Home

Reclamo al Garante Privacy

Fonte: D.Lgs. 10 agosto 2018 n. 101
Natascia Arcifa
14 Ottobre 2024

Il reclamo al Garante per la protezione dei dati personali è uno strumento essenziale per difendere i diritti alla privacy, come previsto dal GDPR. Gli articoli 141-143 del Codice in materia di protezione dei dati personali recepiscono il GDPR in Italia e regolano dettagliatamente la procedura di reclamo al Garante. Le recenti modifiche consentono al Garante della privacy di intervenire in qualsiasi violazione della normativa sulla protezione dei dati, non solo riguardo ai diritti di accesso e all'autodeterminazione informativa...

Inquadramento

Il reclamo al Garante per la protezione dei dati personali rappresenta uno strumento fondamentale a disposizione degli individui per difendere i propri diritti in materia di privacy, come stabilito dal GDPR (General Data Protection Regulation). Gli articoli 141 a 143 del Codice in materia di protezione dei dati personali (d.lgs. 196/2003, modificato dal d.lgs. 101/2018) recepiscono il GDPR nel contesto italiano e regolano in maniera dettagliata la procedura di reclamo al Capo I rubricato “Tutela dinanzi al garante”.

In evidenza

L'articolo 141 del Codice della Privacy riconosce agli interessati il diritto di proporre un reclamo al Garante della Privacy. Questo può avvenire in particolare quando i dati personali vengono trattati in violazione del GDPR; e vengono negati i diritti garantiti agli interessati (ad es. accesso, rettifica, cancellazione o limitazione del trattamento dei propri dati personali).

Con le modifiche apportate più recentemente, viene riconosciuta la possibilità per il Garante della privacy di intervenire non solo in caso di violazione dei diritti di accesso e degli altri diritti strumentali all'autodeterminazione informativa (art. 7 Codice privacy) ma per qualsiasi violazione della normativa a tutela dei dati personali (tramite la specifica regolamentazione delle due azioni di reclamo e di segnalazione).

Infatti, Il Codice della privacy dopo aver riconosciuto il diritto di proporre un reclamo, disciplina la procedura del reclamo di fronte al Garante fornendo l'elenco degli elementi che devono essere contenuti nel reclamo (art. 142) e statuisce il potere di intervento del Garante, descrivendo le azioni che l'Autorità può intraprendere una volta esaminato il reclamo (art. 143).

La tutela dinanzi al garante: il reclamo

L'attuale quadro normativo in materia di protezione dei dati personali prevede diverse forme di tutela (segnalazioni, reclami e ricorsi) a disposizione dell'interessato per agire presso l'Autorità Garante della Privacy. Tuttavia, sebbene la procedura per la presentazione dei ricorsi (ex art. 29 della Legge 675) e delle istanze di accesso (ex art. 13 della stessa legge) fosse già regolamentata dal d.P.R. 501/1998, in origine vi era una scarsa disciplina riguardante le modalità di presentazione delle segnalazioni e dei reclami.

Con le modifiche introdotte nel 2018 lo strumento del reclamo è stato regolamentato in maniera più precisa. Ai sensi dell'art. 77 del Regolamento UE 2016/679 (GDPR) e degli artt. 140-bis e 142 del Codice della Privacy, l'interessato che ritenga siano stati violati i propri diritti in materia di protezione dei dati personali può presentare reclamo all'Autorità Garante. Questa precisazione normativa ha ampliato i poteri dell'Autorità, alla quale possono ora essere segnalate tutte le violazioni della disciplina sulla protezione dei dati.

L'articolo 140-bis del Codice disciplina le “forme alternative di tutela” consentendo all'interessato di scegliere tra la presentazione di un reclamo al Garante e il ricorso all'autorità giudiziaria. Tuttavia, qualora sia già stata adita l'autorità giudiziaria per lo stesso oggetto e tra le medesime parti, il reclamo al Garante non può più essere presentato. In aggiunta, una volta proposto il reclamo, non è possibile presentare ulteriori domande davanti all'autorità giudiziaria per la medesima questione.

