GDPR: i poteri dell’Autorità Garante

Il Garante per la protezione dei dati personali è un’autorità amministrativa indipendente istituita per assicurare la tutela dei diritti e delle libertà fondamentali e il rispetto della dignità nel trattamento dei dati personali.

In base al nostro Codice Privacy (art. 154 D.lgs. n. 196/2003), tra i compiti del garante rientrano:

  • controllare che i trattamenti siano effettuati nel rispetto delle norme di legge.
  • ricevere ed esaminare i reclami e le segnalazioni e provvedere sui ricorsi presentati dagli interessati.
  • vietare anche d’ufficio i trattamenti illeciti o non corretti ed eventualmente disporne il blocco.
  • promuovere la sottoscrizione di codici di deontologia e buona condotta di determinati settori.
  • segnalare al Governo e al Parlamento l’opportunità di provvedimenti normativi richiesti dall’evoluzione del settore.
  • esprimere pareri nei casi previsti.
  • curare la conoscenza tra il pubblico della disciplina rilevante in materia di trattamento dei dati personali e delle relative finalità e in materia di misure di sicurezza dei dati.
  • denunciare i fatti configurabili come reati perseguibili d’ufficio conosciuti nell’esercizio delle sue funzioni.
  • tenere il registro dei trattamenti.
  • predisporre una relazione annuale sull’attività svolta da presentare al Governo e al Parlamento;
  • essere consultato da Governo o Ministri quando questi predispongono norme che incidono sulla materia.
  • cooperare con le altre autorità amministrative indipendenti.
  • organizzare il proprio ufficio ed il proprio organico ed il loro trattamento giuridico, economico ed amministrativo.

Il GDPR – Regolamento Ue 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che è obbligatorio per tutti gli Stati Membri dal 25 maggio – si occupato anche del ruolo che saranno chiamate a svolgere le autorità di controllo (il nostro Garante Privacy), a cui sono conferiti poteri di indagine, correttivi, autorizzativi e consultivi, e il potere di infliggere sanzioni amministrative pecuniarie.

Il Garante, quindi, avrà il compito di vigilare sulla corretta applicazione del Regolamento al fine di tutelare “ i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all’interno dell’Unione” (art. 51, co.1 GDPR).

 USA IL GESTIONALE LEGALDESK, GARANZIA DI EFFICACIA ED EFFICIENZA

GDPR e Autorità Garante: ambito di potere

In primo luogo, le autorità dovranno svolgere un controllo costante sull’operato e sulle attività poste in essere dal titolare e/o dal responsabile del trattamento.

Si tratta di un controllo generale e perpetuo, che non si esaurisce nella verifica di una singola attività, né è circoscrivibile in azioni poste in essere in un arco temporale definito, dovendo, l’autorità stessa, operare in maniera ininterrotta e continua, affiancando e coadiuvando il titolare nelle sue attività.

L’art. 57 del Regolamento, indica quali sono i compiti svolti dall’autorità sul proprio territorio:

  1. sorveglia e assicura l’applicazione del regolamento;
  2. promuove la consapevolezza e favorisce la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione al trattamento. Sono oggetto di particolare attenzione le attività destinate specificamente ai minori;
  3. fornisce consulenza, a norma del diritto degli Stati membri, al parlamento nazionale, al governo e ad altri organismi e istituzioni in merito alle misure legislative e amministrative relative alla protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento;
  4. promuove la consapevolezza dei titolari del trattamento e dei responsabili del trattamento riguardo agli obblighi imposti loro dal presente regolamento;
  5. su richiesta, fornisce informazioni all’interessato in merito all’esercizio dei propri diritti derivanti dal presente regolamento e, se del caso, coopera a tal fine con le autorità di controllo di altri Stati membri;
  6. tratta i reclami proposti da un interessato, o da un organismo, un’organizzazione o un’associazione ai sensi dell’articolo 80, e svolge le indagini opportune sull’oggetto del reclamo e informa il reclamante dello stato e dell’esito delle indagini entro un termine ragionevole, in particolare ove siano necessarie ulteriori indagini o un coordinamento con un’altra autorità di controllo;
  7. collabora, anche tramite scambi di informazioni, con le altre autorità di controllo e presta assistenza reciproca al fine di garantire l’applicazione e l’attuazione coerente del presente regolamento;
  8. svolge indagini sull’applicazione del presente regolamento, anche sulla base di informazioni ricevute da un’altra autorità di controllo o da un’altra autorità pubblica;
  9. sorveglia gli sviluppi che presentano un interesse, se e in quanto incidenti sulla protezione dei dati personali, in particolare l’evoluzione delle tecnologie dell’informazione e della comunicazione e le prassi commerciali;
  10. adotta le clausole contrattuali tipo di cui all’articolo 28, paragrafo 8, e all’articolo 46, paragrafo 2, lettera d);
  11. redige e tiene un elenco in relazione al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’articolo 35, paragrafo 4;
  12. offre consulenza sui trattamenti di cui all’articolo 36, paragrafo 2;
  13. incoraggia l’elaborazione di codici di condotta ai sensi dell’articolo 40, paragrafo 1, e fornisce un parere su tali codici di condotta e approva quelli che forniscono garanzie sufficienti, a norma dell’articolo 40, paragrafo 5;
  14. incoraggia l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati a norma dell’articolo 42, paragrafo 1, e approva i criteri di certificazione a norma dell’articolo 42, paragrafo 5;
  15. ove applicabile, effettua un riesame periodico delle certificazioni rilasciate in conformità dell’articolo 42, paragrafo 7;
  16. definisce e pubblica i criteri per l’accreditamento di un organismo per il controllo dei codici di condotta ai sensi dell’articolo 41 e di un organismo di certificazione ai sensi dell’articolo 43;
  17. effettua l’accreditamento di un organismo per il controllo dei codici di condotta ai sensi dell’articolo 41 e di un organismo di certificazione ai sensi dell’articolo 43;
  18. autorizza le clausole contrattuali e le altre disposizioni di cui all’articolo 46, paragrafo 3;
  19. approva le norme vincolanti d’impresa ai sensi dell’articolo 47;
  20. contribuisce alle attività del comitato;
  21. tiene registri interni delle violazioni del presente regolamento e delle misure adottate in conformità dell’articolo 58, paragrafo 2;
  22. svolge qualsiasi altro compito legato alla protezione dei dati personali.

I compiti conferiti all’autorità prevedono attività estremamente diversificate, che la pongono in un costante rapporto continuo – andando dalle prime fasi del trattamento e continuando per tutto il percorso, con una costante opera di sorveglianza – con i titolari del trattamento e i responsabili.

Nel caso in cui, dall’esercizio dei predetti compiti, che potremmo definire regolari, dovesse emergere la necessità di ulteriori approfondimenti all’autorità di controllo sono conferiti anche poteri di indagine, correttivi, autorizzativi e consultivi, nonché il potere di infliggere sanzioni amministrative pecuniarie.

Tali poteri sono indicati dall’art. 58 del Regolamento, e si sostanziano in:

  • poteri di indagine (art. 58, co.1);
  • poteri correttivi (art. 58, co.2);
  • poteri autorizzativi e consultivi (art. 58, co.3).

L’art. 83, invece, disciplina il potere di infliggere sanzioni amministrative pecuniarie: il sistema elaborato, colpisce le aziende sotto l’aspetto economico, con un inasprimento delle sanzioni rispetto a quanto disposto dalla precedente disciplina, introducendo sanzioni amministrative che possono arrivare fino a 20 milioni di euro o, per le imprese, fino al 4 % del fatturato totale mondiale annuo dell’esercizio precedente

Il sistema sanzionatorio messo a punto, ha lo scopo di rendere più autorevole la nuova disciplina, importandola ad un corretto uso e trattamento dei dati personali: e questo vale, non solo per le aziende, ma anche per le persone fisiche che ancora non percepiscono appieno la protezione del trattamento dei dati come un diritto fondamentale.

LEGGI ANCHE: Benvenuto GDPR, addio Codice Privacy

Autorità Garante: poteri di indagine, correttivi ed autorizzativi o consultivi

Diciamo che il legislatore europeo, ha voluto graduare i poteri conferiti alle autorità di controllo, rendendoli meno incisivi nella fase iniziale del rapporto autorità/titolare del trattamento, e accentuando sempre più il ruolo e la presenza di forme di controllo sul titolare del trattamento con interventi via via più autoritari.

