Cerca
Close this search box.

SCUDOMED – News

Il nuovo procedimento per l’adozione dei provvedimenti correttivi e sanzionatori

Le parole privacy e data protection sono ormai all’ordine del giorno e, dopo l’uscita del regolamento europeo 679/2016, la materia ha acquisito nuova linfa vitale.

Attenzione però, se da un lato la “rivoluzione dell’adeguamento” ha comportato maggiori oneri in capo ai Titolari del trattamento, per soddisfare le obbligazioni di compliance aziendale, dall’altro lato e proporzionalmente il potere ispettivo del Garante è stato ampliato. 

In virtù della mole dei nuovi adempimenti, il Garante ha concesso un termine di otto mesi dalla data di entrata in vigore del D. Lgs. 101/2018 per l’adeguamento; in questo periodo transitorio, infatti, le sanzioni sono state fortemente attenuate.

Ad oggi gli otto mesi sono decorsi e la realtà rivela che non tutte le società hanno sfruttato questo tempo per adeguarsi alle prescrizioni impartite dal GDPR.       

La risposta dell’Autorità non si è fatta attendere e il 4 aprile 2019 è stato emanato il regolamento n. 1/2019 che descrive il nuovo procedimento interno per l’adozione dei provvedimenti correttivi e/o sanzionatori e la procedura per l’approvazione delle regole deontologiche e dei codici di condotta.

In altri termini con questo regolamento l’Autorità indica quali sono i criteri e i parametri per l’irrogazione delle sanzioni e per l’adozione dei provvedimenti.

Per quanto concerne i criteri, il Garante dovrà determinare la propria azione conformemente ai princìpi di trasparenza, di proporzionalità, di ragionevolezza e non discriminazione, di buona amministrazione, di economicità, di adeguatezza e di imparzialità.

Mentre nell’applicare la sanzione l’Autorità dovrà tenere conto della natura, della gravità degli illeciti, dell’entità del pregiudizio patito dagli interessati e del numero di soggetti coinvolti.

Inoltre, il Garante fornisce chiare istruzioni a tutti gli interessati su come denunciare un mancato adeguamento da parte di qualsivoglia Titolare.

Infatti, il regolamento indica, in maniera precisa, le tipologie di atti con i quali si può denunciare una violazione subita attinente al trattamento dei propri dati personali.

Il primo atto è il reclamo che introduce un procedimento costituito al massimo in due fasi.

Attenzione, come ogni atto introduttivo vi è un vaglio sull’ammissibilità dello stesso, infatti il reclamo deve contenere necessariamente l’indicazione del Titolare o del Responsabile del trattamento, la descrizione del fatto e delle circostanze, le disposizioni che si presumono violate e le misure richieste. L’interessato sottoscrive l’atto, allega la documentazione utile e indica un recapito per l’invio delle comunicazioni.

Se il reclamo risulta essere irregolare ovvero incompleto ne viene data comunicazione all’istante che potrà procedere alla regolarizzazione nel termine di quindici giorni.

In seguito a tale vaglio di ammissibilità vi è la fase di “Istruttoria Preliminare”

che dura al massimo tre mesi e può concludersi o con archiviazione ovvero con l’avvio del procedimento per l’adozione dei provvedimenti correttivi e/o sanzionatori.

In quest’ultimo caso si apre la seconda fase che prevede la possibilità di un contraddittorio, infatti l’avvio del procedimento è comunicato al Titolare del trattamento o al Responsabile del trattamento. E’ solo in questo momento che il Titolare del trattamento saprà che è stato avviato un procedimento per presunte violazioni di privacy.

Tale comunicazione contiene una sintetica descrizione dei fatti, le violazioni contestate e le relative disposizioni sanzionatorie ed altresì avverte della facoltà di inviare scritti difensivi, documenti o essere ascoltati dall’Autorità nel termine di 30 giorni, dalla ricezione della comunicazione stessa. In buona sostanza si apre una fase connotata dal contradditorio innanzi all’Autorità.

L’iter termina con la deliberazione del Collegio e dunque con la decisione sul reclamo per l’applicazione o meno dei provvedimenti sanzionatori e/o correttivi. 

Tale atto va distinto dal reclamo avente come oggetto la violazione dei diritti di cui agli articoli da 15 a 22 del GDPR, in quanto per questa seconda tipologia di reclamo l’interessato deve prima contattare il Titolare o il Responsabile del trattamento e chiedere di adempiere spontaneamente. Nel caso di mancato ottenimento di idoneo riscontro, allora potrà adire il Garante che entro 45 giorni chiederà al Titolare di aderire; in difetto l’Autorità procederà secondo l’iter per reclamo descritto precedentemente.  

Giusto per fare un esempio e rendere più chiaro quanto precede, Tizio chiede l’accesso ex art. 15 GDPR a Facebook per verificare se esiste un qualsiasi trattamento di dati personali che lo riguarda, ma non gli viene fornita alcuna risposta; visto che Tizio si è già rivolto infruttuosamente al Titolare del trattamento può proporre reclamo all’Autorità lamentando una violazione del diritto di accesso dell’interessato. Il Garante, dunque, verificata la preventiva domanda fatta al Titolare, può procedere con l’istruttoria preventiva e con l’eventuale provvedimento correttivo e/o sanzionatorio.  

Il secondo atto che l’Autorità può compiere è l’ordinanza-ingiunzione con la quale viene disposta l’applicazione della sanzione amministrativa accessoria della pubblicazione sul sito web del Garante.

