• Domande frequenti
  • Glossario
Chiudi

Domande frequenti

Why are animal models used when testing the safety of a new therapy?
What role do preclinical and clinical trials play in ensuring patient safety?
Why are some conditions more suitable for gene and cell therapies than others?
There is an approved treatment available for my condition - why can't I receive it?
How to look for approved medicines?
How are medicines developed and approved?

Vedi tutte le FAQ

Chiudi

Glossario

Accelerated assessment
Adeno-associated virus (AAV)
Adenovirus
Adult stem cells
Advanced Therapy Investigational Medicinal Product (ATIMP)
Advanced Therapy Medicinal Product (ATMP)
Advertising 
Antibody
Antigen
Base editors

Vedi il Glossario completo

Autorità di protezione dei dati

Si prega di notare che, sebbene questa voce sia stata tradotta in italiano da un giurista sulla base delle versioni francese e inglese e della documentazione normativa di riferimento, potrebbero comunque sussistere errori.

Introduzione

Le autorità di protezione dei dati possono essere suddivise in tre livelli:

  1. A livello di Unione europea (UE): il Comitato europeo per la protezione dei dati
  2. Livello nazionale: le autorità nazionali per la protezione dei dati, designate dal Regolamento generale sulla protezione dei dati (GDPR) dell'Unione europea come “autorità di controllo”.
  3. Livello regionale: alcuni Paesi hanno autorità regionali per la protezione dei dati.

Attori principali

Il Comitato europeo per la protezione dei dati (EDPB) è un organismo europeo indipendente, incaricato di garantire l'applicazione coerente delle norme in materia di protezione dei dati (non solo il GDPR, ma anche laDirettiva sulla tutela dei dati nell’ambito dell’applicazione della legge, che disciplina la protezione dei dati nel settore specifico delle forze dell’ordine) all'interno dell'Unione Europea e dello Spazio Economico Europeo (che include Islanda, Liechtenstein e Norvegia). A tal fine, emette linee guida e pareri su questioni di rilevanza e adotta decisioni vincolanti in caso di controversie tra le autorità nazionali per la protezione dei dati.

L'EDPB è composto dai rappresentanti delle diverse autorità nazionali per la protezione dei dati e dal Garante europeo della protezione dei dati (EDPS). La Commissione europea partecipa alle sue riunioni, ma senza diritto di voto.

L’EDPB è stato istituito dal GDPR. Durante il periodo di vigenza della precedente Direttiva sulla protezione dei dati (Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati), l'autorità europea per la protezione dei dati era il cosiddetto Gruppo di lavoro Articolo 29 per la protezione dei dati, che ha cessato di esistere il 25 maggio 2018.

Le autorità nazionali per la protezione dei dati (considerando 117-123, articoli 51-59 del GDPR) sono autorità pubbliche indipendenti, istituite dagli Stati membri per vigilare sul rispetto del GDPR. Le loro principali competenze includono:

  1. Indagare su possibili violazioni delle norme in materia di protezione dei dati;
  2. Sanzionare i trasgressori;
  3. Gestire i reclami presentati contro persone fisiche e giuridiche soggette alla loro autorità;
  4. Fornire consulenza esperta su questioni relative alla protezione dei dati.

La loro competenza territoriale è determinata dal Paese in cui avvengono le attività di trattamento dei dati. L'elenco di tutte le autorità nazionali per la protezione dei dati è disponibile qui.

Una questione emersa riguardo alla competenza delle autorità nazionali per la protezione dei dati concerne la loro facoltà di indagare su potenziali violazioni del GDPR (in particolare i trasferimenti illeciti di dati verso Paesi terzi) quando esiste già una decisione della Commissione europea in merito. Secondo la sentenza della Grande Sezione della Corte di Giustizia dell'Unione Europea (Maximillian Schrems contro il Garante per la protezione dei dati, 6 ottobre 2015), l'esistenza di una decisione della Commissione che stabilisce che un Paese terzo garantisce un livello adeguato di protezione per i dati personali trasferiti non può eliminare né ridurre i poteri delle autorità di controllo nazionali. Tuttavia, spetta in ultima istanza alla Corte di Giustizia decidere sulla validità di una decisione della Commissione.

Oltre alle autorità per la protezione dei dati con competenza nazionale, possono esistere anche autorità regionali, come previsto dall'articolo 51(3) del GDPR, il quale stabilisce che, qualora in uno Stato membro vi siano più autorità per la protezione dei dati, deve essere designata un’autorità principale che le rappresenti tutte all'interno dell'EDPB

Finora, solo la Germania ha adottato questa possibilità. La Germania è composta da 16 stati federati (Bundesländer), ognuno dei quali dispone di una propria Autorità per la protezione dei dati, oltre a un'autorità federale di vigilanza.

