Art. 70 GDPR — Compiti del comitato

Commento

L'elenco strutturato dei compiti

L'art. 70 GDPR elenca i compiti del Comitato europeo per la protezione dei dati. Il par. 1 contiene una lista ampia (lett. a-y, oltre 25 voci) che traduce in attività operative la missione dell'EDPB: assicurare l'applicazione coerente del GDPR. Sono compiti di guida (linee guida, pareri), di coordinamento (cooperazione, scambio), di rappresentanza (relazioni esterne, internazionali), di consulenza (Commissione, istituzioni). Il par. 2 prevede che la Commissione possa richiedere all'EDPB di esaminare qualsiasi questione di applicazione del GDPR.

Coerenza applicativa

Il primo compito (lett. a) è sorvegliare e assicurare l'applicazione corretta del Regolamento nei casi previsti dagli artt. 64-65 (pareri obbligatori, composizione controversie). È funzione centrale: l'EDPB è arbitro istituzionale della coerenza. Negli ultimi anni l'EDPB ha decise casi rilevanti (Meta, Schrems II implementazione, Google) consolidando un corpo di prassi.

Sviluppo di linee guida

Le lett. b)-i) coprono compiti di sviluppo di standard interpretativi: pareri al legislatore UE, linee guida su materie GDPR (consenso, ePrivacy, contitolarità, accountability, breach, DPIA, AI, biometria, IoT), raccomandazioni su questioni emergenti, pareri su codici di condotta transnazionali, accreditamenti di organismi di certificazione. Lo sviluppo di linee guida è oggi attività intensiva: 20-30 documenti l'anno.

Pareri obbligatori e facoltativi

Le lett. j)-p) coprono compiti operativi: scambio di esperienze tra Autorità, sviluppo di buone pratiche, redazione di relazioni annuali sull'applicazione del Regolamento, sviluppo di criteri comuni di applicazione, raccolta e analisi di dati statistici. È funzione di knowledge management europeo. L'EDPB pubblica annualmente report di prassi e statistiche.

Cooperazione internazionale

Le lett. q)-y) coprono compiti esterni: cooperazione internazionale, partecipazione a forum globali, supporto a Autorità di paesi terzi, sviluppo di standard internazionali. L'EDPB è interlocutore di Garanti USA, asiatici, latinoamericani. Cooperazione con OCSE, Consiglio d'Europa, ONU. Contribuisce alla governance globale della privacy.

Raccolta dati e best practice

La raccolta dati e best practice è funzione strategica: l'EDPB compila statistiche europee su violazioni, reclami, sanzioni, ispezioni. Pubblica annual reports comparativi. Identifica trend emergenti. Sviluppa toolkit per PMI. Promuove formazione e ricerca. È centro di intelligence europea sulla privacy, di crescente rilievo per academia, industry, civil society.

Regola pratica e checklist operativa

Compliance art. 70: per operatori: (i) monitoring sistematico linee guida EDPB; (ii) integrazione in policy; (iii) standard di prassi europea; (iv) anticipazione di trend; (v) partecipazione a consultazioni pubbliche. Per Autorità: cooperazione attiva, partecipazione.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.