In sintesi
- L'art. 64 GDPR disciplina i pareri dell'EDPB nel meccanismo di coerenza.
- Consultazione obbligatoria (par. 1): lista DPIA, codici transnazionali, criteri certificazione, BCR.
- Consultazione facoltativa (par. 2): questioni generali o trans-SM.
- Procedura: 8 settimane + 6 settimane di proroga (par. 3-4).
- Effetti: vincolanti per misure obbligatorie; standard di prassi per altre.
- Pubblicazione su edpb.europa.eu, knowledge base europea.
Testo dell'articoloVigente
Articolo 64 del Regolamento (UE) 2016/679 (GDPR) — Parere del comitato.
Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Commento
I pareri obbligatori dell'EDPB
L'art. 64 GDPR disciplina i pareri dell'EDPB nel meccanismo di coerenza. Il par. 1 elenca i casi in cui le Autorità nazionali devono consultare l'EDPB prima di adottare misure: misure che producono effetti in più SM (es. lista DPIA, codici transnazionali, clausole tipo, BCR, criteri di certificazione, autorizzazione di accordi amministrativi). La consultazione obbligatoria assicura allineamento ex ante: prima di adottare misure rilevanti, le Autorità sentono l'EDPB.
Casi di consultazione obbligatoria (par. 1)
Il par. 1 elenca le ipotesi: (a) lista delle tipologie di trattamento soggette a DPIA (art. 35, par. 4); (b) approvazione di codici di condotta transnazionali (art. 40); (c) approvazione di criteri di certificazione (art. 42); (d) approvazione di clausole tipo di protezione (art. 28, par. 8 e art. 46, par. 2, lett. d); (e) autorizzazione di clausole contrattuali ex art. 46, par. 3; (f) approvazione di norme vincolanti d'impresa (art. 47).
Procedura e tempi (par. 2-4)
Il par. 2 prevede che ogni Autorità, il presidente del Comitato o la Commissione possa richiedere all'EDPB un parere su qualunque questione di applicazione generale o che produca effetti in più SM. La richiesta facoltativa è strumento di chiarificazione su questioni emergenti: AI, biometria, AI Act, IoT, cybersecurity. La giurisprudenza ha valorizzato i pareri come standard di prassi.
Pareri facoltativi (par. 2)
Il par. 3-4 disciplina la procedura: l'EDPB delibera entro 8 settimane dal ricevimento della richiesta. Il termine può essere prorogato di 6 settimane per questioni complesse. La maggioranza richiesta è semplice. Il parere è motivato e pubblicato. Le Autorità devono prendere in considerazione il parere e, se non lo seguono, motivare la divergenza. La motivata non conformità può essere oggetto del meccanismo dell'art. 65 (composizione controversie).
Effetti del parere
Gli effetti del parere sono articolati: vincolante per misure soggette a consultazione obbligatoria (par. 1) — l'Autorità non può adottare la misura senza tenere conto del parere; di fatto vincolante per le Autorità che intendono seguire prassi divergenti (motivazione richiesta). Per gli operatori, i pareri costituiscono standard di prassi rilevanti per la propria compliance. Le sentenze CGUE su questioni connesse hanno spesso citato pareri EDPB.
Pubblicazione dei pareri
La pubblicazione dei pareri è regola di trasparenza. L'EDPB pubblica pareri, linee guida, raccomandazioni sul proprio sito (edpb.europa.eu) con classificazione per anno e materia. La biblioteca è oggi corposa: centinaia di documenti coprono praticamente ogni materia GDPR. Per DPO e privacy professionals, è risorsa essenziale. Per giudici, riferimento interpretativo (anche se non vincolante formalmente). Per Autorità nazionali, knowledge base di coordinamento.
Regola pratica e checklist operativa
Compliance art. 64: per operatori: (i) monitoring linee guida EDPB; (ii) integrazione in policy interne; (iii) standard di prassi; (iv) attenzione a nuovi pareri tematici (AI, biometria, IoT); (v) partecipazione a consultazioni pubbliche EDPB.
Accountability e documentazione
Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.
Coordinamento con il Codice Privacy italiano
L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.
Casi pratici
Caso 1: Tizio: codice transnazionale
Tizio, associazione, sottopone codice transnazionale al Garante italiano per approvazione. Garante consulta EDPB ex art. 64, par. 1, lett. b: parere obbligatorio.
Caso 2: Caio: parere su AI generativa
Caio, Garante, richiede parere EDPB su AI generativa ex art. 64, par. 2. EDPB pubblica parere che diventa standard di prassi europea.
Caso 3: Sempronio: divergenza motivata
Sempronio, Garante, non segue parere EDPB su materia specifica. Motivazione obbligatoria; possibile attivazione art. 65 (composizione controversie).
Caso 4: Commento applicativo
L'art. 64 è la consultation engine. Pareri EDPB sono pillole di prassi europea. Per operatori, monitoring proattivo e adattamento alle nuove guidance riduce sorprese.
Domande frequenti
Cosa fa l'EDPB?
Esprime pareri sulle misure che le Autorità intendono adottare (par. 1) e su questioni generali (par. 2). Strumento di coerenza europea.
Quando è obbligatorio il parere?
Per misure elencate al par. 1: lista DPIA, codici transnazionali, certificazioni, clausole tipo, BCR, autorizzazioni di clausole contrattuali.
Il parere è vincolante?
Per misure soggette a consultazione obbligatoria, è vincolante (l'Autorità non può ignorarlo). Per altre, di fatto è standard di prassi con motivazione richiesta in caso di divergenza.
Quanto tempo per il parere?
8 settimane, prorogabili di 6 per casi complessi (par. 3-4). Adottato a maggioranza semplice.
Posso consultare i pareri?
Sì, pubblicati su edpb.europa.eu. Knowledge base europea con centinaia di documenti per materia.
Vedi anche