Garante Privacy: cosa sapere sull’Autorità di controllo indipendente italiana

Garante Privacy
INDICE:

Il Garante Privacy o, più correttamente, Garante per la Protezione dei Dati Personali, è una figura centrale nel panorama della tutela della privacy in Italia, ma pochi sanno definire il suo ruolo e i suoi compiti in modo completo.

In questo articolo, approfondiremo il ruolo, i doveri e le caratteristiche principali che contraddistinguono questa importante Autorità indipendente.

Chi è il Garante della Privacy?

Il Garante della Privacy è un’Autorità di controllo amministrativa, designata per l’attuazione in Italia del Regolamento generale sulla protezione dei dati personali 2016/679 (GDPR).

Si tratta di un ente operante in autonomia e indipendenza.

Vediamo insieme la sua struttura. Il Garante Privacy si compone di due organi: il Collegio che ne costituisce il vertice e l’Ufficio del Garante.

  • Il Collegio è costituito da quattro componenti, eletti due dalla Camera dei deputati e due dal Senato, con mandato non rinnovabile della durata di sette anni. La candidatura deve essere presentata durante una procedura pubblica e tra i requisiti richiesti per poter presentare la propria candidatura vi è la l’esperienza sia nel settore della protezione dei dati personali, ma anche la conoscenza delle discipline giuridiche e informatiche.
  • L’Ufficio del Garante privacy, invece, affianca il Collegio nello svolgimento delle sue attività e presenta una struttura più complessa. Si compone di:
    • un Segretario generale nominato tra magistrati, avvocati, docenti universitari di ruolo in materie giuridiche o economiche;
    • un vicesegretario generale che coadiuva il Segretario;
    • un’articolazione in dipartimenti e servizi, competenti per materia in diversi ambiti di attività, presso i quali opera l’organico del personale dipendente, il cui accesso è subordinato al superamento di un concorso pubblico.

Autorità Garante Privacy: i compiti

Il compito principale del Garante della Privacy è quello di controllare se il trattamento dei dati personali da parte degli organismi privati o pubblici avviene in modo lecito e corretto. I compiti del Garante sono definiti dal Regolamento (UE) 2016/679 (il GDPR) e dal decreto legislativo 30 giugno 2003, n. 196 (Codice Privacy), adeguato alle disposizioni del GDPR tramite il Decreto legislativo 10 agosto 2018, n. 101, oltre che da vari altri atti normativi italiani e internazionali.

Sul sito è presente una scheda di sintesi che riassume brevemente i compiti del Garante.

Vediamoli insieme.

Tra i compiti principali del Garante (previsti dagli articoli 57 e 58 del regolamento Ue e dall’articolo 154 del Codice Privacy) vi sono:

  • poteri ispettivi: richiedere informazioni, condurre indagini e ottenere accesso a tutti i dati personali e ai luoghi ove compiere le ispezioni;
  • poteri correttivi: comprendono l’avvertimento/ammonimento al Titolare o al Responsabile del trattamento, l’emanazione di provvedimenti sospensivi/ingiuntivi e l’irrogazione delle sanzioni
  • poteri autorizzativi e consultivi: favoriscono l’attività di consulenza offerta dal Garante in supporto alle istituzioni, nonché il rilascio pareri/autorizzazioni/certificazioni, l’adozione di clausole tipo o l’emanazione delle norme vincolanti d’impresa.

Il Garante per la protezione dei dati personali si differenzia dalle altre Autorità nazionali, in quanto può agire in giudizio, adottare le linee guida di indirizzo, approvare regole deontologiche, cooperare con le altre autorità, pubblicare provvedimenti su diverse tematiche, comunicati stampa ecc. accessibili e consultabili presso il sito web del Garante Privacy.

Negli ultimi anni, ad esempio, in cui l’uso delle piattaforme digitali è diventato sempre più massiccio e si è diffuso l’utilizzo dell’intelligenza artificiale, il Garante ha fornito un importante contributo, fornendo pareri o misure volte a tutelare i diritti delle persone. È intervenuto sull’intelligenza artificiale, su fenomeni di revenge porn, sul cyberbullismo, sulle grandi piattaforme, sul telemarketing aggressivo ecc.

Quando rivolgersi al Garante Privacy?

Il Garante assume un ruolo centrale nella nostra società digitalizzata.

In un panorama così complesso è necessaria la presenza di una figura indipendente e di controllo, che abbia lo scopo di far sì che le normative europee e nazionali in materia di trattamento dati vengano rispettate in toto.

Vediamo quali sono i casi in cui l’interessato può rivolgersi al Garante.

La regola dettata dal GDPR prevede che ogni individuo può tutelare i propri dati personali esercitando i diritti previsti dagli articoli 15- 22 GDPR (a titolo di esempio il diritto di accesso, di rettifica, cancellazione, ecc) direttamente nei confronti dei soggetti che trattano i dati a lui riferibili.