Il reclamo è uno strumento di tutela amministrativa che consente all'interessato di rappresentare al Garante una presunta violazione della normativa sulla protezione dei dati personali. Attraverso questa procedura, l'interessato può richiedere l'intervento del Garante affinché indaghi sulla violazione e, se accertata, adotti provvedimenti correttivi o imponga sanzioni nei confronti del titolare o del responsabile del trattamento.

Gli articoli 141-143 del Codice italiano, in conformità con il GDPR, garantiscono un'ampia tutela agli interessati, consentendo loro di agire contro eventuali abusi nel trattamento dei dati personali. Il reclamo al Garante rappresenta uno strumento di protezione efficace per garantire il rispetto della normativa, proteggendo i diritti e le libertà fondamentali degli interessati.

È importante precisare che il reclamo, pur permettendo di denunciare una violazione della privacy, non consente di avanzare richieste di risarcimento dei danni subiti. Tali richieste, infatti, possono essere presentate esclusivamente davanti al giudice ordinario. Il Garante è invece competente per adottare misure correttive (ai sensi dell'art. 58, par. 2 GDPR) e irrogare sanzioni amministrative (art. 83 GDPR e art. 166 Codice della Privacy novellato).

La procedura di reclamo di fronte al garante

L'art. 142 del Codice della Privacy disciplina la procedura di presentazione del reclamo al Garante, stabilendo quali elementi debbano essere inclusi nel documento. Il reclamo deve essere strutturato in una parte fattuale e documentale, che descrive gli eventi e fornisce prove a sostegno, e in una parte tecnico-normativa, che indica le disposizioni di legge che si ritiene siano state violate.

In particolare, il reclamo deve presentare in modo il più dettagliato possibile i fatti e le circostanze che supportano la presunta violazione della normativa sulla privacy, nonché la sussistenza della violazione stessa.     In aggiunta, il reclamo deve contenere i dati identificativi del reclamante, l’indicazione del titolare o del responsabile del trattamento e ogni documentazione rilevante a supporto della presunta violazione. Può essere inoltre presentato dal reclamante direttamente o, in alternativa, questi può delegare un avvocato o un ente del terzo settore attivo nella protezione dei diritti e delle libertà degli interessati in materia di protezione dei dati personali. Ai sensi del comma 2 dell’art. 142, tale delega deve essere conferita per iscritto, in conformità all’art. 9, comma 2 del Codice, che disciplina le modalità di esercizio dei diritti di accesso, cancellazione, opposizione o rettifica dei dati.

La giurisprudenza dell'Autorità garante ha interpretato l’obbligo di indicare dettagliatamente i fatti e le circostanze in maniera flessibile, chiarendo che l’assenza di uno o più degli elementi richiesti dall’art. 142 non determina automaticamente l’inammissibilità del reclamo, purché siano presenti gli elementi minimi richiesti dalla normativa. Ciò evita di rendere obbligatorio il ricorso ad un professionista per la presentazione del reclamo, preservando il diritto dell’interessato di agire direttamente a tutela dei propri dati personali. In tal senso, il Garante ha stabilito che i titolari del trattamento devono rispondere alle istanze, anche se ritenute inammissibili, in linea con i principi di correttezza e buona fede sanciti dal nostro Codice civile.

L'art. 144 Codice Privacy prevede inoltre la possibilità per chiunque di rivolgere una segnalazione al Garante. Questo strumento può essere utilizzato quando l’interessato non dispone di tutti gli elementi necessari per presentare un reclamo completo ai sensi dell’art. 142. In tali casi, se un reclamo non include i fatti, le circostanze o le norme presuntamente violate, il Garante può trattarlo come una segnalazione e avviare le opportune procedure di controllo per valutare la legittimità delle azioni del titolare del trattamento. Risulta quindi evidente che la legittimazione attiva al reclamo è riconosciuta a qualsiasi interessato, sia persona fisica sia giuridica, che ritenga violato il proprio diritto alla protezione dei dati personali.

