Il Garante per la Protezione dei Dati Personali è un’Autorità indipendente incaricata di controllare l’applicazione del GDPR e della normativa collegata, al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche e contestualmente agevolare la libera circolazione dei dati personali all’interno dell’Unione Europea.
Per realizzare tale importante missione, il GDPR attribuisce al Garante specifici poteri di indagine il cui esercizio, in concreto, può determinare l’attivazione e costituisce fattore di sviluppo di un procedimento per l’adozione dei provvedimenti correttivi e di sanzioni che è regolato da specifiche procedure, stabilite da specifiche norme del Codice Privacy novellato e del Regolamento GPDP 1 /2019[1].
Ogni Titolare e ogni Responsabile del trattamento di dati personali dovrebbe ben conoscere quando si avvia e come si sviluppa questo procedimento, anche al fine di poter impostare un’adeguata difesa.
Indice
- I poteri di indagine del Garante Privacy
- L’istruttoria preliminare
- Avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori
1. I poteri di indagine del Garante Privacy
Nell’ambito dei poteri che gli sono stati attribuiti e per l’espletamento dei propri compiti, il Garante Privacy ha una gamma di poteri di indagine, fissati dall’art. 58 GDPR e attualizzati nell’Ordinamento Nazionale dagli artt. 157 e seguenti del Codice Privacy novellato.
L’esercizio di tali poteri è reso effettivo e garantito dal fatto che ogni comportamento, di qualunque persona, volto a condizionare, con false dichiarazioni, od anche ad interrompere o turbare lo svolgimento degli accertamenti investigativi del Garante nonché del possibile conseguente procedimento, configura un reato, previsto dall’art. 168 del Codice Privacy novellato e punito con la reclusione che, in alcuni casi, può arrivare fino a 3 anni.
In tale quadro l’Autorità di controllo può:
richiedere ad ogni player dell’ecosistema privacy (i.e. al Titolare, al Responsabile, al Rappresentante del Titolare o del Responsabile, all’Interessato o anche a terzi) di fornire informazioni e di esibire documenti anche con riferimento al contenuto di banche di dati;
disporre accessi a banche di dati, archivi o altre ispezioni e verifiche nei luoghi ove si svolgono trattamenti di dati personali o nei quali occorre effettuare rilevazioni (audits) comunque utili al controllo del rispetto della normativa sulla privacy.
Tali poteri vengono esercitati nell’ambito di un complesso procedimento per l’adozione di provvedimenti correttivi e di sanzioni che si divide in 2 fasi distinte:
l’istruttoria preliminare;
il procedimento formale.
Vediamoli di seguito.
2. L’istruttoria preliminare
2.1 Avvio dell’istruttoria preliminare
L’istruttoria preliminare può essere avviata da un Dipartimento, un Servizio o un’altra unità organizzativa dell’Autorità Garante:
su istanza di parte, tramite la proposizione di un reclamo da parte dell’interessato o anche di una segnalazione da parte di una qualsiasi persona;
in seguito alla notifica di un data breach da parte di un Titolare;
d’ufficio, al fine di verificare se in un determinato settore, le attività istituzionali delle P.A. o quelle economico/produttive delle imprese siano svolte in conformità alla normativa privacy. A tal fine il Collegio del Garante dispone su base semestrale una programmazione dell’attività ispettiva.
In genere, l’istruttoria preliminare viene avviata con la richiesta di fornire informazioni o di esibire documenti, indirizzata alla PEC del Titolare o del Responsabile del trattamento, coinvolto.
Questa richiesta di informazioni e documenti è molto importante e va esaminata e trattata con grandissima attenzione dal Titolare o dal Responsabile del trattamento che la riceve.
Un riscontro tempestivo ed esaustivo alla richiesta di informazioni, talvolta, consente di definire, subito, favorevolmente il procedimento, chiarendo che non vi è stata alcuna violazione della normativa privacy o che la violazione, che pur si è verificata, non è tanto grave da comportare l’irrogazione di una sanzione.
Attenzione: non fornire alcun riscontro alla richiesta di informazioni può comportare rilevanti problemi per il Titolare o il Responsabile coinvolto. Emblematico è il caso di una società che, non avendo fornito riscontro ad una prima richiesta di informazioni dell’Autorità, peraltro reiterata dopo circa 3 mesi, si è vista notificare direttamente la comunicazione di avvio del procedimento sanzionatorio[2].
