COMMISSIONE EUROPEA

Bruxelles, 4.7.2023

COM(2023) 348 final

2023/0202(COD)

Proposta di

REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

che stabilisce norme procedurali aggiuntive relative all'applicazione del regolamento (UE) 2016/679

RELAZIONE

1.CONTESTO DELLA PROPOSTA

•Motivi e obiettivi della proposta

·reclami: i reclami costituiscono una fonte essenziale di informazioni per l'accertamento delle violazioni delle norme in materia di protezione dei dati. Le autorità di protezione dei dati interpretano in modo diverso le prescrizioni relative alla forma di un reclamo, al coinvolgimento dei reclamanti nella procedura e al rigetto dei reclami. Ad esempio: un reclamo accolto da alcune autorità di protezione dei dati potrebbe essere rigettato da altre sulla base del fatto che non fornisce informazioni sufficienti; alcune autorità di protezione dei dati conferiscono ai reclamanti diritti pari a quelli delle parti oggetto dell'indagine, mentre altre non prevedono la partecipazione dei reclamanti o li coinvolgono in misura molto limitata; alcune autorità di protezione dei dati adottano una decisione formale per rigettare tutti i reclami a cui non è dato corso, mentre altre non lo fanno. Queste differenze fanno sì che il trattamento dei reclami e il coinvolgimento dei reclamanti vari a seconda del luogo in cui il reclamo viene proposto o di quale autorità di protezione dei dati sia l'autorità capofila per un determinato caso. Di conseguenza ritardano la conclusione dell'indagine e l'offerta di un rimedio all'interessato nei casi transfrontalieri. Nella risoluzione sulla relazione della Commissione sul GDPR del 2020, il Parlamento europeo ha sottolineato la necessità di chiarire la posizione dei reclamanti in caso di reclami transfrontalieri;

·diritti procedurali delle parti oggetto dell'indagine: i diritti della difesa delle parti oggetto dell'indagine costituiscono un principio fondamentale del diritto dell'Unione, che deve essere rispettato in ogni circostanza, in particolare nelle procedure che possono comportare sanzioni severe. Data la potenziale severità delle sanzioni che possono essere imposte, le parti oggetto dell'indagine per violazioni del GDPR devono beneficiare di garanzie analoghe a quelle previste dalle procedure di carattere penale. I diritti procedurali delle parti oggetto dell'indagine, come l'estensione del diritto di essere ascoltati o il diritto di accesso al fascicolo, variano in modo sostanziale tra gli Stati membri. La misura in cui le parti sono ascoltate, i tempi dell'audizione e i documenti che sono forniti alle parti per consentire loro di esercitare il diritto di essere ascoltate sono elementi nei confronti dei quali gli Stati membri adottano approcci diversi. Tali approcci diversi non sono sempre compatibili con la procedura prevista dall'articolo 60 GDPR, che si basa sulla presunzione che le parti oggetto dell'indagine abbiano esercitato i loro diritti della difesa prima della presentazione del progetto di decisione da parte dell'autorità di protezione dei dati capofila. Quando un caso è sottoposto al comitato per la composizione delle controversie, la misura in cui le parti sono state ascoltate sulle questioni sollevate nel progetto di decisione e sulle obiezioni delle autorità di protezione dei dati interessate possono variare. Inoltre non vi è chiarezza sulla misura in cui le parti oggetto dell'indagine dovrebbero essere ascoltate durante la composizione delle controversie da parte del comitato ai sensi dell'articolo 65 GDPR. La mancata garanzia del diritto di essere ascoltati può esporre maggiormente le decisioni delle autorità di protezione dei dati che riscontrano violazioni del GDPR a contestazioni giuridiche;

·cooperazione e composizione delle controversie: la procedura di cooperazione di cui all'articolo 60 GDPR è descritta a grandi linee. Nei casi transfrontalieri le autorità di protezione dei dati sono tenute a scambiare le "informazioni utili" nell'adoperarsi per raggiungere un consenso. Una volta che l'autorità di protezione dei dati capofila ha trasmesso un progetto di decisione sul caso, le altre autorità di protezione dei dati hanno la possibilità di sollevare "obiezioni pertinenti e motivate". Tali obiezioni aumentano la probabilità di ricorso alla composizione delle controversie (qualora l'autorità di protezione dei dati capofila non dia loro seguito). Sebbene sia un elemento essenziale per garantire un'interpretazione coerente del GDPR, la procedura di composizione delle controversie di cui all'articolo 65 GDPR dovrebbe essere riservata ai casi eccezionali in cui la leale cooperazione tra le autorità di protezione dei dati non ha portato a un consenso. L'esperienza nell'applicazione del GDPR nei casi transfrontalieri dimostra che la cooperazione tra le autorità di protezione dei dati prima della presentazione di un progetto di decisione da parte dell'autorità di protezione dei dati capofila è insufficiente. La mancanza di sufficiente cooperazione e il mancato raggiungimento di un consenso sulle questioni chiave dell'indagine in questa fase iniziale hanno fatto sì che numerosi casi fossero sottoposti alla composizione delle controversie.

La forma e la struttura delle obiezioni pertinenti e motivate presentate dalle autorità di protezione dei dati interessate durante la procedura di cooperazione transfrontaliera presentano differenze. Tali differenze ostacolano la conclusione efficiente della procedura di composizione delle controversie e l'inclusione nella stessa di tutte le autorità di protezione dei dati interessate, in particolare le autorità di protezione dei dati degli Stati membri più piccoli, che dispongono di un minor numero di risorse rispetto a quelle degli Stati membri più grandi.

·Il GDPR non prevede termini per le varie fasi della procedura di cooperazione e di composizione delle controversie. Alla luce della complessità variabile delle indagini e della discrezionalità delle autorità di protezione dei dati che svolgono le indagini sulle violazioni del GDPR, non è auspicabile fissare termini per ogni fase della procedura. Tuttavia l'imposizione di termini, ove opportuno, contribuirà a evitare ritardi ingiustificati nella chiusura dei casi.

·modulo di reclamo e posizione dei reclamanti: la proposta fornisce un modulo che specifica le informazioni richieste per tutti i reclami ai sensi dell'articolo 77 GDPR relativi al trattamento transfrontaliero e specifica le norme procedurali per il coinvolgimento dei reclamanti nella procedura, tra cui il diritto di esprimere le proprie opinioni. Essa specifica le norme procedurali per il rigetto dei reclami nei casi transfrontalieri e chiarisce i ruoli dell'autorità di protezione dei dati capofila e dell'autorità di protezione dei dati cui è stato proposto il reclamo in tali casi. La proposta riconosce l'importanza e la legittimità della composizione amichevole dei casi basati su un reclamo;

·armonizzazione mirata dei diritti procedurali nei casi transfrontalieri: la proposta conferisce alle parti oggetto dell'indagine il diritto di essere ascoltate nelle fasi principali della procedura, anche durante la composizione delle controversie da parte del comitato, e chiarisce il contenuto del fascicolo amministrativo e i diritti di accesso delle parti allo stesso. La proposta rafforza dunque i diritti della difesa delle parti e garantisce il rispetto coerente di tali diritti indipendentemente dall'autorità di protezione dei dati che conduce l'indagine;

·semplificazione della cooperazione e della composizione delle controversie: la proposta fornisce alle autorità di protezione dei dati gli strumenti necessari per raggiungere un consenso, attribuendo maggiore concretezza all'obbligo di cooperazione e di condivisione delle "informazioni utili" da parte delle autorità di protezione dei dati di cui all'articolo 60 GDPR. Il regolamento proposto istituisce un quadro che consente a tutte le autorità di protezione dei dati di incidere in modo significativo su un caso transfrontaliero, comunicando le loro opinioni nelle prime fasi della procedura di indagine e utilizzando tutti gli strumenti previsti dal GDPR. In particolare ciò faciliterà il raggiungimento di un consenso e ridurrà la probabilità di divergenze nelle fasi successive della procedura, che richiederebbero il ricorso al meccanismo di composizione delle controversie. In caso di disaccordo tra le autorità di protezione dei dati sulla questione chiave dell'ambito dell'indagine nei casi basati su un reclamo, la proposta prevede che il comitato possa risolvere il disaccordo adottando una decisione vincolante d'urgenza. Il coinvolgimento del comitato in questo aspetto specifico offre all'autorità di protezione dei dati capofila la chiarezza necessaria per procedere con l'indagine e garantisce che il disaccordo sull'ambito dell'indagine non richieda il ricorso al meccanismo di composizione delle controversie di cui all'articolo 65.

La proposta stabilisce prescrizioni dettagliate per la forma e la struttura delle obiezioni pertinenti e motivate sollevate dalle autorità di protezione dei dati interessate, facilitando quindi l'effettiva partecipazione di tutte le autorità di protezione dei dati e la risoluzione mirata e rapida del caso.

·La proposta stabilisce i termini procedurali per la procedura di composizione delle controversie, specifica le informazioni che l'autorità di protezione dei dati capofila è tenuta a fornire quando sottopone la questione alla procedura di composizione delle controversie e chiarisce il ruolo di tutti gli attori in essa coinvolti (l'autorità di protezione dei dati capofila, le autorità di protezione dei dati interessate e il comitato). In tal modo la proposta agevola il rapido completamento della procedura di composizione delle controversie per le parti oggetto dell'indagine e gli interessati.

•Coerenza con le disposizioni vigenti nel settore normativo interessato

•Coerenza con le altre normative dell'Unione

2.BASE GIURIDICA, SUSSIDIARIETÀ E PROPORZIONALITÀ

•Base giuridica

•Sussidiarietà (per la competenza non esclusiva)

•Proporzionalità

•Scelta dell'atto giuridico

3.RISULTATI DELLE VALUTAZIONI EX POST, DELLE CONSULTAZIONI DEI PORTATORI DI INTERESSI E DELLE VALUTAZIONI D'IMPATTO

•Valutazioni ex post / Vaglio di adeguatezza della legislazione vigente

·procedure amministrative nazionali riguardanti in particolare: le procedure di trattamento dei reclami, i criteri di ricevibilità dei reclami, la durata dei procedimenti a causa di termini diversi o all'assenza di termini, il momento della procedura in cui è concesso il diritto di essere ascoltati, l'informazione e il coinvolgimento dei reclamanti durante la procedura;

·l'interpretazione di concetti relativi al meccanismo di cooperazione; e

·l'approccio per stabilire quando avviare la procedura di cooperazione, coinvolgere le autorità di protezione dei dati interessate e comunicare loro le informazioni.

