garante-privacy

Il Garante Privacy: chi è e cosa fa

18 Luglio 2023

Negli ultimi anni capita sempre più frequentemente di sentir nominare la figura del Garante per la Protezione dei Dati Personali, ma quanti sono davvero in grado di attribuirgli un volto ben definito? Con buona probabilità, se dovessimo chiedere ad amici o conoscenti di spiegare brevemente di chi si tratti e di cosa si occupi, in pochi saprebbero delinearlo in modo completo e chiaro. Nelle righe a seguire proponiamo una presentazione del Garante Privacy, strutturata nella forma di Carta d’Identità.

Nome, data di “nascita” e segni particolari del Garante Privacy

L’istituzione del Garante per la Protezione dei Dati Personali (GDPD) risale alla fine del secolo scorso, ed un primo riferimento è rinvenibile all’art. 30 della l. 675/1996: si tratta di un’autorità amministrativa operante in piena autonomia e indipendenza, competente nelle attività di giudizio e di valutazione circa le modalità di applicazione delle disposizioni in materia di protezione dei dati, a tutela della riservatezza e dei diritti fondamentali di ogni singolo individuo.

Il d.lgs. 196/2003, meglio noto come Codice Privacy, costituisce oggi la principale fonte normativa nazionale di disciplina dell’Autorità, dei suoi compiti e dei suoi poteri, e ne favorisce la rappresentazione a livello nazionale alla luce delle caratteristiche individuate già dal legislatore europeo.

Il Garante Privacy Italiano, nel suo complesso, è strutturato in due organi distinti e di diverso grado: il Collegio e l’Ufficio del Garante.

Il Collegio, posto al vertice dell’organizzazione, è composto da quattro membri eletti dal Parlamento della Repubblica Italiana, nominati a due a due dalla Camera dei Deputati e dal Senato, con mandato non rinnovabile della durata di sette anni, tra soggetti di innegabile esperienza in materia di protezione dei dati personali, di diritto e di informatica, ciascuno dei quali è chiamato a garantire i requisiti di autonomia e di indipendenza che caratterizzano l’organo ex lege; a loro volta i nuovi componenti nomineranno tra loro un presidente ed un vicepresidente. Il Collegio del Garante, oggi, è composto dai seguenti profili: Pasquale Stanzione nel ruolo di presidente, Ginevra Cerrini Feroni nel ruolo di vicepresidente, Guido Scorza e Agostino Ghiglia.

L’Ufficio del Garante privacy, invece, affianca il Collegio nello svolgimento delle sue attività e presenta una struttura più complessa. Possiamo riconoscere:

    • un Segretario generale nominato tra magistrati, avvocati, docenti universitari di ruolo in materie giuridiche o economiche (oggi Fabio Mattei);
    • un vicesegretario generale che coadiuva il Segretario (oggi Claudio Filippi);
    • un’articolazione in dipartimenti e servizi, competenti per materia in diversi ambiti di attività, presso i quali opera l’organico del personale dipendente, il cui accesso è subordinato al superamento di un concorso pubblico.

Professione: poteri, compiti e comunicazione del Garante Privacy

Il Garante Privacy italiano è chiamato a svolgere una serie di attività individuate dalla legge: GDPR e Codice Privacy costituiscono le principali fonti di conoscenza dei suoi compiti e poteri.

Proviamo a presentare i profili citati seguendo un preciso percorso logico, a partire dal presupposto che il Garante non potrebbe svolgere determinate attività se non fosse in primis investito, ex lege, di poteri specifici.

Da una lettura combinata del GDPR e del Codice Privacy possiamo conoscere la tipologia e l’estensione dei suddetti poteri. Il Regolamento Europeo per la Protezione dei Dati Personali, quale fonte principale, attribuisce a tutte le Autorità di controllo nazionali i poteri individuati e classificati nei primi tre paragrafi dell’art. 58:

  • poteri di indagine: permettono l’ingiunzione al Titolare o al Responsabile del trattamento, la conduzione di indagini e l’esercizio dell’accesso ai dati e ai luoghi ove compiere le ispezioni;
  • poteri correttivi: comprendono l’avvertimento/ammonimento al Titolare o al Responsabile, l’emanazione di provvedimenti sospensivi/ingiuntivi e l’irrogazione delle sanzioni;
  • poteri autorizzativi e consultivi: favoriscono l’attività di consulenza offerta dal Garante in supporto alle istituzioni, nonché il rilascio pareri/autorizzazioni/certificazioni, l’adozione di clausole tipo o l’emanazione delle norme vincolanti d’impresa.

Inoltre, il legislatore italiano ha attribuito al Garante per la Protezione dei Dati Personali ulteriori poteri: a differenza di altre Autorità nazionali il Garante italiano detiene il potere di agire in giudizio, di adottare linee guida di indirizzo, di approvare regole deontologiche, di pubblicare i propri provvedimenti, e di invitare altre autorità ovvero recarsi presso le sedi altrui per ottemperare in modo più efficace al dovere di collaborazione.

A questi poteri tipici corrispondono attività principali altrettanto numerose.