2.2 Sviluppo dell’istruttoria preliminare
Quindi, ricevuto il riscontro alla richiesta di informazioni o di esibizione di documenti, il Dipartimento, Servizio o altra Unità Organizzativa, incaricata di gestire l’istruttoria preliminare, esamina la documentazione pervenuta e può comunque curare l’acquisizione di precisazioni e informazioni, anche sentendo personalmente o a mezzo di procuratore il Titolare o il Responsabile del trattamento coinvolto.
Se gli elementi acquisiti non risultano sufficienti a chiarire i fatti che hanno determinato l’avvio dell’istruttoria, il Dipartimento, Servizio o altra Unità Organizzativa, competente in materia di attività ispettive e di revisione, può svolgere – tramite il proprio personale ovvero tramite militari della Guardia di Finanza specificamente delegati – un’attività ispettiva ed una revisione, i.e. un vero e proprio audit, sul sistema di gestione della privacy oggetto di indagine, attraverso l’accesso, l’ispezione e la verifica dei luoghi ove si svolge il trattamento nonché delle banche di dati e degli archivi ivi presenti.
Tali attività possono essere eseguite anche in un’abitazione o in un altro luogo di privata dimora o nelle relative appartenenze, con l’assenso informato del Titolare o del Responsabile. Qualora, però, questi non dia il proprio assenso, il personale operante può comunque procedere, previa autorizzazione del Presidente del tribunale competente per territorio in relazione al luogo dell’accertamento, il quale provvede con decreto motivato senza ritardo, al più tardi entro tre giorni dal ricevimento della richiesta dell’Autorità Garante, quando è documentata l’indifferibilità dell’accertamento.
Quindi una copia di detto decreto viene consegnata al Titolare o Responsabile coinvolto che è tenuto, a quel punto, a farlo eseguire e a prestare tutta la collaborazione necessaria.
Attenzione: in caso di persistente rifiuto ad eseguire il citato decreto del Presidente del Tribunale, gli accertamenti sono comunque eseguiti e le spese in tal caso occorrenti (e.g. per l’apertura di porte o di casseforti) sono poste a carico del Titolare con il provvedimento che definisce il procedimento, che per questa parte costituisce titolo esecutivo.
Se non è disposto diversamente nel decreto di autorizzazione del Presidente del Tribunale, l’accertamento non può essere iniziato prima delle ore sette e dopo le ore venti, e può essere eseguito anche con preavviso, quando ciò può facilitarne l’esecuzione.
Una volta eseguito l’accesso nei luoghi ove si svolge il trattamento di dati personali, l’attività ispettiva, della quale può essere dato preavviso, si sviluppa, in particolare attraverso:
il controllo, l’estrazione e l’acquisizione di copia dei documenti, anche in formato elettronico;
la richiesta di informazioni e spiegazioni;
l’accesso alle banche dati ed agli archivi;
l’acquisizione di copia delle banche dati e degli archivi su supporto informatico.
Gli accertamenti, se effettuati presso il Titolare o il Responsabile o il Rappresentante del Titolare o del Responsabile, sono eseguiti dandone informazione a quest’ultimo o, se questo è assente o non è designato, alle persone autorizzate al trattamento dei dati personali.
Durante l’attività ispettiva il soggetto sottoposto ad ispezione può farsi assistere da consulenti di propria fiducia e fare riserva di produrre la documentazione non immediatamente reperibile, entro un termine congruo, di regola non superiore a trenta giorni; in casi eccezionali, può comunque, anche essere richiesto un differimento di tale termine.
Degli accertamenti viene sempre redatto un sommario verbale nel quale sono annotate anche le eventuali dichiarazioni dei presenti.
2.3 Chiusura dell’istruttoria preliminare
Al termine dell’istruttoria preliminare, il dipartimento, servizio o altra unità organizzativa procedente può concludere l’esame del reclamo archiviandolo, quando:
la questione prospettata dall’interessato con il reclamo non risulta riconducibile alla privacy o ai compiti demandati al Garante;
non sono stati ravvisati, allo stato degli atti, gli estremi di una violazione della normativa sulla privacy;
la richiesta che ha attivato l’istruttoria preliminare risulta eccessiva, in particolare per il carattere pretestuoso o ripetitivo;
la questione prospettata dall’interessato con il reclamo è stata già esaminata dall’Autorità Garante.
Quando invece non sussistono le condizioni per archiviare l’istruttoria preliminare viene avviato il procedimento formale per l’adozione dei provvedimenti correttivi e sanzionatori.