•Consultazioni dei portatori di interessi

·il comitato: il comitato è composto dalle autorità di protezione dei dati, ossia le autorità preposte a far applicare il GDPR. È incaricato, tra gli altri compiti, della composizione delle controversie nei casi transfrontalieri ai sensi del GDPR. La Commissione pertanto ha tenuto in debito conto il contributo del comitato in tutte le fasi del processo preparatorio. In primo luogo, la proposta risponde all'elenco di questioni trasmesso alla Commissione dal comitato nell'ottobre 2022, che individua gli aspetti della procedura di applicazione transfrontaliera che potrebbero essere armonizzati a livello dell'UE. La proposta affronta la maggior parte delle questioni presenti nell'elenco individuate dal comitato. In alcuni casi la Commissione ha deciso di non affrontare le questioni individuate dal comitato, in particolare laddove abbia ritenuto che queste fossero già affrontate adeguatamente dal GDPR, dovessero rimanere a discrezione dell'autorità di protezione dei dati capofila o dovessero essere determinate dal diritto interno. Inoltre la proposta affronta alcune questioni diverse da quelle individuate dal comitato nell'elenco, laddove la Commissione lo abbia ritenuto necessario per garantire il regolare funzionamento dell'applicazione transfrontaliera e il rispetto dei diritti della difesa. La Commissione ha inoltre condotto una consultazione mirata su alcuni aspetti della proposta con i sottogruppi del comitato che si occupano di cooperazione transfrontaliera e di applicazione delle norme, in occasione delle riunioni del 21 marzo 2023 e del 24 aprile 2023, per avvalersi della competenza delle autorità di protezione dei dati che si occupano di tali questioni nel loro lavoro quotidiano. Il comitato ha pienamente sostenuto l'intervento della Commissione in tale ambito e ha fornito un prezioso contributo nelle riunioni di marzo e aprile 2023;

·il gruppo multilaterale di esperti sul GDPR: questo gruppo di esperti è stato istituito per assistere la Commissione nell'applicazione del GDPR. È composto da rappresentanti della società civile, delle imprese, del mondo accademico e degli operatori della giustizia. Il gruppo ha espresso un ampio sostegno all'azione della Commissione in tale ambito attraverso una proposta legislativa. In una riunione tenutasi il 19 ottobre 2022 si è svolta una prima discussione sull'elenco del comitato dell'ottobre 2022, mentre in una seconda riunione tenutasi il 21 aprile 2023 la Commissione si è consultata su aspetti specifici della proposta. Data l'ampia varietà di portatori di interessi rappresentati in questo gruppo, le opinioni espresse su particolari aspetti della proposta sono stati diversi. Tutti i portatori di interessi hanno sostenuto l'inclusione nella proposta di un quadro giuridico per la composizione amichevole. Le ONG hanno accolto con favore l'intenzione della Commissione di armonizzare la forma dei reclami e hanno sostenuto il coinvolgimento del reclamante nella procedura, evidenziando le ampie differenze nel trattamento dei reclami negli Stati membri. I gruppi industriali che rappresentano i titolari del trattamento e i responsabili del trattamento hanno sottolineato la necessità di garantire alle parti oggetto dell'indagine il diritto di essere ascoltate e di incoraggiare la composizione delle controversie tra le autorità di protezione dei dati nelle prime fasi del processo di indagine;

·il gruppo di esperti degli Stati membri sul GDPR: questo gruppo di esperti funge da forum per lo scambio di opinioni e informazioni tra la Commissione e gli Stati membri sull'applicazione del GDPR. Prima di avviare il processo di redazione, la Commissione ha chiesto le opinioni degli Stati membri sull'elenco del comitato dell'ottobre 2022. Nel complesso gli Stati membri si sono dimostrati favorevoli e hanno accolto positivamente l'idea di una proposta di iniziativa legislativa per migliorare l'applicazione transfrontaliera del GDPR. Tuttavia alcuni Stati membri in cui vigono norme procedurali orizzontali applicabili a tutte le procedure amministrative hanno individuato possibili interferenze con tali norme, in particolare per quanto riguarda l'armonizzazione del diritto delle parti di essere ascoltate e il coinvolgimento dei reclamanti nella procedura. Di conseguenza, nella proposta, la Commissione ha scrupolosamente limitato l'armonizzazione di questi aspetti ai casi transfrontalieri e nella misura necessaria a garantire il regolare funzionamento del meccanismo di cooperazione e del meccanismo di composizione delle controversie. La Commissione ha tenuto una riunione apposita con il gruppo di esperti degli Stati membri sul GDPR il 19 aprile 2023.

•Assunzione e uso di perizie

•Valutazione d'impatto

·autorità di protezione dei dati: l'iniziativa sosterrà la procedura di cooperazione e chiarirà le modalità e i tempi della cooperazione nei casi transfrontalieri. Ciò consentirà alle autorità di protezione dei dati di fare un uso più efficiente delle loro risorse. Inoltre, fornendo alle autorità di protezione dei dati gli strumenti per migliorare la cooperazione reciproca nei casi transfrontalieri, l'iniziativa faciliterà il raggiungimento di un consenso tra le autorità di protezione dei dati, riducendo le divergenze e promuovendo uno spirito di cooperazione;

·reclamanti e interessati: la semplificazione della cooperazione tra le autorità di protezione dei dati al momento dell'applicazione del GDPR contribuirà alla rapida conclusione delle indagini. Ciò consentirà un trattamento più efficiente delle violazioni del GDPR e aiuterà a fornire un rimedio rapido all'interessato. Inoltre i reclamanti avranno la stessa opportunità di essere coinvolti nella procedura nei casi transfrontalieri, indipendentemente dal luogo di proposizione del reclamo o dall'autorità di protezione dei dati capofila;

·parti oggetto dell'indagine: il miglioramento della cooperazione nei casi transfrontalieri contribuirà ad abbreviare le indagini e a fornire le garanzie necessarie, come il diritto di essere ascoltati e di accedere al fascicolo, assicurando così la tutela del diritto ad una buona amministrazione (articolo 41 della Carta) e dei diritti della difesa (articolo 48 della Carta) delle parti oggetto dell'indagine. L'armonizzazione di tali diritti renderà anche più solida la decisione definitiva;

·fiducia del pubblico nel GDPR: l'iniziativa rafforzerà la fiducia del pubblico nel GDPR, favorendo una risoluzione più rapida delle indagini e riducendo le divergenze tra le autorità di protezione dei dati nei casi transfrontalieri.

•Efficienza normativa e semplificazione

•Diritti fondamentali

4.INCIDENZA SUL BILANCIO

5.ALTRI ELEMENTI

•Piani attuativi e modalità di monitoraggio, valutazione e informazione

•Documenti esplicativi (per le direttive)

•Illustrazione dettagliata delle singole disposizioni della proposta

2023/0202 (COD)

Proposta di

REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

che stabilisce norme procedurali aggiuntive relative all'applicazione del regolamento (UE) 2016/679

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 16,

vista la proposta della Commissione europea,

previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,

visto il parere del Comitato economico e sociale europeo 14 ,

visto il parere del Comitato delle regioni 15 ,

deliberando secondo la procedura legislativa ordinaria,

considerando quanto segue:

(1)Il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio 16 istituisce un sistema di applicazione decentrata inteso a garantirne un'interpretazione e un'applicazione coerenti nei casi transfrontalieri. Nei casi riguardanti un trattamento transfrontaliero di dati personali, tale sistema richiede la cooperazione tra le autorità di controllo nell'adoperarsi per raggiungere un consenso e, laddove il consenso non sia raggiunto, prevede la composizione delle controversie da parte del comitato europeo per la protezione dei dati ("comitato").

(2)Al fine di garantire un regolare ed efficace funzionamento del meccanismo di cooperazione e del meccanismo di composizione delle controversie previsti dagli articoli 60 e 65 del regolamento (UE) 2016/679, è necessario stabilire norme relative allo svolgimento dei procedimenti da parte delle autorità di controllo nei casi transfrontalieri e da parte del comitato durante la composizione delle controversie, compresa la gestione dei reclami transfrontalieri. Per tale motivo è inoltre necessario stabilire norme relative all'esercizio del diritto delle parti oggetto dell'indagine di essere ascoltate prima dell'adozione delle decisioni da parte delle autorità di controllo e, se del caso, del comitato.

(3)I reclami costituiscono una fonte essenziale di informazioni per l'accertamento delle violazioni delle norme in materia di protezione dei dati. La definizione di procedure chiare ed efficienti per la gestione dei reclami nei casi transfrontalieri è necessaria in quanto il reclamo può essere trattato da un'autorità di controllo diversa da quella cui esso è stato proposto.

(4)Per essere ricevibile un reclamo dovrebbe contenere determinate informazioni specifiche. Pertanto, al fine di assistere i reclamanti nella presentazione dei fatti necessari alle autorità di controllo, è opportuno che sia fornito un modulo di reclamo. Le informazioni specificate nel modulo dovrebbero essere richieste solo nei casi di trattamento transfrontaliero ai sensi del regolamento (UE) 2016/679, sebbene il modulo possa essere utilizzato dalle autorità di controllo per casi che non riguardano questo tipo di trattamento. Il modulo può essere trasmesso per via elettronica o per posta. La comunicazione delle informazioni elencate nel modulo dovrebbe essere una condizione affinché un reclamo relativo a un trattamento transfrontaliero sia trattato come un reclamo ai sensi dell'articolo 77 del regolamento (UE) 2016/679. Ai fini della ricevibilità del reclamo non dovrebbero essere richieste ulteriori informazioni. Dovrebbe essere possibile per le autorità di controllo agevolare la proposizione dei reclami in un formato elettronico di facile impiego e tenendo conto delle esigenze delle persone con disabilità, purché le informazioni richieste al reclamante corrispondano a quelle richieste dal modulo e non siano necessarie ulteriori informazioni ai fini della ricevibilità del reclamo.

(5)Le autorità di controllo sono obbligate a decidere in merito ai reclami entro un termine ragionevole. La ragionevolezza del termine dipende dalle circostanze di ciascun caso, in particolare dal contesto, dalle diverse fasi procedurali seguite dall'autorità di controllo capofila, dal comportamento delle parti nel corso della procedura e dalla complessità del caso.

(6)Ogni reclamo trattato da un'autorità di controllo ai sensi dell'articolo 57, paragrafo 1, lettera f), del regolamento (UE) 2016/679 deve essere sottoposto a indagine con la dovuta diligenza e nell'entità opportuna, tenendo presente che i poteri delle autorità di controllo devono essere esercitati sempre in modo appropriato, necessario e proporzionato al fine di assicurare la conformità al regolamento (UE) 2016/679. La decisione sull'entità dell'indagine da svolgere su un reclamo rientra nella discrezionalità di ciascuna autorità competente. Nel valutare l'opportuna entità dell'indagine le autorità di controllo dovrebbero mirare a fornire una risoluzione soddisfacente al reclamante, il che non richiede necessariamente un'indagine esaustiva su tutti i possibili elementi giuridici e fattuali derivanti dal reclamo, ma offre al reclamante un rimedio efficace e rapido. La valutazione dell'entità delle misure di indagine necessarie potrebbe basarsi sulla gravità della presunta violazione, sulla sua natura sistematica o ripetitiva o, se del caso, sul fatto che il reclamante si sia avvalso anche dei diritti di cui all'articolo 79 del regolamento (UE) 2016/679. 

(7)È opportuno che l'autorità di controllo capofila fornisca all'autorità di controllo cui è stato proposto il reclamo le informazioni necessarie sullo stato di avanzamento dell'indagine al fine di fornire aggiornamenti al reclamante.

(8)È opportuno che l'autorità di controllo competente fornisca al reclamante l'accesso ai documenti in base ai quali l'autorità di controllo ha raggiunto una conclusione preliminare di rigetto totale o parziale del reclamo.

