In sintesi
- L'art. 62 GDPR consente operazioni congiunte tra Autorità.
- Indagini, ispezioni, azioni di applicazione con personale di più SM.
- Autorità ospitante competente; ospiti agiscono sotto la sua guida.
- Poteri d'indagine possibili per ospiti, sotto autorità ospitante (par. 4).
- Notifica a EDPB e Commissione (par. 5).
- Casi: piattaforme transnazionali, gruppi multinazionali, trasferimenti USA.
Testo dell'articoloVigente
Articolo 62 del Regolamento (UE) 2016/679 (GDPR) — Operazioni congiunte delle autorità di controllo.
Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Commento
La cooperazione attiva
L'art. 62 GDPR consente alle Autorità di controllo di condurre operazioni congiunte, inclusi indagini, ispezioni e azioni di applicazione. È strumento di cooperazione attiva che va oltre lo scambio di informazioni: membri di un'Autorità possono partecipare ad operazioni sul territorio di un altro SM con poteri di indagine. La logica è di efficacia transfrontaliera: per casi complessi e su larga scala, una squadra mista è più efficace di azioni separate. Il considerando 134 sottolinea il valore.
Operazioni congiunte (par. 1)
Il par. 1 prevede che, ove appropriato, le Autorità conducano operazioni congiunte di applicazione, inclusi indagini e misure di esecuzione cui partecipano membri o personale delle Autorità di altri SM. È formalizzazione di una pratica già diffusa nella cooperazione tra autorità di vigilanza (es. autorità di concorrenza). La cooperazione è volontaria e basata su accordo tra le Autorità coinvolte.
Membri delle Autorità in altri SM (par. 2-3)
Il par. 2-3 disciplinano la partecipazione di membri/personale di un'Autorità all'operazione in un altro SM: l'Autorità ospitante è competente sul proprio territorio e i membri ospiti agiscono sotto la guida dell'Autorità ospitante. La partecipazione è autorizzata dall'Autorità ospitante. Il personale ospite osserva il diritto SM ospitante per quanto riguarda procedure e tutele. La fungibilità delle competenze è coordinata caso per caso.
Poteri esercitati nello SM ospitante (par. 4)
Il par. 4 prevede che, se richiesto, i membri o il personale dell'Autorità di un altro SM possano esercitare i poteri d'indagine conformemente al diritto SM ospitante e sotto l'autorità e in presenza dei membri o del personale dell'Autorità ospitante. È regola di accountability territoriale: l'Autorità ospitante mantiene responsabilità formale, ma l'operazione è effettivamente congiunta. La giurisprudenza ha confermato la validità degli atti compiuti.
Notifica di operazioni (par. 5-6)
Il par. 5-6 prevedono la notifica e la responsabilità: l'Autorità ospitante notifica all'EDPB e alla Commissione la prevista operazione congiunta. La responsabilità per atti illeciti dei membri/personale ospite è dell'Autorità ospitante, fatto salvo il regresso. La regola assicura tutela per le persone coinvolte nell'operazione: i diritti di difesa sono garantiti secondo il diritto SM ospitante.
Casi applicativi
Casi applicativi sono in crescita: operazioni congiunte su piattaforme transnazionali, indagini coordinate su data broker, audit di gruppi multinazionali, ispezioni in materia di trasferimenti USA. Spesso strutturate come task force temporanee, con specializzazione tematica. L'EDPB ha sviluppato linee guida per le operazioni congiunte. Il futuro vede crescita: l'EDPB ha proposto un GDPR procedural regulation per rafforzare la cooperazione.
Regola pratica e checklist operativa
Compliance art. 62: per operatori: (i) preparazione per ispezioni congiunte; (ii) protocolli multi-jurisdictional; (iii) team DPO-legali per risposte coordinate; (iv) documentazione unitaria; (v) gestione di richieste simultanee. La cooperazione attiva è realtà.
Accountability e documentazione
Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.
Coordinamento con il Codice Privacy italiano
L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.
Casi pratici
Caso 1: Tizio: ispezione congiunta Garante-CNIL
Tizio, multinazionale, è oggetto di ispezione congiunta: Garante italiano + CNIL francese a Milano e Parigi. Coordinamento ex art. 62.
Caso 2: Caio: task force EDPB
Caio è membro di task force EDPB su Google Analytics. Operazione congiunta tra Autorità europee: scambio analisi, raccolta dati, posizione unitaria.
Caso 3: Sempronio: responsabilità ospitante
Sempronio, Garante ospitante, riceve reclamo per atti compiuti da membri ospiti in operazione congiunta. Par. 6: responsabilità dell'Autorità ospitante.
Caso 4: Commento applicativo
L'art. 62 è cooperazione attiva. Per multinazionali, la possibilità di ispezioni coordinate è realtà operativa. Preparazione DPO + legali per multi-jurisdictional response.
Domande frequenti
Cosa sono le operazioni congiunte?
Indagini, ispezioni, azioni di applicazione condotte da più Autorità con partecipazione di personale di SM diversi.
Chi è competente?
L'Autorità ospitante è competente sul proprio territorio. I membri/personale ospite agiscono sotto la sua guida e con i poteri eventualmente delegati.
Quali poteri possono esercitare gli ospiti?
Poteri d'indagine, conformemente al diritto SM ospitante e sotto l'autorità ospitante (par. 4). Su autorizzazione specifica.
Chi risponde di illeciti?
L'Autorità ospitante (par. 6), salvo regresso verso la Autorità di provenienza. Tutela per persone coinvolte secondo diritto SM ospitante.
Quanto frequenti sono?
In crescita. Casi su piattaforme transnazionali, data broker, gruppi multinazionali, trasferimenti. L'EDPB sta sviluppando linee guida e proponendo riforme procedurali.
Vedi anche