L'EDPB non deve essere confuso con il Garante europeo della protezione dei dati (EDPS), un'autorità di controllo indipendente originariamente istituita dal Regolamento (CE) n. 45/2001 e attualmente disciplinata dal Regolamento (UE) n. 2018/1725. Le principali funzioni dell’EDPS sono:

  1. Garantire la protezione dei dati personali e dei diritti alla privacy nelle attività svolte dagli organi e dalle istituzioni europee;
  2. Fornire consulenza alle istituzioni e agli organi dell’UE su diverse questioni relative alla protezione dei dati;
  3. Intervenire dinanzi alla Corte di Giustizia dell’Unione Europea per fornire consulenza esperta in materia di protezione dei dati;
  4. Monitorare le nuove tecnologie in grado di mettere a rischio i dati personali;
  5. Cooperare con le autorità nazionali per la protezione dei dati.

Definizioni

Autorità di controllo: « 'autorità pubblica indipendente istituita da uno Stato membro ai sensi ». (Articolo 4(21) GDPR)

Autorità di controllo interessata: «autorità di controllo interessata»: un'autorità di controllo interessata dal trattamento di dati personali in quanto:

  1. Il titolare del trattamento o il responsabile del trattamento è stabilito sul territorio dello Stato membro di tale autorità di controllo;
  2. Gli interessati che risiedono nello Stato membro dell'autorità di controllo sono o sono probabilmente influenzatiin modo sostanziale dal trattamento; o
  3. Un reclamo è stato proposto a tale autorità di controllo ». (Articolo 4(22) GDPR)

Responsabile del trattamento: « : la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento; ». (Articolo 4(8) GDPR)

Titolare del trattamento: « la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri ». (Articolo 4(7) GDPR)

Problematiche

Alcuni responsabili del trattamento sono stabiliti in più di uno Stato membro e, potenzialmente, le loro attività di trattamento possono essere sottoposte alla supervisione di diverse autorità nazionali per la protezione dei dati (Articolo 56 del GDPR). A questo proposito, è necessario distinguere tra due diversi scenari:

  1. Se i mezzi e le finalità del trattamento dei dati sono determinati in un unico specifico stabilimento, l’autorità di controllo competente sarà quella del territorio in cui tale stabilimento è situato, e sarà responsabile della supervisione delle attività di trattamento dei dati;
  2. Se i mezzi e le finalità del trattamento dei dati sono determinati in più stabilimenti (come avviene, ad esempio, con alcune multinazionali), interverranno più autorità per la protezione dei dati, ciascuna con il compito di supervisionare le attività di trattamento dei dati svolte nel proprio territorio.

Opportunità e incentivi

A livello dell'UE, l'EDPB emette in particolare linee guida generali per chiarire la normativa e promuovere una comprensione comune delle leggi europee sulla protezione dei dati. Più in generale, in conformità con la sua Strategia attuale (2024-2027), l'EDPB ha individuato quattro pilastri principali per i suoi obiettivi strategici e le azioni chiave per raggiungerli:

  • Pilastro 1: Rafforzare l’armonizzazione e promuovere la conformità
  • Pilastro 2: Potenziare una cultura comune di applicazione delle norme e una cooperazione efficace
  • Pilastro 3: Salvaguardare la protezione dei dati nel panorama digitale in evoluzione e nell’interazione con altre normative
  • Pilastro 4: Contribuire al dialogo globale sulla protezione dei dati

Le attività dell’EDPB contribuiscono a chiarire la normativa per tutti gli attori coinvolti nella protezione dei dati, in particolare le autorità per la protezione dei dati, i responsabili e i titolari del trattamento, nonché gli interessati.

A livello nazionale, ogni autorità di controllo nazionale e regionale fornisce risorse ed è un punto di contatto chiave per chiarire le norme applicabili in materia di protezione dei dati sul proprio territorio.

Passi pratici

In alcuni casi, i titolari del trattamento sono tenuti a consultare preventivamente l’autorità per la protezione dei dati prima di avviare il trattamento dei dati, qualora la valutazione d'impatto sulla protezione dei dati, prevista dall’Articolo 35 del GDPR, riveli che il trattamento comporterebbe un rischio elevato se il titolare del trattamento non adottasse misure adeguate.

Un'altra interazione rilevante tra titolari del trattamento e autorità per la protezione dei dati riguarda la notifica delle violazioni dei dati personali (si veda anche il sottovoce "Mission creep / uso improprio dei dati").