(9)Al fine di porre rapidamente fine alle violazioni del regolamento (UE) 2016/679 e di fornire una rapida risoluzione ai reclamanti, è opportuno che le autorità di controllo si adoperino, se del caso, per risolvere i reclami mediante composizione amichevole. Il fatto che un singolo reclamo sia stato risolto mediante composizione amichevole non impedisce all'autorità di controllo competente di portare avanti un caso d'ufficio, ad esempio nel caso di violazioni sistematiche o ripetute del regolamento (UE) 2016/679. 

(10)Al fine di garantire l'efficace funzionamento del meccanismo di cooperazione e del meccanismo di coerenza di cui al capo VII del regolamento (UE) 2016/679, è importante che i casi transfrontalieri siano risolti tempestivamente e in linea con lo spirito di leale ed efficace cooperazione sotteso all'articolo 60 del regolamento (UE) 2016/679. È opportuno che l'autorità di controllo capofila eserciti la propria competenza in un quadro di stretta cooperazione con le altre autorità di controllo interessate. Allo stesso modo, le autorità di controllo interessate dovrebbero impegnarsi attivamente nell'indagine nelle prime fasi, nell'adoperarsi per raggiungere un consenso, sfruttando appieno gli strumenti forniti dal regolamento (UE) 2016/679.

(11)È particolarmente importante che le autorità di controllo raggiungano un consenso sugli aspetti chiave dell'indagine il prima possibile e prima della comunicazione delle accuse alle parti oggetto dell'indagine e dell'adozione del progetto di decisione di cui all'articolo 60 del regolamento (UE) 2016/679, riducendo così il numero di casi sottoposti al meccanismo di composizione delle controversie di cui all'articolo 65 del regolamento (UE) 2016/679 e garantendo, in ultima analisi, la rapida risoluzione dei casi transfrontalieri.

(12)È opportuno che la cooperazione tra le autorità di controllo si basi su un dialogo aperto che consenta alle autorità di controllo interessate di incidere in modo significativo sul corso dell'indagine condividendo le loro esperienze e opinioni con l'autorità di controllo capofila, tenendo in debito conto il margine di discrezionalità di cui gode ciascuna autorità di controllo, anche nella valutazione dell'entità opportuna dell'indagine da svolgere su un caso, e le diverse tradizioni degli Stati membri. A tal fine, l'autorità di controllo capofila dovrebbe fornire alle autorità di controllo interessate una sintesi delle questioni chiave che illustri la sua opinione preliminare sulle questioni principali dell'indagine. Tale sintesi dovrebbe essere fornita in una fase sufficientemente precoce per consentire l'effettivo coinvolgimento delle autorità di controllo interessate, ma allo stesso tempo in una fase in cui le opinioni dell'autorità di controllo capofila sul caso sono sufficientemente sviluppate. Le autorità di controllo interessate dovrebbero avere l'opportunità di formulare le proprie osservazioni su un'ampia varietà di questioni, come l'ambito dell'indagine e l'individuazione di valutazioni complesse di natura fattuale e giuridica. Dal momento che l'ambito dell'indagine determina le questioni su cui l'autorità di controllo capofila deve svolgere l'indagine, le autorità di controllo dovrebbero adoperarsi per raggiungere quanto prima un consenso sull'ambito dell'indagine.

(13)Nell'interesse di una cooperazione efficace e inclusiva tra l'autorità di controllo capofila e tutte le autorità di controllo interessate, è opportuno che le osservazioni di queste ultime siano concise e formulate in termini sufficientemente chiari e precisi da essere facilmente comprensibili per tutte le autorità di controllo. Gli argomenti giuridici dovrebbero essere raggruppati in base alla parte della sintesi delle questioni chiave a cui si riferiscono. Le osservazioni delle autorità di controllo interessate possono essere integrate da documenti supplementari. Tuttavia un semplice riferimento a documenti supplementari nelle osservazioni di un'autorità di controllo interessata non può compensare l'assenza degli argomenti essenziali, di diritto o di fatto, che dovrebbero figurarvi. I dati giuridici e fattuali di base contenuti in tali documenti dovrebbero essere indicati, almeno in forma sintetica, in modo coerente e comprensibile nell'osservazione stessa.

(14)I casi che non sollevano questioni controverse non richiedono una discussione esaustiva tra le autorità di controllo per raggiungere un consenso e potrebbero quindi essere trattati più rapidamente. Qualora nessuna delle autorità di controllo interessate formuli osservazioni in merito alla sintesi delle questioni chiave, è opportuno che l'autorità di controllo capofila comunichi le constatazioni preliminari di cui all'articolo 14 entro nove mesi. 

(15)È opportuno che le autorità di controllo si avvalgano di tutti i mezzi necessari per raggiungere un consenso in uno spirito di leale ed efficace cooperazione. Pertanto, laddove vi sia una divergenza di opinioni tra le autorità di controllo interessate e l'autorità di controllo capofila in merito all'ambito di un'indagine basata su un reclamo, comprese le disposizioni del regolamento (UE) 2016/679 la cui violazione sarà oggetto di indagine, o laddove le osservazioni delle autorità di controllo interessate riguardino un cambiamento importante nella valutazione giuridica o tecnologica complessa, è opportuno che l'autorità interessata utilizzi gli strumenti previsti dagli articoli 61 e 62 del regolamento (UE) 2016/679.

(16)Qualora l'uso di tali strumenti non consenta alle autorità di controllo di raggiungere un consenso sull'ambito di un'indagine basata su un reclamo, è opportuno che l'autorità di controllo capofila chieda una decisione vincolante d'urgenza del comitato ai sensi dell'articolo 66, paragrafo 3, del regolamento (UE) 2016/679. A tal fine, è opportuno presupporre soddisfatto il requisito dell'urgenza. L'autorità di controllo capofila dovrebbe trarre conclusioni appropriate dalla decisione vincolante d'urgenza del comitato ai fini delle constatazioni preliminari. La decisione vincolante d'urgenza del comitato non può pregiudicare l'esito dell'indagine svolta dall'autorità di controllo capofila o l'effettività dei diritti delle parti oggetto dell'indagine di essere ascoltate. In particolare, il comitato non dovrebbe estendere l'ambito dell'indagine di propria iniziativa.

(17)Al fine di consentire al reclamante di esercitare il proprio diritto a un ricorso giurisdizionale effettivo ai sensi dell'articolo 78 del regolamento (UE) 2016/679, l'autorità di controllo che rigetta in tutto o in parte un reclamo dovrebbe farlo mediante una decisione che possa essere impugnata dinanzi a un organo giurisdizionale nazionale.

(18)È opportuno che i reclamanti abbiano la possibilità di esprimere le proprie opinioni prima che sia adottata una decisione che arrechi loro pregiudizio. Pertanto, in caso di rigetto totale o parziale di un reclamo in un caso transfrontaliero, il reclamante dovrebbe avere la possibilità di esprimersi prima della trasmissione di un progetto di decisione ai sensi dell'articolo 60, paragrafo 3, del regolamento (UE) 2016/679, di un progetto di decisione riveduto ai sensi dell'articolo 60, paragrafo 4, del regolamento (UE) 2016/679 o di una decisione vincolante del comitato ai sensi dell'articolo 65, paragrafo 1, lettera a), del regolamento (UE) 2016/679. Il reclamante può richiedere l'accesso alla versione non riservata dei documenti su cui si basa la decisione di rigetto totale o parziale del reclamo.

(19)In caso di rigetto di un reclamo nell'ambito di un caso transfrontaliero, è necessario chiarire la ripartizione delle responsabilità tra l'autorità di controllo capofila e l'autorità di controllo cui è stato proposto il reclamo. In quanto punto di contatto per il reclamante durante l'indagine, l'autorità di controllo cui è stato proposto il reclamo dovrebbe ricevere le opinioni del reclamante sulla proposta di rigetto del reclamo ed essere responsabile di tutte le comunicazioni con il reclamante. Tutte queste comunicazioni dovrebbero essere condivise con l'autorità di controllo capofila. Poiché ai sensi dell'articolo 60, paragrafi 8 e 9, del regolamento (UE) 2016/679 l'autorità di controllo cui è stato proposto il reclamo ha la responsabilità di adottare la decisione definitiva di rigetto del reclamo, tale autorità di controllo dovrebbe avere anche la responsabilità di preparare il progetto di decisione ai sensi dell'articolo 60, paragrafo 3, del regolamento (UE) 2016/679.

(20)È opportuno che l'applicazione efficace delle norme dell'Unione in materia di protezione dei dati sia compatibile con il pieno rispetto dei diritti della difesa delle parti, che costituisce un principio fondamentale del diritto dell'Unione da rispettare in ogni circostanza, in particolare nei procedimenti che possono dare luogo a sanzioni.

(21)Al fine di salvaguardare efficacemente il diritto a una buona amministrazione e i diritti della difesa sanciti dalla Carta dei diritti fondamentali dell'Unione europea ("Carta"), compreso il diritto di ogni persona di essere ascoltata prima che nei suoi confronti sia adottato un provvedimento individuale che le rechi pregiudizio, è importante prevedere norme chiare sull'esercizio di tale diritto.

(22)Le norme relative alla procedura amministrativa applicata dalle autorità di controllo nell'applicazione del regolamento (UE) 2016/679 dovrebbero garantire che le parti oggetto dell'indagine siano messe effettivamente in grado di esprimersi sulla realtà e sulla pertinenza dei fatti e sulle obiezioni e sulle circostanze addotte dall'autorità di controllo nel corso dell'intera procedura, consentendo loro così di esercitare i propri diritti della difesa. Le constatazioni preliminari illustrano la posizione preliminare sulla presunta violazione del regolamento (UE) 2016/679 a seguito delle indagini. Pertanto esse costituiscono una garanzia procedurale fondamentale che assicura il rispetto del diritto di essere ascoltati. È opportuno che alle parti oggetto dell'indagine siano forniti i documenti necessari per difendersi efficacemente e presentare osservazioni in merito alle accuse mosse contro di loro, ottenendo l'accesso al fascicolo amministrativo.

