Facendo seguito alla panoramica del precedente articolo sulle sanzioni, i danni e gli illeciti privacy, concentriamoci ora sulle modalità e sulle procedure di accertamento delle violazioni della normativa vigente, nonché sull’applicazione delle sanzioni.
Chi può effettuare gli accertamenti per violazioni sulla privacy
Nel nostro ordinamento, l’organo preposto ai controlli ed all’irrogazione di sanzioni amministrative è l’Autorità Garante per la protezione di dati personali, detto anche Garante per la Privacy, che è un’autorità indipendente, in forma collegiale, già prevista dalla Direttiva 95/46/CE.
Ma Il Garante non è l’unico organo preposto ai controlli.
I procedimenti sanzionatori, infatti, possono essere iniziati anche a seguito di accertamenti svolti dai Corpi di Polizia dello Stato e in particolare dalla Guardia di Finanza (e dal suo Nucleo Speciale Privacy), con cui è siglato protocollo operativo con l’Autorità Garante, non avendo quest’ultima personale di fatto sufficiente a gestire efficacemente tutte le violazioni segnalate
Reclami e segnalazioni da parte degli interessati
Un controllo, dunque, può avvenire sia “d’ufficio”, magari nel corso di tutt’altro accertamento svolto da una delle Autorità di cui sopra, che su reclamo dell’interessato (art. 77 GDPR). Infatti, qualunque interessato ha diritto di proporre reclamo (o segnalazione) – a sua scelta – all’autorità di controllo dello stato in cui risiede, dove lavora, oppure dove si è verificata la violazione.
Qualora l’interessato intenda rivolgersi al nostro Garante per la Privacy, il reclamo – sottoscritto direttamente dall’interessato, oppure per suo conto da un avvocato o da un procuratore o da un organismo o da un’associazione senza scopo di lucro – deve essere consegnato a mano presso gli uffici del garante (siti in Roma, Piazza Venezia n. 11) oppure inviato con raccomandata a/r o a mezzo pec (protocollo@pec.gpdp.it).
Nel reclamo andrà indicato:
- la circostanza da cui si ricava la competenza del Garante italiano;
- gli estremi identificativi del titolare del trattamento, del responsabile e del D.P.O., se noto;
- una dettagliata ricostruzione dei fatti e delle circostanze della violazione privacy su cui si fonda il reclamo, comprese eventuali richieste già rivolte sulla questione al titolare del trattamento;
- le disposizioni di Regolamento e di legge che si ritengono violate;
- il provvedimento che si chiede di applicare nei confronti del titolare/responsabile del trattamento.
Ricevuto il reclamo, il Garante dovrebbe trattarlo entro il termine di 3 mesi, ma tale tempistica non sempre viene rispettata, in considerazione della mole delle segnalazioni da trattare e dell’inadeguata dotazione di personale dell’ufficio del Garante.
È così previsto il diritto dell’interessato di proporre ricorso giurisdizionale contro il Garante, qualora quest’ultimo non abbia trattato il reclamo o non lo abbia informato entro 3 mesi dello stato o dell’esito del reclamo proposto. Il medesimo diritto, come vedremo nel prossimo articolo, sussiste anche contro le decisioni assunte dal Garante su un reclamo trattato.
Ma ora torniamo alle modalità di accertamento.
Modalità di accertamento delle violazioni della privacy
Nella prassi, pertanto, è più probabile che l’accertamento venga condotto da una forza di polizia o dalla GDF, che, rilevate una o più violazioni di legge o di regolamento, stenderanno verbale di contestazione (già di per sé impugnabile).
Sono molto ampi i poteri istruttori del Garante e dei suoi delegati, e nel corso dell’accertamento potrà essere chiesto, a tutti i soggetti privacy ed anche a terzi, di fornire informazioni e documenti, potrà essere disposto l’accesso a banche dati, archivi o altre ispezioni nei luoghi ove si svolge il trattamento, anche con l’assistenza di consulenti tecnici.
Senza entrare nel merito dell’ampissima casistica di violazioni, occorre evidenziare che in sede ispettiva avrà ruolo centrale il (nuovo) concetto di accountability, di responsabilizzazione del titolare (e/o del responsabile) del trattamento, che saranno chiamati a dimostrare cosa è stato fatto e cosa no, spiegando l’iter logico-giuridico che li ha portati ad assumere quella particolare decisione da cui scaturirebbe una formale violazione della normativa (a titolo di mero esempio: mancata nomina DPO, mancata tenuta del Registro, omessa richiesta del consenso, etc.). Sarà infatti possibile giustificare e dimostrare compiutamente che la scelta di non fare una determinata attività sia legittima e responsabile nel caso concreto.
Andrà dimostrata l’adozione di quelle misure di sicurezza – logiche, tecniche ed organizzative (art. 32 GDPR) – considerate adeguate (e spiegandone il perché) a ridurre efficacemente la maggior parte di rischi insiti nel trattamento.
Qualora venga comunque contestata una violazione e dunque redatto verbale di accertamento, il titolare/responsabile del trattamento, al fine di evitare o limitare la successiva sanzione, entro 90 giorni potrà depositare una memoria difensiva e documenti al Garante.
Il Garante potrà quindi emanare un’ordinanza-ingiunzione, come vedremo impugnabile entro i successivi 30 giorni con ricorso avanti al Tribunale competente.
Ma non sempre viene irrogata una sanzione.
Come detto nel precedente intervento sul tema, ai fini dell’applicazione della sanzione amministrativa, occorre prima verificare la sussistenza delle condizioni previste dall’art. 83 GDPR. E dunque, qualora venga rilevata una violazione privacy realizzatasi nonostante il contesto di effettiva responsabilizzazione del titolare/responsabile, che ad esempio abbia in concreto posto in essere misure potenzialmente efficaci o che abbia cooperato lealmente e con la dovuta diligenza per porvi rimedio, è possibile che al posto della sanzione il Garante adotti, verso il titolare e/o il responsabile del trattamento, un diverso provvedimento correttivo, tra cui:
- rivolgere avvertimenti sul fatto che i trattamenti in esame possano verosimilmente violare le disposizioni del GDRP;
- rivolgere ammonimenti ove i trattamenti abbiano violato le diposizioni del GDPR;
- ingiungere di soddisfare le richieste dell’interessato di esercizio dei suoi diritti o di conformare i trattamenti alle disposizioni di legge;
- imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto;
- ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento.
Consigli generali per non incorrere nelle violazioni della privacy
In conclusione, per scongiurare sanzioni è dunque necessario che ogni titolare o responsabile del trattamento svolga un’attività concreta e ragionata di adeguamento alla normativa in vigore, partendo dall’esame dei dati trattati, dalla valutazione dei rischi e degli impatti per gli interessati, ponendo in essere tutte quelle misure (tecniche, logiche e organizzative) che, in ragione della natura dei dati trattati, del contesto e delle finalità di trattamento, delle probabilità di rischio e della gravità dello stesso, possano considerarsi adeguate a garantire un livello di sicurezza “accettabile”, i cui sforzi e costi di attuazione siano comunque proporzionati al caso concreto.
