Garante Privacy: reclami, ispezioni e ricorsi
26 Aprile 2023
Chi è il Garante Privacy
Il Garante per la Protezione dei Dati Personali è un’autorità amministrativa autonoma ed indipendente, originariamente istituita dall’art. 30 della legge 31 dicembre 1996, n.675, legge successivamente abrogata dall’articolo 183 del nuovo Codice Privacy, emanato con D.Lgs. 30 giugno 2003, n. 196.
Composto da un Ufficio e da un Collegio di quattro componenti, due eletti dalla Camera dei Deputati e due dal Senato della Repubblica, che assumo la carica per un periodo di sette anni, tale organo ha precisi poteri di indagine, correttivi, autorizzativi e consultivi, conferiti espressamente dall’art. 58 del GDPR – Regolamento (UE) 2016/679.
Al fine di adempiere agli specifici compiti così come definiti nella normativa europea, la Legge Privacy ha definito un sistema di controllo e gestione dei trattamenti che consente di monitorare la conformità del sistema alla normativa, prevedendo, altresì, specifiche conseguenze sanzionatorie in caso di mancato rispetto delle regole, così come disciplinato e richiesto dall’art.83 del Regolamento (UE) 2016/679.
L’art. 154 del D.Lgs. 30 giugno 2003, n. 196, quindi, articola in maniera puntuale i compiti affidati dall’ordinamento al Garante Privacy, tra i più importanti dei quali annoveriamo la trattazione dei reclami presentati ai sensi del regolamento, la verifica che i trattamenti siano effettuati nel rispetto della disciplina di legge applicabile e la protezione della tutela dei diritti e delle libertà fondamentali degli individui.
Reclamo al Garante Privacy
Tutti gli Interessati, qualora ritengano che i propri diritti siano stati lesi, possono rivolgersi al Garante Privacy esperendo il procedimento di cui all’art. 140 bis D.Lgs. 30 giugno 2003, n.196, ovvero proponendo reclamo, un atto c.d. circostanziato, attraverso cui si ha la possibilità di rappresentare all’Autorità quella che si ritiene essere una violazione della normativa.
Il reclamo necessita di un contenuto minimo, puntualmente determinato ai sensi dell’art. 142 del predetto decreto che consta di una prima parte dal tenore sostanziale, contenente indicazioni dettagliate di fatti e circostanze su cui si fonda il reclamo, unitamente alla documentazione utile ai fini della dimostrazione dei fatti riportati; ed una seconda parte, di contenuto più propriamente giuridico, riportane le disposizioni che si presumono violate, le misure richieste, i dati identificativi del titolare o del responsabile e, l’eventuale, mandato al difensore o all’associazione che agisce in nome e per conto dell’Interessato qualora l’interessato non intenda proporlo autonomamente. Infatti, il Garante permette, attraverso la redazione di un modello reperibile direttamente sul proprio sito, di poter presentare reclamo in totale autonomia.
Ricevuto il reclamo, l’Autorità procede ad una istruttoria preliminare esaurita la quale, qualora il reclamo non risulti manifestamente infondato e qualora sussistano i presupposti, adotta i più opportuni provvedimenti ai sensi dell’art. 58 GDPR, nel rispetto delle prescrizioni di cui all’art. 56 GDPR.
Tale procedimento risulta piuttosto snello poiché per espressa previsione normativa, all’art.143 D.Lgs. 30 giugno 2003, n.196 il legislatore ha previsto tempistiche predeterminate per la definizione del reclamo: il Garante, quindi, deve statuire entro nove mesi dalla presentazione dello stesso e, comunque, entro tre mesi deve informare l’Interessato sullo stato del procedimento. Solo in caso di particolari esigenze istruttorie, previa comunicazione all’Interessato, il reclamo può essere deciso entro dodici mesi.
Avverso la decisione del Garante, l’Interessato può proporre ricorso dinnanzi agli organi giurisdizionali ai sensi dell’art. 152 del D.Lgs. 30 giugno 2003, n.196. Inoltre, l’Interessato potrà adire l’autorità giudiziaria in tutti i casi in cui il Garante non ha deciso del reclamo o qualora lo stesso non abbia ricevuto informazioni sul procedimento nelle tempistiche stabilite dalla legge.
Si rammenta che la presentazione di un reclamo rende improponibile la pendenza di un giudizio ordinario.
Come si è potuto constatare, la presentazione di un reclamo comporta oneri probatori piuttosto stringenti per l’Interessato; pertanto, qualora non sia possibile procedere in tal senso, l’interessato ha sempre facoltà di inviare una segnalazione ex art. 144 D.Lgs. 30 giugno 2003, n.196. Non sono previsti particolari vincoli di forma e la segnalazione dovrà essere inoltrata esclusivamente alle caselle di posta ufficiali dell’Autorità che potrà valutarla ai fini dell’emanazione di provvedimenti, anche d’ufficio, adottati ai sensi dell’art. 58 del Regolamento (UE) 2016/679.