(23)Le constatazioni preliminari definiscono l'ambito dell'indagine e quindi l'ambito di qualsivoglia futura decisione definitiva (se del caso, adottata sulla base di una decisione vincolante emessa dal comitato ai sensi dell'articolo 65, paragrafo 1, lettera a), del regolamento (UE) 2016/679) che può essere indirizzata ai titolari o ai responsabili del trattamento. È opportuno che le constatazioni preliminari siano formulate in termini che, sebbene sintetici, siano sufficientemente chiari da consentire alle parti oggetto dell'indagine di individuare correttamente la natura della presunta violazione del regolamento (UE) 2016/679. L'obbligo di fornire alle parti oggetto dell'indagine tutte le informazioni necessarie per consentire loro di difendersi adeguatamente è soddisfatto laddove la decisione definitiva non sostenga che le stesse abbiano commesso violazioni diverse da quelle indicate nelle constatazioni preliminari e qualora prenda in considerazione solo i fatti sui quali le parti oggetto dell'indagine hanno avuto la possibilità di esprimersi. La decisione definitiva dell'autorità di controllo capofila, tuttavia, non deve necessariamente essere una ripetizione delle constatazioni preliminari. Nella decisione definitiva, l'autorità di controllo capofila dovrebbe essere autorizzata a tenere conto delle risposte fornite dalle parti oggetto dell'indagine in merito alle constatazioni preliminari e, se del caso, del progetto di decisione riveduto ai sensi dell'articolo 60, paragrafo 5, del regolamento (UE) 2016/679 e della decisione risolutiva della controversia tra le autorità di controllo di cui all'articolo 65, paragrafo 1, lettera a). L'autorità di controllo capofila dovrebbe essere in grado di effettuare la propria valutazione dei fatti e delle qualificazioni giuridiche esposti dalle parti oggetto dell'indagine, al fine di ritirare le obiezioni, qualora l'autorità di controllo le ritenga infondate, o di integrare e riformulare i propri argomenti, sia di fatto che di diritto, a sostegno delle obiezioni che mantiene. Ad esempio, il fatto di tenere conto di un argomento avanzato da una parte oggetto dell'indagine nel corso della procedura amministrativa, senza che le sia stata data la possibilità di esprimersi al riguardo prima dell'adozione della decisione definitiva, non può di per sé costituire una violazione dei diritti della difesa.

(24)È opportuno che alle parti oggetto dell'indagine sia riconosciuto il diritto di essere ascoltate prima della trasmissione di un progetto di decisione riveduto ai sensi dell'articolo 60, paragrafo 5, del regolamento (UE) 2016/679 o dell'adozione di una decisione vincolante da parte del comitato ai sensi dell'articolo 65, paragrafo 1, lettera a), del regolamento (UE) 2016/679. 

(25)È opportuno che ai reclamanti sia data la possibilità di essere associati ai procedimenti avviati da un'autorità di controllo al fine di individuare o chiarire le questioni relative a una potenziale violazione del regolamento (UE) 2016/679. Il fatto che un'autorità di controllo abbia già avviato un'indagine relativa all'oggetto del reclamo o il fatto che essa si occuperà del reclamo nell'ambito di un'indagine d'ufficio successiva al ricevimento dello stesso non pregiudica la qualificazione dell'interessato come reclamante. Tuttavia un'indagine condotta da un'autorità di controllo su una possibile violazione del regolamento (UE) 2016/679 da parte di un titolare del trattamento o di un responsabile del trattamento non costituisce un procedimento in contraddittorio tra il reclamante e le parti oggetto dell'indagine. Si tratta di una procedura avviata da un'autorità di controllo, di propria iniziativa o sulla base di un reclamo, nell'adempimento dei propri compiti ai sensi dell'articolo 57, paragrafo 1, del regolamento (UE) 2016/679. Le parti oggetto dell'indagine e il reclamante non si trovano dunque nella stessa situazione procedurale e quest'ultimo non può invocare i diritti della difesa quando la decisione non pregiudica la sua posizione giuridica. Il coinvolgimento del reclamante nella procedura contro le parti oggetto dell'indagine non può compromettere il diritto di queste ultime di essere ascoltate.

(26)È opportuno che i reclamanti abbiano la possibilità di presentare per iscritto le proprie opinioni sulle constatazioni preliminari. Tuttavia esse non dovrebbero poter accedere a segreti aziendali o ad altre informazioni riservate appartenenti ad altre parti coinvolte nel procedimento. I reclamanti non dovrebbero avere il diritto di accedere in modo generalizzato al fascicolo amministrativo.

(27)Nello stabilire i termini entro cui le parti oggetto dell'indagine devono esprimere le proprie opinioni sulle constatazioni preliminari, è opportuno che le autorità di controllo tengano conto della complessità delle questioni sollevate nelle constatazioni preliminari, al fine di garantire che le parti oggetto dell'indagine e i reclamanti abbiano sufficienti opportunità per esprimersi in modo significativo sulle questioni sollevate.

(28)Lo scambio di opinioni prima dell'adozione di un progetto di decisione implica un dialogo aperto e un ampio scambio di opinioni nel corso del quale le autorità di controllo dovrebbero fare tutto il possibile per raggiungere un consenso sul modo di procedere in un'indagine. Al contrario, il disaccordo espresso nelle obiezioni pertinenti e motivate ai sensi dell'articolo 60, paragrafo 4, del regolamento (UE) 2016/679, che aumentano le probabilità di ricorso alla composizione delle controversie tra le autorità di controllo ai sensi dell'articolo 65 del regolamento (UE) 2016/679 e ritardano l'adozione di una decisione definitiva da parte dell'autorità di controllo competente, dovrebbe sorgere nel caso eccezionale in cui le autorità di controllo non riescano a raggiungere un consenso e laddove necessario per garantire l'interpretazione coerente del regolamento (UE) 2016/679. Tali obiezioni dovrebbero essere usate con parsimonia, quando sono in gioco questioni di applicazione coerente del regolamento (UE) 2016/679, in quanto l'uso di obiezioni pertinenti e motivate posticipa il rimedio per l'interessato. Poiché l'ambito dell'indagine e i fatti pertinenti dovrebbero essere decisi prima della comunicazione delle constatazioni preliminari, tali punti non dovrebbero essere sollevati dalle autorità di controllo interessate nelle obiezioni pertinenti e motivate. Tuttavia possono essere sollevati dalle autorità di controllo interessate nelle loro osservazioni sulla sintesi delle questioni chiave ai sensi dell'articolo 9, paragrafo 3, prima che le constatazioni preliminari siano comunicate alle parti oggetto dell'indagine.

(29)Nell'interesse di una conclusione efficiente e inclusiva della procedura di composizione delle controversie, in cui tutte le autorità di controllo dovrebbero essere in grado di contribuire con le proprie opinioni, e tenendo conto dei limiti temporali durante la composizione delle controversie, la forma e la struttura delle obiezioni pertinenti e motivate dovrebbero soddisfare determinati requisiti. Pertanto è opportuno che le obiezioni pertinenti e motivate rispettino una lunghezza prestabilita, illustrino chiaramente il disaccordo con il progetto di decisione e siano formulate in termini sufficientemente chiari, coerenti e precisi.

(30)L'accesso al fascicolo amministrativo è previsto nell'ambito dei diritti della difesa e del diritto a una buona amministrazione sanciti dalla Carta. L'accesso al fascicolo amministrativo dovrebbe essere garantito alle parti oggetto dell'indagine nel momento in cui vengono loro notificate le constatazioni preliminari e dovrebbe essere fissato il termine per la presentazione della risposta scritta a tali constatazioni.

(31)Nel garantire l'accesso al fascicolo amministrativo è opportuno che le autorità di controllo assicurino la tutela dei segreti aziendali e di altre informazioni riservate. La categoria delle altre informazioni riservate comprende informazioni diverse dai segreti aziendali, che possono essere considerate riservate in quanto la loro diffusione potrebbe arrecare un grave pregiudizio a un titolare del trattamento, a un responsabile del trattamento o a una persona fisica. Le autorità di controllo dovrebbero poter richiedere alle parti oggetto dell'indagine che presentano o hanno presentato documenti o dichiarazioni di indicare le informazioni riservate.

(32)Nel caso in cui i segreti aziendali o le altre informazioni riservate costituiscano elementi necessari per dimostrare la sussistenza della violazione, è opportuno che le autorità di controllo valutino per ogni singolo documento se la necessità della divulgazione sia superiore al danno che potrebbe derivarne.

(33)Nel deferire una questione al meccanismo di composizione delle controversie ai sensi dell'articolo 65 del regolamento (UE) 2016/679, è opportuno che l'autorità di controllo capofila fornisca al comitato tutte le informazioni necessarie affinché questo possa valutare l'ammissibilità delle obiezioni pertinenti e motivate e adottare la decisione ai sensi dell'articolo 65, paragrafo 1, lettera a), del regolamento (UE) 2016/679. Una volta ricevuti tutti i documenti necessari elencati all'articolo 23, il presidente del comitato dovrebbe registrare il deferimento della questione ai sensi dell'articolo 65, paragrafo 2, del regolamento (UE) 2016/679.

(34)La decisione vincolante del comitato ai sensi dell'articolo 65, paragrafo 1, lettera a), del regolamento (UE) 2016/679 dovrebbe riguardare esclusivamente le questioni che hanno portato all'avvio della composizione delle controversie e dovrebbe essere redatta in modo tale da consentire all'autorità di controllo capofila di adottare la propria decisione definitiva sulla base della decisione del comitato, pur mantenendo la propria discrezionalità.

(35)Al fine di semplificare la composizione delle controversie tra le autorità di controllo sottoposte al comitato ai sensi dell'articolo 65, paragrafo 1, lettere b) e c), del regolamento (UE) 2016/679, è necessario specificare le norme procedurali relative ai documenti da presentare al comitato e sui quali questo dovrebbe basare la propria decisione. È inoltre necessario specificare quando il comitato dovrebbe registrare la presentazione della questione per la composizione delle controversie.

(36)Al fine di semplificare la procedura per l'adozione di pareri d'urgenza e di decisioni vincolanti d'urgenza da parte del comitato ai sensi dell'articolo 66, paragrafo 2, del regolamento (UE) 2016/679, è necessario specificare le norme procedurali relative alle tempistiche della richiesta di tale parere d'urgenza o decisione vincolante d'urgenza, ai documenti da presentare al comitato e sui quali questo dovrebbe basare la propria decisione, ai destinatari del parere o della decisione del comitato e alle conseguenze del parere o della decisione del comitato.

(37)I capi III e IV riguardano la cooperazione tra le autorità di controllo, i diritti procedurali delle parti oggetto dell'indagine e il coinvolgimento dei reclamanti. Al fine di garantire la certezza del diritto, tali disposizioni non dovrebbero applicarsi alle indagini già in corso al momento dell'entrata in vigore del presente regolamento. Dovrebbero invece applicarsi alle indagini avviate d'ufficio dopo l'entrata in vigore del presente regolamento e alle indagini basate su un reclamo proposto dopo l'entrata in vigore del presente regolamento. Il capo V contiene le norme procedurali per i casi sottoposti alla composizione delle controversie ai sensi dell'articolo 65 del regolamento (UE) 2016/679. Anche per motivi di certezza del diritto, questo capo non dovrebbe applicarsi ai casi sottoposti alla composizione delle controversie prima dell'entrata in vigore del presente regolamento. Esso dovrebbe applicarsi a tutti i casi sottoposti alla composizione delle controversie dopo l'entrata in vigore del presente regolamento.

(38)Conformemente all'articolo 42, paragrafo 2, del regolamento (UE) 2018/1725, il Garante europeo della protezione dei dati e il comitato europeo per la protezione dei dati sono stati consultati e hanno espresso un parere congiunto il [...],

HANNO ADOTTATO IL PRESENTE REGOLAMENTO:

Capo I

Disposizioni generali

Articolo 1

Oggetto

Il presente regolamento stabilisce le norme procedurali per la gestione dei reclami e lo svolgimento delle indagini da parte delle autorità di controllo nell'applicazione transfrontaliera del regolamento (UE) 2016/679, nei casi basati su un reclamo o avviati d'ufficio.

