Art. 76 GDPR — Riservatezza

Commento

La riservatezza dei lavori

L'art. 76 GDPR fissa la riservatezza dei lavori dell'EDPB. Le discussioni dell'EDPB sono riservate, salvo che diversamente disposto dal regolamento interno. È regola di funzionamento collegiale: la riservatezza tutela la libertà di posizione dei membri, evita influenze esterne durante l'istruttoria, protegge le informazioni sensibili condivise. Il considerando 140 sottolinea l'importanza per l'efficacia decisionale.

Obbligo di segreto professionale

L'obbligo di segreto professionale si estende ai membri dell'EDPB, al personale del segretariato, agli esperti consultati. È estensione tipica dell'obbligo per pubblici funzionari, rafforzato per la natura delle informazioni trattate (istruttorie in corso, dati personali, business confidenziale di operatori sotto investigazione). La violazione è sanzionabile sia disciplinarmente sia penalmente.

Estensione della riservatezza

L'estensione della riservatezza copre: discussioni nelle riunioni; bozze di documenti; informazioni di istruttorie; dati personali e business confidenziali condivisi dai membri; comunicazioni interne tra Autorità e segretariato. È perimetro ampio per garantire piena libertà di discussione.

Eccezioni alla riservatezza

Le eccezioni alla riservatezza sono limitate: decisioni adottate dall'EDPB sono pubbliche (decisioni vincolanti, pareri, linee guida); informazioni che il regolamento interno designa come pubbliche; informazioni necessarie per la cooperazione istituzionale con Commissione, Parlamento, Consiglio. La trasparenza dei prodotti finali (decisioni, pareri) si concilia con la riservatezza del processo decisionale.

Trasparenza istituzionale

La trasparenza istituzionale è regola complementare: decisioni motivate, comunicazioni pubbliche, relazioni annuali (art. 71). La riservatezza non è opacità: è strumentale al funzionamento. L'EDPB pubblica posizioni divergenti per decisioni a maggioranza qualificata, motivazioni delle decisioni, statistiche di attività. La governance ha doppio livello.

Coordinamento con accesso ai documenti UE

Il coordinamento con la disciplina UE sull'accesso ai documenti (Regolamento 1049/2001 sulla trasparenza) opera con bilanciamento. L'accesso ai documenti dell'EDPB è disciplinato da regole specifiche che bilanciano trasparenza e riservatezza. La giurisprudenza CGUE ha più volte affrontato il bilanciamento, riconoscendo la legittimità della riservatezza dell'istruttoria ma anche l'importanza della trasparenza.

Regola pratica e checklist operativa

Compliance art. 76: per membri e personale: rispetto del segreto, gestione informazioni sensibili. Per operatori: comprendere che le istruttorie sono riservate; le decisioni finali sono pubbliche e vincolanti.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.