Il Comitato europeo per la protezione dei dati o EDPB (European Data Proteciont Board) è stato istituito dal Regolamento generale sulla protezione dei dati (Regolamento UE 2016/679 o GDPR). Non ha un ruolo diretto nell’applicazione della normativa per i soggetti operanti nei diversi Stati europei ma, di fatto, agendo per armonizzare l’applicazione del GDPR a livello europeo, influenza l’applicazione dello stesso da parte delle autorità di controllo nazionali (Garante della privacy). Per questo motivo è utile conoscerne l’attività.
Che cos’è il Comitato europeo per la protezione dei dati?
Il Comitato è un organismo dell’Unione europea con personalità giuridica, composto dai Garanti della privacy di ciascuno Stato membro dell’Unione Europea e dal Garante europeo della protezione dei dati.
A che cosa serve l’EDPB?
Il compito del Comitato è essenzialmente uno: garantire l’applicazione coerente del GDPR tra i vari Stati facenti parte dell’Unione Europea.
Nella pratica il Comitato:
- fornisce consulenza alla Commissione europea in materia di protezione dei dati personali;
- fornisce parere alle autorità di controllo nazionali in merito alle loro decisioni (ex. l’elenco di trattamenti soggetti alla valutazione d’impatto sulla protezione dei dati; la prima emissione, modifica o proroga di un codice di condotta);
- risolve le controversie tra le autorità di controllo nazionali attraverso l’emissione di decisioni vincolanti;
- pubblica linee guida, raccomandazioni e migliori prassi su qualsiasi questione relativa all’applicazione del Regolamento UE 2016/679 (
- promuove la cooperazione e lo scambio di informazioni e prassi tra le autorità di controllo;
- redige una relazione annuale sulla protezione dei dati personali all’interno dell’Unione europea e, se opportuno, nei paesi terzi e nelle organizzazioni internazionali (ossia nei casi in cui si ponga la problematica del trasferimento dei dati dall’Unione verso Stati non facenti parti dell’UE).
Quali sono le attività dell’EDPB da tenere sotto controllo
Il sito dell’EDPB merita di essere consultato per prendere visione delle linee guida adottate, che possono riguardare aspetti di interesse della gestione della privacy a livello aziendale. Per quanto si tratti di disposizioni non vincolanti, conoscere l’orientamento europeo nella gestione dei dati personali consente di attuare in maniera più consapevole i requisiti di legge. Puoi trovare un esempio pratico nell’articolo relativo alla gestione delle telecamere in azienda.
Per lo stesso motivo, è utile una consultazione periodica del sito del Comitato per prendere visione delle news. Le notizie di stampa nazionale, in particolare, possono essere utili per le realtà che operano a livello internazionale, in quanto forniscono in via indiretta informazioni sull’applicazione del GDPR oltre le Alpi.
Prima dell’EDPB
Qui in Italia siamo appassionati di storia, per cui non possiamo sorvolare sulla differenza tra il prima e il dopo GPDR. Sarò molto sintetica, in ogni caso: prima dell’entrata in vigore del GDPR non esisteva un organismo del tutto equivalente, ma una parte delle attività veniva svolta dall’Article 29 Working Party (Art. 29 WP 29).
L’attività dell’Art. 29 WP è cessata ufficialmente il 25 maggio 2018, e le linee guida elaborate da questo organismo ritenute ancora attuali sono state approvate dall’EDPB nel corso della sua prima sessione plenaria, e sono infatti consultabili nel sito del Comitato alla pagina delle linee guida, pareri e raccomandazioni.
Attenzione a non fare confusione
Le sigle sono pratiche, ma c’è il rischio di confondersi: oltre all’EDPB potresti sentire parlare dell’EDPS, lo European Data Protection Supervisor o Garante europeo della privacy. I due soggetti sono distinti, fatta eccezione per la loro segreteria che è comune (art. 75 del GDPR).
La differenza essenziale riguarda le relative competenze: quelle dell’EDPS, istituito dal Regolamento 45/2001, riguardano il trattamento dei dati personali da parte di istituzioni, organi, uffici e agenzie dell’Unione europea.