La disciplina in questione di esaminare con attenzione il ruolo e le funzioni del Garante per la protezione dei dati personali. Quest'istituzione, composta da membri competenti eletti dal Parlamento, gioca un ruolo cruciale nell'assicurare il rispetto dei diritti fondamentali delle persone fisiche. Attraverso indagini, correttivi e sanzioni, il Garante si impegna attivamente nella vigilanza e promozione della consapevolezza sulla protezione dei dati.
Inquadramento
Il Garante per la protezione dei dati personali (“Garante”) è stato istituito in Italia sulla base della cosiddetta legge sulla privacy (legge 31 dicembre 1996, n. 675), poi sostituita dal Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003 n. 196), come modificato dal Decreto legislativo 10 agosto 2018, n. 101 (“codice privacy”). Il Garante è l'autorità di controllo designata ai fini dell'attuazione del Regolamento generale sulla protezione dei dati personali (UE) 2016/679 – “GDPR”- (art. 51).
In evidenza
Ogni Stato membro dell'UE, in conformità dell'articolo 8 della Carta, ha istituito autorità nazionali di controllo per la protezione dei dati personali, che possano garantire, quali autorità indipendenti, il rispetto dei diritti e delle libertà fondamentali riguardo ai dati di carattere personale, da parte di ogni cittadino.
Il Garante è un organo collegiale, composto da quattro membri eletti dal Parlamento, i quali rimangono in carica per un mandato di sette anni non rinnovabile (art. 153, codice privacy).
Caratteristiche
Il Garante è un’autorità amministrativa indipendente strutturato in due parti distinte e di diverso grado.
In evidenza
L’indipendenza dell’autorità di controllo (art 52 GDPR) garantisce autonomia nei confronti del Governo e dunque dall’indirizzo politico amministrativo di questo, per garantire imparzialità (cd. neutralità) rispetto agli interessi coinvolti.
Il Collegio è composto da quattro membri dotati di qualifiche, esperienza e competenze in particolare nel settore della protezione dei dati personali, eletti a due a due dalla Camera dei Deputati e dal Senato attraverso una procedura trasparente (art. 53 GDPR). Il collegio è presieduto da un presidente, coadiuvato da un vice presidente che ne fa le veci in caso di sua assenza o impedimento. Il voto del presidente del collegio prevale in caso di parità.
I componenti non subiscono pressioni esterne, si astengono da qualunque azione incompatibile con le loro funzioni, non potendo, per tutta la durata del mandato, esercitare alcuna altra attività incompatibile, sia remunerata o meno. I componenti possono essere rimossi solo in casi di colpa grave o se non soddisfano più le condizioni richieste per l’esercizio delle loro funzioni. Tanto i membri quanto il personale di ogni autorità di controllo sono tenuti al segreto professionale, sia durante che dopo il mandato.
L’Ufficio del Garante è articolato in dipartimenti e servizi, affianca il Collegio nello svolgimento delle sue attività, guidato dal Segretario generale, coadiuvato a sua volta da un vicesegretario generale.
Competenza e coerenza
Sulla base di quanto disposto dall’art 55 GDPR, ogni autorità di controllo possiede la competenza per esercitare i poteri ed assolvere i compiti ad essa attribuiti nel territorio del proprio Stato membro; la competenza dell’autorità non si estende ai trattamenti effettuati dalle autorità giurisdizionali (alle quali è affidata l’amministrazione della giustizia), come ad esempio la magistratura, nell’esercizio delle funzioni per il principio di autonomia e indipendenza del potere giudiziario. Se invece il trattamento è effettuato da autorità pubbliche o organismi privati che agiscono per obbligo legale o per l’esercizio di un compito di interesse pubblico, la competenza sarà dell'autorità di controllo dello Stato membro interessato e non si applica il cosiddetto meccanismo dello sportello unico, previsto per i trattamenti con impatti in più Stati membri (cd. trattamenti transfrontalieri).
Diversamente, nei trattamenti transfrontalieri, la competenza è dell’Autorità di controllo Capofila individuata nell’autorità dello Stato dell’Unione europea in cui ha sede lo stabilimento unico o lo stabilimento principale del titolare o del responsabile del trattamento nell’ambito dell’UE.
L’Autorità di controllo capofila deve cooperare con tutte le autorità nazionali interessate e considerare le loro opinioni, trasmettendo, ex art.60 alle altre autorità interessate, un progetto di decisione per ottenere il loro parere. Se una o più delle altre autorità sollevano obiezioni e l’autorità capofila non intende accoglierle, allora quest’ultima deve ricorrere necessariamente al meccanismo di coerenza disciplinato dall’art. 63 GDPR, attraverso il quale le autorità cooperano fra di loro per contribuire all'applicazione coerente dello stesso Regolamento in tutta l'Unione.
