In sintesi
- L'art. 66 GDPR introduce la procedura d'urgenza per casi eccezionali.
- L'Autorità adotta misure provvisorie immediate sul proprio territorio.
- Validità massima: 3 mesi.
- Casi tipici: data breach massivi, trattamenti illeciti gravi, situazioni di crisi.
- EDPB può rilasciare parere/decisione urgente entro 2 settimane.
- Maggioranza semplice per urgenza (anziché 2/3).
Testo dell'articoloVigente
Articolo 66 del Regolamento (UE) 2016/679 (GDPR) — Procedura d’urgenza.
Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Commento
Logica della procedura d'urgenza
L'art. 66 GDPR introduce una procedura d'urgenza per casi in cui un'Autorità di controllo ritiene urgente intervenire per proteggere i diritti e le libertà degli interessati. La procedura ordinaria di cooperazione (art. 60) e di coerenza (artt. 63-65) può essere troppo lenta per emergenze: data breach massivi, trattamenti illegali in corso con danno grave, situazioni di crisi. La procedura d'urgenza consente intervento immediato con misure provvisorie. Il considerando 137 sottolinea l'importanza della tempestività.
Casi di attivazione (par. 1)
Il par. 1 prevede che l'Autorità di controllo, in casi eccezionali in cui ritenga urgente intervenire per proteggere i diritti e le libertà degli interessati, può, in deroga al meccanismo di coerenza di cui all'art. 63 e dei meccanismi di cooperazione di cui all'art. 60, adottare immediatamente misure provvisorie destinate a produrre effetti giuridici nel proprio territorio, con un periodo di validità determinato che non superi tre mesi. La proporzionalità è regola.
Misure provvisorie (par. 1)
Le misure provvisorie hanno effetti limitati nel tempo e nello spazio: nel territorio dell'Autorità e per massimo 3 mesi. È misura cautelare: blocca il rischio immediato senza pretendere di risolvere il caso definitivamente. Esempi: sospensione di trattamento dannoso, blocco di trasferimento, divieto di profilazione automatizzata, ordine di adozione di misure di sicurezza. Le sanzioni amministrative pecuniarie non rientrano tipicamente in misure d'urgenza (richiedono procedimento ordinario).
Cooperazione e rinvio all'EDPB (par. 2)
Il par. 2 prevede che l'Autorità, qualora abbia adottato una misura ai sensi del par. 1 e ritenga che misure definitive debbano essere adottate con urgenza, possa richiedere un parere urgente o una decisione vincolante urgente dell'EDPB. La richiesta motiva l'urgenza. L'EDPB delibera entro 2 settimane a maggioranza semplice. La velocità è critica: per casi di crisi, la procedura ordinaria di 8-14 settimane è troppo lenta.
Decisione urgente dell'EDPB
La decisione urgente dell'EDPB completa il quadro: può confermare le misure provvisorie, modificarle, o decidere su questioni di merito. La decisione ha effetti immediati. La maggioranza semplice riflette l'urgenza; in tempi ordinari servirebbe 2/3. La giurisprudenza ha visto applicazione della procedura in casi limitati ma significativi: data breach massivi con esposizione pubblica, tentativi di interferenza in elezioni, situazioni di crisi.
Durata e revisione
La durata limitata e la revisione assicurano proporzionalità. Le misure provvisorie scadono dopo 3 mesi o quando la procedura ordinaria definisce il caso. Per casi che richiedono misure più lunghe, l'Autorità deve avviare il procedimento ordinario o richiedere decisione EDPB definitiva. Il rinvio all'EDPB è strumento per consolidare misure d'urgenza in decisione strutturata.
Regola pratica e checklist operativa
Compliance art. 66: per operatori: (i) prevenire situazioni di crisi con sicurezza adeguata (art. 32); (ii) response plan breach efficace (art. 33); (iii) preparazione per intervento immediato del Garante; (iv) cooperazione attiva in caso di emergenza per ridurre durata e gravità delle misure.
Accountability e documentazione
Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.
Coordinamento con il Codice Privacy italiano
L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.
Casi pratici
Caso 1: Tizio: data breach massivo
Tizio, Garante, scopre data breach in corso con esposizione di milioni di record. Adotta misure provvisorie urgenti: sospensione trattamento, divieto trasferimento. 3 mesi.
Caso 2: Caio: tentativo interferenza elezioni
Caio, Garante, identifica trattamento illegale di dati per interferenza elettorale. Art. 66: misure provvisorie + richiesta urgente all'EDPB.
Caso 3: Sempronio: AI con bias discriminatorio
Sempronio, Garante, identifica sistema AI con bias discriminatorio gravi. Misure provvisorie di sospensione. Rinvio all'EDPB per decisione strutturale.
Caso 4: Commento applicativo
L'art. 66 è lo strumento di emergenza. Raramente attivato ma essenziale per crisi. Per operatori, sapere che le Autorità possono intervenire d'urgenza accresce la pressione su sicurezza e governance.
Domande frequenti
Cosa è la procedura d'urgenza?
Procedura che consente alle Autorità di controllo di adottare misure provvisorie immediate in casi eccezionali, deroga al meccanismo di coerenza ordinario.
Quanto durano le misure provvisorie?
Massimo 3 mesi. Per misure più lunghe, l'Autorità deve avviare procedimento ordinario o richiedere decisione EDPB definitiva.
Quando si attiva?
In casi eccezionali in cui urgente intervenire per proteggere diritti e libertà: data breach massivi, trattamenti illeciti gravi, situazioni di crisi.
L'EDPB interviene?
Può intervenire su richiesta dell'Autorità con parere o decisione urgente entro 2 settimane, maggioranza semplice (par. 2).
Le misure d'urgenza sono impugnabili?
Sì, davanti al giudice nazionale dello SM dell'Autorità che ha adottato la misura. Il ricorso non sospende automaticamente l'esecuzione.
Vedi anche