Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Il documento

GDPR, la guida EDPB sui problemi di competenza tra autorità privacy UE

L’EDPB ha pubblicato un’opinione, un documento con cui in risposta alle autorità francese e svedese si vuole far chiarezza sulla competenza delle autorità di protezione dei dati in casi particolari. Un problema che riguarda non solo gli enti, ma anche cittadini e imprese

19 Lug 2019

L’European Data Protection Board ha pubblicato un’opinione a proposito della competenza delle autorità di protezione dei dati. Un documento utile per cittadini e imprese e che, nei confronti delle autorità addette a valutare le violazioni al GDPR, “tenta di dare indicazioni preliminari per ridurre la conflittualità e anticipare controversie, mettendosi d’accordo su regole comuni”, spiega Francesco Pizzetti, ex Garante della privacy.

L’antefatto: la richiesta delle autorità francese e svedese

L’opinione dell’EDPB è stata pubblicata dopo che le autorità di protezione dei dati della Francia e della Svezia ha chiesto espressamente all’ente un parere riguardo all’autorità da considerare competente in caso di violazioni e di cambiamento delle circostanze.

Quando l’establishment viene spostato in un altro Paese dello Spazio economico europeo (EEA- European Economic Area), muta la competenza dell’ente di vigilanza, pur restando valide le decisioni prese fino al momento del trasferimento dall’ente. Lo stesso in caso di trasferimento da Paese non EEA a Paese EEA. Se invece avviene il contrario, cioè il passaggio a un Paese non EEA, l’autorità inizialmente coinvolta resterà competente.

Il problema della competenza delle autorità

WHITEPAPER
Mobile security: come proteggere gli smartphone dai malware
Mobility
Sicurezza

“Abbiamo ventotto Paesi UE e altrettante autorità di protezione dei dati, ma un unico tipo di regolamento. Il problema è chi è competente a valutare la violazione del GDPR quando questa avviene?”, spiega Pizzeti. L’autorità competente “è quella del Paese in cui il titolare del trattamento ha la sede principale, a meno che la violazione abbia una portata solo nazionale”.

La situazione “pone problemi enormi per imprese e cittadini. Il provvedimento cerca di risolvere in via anticipata conflitti tra le varie autorità. In questi casi tutte le autorità interessate devono interagire con la leading authority – aggiunge l’esperto -. In caso di controversie non sanate si rimanda al gruppo dei garanti europei, l’EDPB. Questo provvedimento”.

Le conseguenze per aziende e cittadini

Non si tratta di un documento rilevante solo per gli enti chiamati a esprimersi sulle controversie. Infatti è importante “anche per imprese e cittadini. Per esempio, magari in Italia pensano sia competente solo il Garante italiano, ma magari non è così e ci si deve rivolgere ad altre autorità straniere – precisa Pizzetti -. Le conseguenze ovviamente sono costi e oneri qualora si dovesse essere interessati a ricorrere”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4