In sintesi
- L'art. 93 GDPR disciplina la procedura di comitato per atti di esecuzione.
- Comitato composto da rappresentanti SM, presieduto dalla Commissione.
- Procedura consultiva (par. 2): casi limitati, voto non vincolante.
- Procedura di esame (par. 3): casi rilevanti, voto vincolante a maggioranza qualificata.
- Atti di esecuzione: decisioni adeguatezza, clausole tipo, criteri certificazione.
- Reg. UE 182/2011 sulla comitologia.
Testo dell'articoloVigente
Articolo 93 del Regolamento (UE) 2016/679 (GDPR) — Procedura di comitato.
Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Commento
La comitatologia UE
L'art. 93 GDPR disciplina la procedura di comitato (comitology) per gli atti di esecuzione della Commissione. La comitatologia è meccanismo istituzionale UE in cui la Commissione adotta atti di esecuzione assistita da un comitato composto da rappresentanti degli SM. La procedura assicura coinvolgimento dei governi nazionali e legittimità democratica. Il quadro generale è dato dal Regolamento (UE) 182/2011.
Il comitato come istituzione
Il comitato è composto da rappresentanti degli Stati membri (uno per SM) e presieduto dalla Commissione. Si applica il Regolamento 182/2011 sui meccanismi di controllo da parte degli SM dell'esercizio delle competenze di esecuzione della Commissione. Il comitato esamina i progetti di atti di esecuzione e si esprime sui medesimi.
Procedura di consultazione (par. 2)
Il par. 2 si riferisce alla procedura consultiva: per casi di importanza limitata, il comitato è consultato senza voto vincolante. La Commissione tiene conto del parere del comitato, ma può adottare l'atto anche in presenza di voto negativo. È procedura snella per casi non controversi.
Procedura di esame (par. 3)
Il par. 3 si riferisce alla procedura di esame: per casi rilevanti, il comitato esprime parere a maggioranza qualificata. Se il parere è negativo, la Commissione non può adottare l'atto, salvo le procedure previste dal Regolamento 182/2011 (riesame nel comitato d'appello). È procedura più stringente, applicabile a materie di particolare rilievo.
Atti di esecuzione
Gli atti di esecuzione adottabili in procedura di comitato includono: decisioni di adeguatezza (art. 45); approvazione di clausole tipo (art. 28, par. 7 e art. 46, par. 2, lett. c); approvazione di criteri di certificazione (art. 42, par. 5); standard tecnici per scambio di informazioni (art. 67). Sono atti di rilievo significativo: la decisione di adeguatezza USA-UE (DPF 2023) è stato uno degli atti di esecuzione più rilevanti.
Coordinamento con EDPB e atti delegati
Il coordinamento con l'EDPB e con gli atti delegati è organico. Per molti atti di esecuzione (es. clausole tipo, decisioni di adeguatezza), la Commissione consulta l'EDPB per parere prima di sottoporre al comitato. Il parere EDPB non è vincolante ma rilevante. Atti delegati e atti di esecuzione coesistono come strumenti complementari: delegati per integrazione/modifica del Regolamento, esecuzione per implementazione tecnica.
Regola pratica e checklist operativa
Compliance art. 93: monitoring delle Decisioni della Commissione (SCC, adeguatezza, certificazione). Per operatori transfrontalieri, leve operative. DPO segue Gazzetta UE e edpb.europa.eu.
Accountability e documentazione
Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.
Coordinamento con il Codice Privacy italiano
L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.
Casi pratici
Caso 1: Tizio: decisione di adeguatezza UE-Giappone
Tizio, Commissione, adotta decisione di adeguatezza per Giappone. Procedura di esame, parere EDPB, voto del comitato. Atto di esecuzione.
Caso 2: Caio: clausole tipo (SCC)
Caio, Commissione, aggiorna SCC (Decisione 2021/914). Procedura di esame, consultazione EDPB, voto del comitato. Atto di esecuzione di alta rilevanza.
Caso 3: Sempronio: criteri di certificazione
Sempronio, Commissione, approva criteri di certificazione Europrivacy. Procedura consultiva, parere comitato. Atto di esecuzione tecnico.
Caso 4: Commento applicativo
L'art. 93 è macchina di esecuzione UE. Per operatori, atti di esecuzione sono regole operative concrete: SCC, decisioni di adeguatezza, criteri certificazione. Monitoring delle Decisioni della Commissione.
Domande frequenti
Cosa è la procedura di comitato?
Meccanismo istituzionale UE in cui la Commissione adotta atti di esecuzione assistita da un comitato di rappresentanti degli SM. Quadro generale: Reg. (UE) 182/2011.
Quali procedure?
Consultiva (par. 2) per casi limitati; esame (par. 3) per casi rilevanti. La procedura di esame ha voto vincolante a maggioranza qualificata.
Quali atti?
Decisioni di adeguatezza (art. 45), clausole tipo (artt. 28, 46), criteri di certificazione (art. 42), standard tecnici (art. 67). Atti di rilievo sostanziale.
Coordina con EDPB?
Sì, la Commissione consulta l'EDPB per parere prima del comitato. Parere EDPB non vincolante ma rilevante per la decisione finale.
Atti delegati vs di esecuzione?
Delegati: integrano/modificano il Regolamento (art. 92). Esecuzione: implementano tecnicamente. Coesistono come strumenti complementari.
Vedi anche