Il procedimento istruttorio ex provvedimento 1/2019 del Garante Privacy, per il Gdpr, dovrebbe occupare ora un posto privilegiato nei pensieri delle aziende.
Sì, perché ora che è scaduto il cosiddetto “periodo di grazia”, durato otto mesi dall’entrata in vigore del D.Lgs. 101/2018, occorre ricordare che l’applicazione delle sanzioni previste dall’art. 166 del Codice Privacy e dall’art. 83 del GDPR non è, comunque, un atto automatico.
Tra la contestazione (su istanza di parte – reclamo o segnalazione – o d’ufficio) della violazione della normativa rilevante, da un lato, e l’effettiva irrogazione della sanzione, dall’altro, c’è appunto il procedimento istruttorio.
Il Regolamento 1/2019 per il procedimento istruttorio verso sanzioni Gdpr
La definizione delle modalità di svolgimento di tale procedimento è demandata a un regolamento interno adottato dal Garante. Non è certamente un caso che, con la Deliberazione del 4 aprile 2019 pubblicata sulla Gazzetta Ufficiale n. 106 dell’8 maggio 2019, sia stato adottato il Regolamento 1/2019 concernente le procedure interne aventi rilevanza esterna finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, che abroga i Regolamenti 1/2007 e 2/2006.
L’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, anche per la gestione delle procedure sanzionatorie, resta normato dal Regolamento 1/2000 come modificato, da ultimo, con la Delibera del 1° febbraio 2018, mentre per l’accesso ai documenti amministrativi deve farsi riferimento al Regolamento del Garante 1/2006.
Il Regolamento 1/2019 si applica, in particolare, ai procedimenti
- di trattazione di reclami proposti ai sensi dell’art. 142 del Codice Privacy,
- di esame di segnalazioni
- di svolgimento di controlli e ispezioni ai sensi degli artt. 157 e 158 del Codice Privacy. Le sue disposizioni, riassunte a seguire, integrano quanto già previsto dal GDPR e dal Codice Privacy.
Principi generali del procedimento istruttorio
Qualsiasi procedura avanti il Garante è improntata ad alcuni principi generali:
- piena conoscenza degli atti istruttori, contraddittorio, verbalizzazione, nonché distinzione tra funzioni istruttorie e funzioni decisorie rispetto all’irrogazione delle sanzioni;
- trasparenza, ragionevolezza, proporzionalità e non discriminazione, semplicità delle forme osservate, celerità ed economicità, anche in riferimento al contraddittorio;
- buona amministrazione, adeguatezza, imparzialità e leale collaborazione (e, sotto quest’ultimo aspetto, viene precisato che la trasmissione di documentazione inutilmente sovrabbondante, inconferente o ingiustificatamente dilatoria può costituire elemento di valutazione negativa del grado di cooperazione con il Garante).
Nelle comunicazioni con le parti coinvolte viene privilegiato l’utilizzo di tecniche informatiche e della telematica, facendo prevalente ricorso alla posta elettronica certificata e al deposito di documentazione su supporto informatico con, del caso, attestazione di conformità all’originale.
L’assistenza di un procuratore non è obbligatoria. Le parti possono partecipare direttamente e, nel caso di persone giuridiche, in persona del proprio legale rappresentante o di altro soggetto munito dei necessari poteri; le persone fisiche possono delegare anche a un ente del terzo settore soggetto alla disciplina del D.Lgs. 117/2017 ed attivo nel settore della tutela dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali.
Reclami delle aziende
Il reclamo è un atto di parte e viene definito in ragione del suo contenuto, che deve corrispondere a quello di cui all’art. 142 del Codice Privacy e, quindi,
- indicare i fatti e le circostanze su cui si fonda, le disposizioni ritenute violate, le misure richieste, gli estremi identificativi del titolare o del responsabile del trattamento, se conosciuto, e i recapiti per la ricezione delle comunicazioni,
- allegare la documentazione a supporto e, nel caso in cui non sia sottoscritto dall’interessato, l’eventuale mandato conferito. Nel caso di reclami irregolari o incompleti viene assegnato all’interessato il termine massimo di 15 giorni per procedere alla relativa regolarizzazione; in mancanza, il reclamo viene archiviato o, al più, trattato come segnalazione.
