Art. 72 GDPR — Procedura

Commento

Regole procedurali EDPB

L'art. 72 GDPR fissa le regole procedurali dell'EDPB. Il Comitato adotta decisioni a maggioranza semplice dei membri, salvo che il GDPR non preveda diversamente. Le decisioni vincolanti in composizione controversie (art. 65) richiedono maggioranza dei 2/3. Le procedure di consultazione obbligatoria (art. 64) operano con maggioranza semplice. La governance procedurale è essenziale per il funzionamento.

Quorum e votazioni

Il quorum e le votazioni operano secondo regole formali: la presenza di un quorum minimo (di norma maggioranza dei membri), votazioni palesi salvo casi specifici, tracciabilità del voto. Le decisioni sono motivate e includono indicazione delle posizioni divergenti per le decisioni a maggioranza qualificata. La procedura è strutturata per assicurare partecipazione effettiva.

Maggioranze richieste

Le maggioranze richieste variano: maggioranza semplice per decisioni ordinarie (linee guida, pareri non vincolanti); 2/3 per decisioni vincolanti in composizione controversie (art. 65); altre maggioranze per casi specifici. La differenziazione riflette la diversa natura delle decisioni: standard di prassi vs decisioni vincolanti.

Regolamento interno

Il par. 1 prevede che l'EDPB adotti il suo regolamento interno e organizzi le proprie modalità operative. Il regolamento interno disciplina dettagli procedurali: convocazione, ordine del giorno, voto, comitati di lavoro, ruolo del presidente, gestione del segretariato. È strumento di organizzazione operativa.

Lingue e traduzione

Il par. 2 prevede che il regolamento interno possa prevedere procedure scritte: in particolare, può prevedere che, in casi urgenti, le decisioni possano essere adottate con procedura scritta che permetta a tutti i membri di partecipare alla decisione. È flessibilità per gestire urgenze, mantenendo collegialità e tracciabilità.

Validità delle decisioni

Le lingue e la traduzione sono questione operativa: l'EDPB opera nelle 24 lingue ufficiali UE. Documenti chiave sono tradotti; le riunioni hanno interpretazione. La validità delle decisioni non dipende dalla lingua, ma la pubblicazione in tutte le lingue è regola di accessibilità.

Regola pratica e checklist operativa

Compliance art. 72: per Autorità: rispetto delle procedure, partecipazione attiva, voto motivato. Per operatori: comprensione delle dinamiche decisionali per interpretare il peso delle decisioni EDPB.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.