In evidenza
Il meccanismo di coerenza si applica in particolare quando un'autorità di controllo intenda adottare una misura che produce effetti giuridici derivanti da attività di trattamento che incidono in modo sostanziale su un numero significativo di interessati in vari Stati membri.
In tal caso la decisione sarà di competenza del Comitato Europeo per la Protezione dei Dati (European Data Protection Board -EDPB), organismo dell’Unione Europea composto dai rappresentanti delle autorità di tutti gli stati membri e dal Garante Europeo per la protezione dei dati (European Data Protection Supervisor -EDPS).
Compiti dell'autorità di controllo
Dalla lettura del combinato disposto degli articoli 57 GDPR, 154 a e 154-ter del Codice Privacy, si evincono sia i compiti che ogni autorità di controllo europea deve svolgere sia quelli che la normativa italiana ha inteso assegnare all'autorità italiana.
Scopo principale delle autorità di controllo è quello di vigilare sull'effettiva tutela dei diritti e delle libertà fondamentali delle persone fisiche (interessati), sulla protezione e sulla libera circolazione dei dati personali nel territorio dell'Unione Europea.
Le autorità svolgono un ruolo d'informazione attiva volto a promuovere la consapevolezza degli interessati, dei titolari e dei responsabili del trattamento, contribuendo a creare una cultura della protezione dei dati.
In evidenza
Il legislatore italiano ha attribuito al Garante per la Protezione dei Dati Personali con il d.lgs. n196/2003, come modificato dal d.lgs. n° 101/2018, all'art 154, compiti propri, tra i quali:
il controllo sulle modalità di applicazione del Regolamento e sull'esecuzione dei trattamenti individuati nel registro;
la tutela dei diritti degli Interessati, mediante la gestione dei reclami e l'indicazione delle procedure per l'esercizio dei relativi diritti;
le attività ispettive, l'emanazione di provvedimenti sanzionatori, la segnalazione dei reati perseguibili d'ufficio, ricezione delle copie dei provvedimenti emessi dai magistrati;
la consulenza al Parlamento, al Governo, agli altri organismi e istituzioni statali, in merito alle proposte legislative e alle misure amministrative in materia di protezione dei dati personali, anche con il coinvolgimento del pubblico nel corso delle attività di consultazione;
l'approvazione dei codici di condotta, delle clausole contrattuali tipo, delle norme vincolanti d'impresa;
la collaborazione con le altre autorità nazionaliindipendenti mediante assistenza reciproca e operazioni congiunte e partecipazione al Comitato europeo;
l'emanazione di provvedimenti a tutela dei diritti e delle libertà fondamentali, di regolamenti e di pareri.
Ogni autorità di controllo elabora una relazione annuale sulla propria attività che è trasmessa al parlamento nazionale, al governo e alle altre autorità designate dal diritto dello Stato membro. Esse sono messe a disposizione del pubblico, della Commissione e del comitato.
Poteri dell’autorità di controllo
L’autorità di controllo gode dei seguenti poteri:
poteri di indagine (art. 58, comma 1): permettono l’ingiunzione al Titolare o al Responsabile del trattamento di fornire tutte le informazioni, attraverso l’esercizio dell’accesso ai dati e ai luoghi ove compiere le ispezioni utili alla conduzione delle eventuali e successive indagini.
Inoltre, in questa fase, è anche riconosciuto il potere di notificare le presunte violazioni del Regolamento al titolare o al responsabile del trattamento attraverso un atto ufficiale quale la notifica che riveste carattere di formalità;
poteri correttivi (art. 58, comma 2); utilizzati per avvertire che un trattamento possa verosimilmente violare il regolamento e che si basano, dunque, su una previsione prospettica che lascia presagire, nei casi previsti, ulteriori interventi come ad esempio ammonire il titolare o il responsabile del trattamento, oppure ingiungere a questi di adeguare i trattamenti oggetto di ingiunzione alle disposizioni del regolamento o ancora di soddisfare le richieste dell’interessato nell’esercizio dei suoi diritti, ed ancora, di notificare a quest’ultimo, in caso di data breach, l’avvenuta violazione dei dati personali. Tra i poteri correttivi vi è quello di imporre una limitazione, provvisoria o definitiva, al trattamento oggetto di indagine oppure quelli di rettifica e cancellazione di dati personali, il potere di revocare la certificazione o ingiungere all’organismo di certificazione di ritirare la certificazione rilasciata a norma degli articoli 42 e 43 GDPR, oppure ingiungere all’organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non ci sono più o non sono più soddisfatti.
poteri autorizzativi e consultivi (art. 58, comma 3): il Garante, in seno alle sue funzioni, può offrire consulenza al titolare del trattamento.