Entro 3 mesi dalla ricezione del reclamo o dalla sua regolarizzazione viene aperta l’istruttoria preliminare, dandone notizia all’istante. In tale fase può essere disposta l’acquisizione di precisazioni e informazioni su fatti e circostanze oggetto del reclamo, mediante richiesta di informazioni o di esibizione di documenti, e il titolare o il responsabile possono essere invitati ad eseguire spontaneamente le misure richieste dall’istante con il reclamo e a comunicare la propria eventuale adesione entro il termine assegnato.
L’istruttoria preliminare può concludersi con l’archiviazione del reclamo o con l’avvio del procedimento.
Il reclamo può essere archiviato se il suo oggetto non risulta riconducibile alla materia della tutela dei dati personali, se non risulta violata la disciplina rilevante, se la richiesta risulta manifestamente infondata o eccessiva, o se la questione è già stata esaminata dal Garante. Dell’eventuale archiviazione e della relativa motivazione viene data succinta comunicazione all’stante.
Nel caso in cui venga, invece, avviato il procedimento, ne viene data comunicazione al titolare o al responsabile del trattamento, ma solo se ciò non risulta incompatibile con la natura e la finalità del provvedimento da adottare. L’eventuale comunicazione comprende: i fatti e le presunte violazioni della normativa in materia di tutela dei dati personali; l’unità organizzativa presso la quale può essere presa visione ed estratta copia degli atti istruttori; e l’indicazione che, entro 30 giorni dal ricevimento della comunicazione, è possibile inviare al Garante scritti difensivi o documenti e chiedere di essere sentiti dalla medesima Autorità.
Laddove ravvisi la necessità di prorogare il riferito termine di 30 giorni, il titolare o il responsabile può depositare una specifica istanza debitamente motivata. La proroga, di norma non superiore a 15 giorni, viene concessa secondo criteri di proporzionalità anche in relazione alle caratteristiche operativo/dimensionali dei richiedenti e alla complessità della vicenda in esame.
La decisione del reclamo può consistere in un provvedimento di archiviazione, oppure di irrogazione di provvedimenti correttivi e sanzionatori e, in quest’ultimo caso, può essere adottata un’ordinanza ingiunzione. Il provvedimento viene in ogni caso notificato alle parti.
Qualora il reclamo abbia ad oggetto esclusivamente la violazione degli artt. 15-22 del GDPR, il procedimento istruttorio ha alcune peculiarità:
- al reclamo deve essere allegata copia della richiesta rivolta al titolare del trattamento e dell’eventuale riscontro ricevuto;
- se l’interessato ha già esercitato i propri diritti in materia di trattamento dei dati personali senza ottenere riscontro entro il termine di 1 mese (o 3 mesi, in caso di proroga) di cui all’art. 12 del GDPR, il reclamo viene comunicato al titolare entro 45 giorni dalla sua ricezione, con invito ad esercitare nei successivi 20 giorni la facoltà di comunicare all’istante e al Garante l’eventuale adesione spontanea;
- se l’interessato non ha ancora esercitato i propri diritti e non sussistono specifiche e fondate ragioni a giustificazione, viene invitato a rivolgersi al titolare del trattamento entro 45 giorni dalla data della ricezione del reclamo.
Al titolare o al responsabile viene in ogni caso comunicato l’avvio del procedimento istruttorio per l’eventuale adozione di provvedimenti correttivi e sanzionatori, secondo l’iter generale previsto per i reclami.
Segnalazioni
La segnalazione è qualsiasi richiesta diretta a sollecitare un controllo del Garante sul rispetto della normativa in materia di tutela dei dati personali e che non ha le caratteristiche del reclamo (cioè, non contiene gli elementi di cui all’art. 142 del Codice Privacy).
Come il reclamo, anche la segnalazione non sfocia necessariamente in un controllo o in un provvedimento del Garante:
- qualora non provenga da un soggetto identificato, viene utilizzata per eseguire dei controlli solo in casi di particolare gravità come, da esempio, se viene ravvisato il rischio di un serio pregiudizio, o di una ritorsione, a danno di soggetti interessati;
- può essere archiviata se il suo oggetto non risulta riconducibile alla materia della tutela dei dati personali, se non risulta violata la disciplina rilevante, se la richiesta risulta manifestamente infondata o eccessiva, se la questione è già stata esaminata dal Garante, o se la richiesta è del tutto generica (ossia si limita a imputare a un soggetto fatti non circostanziati o non consente l’individuazione del titolare del trattamento).
