Protezione dati – Attività sanzionatoria del Garante - Regolamento n. 1/2019

Il decreto legislativo n. 101 del 2018 , nello stabilire i criteri di adeguamento della normativa italiana (decreto legislativo n. 196 del 2003 “Codice della privacy”) con le prescrizioni del regolamento europeo in materia di protezione dei dati personali (Regolamento UE n. 196 del 2016 “GDPR”) ha attribuito al Garante della protezione dei dati i poteri di controllo, di diffida e di adozione delle sanzioni amministrative, esercitabili attraverso procedimenti da definire con specifico regolamento (articolo 166, comma 9, Codice privacy).

In attuazione di tale disposto, è stato emanato il Regolamento n. 1/2019 che disciplina il procedimento con il quale il Garante adotta i provvedimenti correttivi di cui all'articolo 58, paragrafo 2, del GDPR (avvertimenti, ammonimenti, ingiunzioni, eccetera), ed irroga le sanzioni di cui all'articolo 83 del medesimo Regolamento UE, nel rispetto dei princìpi della piena conoscenza degli atti istruttori, del contraddittorio, della verbalizzazione nonché della distinzione tra funzioni istruttorie e funzioni decisorie rispetto all’irrogazione delle sanzioni.

Nell’esercizio dei compiti e poteri in materia di controllo sulla liceità e correttezza dei trattamenti, l’azione del Garante è ispirata a princìpi di trasparenza, ragionevolezza, proporzionalità e non discriminazione. A tal fine, il regolamento prescrive al Garante di tenere conto anche della natura e della gravità degli illeciti da accertare in rapporto ai relativi effetti e all’entità del pregiudizio che essi possono comportare per uno o più interessati, della probabilità di comprovarne la sussistenza, nonché delle risorse disponibili.

Nei casi in cui la condotta è particolarmente risalente nel tempo o ha esaurito i suoi effetti oppure tali effetti sono stati rimossi o sono state fornite idonee assicurazioni da parte del titolare del trattamento, l’Autorità Garante può limitarsi ad ammonire il titolare o il responsabile del trattamento, così come previsto dall’articolo 58, paragrafo 2 lettera b), del GDPR.

Nell’esercizio dei compiti di controllo e anche in assenza di reclamo, segnalazione o notificazione di violazione dei dati personali, l’Autorità Garante può avviare d’ufficio un’istruttoria preliminare per verificare la sussistenza di idonei elementi in ordine a possibili violazioni della disciplina rilevante in materia di protezione dei dati personali.

Nel caso in cui, a seguito dell’istruttoria preliminare, si ritenga di non archiviare il caso, l’Autorità Garante avvia, con propria comunicazione al titolare o al responsabile del trattamento, il procedimento per l’adozione dei provvedimenti correttivi o sanzionatori, di cui agli articoli 58, paragrafo 2, e 83 del GDPR. La comunicazione contiene anche l’indicazione che entro trenta giorni dal suo ricevimento il titolare o il responsabile possono inviare al Garante scritti difensivi o documenti e chiedere di essere sentiti dalla medesima Autorità. La mancata presentazione di controdeduzioni scritte o della richiesta di audizione non pregiudica il seguito del procedimento.

Valutata la documentazione in atti, qualora elementi sopravvenuti nel corso del procedimento evidenzino l’infondatezza o l’insussistenza dei presupposti per adottare un provvedimento, il Garante procede alla sua archiviazione. In caso contrario, vengono emanati i provvedimenti correttivi e/o sanzionatori.

Il regolamento, inoltre, disciplina i procedimenti di adozione delle regole deontologiche e dei codici di condotta, nonché la procedura che deve essere seguita per ogni altro atto di competenza del Garante.

Con l’approvazione del regolamento in oggetto, e con lo scadere del termine del 19 maggio 2019 previsto come fase di prima applicazione della nuova normativa in materia di protezione dei dati, diventano concretamente applicabili le gravi sanzioni previste dall’articolo 83 del Regolamento europeo, che dovranno comunque essere “in ogni singolo caso effettive, proporzionate e dissuasive”.

Secondo il piano ispettivo per il primo semestre 2019, approvato nelle scorse settimane, il Garante per la protezione dei dati personali nei prossimi mesi punterà la sua lente sugli istituti di credito, la sanità, il sistema statistico nazionale (Sistan), lo Spid, il telemarketing, le carte di fedeltà, le grandi banche dati pubbliche.

L'attività ispettiva, svolta anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza, riguarderà innanzitutto i trattamenti di dati effettuati dalle banche, con particolare riferimento ai flussi legati all’anagrafe dei conti; i trattamenti di dati effettuati dalle Asl e poi trasferiti a terzi per il loro utilizzo a fini di ricerca; la gestione delle carte di fidelizzazione da parte delle aziende; il rilascio dell´identità digitale ai cittadini italiani (Spid); il Sistema Integrato di Microdati (Sim) dell´Istat. I controlli si concentreranno anche sull’adozione delle misure di sicurezza da parte di pubbliche amministrazioni e di imprese che trattano dati sensibili, il rispetto delle norme sull’informativa e il consenso, la durata della conservazione dei dati da parte di soggetti pubblici e privati. L'attività ispettiva verrà svolta anche in riferimento a segnalazioni e reclami con particolare attenzione alle violazioni più gravi.

Distinti saluti.

                                                                                         Il Direttore Generale

                                                                              (Dr. Alessandro Massimo Nucara)