Per quanto riguarda i soggetti legittimati passivamente, il Garante può adottare provvedimenti amministrativi nei confronti di specifiche categorie di titolari del trattamento. In alcuni casi, come previsto dall’art. 143, comma 2, tali provvedimenti vengono pubblicati in Gazzetta Ufficiale qualora i destinatari non siano facilmente identificabili, a causa del numero elevato di soggetti coinvolti o della complessità delle indagini. Tuttavia, questa disposizione potrebbe sollevare dubbi di legittimità costituzionale per potenziale violazione del diritto di difesa sancito dall’art. 24 della Costituzione, qualora i destinatari dei provvedimenti fossero esclusi dal procedimento.

In merito alla violazione di norme pertinenti al trattamento dei dati personali, la relazione accompagnatoria del Codice della Privacy chiarisce che il riferimento alla disciplina rilevante include anche fonti non legislative, come i codici deontologici, che costituiscono ulteriori parametri di liceità del trattamento. Di conseguenza, il reclamo al Garante può essere presentato non solo in caso di violazione del Codice della Privacy, ma anche per violazioni di altre normative rilevanti, come ad esempio quelle che tutelano il diritto all’immagine, in quanto dato personale.

Il potere di intervento del garante

Con le recenti modifiche normative, il potere di intervento del Garante della privacy è stato ampliato, consentendogli di agire non solo in caso di violazione dei diritti di accesso e degli altri diritti funzionali all’autodeterminazione informativa (art. 7 Codice privacy), ma anche in caso di qualsiasi violazione delle disposizioni in materia di protezione dei dati personali.

L’articolo 143 del Codice disciplina il processo decisionale relativo ai reclami e definisce le azioni che il Garante può intraprendere una volta esaminato il reclamo. In particolare, dopo aver ricevuto un reclamo, il Garante effettua un’istruttoria preliminare per valutare se procedere con ulteriori indagini. Qualora il reclamo non sia manifestamente infondato e vi siano i presupposti per adottare misure a tutela dell’interessato, il Garante può adottare provvedimenti quali la sospensione, il divieto di trattamento o l’imposizione di sanzioni amministrative, in conformità con quanto previsto dall’art. 58 del Regolamento UE 2016/679.

Il terzo comma dell’articolo 143 dispone le tempistiche sulla decisione del Garante, prevedendo che l’Autorità debba decidere il reclamo entro nove mesi dalla data di presentazione. Se entro tre mesi dall'inizio del procedimento non vengono fornite informazioni sullo stato dello stesso, l’interessato ha diritto a ricorrere all’autorità giudiziaria competente. Inoltre, l’interessato può agire direttamente dinanzi al giudice ordinario, ai sensi dell’art. 152 del Codice, per richiedere, se del caso, anche il risarcimento del danno. Il termine per la decisione può essere esteso fino a dodici mesi in presenza di motivate esigenze istruttorie, come comunicato dall’Autorità all’interessato. Durante la tutela amministrativa, può essere attivato il cosiddetto procedimento di cooperazione previsto dall’art. 60 del Regolamento UE, sospendendo i termini di decisione per tutta la sua durata.

Qualora venga accertata una violazione della normativa sulla protezione dei dati, il Garante ha la facoltà di adottare diverse misure. Queste includono la limitazione o il divieto del trattamento, l’ordine al titolare del trattamento di soddisfare le richieste dell’interessato, come la rettifica o la cancellazione dei dati, e l’imposizione di sanzioni pecuniarie proporzionate alla gravità dell’infrazione.

Le misure possono essere suddivise in tre tipologie principali. La prima si applica quando il trattamento è illecito o scorretto, soprattutto in caso di mancata adozione, da parte del titolare, dei correttivi necessari indicati dal Garante. La seconda riguarda le situazioni in cui la prosecuzione del trattamento potrebbe comportare un rischio concreto di pregiudizio rilevante per uno o più interessati, analogamente a quanto previsto dall’art. 700 c.p.c. in materia di provvedimenti d’urgenza. Infine, la terza tipologia si riferisce ai casi in cui il trattamento risulti in conflitto con rilevanti interessi della collettività.