Articolo 2

Definizioni

Ai fini del presente regolamento si applicano le definizioni di cui all'articolo 4 del regolamento (UE) 2016/679.

Si applicano inoltre le definizioni seguenti:

(1)"parti oggetto dell'indagine": il o i titolari del trattamento e/o il o i responsabili del trattamento sottoposti ad indagine per presunta violazione del regolamento (UE) 2016/679 connessa a un trattamento transfrontaliero;

(2)"sintesi delle questioni chiave": la sintesi che l'autorità di controllo capofila deve fornire alle autorità di controllo interessate indicandovi i principali fatti pertinenti e le proprie opinioni sul caso;

(3)"constatazioni preliminari": il documento indicante le accuse, i fatti pertinenti, le prove a sostegno, l'analisi giuridica e, ove applicabile, le misure correttive proposte, fornito dall'autorità di controllo capofila alle parti oggetto dell'indagine;

(4)"obiezioni pertinenti e motivate accolte": le obiezioni che il comitato ha ritenuto pertinenti e motivate ai sensi dell'articolo 4, punto 24, del regolamento (UE) 2016/679.

Capo II

Proposizione e trattamento dei reclami

Articolo 3

Reclami transfrontalieri

1.Il reclamo basato sul regolamento (UE) 2016/679 e riguardante un trattamento transfrontaliero fornisce le informazioni richieste nel modulo di cui all'allegato. Ai fini della ricevibilità del reclamo non sono necessarie ulteriori informazioni.

2.L'autorità di controllo cui è stato proposto il reclamo determina se esso riguarda un trattamento transfrontaliero.

3.L'autorità di controllo cui è stato proposto il reclamo accerta la completezza delle informazioni richieste nel modulo entro un mese.

4.Previa valutazione della completezza delle informazioni richieste nel modulo, l'autorità di controllo cui è stato proposto il reclamo trasmette il reclamo all'autorità di controllo capofila.

5.Il reclamante che nel proporre reclamo rivendichi la riservatezza presenta anche una versione non riservata del reclamo.

6.L'autorità di controllo cui il reclamo è stato proposto accusa ricevuta dello stesso entro una settimana. L'accusa di ricevuta non pregiudica la valutazione della ricevibilità del reclamo a norma del paragrafo 3.

Articolo 4

Indagine sul reclamo

Nel valutare in ciascun caso l'opportuna entità dell'indagine da svolgere sul reclamo, l'autorità di controllo tiene conto di tutte le circostanze pertinenti, comprese tutte le seguenti:

(a)la pertinenza di offrire un rimedio efficace e tempestivo al reclamante;

(b)la gravità della presunta violazione;

(c)la natura sistematica o ripetitiva della presunta violazione.

Articolo 5

Composizione amichevole

Il reclamo può essere risolto mediante composizione amichevole tra il reclamante e le parti oggetto dell'indagine. Ove ritenga che sia stata raggiunta una composizione amichevole del reclamo, l'autorità di controllo comunica la proposta di composizione al reclamante. Se il reclamante non si oppone alla composizione amichevole proposta dall'autorità di controllo entro un mese, il reclamo si considera ritirato.

Articolo 6

Traduzioni

1.L'autorità di controllo cui è stato proposto il reclamo è responsabile:

(a)della traduzione dei reclami e delle opinioni dei reclamanti nella lingua utilizzata dall'autorità di controllo capofila ai fini dell'indagine;

(b)della traduzione dei documenti trasmessi dall'autorità di controllo capofila nella lingua utilizzata per la comunicazione con il reclamante, se occorre fornire tali documenti al reclamante a norma del presente regolamento o del regolamento (UE) 2016/679.

2.Il comitato fissa nel regolamento interno la procedura per la traduzione delle osservazioni o delle obiezioni pertinenti e motivate sollevate dalle autorità di controllo interessate in una lingua diversa da quella utilizzata dall'autorità di controllo capofila ai fini dell'indagine.

Capo III

Cooperazione a norma dell'articolo 60 del regolamento (UE) 2016/679

Sezione 1

Raggiungimento di un consenso ai sensi dell'articolo 60, paragrafo 1, del regolamento (UE) 2016/679

Articolo 7

Cooperazione tra le autorità di controllo

Ai fini della cooperazione nell'adoperarsi per raggiungere un consenso a norma dell'articolo 60, paragrafo 1, del regolamento (UE) 2016/679, le autorità di controllo utilizzano tutti i mezzi previsti da tale regolamento, compresa l'assistenza reciproca a norma dell'articolo 61 e le operazioni congiunte a norma dell'articolo 62.

Le disposizioni della presente sezione riguardano i rapporti tra le autorità di controllo e non intendono conferire diritti ai singoli o alle parti oggetto dell'indagine.

Articolo 8

Informazioni utili ai sensi dell'articolo 60, paragrafi 1 e 3, del regolamento (UE) 2016/679

1.L'autorità di controllo capofila aggiorna periodicamente le altre autorità di controllo interessate in merito all'indagine e fornisce loro quanto prima tutte le informazioni pertinenti divenute disponibili.

2.Le informazioni utili ai sensi dell'articolo 60, paragrafi 1 e 3, del regolamento (UE) 2016/679 comprendono, ove applicabile:

(a)le informazioni sull'avvio di un'indagine su una presunta violazione del regolamento (UE) 2016/679;

(b)le richieste di informazioni a norma dell'articolo 58, paragrafo 1, lettera e), del regolamento (UE) 2016/679;

(c)le informazioni sull'uso di altri poteri di indagine di cui all'articolo 58, paragrafo 1, del regolamento (UE) 2016/679;

(d)in caso di previsto rigetto del reclamo, i motivi di rigetto addotti dall'autorità di controllo capofila;

(e)la sintesi delle questioni chiave dell'indagine conformemente all'articolo 9;

(f)le informazioni sulle misure volte ad accertare una violazione del regolamento (UE) 2016/679 prima dell'elaborazione delle constatazioni preliminari;

(g)le constatazioni preliminari;

(h)la risposta delle parti oggetto dell'indagine alle constatazioni preliminari;

(i)le opinioni del reclamante sulle constatazioni preliminari;

(j)in caso di rigetto del reclamo, le osservazioni scritte del reclamante;

(k)eventuali misure pertinenti adottate dall'autorità di controllo capofila dopo il ricevimento della risposta delle parti oggetto dell'indagine alle constatazioni preliminari e prima della trasmissione del progetto di decisione ai sensi dell'articolo 60, paragrafo 3, del regolamento (UE) 2016/679.

Articolo 9

Sintesi delle questioni chiave

1.Una volta formatasi un'opinione preliminare sulle questioni principali dell'indagine, l'autorità di controllo capofila redige una sintesi delle questioni chiave ai fini della cooperazione a norma dell'articolo 60, paragrafo 1, del regolamento (UE) 2016/679.

2.La sintesi delle questioni chiave comprende tutti i seguenti elementi:

(a)i principali fatti pertinenti;

(b)l'individuazione preliminare dell'ambito dell'indagine, in particolare le disposizioni del regolamento (UE) 2016/679 interessate dalla presunta violazione su cui si svolgerà l'indagine;

(c)l'individuazione delle valutazioni giuridiche e tecnologiche complesse pertinenti per l'orientamento valutativo preliminare;

(d)l'individuazione preliminare di potenziali misure correttive.

3.Le autorità di controllo interessate possono formulare osservazioni sulla sintesi delle questioni chiave. Le osservazioni devono essere formulate entro quattro settimane dal ricevimento di tale sintesi.

4.Le osservazioni formulate in conformità del paragrafo 3 soddisfano i seguenti requisiti:

(a)il linguaggio utilizzato è sufficientemente chiaro e contiene termini precisi per consentire all'autorità di controllo capofila e, se del caso, alle autorità di controllo interessate di preparare le rispettive posizioni;

(b)gli argomenti giuridici sono esposti succintamente e raggruppati in base alla parte della sintesi delle questioni chiave cui si riferiscono;

(c)le osservazioni dell'autorità di controllo interessata possono essere suffragate da documenti a integrazione delle osservazioni su punti specifici.

5.Il comitato può fissare nel regolamento interno limiti alla lunghezza massima delle osservazioni delle autorità di controllo interessate sulla sintesi delle questioni chiave.

6.I casi sui quali nessuna autorità di controllo interessata ha formulato osservazioni a norma del paragrafo 3 sono considerati non controversi. In tali casi le constatazioni preliminari di cui all'articolo 14 sono comunicate alle parti oggetto dell'indagine entro 9 mesi dalla scadenza del termine di cui al paragrafo 3 del presente articolo.

Articolo 10

Mezzi per raggiungere un consenso

1.Un'autorità di controllo interessata trasmette una richiesta all'autorità di controllo capofila a norma degli articoli 61 e/o 62 del regolamento (UE) 2016/679 qualora, a seguito delle osservazioni delle autorità di controllo interessate a norma dell'articolo 9, paragrafo 3, non concordi sulla valutazione dell'autorità di controllo capofila su quanto segue:

(a)l'ambito dell'indagine in un caso basato su un reclamo, comprese le disposizioni del regolamento (UE) 2016/679 interessate dalla presunta violazione su cui si svolgerà l'indagine;

(b)l'orientamento preliminare in relazione alle valutazioni giuridiche complesse individuate dall'autorità di controllo capofila a norma dell'articolo 9, paragrafo 2, lettera c);

(c)l'orientamento preliminare in relazione alle valutazioni tecnologiche complesse individuate dall'autorità di controllo capofila a norma dell'articolo 9, paragrafo 2, lettera c).

2.La richiesta di cui al paragrafo 1 è trasmessa entro due mesi dalla scadenza del termine di cui all'articolo 9, paragrafo 3.

3.Nell'adoperarsi per raggiungere un consenso l'autorità di controllo capofila avvia un dialogo con le autorità di controllo interessate sulla base delle loro osservazioni sulla sintesi delle questioni chiave e, ove applicabile, in risposta alle richieste a norma degli articoli 61 e 62 del regolamento (UE) 2016/679. Il consenso serve da base per l'autorità di controllo capofila per proseguire l'indagine e redigere le constatazioni preliminari o, ove applicabile, fornire all'autorità di controllo cui è stato proposto il reclamo la motivazione ai fini dell'articolo 11, paragrafo 2.

4.Qualora in un caso basato su un reclamo l'autorità di controllo capofila e una o più autorità di controllo interessate non raggiungano un consenso sulla questione di cui all'articolo 9, paragrafo 2, lettera b), del presente regolamento, l'autorità di controllo capofila chiede una decisione vincolante d'urgenza del comitato a norma dell'articolo 66, paragrafo 3, del regolamento (UE) 2016/679. In tal caso si presumono soddisfatte le condizioni per chiedere una decisione vincolante d'urgenza a norma dell'articolo 66, paragrafo 3, del regolamento (UE) 2016/679.

5.Quando chiede una decisione vincolante d'urgenza del comitato a norma del paragrafo 4, l'autorità di controllo capofila fornisce quanto segue:

(a)i documenti di cui all'articolo 9, paragrafo 2, lettere a) e b);

(b)le osservazioni dell'autorità di controllo interessata che non concorda sull'individuazione preliminare dell'ambito dell'indagine effettuata dall'autorità di controllo capofila.

