Il quadro dei ruoli dello European Data Protection Board e delle autorità indipendenti

Il GDPR ha istituito un sistema di applicazione multilivello, basato su autorità di controllo nazionali indipendenti e sullo European Data Protection Board per garantire un'applicazione coerente in tutta l'Unione.

L'ambizione è chiara: un approccio armonizzato alla protezione dei dati in un mercato unico veramente digitale per i servizi. Tuttavia, la realtà presenta significative complessità e tensioni.

Le autorità di controllo nazionali sono organismi pubblici indipendenti incaricati di far rispettare il GDPR nei rispettivi Stati membri e di tutelare il diritto fondamentale alla protezione dei dati.

Questa indipendenza non è una semplice autonomia amministrativa standard; la Corte di giustizia dell'Unione europea ha interpretato il requisito che le autorità di protezione dei dati debbano avere "completa indipendenza" come assenza di qualsiasi influenza esterna, diretta o indiretta, sul processo decisionale dell'autorità.

Lo European Data Protection Board, o Comitato europeo per la protezione dei dati, ex articolo 68 del GDPR, mira a promuovere un'applicazione coerente della disciplina sulla protezione dei dati personali attraverso vari mezzi, tra cui l'adozione di linee guida, pareri, raccomandazioni, migliori pratiche e, soprattutto, decisioni vincolanti.

Il punto di forza fondamentale del quadro risiede in questo meccanismo di coerenza, in particolare nel processo di risoluzione delle controversie ai sensi dell'articolo 65.

Laddove un'autorità di controllo, che agisce come autorità capofila per il trattamento transfrontaliero - come la Data Protection Commission irlandese per le operazioni europee di Meta - elabora una decisione, deve sottoporla alle altre autorità di controllo interessate per il loro parere.

In caso di obiezioni che non possono essere risolte, la questione viene deferita al Comitato europeo per la protezione dei dati, che può adottare determinazioni vincolanti a maggioranza.

Questo meccanismo è vitale per superare interpretazioni nazionali divergenti e garantire una posizione unificata su questioni complesse che interessano i cittadini di tutta l'Unione Europea.

Tuttavia, questo quadro affronta sfide significative. Un problema chiave è l'applicazione incoerente tra le autorità di protezione dei dati. Questo rischio aumenta con i grandi titolari del trattamento come Meta, la cui autorità capofila - la Commissione irlandese per la protezione dei dati appunto - è stata criticata per essere stata presumibilmente troppo favorevole a società come Meta. Questa crescente divisione è culminata nel caso del trattamento dei dati di Meta per la pubblicità comportamentale.

La Commissione irlandese per la protezione dei dati, dopo indagini e la preparazione di progetti di decisione, inizialmente ha concluso che Meta poteva fare affidamento sulla base contrattuale del GDPR per giustificare la liceità del suo trattamento dei dati. Altre autorità dell'UE hanno sollevato preoccupazioni, in particolare evidenziando la mancanza di consenso dell'utente.

Questo disaccordo ha portato a un deferimento al Comitato europeo per la protezione dei dati ai sensi del processo di risoluzione delle controversie di cui all'articolo 65.

Il Comitato ha successivamente emesso decisioni vincolanti nel dicembre 2022, andando contro l'analisi della Commissione irlandese per la protezione dei dati e stabilendo che Meta aveva utilizzato illegalmente dati personali per la pubblicità senza un valido consenso, contrariamente all'articolo 6, paragrafo 1, del GDPR.

Il Comitato ha favorito una lettura più rigorosa di trattamento "necessario" ai sensi dell'articolo 6, paragrafo 1, lettera b), non considerando la pubblicità personalizzata essenziale per gli elementi fondamentali del contratto.

Questo caso illustra chiaramente il potere del Comitato di imporre un'interpretazione sostanziale e correggere ciò che altre autorità percepivano come formalismo procedurale potenzialmente normalizzante le pratiche di trattamento dei dati.

