambiamenti potenziali nella cooperazione capofila-interessate. Strategia di posizionamento.
Caso 3: Sempronio: consultazione pubblica
Sempronio, associazione, partecipa a consultazione pubblica della Commissione sulla relazione. Contributo settoriale alla policy europea.
Caso 4: Commento applicativo
L'art. 97 è il sistema di apprendimento. Per operatori, monitoring delle relazioni anticipa direzioni di riforma. Per DPO, strumento di intelligence strategica.
Domande frequenti
Quando la Commissione presenta relazioni?
Entro 25 maggio 2020 (presentata) e successivamente ogni 4 anni (2024, 2028, ecc.). Possibili relazioni intermedie su questioni specifiche.
Cosa contengono?
Valutazione dell'applicazione del Regolamento, problemi identificati, proposte di modifica o aggiornamento, analisi di temi specifici, cooperazione con EDPB.
A chi sono presentate?
Al Parlamento europeo e al Consiglio. Pubblicate per accesso pubblico.
Conducono a riforme?
Sì. Esempi: procedural regulation, aggiornamento clausole tipo, allineamenti con AI Act, Data Governance Act.
Posso partecipare?
Sì, tramite consultazioni pubbliche della Commissione e dell'EDPB. Associazioni, accademia, operatori, cittadini possono contribuire.