Garante Privacy: istruzioni per l’uso
Una panoramica sui poteri del Garante per la Protezione dei Dati Personali e sulla loro applicazione.
Quale è il ruolo e quali sono i poteri del Garante per la Protezione dei Dati Personali? Quali sono le modalità di accertamento delle violazioni? Che cos’è una segnalazione? Come si svolge l’attività investigativa del Garante? Quali sono i suoi poteri? Ho bisogno di specifiche tecnologie per dimostrare la conformità della mia organizzazione al GDPR? La misura della sanzione in caso di violazione da cosa dipende? Proveremo a dare una risposta a tutti questi quesiti.
L’art. 51 del Regolamento recita che “Ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di sorvegliare l’applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all’interno dell’Unione”. Tale ruolo, in Italia, è affidato al Garante per la Protezione dei Dati Personali che è un’autorità amministrativa indipendente istituita dalla legge n. 675 del 31 dicembre 1996 (cosiddetta ‘Legge sulla Privacy’), per assicurare la tutela dei diritti e delle libertà fondamentali e il rispetto della dignità nel trattamento dei dati personali.
I poteri del Garante
I suoi poteri, previsti agli articoli 51-54 del GDPR, possono essere divisi in 4 macrocategorie consistenti in poteri investigativi, correttivi, autorizzativi e consultivi ed infine quello di poter istituire procedure legali. A introdurre la facoltà di infliggere sanzioni amministrative pecuniarie è, invece, l’art. 83 del Regolamento, grazie a un sistema che mira a colpire le aziende sotto l’aspetto economico, prevedendo un sostanziale inasprimento, introducendo sanzioni amministrative che possono giungere, in determinati casi, fino a 20 milioni di euro o, per le imprese, fino al 4 % del fatturato totale mondiale annuo dell’esercizio precedente. L’attività ispettiva è lo strumento istruttorio necessario per accertare, se del caso anche in loco, situazioni di fatto che devono essere oggetto di valutazione da parte dell’Autorità in relazione a specifici casi. Tale attività è utilizzata anche con lo scopo di acquisire conoscenze in relazione a fenomeni nuovi in vista di una successiva regolazione da parte del Garante nell’ambito delle attribuzioni allo stesso rimesse dal Regolamento e dal Codice. Il potere di ispezione riconosciuto all’Autorità già d’ufficio, può essere esercitato anche come conseguenza della attività dell’interessato o di una terza parte mediante, rispettivamente, reclamo o segnalazione.
Le ispezioni
Nell’esecuzione di tali poteri l’Autorità può ingiungere al Titolare o al Responsabile di fornire tutte le informazioni necessarie all’esecuzione dei suoi compiti; può ottenere l’accesso a tutti i dati personali e alle informazioni necessarie ivi compreso l’accesso a tutti i locali e, in particolare, agli strumenti e ai mezzi con i quali i dati vengono trattati. Novità fondamentale introdotta con il D. Lgs 101/2018 è quella di poter richiedere informazioni anche in relazione al contenuto di banche dati. Il Garante può dunque disporre accessi a banche di dati, archivi o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al controllo del rispetto della disciplina in materia di trattamento dei dati personali.
Assolvere al meglio gli obblighi previsti dal GDPR
In questo scenario, sembra importante sottolineare come, ad avviso di chi scrive, sarà determinante, da un punto di vista pratico, nell’ambito dell’assolvimento degli obblighi di responsabilizzazione imposti dalle previsioni del Regolamento, essere in grado di dimostrare la capacità, non solo di poter esibire i documenti, le politiche o le procedure predisposte, ma anche di poter esprimere registrazioni digitali attendibili riferite alle specifiche operazioni di trattamento di dati personali. Ma non è tutto. Una delle caratteristiche di cui deve disporre un contenuto digitalizzato o, con terminologia specifica, un documento informatico, quale potrebbe essere, per esempio un file di log di un firewall, in caso, per esempio, di accertamento degli obblighi relativi alla notificazione delle violazioni di cui agli Art. 33, è quella dell’integrità. Si dovrebbe cioè poter dimostrare, e L’Autorità dovrà poterlo constatare, che eventuali documenti informatici o evidenze digitali consegnate, siano stati raccolti e conservati in conformità con le migliori pratiche note allo stato dell’arte, per la conservazione e/o la raccolta di registrazioni da utilizzare come prova; in questo senso potrebbe con efficacia farsi riferimento alle previsioni dello standard ISO/IEC 27037:2012.
I poteri correttivi
Per quanto invece attiene ai poteri correttivi si inizi col dire che questi comprendono attività alquanto varie andando dal mero “avvertimento” a interventi di ben altra portata e che incidono direttamente sull’operatività connessa al trattamento dei dati. Una volta accertata la violazione del Regolamento e dopo aver valutato i fatti del caso, il Garante deve individuare le “misure correttive” più appropriate per affrontare tale violazione. Le disposizioni di cui all’articolo 58, paragrafo 2, lettere da b) a j), indicano gli strumenti che le autorità di controllo hanno a disposizione per far fronte a un’inadempienza da parte di un Titolare o Responsabile del trattamento. Nella pratica essi consistono in avvertimenti rivolti al Titolare o al Responsabile su trattamenti che possano violare le disposizioni del Regolamento; o ancora degli ammonimenti sul fatto che dei trattamenti abbiano violato quanto disposto dal codice; ovvero delle ingiunzioni a conformarsi al Regolamento, a far sì che l’interessato possa esplicitare i propri diritti e a comunicare a tali soggetti una violazione dei loro dati. L’Autorità può inoltre imporre una limitazione a un determinato trattamento, può revocare la certificazione o ingiungere all’organismo di certificazione di ritirare la certificazione rilasciata, oppure ingiungere all’organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono più soddisfatti, ordinare la sospensione di flussi di dati verso paesi terzi. Infine può infliggere una sanzione amministrativa pecuniaria.
Le sanzioni
Come si è avuto modo di accennare, anche negli scorsi numeri, l’entità della sanzione amministrativa pecuniaria che in concreto potrebbe essere comminata dipende da vari fattori, tra i quali, in primo luogo, la gravità della violazione, che potrà essere valutata, sia dal punto di vista qualitativo, della natura dei dati (ad esempio categorie particolari), sia dal punto di vista quantitativo, del numero degli interessati in riferimento ai quali la violazione si è determinata. Un altro parametro che incide in modo significativo nella determinazione dell’importo della sanzione è rappresentato dal carattere doloso o colposo della violazione così come assumono una specifica rilevanza anche le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati.
Coautore dell’articolo:
Andrea Petrozzi
Dottore in Giurisprudenza