Un'altra debolezza risiede nella natura e nell'effetto degli orientamenti del Comitato europeo per la protezione dei dati, spesso definiti soft law. Sebbene le linee guida e i pareri adottati ai sensi dell'articolo 70 o dell'articolo 64, paragrafo 2, del GDPR siano intesi a incoraggiare un'applicazione coerente, mancano di forza giuridica vincolante intrinseca.

Ciò può portare a una mancanza di consenso sull'interpretazione e contribuire a un "mosaico di posizioni" tra gli Stati membri. Inoltre, sono state osservate carenze nella proattività del Comitato su alcuni argomenti, come i modelli "consenso o pagamento" e lo scraping di intelligenza artificiale, portando le autorità nazionali di protezione dei dati a emanare proprie linee guida, a volte dissonanti. Sebbene il Comitato abbia successivamente emesso un parere sui modelli "consenso o pagamento" su richiesta di tre autorità di protezione dei dati, ciò è avvenuto in seguito a iniziative nazionali.

La validità giuridica di questi strumenti di soft law è una questione pertinente, evidenziata dal ricorso di Meta contro il parere del Comitato europeo per la protezione dei dati sui modelli "consenso o pagamento" emesso ai sensi dell'articolo 64, paragrafo 2.

Meta ha chiesto l'annullamento di questo parere, ritenendo che produceva effetti giuridici vincolanti e che la sua irricevibilità avrebbe minato l'autonomia del diritto dell'UE e il suo diritto a una tutela giurisdizionale effettiva.

Meta ha sostenuto che il parere costringeva di fatto le autorità nazionali, in particolare la Commissione irlandese per la protezione dei dati, a imporre requisiti specifici, come l'offerta di un'alternativa gratuita accanto all'opzione "consenso o pagamento", portando a danni prevedibili attraverso la perdita di ricavi.

L'ordinanza della Corte di giustizia del 29 aprile 2025 nella causa T-319/24, Meta contro Comitato europeo per la protezione dei dati, ha dichiarato irricevibile il ricorso di Meta per annullamento. La Corte ha motivato che il parere contestato, adottato ai sensi dell'articolo 64, paragrafo 2, non produce di per sé effetti giuridici vincolanti.

Il parere serve a fornire un quadro per la valutazione caso per caso dei modelli "consenso o pagamento" e ricorda alle autorità di controllo gli aspetti da verificare. La Corte ha osservato che, sebbene il parere utilizzi termini come "dovrebbe", il contesto suggerisce una considerazione approfondita piuttosto che una censura assoluta dei modelli "consenso o pagamento".

Fondamentalmente, il GDPR non richiede alle autorità di controllo di "tenere nella massima considerazione" i pareri di cui all'articolo 64, paragrafo 2, a differenza dei pareri di cui all'articolo 64, paragrafo 1, relativi a specifici progetti di decisione.

La possibilità che le linee guida contenute nel parere diventino istruzioni obbligatorie sorge solo attraverso una successiva decisione vincolante del Comitato europeo per la protezione dei dati ai sensi dell'articolo 65, paragrafo 1, se, ad esempio, un'autorità di controllo capofila si discosta dal parere in un progetto di decisione riguardante specifiche operazioni di trattamento.

In merito alle argomentazioni di Meta relative alla violazione della tutela giurisdizionale effettiva, la Corte ha affermato che i tribunali degli Stati membri dell'UE possono valutare la validità di atti non vincolanti come il parere contestato mediante un rinvio pregiudiziale ai sensi dell'articolo 267 TFUE.

La Corte ha quindi ritenuto che il presunto danno di Meta, basato sul parere che richiedeva un'alternativa gratuita, derivasse da un "fraintendimento" della natura non vincolante del parere e si basasse su eventi futuri e incerti.

