In sintesi
- L'art. 54 GDPR rinvia al diritto SM per aspetti istituzionali delle Autorità.
- Materie (par. 1): istituzione, requisiti membri, nomina, durata, rinnovabilità, incompatibilità, dimissioni/rimozione.
- Segreto professionale per membri e personale (par. 2), anche dopo il mandato.
- Coerenza con il GDPR: gli SM non possono compromettere l'indipendenza.
- Diritto comparato: Germania federale, Francia CNIL, Irlanda DPC, Italia Garante.
- In Italia: Codice Privacy D.Lgs. 196/2003, artt. 153-155.
Testo dell'articoloVigente
Articolo 54 del Regolamento (UE) 2016/679 (GDPR) — Norme sull’istituzione dell’autorità di controllo.
Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Commento
Aspetti istituzionali di competenza nazionale
L'art. 54 GDPR rinvia al diritto degli Stati membri per la regolazione di aspetti istituzionali specifici delle Autorità di controllo. La norma è di rinvio: gli aspetti di organizzazione, struttura, finanziamento, status dei membri sono materia degli SM, nel rispetto dei principi del GDPR (indipendenza, risorse, trasparenza). La logica è di sussidiarietà istituzionale: ogni SM organizza la propria Autorità coerentemente con il proprio quadro costituzionale e amministrativo. Il considerando 121 sottolinea la flessibilità.
Materie regolate dal diritto SM (par. 1)
Il par. 1 elenca le materie regolate dal diritto SM: istituzione di ciascuna Autorità; qualifiche e condizioni di idoneità richieste per essere nominato membro; norme e procedure per la nomina dei membri; durata del mandato (non inferiore a 4 anni, salvo il primo mandato di una Autorità di nuova istituzione); rinnovabilità (totale o parziale); motivi di incompatibilità dei membri; norme e procedure per le dimissioni e la rimozione dei membri.
Obbligo di segreto professionale (par. 2)
Il par. 2 prevede che i membri delle Autorità e il personale siano sottoposti, nel corso del loro mandato e dopo la sua cessazione, all'obbligo del segreto professionale conformemente al diritto UE/SM. Il segreto copre tutte le informazioni riservate apprese nell'esercizio delle funzioni, in particolare segnalazioni di violazioni effettuate dai segnalanti. È estensione tipica dell'obbligo per pubblici funzionari, rafforzato per la sensibilità dei dati personali trattati nelle ispezioni e investigazioni.
Conservazione dell'indipendenza
La conservazione dell'indipendenza è regola implicita: il diritto SM non può svuotare di sostanza i principi del Regolamento, ma deve coordinarli con il quadro nazionale. La giurisprudenza CGUE ha più volte annullato discipline nazionali che, formalmente compatibili con il GDPR, compromettevano l'indipendenza effettiva (caso Commissione/Ungheria sull'età pensionabile dei giudici e dei Garanti). La cooperazione SM-CGUE è continua.
Diritto comparato europeo
Sul piano del diritto comparato europeo, ogni SM ha sviluppato una sua identità istituzionale. Germania: federalismo con 17 Autorità (federale + Länder). Francia: CNIL come autorità amministrativa indipendente. Spagna: AEPD. UK pre-Brexit: ICO (ora indipendente dal sistema UE). Irlanda: DPC, autorità capofila di gran parte delle piattaforme globali per stabilimento europeo. Italia: Garante, struttura collegiale a 4 membri.
Riferimenti italiani
In Italia, l'istituzione del Garante è disciplinata dal Codice Privacy D.Lgs. 196/2003 come aggiornato dal D.Lgs. 101/2018. Articoli rilevanti: art. 153 (composizione del Collegio, durata 7 anni, non rinnovabilità, incompatibilità), art. 154 (compiti), art. 155 (organizzazione interna, autonomia regolamentare). Il Garante adotta proprie norme di organizzazione tramite Regolamento di funzionamento. Le procedure per il personale sono coordinate con il diritto generale del pubblico impiego.
Regola pratica e checklist operativa
Compliance art. 54: per SM: coerenza dell'organizzazione con i principi GDPR, evitare strutture che compromettano l'indipendenza, garantire risorse, prevedere segreto professionale. Per operatori: conoscere la struttura dell'Autorità competente facilita l'interlocuzione e il rispetto delle procedure.
Accountability e documentazione
Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.
Coordinamento con il Codice Privacy italiano
L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.
Casi pratici
Caso 1: Tizio: nomina con maggioranza qualificata
Tizio è eletto Presidente Garante con maggioranza dei 2/3 del Parlamento in seduta comune. Procedura italiana ex art. 54 + art. 153 D.Lgs. 196/2003.
Caso 2: Caio: ex membro e segreto
Caio, ex componente Garante, è interpellato come consulente. Art. 54, par. 2: segreto professionale anche dopo il mandato. Non può rivelare informazioni apprese.
Caso 3: Sempronio: ricorso CGUE su rimozione
Sempronio, governo, abolisce Garante con legge ordinaria. La CGUE sanziona: violazione dell'indipendenza ex GDPR + Carta UE. Lo SM deve ricostituire.
Caso 4: Commento applicativo
L'art. 54 è il punto di equilibrio. Gli SM organizzano le Autorità ma non possono comprometterne l'indipendenza. La cooperazione SM-CGUE è continua.
Domande frequenti
Cosa è di competenza SM?
Istituzione dell'Autorità, requisiti dei membri, procedure di nomina, durata e rinnovabilità del mandato, incompatibilità, procedure di dimissioni/rimozione (par. 1).
Il diritto SM può comprimere l'indipendenza?
No. Il rinvio al diritto SM opera nel rispetto dei principi del GDPR e della Carta UE. Discipline che compromettono l'indipendenza sono sanzionate dalla CGUE.
Cos'è il segreto professionale?
Obbligo per membri e personale di non divulgare informazioni riservate apprese nell'esercizio delle funzioni. Estensione del segreto per pubblici funzionari, rafforzato per dati personali.
Quanto dura il mandato in Italia?
7 anni non rinnovabili (art. 153 D.Lgs. 196/2003). Non inferiore a 4 anni come standard GDPR.
Come è strutturato il Garante italiano?
Collegio di 4 membri (Presidente eletto con maggioranza dei 2/3 + 3 componenti), strutture operative coordinate dal Segretariato Generale. Articolazione in dipartimenti tematici.
Vedi anche