Il Comitato Europeo per la Protezione dei Dati (EDPB), organo indipendente composto dai rappresentanti dei Garanti della Privacy nazionali e dal Garante europeo della protezione dei dati (GEPD), nel corso della sua quarantunesima sessione plenaria ha adottato, per la prima volta da quando è stato istituito, una decisione di risoluzione di controversie ai sensi dell’art. 65 del GDPR.
Il caso di specie nasce da una controversia sorta a seguito delle obiezioni “pertinenti e motivate”, come previsto dall’art. 60 par. 4, presentate da diverse Autorità Garanti nazionali nei confronti della bozza di decisione che l’Autorità Garante irlandese, l’Irish Supervisory Authority (ISA), voleva adottare, in qualità di Autorità di controllo capofila, verso Twitter International Company.
Tutto è iniziato con un data breach oggetto di notifica da parte della società di microblogging Twitter all’Autorità di riferimento l’8 gennaio 2019, per il quale la DPC aveva avviato un indagine, conclusa a maggio del 2020 ha condiviso il progetto di decisione con le altre Autorità membri del comitato le quali nelle 4 settimane a disposizioni avevano presentato obiezioni sulle violazioni riscontrate, sul ruolo di Twitter International Company quale unico responsabile del trattamento dei dati ed infine sulla quantificazione dell’ammenda proposta.
Per tutta risposta il Garante irlandese ha ritenuto che le obiezioni non fossero pertinenti e motivate, deferendo la questione al Comitato, con conseguente avvio formale della procedura di composizione delle controversie l’8 settembre.
