Il nuovo procedimento per l’adozione dei provvedimenti correttivi e sanzionatori | SCUDOMED - Health Risk Manager e Legal Advisor

Le parole privacy e data protection sono ormai all’ordine del giorno e, dopo l’uscita del regolamento europeo 679/2016, la materia ha acquisito nuova linfa vitale.

Attenzione però, se da un lato la “rivoluzione dell’adeguamento” ha comportato maggiori oneri in capo ai Titolari del trattamento, per soddisfare le obbligazioni di compliance aziendale, dall’altro lato e proporzionalmente il potere ispettivo del Garante è stato ampliato. 

In virtù della mole dei nuovi adempimenti, il Garante ha concesso un termine di otto mesi dalla data di entrata in vigore del D. Lgs. 101/2018 per l’adeguamento; in questo periodo transitorio, infatti, le sanzioni sono state fortemente attenuate.

Ad oggi gli otto mesi sono decorsi e la realtà rivela che non tutte le società hanno sfruttato questo tempo per adeguarsi alle prescrizioni impartite dal GDPR.       

La risposta dell’Autorità non si è fatta attendere e il 4 aprile 2019 è stato emanato il regolamento n. 1/2019 che descrive il nuovo procedimento interno per l’adozione dei provvedimenti correttivi e/o sanzionatori e la procedura per l’approvazione delle regole deontologiche e dei codici di condotta.

In altri termini con questo regolamento l’Autorità indica quali sono i criteri e i parametri per l’irrogazione delle sanzioni e per l’adozione dei provvedimenti.

Per quanto concerne i criteri, il Garante dovrà determinare la propria azione conformemente ai princìpi di trasparenza, di proporzionalità, di ragionevolezza e non discriminazione, di buona amministrazione, di economicità, di adeguatezza e di imparzialità.

Mentre nell’applicare la sanzione l’Autorità dovrà tenere conto della natura, della gravità degli illeciti, dell’entità del pregiudizio patito dagli interessati e del numero di soggetti coinvolti.

Inoltre, il Garante fornisce chiare istruzioni a tutti gli interessati su come denunciare un mancato adeguamento da parte di qualsivoglia Titolare.

Infatti, il regolamento indica, in maniera precisa, le tipologie di atti con i quali si può denunciare una violazione subita attinente al trattamento dei propri dati personali.

Il primo atto è il reclamo che introduce un procedimento costituito al massimo in due fasi.

Attenzione, come ogni atto introduttivo vi è un vaglio sull’ammissibilità dello stesso, infatti il reclamo deve contenere necessariamente l’indicazione del Titolare o del Responsabile del trattamento, la descrizione del fatto e delle circostanze, le disposizioni che si presumono violate e le misure richieste. L’interessato sottoscrive l’atto, allega la documentazione utile e indica un recapito per l’invio delle comunicazioni.

Se il reclamo risulta essere irregolare ovvero incompleto ne viene data comunicazione all’istante che potrà procedere alla regolarizzazione nel termine di quindici giorni.

In seguito a tale vaglio di ammissibilità vi è la fase di “Istruttoria Preliminare”

che dura al massimo tre mesi e può concludersi o con archiviazione ovvero con l’avvio del procedimento per l’adozione dei provvedimenti correttivi e/o sanzionatori.

In quest’ultimo caso si apre la seconda fase che prevede la possibilità di un contraddittorio, infatti l’avvio del procedimento è comunicato al Titolare del trattamento o al Responsabile del trattamento. E’ solo in questo momento che il Titolare del trattamento saprà che è stato avviato un procedimento per presunte violazioni di privacy.

Tale comunicazione contiene una sintetica descrizione dei fatti, le violazioni contestate e le relative disposizioni sanzionatorie ed altresì avverte della facoltà di inviare scritti difensivi, documenti o essere ascoltati dall’Autorità nel termine di 30 giorni, dalla ricezione della comunicazione stessa. In buona sostanza si apre una fase connotata dal contradditorio innanzi all’Autorità.

L’iter termina con la deliberazione del Collegio e dunque con la decisione sul reclamo per l’applicazione o meno dei provvedimenti sanzionatori e/o correttivi. 

