Il Comitato europeo per la protezione dei dati, un diritto senza confini

Grazie al Regolamento 679/2016 si assiste definitivamente ad una vera e propria caduta dei confini in materi di protezione dei dati personali; infatti, grazie al cosiddetto “pacchetto di protezione dati”, si evidenzia da un lato un importante accrescimento del ruolo delle autorità nazionali, non solo dal punto di vista dei poteri e dei compiti, ma anche un aumento delle materie di competenza, abbracciando molti ambiti, se non tutti, dell’ordinamento stesso.

Tutto ciò ha portato il Garante ad avere una rilevanza e operatività sempre più sovranazionale e proprio a tal fine il Regolamento stesso ha attribuito molte funzioni di controllo e assistenza in materie particolarmente delicate, avendo però sempre come riferimento importanti principi di carattere strettamente europeo, come ad esempio garantire il corretto funzionamento del mercato unico, esigendo quindi forme di cooperazione efficaci fra le diverse autorità nazionali di polizia e giudiziarie.

In questo particolare contesto di progressiva caduta dei confini, il diritto di protezione dei dati personali richiede importanti forme di cooperazione soprattutto a livello di Unione Europea, in cui è più forte l’esigenza dell’omogeneità di applicazione della disciplina stessa.

A tal scopo la direttiva dell’allora Comunità Europea n. 46/1995, aveva costituito un importante organo indipendente ex art. 29, detto anche gruppo art. 29, composto da un rappresentante delle autorità nazionali di controllo, a cui successivamente si è aggiunto il Garante Europeo, mentre il ruolo alla Commissione spettava il relativo segretariato.

Sebbene il Gruppo art. 29 possedeva compiti piuttosto limitati, ha cercato fin da subito di fornire, alle varie autorità di controllo nazionali, strumenti di rilevanza fondamentale, al fine non solo della giusta applicazione della norma di carattere nazionale, ma anche incentivando la creazione di un unico orientamento omogeneo sull’interpretazione della Direttiva n. 46 e molto spesso colmando le numerose lacune che uno strumento a carattere di armonizzazione, come la direttiva, si porta dietro.

Tuttavia, con l’andare del tempo il Gruppo si è visto accrescere le proprie funzioni, tant’è che sono state poi costituiti numerosi sottogruppi, fino alla costituzione di un vero e proprio centro interpretativo di riferimento, anticipando dunque quella che sarà la funzione tipica del Comitato Europeo per la protezione dei dati.

Con la disciplina contenuta all’interno del Regolamento si può osservare un vero e proprio spostamento del baricentro dell’azione dell’autorità verso una dimensione sempre più sovranazionale.

Infatti, la nuova disciplina pone in essere un nuovo sistema attraverso il quale è ora possibile gestire in maniera congiunta i trattamenti dei dati personale a carattere transfrontaliero, non solo utilizzando strumenti di assistenza reciproca fra autorità nazionali a carattere obbligatorio, ma individuando precisamente un’autorità capofila, definita come lead authority, che ha come fondamentale compito la gestione di reclami o violazioni del Regolamento97_.

Per poter però mantenere l’ordine all’interno di questa alquanto complessa procedura è stata prevista l’applicazione di uno strumento chiamato del meccanismo di coerenza ed è utilizzato per la disciplina stessa della cooperazione, che avviene fra le diverse autorità di controllo nazionale, assicurando l’uniforme applicazione su tutto il territorio dell’Unione del Regolamento e, nel contempo, si prevede la gestione di tal strumento mediante la diretta partecipazione del nuovo organo che ha sostituito il Gruppo di lavoro art. 29, ossia il Comitato europeo per la protezione dei dati personali.

Qualora in trattamento di dati personali possegga una dimensione non più locale, ma incida in maniera sostanziale sui soggetti interessati, residenti però presso diversi Stati membri, l’autorità nazionale di controllo, in cui viene riconosciuto come stabilimento principale, ovvero stabilimento unico del titolare, assume il ruolo di capofila, potendo poi adottare decisioni a carattere vincolante, attuando così uno stretto collegamento con le altre autorità nazionali.

Il meccanismo utilizzato al fine dello svolgimento di tale trattamento è lo strumento chiamato sportello unico e, sebbene pensato su misura per agevolare le imprese, può consentire la formazione di una decisione uniforme valevole a livello europeo, attuando non solo un’applicazione coerente della disciplina, ma permettendo anche una certa velocità nonché certezza giuridica e riduzione dell’iter burocratico.

Nei casi in cui si ravvisi un contrasto sorto durante la fase istruttoria, ovvero in relazione alla decisione scaturita da tal meccanismo, le autorità nazionali coinvolte possono rivolgersi al Comitato europeo per la protezione dei dati personali, il quale dovrà emettere una decisione vincolante.

Tuttavia, il compito del Comitato europeo non può essere limitato alla semplice risoluzione delle controversie, ipotesi molto rare, ma bensì salvaguardia e assicura la corretta applicazione del Regolamento stesso, mettendo in capo diversi strumenti, come ad esempio i pareri obbligatori, ma non vincolanti, linee guida, raccomandazioni, migliori prassi e infine decisioni.

Alla luce del quadro istituzionale finora esaminato si può notare come il perno del sistema della protezione dei dati personali, creato per garantire un livello identico di tutela dei dati personali lungo tutta l’Unione, risieda sempre di più nell’Unione Europea, in applicazione di un principio cardine del diritto europeo, ossia il principio di sussidiarietà, richiamato espressamente dal considerando Regolamento stesso.

A conseguenza di ciò molti principi cardine della disciplina hanno trovato, come luogo di nascita, proprio la sede europea, soprattutto in relazione non solo grazie ai meccanismi di cooperazione previsti fra autorità indipendenti, ma anche grazie all’importante supporto alla disciplina degli organismi indipendenti a carattere sovranazionale, come il Gruppo di lavoro art. 29 prima e Comitato europeo per la protezione dei dati personali poi.

Occorre infine sottolineare che è proprio in sede europea e non più solo presso gli organi nazionali, che i soggetti interessati, il titolare del trattamento e infine le singole autorità

nazionale di protezione possono trovare tutela; infatti, avverso alle decisioni del Comitato è possibile porre ricorso per annullamento, ex art. 263 TFUE, alla Corte di Giustizia dell’Unione Europea.

Inoltre, a conseguenza di ciò è possibile che se un atto dell’autorità nazionale, che attua una decisione del Comitato, venga impugnato presso l’autorità giurisdizionale nazionale, tale autorità non ha potere di invalidarla qualora la questione in oggetto è la validità della decisione stessa, dovendo infine rivolgersi alla Corte di Giustizia, in applicazione dell’art. 267 del TFUE.