Parlando di un’importante autorità amministrativa indipendente è fondamentale citare le funzioni del Garante della Privacy. Quali sono?

 

Inquadramento teorico: Il Garante della privacy e le sue funzioni

Prima di analizzare le funzioni del Garante della Privacy, è necessario fare un brevissimo inquadramento della normativa vigente. Il Regolamento europeo 2016/679 sulla protezione dei dati, noto anche come GDPR, dispone che ogni Stato membro debba prevedere “che una o più autorità pubbliche indipendenti siano incaricate di sorvegliare l’applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali[1] all’interno dell’Unione”.

In Italia, tale autorità esiste dal 2003 nella figura del Garante, i cui compiti e poteri sono definiti agli articoli 154 a 154ter del Codice della Privacy.

Il GDPR è un atto normativo che ha segnato una svolta epocale in materia di protezione dati, in favore di una disciplina più agevole ed innovativa, capace di rispondere alle esigenze derivate dallo sviluppo esponenziale delle nuove tecnologie. Si apre quindi la strada al principio di accountability, ovvero responsabilizzazione dei titolari e responsabili del trattamento, chiamati a porre in essere “comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento”.

Andiamo ora ad analizzare quelle che sono le principali funzioni del Garante della privacy.

 

Informazione e sensibilizzazione in tema di privacy sono fondamentali

Il GDPR prevede tra le funzioni del Garante la promozione della consapevolezza, sia del pubblico che dei titolari e responsabili del trattamento, favorendo così la comprensione dei rischi, delle norme, delle garanzie e dei diritti in relazione al trattamento dei dati.

L’informazione al pubblico viene considerata da parte del legislatore europeo come la chiave di volta per sensibilizzare tutti i soggetti, pubblici e privati, tenuti all’applicazione del Regolamento, all’adozione di tutte quelle buone prassi che permettono la riduzione del rischio di trattamento non corretto dei dati trattati. Questa funzione viene assolta al Garante mediante diversi strumenti, siano essi cicli di incontri per sensibilizzare al meglio lo sviluppo e la diffusione della cultura e della materia di protezione dati, ma anche mediante un ampio ricorso a linee guida operative e infografiche esplicative, come quella in materia phishing.

È bene tenere presente che le funzioni del Garante non si riducono solo alla protezione dei dati, poiché si occupa anche della salvaguardia delle stesse attività di business degli operatori economici in ottica pro-concorrenziale, restando ferma la tutela dei diritti degli interessati.

 

Il ruolo consultivo del Garante

Tra le funzioni del Garante indicate dall’articolo 57 del GDPR rientra quello di dare pareri su proposte di atti normativi. Il Garante, infatti, deve fornire “consulenza, a norma del diritto degli Stati membri, al parlamento nazionale, al governo e ad altri organismi e istituzioni in merito alle misure legislative e amministrative relative alla protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento”.

Ed inoltre, i titolari del trattamento, “qualora la valutazione d’impatto sulla protezione dei dati a norma dell’articolo 35 del GDPR, indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio, devono consultare l’autorità di controllo prima di procedere al trattamento. Il fine di questo parere preventivo è “di rendere più vicino possibile allo zero il rischio di procurare danni alle libertà e ai diritti o all’Interessato”. Così, il ruolo di consulenza preventiva del Garante è perfettamente in linea con quanto evidenziato pocanzi, vale a dire l’implementazione di un clima di collaborazione tra Garante e aziende mirato ad evitare violazioni dei dati e garantirne la protezione.

 

La funzione del Garante in materia di reclami

Infine, tra le altre funzioni del Garante rientra quella di controllare l’applicazione delle regole e quindi trattare i reclami. A questo ruolo di trattamento dei reclami vengono spesso associate le sanzioni, intese piuttosto come procedure che possono fornire un’interpretazione delle regole e quindi fornire un aiuto ad aziende ed enti pubblici che si trovano a ridefinire i processi interni alla luce della normativa comunitaria.

Così, la procedura di reclamo non è affatto un mero strumento finalizzato unicamente a irrogare sanzioni ma permette anche di interpretare e di conseguenza rendere più leggibili le regole in vigore per tutti gli intervenenti al processo di trattamento dei dati.

Per comprendere meglio quest’ultima funzione del Garante, è possibile fare riferimento alla procedura di data breach. Quest’ultima richiede che in caso di violazione dei dati, il titolare del trattamento debba notificarne gli estremi al Garante entro 72 ore dal momento in cui ne viene a conoscenza. Dopodiché l’Autorità potrà decidere come intervenire, ad esempio prescrivendo l’adozione di misure che siano in grado di garantire una maggior protezione e tutela dei diritti degli interessati e, solo nei casi più gravi, ove ne ricorrano i presupposti, infliggere sanzioni pecuniarie.

 

La funzione del Garante della Privacy in materia di reclami: il caso

In un recente caso[2], che ha visto la violazione di milioni di credenziali di account di posta elettronica per via di un accesso fraudolento a un hot spot della rete Wifi, il titolare del trattamento dopo aver informato il Garante aveva informato gli interessati della violazione descrivendola come una “attività anomala sui sistemi” suggerendo semplicemente il cambio della password come unica azione correttiva. In tal caso il Garante, ravvisando l’inadeguatezza della predetta comunicazione inidonea ai sensi dell’articolo 34 del GDPR, ha ingiunto al titolare di “effettuare una nuova comunicazione della violazione dei dati personali agli interessati contenente una descrizione della natura della violazione e  delle possibili conseguenze della stessa, nonché indicazioni specifiche sulle misure che gli interessati possono adottare per proteggersi da eventuali conseguenze negative della violazione, quale la raccomandazione di non utilizzare più le credenziali compromesse, modificando la password utilizzata per l’accesso a qualsiasi altro servizio online qualora coincidente o simile a quella oggetto di violazione”.

Questo dimostra che la figura del Garante è volta ad accompagnare e informare i titolari del trattamento sulle modalità più idonee ad adottare misure concrete per la difesa dei diritti e delle libertà degli interessati e non semplicemente infliggere sanzioni.

Informazioni

M. FIORDALISI, “Garante Privacy, si vota il 19 luglio. Testa a testa Scorza-Pollicino”, Corriere comunicazioni.

M. FIORDALISI, “Garante Privacy e Agcom, tutto tace. Partita rimandata a settembre?”, Corriere comunicazioni.

E. CARLONI, M. FALCONE “L’equilibrio necessario: principi e modelli di bilanciamento tra trasparenza e privacy”, Diritto pubblico, n. 3, 2017

[1] Per approfondimenti sul tema è consigliata la lettura dell’articolo di R. Giuliani: https://www.dirittoconsenso.it/2018/01/07/la-privacy-e-il-trattamento-dei-dati-personali/

[2] Garante per la protezione dei dati personali, Provvedimento su data breach, 30 aprile 2019. Link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9116509