Le funzioni del Garante per la protezione dei dati personali

Le novità proposte dal Regolamento in materia di espansione dei poteri e dei compiti conferiti a ciascuna autorità indipendente sono presenti all’interno degli art. 57 e 58, in cui si indicano i principali poteri di indagine, correttivi, autorizzativi e infine consultivi.

Tra questi sono presenti poteri già previsti dalla normativa previgente, trovando però un’adeguata specificazione, come ad esempio l’adozione di prescrizioni al fine della correzione, nonché limitazione o divieto del trattamento, nonché il potere di avvertimento o ammonimento al Titolare del trattamento.

tuttavia, l’elencazione proposta dal Regolamento non può essere ritenuta esaustiva, soprattutto in riferimento all’art 57, in cui si afferma che l’autorità svolge qualsiasi altro compito legato alla protezione dei dati personali e inoltre si aggiunge anche che i poteri così individuati possono essere ampliati da ciascun Stato membro, aprendo di fatto la via per la creazione di attribuzioni ulteriori che risultano essere interconnessi alla protezione dei dati personali, così come è accaduto con il Garante per la protezione dei dati personali italiano.

Venendo alle funzioni individuate dal Regolamento si afferma che per l’esercizio di ciascuno dei poteri individuati le autorità di controllo devono essere soggette alle garanzie previste dall’ordinamento stesso, soprattutto in riferimento al ricorso giurisdizionale.

In applicazione di tal principio il Garante si è rapidamente adeguato ai principi fondamentali dell’attività amministrativa pubblica, nonché sincronizzando le proprie attività con i criteri di trasparenza, efficienza, efficacia, ed economicità, rispettando i principi in materia di contradditorio e della partecipazione.

Fra i compiti individuati da Regolamento, si prevede inoltre che ciascuna autorità di controllo ha come importante compito non solo sorvegliare l’applicazione del Regolamento, ma anche promuovere, presso enti pubblici e privati, la consapevolezza in ordine ai rischi, ai diritti connessi e agli obblighi previsti dalla materia stessa.

Inoltre, ciascuna autorità possono trattare i reclami degli interessati, ovvero da chi li rappresenta, e contestualmente predisporre le adeguate indagini a riguardo oppure attivarsi d’ufficio sulla base delle esigenze emergenti.

Per l’adempimento delle funzioni così individuate, all’autorità di controllo è stato conferita penetranti poteri d’indagine, potendo quindi richiedere, ai titolari e ai

responsabili del trattamento, di fornire ogni informazione necessaria per l’esecuzione dei propri compiti, ovvero per esperire al meglio la funzione di revisione dell’attività di protezione dei dati personali attraverso anche l’accesso diretto ai locali, agli strumenti e infine ai mezzi di trattamento.

Per quanto riguarda invece i poteri correttivi, il Regolamento ha voluto inserite tutte le misure individuate all’interno del medesimo piano, in quanto le misure di correzione devono seguire una certa progressività in relazione alle diverse necessità; infatti, le autorità di controllo possono erogare semplici avvertimenti, ammonimenti, fino a vere e proprie sanzioni pecuniarie, in relazione al soddisfacimento dei diritti in capo al soggetto interessato, ovvero al fine dell’adeguamento di ciascun trattamento alla disciplina generale posta in essere dal Regolamento e , laddove necessario, individuare le modalità e i termini dell’adempimento, potendo però, in ogni momento, vietare o limitare il trattamento stesso.

La previsione espressa di una sanzione pecuniarie, in caso di grave violazione delle disposizioni in materia, segna un importante passo avanti per l’effettiva responsabilizzazione del titolare stesso, nonché uno strumento utile per garantire il rispetto della normativa vigente.

Tal potere di attivazione delle sanzioni è previsto all’interno dell’art. 83 del Regolamento, prevedendo che tale misura venga inflitta in relazione alla particolarità del caso e può essere utilizzata in aggiunta o in sostituzione ad altre misure correttive presenti all’art. 58. Per quanto riguarda il calcolo dell’ammontare della sanzione, le autorità di controllo devono attenersi a determinati parametri, come la gravità o la natura della violazione, in relazione agli interessi lesi, il carattere doloso o colposo, le misure adottate dal titolare per riparare al danno causato, il grado di responsabilità del titolare o del responsabile, le categorie di dati personali interessate ecc.

Il Garante per la protezione dei dati personali ha fin da subito utilizzato tali misure correttive, maturando di volta in volta una certa esperienza in materia e reggendo piuttosto bene ai vari ricorsi giurisdizionali presentati dai soggetti colpita da tali sanzioni.

Durante i primi anni di mandato, il Garante ha adottato provvedimenti mirati per la definizione delle norme e degli istituti in materia di protezione dei dati personali, nonché la predisposizione di importanti elementi interpretativi.

Tale fase è caratterizzata dal fatto che risulta essere “quasi pioneristica”92_{, in quanto}

iniziava a muovere i primi passi un diritto che ha storicamente avuto un’applicazione disorganica, dovuto soprattutto dall’assenza di norme di riorganizzazione della materia in sé.

Successivamente, l’attività del Garante si è focalizzata sulla risoluzione di problematiche aventi ampio respiro, attuando provvedimenti a carattere generale e utilizzando strumenti di soft law per poter disciplinare al meglio l’intera materia.

La peculiarità principale del Garante, che lo differenzia rispetto alle altre autorità indipendenti, risulta essere la competenza stessa, in quanto trasversale ed estesa ad un ambito di intervento che abbraccia non solo settori economici specifici, ma anche una vastità di soggetti aventi interessi non solo contrapposti ma molto spesso inconciliabili.