6.Il comitato adotta una decisione vincolante d'urgenza sull'ambito dell'indagine sulla base delle osservazioni delle autorità di controllo interessate e della posizione dell'autorità di controllo capofila al riguardo.

Sezione 2

Rigetto totale o parziale dei reclami

Articolo 11

Consultazione del reclamante prima del rigetto totale o parziale del reclamo

1.In esito alla procedura di cui agli articoli 9 e 10, l'autorità di controllo capofila comunica all'autorità di controllo cui è stato proposto il reclamo i motivi della propria opinione preliminare di rigetto totale o parziale del reclamo.

2.L'autorità di controllo cui è stato proposto il reclamo informa il reclamante dei motivi del previsto rigetto totale o parziale del reclamo e fissa un termine entro il quale il reclamante può comunicare le sue opinioni per iscritto. Il termine non può essere inferiore a tre settimane. L'autorità di controllo cui è stato proposto il reclamo informa il reclamante delle conseguenze della mancata comunicazione delle sue opinioni.

3.Se il reclamante non si esprime entro il termine fissato dall'autorità di controllo cui è stato proposto il reclamo, il reclamo si considera ritirato.

4.Il reclamante può chiedere accesso alla versione non riservata dei documenti su cui si basa la proposta di rigetto del reclamo. 

5.Se il reclamante comunica le sue opinioni entro il termine fissato dall'autorità di controllo cui è stato proposto il reclamo e tali opinioni non comportano una modifica dell'opinione preliminare di rigetto totale o parziale del reclamo, l'autorità di controllo cui è stato proposto il reclamo prepara il progetto di decisione a norma dell'articolo 60, paragrafo 3, del regolamento (UE) 2016/679, che l'autorità di controllo capofila trasmette alle altre autorità di controllo interessate a norma del medesimo paragrafo.

Articolo 12

Progetto riveduto di decisione di rigetto totale o parziale del reclamo

1.Qualora l'autorità di controllo capofila ritenga che il progetto di decisione riveduto ai sensi dell'articolo 60, paragrafo 5, del regolamento (UE) 2016/679 presenti elementi sui quali il reclamante dovrebbe avere la possibilità di esprimersi, l'autorità di controllo cui è stato proposto il reclamo, prima di trasmettere il progetto di decisione riveduto a norma del suddetto paragrafo, dà al reclamante la possibilità di esprimersi su tali nuovi elementi.

2.L'autorità di controllo cui è stato proposto il reclamo fissa un termine entro il quale il reclamante può esprimersi.

Articolo 13

Decisione di rigetto totale o parziale del reclamo

Quando adotta una decisione di rigetto totale o parziale del reclamo a norma dell'articolo 60, paragrafo 8, del regolamento (UE) 2016/679, l'autorità di controllo cui è stato proposto il reclamo informa il reclamante della disponibilità del ricorso giurisdizionale a norma dell'articolo 78 di tale regolamento.

Sezione 3

Decisioni destinate ai titolari del trattamento e ai responsabili del trattamento

Articolo 14

Constatazioni preliminari e risposta

1.L'autorità di controllo capofila formula constatazioni preliminari quando intende trasmettere alle altre autorità di controllo interessate un progetto di decisione ai sensi dell'articolo 60, paragrafo 3, del regolamento (UE) 2016/679 che constata una violazione di tale regolamento.

2.Le constatazioni preliminari espongono le accuse sollevate in modo esaustivo e sufficientemente chiaro per consentire alle parti oggetto dell'indagine di prendere conoscenza della condotta indagata dall'autorità di controllo capofila. In particolare devono esporre chiaramente tutti i fatti e l'integralità della valutazione giuridica addotti contro le parti oggetto dell'indagine affinché queste possano esprimere le loro opinioni sui fatti e sulle conclusioni giuridiche che l'autorità di controllo capofila intende trarre nel progetto di decisione ai sensi dell'articolo 60, paragrafo 3, del regolamento (UE) 2016/679, ed elencare tutti gli elementi di prova su cui si basano.

Le constatazioni preliminari indicano le misure correttive cui l'autorità di controllo capofila intende ricorrere.

Qualora intenda infliggere una sanzione pecuniaria, l'autorità di controllo capofila elenca nelle constatazioni preliminari gli elementi alla base del calcolo della sanzione. In particolare l'autorità di controllo capofila elenca i fatti e le questioni di diritto essenziali che possono comportare l'imposizione della sanzione pecuniaria, e gli elementi di cui all'articolo 83, paragrafo 2, del regolamento (UE) 2016/679, compresi gli eventuali fattori aggravanti o attenuanti di cui terrà conto.

3.L'autorità di controllo capofila notifica le constatazioni preliminari a ciascuna parte oggetto dell'indagine.

4.Quando notifica le constatazioni preliminari alle parti oggetto dell'indagine, l'autorità di controllo capofila fissa un termine entro il quale tali parti possono comunicare le loro opinioni per iscritto. L'autorità di controllo capofila non è tenuta a tenere conto delle opinioni scritte ricevute dopo la scadenza del termine.

5.Quando notifica le constatazioni preliminari alle parti oggetto dell'indagine, l'autorità di controllo capofila dà loro accesso al fascicolo amministrativo conformemente all'articolo 20.

6.Nella risposta scritta alle constatazioni preliminari le parti oggetto dell'indagine possono esporre tutti i fatti e gli argomenti giuridici a loro noti che sono pertinenti per difendersi dalle accuse dell'autorità di controllo capofila. Esse allegano gli eventuali documenti idonei a comprovare i fatti esposti. Nel progetto di decisione l'autorità di controllo capofila tratta solo le accuse, compresi i fatti e la valutazione giuridica basata su di essi, sulle quali le parti oggetto dell'indagine hanno avuto la possibilità di formulare osservazioni.

Articolo 15

Trasmissione delle constatazioni preliminari ai reclamanti

1.Qualora l'autorità di controllo capofila formuli constatazioni preliminari sulla questione su cui ha ricevuto un reclamo, l'autorità di controllo cui è stato proposto il reclamo fornisce al reclamante una versione non riservata delle constatazioni preliminari e fissa un termine entro il quale il reclamante può comunicare le proprie opinioni per iscritto.

2.Il paragrafo 1 si applica anche quando un'autorità di controllo, secondo il caso, tratta più reclami congiuntamente, suddivide i reclami in più parti o esercita altrimenti la propria discrezionalità in merito all'ambito dell'indagine fissato nelle constatazioni preliminari.

3.Qualora l'autorità di controllo capofila ritenga necessario fornire al reclamante i documenti del fascicolo amministrativo per consentirgli di esprimersi efficacemente sulle constatazioni preliminari, l'autorità di controllo cui è stato proposto il reclamo, nel fornire le constatazioni preliminari a norma del paragrafo 1, trasmette al reclamante la versione non riservata di tali documenti.

4.Al reclamante è fornita la versione non riservata delle constatazioni preliminari solo ai fini della specifica indagine in cui sono state formulate le constatazioni preliminari.

5.Prima di ricevere la versione non riservata delle constatazioni preliminari e dei documenti forniti a norma del paragrafo 3, il reclamante trasmette all'autorità di controllo capofila una dichiarazione di riservatezza in cui si impegna a non divulgare le informazioni e valutazioni contenute nella versione non riservata delle constatazioni preliminari e a non utilizzare tali constatazioni per fini diversi dalla specifica indagine in cui sono state formulate.

Articolo 16

Adozione della decisione definitiva

Dopo aver trasmesso il progetto di decisione alle autorità di controllo interessate a norma dell'articolo 60, paragrafo 3, del regolamento (UE) 2016/679 e se nessuna autorità di controllo interessata ha sollevato obiezioni al progetto di decisione entro i termini di cui ai paragrafi 4 e 5 di tale articolo, l'autorità di controllo capofila adotta e notifica la decisione, a norma del paragrafo 7 del medesimo articolo, allo stabilimento principale o allo stabilimento unico del titolare del trattamento o responsabile del trattamento, a seconda dei casi, e informa le autorità di controllo interessate e il comitato della decisione in questione, includendo una sintesi dei fatti e delle motivazioni pertinenti.

Articolo 17

Diritto di essere ascoltati sul progetto di decisione riveduto

1.Qualora ritenga che il progetto di decisione riveduto ai sensi dell'articolo 60, paragrafo 5, del regolamento (UE) 2016/679 presenti elementi sui quali le parti oggetto dell'indagine dovrebbero avere la possibilità di esprimersi, l'autorità di controllo capofila, prima di trasmettere il progetto di decisione riveduto a norma del suddetto paragrafo, dà alle parti oggetto dell'indagine la possibilità di esprimersi su tali nuovi elementi.

2.L'autorità di controllo capofila fissa un termine entro il quale le parti oggetto dell'indagine possono esprimersi.

Sezione 4

Obiezioni pertinenti e motivate

Articolo 18

Obiezioni pertinenti e motivate

1.Le obiezioni pertinenti e motivate ai sensi dell'articolo 4, punto 24, del regolamento (UE) 2016/679:

(a)si basano esclusivamente sugli elementi fattuali figuranti nel progetto di decisione; e

(b)non modificano la portata delle accuse sollevando punti che equivalgono all'individuazione di ulteriori accuse di violazione del regolamento (UE) 2016/679 o che modificano la natura intrinseca delle accuse mosse.

2.La forma e la struttura delle obiezioni pertinenti e motivate soddisfano tutti i seguenti requisiti:

(a)ciascuna obiezione pertinente e motivata e la posizione dell'autorità di controllo capofila al riguardo non superano la lunghezza di tre pagine e non contengono allegati. Nei casi che sollevano questioni giuridiche particolarmente complesse la lunghezza massima può essere di sei pagine, a meno che circostanze specifiche accettate dal comitato giustifichino una lunghezza superiore;

(b)il disaccordo dell'autorità di controllo interessata sul progetto di decisione è dichiarato all'inizio dell'obiezione pertinente e motivata ed è formulato in termini sufficientemente chiari, coerenti e precisi per consentire all'autorità di controllo capofila e, a seconda dei casi, alle autorità di controllo interessate di preparare le rispettive posizioni e al comitato di risolvere efficacemente la controversia;

(c)gli argomenti giuridici sono esposti e raggruppati in base alla parte del dispositivo del progetto di decisione cui si riferiscono. Ogni argomento o gruppo di argomenti è generalmente preceduto da una sintesi.

Capo IV

Accesso al fascicolo amministrativo e trattamento delle informazioni riservate

Articolo 19

Contenuto del fascicolo amministrativo

1.Il fascicolo amministrativo dell'indagine su una presunta violazione del regolamento (UE) 2016/679 è costituito da tutti i documenti ottenuti, prodotti e/o riuniti dall'autorità di controllo capofila durante l'indagine.

2.Nel corso dell'indagine su una presunta violazione del regolamento (UE) 2016/679 l'autorità di controllo capofila può restituire alla parte da cui li ha ottenuti i documenti che, a seguito di un esame più approfondito, si rivelano estranei all'oggetto dell'indagine. Una volta restituiti, tali documenti non costituiscono più parte del fascicolo amministrativo.