Nel caso in cui, dopo aver esercitato un proprio diritto, emerga una violazione della privacy o dei diritti personali, l’interessato potrà rivolgersi nei confronti del responsabile o del titolare per presentare un’istanza, la quale dovrà essere riscontrata entro 30 giorni.

Qualora l’interessato non ottenesse risposta o la stessa non fosse soddisfacente, potrà rivolgersi al Garante chiedendo di pronunciarsi sulla legittimità del trattamento dei dati personali che lo riguardano.

Tuttavia, se il passare del termine di 30 giorni può comportare un pregiudizio imminente e irreparabile, dimostrabile con prove, l’interessato può presentare l’istanza direttamente al Garante senza attendere la scadenza dei 30 giorni.

L’interessato può servirsi di tre strumenti per tutelare il proprio diritto alla privacy:

  • Reclamo al Garante
  • Segnalazione al Garante
  • Ricorso al Tribunale

Il Garante Privacy, inoltre, può avviare d’ufficio dei procedimenti per valutare il tenore di quei comportamenti non conformi alla legge privacy, attraverso le ispezioni semestrali.

Infatti, ogni semestre viene pubblicato sul sito dell’Autorità garante privacy il piano delle attività ispettive che verranno svolte nell’arco di tempo indicato nel provvedimento i settori sui quali l’Autorità focalizzerà il suo intervento in collaborazione anche con la Guardia di Finanza.

Il Reclamo al Garante Privacy

Il primo rimedio che il GDPR prevede a tutela dell’interessato avverso una violazione perpetrata nell’ambito di un trattamento di dati è, appunto, il reclamo al Garante Privacy (Art. 77- Diritto di proporre un reclamo all’Autorità di controllo).

Tale strumento è esperibile quando:

  • non è possibile ottenere tutela attraverso l’esercizio dei diritti riconosciuti dall’art. 15 e seguenti del Regolamento (UE) 2016/679;
  • si ritenga che tale tutela sia stata insoddisfacente o non sia pervenuto riscontro nel tempo previsto;
  • si vuole promuovere una decisione dell’Autorità su una questione di sua competenza in caso di violazione della normativa.

È uno strumento gratuito, che consente all’interessato, anche in assenza dell’assistenza di un legale, di segnalare una violazione delle normative sulla protezione dei dati personale all’Autorità chiedendone una verifica. Il Garante mette a disposizione sul proprio sito web un modello di facile compilazione e accessibile a chiunque. Nella pagina specifica sono altresì indicate le modalità di deposito.

Il reclamo non richiede particolari vincoli di forma, ma deve essere circostanziato e includere informazioni chiave che consentano al Garante della Privacy di valutare la illegittimità o illiceità del trattamento dei dati personali.

Inoltre, è un atto che può essere sottoscritto personalmente dall’interessato o per suo conto, da un avvocato, un procuratore, un organismo, un’organizzazione o un’associazione senza scopo di lucro, muniti di procura.

Ricordiamo che tale diritto deve essere esplicitato nell’informativa privacy, ai sensi dell’art. 13, c. 2 lett. d.

Al reclamo segue un’istruttoria preliminare e, se nel caso, un provvedimento amministrativo, come ad esempio il blocco del trattamento o l’adozione di misure per garantire la conformità alla normativa.

La presentazione del reclamo al Garante Privacy rende improponibile un’ulteriore domanda davanti all’Autorità Giudiziaria tra le stesse parti e per il medesimo oggetto.

Segnalazione al Garante Privacy

Un altro strumento che l’interessato può utilizzare al fine di sollecitare l’esercizio dell’attività di controllo dell’autorità è la segnalazione al Garante Privacy.  Tale strumento è esperibile quando:

  • non è possibile presentare reclamo circostanziato
  • l’interessato non dispone di sufficienti informazioni
  • l’interessato intenda effettuare una semplice denuncia

Come per il reclamo non sono previsti particolari vincoli di forma e la segnalazione è gratuita. Si differenzia dal reclamo invece, in quanto la segnalazione non comporta la necessaria adozione di un provvedimento da parte dell’Autorità.

Per un maggior approfondimento sul tema consigliamo di consultare, oltre al sito del Garante della Privacy che fornisce delle istruzioni operative, anche il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali”.

In particolare, in tale regolamento viene chiarita la gestione delle segnalazioni anonime. Nello specifico, il Garante può utilizzare le informazioni presenti nelle segnalazioni anonime, solo qualora ritenga di dover avviare controlli su casi nei quali ravvisa il rischio di seri pregiudizi o di ritorsioni ai danni di soggetti interessati dal trattamento, oppure ricorra comunque un caso di particolare gravità.