In prima battuta, la normativa comunitaria individua e definisce all’art. 57 GDPR la mission principale dei Garanti nazionali, quali autorità di controllo competenti a vigilare sull’effettiva tutela dei diritti e delle libertà fondamentali degli interessati persone fisiche, sulla protezione e sulla libera circolazione dei dati personali nel territorio dell’Unione Europea.

Dall’altro lato invece, il Codice Privacy italiano, che recepisce il Regolamento di derivazione europea, si sofferma sui compiti propri della nostra Autorità garante e ne approfondisce la portata all’art 154.

Le attività svolte dal Garante Privacy, pertanto, sono le seguenti:

  • il controllo sulle modalità di applicazione del Regolamento e sull’esecuzione dei trattamenti individuati nel registro;
  • la tutela dei diritti degli Interessati, mediante la gestione dei reclami e l’indicazione delle procedure per l’esercizio dei relativi diritti;
  • le attività ispettive, l’emanazione di provvedimenti sanzionatori, la segnalazione dei reati perseguibili d’ufficio, ricezione delle copie dei provvedimenti emessi dai magistrati;
  • la promozione della cultura privacy tra il pubblico, con maggiore riguardo alle questioni legate ai rischi, alle norme, alle garanzie e ai diritti degli Interessati, agli obblighi imposti ai titolari e ai responsabili del trattamento;
  • la consulenza al Parlamento, al Governo, agli altri organismi e istituzioni statali, in merito alle proposte legislative e alle misure amministrative in materia di protezione dei dati personali, anche con il coinvolgimento del pubblico nel corso delle attività di consultazione;
  • l’approvazione dei codici di condotta, delle clausole contrattuali tipo, delle norme vincolanti d’impresa;
  • la collaborazione con le altre autorità nazionali indipendenti mediante assistenza reciproca e operazioni congiunte e partecipazione al Comitato europeo;
  • l’emanazione di provvedimenti a tutela dei diritti e delle libertà fondamentali, di regolamenti e di pareri.

Il Garante Privacy si preoccupa anche di comunicare con il pubblico e con le istituzioni, con la duplice finalità di svolgere al meglio le proprie funzioni e di instaurare un rapporto collaborativo con i cultori della materia, quali divulgatori, operatori o meri appassionati ai temi: si impegna a pubblicare provvedimenti, pareri, linee guida, newsletter, blog, comunicati stampa, accessibili e liberamente consultabili presso il sito web del Garante Privacy. Tra essi, il più recente contributo del Garante è la relazione annuale sull’attività del 2022, presentata lo scorso 6 luglio 2023 presso la Camera dei deputati.

Note “dolenti”: ispezioni, provvedimenti e sanzioni

Come anticipato nel paragrafo precedente, il Garante Privacy è titolare di poteri ispettivi, decisori e sanzionatori, i quali sono esercitati principalmente nel corso dei procedimenti che coinvolgono attivamente l’Autorità. In generale il procedimento può avere inizio d’ufficio, ovvero su istanza di parte, e durante il suo svolgimento il Garante si occupa della predisposizione degli atti, delle comunicazioni e di tutti gli adempimenti necessari.

I procedimenti su istanza di parte possono essere avviati dinanzi all’Autorità attraverso due modalità: mediante reclamo, proposto dagli Interessati che lamentano una lesione dei propri diritti e che intendono conseguire una tutela specifica all’esito procedimento (ove ne sussistano le condizioni), oppure mediante segnalazione o notificazione, presentate dal singolo al fine di sollecitare un controllo rispetto a trattamenti pregiudizievoli o rischiosi, anche gravi, per gli Interessati.

Il Garante, inoltre, può avviare d’ufficio procedimenti per valutare il tenore di quei comportamenti non conformi alla legge privacy; talvolta si tratta di attività oggetto di una pianificazione almeno semestrale. Proprio in queste ipotesi si concretizzano le ispezioni, attività correlate all’esercizio dei poteri di indagine, le cui fonti di disciplina sono organizzate come segue: il Codice Privacy regola agli artt. 157 ss. i profili statici (i soggetti coinvolti, gli accertamenti compiuti, gli atti), mentre il regolamento 1/2019 si occupa dei profili dinamici (cioè del procedimento in senso stretto).

Tradizionalmente, la competenza a condurre l’attività ispettiva è attribuita alle unità organizzative interne ovvero ai dipartimenti di servizio dell’Autorità; in alcuni casi, le ispezioni sono guidate dalla Guardia di Finanza o da altri organi dello Stato sotto la cura e la supervisione del Garante medesimo, che abbia previamente conferito loro apposita delega.

Il Garante dispone le ispezioni attraverso uno specifico atto, l’ordine di servizio, nel quale sono individuati i soggetti destinatari del controllo e tutti gli elementi essenziali dell’iter: il Titolare o il Responsabile del trattamento, i poteri di indagine esercitati, l’ambito del controllo, il luogo di svolgimento dell’ispezione, il responsabile dell’attività, gli ulteriori partecipanti e le sanzioni eventualmente irrogabili per la mancata partecipazione del destinatario.

