La Decisione 01/2026 del Garante Europeo della Protezione dei Dati (GEPD), adottata il 16 gennaio 2026 e pubblicata nella Gazzetta Ufficiale dell’Unione Europea del 29 gennaio 2026, rappresenta un intervento normativo di rilievo nel quadro della protezione dei dati personali all’interno delle istituzioni, degli organi e degli organismi dell’Unione Europea. La decisione disciplina in modo puntuale l’applicazione del consenso preventivo del GEPD quale condizione imprescindibile per la rimozione dall’incarico dei Responsabili della Protezione dei Dati (RPD), rafforzando la funzione di garanzia e l’indipendenza di tali figure.
Il contesto normativo di riferimento è costituito dal Regolamento (UE) 2018/1725, che disciplina il trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione, e che prevede espressamente la designazione di un RPD per ogni istituzione. Il Regolamento sancisce il principio secondo cui il RPD deve essere in grado di esercitare le proprie funzioni con autonomia e indipendenza, senza subire pressioni o condizionamenti che possano incidere sull’efficacia della tutela dei diritti degli interessati. In questo contesto, la Decisione 01/2026 chiarisce le modalità procedurali che le istituzioni e gli organismi devono osservare ogniqualvolta intendano procedere alla rimozione di un RPD, prevedendo un obbligo vincolante di acquisire il preventivo consenso del GEPD prima di procedere all’effettiva revoca dall’incarico.
La procedura delineata dalla Decisione impone alle istituzioni di trasmettere al GEPD una richiesta formale, corredata di tutte le informazioni necessarie a consentire una valutazione completa e ponderata. Tali informazioni comprendono le motivazioni alla base della richiesta di rimozione, la documentazione relativa al contesto operativo del RPD, la durata residua del mandato e l’eventuale impatto sulle funzioni di vigilanza dei dati personali. Il GEPD, nell’esaminare la richiesta, può richiedere ulteriori informazioni sia all’istituzione interessata sia al RPD stesso, al fine di acquisire tutti gli elementi necessari per una valutazione completa e accurata, nonché valuta se la rimozione sia supportata da ragioni oggettive, proporzionate e documentate, assicurando che l’azione non comprometta l’indipendenza del RPD né pregiudichi l’efficacia della protezione dei dati all’interno dell’istituzione. Il consenso preventivo, quindi, funge da strumento di garanzia essenziale, impedendo rimozioni arbitrarie o motivate da ragioni estranee alla tutela dei dati personali.
La Decisione individua altresì le condizioni in base alle quali il GEPD può concedere o negare il consenso. L’organo di vigilanza considera la fondatezza delle motivazioni addotte, la conformità della procedura interna seguita dall’istituzione, la tutela dei diritti fondamentali dell’interessato e la coerenza dell’azione con i principi di trasparenza e imparzialità. In presenza di ragioni giustificate, il GEPD può concedere il consenso alla rimozione; in assenza di tali condizioni, il consenso viene negato, rendendo impossibile la revoca del RPD fino al rispetto dei requisiti prescritti. Tale meccanismo consolida la funzione di tutela dell’indipendenza dei RPD, garantendo che le istituzioni dell’Unione non possano incidere in modo discrezionale sulla figura di garanzia incaricata della vigilanza dei trattamenti di dati personali.
La Decisione 01/2026 assume un valore esemplare per la governance interna dell’Unione Europea: l’obbligo del consenso preventivo del GEPD riduce al minimo la discrezionalità nell’esercizio delle prerogative amministrative e garantisce che la tutela dei dati personali non sia subordinata a logiche politiche o organizzative contingenti. In questo modo, la decisione contribuisce a consolidare un sistema di controllo interno efficace, che assicura la corretta gestione delle informazioni sensibili e il rispetto dei diritti fondamentali degli interessati. Non si limita, quindi, a definire procedure formali, ma rafforza concretamente i meccanismi di vigilanza e accountability istituzionale, elevando gli standard di protezione dei dati personali e assicurando che le istituzioni operino nel pieno rispetto dei principi di trasparenza, imparzialità e continuità nella tutela dei diritti dei cittadini.