Per tematiche specifiche, quali ad esempio il revenge porn, le comunicazioni indesiderate e il cyberbullismo, il Garante ha predisposto della modulistica specifica.

Ricorso al Tribunale

L’interessato per tutelare il suo diritto alla privacy può decidere di rivolgersi direttamente al Tribunale, tramite un ricorso giurisdizionale.

Il ricorso al Tribunale si differenzia dal reclamo o dalla segnalazione all’Autorità di controllo in quanto è soggetto a particolari formalità ed effetti giuridici.

Tale strumento è esperibile:

  • in caso di tardiva o non soddisfacente risposta del titolare o del responsabile
  • se il decorso dei termini relativi al riscontro dell’istanza esporrebbe l’interessato ad un pregiudizio imminente ed irreparabile

Per poter accedere alla tutela giurisdizionale è necessario dare mandato ad un legale e sostenere i costi del procedimento civile giudiziale con il quale sarà possibile chiedere il risarcimento del danno.

In quali casi i Titolari posso consultare il Garante Privacy?

Come è noto, il GDPR si fondo sul principio dell’accountability, secondo il quale il Titolare del trattamento deve essere in grado di dimostrare di aver adottato politiche e misure adeguate a garantire che il trattamento dei dati personali effettuato sia conforme al Regolamento. In concreto il GDPR delega al titolare molte valutazione e responsabilità.

Tuttavia, esistono dei casi in cui il Titolare è tenuto a consultare il Garante prima di procedere al trattamento, al fine di ottenere delle indicazioni utili a poter attuare il trattamento stesso nel rispetto del GDPR.

Nello specifico, il Titolare deve ricorre all’istituto della cd. consultazione preventiva, nel caso in cui un trattamento, a seguito di un’opportuna valutazione d’impatto sulla protezione dei dati, presenti un rischio troppo elevato per gli interessati, tale per cui è necessario un parere da parte dell’Autorità di controllo.

L’Autorità si impegna a fornire, entro 8 settimane, un parere scritto al Titolare del trattamento. Questo periodo può essere prorogato di ulteriori sei settimane, tenendo conto della complessità del trattamento previsto.

Il Garante Privacy e le altre Autorità

Il Garante per la Protezione dei Dati Personali svolge un’intensa attività anche a livello internazionale, fornendo importanti contributi nell’adozione di linee guide su tematiche anche molto complesse, in collaborazione con il Garante Europeo della Protezione dei Dati (European Data Protection Supervisor), con il Comitato Europeo per la Protezione dei Dati e le altre Autorità nazionali.

Lo scopo principale della collaborazione è legato alla supervisione sulla corretta applicazione del GDPR da parte degli organi dell’Unione Europea, oltre a promuovere lo scambio di informazioni, all’assistenza reciproca per le diverse attività come ad esempio quelle ispettive, consultive o legate all’emanazione di provvedimenti.

Il risultato delle attività prodotte viene condiviso al pubblico tramite la pubblicazione di news, articoli, linee guida, decisioni e provvedimenti.

Ricordiamo che l’EDPB può emanare decisioni vincolanti per le Autorità nazionale se queste non rispettano un suo parere.

La comunicazione dei dati del DPO al Garante Privacy

L’Autorità di controllo detiene un registro dei nominativi di tutti i DPO (Data Protection Officer) presenti sul territorio italiano, consentendogli un facile e diretto contatto.

Infatti, il GPPR prevede all’art. 37, par. 7 che i soggetti pubblici e privati che abbiamo nominato un DPO per volontà o per obbligo, siano tenuti alla comunicazione all’Autorità Garante dei dati di contatto. Tale comunicazione viene eseguita in via telematica, con una specifica procedura, tramite il sito web.

Tale procedura viene utilizzata anche in caso di variazione del nominativo del DPO o in caso di revoca dello stesso. Si tratta di uno strumento che assume un ruolo fondamentale, in quanto permette l’espletamento dei compiti affidati al DPO, quali quelli di cooperare con l’Autorità di controllo e di fungere da punto di contatto tra il singolo ente o azienda e il Garante Privacy (art. 39, lett. d) ed e), GDPR).

Il Garante e la sensibilizzazione alla protezione dei dati

Come abbiamo visto, il Garante Privacy ha il compito di promuovere la consapevolezza degli individui, dei titolari e dei responsabili del trattamento, al rispetto della normativa privacy.

Negli ultimi anni, con la crescita dell’era digitale, il Garante ha cercato, tramite l’attività di comunicazione, di informazione anche a mezzo di infografiche e l’elaborazione di linee guida operative, di promuovere e sensibilizzare la cultura della protezione dei dati personali. Ad esempio, in tema di phishing, il Garante si è attivato riportando alcuni consigli pratici e operativi al fine di comprendere come riconoscere il fenomeno e di conoscere le misure utili da adottare per evitare di cadere nella rete.

Torna in alto