La proposizione del reclamo al Garante della privacy

Tra i rimedi esperibili dinnanzi al Garante della privacy vi sono la segnalazione e il reclamo. Vediamo in particolare la disciplina di quest’ultimo.

Il presente contributo è tratto da “I ricorsi al garante della privacy” di Michele Iaselli.

Disciplina del reclamo al Garante

L’art. 77 del G.D.P.R. stabilisce come principio generale che fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento dei dati personali che lo riguardano non sia conforme al Regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure nel luogo della presunta violazione. Si ritorna, quindi, a concepire un rimedio amministrativo dinanzi all’Autorità garante come alternativo rispetto agli altri rimedi giurisdizionali.

L’art. 80 del Regolamento chiarisce, inoltre, che l’interessato ha il diritto di dare mandato a un organismo, un’organizzazione o un’associazione, che siano debitamente costituiti secondo il diritto di uno Stato membro, che non abbiano scopo di lucro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della tutela dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, di proporre il reclamo per suo conto e di esercitare per suo conto i diritti previsti dal Regolamento.

Tali entità senza scopo di lucro devono avere obiettivi statutari di pubblico interesse ed essere attive nel settore della protezione dei dati. Esse possono proporre reclamo o esercitare il diritto a un ricorso giurisdizionale per conto dell’interessato o degli interessati. Il regolamento lascia agli Stati membri la scelta di decidere, conformemente al diritto nazionale, se un organismo possa proporre reclami per conto di interessati, senza avere ricevuto mandato dagli stessi.

Tale diritto di rappresentanza consente agli individui di beneficiare dell’esperienza e delle capacità organizzative e finanziarie di tali entità senza scopo di lucro, facilitando considerevolmente le persone nell’esercizio dei loro diritti. Il G.D.P.R. consente a tali entità di intentare azioni collettive per conto di diversi interessati. Ciò giova anche al funzionamento e all’efficienza del sistema giudiziario, dal momento che azioni simili sono raggruppate ed esaminate insieme.

Si ricorda che Il Regolamento stabilisce che il titolare del trattamento deve informare gli interessati in merito a meccanismi di contrasto previsti dal diritto nazionale e dell’UE per i casi di violazione dei dati personali. Il titolare del trattamento deve informare gli interessati circa il loro diritto di presentare un reclamo a un’autorità di controllo e, se necessario, dinanzi a un giudice nazionale, in merito a una violazione dei dati personali. Le disposizioni del Consiglio d’Europa sanciscono il diritto dei titolari dei dati a essere informati sui mezzi a loro disposizione per esercitare i loro diritti, incluso il diritto di rettifica previsto dall’articolo 9.

In analogia a quanto disposto dal Regolamento comunitario, la Convenzione n. 108 modernizzata riconosce il diritto degli interessati di ricorrere all’assistenza di un’autorità di controllo nell’esercizio dei loro diritti ai sensi della Convenzione, a prescindere dalla loro nazionalità o dalla loro residenza. Le richieste di assistenza possono essere respinte solo in circostanze eccezionali e gli interessati non dovrebbero coprire i costi e le spese connessi all’assistenza.

Potenziali violazioni da parte di istituzioni o organismi dell’UE possono essere sottoposte all’attenzione del Garante europeo della protezione dei dati. La mancata risposta del GEPD entro sei mesi equivale a una decisione di rigetto del reclamo. I ricorsi contro le decisioni del GEPD possono essere proposti dinanzi alla CGUE, nel quadro del regolamento (CE) n. 45/2001, che impone alle istituzioni e agli organismi dell’UE l’osservanza delle norme in materia di protezione dei dati.

Le decisioni delle autorità nazionali di controllo devono poter essere oggetto di ricorso giurisdizionale. Ciò vale sia per l’interessato sia per i titolari del trattamento e i responsabili del trattamento che sono stati parti di un procedimento dinanzi all’autorità di controllo.

Naturalmente anche l’art. 141 del Codice in materia di protezione dei dati personali prevede la possibilità per l’interessato di rivolgersi al Garante mediante reclamo ai sensi dell’articolo 77 del Regolamento.

Di conseguenza, il reclamo viene quindi individuato come un’unica forma di tutela amministrativa dell’interessato dinanzi al Garante quale autorità di controllo, in linea con quanto previsto dall’art. 77 del Regolamento. Viene meno l’esigenza di mantenimento del ricorso al Garante come specifico strumento di tutela dei diritti dell’interessato (accesso, rettifica, cancellazione, ecc. ai sensi degli artt. 7 ss. del Codice), con conseguente abrogazione degli articoli 146-151 del decreto legislativo n. 196 del 2003 (il ricorso presuppone, peraltro, l’interpello preventivo del titolare, non previsto come requisito preliminare per il reclamo, e presenta profili di difficile conciliazione con il meccanismo di “sportello unico” di cui agli articoli 56, 60 e seguenti del Regolamento, riferiti ai trattamenti transfrontalieri di dati personali). Tali diritti sono ora adeguatamente salvaguardati mediante il reclamo, posto che il Regolamento prevede l’applicabilità anche di rilevanti sanzioni pecuniarie in caso di loro violazione.

Come si propone il reclamo

L’art. 142 del Codice prevede che il reclamo deve contenere un’indicazione per quanto possibile dettagliata dei fatti e delle circostanze su cui si fonda, delle disposizioni che si presumono violate e delle misure richieste, nonché gli estremi identificativi del titolare o del responsabile del trattamento, ove conosciuto. Inoltre, in linea con il Regolamento UE prevede la possibilità per l’interessato di dare mandato per la presentazione del reclamo ad organizzazioni od associazioni no profit (articolo 80 Reg.), che sono stati individuati nei c.d. enti del Terzo settore di cui al decreto legislativo n. 117 del 2017 (v. articolo l, comma 2, lettera b), legge n. 106 del 2016), e, da un altro lato, l’obbligo per il Garante di informare l’interessato sullo stato o esito del reclamo entro tre mesi dalla data di presentazione, in conformità al considerando 141 ed all’articolo 77, paragrafo 2, del Regolamento.

Il reclamo deve recare in allegato la documentazione utile ai fini della sua valutazione e l’eventuale mandato, e indica un recapito per l’invio di comunicazioni anche tramite posta elettronica, telefax o telefono. Lo stesso Garante, in realtà, ha già predisposto un modello per il reclamo, pubblicato nel proprio sito istituzionale, di cui favorisce la disponibilità con strumenti elettronici.

L’art. 8 del Regolamento interno del Garante chiarisce che sono qualificabili come reclami gli atti che indicano specificatamente, anche sulla base del modello appositamente predisposto dal Garante, gli elementi previsti dall’articolo 142 del Codice. Ove, poi, il reclamo sia irregolare o incompleto, ne è data comunicazione all’istante, con l’indicazione delle cause della irregolarità o incompletezza nonché del termine, di regola non superiore a quindici giorni, entro cui provvedere alla relativa regolarizzazione.

Il reclamo non tempestivamente regolarizzato è archiviato e può essere esaminato a titolo di segnalazione.

Potrebbe interessarti anche il seguente articolo: “Il Garante sanziona Facebook per la mancanza di una corretta informativa circa i dati raccolti con finalità di profilazione psicologica degli utenti”

Il presente contributo è tratto da “I ricorsi al garante della privacy” di Michele Iaselli