Autorità Garante: cos’è
Le Autorità Garanti sono in generale organismi costituiti per vigilare su attività economiche di interesse pubblico e hanno di norma il compito di tutelare i diritti dei cittadini in contesti nei quali questi possono trovarsi in posizione di debolezza.
Le loro caratteristiche fondamentali sono la terzietà rispetto agli operatori in campo (pubblici o privati che siano) e l’indipendenza dalla politica (se di norma i componenti delle autorità sono di nomina politica, la loro attività deve tuttavia restare indipendente e soggetta esclusivamente alle leggi vigenti, non a indicazioni e direttive governative).
Di queste autorità fa parte il Garante per la protezione dei dati personali, che si occupa in particolare di per tutelare i diritti costituzionali e le libertà fondamentali nel trattamento dei dati personali dei cittadini da parte di qualunque soggetto ne entri in possesso.
Questa Autorità è stata istituita dalla legge 675 del 31/12/1996 (la cosiddetta “legge sulla privacy”), sostituita poi dal Codice in materia di protezione dei dati personali approvato con il decreto legislativo 196 del 3/06/2003, come modificato dal D.Lgs n. 101/2018.
Ai sensi dell’art 153, Nuovo Codice privacy, il Garante è composta dal Collegio, costituito da quattro membri, due eletti dalla Camera dei Deputati e due eletti dal Senato della Repubblica, con voto illimitato.
Devono essere scelti tra persone che assicurino indipendenza e che siano riconosciuti come esperti nelle materie del diritto o dell’informatica. Il loro mandato dura sette anni e non può essere rinnovato.
Per tutta la durata dell’incarico il presidente e i componenti non possono esercitare, a pena di decadenza, alcuna attivita’ professionale o di consulenza, anche non remunerata, nè essere amministratori o dipendenti di enti pubblici o privati, nè ricoprire cariche elettive.
I membri del Collegio devono mantenere il segreto, sia durante sia successivamente alla cessazione dell’incarico, in merito alle informazioni riservate cui hanno avuto accesso nell’esecuzione dei propri compiti o nell’esercizio dei propri poteri.
I quattro componenti eleggono al proprio interno un presidente, il cui voto prevale in caso di parità.
Attualmente i componenti dell’Autorità sono: Antonello Soro (presidente), Augusta Iannini (vice presidente), Giovanna Bianchi Clerici e Licia Califano.
L’autorità Garante adotta un Codice etico che definisce i principi e i criteri fondamentali affinché i dipendenti che operano presso l’ufficio del Garante mantengano gli obblighi di riservatezza, imparzialità e trasparenza nell’esercizio delle loro funzioni.
Contro i Suoi provvedimenti è possibile proporre il ricorso giurisdizionale.
A conferma della caratteristica di terzietà appena esposta, si deve sottolineare come il presidente, i componenti, il segretario generale e i dipendenti si astengono dal trattare, per i due anni successivi alla cessazione dell’incarico ovvero del servizio presso il Garante, procedimenti dinanzi al Garante, ivi compresa la presentazione per conto di terzi di reclami richieste di parere o interpelli.
Compiti del Garante della Privacy
Il Codice in materia di protezione dei dati personali attribuisce all’autorità Garante i seguenti poteri:
- Controllare che il trattamento dei dati personali sia effettuato nel rispetto della legge;
- Prescrivere, ove necessario, ai titolari o ai responsabili del trattamento di dati le misure da adottare;
- Nel caso di trattamenti irregolari: rivolgere ammonimenti a titolari o responsabili, ingiungere di conformarli alla legge, imporre una limitazione provvisoria o definitiva dl trattamento, incluso il divieto di trattamento; ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento;
- Promuovere la predisposizione e la sottoscrizione nei vari settori di codici di deontologia e buona condotta in materia di trattamento dei dati personali;
- Segnalare al Governo e al Parlamento l’opportunità di introdurre provvedimenti normativi o adottare atti amministrativi relativi alla protezione dei dati personali;
- Sviluppare la consapevolezza da parte del pubblico della disciplina rilevante in materia di trattamento dei dati personali e in materia di protezione dei dati stessi, in particolar modo per quanto riguarda i minori;
- Denunciare i fatti configurabili come reati perseguibili d’ufficio conosciuti nell’esercizio delle sue funzioni;
- Tenere il registro delle violazioni più rilevanti e, ove previsto, imporre sanzioni;
- Presentare annualmente al Governo e al Parlamento una relazione sull’attività svolta;
- Formulare pareri su proposte di atti amministrativi e normativi e fornire consulenza al Governo, ai singoli Ministri e al Parlamento (attraverso audizioni) nella predisposizione di norme che incidano sulla materia del trattamento dei dati personali;
- Esaminare reclami, segnalazioni, pareri nei casi previsti e provvedere sui ricorsi presentati.