In questa scala, i primi poteri riconosciuti ad ogni autorità di controllo sono di indagine.

L’autorità, può chiedere al titolare “ogni informazione” di cui ha bisogno: espressione utilizzata per no porre dei limiti, conferendo anche il potere di ottenere l’accesso a tutti i dati personali ed a tutte le informazioni necessarie, nonché a tutti i locali del titolare del trattamento e del responsabile del trattamento, compresi tutti gli strumenti ed i mezzi di trattamento dei dati.

In questa fase di indagini, l’autorità di controllo ha anche il potere di notificare le presunte violazioni del Regolamento al titolare o al responsabile del trattamento.

Nel caso in cui l’autorità sia competente per la gestione di una richiesta dell’interessato ai sensi del Regolamento, la stessa avrà anche il dovere di imporre al titolare, di soddisfare le richieste dell’interessato di esercitare i diritti ad esso spettanti o, in caso di violazione, ordinare che queste vengano comunicate all’interessato.

Tra i poteri correttivi, rientra quello di stabilire delle limitazioni, provvisorie o definitive, al trattamento e che possono arrivare fino al divieto stesso di trattamento.

L’autorità ha anche il potere di ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento, ponendo divieti alle attività inerenti i trattamenti, che possono arrivare fino al potere di revocare la certificazione nel caso in cui ritenga che, cambiata la situazione, i requisiti a suo tempo riconosciuti non sono o non sono più soddisfatti.

Si aggiunga a tutto ciò anche il potere dell’autorità di infliggere una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento.

Quando si parla di poteri autorizzativi e consultivi, si fa riferimento a delle funzioni strettamente connesse alle competenze ed ai poteri indicati e che vanno dalla consulenza al titolare del trattamento, a funzioni tipiche dell’autorità cui è conferito il compito di definire poteri e limiti anche con riguardo alle autorizzazioni cui è subordinata l’intera attività di trattamento dei dati.

 USA ORA LEGALDESK, IL GESTIONALE IDEALE PER IL TUO STUDIO LEGALE

Autorità Garante: poteri sanzionatori

L’art.83, co1, stabilisce la quantificazione delle sanzioni da applicare alle violazioni commesse: “ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo in relazione alle violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6 siano in ogni singolo caso effettive, proporzionate e dissuasive”.

Tanto l’effettività quanto la proporzionalità, indicano un legame tra conseguenze della violazione e sanzione da applicare.

La dissuasività, invece, è un criterio utilizzato per misurare la sanzione in relazione al caso concreto, in modo che la stessa sia percepita dall’azienda in maniera tanto pesante da indurla a non operare più attraverso determinate mancanze.

La valutazione circa l’opportunità di applicare una sanzione amministrativa e la quantificazione della stessa, vengono in rilievo anche il comportamento tenuto dal titolare/responsabile del trattamento, la consapevolezza e il livello di collaborazione con l’autorità.

Andrà poi valutata la natura, la gravità e la durata della violazione, con un’attenzione livello di danno subito e al numero di interessati lesi dal danno.

A tutto ciò si aggiunge anche la valutazione circa la correttezza dell’operato del titolare/responsabile del trattamento: occorre esaminare il dolo o l’eventuale colpa della violazione, la consapevolezza circa l’eventualità del danno, per cui verranno valutare le misure adottate per ridurre il danno, nonché il grado di cooperazione posto in essere con l’autorità di controllo al verificarsi dell’evento dannoso e per porre rimedio alla violazione.

Per ciò che riguarda la misura massima della sanzione amministrativa pecuniaria che può essere inflitta, l’art. 83 opera una distinzione tra:

  1. a) la violazione degli obblighi del titolare/responsabile del trattamento, quelli dell’organismo di certificazione nonché quelli dell’organismo di controllo, per le quali è stabilita una misura massima di 10.000,00 € o, per le imprese, fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore;
  2. b) le violazioni dei principi di base del trattamento, comprese le condizioni relative al consenso, dei diritti degli interessati, dei trasferimenti di dati personali e di qualsiasi obbligo o inosservanza di un ordine, per le quali è fissato un tetto massimo di 20.000,00 € o, per le imprese, il 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.