In evidenza
Il legislatore italiano aveva attribuito al Garante per la Protezione dei Dati Personali tramite l’art. 154-bis l. n. 675/1996, i poteri di:
agire in giudizio;
adottare linee guida di indirizzo;
approvare regole deontologiche;
pubblicare i propri provvedimenti;
invitare i rappresentanti di altra autorità amministrativa indipendente nazionale a partecipare alle proprie riunioni;
essere invitato alle riunioni di altra autorità amministrativa indipendente nazionale, prendendo parte alla discussione di argomenti di comune interesse;
richiedere, altresì, la collaborazione di personale specializzato in forza ad altra autorità amministrativa indipendente nazionale.
In aggiunta, l’Autorità ha il potere di infliggere, exart. 83 GDPR, una sanzione amministrativa pecuniaria.
Strumenti di tutela a disposizione dell’interessato
La funzione assegnata all’Autorità di curare l’informazione e sviluppare la consapevolezza del pubblico e dei titolari del trattamento in relazione alla protezione dei dati trova la sua massima espressione nell’impianto di tutele previsto dall’ordinamento.
L'interessato può, pertanto, presentare un'istanza direttamente al Titolare del trattamento per l’esercizio dei propri diritti privacy, il quale fornisce le informazioni richieste senza ingiustificato ritardo, entro comunque un mese (prorogabile di 2 mesi qualora si renda necessario, tenuto conto della complessità e del numero di richieste) dal ricevimento della richiesta, che potrà essere presentata senza particolari formalità.
In determinate circostanze riguardanti il trattamento di dati personali ci si potrà rivolgere al Garante mediante l’utilizzo della segnalazione o del reclamo.
Segnalazione
Chiunque può inviare al Garante una segnalazione (ai sensi dell'articolo 144 del Codice in materia di protezione dei dati personali) quando non è possibile presentare un preciso reclamo, non avendo sufficienti informazioni, oppure qualora si chieda al Garante di effettuare un controllo sull'eventuale violazione della normativa. La segnalazione non ha particolari vincoli di forma dovendo, il segnalante, limitarsi a fornire tutti gli elementi in suo possesso da cui possa evincersi l'illegittimità o l'illiceità del trattamento oggetto della segnalazione.
La segnalazione può essere esaminata dall'Autorità, ma non comporta la necessaria adozione di un provvedimento ex art. 58 GDPR, ravvisandosi la facoltà del Garante di decidere caso per caso ai sensi del Regolamento n. 1/2019.
Il reclamo
Il reclamo è previsto e disciplinato dall'art. 77 GDPR, nonché dagli artt. 141, 142 e 143 del Codice privacy, ed è lo strumento con il quale l'interessato rappresenta all'Autorità una violazione della disciplina rilevante in materia di protezione dei dati personali. In particolare, il reclamo è presentato direttamente dall'interessato o su mandato di questo da un legale o un ente del terzo settore soggetto alla disciplina del d. lgs. 117/2017 che sia attivo nel settore della tutela dei diritti e delle libertà degli interessati, con riguardo alla protezione dei dati personali.
Il reclamo deve indicare, quanto più dettagliatamente, i fatti e le circostanze su cui si fonda, le disposizioni asseritamente lese, nonché gli estremi identificativi del titolare, dell'eventuale responsabile e dell'istante, allegando, se possibile, tutta la documentazione pertinente.
Questo strumento a disposizione dell'interessato può essere proposto sia quando non è possibile ottenere tutela attraverso l'esercizio dei diritti riconosciuti dagli articoli 15 – 21 GDPR sopra descritti, sia quando si ritenga che tale tutela sia stata insufficiente o non sia pervenuto riscontro nel tempo previsto (art. 12 GPDR), sia per promuovere comunque una decisione dell'Autorità su una questione di sua competenza in caso di evidente violazione della normativa.
Tanto il reclamo quanto la segnalazione possono essere presentati al Garante senza particolari formalità e possono essere proposti utilizzando il modello e le istruzioni predisposte dal Garante, reperibili sul sito istituzionale.