Il Garante ha, inoltre, facoltà di decidere su eventuali sanzioni amministrative e penali.Il Garante potendo applicare sanzioni sia in ambito amministrativo sia in ambito penale, tra le quali, nello spefifico, si annoverano:
– Sanzioni amministrative (Nuovo Codice Privacy):
Art. 166 Criteri di applicazione delle sanzioni amministrative pecuniarie e procedimento per l’adozione dei provvedimenti correttivi e sanzionatori
– Illeciti penali (Nuovo Codice Privacy):
Art. 167: Trattamento illecito di dati
Art. 167-bis: Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala
Art. 167-ter: Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala
Art. 168: Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante.
E con il GDPR?
Con il nuovo GDPR, il ruolo dell’autorità garante cambia “prospettiva”.
Se ante Regolamento UE, l’Autorità operava mediante notifiche preventive dei trattamenti di controllo, ora il suo ruolo viene svolto principalmente ex post, ossia successivamente alle scelte operate dal Titolare, in particolare in caso di Dpia.
Alle autorità di controllo, e in particolare al l Comitato europeo della protezione dei dati (che sostituirà l’attuale Gruppo di lavoro noto come “Working Party 29”) spetterà il ruolo di garantire uniformità di applicazione e interpretazione alla nuova normativa europea, attraverso l’elaborazione di linee-guida e altri contributi sui diversi ambiti applicativi del Regolamento, tenendo anche conto dell’evoluzione della prassi in materia di protezione dei dati personali.
Nonostante tale cambio di rotta, si deve segnalare l’obbligo della consultazione preventiva, disciplinata dall’art 36 GDPR, obbligatoria per il Titolare qualora la DPIA, effettuata ai sensi dell’art. 35 del GDPR, indichi che il rischio residuale è elevato in assenza di misure adottate dal Titolare per mitigare il rischio.
Tanti i dubbi che sono nati in merito all’interpretazione da dare alla locuzione “in assenza di misure adottate dal titolare del trattamento per attenuare il rischio”; il Working Party 29 ha fornito una casistica esemplificativa di “rischio residuale elevato” comportante appunto potenziali gravi conseguenze per le libertà fondamentali dei soggetti interessati al trattamento.
Una bella novità
Nell’ottica di semplificazione, principio baluardo del nuovo Regolamento GDPR, il legislatore europeo ha introdotto il principio dello sportello unico, secondo il quale, il titolare del trattamento, potrà rivolgersi ad una sola Autorità di controllo, individuata in quella dello Stato dove il soggetto Titolare ha la sede principale.
Se da una parte, tale scelta ha il merito di portare ad una omogeneità delle decisioni prese, non sono mancate le critiche circa la discrezionalità che si lascia al Titolare nello scegliere l’Autorità di controllo (non più legata alla sede dell’azienda del Titolare) e, non da ultimo, con quanto prescrive la normativa consumeristica, secondo cui è competente il Giudice presso la residenza del consumatore.
Il D.Lgs n. 101/2018 conferisce maggiori poteri in capo al Garante
Con il decreto di adeguamento, al Garante italiano sono stati conferiti poteri molto ampi, finalizzati ad assicurare, anche nel tempo, una attuazione della normativa flessibile e adeguata allo sviluppo delle tecnologie.
Uno degli aspetti più importanti della nuova normativa riguarda, infatti, l’evidente centralità assegnata al Garante.
Gli viene infatti affidato il compito di promuovere regole deontologiche, scrivere misure di garanzia per il trattamento di dati genetici, biometrici, sanitari, adottare provvedimenti contenenti misure ed accorgimenti a garanzia dell’interessato.
Il decreto di adeguamento, oltre ad ampliare i compiti del Garante, ha rafforzato anche il potere dell’Autorità.
L’art. 154-ter, rubricato “Potere di agire e rappresentanza in giudizio”, introdotto dall’art. 14 del decreto di adeguamento, conferisce al Garante la legittimazione ad agire in giudizio nei confronti del titolare o del responsabile del trattamento in caso di violazione delle disposizioni in materia di protezione dei dati personali.