Reclami e segnalazioni al Garante: cosa bisogna sapere

La disciplina delle attività ispettive del garante per la protezione dei dati personali.

Fra i compiti del Garante, secondo la normativa vigente – Regolamento (UE) 2016/679 e dal Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196) adeguato alle disposizioni del Regolamento (UE) 2016/679 tramite il Decreto legislativo n. 10/2018 – vi sono, tra gli altri, quelli di controllare se i trattamenti di dati personali sono effettuati nel rispetto della disciplina applicabile, di trattare reclami ed esaminare segnalazioni, nonché quello di esercitare i poteri di indagine, correttivi, sanzionatori autorizzativi e consultivi previsti dalla disciplina applicabile.

Al centro del ruolo del Garante, come disciplinato all’Art. 51 GDPR, vi sono dunque, da una parte, compiti diretti a garantire la tutela del dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei loro dati personali e dall’altra, funzioni dirette ad agevolare la libera circolazione dei dati personali nell’Unione.

Prima del GDPR. Il decreto legislativo n. 196/2003 prevedeva, prima dell’adeguamento alle disposizioni del Regolamento (UE) 2016/679, che, a tutela dei di diritti dell’interessato, ovvero il soggetto cui si riferiscono i dati personali, fosse possibile promuovere ricorsi e reclami. Con il decreto n. 101/2018, che prevede l’allineamento al nuovo Regolamento (UE) 2016/679 viene eliminata la forma del ricorso e vengono unificate nel reclamo le principali forme di richiesta di intervento dell’autorità in relazione a trattamenti difformi dalla disciplina.

Businessman Looking At Document Through Magnifying Glass

Reclami: attenzione a completezza
e regolarità dell’atto

Il Reclamo. è l’Atto che indica specificatamente gli elementi previsti dall’Art. 142 d.lgs n. 196/2003 tra cui: un’indicazione dettagliata dei fatti e delle circostanze su cui si fonda, delle disposizioni che si presumono violate e delle misure richieste, e inoltre, se conosciuti, gli estremi identificativi del titolare o del responsabile del trattamento. (Art. 77 GDPR, Artt. 140-bis e 143 Codice Privacy).

Deve essere sottoscritto dall’interessato o, su mandato di questo, da un ente del terzo settore attivo nel settore della tutela dei diritti e delle libertà degli interessati, con riguardo alla protezione dati personali. In allegato al reclamo andrà allegata la documentazione utile ai fini della sua valutazione e l’eventuale mandato.

Nell’ipotesi in cui il reclamo sia irregolare o incompleto, le cause di irregolarità o incompletezza sono comunicate all’istante congiuntamente al termine entro il quale regolarizzare l’atto; se la regolarizzazione non avviene tempestivamente il reclamo viene archiviato e potrà essere esaminato a titolo di segnalazione.

Le segnalazioni non si traducono
automaticamente in provvedimenti

Chiunque, ex. Art 144 d.lgs n. 196/2003, può rivolgere una segnalazione che il Garante può valutare, e non più solo l’interessato, come era previsto prima dell’entrata in vigore del GDPR, ma il secondo comma Art. 19 Reg. n. 01/2019 prescrive che la segnalazione sia presentata da un soggetto identificato e prevede altresí, che l’Autorità possa fare uso di notizie indicate in segnalazioni che provengano da un soggetto non identificato, nell’ipotesi in cui ricorra un caso di particolare gravità, ovvero nell’ipotesi in cui sia ravvisato il rischio di seri pregiudizi o di ritorsioni ai danni dei soggetti interessati dal trattamento.

Una volta che la segnalazione sia pervenuta all’Autorità, la stessa potrà esaminarla, ma ciò non comporta la necessaria adozione di un provvedimento, invero l’esame di una segnalazione può concludersi anche con la sua archiviazione, disposta quando la questione prospettata non sia riconducibile alla protezione dei dati personali o ai compiti demandati al Garante, quando non vi siano gli estremi di una violazione della disciplina rilevante in materia di protezione dei dati personali, nei casi in cui la richiesta si qualifichi come eccessiva, per il carattere pretestuoso o ripetitivo, o sia già stata esaminata dall’Autorità, o possa essere esaminata facendo riferimento a provvedimenti o questioni già affrontate dal Garante.

