Originariamente esisteva il Gruppo di Lavoro Articolo 29 e ancora molte indicazioni relative al GDPR sono state prese da questo comitato originariamente previsto, appunto, dall’art. 29 della ormai superata direttiva europea 95/46. Il lavoro di questo gruppo è stato riconosciuto come eccezionale a più livelli, producendo pareri e fornendo linee guida non solo applicative, ma anche interpretative della nuova disciplina in materia di protezione dati. La complessità e la cogenza del GDPR hanno però imposto la necessità della creazione di una figura ad hoc con ben più ampi e diversi poteri.

Oggi gli articoli da 68 a 76 del GDPR disciplinano la figura permanente dello European Data Protection Board, o Comitato europeo per la protezione dei dati, che ha definitivamente sostituito il Gruppo 29.

Che cosa è l'European Data Protection Board
Si tratta di un organismo consultivo indipendente, dotato di personalità giuridica, composto da un rappresentante per ogni autorità nazionale, dal Garante Europeo della protezione dei dati, nonché da un rappresentante della Commissione. Si tratta quindi di un nuovo European Body a pieno titolo, con autonoma personalità nel quadro dell’Unione. Il Comitato è rappresentato da un Presidente che viene è eletto al suo interno ed ha un mandato di due anni, rinnovabile una volta.

I compiti dell'EDPB
L’articolo 69 del GDPR statuisce l’assoluta indipendenza del Comitato, tant’è che questo non sollecita né può accettare istruzioni. Si tratta di una figura evidentemente voluta dal legislatore europeo per ribadire il ruolo sovranazionale del GDPR, tant’è che nell’articolo 70 che ne definisce i compiti, viene immediatamente posto in evidenza che quello principale del Comitato è quello di garantire un’applicazione coerente del Regolamento. Peraltro il termine “coerente”, così letteralmente tradotto dalla versione inglese del testo, è più probabile che debba essere inteso anche come “corretta”; il complessivo sistema delle norme che disciplinano il Comitato lascia intendere che a questo siano deputate funzioni che vanno oltre una meta funzione di controllo, ma lascia anche ampi margini di interpretazione autentica della disciplina. 

Ed infatti troviamo, tra i suoi compiti, quello di fornire consulenza alla Commissione in merito a qualsiasi questione relativa alla protezione dei dati personali nell'Unione e pubblicare linee guida, raccomandazioni e prassi al fine di promuovere l'applicazione coerente del regolamento. Difficile poter sostenere che le varie autorità nazionali possano discostarsi da dette linee guida. Si noti poi che il Comitato può, anche di propria iniziativa oltre che su richiesta di uno dei suoi membri o della Commissione, esaminare qualsiasi questione relativa all'applicazione del regolamento.

I suoi compiti, inoltre, si estendono poi non solo all'accreditamento di organismi di certificazione e al loro riesame periodico (dandogli così ampio margine discrezionale), ma arrivano fino a quelli di dare pareri per valutare l'adeguatezza del livello di protezione dei dati in un paese terzo e, addirittura, nelle organizzazioni internazionali.

Il nuovo organismo si affianca al già esistente EDPS (European Data Protection Supervisor), istituito col Regolamento CE 45/2001, al quale però non si applica il GDPR. Oggi gli organi europei che si occupano di protezione dei dati personali sono pertanto due e distinti tra loro per composizione, competenze e basi giuridiche. Peraltro l’EDPB è il solo organo europeo di protezione dei dati istituito e previsto dal Regolamento e che riunisce tutte le Autorità nazionali; il solo che, sia pure soltanto nell’ambito dei suoi compiti, è chiamato a controllare che le Autorità nazionali applichino correttamente la nuova regolazione europea e a decidere sulle loro eventuali controversie di competenza.