3.Il diritto di accesso al fascicolo amministrativo non si estende alla corrispondenza e allo scambio di opinioni tra l'autorità di controllo capofila e le autorità di controllo interessate. Le informazioni scambiate tra le autorità di controllo ai fini dell'indagine su un singolo caso sono documenti interni e non sono accessibili alle parti oggetto dell'indagine né al reclamante.

4.Alle obiezioni pertinenti e motivate a norma dell'articolo 60, paragrafo 4, del regolamento (UE) 2016/679 è dato accesso conformemente all'articolo 24. 

Articolo 20

Accesso al fascicolo amministrativo e uso dei documenti

1.L'autorità di controllo capofila dà accesso al fascicolo amministrativo alle parti oggetto dell'indagine, consentendo loro di esercitare il diritto di essere ascoltate. L'accesso al fascicolo amministrativo è dato dopo che l'autorità di controllo capofila ha notificato le constatazioni preliminari alle parti oggetto dell'indagine.

2.Il fascicolo amministrativo comprende tutti i documenti a carico e a discarico, inclusi i fatti e i documenti noti alle parti oggetto dell'indagine.  

3.Le conclusioni dell'autorità di controllo capofila nel progetto di decisione a norma dell'articolo 60, paragrafo 3, del regolamento (UE) 2016/679 e nella decisione definitiva a norma del paragrafo 7 di tale articolo possono basarsi solo sui documenti citati nelle constatazioni preliminari o sui quali le parti oggetto dell'indagine hanno avuto la possibilità di esprimersi.

4.I documenti ottenuti attraverso l'accesso al fascicolo amministrativo a norma del presente articolo sono usati solo a fini del procedimento giudiziario o amministrativo per l'applicazione del regolamento (UE) 2016/679 nel caso specifico per il quale sono stati forniti.

Articolo 21

Individuazione e protezione delle informazioni riservate

1.Salvo altrimenti disposto nel presente regolamento, l'autorità di controllo non comunica né rende accessibili le informazioni che ha raccolto o ottenuto nei casi transfrontalieri a norma del regolamento (UE) 2016/679, compresi i documenti che le riportano, nella misura in cui contengono segreti aziendali o altre informazioni riservate di qualsiasi persona.

2.Fintantoché il procedimento è in corso, le informazioni raccolte o ottenute da un'autorità di controllo nei casi transfrontalieri a norma del regolamento (UE) 2016/679, compresi i documenti che le riportano, sono escluse dalle richieste di accesso a norma della normativa sull'accesso del pubblico ai documenti ufficiali.

3.Quando comunica le constatazioni preliminari alle parti oggetto dell'indagine e dà accesso al fascicolo amministrativo in base all'articolo 20, l'autorità di controllo capofila si assicura che le parti oggetto dell'indagine cui è dato accesso a informazioni contenenti segreti aziendali o altre informazioni riservate trattino tali informazioni nel massimo rispetto della riservatezza e non le usino a scapito di chi le ha fornite. In funzione del grado di riservatezza delle informazioni, l'autorità di controllo capofila adotta disposizioni atte a garantire la piena efficacia dei diritti della difesa delle parti oggetto dell'indagine, tenendo debitamente conto della riservatezza delle informazioni.

4.Il soggetto che trasmette informazioni che considera riservate individua chiaramente tali informazioni, motivando la richiesta di riservatezza. Esso fornisce una versione separata non riservata di quanto trasmesso.

5.Fatto salvo il paragrafo 4, l'autorità di controllo capofila può chiedere alle parti oggetto dell'indagine, o a qualsiasi altra parte che trasmette documenti a norma del regolamento (UE) 2016/679, di individuare i documenti o le sezioni di documenti che a loro avviso contengono segreti aziendali o altre informazioni riservate ad esse appartenenti e di individuare le parti per le quali queste informazioni sono da considerarsi riservate.

6.L'autorità di controllo capofila può fissare un termine per le parti oggetto dell'indagine e qualsiasi altra parte che rivendica la riservatezza per:

(a)per ogni singolo documento o parte di documento, dichiarazione o parte di dichiarazione, motivare la richiesta di trattamento come segreto aziendale o altra informazione riservata;

(b)fornire una versione non riservata dei documenti e delle dichiarazioni, in cui i segreti aziendali e le altre informazioni riservate sono espunti;

(c)fornire una descrizione concisa e non riservata di ogni informazione espunta.

7.Se le parti oggetto dell'indagine o qualsiasi altra parte non si conformano ai paragrafi 4 e 5, l'autorità di controllo capofila può presumere che i documenti o le dichiarazioni in questione non contengano segreti aziendali né altre informazioni riservate.

Capo V

Composizione delle controversie

Articolo 22

Deferimento al meccanismo di composizione delle controversie a norma dell'articolo 65 del regolamento (UE) 2016/679

1.Se non ha dato seguito alle obiezioni pertinenti e motivate o ritiene che le obiezioni non siano pertinenti o motivate, l'autorità di controllo capofila sottopone la questione al meccanismo di composizione delle controversie di cui all'articolo 65 del regolamento (UE) 2016/679.

2.Nel deferire la questione al meccanismo di composizione delle controversie l'autorità di controllo capofila fornisce al comitato tutti i seguenti documenti:

(a)il progetto di decisione o il progetto di decisione riveduto oggetto delle obiezioni pertinenti e motivate;

(b)una sintesi dei fatti pertinenti;

(c)le constatazioni preliminari;

(d)l'opinione espressa per iscritto dalle parti oggetto dell'indagine a norma degli articoli 14 o 17, secondo il caso;

(e)le opinioni espresse per iscritto dai reclamanti a norma degli articoli 11, 12 o 15, secondo il caso;

(f)le obiezioni pertinenti e motivate cui l'autorità di controllo capofila non ha dato seguito;

(g)i motivi per cui l'autorità di controllo capofila non ha dato seguito alle obiezioni pertinenti e motivate o ha ritenuto che le obiezioni non fossero pertinenti o motivate.

3.Entro quattro settimane dal ricevimento dei documenti elencati al paragrafo 2, il comitato indica le obiezioni pertinenti e motivate accolte.

Articolo 23

Registrazione riguardante una decisione a norma dell'articolo 65, paragrafo 1, lettera a), del regolamento (UE) 2016/679

Il presidente del comitato registra il deferimento di una questione al meccanismo di composizione delle controversie a norma dell'articolo 65, paragrafo 1, lettera a), del regolamento (UE) 2016/679 entro una settimana dal ricevimento di tutti i seguenti documenti:

(a)il progetto di decisione o il progetto di decisione riveduto oggetto delle obiezioni pertinenti e motivate;

(b)una sintesi dei fatti pertinenti;

(c)l'opinione espressa per iscritto dalle parti oggetto dell'indagine a norma degli articoli 14 o 17, secondo il caso;

(d)le opinioni espresse per iscritto dai reclamanti a norma degli articoli 11, 12 o 15, secondo il caso;

(e)le obiezioni pertinenti e motivate accolte;

(f)i motivi per cui l'autorità di controllo capofila non ha dato seguito alle obiezioni pertinenti e motivate accolte.

Articolo 24

Motivazione prima dell'adozione di una decisione a norma dell'articolo 65, paragrafo 1, lettera a), del regolamento (UE) 2016/679

1.Prima di adottare la decisione vincolante a norma dell'articolo 65, paragrafo 1, lettera a), del regolamento (UE) 2016/679, il presidente del comitato, tramite l'autorità di controllo capofila, comunica alle parti oggetto dell'indagine e/o, in caso di rigetto totale o parziale del reclamo, al reclamante la motivazione del ragionamento che il comitato intende seguire nella decisione. Qualora intenda adottare una decisione vincolante che impone all'autorità di controllo capofila di modificare il progetto di decisione o il progetto di decisione riveduto, il comitato decide se la motivazione debba essere corredata delle obiezioni pertinenti e motivate accolte sulla cui base il comitato intende adottare la decisione.

2.Le parti oggetto dell'indagine e/o, in caso di rigetto totale o parziale del reclamo, il reclamante dispongono di una settimana dal ricevimento della motivazione di cui al paragrafo 1 per comunicare le proprie opinioni.

3.Il termine di cui al paragrafo 2 è prorogato di una settimana se il comitato proroga il termine per l'adozione della decisione vincolante a norma dell'articolo 65, paragrafo 2, del regolamento (UE) 2016/679.

4.Il termine per l'adozione della decisione vincolante del comitato di cui all'articolo 65, paragrafo 2, del regolamento (UE) 2016/679 non decorre durante la decorrenza dei termini di cui ai paragrafi 2 e 3.

Articolo 25

Procedura relativa a una decisione a norma dell'articolo 65, paragrafo 1, lettera b), del regolamento (UE) 2016/679

1.Quando deferisce una questione al comitato ai sensi dell'articolo 65, paragrafo 1, lettera b), del regolamento (UE) 2016/679, l'autorità di controllo che deferisce la questione relativa alla competenza per lo stabilimento principale fornisce al comitato tutti i seguenti documenti:

(a)una sintesi dei fatti pertinenti;

(b)la valutazione di tali fatti per quanto riguarda le condizioni di cui all'articolo 56, paragrafo 1, del regolamento (UE) 2016/679;

(c)le opinioni espresse dal titolare del trattamento o dal responsabile del trattamento il cui stabilimento principale è oggetto del deferimento;

(d)le opinioni delle altre autorità di controllo interessate dal deferimento;

(e)qualsiasi altro documento o informazione che l'autorità di controllo del deferimento ritenga utile e necessario per comporre la questione.

2.Il presidente del comitato registra il deferimento entro una settimana dal ricevimento dei documenti di cui al paragrafo 1.

Articolo 26

Procedura relativa a una decisione a norma dell'articolo 65, paragrafo 1, lettera c), del regolamento (UE) 2016/679

1.Quando deferisce una questione al comitato ai sensi dell'articolo 65, paragrafo 1, lettera c), del regolamento (UE) 2016/679, l'autorità di controllo che deferisce la questione o la Commissione fornisce al comitato tutti i seguenti documenti:

(a)una sintesi dei fatti pertinenti;

(b)se del caso, il parere emesso dal comitato a norma dell'articolo 64 del regolamento (UE) 2016/679;

(c)le opinioni dell'autorità di controllo che deferisce la questione o della Commissione in merito al fatto che un'autorità di controllo fosse tenuta a comunicare il progetto di decisione al comitato a norma dell'articolo 64, paragrafo 1, del regolamento (UE) 2016/679, o non abbia dato seguito a un parere del comitato emesso a norma dell'articolo 64 del regolamento (UE) 2016/679, a seconda dei casi. 

2.Il presidente del comitato richiede i seguenti documenti:

(a)le opinioni dell'autorità di controllo che si presume abbia violato l'obbligo di comunicare un progetto di decisione al comitato o non abbia dato seguito a un parere del comitato;

(b)qualsiasi altro documento o informazione che l'autorità di controllo ritenga utile e necessario per comporre la questione.

L'autorità di controllo che dichiari necessario presentare le proprie opinioni sulla questione le trasmette entro due settimane dal deferimento di cui al paragrafo 1.