Questa sentenza sottolinea la natura di soft law dei pareri di cui all'articolo 64, paragrafo 2, e le limitate possibilità di ricorso giurisdizionale diretto contro tali strumenti. Sebbene intesi a promuovere la coerenza, il loro status non vincolante implica che la loro influenza dipenda dall'adozione volontaria da parte delle autorità di protezione dei dati o dalla loro eventuale incorporazione in decisioni vincolanti, ritardando potenzialmente un'applicazione armonizzata.

Oltre alla coerenza nell'interpretazione, il quadro si confronta anche con il delicato equilibrio tra indipendenza e responsabilità. Sebbene la completa indipendenza sia un pilastro, sono necessari meccanismi di responsabilità efficaci, ma difficili da realizzare, in particolare per i poteri di soft law.

Esistono canali di responsabilità politica, amministrativa e sociale, ma presentano limitazioni. La responsabilità politica attraverso la presentazione di relazioni al Parlamento europeo può essere ampia e le discussioni sono spesso informali.

La responsabilità amministrativa implica il ruolo di valutazione della Commissione e la fornitura di personale di segreteria e bilancio da parte del Garante europeo della protezione dei dati. Tuttavia, l'influenza del Garante attraverso il bilancio e la nomina del personale, e la mancanza di autonomia del Comitato europeo per la protezione dei dati in queste materie, sono considerate un ostacolo significativo al suo status indipendente.

La responsabilità sociale attraverso consultazioni pubbliche è spesso facoltativa e manca di trasparenza riguardo a come vengono presi in considerazione i contributi, sollevando potenziali rischi di cattura normativa senza sufficienti meccanismi di bilanciamento.

La responsabilità giurisdizionale per la soft law è problematica. Come dimostra il caso Meta, le azioni dirette di annullamento sono generalmente irricevibili a meno che l'atto non sia ritenuto produttivo di effetti giuridici vincolanti. È possibile un controllo indiretto tramite i tribunali nazionali che chiedono pronunce pregiudiziali, ma dipende dalla volontà del tribunale.

Inoltre, l'integrazione - o la mancanza di essa - delle autorità di protezione dei dati e del Comitato europeo per la protezione dei dati nelle strutture di applicazione di nuove leggi digitali come il Digital Services Act e il Digital Markets Act aggiunge un ulteriore livello di complessità, sollevando preoccupazioni in merito all'incertezza giuridica e all'inefficace applicazione in ambiti normativi correlati.

In conclusione, il quadro europeo per le autorità di protezione dei dati e il Comitato europeo per la protezione dei dati appare un sistema robusto ma imperfetto. La sua forza risiede nella capacità del Comitato, in particolare attraverso il meccanismo dell'articolo 65, di imporre coerenza e un'interpretazione potenzialmente più protettiva dei diritti, come si è visto nelle decisioni vincolanti su Meta in merito alle basi giuridiche.

Tuttavia, la natura non vincolante e le sfide alla revisione di altri strumenti come i pareri di cui all'articolo 64, paragrafo 2, combinate con problemi di proattività e potenziali disallineamenti delle autorità nazionali di protezione dei dati, creano incertezza e possono rallentare un'applicazione armonizzata.

La sentenza della Corte di giustizia dell'UE sul "consenso o pagamento" di Meta ha chiaramente delineato la limitata forza giuridica di tali pareri, ponendo l'onere dell'interpretazione e dell'applicazione vincolante su azioni future o sulla revisione giurisdizionale indiretta.

Allo stesso tempo, la vitale indipendenza di queste autorità deve essere bilanciata con una responsabilità efficace, un'area in cui i meccanismi attuali sembrano presentare limitazioni, in particolare per quanto riguarda i poteri di soft law del Comitato e il suo rapporto amministrativo con il Garante europeo della protezione dei dati.

Affrontare queste tensioni richiede uno sforzo continuo verso procedure più chiare, un'applicazione più coerente della soft law e la garanzia di una responsabilità robusta, pur rispettando l'indipendenza, il tutto chiarendo il ruolo degli organismi di protezione dei dati all'interno del più ampio panorama normativo digitale.