Una degli organismi di riferimento nel contesto GDPR è l’Autorità di Controllo. Si tratta di autorità di fondamentale importanza per il rispetto del GDPR da parte di ogni Paese dell’Unione, composta da persone competenti e qualificate nell’ambito della protezione dei dati personali.
Il ruolo dell’Autorità viene delineato in linea generale nell’articolo 51 del GDPR. Il Regolamento, infatti, prevede che ogni Stato membro dell’UE disponga “che una o più autorità pubbliche indipendenti siano incaricate di sorvegliare l’applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all’interno dell’Unione (l’«autorità di controllo»). Ogni autorità di controllo contribuisce alla coerente applicazione del presente regolamento in tutta l’Unione. A tale scopo, le autorità di controllo cooperano tra loro e con la Commissione […]”.
Ogni Stato membro ha incaricato diverse autorità indipendenti che operano sul proprio territorio. In Italia l’autorità che ricopre questo ruolo è il Garante per la protezione dei dati personali, meglio conosciuto come (Autorità) Garante Privacy. Si tratta di un’autorità amministrativa, istituita con la Legge sulla Privacy (Legge n.675/1996) e disciplinata successivamente nel Codice in materia di protezione dei dati personali (Codice della Privacy, decreto legislativo n.196/2003). Nello specifico il Garante è un organo collegiale, i cui componenti – esperti nel settore della protezione dati – vengono eletti dalla Camera (n. 2) e dal Senato (n.2).
Il Garante – così come ogni Autorità di Controllo operante negli Stati UE – ricopre diversi compiti e detiene poteri che deve svolgere ed esercitare sempre in modo indipendente, come affermato nell’articolo 52 del GDPR: “Ogni autorità di controllo agisce in piena indipendenza nell’adempimento dei propri compiti e nell’esercizio dei propri poteri conformemente al presente regolamento”.
I compiti del Garante
I compiti dell’Autorità Garante per la protezione dei dati personali e delle Autorità di Controllo degli altri Paesi UE sono elencati nell’articolo 57 del GDPR:
- vigila sul rispetto del GDPR da parte del Paese;
- promuove la consapevolezza e la comprensione del GDPR da parte della cittadinanza, dei titolari e dei responsabili dei trattamenti;
- fornisce consulenza in materia al Governo e alle altre istituzioni;
- fornisce consulenza agli interessati (le persone fisiche i cui dati personali vengono trattati), ai titolari e ai responsabili dei trattamenti;
- tratta i reclami e svolge indagini in merito a trattamenti dati;
- tiene registri interni riferiti alle violazioni più rilevanti;
- impone sanzioni amministrative pecuniarie.
In particolare, per quanto riguarda le aziende e le organizzazioni che devono adeguarsi al GDPR, generalmente il Garante interviene ex-post, ovvero in seguito alla Valutazione di Impatto (DPIA, Data Protection Impact Assessment) elaborata dai titolari dei trattamenti e in seguito al trattamento, per valutare l’adeguamento corretto e segnalare eventuali non conformità. Solo quando “il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio” (articolo 36 del GDPR), il titolare del trattamento è tenuto ad effettuare una consultazione preventiva con il Garante, cioè prima di procedere con il trattamento.
I poteri del Garante
Oltre a svolgere compiti di fondamentale importanza, il Garante detiene anche poteri d’indagine, correttivi, autorizzativi e consultivi (articolo 58 del GDPR):
- poteri di indagine, ad esempio: revisione sulla protezione dati, riesame delle certificazioni, notifica delle violazioni;
- poteri correttivi, ad esempio: ingiunzione di avvertimenti e/o ammonimenti in caso di possibile violazione o violazione effettiva dei dati personali (data breach), ingiunzione di adeguamento al GDPR, ingiunzione di segnalazione di violazioni all’interessato, imposizioni di limitazioni provvisorie o definitive al trattamento, revoca delle certificazioni, imposizione di sanzioni;
- poteri autorizzativi e consultivi, ad esempio: consulenza ai Governi, rilascio delle certificazioni.
Parlando di un’importante autorità amministrativa indipendente è fondamentale citare le funzioni del Garante della Privacy. Quali sono?
Inquadramento teorico: Il Garante della privacy e le sue funzioni
Prima di analizzare le funzioni del Garante della Privacy, è necessario fare un brevissimo inquadramento della normativa vigente. Il Regolamento europeo 2016/679 sulla protezione dei dati, noto anche come GDPR, dispone che ogni Stato membro debba prevedere “che una o più autorità pubbliche indipendenti siano incaricate di sorvegliare l’applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali[1] all’interno dell’Unione”.
In Italia, tale autorità esiste dal 2003 nella figura del Garante, i cui compiti e poteri sono definiti agli articoli 154 a 154ter del Codice della Privacy.
Il GDPR è un atto normativo che ha segnato una svolta epocale in materia di protezione dati, in favore di una disciplina più agevole ed innovativa, capace di rispondere alle esigenze derivate dallo sviluppo esponenziale delle nuove tecnologie. Si apre quindi la strada al principio di accountability, ovvero responsabilizzazione dei titolari e responsabili del trattamento, chiamati a porre in essere “comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento”.