Il soggetto designato a procedere potrà annunciare il controllo mediante comunicazione via PEC, in modo da favorire la preparazione alla visita degli ispettori; al contrario, nei controlli “a sorpresa”, potrà presentarsi direttamente presso il destinatario nel giorno individuato.

Al contempo, il soggetto sottoposto ad ispezione può beneficiare di due garanzie fondamentali: il supporto di consulenti privacy di propria fiducia, la possibilità di presentare una riserva di produzione della documentazione non immediatamente reperibile entro il termine massimo di 30 giorni dall’ispezione, ed in via eccezionale il differimento di tale termine.

Nel corso dell’ispezione gli organi procedenti verificano la conformità dell’assetto privacy aziendale, sia dal punto di vista formale sia dal punto di vista operativo.

Sotto il profilo della compliance documentale, il controllo può comportare:

  • l’analisi della documentazione (registro dei trattamenti, informative, moduli di consenso, analisi del rischio, valutazioni di impatto, etc..) e l’estrazione o l’acquisizione di copie, anche in formato digitale;
  • la richiesta di informazioni;
  • l’accesso alle banche dati e agli archivi su supporto informatico, l’estrazione delle copie dei documenti e dei dati in essi contenuti.

Con riguardo alla compliance operativa, durante il controllo devono essere coinvolti tutti i soggetti individuati nell’organigramma privacy aziendale, compreso il DPO. L’intervento di quest’ultimo, nello specifico, è di fondamentale importanza poiché il suo controllo corretto e pianificato può aiutare il Titolare ad affrontare per tempo le problematiche (nel caso in cui abbia ricevuto preavviso dell’ispezione) o quantomeno, a sostenere la visita improvvisa del Garante.

Al termine dell’ispezione è redatto processo verbale; in seguito, il Garante conclude l’attività istruttoria ed emana

  • un provvedimento di archiviazione nel caso di mancato accertamento della violazione lamentata nel reclamo o oggetto di segnalazione
    oppure
  • un provvedimento correttivo di irrogazione di una sanzione pecuniaria nel caso in cui sia accertata la violazione della normativa in materia di protezione dei dati personali.

Il quantum della sanzione può variare entro i limiti minimi e massimi individuati dagli artt. 83 GDPR e 166 Codice Privacy, secondo la minore o maggiore gravità della violazione: fino a dieci o venti milioni di euro o, per le imprese, fino a 2% o al 4% del fatturato mondiale totale annuo, se superiore.

Altre Autorità

Il Garante per la Protezione dei Dati Personali Italiano si relaziona con numerosi altri soggetti nello svolgimento delle proprie funzioni di controllo e sorveglianza sul rispetto della normativa privacy. Tra i tanti, ricordiamo il Garante Europeo (European Data Protection Supervisor), il Comitato Europeo (European Data Protection Board) e le altre Autorità nazionali.

Il Garante instaura rapporti e collabora con ciascuno dei soggetti citati nel rispetto delle modalità individuate ex lege.

La cooperazione tra il Garante Privacy italiano e le Autorità di controllo interessate, istituite presso gli altri Stati Membri, è finalizzata ad un’attuazione più effettiva ed efficiente della normativa privacy nello Spazio Economico Europeo, alla promozione dello scambio di informazioni utili, delle operazioni congiunte e dell’assistenza reciproca per le attività ispettive, consultive e provvedimentali.

Il Garante Europeo per la Protezione dei Dati è l’Autorità di sorveglianza indipendente preposta alla supervisione sulla corretta applicazione del GDPR da parte delle istituzioni e degli organi dell’Unione Europea. Istituito nel 2004 e composto da un Commissario (organo principale e monocratico, identificato oggi nella persona di Wojciech Wiewiòrovski) e da un Gabinetto, esso pianifica e guida le politiche che ciascun Garante nazionale è chiamato a realizzare conformandosi a un preciso progetto di armonizzazione europea, sebbene non si tratti di un ente apicale o sovraordinato rispetto alle Autorità di ciascun Paese.

Il Comitato Europeo per la Protezione dei Dati, invece, è l’organismo europeo indipendente competente ad assicurare l’applicazione coerente del GDPR in tutti gli Stati Membri dell’UE e la loro cooperazione, nonché l’applicabilità del Regolamento Europeo anche a livello transfrontaliero. L’EDPB presenta una struttura collegiale: ne fanno parte il Garante Europeo, le Autorità di controllo dei Paesi dello Spazio Economico Europeo (o i rispettivi rappresentanti), affiancati da un Segretariato situato a Bruxelles, sede principale dello stesso Supervisore Europeo.

Il Garante e il Comitato europeo, tradizionalmente, comunicano con il pubblico a mezzo stampa e con la pubblicazione di news, articoli, linee guida, decisioni e provvedimenti, relazioni e report annuali.

In sintesi: la carta di identità del Garante Privacy

carta-identita-garante-privacy
Federico D'Alessi
About

Giovane risorsa laureata in giurisprudenza, ha deciso di intraprendere la sua carriera lavorativa nell'ambito della consulenza privacy e della protezione dei dati.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!

Contattaci