Art. 97 GDPR — Relazioni della Commissione

Commento

La rendicontazione periodica della Commissione

L'art. 97 GDPR impone alla Commissione di presentare relazioni periodiche sull'applicazione del Regolamento. Entro il 25 maggio 2020 e successivamente ogni quattro anni, la Commissione presenta al Parlamento europeo e al Consiglio una relazione sulla valutazione e sul riesame del Regolamento. La norma è meccanismo di monitoraggio e ammodernamento: il Regolamento è atto base, ma la sua applicazione richiede valutazione continua per identificare problemi e opportunità di riforma.

Termini e frequenza (par. 1)

Il par. 1 fissa termini: prima relazione entro il 25 maggio 2020 (presentata); successivamente ogni 4 anni (2024, 2028, ecc.). La cadenza è regolare e consente valutazioni programmate. La Commissione può presentare relazioni intermedie su questioni specifiche.

Contenuto delle relazioni

Il contenuto include: valutazione dell'applicazione del Regolamento; identificazione di problemi attuativi; proposte di modifica o aggiornamento; analisi di temi specifici (trasferimenti, AI, biometria, ecc.); cooperazione con EDPB. La relazione del 2020 ha riconosciuto progressi ma identificato aree di miglioramento (frammentazione di Autorità, lentezza enforcement, sfide tecnologiche).

Cooperazione con EDPB e SM

La cooperazione con EDPB e SM è strutturale: la Commissione consulta l'EDPB, raccoglie input dagli SM, organizza consultazioni pubbliche, commissiona studi indipendenti. La relazione integra valutazione istituzionale e analisi empirica. È processo partecipativo che assicura legittimità.

Proposte di riforma

Le proposte di riforma derivano dalla relazione. Esempi: proposta di GDPR procedural regulation (2023) per rafforzare cooperazione e accelerare enforcement transfrontaliero; aggiornamento clausole tipo (Decisione 2021/914); allineamenti con AI Act e Data Governance Act. La riforma è continuo: il GDPR non è atto fisso ma sistema in evoluzione.

Impatto sulla prassi

L'impatto sulla prassi è significativo. Le relazioni della Commissione orientano le politiche dell'EDPB, le strategie degli Stati membri, le aspettative degli operatori. Per DPO e privacy professionals, sono lettura essenziale per anticipare evoluzioni. Le proposte legislative emergenti (procedural regulation, ePrivacy, Data Act) sono fortemente collegate ai contenuti delle relazioni.

Regola pratica e checklist operativa

Compliance art. 97: per DPO e privacy professionals: monitoring delle relazioni come intelligence strategica; partecipazione a consultazioni pubbliche; anticipazione di riforme. Per associazioni: contributo policy.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.