← Torna a GDPR (Reg. UE 2016/679)
Ultimo aggiornamento: 21 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • L'art. 65 GDPR disciplina la composizione delle controversie dall'EDPB.
  • Casi: disaccordo capofila-interessate, competenza stabilimento principale, non seguire parere obbligatorio.
  • Decisione vincolante per le Autorità.
  • Maggioranza 2/3 richiesta; fallback maggioranza semplice (par. 2-3).
  • Tempo: 1 mese + 1 mese di proroga.
  • Impugnabile davanti alla CGUE.

Testo dell'articoloVigente

Articolo 65 del Regolamento (UE) 2016/679 (GDPR) — Composizione delle controversie da parte del comitato.

Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.

Commento

Il meccanismo di risoluzione

L'art. 65 GDPR disciplina la composizione delle controversie da parte dell'EDPB. È il meccanismo di ultima istanza per risolvere disaccordi tra Autorità di controllo nel meccanismo di coerenza. L'EDPB adotta una decisione vincolante a maggioranza dei 2/3 dei membri. È procedura rara ma fondamentale: garantisce che il sistema non si blocchi in disaccordo. Il considerando 136 sottolinea l'importanza del meccanismo per assicurare l'applicazione uniforme.

Casi di attivazione (par. 1)

Il par. 1 elenca tre casi di attivazione: (a) Autorità capofila e Autorità interessate in disaccordo su progetto di decisione ex art. 60 (cooperazione capofila); (b) Autorità di controllo in disaccordo su quale di esse sia competente per lo stabilimento principale; (c) Autorità nazionale che non chiede il parere obbligatorio o non lo segue. Casi (a) e (c) sono più frequenti; il caso (b) è raro per via dei criteri chiari sul stabilimento principale.

Decisione vincolante (par. 1)

La decisione dell'EDPB è vincolante per le Autorità coinvolte. È regola sostanziale: senza vincolatività, il meccanismo sarebbe inefficace. Le Autorità nazionali devono conformare le proprie decisioni a quella dell'EDPB. La giurisprudenza ha confermato la natura vincolante e la possibilità di sanzioni per Autorità non conformi. Il sistema funziona come arbitrato istituzionale.

Procedura (par. 2-3)

Il par. 2-3 disciplina la procedura: l'EDPB ha 1 mese per decidere, prorogabile di 1 mese per casi complessi. La decisione richiede maggioranza 2/3 dei membri. Se la maggioranza non è raggiunta, l'EDPB decide con maggioranza semplice entro 2 settimane successive. La procedura è formalizzata, con scambio di posizioni e voto. La decisione è motivata e pubblicata.

Maggioranza qualificata 2/3

La maggioranza qualificata di 2/3 è richiesta per la sicurezza decisionale: solo una maggioranza ampia di Autorità può imporre una decisione vincolante. La regola riflette la composizione collegiale dell'EDPB (1 rappresentante per ogni SM, più EDPS, più Commissione senza voto). Per i 27 SM + EDPS, la 2/3 si traduce in circa 19 voti necessari. La maggioranza semplice opera come fallback se 2/3 non sono raggiunti.

Impugnabilità davanti alla CGUE

La decisione dell'EDPB è impugnabile davanti alla CGUE da parte delle Autorità destinatarie. La giurisprudenza CGUE (sentenza Schrems II, casi su Meta) ha consolidato il sindacato. Per gli operatori, la decisione EDPB integra il provvedimento della Autorità capofila e può essere oggetto di impugnazione nel giudizio nazionale (il giudice valuta congiuntamente). La governance è multilivello: Autorità → EDPB → CGUE.

Regola pratica e checklist operativa

Compliance art. 65: per operatori: (i) consapevolezza del meccanismo; (ii) per casi transfrontalieri rilevanti, monitoring delle interazioni capofila-interessate; (iii) preparazione per impugnazioni multilivello; (iv) integrazione decisioni EDPB nella prassi. Per Autorità: rispetto delle decisioni vincolanti.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.

Casi pratici

Caso 1: Tizio: disaccordo sanzione Meta

Tizio, Garante, in disaccordo con LSA (DPC) su importo sanzione Meta. Art. 65: EDPB decide con maggioranza 2/3. Decisione vincolante.

Caso 2: Caio: competenza contesa

Caio, due Garanti si contendono competenza su gruppo con sedi multiple. Art. 65, par. 1, lett. b): EDPB decide. Caso raro grazie a criteri chiari sull'stabilimento principale.

Caso 3: Sempronio: impugnazione CGUE

Sempronio, LSA, impugna decisione EDPB davanti alla CGUE. La CGUE ha sindacato i casi (Schrems II contesto, Meta). Governance multilivello.

Caso 4: Commento applicativo

L'art. 65 è il meccanismo di chiusura. Raramente attivato ma fondamentale per coerenza. Per operatori, la decisione EDPB integra il provvedimento e governa la prassi futura.

Domande frequenti

Quando interviene l'EDPB?

In tre casi (par. 1): disaccordo capofila-interessate su progetto di decisione, disaccordo su competenza dello stabilimento principale, non rispetto del parere obbligatorio.

La decisione è vincolante?

Sì, vincolante per le Autorità coinvolte. È regola sostanziale per l'efficacia del meccanismo.

Quale maggioranza?

2/3 dei membri dell'EDPB. Se non raggiunta, maggioranza semplice entro 2 settimane successive (par. 3).

Quanto tempo?

1 mese dalla sottoposizione, prorogabile di 1 mese per casi complessi (par. 2).

Posso impugnare?

Sì, davanti alla CGUE. La giurisprudenza CGUE ha sindacato decisioni EDPB. Per operatori, l'impugnazione del provvedimento finale include la valutazione della decisione EDPB.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 31 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.