In questo panorama complesso il Garante della protezione dei dati personali è chiamato ad utilizzare misure di bilanciamento fra i diritti in gioco, nonché trovare punti specifici di equilibrio, cercando di non solo preservare, nel rapporto fra impresa-individuo, la dinamicità del fra i due soggetti, ma anche evitare un totale assoggettamento della persona alle logiche di mercato.

Per poter al meglio rappresentare i soggetti interessati, sia essi persone fisiche che giuridiche, il Garante ha fatto ampio uso del potere di regolamentazione condivisa, permettendo la partecipazione delle categorie di soggetti interessati nell’intero procedimento, attivando le necessarie consultazioni pubbliche, così come previsto nella legge 241/90.

Se da un lato il Garante ha fatto uso di questa importante misura di partecipazione al pubblico nella formazione di misure che hanno influenzato l’intera materia, il decreto legislativo 101/2018 ha ribadito l’importanza della partecipazione, prevedendo l’utilizzo di tali istituti all’interno della formazione del provvedimento stesso, soprattutto in relazione alle misure di garanzia aventi oggetto il trattamento dei dati genetici, biometrici e relativi alla salute.

Infatti, tali categorie di dati personali possono essere oggetto di trattamento, in presenza ovviamente delle condizioni previste dall’art. 9 del Regolamento, nonché qualora si rispetti le misure disposte dal Garante stesso e infine occorre tener conto anche delle linee guida

pubblicate dal Comitato Europeo per la protezione dei dati personali e dell’evoluzione scientifica e tecnologia in materia.

Per quanto riguarda l’attività di consultazione il decreto legislativo 101/2018 ha previsto che gli schemi di tali particolari provvedimenti devono essere sottoposti a consultazione pubblica per un periodo non inferiore ai 60 giorni, un periodo infatti piuttosto lungo in cui si ricevono i necessari stimoli al fine di un completo approfondimento sulle problematiche che il trattamento stesso dovrà affrontare.

I provvedimenti così richiamati hanno come finalità la protezione dei dati definiti come particolari, avendo però una specifica attenzione alle finalità ultime del trattamento e in più tali provvedimenti devono predisporre le misure di sicurezza adeguate al mantenimento dell’anonimato, come ad esempio la cifratura ovvero pseudonomizzazione del dato stesso, nonché le specifiche modalità per l’accesso selettivo ai dati.

Per quanto riguarda invece agli adempimenti legati al principio di responsabilizzazione dei titolari, introdotto con il Regolamento, è stato eliminato l’obbligo di notifica di inizio trattamento dei dati, storicamente circoscritto, in Italia, nei casi in cui il trattamento dei dati risulta essere particolarmente difficile e ad alto rischio, implementando ed estendendo l’obbligo di notifica solo in caso di violazione di dati personali.

In applicazione di tal principio, ora i titolari del trattamento hanno l’obbligo di notifica al Garante, al fine di consentire a tal autorità indipendente la pronta reazione a tal violazione, individuando le potenziali misure necessarie al fine di arginare il possibile danno causato al soggetto interessato.

Tale violazione deve poi essere annotata, da parte del Titolare del trattamento, in un particolare registro conservato dal titolare stesso.

Questo obbligo non è sconosciuto nell’ordinamento italiano, in quando il Codice della Privacy, all’art. 32 bis, aveva previsto l’attivazione di tali contromisure solo nell’ambito dei servizi di comunicazione elettronica.

Ulteriore novità presentata dal Regolamento riguarda l’introduzione di nuovi meccanismi di valutazione d’impatto predisposti dal titolare del trattamento stesso, attraverso i quali si predispongono la ponderazione fra la necessità del trattamento stesso e i pericoli che possono scaturire all’interno, individuando prontamente le misure necessarie al fine reagire a possibili pregiudizi rivolti ai diritti del soggetto interessato.

Le autorità nazionali, a tal fine, devono individuare un elenco di trattamenti assoggettabili a valutazione d’impatto, evidenziando l’esistenza di particolari rischi o minacce all’interno del trattamento stesso, nonché devono rilasciare un parere all’interno di una consultazione preventiva, nel caso in cui il titolare del trattamento rilevi l’esistenza di rischi talmente elevati da non essere fronteggiabili dalla tecnologia a disposizione.

Il Regolamento, per poter migliorare la trasparenza nonché il rispetto delle disposizioni ivi contenute, sono stati istituiti meccanismi di certificazione della protezione dei dati, i quali dovranno essere predisposti dalle autorità di controllo, al fine della creazione o accreditamento di organismi di certificazione, ovvero predisposizione delle misure necessaria al fine dello svolgimento diretto di tale attività.

Il decreto legislativo 101/2018, raccogliendo la raccomandazione del Garante stesso in cui si afferma l’impossibilità dello svolgimento diretto di attività di accreditamento, tenendo comunque fermo il ruolo definitorio dei criteri posti alla base della certificazione, ha predisposto che tale attività venga effettuata da Accredia, ente unico nazionale di accreditamento, fatto salvo il potere del Garante di assumere direttamente tal potere, tramite deliberazione pubblicata in Gazzetta Ufficiale, in caso di grave inadempimento delle funzioni individuate.

Infine, il Garante può intentare direttamente un’azione, ovvero agire direttamente in giudizio, qualora si ravvisi l’esistenza di una violazione delle disposizioni individuate dal Regolamento, a garanzia quindi della salvaguardia dell’applicazione di questa importantissima fonte in materia.