Nessuna organizzazione è immune agli attacchi informatici e, di conseguenza, i titolari del trattamento devono essere preparati in anticipo a tali eventi. È essenziale adottare politiche di cybersicurezza robuste, per conformarsi al principio di integrità e riservatezza (Articolo 5(1)(f) del GDPR).

In caso di violazione dei dati personali, l’autorità di controllo competente deve essere notificata entro 72 ore dal momento in cui il titolare del trattamento ne è venuto a conoscenza, qualora la violazione possa comportare rischi per i diritti e le libertà delle persone fisiche (Articolo 33 del GDPR).

Gli interessati coinvolti devono essere altresì informati dal titolare del trattamento (Articolo 34 del GDPR). Il GDPR non stabilisce un limite di tempo specifico per tale comunicazione, ma prevede che essa debba avvenire "senza ingiustificato ritardo". Tuttavia, vi sono alcuni casi in cui i titolari del trattamento non sono tenuti a notificare la violazione ai soggetti interessati (Articolo 34(3) del GDPR):

  1. Quando il titolare del trattamento ha adottato in precedenza misure adeguate a proteggere i dati (ad esempio, la cifratura), rendendo così la violazione ininfluente per gli interessati;
  2. Quando, dopo la violazione, il titolare del trattamento ha adottato misure per eliminare i suoi effetti negativi sui diritti e sugli interessi degli interessati;
  3. Quando la notifica individuale comporterebbe uno sforzo sproporzionato, e può essere adeguatamente sostituita da una comunicazione pubblica o da una procedura analoga.

Interazione con i regolatori

Le autorità per la protezione dei dati sono responsabili di monitorare la conformità al GDPR. A tal fine, è fondamentale che le parti interessate tengano traccia delle loro attività di trattamento dei dati, al fine di dimostrare come i titolari del trattamento rispettino i loro obblighi ai sensi del GDPR.

Per questo scopo, potrebbe essere utile per i titolari del trattamento:

  1. Redigere inventari e mappature dei dati trattati all'interno della loro organizzazione;
  2. Creare politiche interne scritte per guidare tutto il personale su aspetti quali i periodi di conservazione dei dati, le modalità e i tempi di cancellazione;
  3. Definire chiaramente le rispettive responsabilità nel caso in cui vi siano più titolari del trattamento.

Legislazione dell’Unione Europea

Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (Testo rilevante ai fini del SEE), GU L 119 del 4.5.2016, pagg. 1–88, CELEX number: 32016R0679

Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio, GU L 119 del 4.5.2016, pagg. 89–131, CELEX number: 32016L0680

Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati, GU L 8 del 12.1.2001, pagg. 1–22 

Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (Testo rilevante ai fini del SEE.), PE/31/2018/REV/1, GU L 295 del 21.11.2018, pagg. 39–98

Linee guida dell’Unione Europea

Guidelines for identifying a controller or processor’s lead supervisory authority, Adopted on 13 December 2016 As last Revised and Adopted on 5 April 2017, Article 29 Data Protection Working Party, 16/EN WP 244 rev.01

Letterature pertinente (in inglese)

  1. Roles and Powers of National Data Protection Authorities: Moving from Directive 95/46/EC to the GDPR: Stronger and More ‘European’ DPAs as Guardians of Consistency? - Andra Giurgiu and Tine A Larsen. European Data Protection Law Review, 3 (2016): 342-352.
  2. The European Union general data protection regulation: what it is and what it means - Hoofnagle, C. J., van der Sloot, B., & Borgesius, F. Z. (2019). Information & Communications Technology Law, 28(1): 65-98.
  3. Data Protection Authorities in Central and Eastern Europe: Setting the Research AgendaTarasova, Ekaterina. The Right of Access to Information and the Right to Privacy, (2017): 139-149.

Ulteriori informazioni

Ringraziamenti

Pubblicazione: 21/03/2023

Autori:

Vera Lúcia Raposo, Associate Professor, NOVA School of Law - NOVA University of Lisbon; FutureHealthlaw / WhatNext.Law

Tomás de Brito Paulo, LL.M Law & Technology at Tilburg University, Tilburg, the Netherlands; Associate at Vieira de Almeida & Associados, Lisbon, Portugal

Revisione:

Aurélie Mahalatchimy, Responsabile EuroGCT del Work Package 4, UMR 7318 DICE CERIC, Aix-Marseille Università, CNRS, Aix-en-Provence, Francia

Traduzione:

Victoria Burakova-Lorgnier, Giurista, UMR 7318 DICE CERIC, Aix-Marseille Università, Aix-en-Provence, Francia nell'aprile 2025

Research Pathways Overview

Table of contents

Torna in alto
Hai trovato le informazioni in questa pagina utili? In caso contrario puoi lasciarci un messaggio per aiutarci a migliorare Mandaci i tuoi commenti