Il Comitato europeo per la protezione dei dati (EDPB) è un organismo europeo indipendente, incaricato di garantire l'applicazione coerente delle norme in materia di protezione dei dati (non solo il GDPR, ma anche laDirettiva sulla tutela dei dati nell’ambito dell’applicazione della legge, che disciplina la protezione dei dati nel settore specifico delle forze dell’ordine) all'interno dell'Unione Europea e dello Spazio Economico Europeo (che include Islanda, Liechtenstein e Norvegia). A tal fine, emette linee guida e pareri su questioni di rilevanza e adotta decisioni vincolanti in caso di controversie tra le autorità nazionali per la protezione dei dati.
L'EDPB è composto dai rappresentanti delle diverse autorità nazionali per la protezione dei dati e dal Garante europeo della protezione dei dati (EDPS). La Commissione europea partecipa alle sue riunioni, ma senza diritto di voto.
L’EDPB è stato istituito dal GDPR. Durante il periodo di vigenza della precedente Direttiva sulla protezione dei dati (Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati), l'autorità europea per la protezione dei dati era il cosiddetto Gruppo di lavoro Articolo 29 per la protezione dei dati, che ha cessato di esistere il 25 maggio 2018.
Le autorità nazionali per la protezione dei dati (considerando 117-123, articoli 51-59 del GDPR) sono autorità pubbliche indipendenti, istituite dagli Stati membri per vigilare sul rispetto del GDPR. Le loro principali competenze includono:
- Indagare su possibili violazioni delle norme in materia di protezione dei dati;
- Sanzionare i trasgressori;
- Gestire i reclami presentati contro persone fisiche e giuridiche soggette alla loro autorità;
- Fornire consulenza esperta su questioni relative alla protezione dei dati.
La loro competenza territoriale è determinata dal Paese in cui avvengono le attività di trattamento dei dati. L'elenco di tutte le autorità nazionali per la protezione dei dati è disponibile qui.
Una questione emersa riguardo alla competenza delle autorità nazionali per la protezione dei dati concerne la loro facoltà di indagare su potenziali violazioni del GDPR (in particolare i trasferimenti illeciti di dati verso Paesi terzi) quando esiste già una decisione della Commissione europea in merito. Secondo la sentenza della Grande Sezione della Corte di Giustizia dell'Unione Europea (Maximillian Schrems contro il Garante per la protezione dei dati, 6 ottobre 2015), l'esistenza di una decisione della Commissione che stabilisce che un Paese terzo garantisce un livello adeguato di protezione per i dati personali trasferiti non può eliminare né ridurre i poteri delle autorità di controllo nazionali. Tuttavia, spetta in ultima istanza alla Corte di Giustizia decidere sulla validità di una decisione della Commissione.
Oltre alle autorità per la protezione dei dati con competenza nazionale, possono esistere anche autorità regionali, come previsto dall'articolo 51(3) del GDPR, il quale stabilisce che, qualora in uno Stato membro vi siano più autorità per la protezione dei dati, deve essere designata un’autorità principale che le rappresenti tutte all'interno dell'EDPB.
Finora, solo la Germania ha adottato questa possibilità. La Germania è composta da 16 stati federati (Bundesländer), ognuno dei quali dispone di una propria Autorità per la protezione dei dati, oltre a un'autorità federale di vigilanza.
L'EDPB non deve essere confuso con il Garante europeo della protezione dei dati (EDPS), un'autorità di controllo indipendente originariamente istituita dal Regolamento (CE) n. 45/2001 e attualmente disciplinata dal Regolamento (UE) n. 2018/1725. Le principali funzioni dell’EDPS sono:
- Garantire la protezione dei dati personali e dei diritti alla privacy nelle attività svolte dagli organi e dalle istituzioni europee;
- Fornire consulenza alle istituzioni e agli organi dell’UE su diverse questioni relative alla protezione dei dati;
- Intervenire dinanzi alla Corte di Giustizia dell’Unione Europea per fornire consulenza esperta in materia di protezione dei dati;
- Monitorare le nuove tecnologie in grado di mettere a rischio i dati personali;
- Cooperare con le autorità nazionali per la protezione dei dati.