3.Il presidente del comitato registra il deferimento entro una settimana dal ricevimento dei documenti di cui ai paragrafi 1 e 2.

Capo VI

Procedura d'urgenza

Articolo 27

Pareri d'urgenza a norma dell'articolo 66, paragrafo 2, del regolamento (UE) 2016/679

1.La richiesta di parere d'urgenza del comitato a norma dell'articolo 66, paragrafo 2, del regolamento (UE) 2016/679 è presentata al più tardi tre settimane prima della scadenza delle misure provvisorie adottate a norma del paragrafo 1 di tale articolo e contiene tutti i seguenti elementi:

(a)una sintesi dei fatti pertinenti;

(b)una descrizione della misura provvisoria adottata sul proprio territorio, la relativa durata e la motivazione della sua adozione, compresa la giustificazione dell'urgenza dell'intervento per proteggere i diritti e le libertà degli interessati;

(c)una giustificazione dell'urgenza dell'adozione di misure definitive nel territorio dello Stato membro dell'autorità di controllo richiedente, compresa una spiegazione dell'eccezionalità delle circostanze che richiedono l'adozione delle misure in questione.

2.Il parere d'urgenza del comitato è destinato all'autorità di controllo che ha presentato la richiesta. Esso è simile a un parere ai sensi dell'articolo 64, paragrafo 1, del regolamento (UE) 2016/679 e consente all'autorità richiedente di mantenere o modificare la misura provvisoria in linea con gli obblighi di cui al paragrafo 7 di tale articolo. 

Articolo 28

Decisioni d'urgenza a norma dell'articolo 66, paragrafo 2, del regolamento (UE) 2016/679

1.La richiesta di decisione d'urgenza del comitato a norma dell'articolo 66, paragrafo 2, del regolamento (UE) 2016/679 è presentata al più tardi tre settimane prima della scadenza delle misure provvisorie adottate a norma dell'articolo 61, paragrafo 8, dell'articolo 62, paragrafo 7, o dell'articolo 66, paragrafo 1, di tale regolamento. La richiesta contiene tutti i seguenti elementi:

(a)una sintesi dei fatti pertinenti;

(b)la misura provvisoria adottata nel territorio dello Stato membro dell'autorità di controllo che richiede la decisione, la relativa durata e la motivazione della sua adozione, in particolare la giustificazione dell'urgenza dell'intervento per proteggere i diritti e le libertà degli interessati;

(c)informazioni su eventuali misure investigative adottate sul proprio territorio e risposte ricevute dallo stabilimento locale delle parti oggetto dell'indagine o qualsiasi altra informazione in possesso dell'autorità di controllo richiedente;

(d)una giustificazione dell'urgenza dell'adozione di misure definitive nel territorio dell'autorità di controllo richiedente, tenendo conto dell'eccezionalità delle circostanze che richiedono l'adozione della misura definitiva, o la prova che un'autorità di controllo non ha risposto a una richiesta a norma dell'articolo 61, paragrafo 3, o dell'articolo 62, paragrafo 2, del regolamento (UE) 2016/679;

(e)se l'autorità richiedente non è l'autorità di controllo capofila, le opinioni dell'autorità di controllo capofila;

(f)ove applicabile, le opinioni dello stabilimento locale delle parti oggetto dell'indagine nei cui confronti sono state adottate misure provvisorie a norma dell'articolo 66, paragrafo 1, del regolamento (UE) 2016/679.

2.La decisione d'urgenza di cui al paragrafo 1 è destinata all'autorità di controllo che ha presentato la richiesta e consente all'autorità richiedente di mantenere o modificare la misura provvisoria.

3.Se il comitato adotta una decisione vincolante d'urgenza secondo cui dovrebbero essere adottate misure definitive, l'autorità di controllo destinataria della decisione le adotta prima della scadenza delle misure provvisorie adottate a norma dell'articolo 66, paragrafo 1, del regolamento (UE) 2016/679.

4.L'autorità di controllo che ha presentato la richiesta di cui al paragrafo 1 notifica la propria decisione sulle misure definitive allo stabilimento del titolare del trattamento o del responsabile del trattamento nel territorio del proprio Stato membro e ne informa il comitato. Se l'autorità di controllo capofila non è l'autorità richiedente, l'autorità richiedente informa l'autorità di controllo capofila della misura definitiva.

5.Se la decisione vincolante d'urgenza stabilisce che non urge adottare misure definitive, l'autorità di controllo capofila e le autorità di controllo interessate seguono la procedura di cui all'articolo 60 del regolamento (UE) 2016/679.

Capo VII

Disposizioni generali e finali

Articolo 29

Decorrenza dei termini e definizione di giorno lavorativo

1.I termini previsti dal regolamento (UE) 2016/679 o fissati dalle autorità di controllo in conformità di tale regolamento sono calcolati conformemente al regolamento (CEE, Euratom) n. 1182/71 del Consiglio 17 .

2.I termini decorrono dal giorno lavorativo successivo all'evento cui si riferisce la pertinente disposizione del regolamento (UE) 2016/679 o del presente regolamento.

Articolo 30

Disposizioni transitorie

I capi III e IV si applicano alle indagini d'ufficio avviate dopo l'entrata in vigore del presente regolamento e alle indagini basate su un reclamo proposto dopo l'entrata in vigore del presente regolamento.

Il capo V si applica a tutti i casi sottoposti al meccanismo di composizione delle controversie a norma dell'articolo 65 del regolamento (UE) 2016/679 dopo l'entrata in vigore del presente regolamento.

Articolo 31

Entrata in vigore

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Bruxelles, il

(1)    Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

(2)    Comunicazione della Commissione al Parlamento europeo e al Consiglio, La protezione dei dati come pilastro dell'autonomia dei cittadini e dell'approccio dell'UE alla transizione digitale: due anni di applicazione del regolamento generale sulla protezione dei dati (COM(2020) 264 final).

(3)    Risoluzione del Parlamento europeo, del 25 marzo 2021, sulla relazione di valutazione della Commissione concernente l'attuazione del regolamento generale sulla protezione dei dati due anni dopo la sua applicazione (2020/2717(RSP)).

(4)     https://edpb.europa.eu/our-work-tools/our-documents/statements/statement-enforcement-cooperation_it .

(5)     https://edpb.europa.eu/system/files/2022-10/edpb_letter_out2022-0069_to_the_eu_commission_on_procedural_aspects_en_0.pdf .

(6)     https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=en&do=groupDetail.groupDetail&groupID=3537 .

(7)     https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=en&do=groupDetail.groupDetail&groupID=3461 .

(8)     https://commission.europa.eu/strategy-documents/commission-work-programme/commission-work-programme-2023_en .

(9)    Comunicazione della Commissione al Parlamento europeo e al Consiglio, La protezione dei dati come pilastro dell'autonomia dei cittadini e dell'approccio dell'UE alla transizione digitale: due anni di applicazione del regolamento generale sulla protezione dei dati (COM(2020) 264 final).

(10)    Documento di lavoro dei servizi della Commissione che accompagna il documento "Comunicazione della Commissione al Parlamento europeo e al Consiglio, La protezione dei dati come pilastro dell'autonomia dei cittadini e dell'approccio dell'UE alla transizione digitale: due anni di applicazione del regolamento generale sulla protezione dei dati" (SWD(2020) 115 final).

(11)    Risoluzione del Parlamento europeo, del 25 marzo 2021, sulla relazione di valutazione della Commissione concernente l'attuazione del regolamento generale sulla protezione dei dati due anni dopo la sua applicazione (2020/2717(RSP)).

(12)     https://edpb.europa.eu/our-work-tools/our-documents/statements/statement-enforcement-cooperation_it .

(13)     https://edpb.europa.eu/system/files/2022-10/edpb_letter_out2022-0069_to_the_eu_commission_on_procedural_aspects_en_0.pdf .

(14)    GU C del , pag. .

(15)    GU C del , pag. .

(16)    Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

(17)    Regolamento (CEE, Euratom) n. 1182/71 del Consiglio, del 3 giugno 1971, che stabilisce le norme applicabili ai periodi di tempo, alle date e ai termini (GU L 124 dell'8.6.1971, pag. 1).

COMMISSIONE EUROPEA

Bruxelles, 4.7.2023

COM(2023) 348 final

ALLEGATO

della proposta di

REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

che stabilisce norme procedurali aggiuntive relative all'applicazione del regolamento (UE) 2016/679

ALLEGATO

Reclamo proposto in base all'articolo 3 1

Parte A: informazioni obbligatorie

1.Identificazione della persona o del soggetto che propone il reclamo Se il reclamante è una persona fisica, fornire un mezzo di identificazione 2 . Se il reclamo è proposto da un organismo di cui all'articolo 80 del regolamento (UE) 2016/679, fornire la prova che l'organismo è stato debitamente costituito secondo il diritto di uno Stato membro. Se il reclamo è proposto in base all'articolo 80, paragrafo 1, del regolamento (UE) 2016/679, fornire la prova che l'organismo che propone il reclamo agisce sulla base del mandato conferito dall'interessato.

2.Dati di contatto 3 Se il reclamo è proposto per via elettronica, indirizzo e-mail. Se il reclamo è proposto per posta, indirizzo postale. Numero di telefono.

3.Soggetto il cui trattamento dei dati personali viola il regolamento (UE) 2016/679 Fornire tutte le informazioni di cui si è in possesso per facilitare l'identificazione del soggetto nei cui confronti è proposto il reclamo.

4.Oggetto del reclamo Indicare i fatti in base ai quali si ritiene che i dati personali siano o siano stati trattati in violazione del regolamento (UE) 2016/679 (GDPR). In particolare precisare il contesto in cui i dati personali sono stati trattati.

Parte B: informazioni supplementari

Se possibile, indicare le disposizioni del regolamento (UE) 2016/679 (GDPR) che si ritiene siano state violate dal soggetto che tratta i dati personali. Specificare se prima di proporre reclamo è stato contattato il soggetto di cui alla parte A, punto 3, e illustrare l'esito di tali contatti. Se possibile, allegare la pertinente corrispondenza intrattenuta con tale soggetto. Specificare se sono stati avviati altri procedimenti amministrativi e/o giudiziari in merito all'oggetto del reclamo. In caso affermativo, indicare lo stato di avanzamento di tali azioni e, se del caso, l'esito. Presentare tutta la documentazione di cui si è in possesso riguardo ai fatti esposti nel reclamo (ad esempio copia dei documenti attestanti il rapporto con il titolare del trattamento quali fatture, contratti ecc., copia di eventuali messaggi commerciali o e-mail, immagini, fotografie o schermate, perizie, testimonianze, rapporti di ispezione).

Parte C: dichiarazione e firma

Confermare che le informazioni figuranti nel presente modulo sono fornite in buona fede. Data e firma.

(1)    Il reclamo dovrebbe essere compilato e proposto per via elettronica o compilato e proposto all'autorità di controllo per posta.

(2)    Ad esempio passaporto, patente di guida, carta d'identità nazionale.

(3)    Se il reclamo è proposto da un organismo di cui all'articolo 80 del regolamento (UE) 2016/679 dovrebbero essere fornite tutte le informazioni di cui al punto 2.