Nel caso in cui la segnalazione non venga archiviata, il relativo esame segue la procedura dettata per i reclami.
L’archiviazione non preclude al Garante di procedere comunque a un controllo in caso di sopravvenuti elementi di fatto o di diritto, ovvero di diversa ed ulteriore valutazione.
Controlli e ispezioni del Garante Privacy
L’Autorità può avviare d’ufficio un’istruttoria preliminare per verificare possibili violazioni della disciplina rilevante, seguendo una procedura analoga a quella dei reclami, anche nel contesto dell’attività di revisione sulla protezione dei dati personali (ai sensi dell’art. 58, comma I, lettera b) del GDPR) avviata a seguito della convocazione del titolare o del responsabile presso l’unità organizzativa competente dell’Autorità.
Le attività ispettive possono essere delegate alla Guardia di Finanza o svolte avvalendosi della collaborazione di altri organi dello Stato. Il relativo ordine di servizio individua il titolare o il responsabile destinatario del controllo (ai quali può, ma non deve, essere dato preavviso), i poteri di indagine utilizzati, l’ambito del controllo, il luogo ove si svolge l’accertamento, il responsabile delle attività e gli ulteriori partecipanti, nonché le sanzioni previste nel caso di mancata collaborazione.
Nel corso dell’attività ispettiva è possibile, in particolare: controllare, estrarre ed acquisire copia dei documenti, anche in formato elettronico; richiedere informazioni e spiegazioni; accedere alle banche dati ed agli archivi; acquisire copia delle banche dati e degli archivi su supporto informatico.
Il destinatario del controllo può farsi assistere da consulenti di propria fiducia e fare riserva di produrre la documentazione non immediatamente reperibile entro un termine congruo, di regola non superiore a 30 giorni (prorogabile solo in casi eccezionali).
Copia del verbale redatto all’esito dell’attività ispettiva viene consegnata al destinatario del controllo.
Pubblicazione dei provvedimenti
I provvedimenti del Garante sono tempestivamente pubblicati sul sito internet dell’Autorità. Se recano dati personali delle parti o di terzi, restano reperibili attraverso i motori di ricerca per 2 anni dalla loro adozione.
L’Autorità garantisce in ogni caso l’adozione di opportune misure per salvaguardare la sicurezza, la difesa nazionale e le relazioni internazionali, la politica monetaria e valutaria, l’ordine pubblico e la prevenzione e repressione dei reati, la protezione dei dati personali e la proprietà intellettuale, il diritto d’autore e i segreti commerciali. È espressamente previsto che non formino oggetto di pubblicazione i nominativi degli istanti e delle persone fisiche che li rappresentano.
Durata dei procedimenti
Per quanto riguarda la durata dei procedimenti istruttori, la stessa è fissata dal Regolamento 2/2019 concernente l’individuazione dei termini e delle unità organizzative responsabili dei procedimenti amministrativi presso il Garante per la protezione dei dati personali, adottato con Deliberazione del 4 aprile 2019 e pubblicato sulla Gazzetta Ufficiale n. 107 del 9 maggio 2019, che abroga il Regolamento 2/2007.
Il Regolamento 2/2019 riassume i termini per la conclusione di procedimenti o fasi procedimentali in due tabelle: la tabella A indica i termini previsti per legge, mentre la tabella B fissa i termini non altrimenti previsti dalla legge.
I termini ivi indicati:
- nel caso di procedimenti relativi a segnalazioni o avviati d’ufficio, decorrono dalla data di avvio del procedimento ai sensi del Regolamento 1/2019;
- in tutti gli altri casi, decorrono dalla data di ricezione della richiesta, domanda, comunicazione o istanza, comunque denominata, o dalla relativa data di regolarizzazione;
- sono sospesi nel periodo dal 1° al 31 agosto di ogni anno (salvi i casi di urgenza), nonché per il periodo necessario allo svolgimento di attività ispettive, alla presentazione di scritti difensivi e fino al giorno dell’audizione eventualmente richiesta ai sensi del Regolamento 1/2019, e per provvedere sulla richiesta di informazioni, integrazioni, precisazioni o esibizione di documenti eventualmente avanzata dal Garante.
Nel caso in cui non sia previsto alcun termine, il procedimento deve concludersi entro 90 giorni dalla ricezione della relativa istanza.