Tale atto va distinto dal reclamo avente come oggetto la violazione dei diritti di cui agli articoli da 15 a 22 del GDPR, in quanto per questa seconda tipologia di reclamo l’interessato deve prima contattare il Titolare o il Responsabile del trattamento e chiedere di adempiere spontaneamente. Nel caso di mancato ottenimento di idoneo riscontro, allora potrà adire il Garante che entro 45 giorni chiederà al Titolare di aderire; in difetto l’Autorità procederà secondo l’iter per reclamo descritto precedentemente.  

Giusto per fare un esempio e rendere più chiaro quanto precede, Tizio chiede l’accesso ex art. 15 GDPR a Facebook per verificare se esiste un qualsiasi trattamento di dati personali che lo riguarda, ma non gli viene fornita alcuna risposta; visto che Tizio si è già rivolto infruttuosamente al Titolare del trattamento può proporre reclamo all’Autorità lamentando una violazione del diritto di accesso dell’interessato. Il Garante, dunque, verificata la preventiva domanda fatta al Titolare, può procedere con l’istruttoria preventiva e con l’eventuale provvedimento correttivo e/o sanzionatorio.  

Il secondo atto che l’Autorità può compiere è l’ordinanza-ingiunzione con la quale viene disposta l’applicazione della sanzione amministrativa accessoria della pubblicazione sul sito web del Garante.

Oltre il reclamo e l’ordinanza-ingiunzione ogni persona fisica ha a disposizione anche la segnalazione ed i quesiti. La prima consiste in un atto, non avente le formalità del reclamo, volto ad un mero sollecito di controllo da parte del Garante; può essere presentato anche da una persona non identificata, quindi da un anonimo.

A differenza del reclamo, la segnalazione non comporta l’obbligo di adozione di un provvedimento espresso.

Infine, sono stati introdotti i c.d. quesiti ai quali l’unità organizzativa del Garante può fornire riscontri qualora attinenti alla protezione dei dati personali.

Il Regolamento analizzato prosegue descrivendo i poteri ispettivi e di controllo attraverso i quali il Garante può avviare un’istruttoria preliminare d’ufficio, per verificare la sussistenza di possibili violazioni legate alla protezione dei dati personali. Il documento che dispone l’attività ispettiva è l’ordine di servizio che individua il Titolare del Trattamento destinatario del controllo, i poteri di indagine utilizzati, l’ambito di controllo, il luogo ove si svolge l’accertamento e le eventuali sanzioni da comminare.

La peculiarità di tale procedura consiste nella possibilità che questa ultima attività possa essere demandata anche alla Guardia di Finanza.

L’ultimo argomento trattato, ma non per importanza, è la procedura per l’adozione delle regole deontologiche e i codici di condotta che il Garante deve promuovere e pubblicizzare. Sicuramente tale strumento rivestirà nel prossimo futuro un ruolo fondamentale poiché le norme contenute in questi testi sono ideate direttamente dagli operatori del campo, ovviamente in possesso del necessario know-how.

La procedura inizia con una deliberazione del Collegio, da pubblicare in Gazzetta Ufficiale, contenente i criteri generali che le categorie interessate devono rispettare.

Questi soggetti, sia pubblici che privati, inviano una comunicazione con le proprie proposte all’Autorità che le esamina e invita le categorie suddette a partecipare ad una prima riunione sull’analisi dello schema preliminare.

Terminata tale fase ed in caso di esito positivo, prende piede il secondo step rappresentato dalla consultazione pubblica, della durata di almeno sessanta giorni, in cui qualsiasi soggetto interessato può formulare osservazioni.

Conclusa la consultazione pubblica, viene redatto lo schema finale e viene sottoposto all’ultimo esame del Collegio che dispone la pubblicazione e la comunicazione al Ministero della Giustizia per la sua successiva allegazione al Codice Privacy. Infine, le regole deontologiche vengono pubblicate nella Gazzetta Ufficiale e sul sito web del Garante.  Discorso analogo vale per i codici di condotta.

In conclusione, si può certamente affermare che non è pensabile considerare il mondo privacy con lo stesso occhio del passato, soprattutto nelle aziende è necessario un cambio di rotta virando verso la considerazione della protezione del dato non come un costo da sopportare bensì come un’opportunità da cogliere e valorizzare anche al fine di efficientare i processi produttivi e conseguentemente proteggere diritti e libertà degli interessati assicurando, come ricordato a suo tempo dal WP29, libertà, giustizia e sicurezza.