Il blocco del trattamento può essere disposto dal Garante al termine dell’istruttoria preliminare o spontaneamente dal titolare come misura cautelativa. Se non viene accertata una violazione grave, il Garante può comunque prescrivere misure correttive per garantire la conformità del trattamento alla normativa vigente, assicurando così che esso sia lecito e corretto.

CASISTICA

Illiceità dell'acquisizione e diffusione di una conversazione – il blocco del trattamento

[omissis] L'art. 11 del Regolamento del Garante n. 1 del 2007 (vigente pro tempore) prevede, in relazione alla lett. d), che "al termine dell'istruttoria preliminare, che deve essere completata entro sei mesi dalla presentazione o avvenuta regolarizzazione del reclamo, ovvero entro nove mesi nei casi complessi che richiedono approfondimenti per motivate esigenze, il dipartimento, servizio o altra unità organizzativa conclude l'esame del reclamo senza promuovere l'adozione di un provvedimento del collegio ai sensi dell'art. 143, comma 1, del Codice, quando: (..) d) pur essendo riscontrata una condotta non conforme alla disciplina applicabile, non sono ravvisati i presupposti per adottare, allo stato degli atti, un provvedimento prescrittivo o inibitorio del collegio, in particolare quando la condotta è particolarmente risalente nel tempo o ha esaurito i suoi effetti, oppure quando tali effetti sono stati rimossi o sono state fornite idonee assicurazioni da parte del titolare del trattamento".

La verifica dell'esistenza delle riferite condizioni è istituzionalmente rimessa al giudice del merito, il quale nella specie ha stabilito che vi era stato semplicemente il "blocco" del trattamento.

La preliminare affermazione della ricorrente, per cui vi era stata invece la "cancellazione definitiva dei dati", non trova riscontro nella sentenza e introduce surrettiziamente un sindacato di fatto.

Il termine "blocco", di contro, corrisponde alla condizione determinata dall'art. 4 cod. privacy, e integra "la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento".

Ne consegue che rettamente il tribunale ha ritenuto che il suddetto "blocco" non fosse di ostacolo alla potestà del Garante di accertare l'illiceità del trattamento ai fini della susseguente pronuncia di inibitoria alla ulteriore diffusione.

(Cass. civ., sez. I, 24 dicembre 2020, n. 29584)

PERSONA FISICA E DIRITTI DELLA PERSONALITÀ - Riservatezza (privacy) e trattamento dei dati personali  - tutela dei dati nominativi elettronicamente elaborati

Per stabilire con quale forma e rito vada impugnato un provvedimento decisorio, il cd. principio dell'apparenza (in virtù del quale l'impugnante deve adottare il rito coerente con la qualificazione data dal giudice al suo provvedimento, e non col contenuto oggettivo di esso) trova applicazione anche quando si tratti di impugnare provvedimenti amministrativi. Ne consegue che per stabilire se un provvedimento adottato dal Garante per la protezione dei dati personali debba qualificarsi come "ricorso" ai sensi dell'art. 145 d.lgs. 30 giugno 2003 n. 196 (con conseguente opponibilità dinanzi al Tribunale), ovvero come "reclamo" ai sensi dell'art. 141 dello stesso decreto, occorre fare riferimento non alle deduzioni delle parti, ma alla qualificazione formalmente data dal Garante al proprio provvedimento. Va, pertanto, qualificato come decisione su un "reclamo", come tale non opponibile dinanzi al Tribunale ai sensi dell'art. 151 d.lgs. n. 196/2003, il provvedimento nel quale il Garante, provvedendo sull'istanza del privato, dichiari di ritenere "impregiudicate le azioni giudiziarie che il reclamante abbia intrapreso o intenda intraprendere". (Cass. civ. sez. III – 12 ottobre 2012, n. 17408)  

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.