Art. 31 GDPR — Cooperazione con l’autorità di controllo

Commento

Obbligo di cooperazione

L'art. 31 GDPR impone al titolare e al responsabile del trattamento, nonché, ove applicabile, al loro rappresentante, di cooperare, su richiesta, con l'Autorità di controllo nell'esecuzione dei suoi compiti. La cooperazione è obbligo strutturale che integra l'accountability: senza cooperazione, l'enforcement è frustrato e la protezione dei diritti non si traduce in tutela effettiva. La norma è breve ma di portata sistemica: tutte le interazioni con il Garante (richieste, ispezioni, istruttorie, comunicazioni) ricadono nel suo ambito.

Soggetti obbligati

L'obbligo grava su titolari, responsabili e rappresentanti (art. 27). Per i contitolari (art. 26), la cooperazione è di ciascuno. Per i gruppi societari, è responsabilità di ogni entità che sia titolare o responsabile. Il DPO (art. 37) ha tipicamente ruolo di coordinamento dei rapporti con il Garante. La cooperazione include anche risposte a questionari, audit on-site, scambi informativi, partecipazione a istruttorie.

Modalità di cooperazione

La cooperazione si articola in: fornire informazioni richieste (con tempi e modalità ragionevoli); rendere disponibili documenti (registro art. 30, DPIA, contratti art. 28, policy); consentire accesso ai locali e ai sistemi in caso di ispezione; partecipare ad audizioni e a procedure di consultazione preventiva (art. 36); fornire dati al Garante anche su iniziativa, se previsto da norma (es. consultazione su nuove norme che impattano la privacy). La cooperazione non è meramente reattiva: include disponibilità proattiva.

Sanzioni per non cooperazione

La violazione dell'obbligo di cooperazione è sanzionata. L'art. 83, par. 4, lett. a prevede sanzioni fino al 2% del fatturato mondiale per violazione degli obblighi del titolare e del responsabile, inclusi quelli degli artt. 8, 11, 25-39, 42-43. La giurisprudenza del Garante ha aggravato le sanzioni quando il titolare ha opposto silenzio, ritardi sistematici, documentazione incompleta. La cooperazione è quindi anche scelta di mitigazione del rischio sanzionatorio: collaborare riduce sanzioni e velocizza la chiusura delle istruttorie.

Coordinamento con poteri ispettivi (art. 58)

Il coordinamento con i poteri ispettivi dell'art. 58 è organico. Il Garante può ordinare comunicazione di informazioni, accesso a locali, sequestro di documenti, condurre audit. Il titolare è obbligato a cooperare; il rifiuto integra ulteriore violazione. Il diritto di difesa resta tutelato: il titolare può opporre obiezioni motivate, può essere assistito da legali, può esibire documentazione successivamente per integrazione. Ma il rifiuto sistematico è sanzionato e può aggravare il quadro.

Buone pratiche operative

Sul piano operativo, le buone pratiche includono: punto di contatto unico per le richieste del Garante (privacy@, DPO); procedura interna di triage delle richieste; team multidisciplinare di risposta (DPO, legali, IT, business); template di risposta; raccolta tempestiva delle evidenze; tracciamento delle interazioni. L'EDPB ha promosso scambio di buone prassi tra Garanti, e i Garanti hanno pubblicato linee guida per la cooperazione transfrontaliera (art. 60).

Regola pratica e checklist operativa

Compliance art. 31: (i) punto di contatto unico (DPO); (ii) procedura interna di triage; (iii) team multidisciplinare di risposta; (iv) template e timeline; (v) preparazione pre-audit con documentazione raccolta; (vi) tracciamento delle interazioni con il Garante; (vii) formazione del personale sulla gestione di richieste e ispezioni.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.