Andiamo ora ad analizzare quelle che sono le principali funzioni del Garante della privacy.
Informazione e sensibilizzazione in tema di privacy sono fondamentali
Il GDPR prevede tra le funzioni del Garante la promozione della consapevolezza, sia del pubblico che dei titolari e responsabili del trattamento, favorendo così la comprensione dei rischi, delle norme, delle garanzie e dei diritti in relazione al trattamento dei dati.
L’informazione al pubblico viene considerata da parte del legislatore europeo come la chiave di volta per sensibilizzare tutti i soggetti, pubblici e privati, tenuti all’applicazione del Regolamento, all’adozione di tutte quelle buone prassi che permettono la riduzione del rischio di trattamento non corretto dei dati trattati. Questa funzione viene assolta al Garante mediante diversi strumenti, siano essi cicli di incontri per sensibilizzare al meglio lo sviluppo e la diffusione della cultura e della materia di protezione dati, ma anche mediante un ampio ricorso a linee guida operative e infografiche esplicative, come quella in materia phishing.
È bene tenere presente che le funzioni del Garante non si riducono solo alla protezione dei dati, poiché si occupa anche della salvaguardia delle stesse attività di business degli operatori economici in ottica pro-concorrenziale, restando ferma la tutela dei diritti degli interessati.
Il ruolo consultivo del Garante
Tra le funzioni del Garante indicate dall’articolo 57 del GDPR rientra quello di dare pareri su proposte di atti normativi. Il Garante, infatti, deve fornire “consulenza, a norma del diritto degli Stati membri, al parlamento nazionale, al governo e ad altri organismi e istituzioni in merito alle misure legislative e amministrative relative alla protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento”.
Ed inoltre, i titolari del trattamento, “qualora la valutazione d’impatto sulla protezione dei dati a norma dell’articolo 35 del GDPR, indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio”, devono consultare l’autorità di controllo prima di procedere al trattamento. Il fine di questo parere preventivo è “di rendere più vicino possibile allo zero il rischio di procurare danni alle libertà e ai diritti o all’Interessato”. Così, il ruolo di consulenza preventiva del Garante è perfettamente in linea con quanto evidenziato pocanzi, vale a dire l’implementazione di un clima di collaborazione tra Garante e aziende mirato ad evitare violazioni dei dati e garantirne la protezione.
La funzione del Garante in materia di reclami
Infine, tra le altre funzioni del Garante rientra quella di controllare l’applicazione delle regole e quindi trattare i reclami. A questo ruolo di trattamento dei reclami vengono spesso associate le sanzioni, intese piuttosto come procedure che possono fornire un’interpretazione delle regole e quindi fornire un aiuto ad aziende ed enti pubblici che si trovano a ridefinire i processi interni alla luce della normativa comunitaria.
Così, la procedura di reclamo non è affatto un mero strumento finalizzato unicamente a irrogare sanzioni ma permette anche di interpretare e di conseguenza rendere più leggibili le regole in vigore per tutti gli intervenenti al processo di trattamento dei dati.
Per comprendere meglio quest’ultima funzione del Garante, è possibile fare riferimento alla procedura di data breach. Quest’ultima richiede che in caso di violazione dei dati, il titolare del trattamento debba notificarne gli estremi al Garante entro 72 ore dal momento in cui ne viene a conoscenza. Dopodiché l’Autorità potrà decidere come intervenire, ad esempio prescrivendo l’adozione di misure che siano in grado di garantire una maggior protezione e tutela dei diritti degli interessati e, solo nei casi più gravi, ove ne ricorrano i presupposti, infliggere sanzioni pecuniarie.
La funzione del Garante della Privacy in materia di reclami: il caso
In un recente caso[2], che ha visto la violazione di milioni di credenziali di account di posta elettronica per via di un accesso fraudolento a un hot spot della rete Wifi, il titolare del trattamento dopo aver informato il Garante aveva informato gli interessati della violazione descrivendola come una “attività anomala sui sistemi” suggerendo semplicemente il cambio della password come unica azione correttiva. In tal caso il Garante, ravvisando l’inadeguatezza della predetta comunicazione inidonea ai sensi dell’articolo 34 del GDPR, ha ingiunto al titolare di “effettuare una nuova comunicazione della violazione dei dati personali agli interessati contenente una descrizione della natura della violazione e delle possibili conseguenze della stessa, nonché indicazioni specifiche sulle misure che gli interessati possono adottare per proteggersi da eventuali conseguenze negative della violazione, quale la raccomandazione di non utilizzare più le credenziali compromesse, modificando la password utilizzata per l’accesso a qualsiasi altro servizio online qualora coincidente o simile a quella oggetto di violazione”.
Questo dimostra che la figura del Garante è volta ad accompagnare e informare i titolari del trattamento sulle modalità più idonee ad adottare misure concrete per la difesa dei diritti e delle libertà degli interessati e non semplicemente infliggere sanzioni.