Potrebbe interessarti anche:
- Il Garante privacy sanziona Uber per il non corretto rilascio dell’informativa privacy e la mancata acquisizione del consenso degli interessati
- Linee guida siti internet delle PA, il Garante privacy ha fornito all’AgID le indicazioni
- Ok del Garante privacy a Regolamento per l’uso dell’intelligenza artificiale per la gestione degli esposti
3. Avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori
3.1 Avvio del procedimento
Il Dipartimento, Servizio o altra Unità Organizzativa procedente avvia, con propria comunicazione al Titolare e, se del caso, al Responsabile del trattamento, il procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.
Come prescritto dall’166, comma 5, del Codice Privacy novellato, detta comunicazione deve contenere:
una sintetica descrizione dei fatti e delle presunte violazioni della normativa privacy e delle relative disposizioni sanzionatorie;
l’indicazione dell’unità organizzativa competente presso la quale può essere presa visione ed estratta copia degli atti istruttori;
l’indicazione che entro trenta giorni dal ricevimento della comunicazione è possibile inviare al Garante scritti difensivi o documenti e chiedere di essere sentito dalla medesima Autorità.
E’ affatto evidente che tutto il procedimento si sviluppa nel rispetto dei princìpi della piena conoscenza degli atti istruttori, del contraddittorio, della verbalizzazione nonché della distinzione tra funzioni istruttorie e funzioni decisorie rispetto all’irrogazione delle sanzioni.
3.2 Sviluppo del procedimento
Quindi, entro trenta giorni dal ricevimento della comunicazione di avvio del procedimento, il Titolare o Responsabile coinvolto può inviare al Garante scritti difensivi o documenti e può anche chiedere di essere sentito dalla medesima Autorità.
Al termine della fase avviata con la citata comunicazione il Dipartimento, il Servizio o altra Unità organizzativa procedente verifica la completezza della documentazione utile, predispone uno schema di provvedimento del Collegio e lo sottopone al segretario generale, entro il decimo giorno antecedente la riunione, affinché formuli, ove necessario, le osservazioni.
Lo schema, le osservazioni e la documentazione sono formati e posti a disposizione del Presidente e dei componenti del Collegio, anche mediante strumenti informatici e telematici, senza ritardo e comunque entro il quinto giorno antecedente la riunione. Sono posti a disposizione senza ritardo anche gli eventuali aggiornamenti necessari.
Quindi il Presidente designa il relatore tra i componenti o svolge personalmente tale funzione.
3.3 Definizione del procedimento
Il Collegio provvede con propria deliberazione e:
– adotta, ove necessario, i provvedimenti correttivi e sanzionatori;
– rileva l’infondatezza del reclamo o l’insussistenza di una violazione della normativa privacy.
In altri termini, il Collegio è chiamato a definire il procedimento:
adottando l’ordinanza ingiunzione, con la quale dispone provvedimenti correttivi e/o l’applicazione di sanzioni, tra le quali può essere compresa la sanzione amministrativa accessoria della pubblicazione, per intero o per estratto, sul sito web del Garante;
emettendo, in alternativa, l’atto di archiviazione.
L’ordinanza ingiunzione o l’atto di archiviazione sono poi notificati ai destinatari degli stessi a cura del Dipartimento, Servizio o altra Unità Organizzativa che ha proceduto e che cura anche la relativa annotazione nel registro interno dell’Autorità relativo alle violazioni e alle misure correttive adottate.
Entro trenta giorni dalla data di comunicazione del provvedimento ovvero entro sessanta giorni se il ricorrente risiede all’estero, il trasgressore e gli obbligati in solido possono:
proporre ricorso avverso l’ordinanza ingiunzione rivolgendosi in via alternativa, al tribunale del luogo in cui il Titolare del trattamento risiede o ha sede ovvero al tribunale del luogo di residenza dell’interessato;
ovvero definire la controversia adeguandosi alle prescrizioni del Garante, ove impartite, e mediante il pagamento di un importo pari alla metà della sanzione irrogata.
Volume consigliato:
Note:
[1] Adottato con provvedimento GPDP n. n. 98 del 4 aprile 2019. [doc. web n. 9107633]
[2] Vds. Ordinanza- Ingiunzione n. 121 del 7 aprile 2022. [doc. web n. 9768440].
Scrivi un commento
Accedi per poter inserire un commento