Controlli e ispezioni del Garante
Nell’ambito dei predetti poteri di cui all’art. 154, D.Lgs. 30 giugno 2003, n.196, poi, il Garante può avviare d’ufficio, in assenza di reclami, segnalazioni o notificazioni di violazioni dei dati personali, attività istruttorie preliminari, al fine di valutare eventuali comportamenti tenuti in violazione della disciplina in materia di protezione dei dati personali.
Attraverso l’unità organizzativa interna e competente in materia di attività ispettive e di cura o, per delega, anche attraverso la Guardia di Finanza o la collaborazione di altri organi di Stato, il Garante Privacy cura lo svolgimento di tali attività ispettive.
L’attività ispettiva è disciplinata attraverso un ordine di servizio, in cui il Garante individua il titolare o il responsabile destinatario del controllo, i poteri di indagine utilizzati, l’ambito di controllo, il luogo ove svolgere l’accertamento, il responsabile delle attività e gli ulteriori partecipanti, nonché le sanzioni irrogate in caso di mancata collaborazione.
Nel corso dell’attività ispettiva, il Garante o gli organi delegati possono controllare, estrarre ed acquisire copia della documentazione necessaria, anche in formato elettronico, possono poi richiedere informazioni, accedere alle banche dati ed agli archivi del Titolare o del Responsabile sottoposto a visita ispettiva, nonché acquisirne copia. Durante le ispezioni del Garante è possibile farsi assistere da consulenti di propria fiducia e, in caso di necessità, ci si può riservare la produzione di documentazione entro un termine congruo, mai superiore ai trenta giorni, termine differibile solo in casi eccezionali.
Le attività ispettive sono oggetto di verbalizzazione da parte degli organi procedenti e i provvedimenti sono tempestivamente pubblicati sul sito del Garante in una specifica sezione dedicata.
Come si concludono i procedimenti istruttori del Garante?
Il mancato accertamento di violazioni comporta l’adozione di un provvedimento di archiviazione; tuttavia, qualora a seguito di un reclamo, di una segnalazione o di una ispezione del Garante vengano accertate una o più violazioni, l’Autorità procede con l’adozione di provvedimenti correttivi di cui agli artt. 58, par. 2 del Regolamento (UE) 2016/679 e 166 D.Lgs. 30 giugno 2003, n.196 o, nei casi più gravi, con l’inflizione di sanzioni amministrative pecuniarie ai sensi degli artt. 83 del Regolamento (UE) 2016/679 e 166 D.Lgs. 30 giugno 2003, n.196.
Si ricorda che le sanzioni possono arrivare, per le violazioni meno gravi, fino a dieci milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore o, nei casi più gravi, fino a venti milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Cosa fare in caso di ordinanza ingiunzione?
Emessa l’ordinanza-ingiunzione, questa viene notifica al Titolare o al Responsabile del trattamento, oltre ad essere pubblicata sul sito del Garante stesso, come predetto.
Titolare o Responsabile possono conformarsi spontaneamente alle prescrizioni correttive del Garante e pagare le sanzioni irrogate (è possibile chiedere di rateizzare le somme); oppure possono opporre il provvedimento dinnanzi all’Autorità Giudiziaria competente, entro trenta giorni dalla notifica dello stesso.
Infatti, ai sensi dell’art. 152 del D.Lgs. 30 giugno 2003, n.196, sono attribuite alla competenza dell’autorità giudiziaria tutte le controversie che riguardano le materie di cui agli artt. 78 e 79 del GDPR, quelle riguardanti l’applicazione della normativa in materia di protezione dei dati personali, nonché il diritto al risarcimento del danno ex art. 82 del medesimo regolamento. Tali controversie sono regolate sulla scorta del D.Lgs. 1° settembre 2011, n.150, dal rito del lavoro e sono decise dal Tribunale in composizione monocratica.
È, altresì, possibile adire la tutela dell’autorità giudiziaria in tutti i casi in cui gli interessati abbiano subito un danno a causa di un trattamento illecito dei propri dati personali. Per ottenere un risarcimento sarà necessario dimostrare il danno subito e l’esistenza di una condotta che ha violato la normativa in materia privacy, nonché il nesso causale tra i due elementi predetti.
Per l’accesso alla tutela giurisdizionale, sia in caso di opposizione ad una ordinanza ingiunzione, sia in caso di un’azione risarcitoria, gli interessati dovranno rivolgersi ad un difensore abilitato, con specifiche competenze in materia privacy, attraverso cui potranno far valere le proprie ragioni.