L’istruttoria può essere avviata
anche d’ufficio

Esaminata la segnalazione, fatto salvo il caso in cui non sia archiviata, il dipartimento, servizio o un’altra unità organizzativa può avviare un’istruttoria preliminare che può essere avviata anche d’ufficio dal Garante, nell’esercizio delle sue mansioni di controllo, anche in assenza di segnalazione o reclamo.

Lo svolgimento dell’attività ispettiva è effettuato ai sensi degli articoli 157 e 158 del Codice, nonchè ai sensi dell’articolo 58, paragrafo 1, e dell’articolo 62 GDPR.

Oltre l’esame della documentazione pervenuta, da parte del dipartimento, servizio o altra unità organizzativa, ex. Art. 157 d.lgs n. 196/2003 può essere richiesto al titolare o al responsabile del trattamento di fornire informazioni e di esibire documenti anche con riferimento al contenuto di banche dati al fine di poter acquisire precisazioni o informazioni in merito ai fatti e alle circostanze oggetto della segnalazione.

Attività ispettiva a largo raggio

Nello specifico, ex. Art. 22 comma 6 del Regolamento 01/2019, per il Garante è prevista la possibilità di controllare, estrarre ed acquisire copia dei documenti, anche in formato elettronico, richiedere informazioni e spiegazioni, accedere alle banche dati e agli archivi ovvero di acquisire copia delle banche dati e degli archivi su supporto informatico.

Tra gli altri, possono esser richiesti, durante un’attività ispettiva, a titolo esemplificativo, la struttura e l’organizzazione della società o ente, la distribuzione delle funzioni in materia di protezione dei dati personali, l’elenco dei trattamenti, cosí come l’elenco aggiornato dei responsabili esterni del trattamento, ma anche il tempo di conservazione dei dati personali ovvero l’istituzione del Registro dei Trattamenti.

L’accesso dell’Autorità di controllo dunque non ha limiti, e riguarda quindi tutti i dati personali, i locali e i mezzi di trattamento e tutte le informazioni necessarie all’Autorità stessa, il Garante potrà inoltre avvalersi della collaborazione della Guardia di Finanza per il reperimento di dati e informazioni sui soggetti da controllare, per l’assistenza nei rapporti con l’Autorità giudiziaria, per lo sviluppo di attività delegate per l’accertamento delle violazioni di natura penale.

È prevista inoltre la partecipazione del personale della Guardia di Finanza agli accessi alle banche dati, alle ispezioni e verifiche e alle altre rilevazioni nei luoghi ove si svolge il trattamento.

Al soggetto sottoposto a ispezione, è data possibilità, di farsi assistere da consulenti di propria fiducia e di produrre la documentazione non immediatamente reperibile entro un termine congruo.


Giuseppe Serafini

Avvocato del Foro di Perugia. BSI - ISO/IEC 27001:2013 Lead Auditor; Master Privacy Officer; perfezionato in Digital Forenscis, Cloud & Data Protection. Già docente di Informatica Giuridica presso la Scuola di Specializzazione in Professioni Legali di Perugia, L. Migliorini e collaboratore della cattedra di Informatica Giuridica della Facoltà di Giu...

Office Automation è il periodico di comunicazione, edito da Soiel International in versione cartacea e on-line, dedicato ai temi dell’ICT e delle soluzioni per il digitale.


Soiel International, edita le riviste

Officelayout 195

Officelayout

Progettare arredare gestire lo spazio ufficio
Ottobre-Dicembre
N. 195

Abbonati
Innovazione.PA n. 53

innovazione.PA

La Pubblica Amministrazione digitale
Gennaio-Febbraio
N. 53

Abbonati
Executive.IT n.1 2024

Executive.IT

Da Gartner strategie per il management d'impresa
Gennaio-Febbraio
N. 1

Abbonati