Il garante per la protezione dei dati personali: Autorità di controllo
Il Garante per la Protezione dei Dati Personali (GPDP, o Garante della privacy) è un’autorità amministrativa indipendente che svolge la funzione di autorità di controllo per l’Italia. Il suo scopo è la vigilanza sul rispetto della normativa della privacy a tutela di ciascun soggetto interessato.
La sua competenza si estende alla gestione dei reclami in materia di privacy, al controllo sulle violazioni del regolamento europeo e delle leggi nazionali per la protezione dei dati, alla sospensione di attività non conformi alle norme sulla privacy e alla promozione di codici di buona condotta.
Chi è il Garante per la Protezione dei Dati Personali
Il Garante è un organismo collegiale, composto da quattro membri eletti dal Parlamento con mandato settennale non rinnovabile, ai sensi dell´art. 153, comma 2 del Codice della privacy. I membri vengono scelti in ragione della loro esperienza, della loro competenza nei campi dell’informatica e del diritto, e della loro possibilità di assicurare indipendenza e imparzialità.
Il Presidente è attualmente Antonello Soro, coadiuvato dalla Vicepresidente Augusta Iannini, da Giovanna Bianchi Clerici e da Licia Califano; tutti i membri presenti si sono insediati nel 2012.
Al di sotto del collegio, l’ufficio del Garante è articolato in diversi dipartimenti, che si occupano di questioni relative al trattamento dei dati personali nei seguenti ambiti:
- realtà economiche e produttive (ossia aziende private);
- realtà pubbliche (inclusi i settori dell’istruzione, degli ordini professionali e della pubblica amministrazione);
- sanità e ricerca;
- reti telematiche e strumenti di marketing;
- libertà di manifestazione del pensiero e cyberbullismo (con riferimento anche al mondo dell’informazione e al discusso diritto all’oblio).
Il mandato dell’attuale Collegio è scaduto a giugno 2019, prorogato con il decreto legge 7 agosto 2019, n. 75, fino a nuova elezione.
Riferimenti legislativi
L’istituzione del Garante si deve alla legge sulla privacy del 31 dicembre 1996 (675/1996), promulgata in attuazione della Direttiva comunitaria 95/46/CE. Già nella suddetta legge, lo scopo dell’organismo era la tutela dei diritti nell’ambito del trattamento dei dati personali da parte di enti pubblici o aziende private.
In seguito, il decreto legislativo 196/2003 (Codice in materia della protezione dei dati personali o Codice della privacy) ha abrogato e sostituito la legge 675/1996, ma la figura del Garante è stata mantenuta intatta nelle sue funzioni e nei suoi compiti.
Oltre al Codice della privacy, anche il GDPR (regolamento generale della protezione dei dati, ufficialmente Regolamento UE n. 2016/679) disciplina il ruolo e l’attività del Garante della privacy. Le disposizioni del GPDR sono state recepite in Italia tramite il D. Lgs. 101/2018.
Secondo i termini del GDPR, il Garante per la privacy svolge la funzione di autorità di controllo nazionale per l’Italia, al pari delle autorità omologhe degli altri Paesi. Assieme ad esse, il Garante costituisce il Comitato Europeo per la Protezione dei Dati o EDPB (European Data Protection Board), istituito dal GDPR stesso.
L’EDPB, formato da una commissione dei presidenti delle autorità di controllo nazionali, ha soprattutto il compito di garantire l’uniformità di approccio e d’interpretazione della normativa a livello europeo, nonché di fornire assistenza e redigere apposite linee guida d’indirizzo sia per il pubblico che per il privato, specie in considerazione del rapido sviluppo delle nuove tecnologie e delle telecomunicazioni.
Il Regolamento europeo ha inoltre modificato la modalità di applicazione delle attività del Garante. In sostituzione del suo intervento di valutazione preventivo, ora è innanzitutto il titolare del trattamento dei dati a dover tenere un registro dei trattamenti e delle valutazioni di impatto. Il Garante agisce anticipatamente, tramite informazioni, consulenza e consenso, solo nel caso in cui il titolare preveda un rischio elevato nel trattamento dei dati e nella profilazione.
Compiti del Garante
Le normative italiane ed europee in vigore impongono al Garante dei compiti e degli obblighi specifici. In particolare, il Garante ha il dovere di:
- controllare la conformità dei vari trattamenti dei dati personali, da parte di enti pubblici o privati, al Regolamento europeo e alla condizione legale nazionale;
- indicare al responsabile del trattamento (RPD) nel caso specifico, se necessario, quali misure deve adottare, e quali comportamenti esercitare, al fine di preservare i diritti dei soggetti interessati e le libertà degli individui;
- promuovere principi di trasparenza e codici etici, di deontologia professionale e di buona condotta, generali o propri di categorie e settori specifici, in merito al conferimento, alla conservazione e al trattamento dei dati;
- esaminare i reclami, sporti da una singola persona come da gruppi pubblici o privati, nell’ambito della protezione dei dati (al Garante ciascuno può proporre un reclamo circostanziato, delle segnalazioni per sollecitare un controllo o un ricorso per instaurare una controversia);
- in caso di violazione delle disposizioni, della procedura o dei criteri previsti, prescrivere ai titolari o ai responsabili del trattamento eventuali ammonimenti, obbligandoli a conformarsi alle normative vigenti;
- nelle situazioni più gravi, tenere un registro delle violazioni e imporre una limitazione del trattamento provvisoria, limitatamente all’accesso ai dati trattati, oppure un divieto definitivo del trasferimento dei dati stessi, la loro rettifica o cancellazione, nonché possibili sanzioni pecuniarie, amministrative o anche penali, in ottemperanza ai provvedimenti previsti dagli articoli di legge italiani ed europei e col supporto di un’azione giuridica;
- collaborare con le altre autorità di controllo perché l’applicazione del GDPR e di ogni altra direttiva connessa risulti coerente su tutto il territorio europeo, prestando reciproca assistenza e partecipando alle attività europee e internazionali in tema di protezione dei dati;
- contribuire alle attività del Parlamento e di altri organismi istituzionali, su richiesta del legislatore o di propria iniziativa, segnalando l’esigenza di normare specifici aspetti e note legali sulla protezione dei dati personali, tenendo una relazione annuale rivolta al Parlamento e al Governo sull’attività svolta e sull’attuazione delle norme sulla privacy, formulando giudizi, comunicati, documenti e valutazioni su proposte legislative e amministrative e discutendo delle stesse con audizioni presso le sedi parlamentari;
- infine, al livello dei rapporti col cittadino, promuovere iniziative con finalità informativa e di sensibilizzazione atte ad accrescere la consapevolezza dei singoli e di chi ha un ruolo nel trattamento dei dati riguardo ai temi della privacy e della sicurezza (rivolgendo un’attenzione particolare al tema della tutela dei minori), svolgendo eventualmente una consultazione pubblica allo scopo di predisporre provvedimenti di carattere generale.