Oltre il reclamo e l’ordinanza-ingiunzione ogni persona fisica ha a disposizione anche la segnalazione ed i quesiti. La prima consiste in un atto, non avente le formalità del reclamo, volto ad un mero sollecito di controllo da parte del Garante; può essere presentato anche da una persona non identificata, quindi da un anonimo.

A differenza del reclamo, la segnalazione non comporta l’obbligo di adozione di un provvedimento espresso.

Infine, sono stati introdotti i c.d. quesiti ai quali l’unità organizzativa del Garante può fornire riscontri qualora attinenti alla protezione dei dati personali.

Il Regolamento analizzato prosegue descrivendo i poteri ispettivi e di controllo attraverso i quali il Garante può avviare un’istruttoria preliminare d’ufficio, per verificare la sussistenza di possibili violazioni legate alla protezione dei dati personali. Il documento che dispone l’attività ispettiva è l’ordine di servizio che individua il Titolare del Trattamento destinatario del controllo, i poteri di indagine utilizzati, l’ambito di controllo, il luogo ove si svolge l’accertamento e le eventuali sanzioni da comminare.

La peculiarità di tale procedura consiste nella possibilità che questa ultima attività possa essere demandata anche alla Guardia di Finanza.

L’ultimo argomento trattato, ma non per importanza, è la procedura per l’adozione delle regole deontologiche e i codici di condotta che il Garante deve promuovere e pubblicizzare. Sicuramente tale strumento rivestirà nel prossimo futuro un ruolo fondamentale poiché le norme contenute in questi testi sono ideate direttamente dagli operatori del campo, ovviamente in possesso del necessario know-how.

La procedura inizia con una deliberazione del Collegio, da pubblicare in Gazzetta Ufficiale, contenente i criteri generali che le categorie interessate devono rispettare.

Questi soggetti, sia pubblici che privati, inviano una comunicazione con le proprie proposte all’Autorità che le esamina e invita le categorie suddette a partecipare ad una prima riunione sull’analisi dello schema preliminare.

Terminata tale fase ed in caso di esito positivo, prende piede il secondo step rappresentato dalla consultazione pubblica, della durata di almeno sessanta giorni, in cui qualsiasi soggetto interessato può formulare osservazioni.

Conclusa la consultazione pubblica, viene redatto lo schema finale e viene sottoposto all’ultimo esame del Collegio che dispone la pubblicazione e la comunicazione al Ministero della Giustizia per la sua successiva allegazione al Codice Privacy. Infine, le regole deontologiche vengono pubblicate nella Gazzetta Ufficiale e sul sito web del Garante.  Discorso analogo vale per i codici di condotta.

In conclusione, si può certamente affermare che non è pensabile considerare il mondo privacy con lo stesso occhio del passato, soprattutto nelle aziende è necessario un cambio di rotta virando verso la considerazione della protezione del dato non come un costo da sopportare bensì come un’opportunità da cogliere e valorizzare anche al fine di efficientare i processi produttivi e conseguentemente proteggere diritti e libertà degli interessati assicurando, come ricordato a suo tempo dal WP29, libertà, giustizia e sicurezza. 

Condividi sui social

Scudomed
Preferenze sulla privacy
×

Questo sito utilizza i cookie per migliorare la tua esperienza. Alcuni sono essenziali per il funzionamento del sito, mentre altri ci aiutano ad analizzare e migliorare la tua esperienza di utilizzo. Esamina le tue opzioni e fai la tua scelta.

Se hai meno di 16 anni, assicurati di aver ricevuto il consenso di un genitore o tutore per tutti i cookie non essenziali.

La tua privacy è importante per noi. Puoi regolare le impostazioni dei cookie in qualsiasi momento. Per maggiori informazioni su come utilizziamo i dati, leggi la nostra politica sulla privacy. Puoi modificare le tue preferenze in qualsiasi momento facendo clic sul pulsante delle impostazioni qui sotto.

Nota che, se scegli di disabilitare alcuni tipi di cookie, questo potrebbe influire sulla tua esperienza del sito e sui servizi che possiamo offrire.

I cookie e i servizi essenziali abilitano le funzioni di base e sono necessari per il corretto funzionamento del sito web. Questi cookie e servizi non richiedono il consenso dell'utente secondo il GDPR.
Mostra dettagli
mhcookie
viewed_cookie_policy
woocommerce_cart_hash
woocommerce_items_in_cart
wordpress_logged_in_*
wp_woocommerce_session_*
wp-settings-*
wp-settings-time-*
I cookie di statistica raccolgono informazioni sull'utilizzo, consentendoci di ottenere informazioni su come i visitatori interagiscono con il nostro sito web.
Mostra dettagli
cli_user_preference
sbjs_current
sbjs_current_add
sbjs_first
sbjs_first_add
sbjs_migrations
sbjs_session
sbjs_udata
Questi cookie e servizi sono necessari per visualizzare alcuni elementi multimediali, come video incorporati, mappe, post sui social media, ecc.
Mostra dettagli
www.youtube.com
Questa categoria include tutti i cookie, i domini e i servizi che non rientrano nelle altre categorie specifiche o che non sono stati esplicitamente categorizzati.
Mostra dettagli
cookielawinfo-checkbox-*
CookieLawInfoConsent
i.ytimg.com
www.youtube-nocookie.com

Some required resources have been blocked, which can affect third-party services and may cause the site to not function properly.

Allow all required resources Allow all cookies and services
Impostazioni sulla privacy

Questo sito utilizza i cookie per migliorare la tua esperienza di navigazione e garantire il corretto funzionamento del sito. Continuando a utilizzare questo sito, riconosci e accetti l'uso dei cookie.

Accetta tutto Accetta solo i necessari Dettagli