CON IL GDPR LE AUTORITÀ DI CONTROLLO AVRANNO IL COMPITO DI SORVEGLIARE E GUIDARE LE AZIENDE NELL’APPLICAZIONE DEL REGOLAMENTO E ADEGUATI POTERI PER FARLO

Tra poco più di 2 settimane il GDPR (General Data Protection Regulation) sarà una realtà concreta per tutte le organizzazioni pubbliche e private in Europa e in Italia. Dal 25 maggio 2018 le nuove regole in tema di privacy e trattamento dei dati personali andranno obbligatoriamente applicate.

Non perderti i prossimi articoli, iscriviti alla newsletter!

In base all’articolo 58 del Regolamento, a vigilare sull’applicazione dei principi e delle norme del GDPR nei vari Paesi europei saranno le rispettive Autorità di Controllo nazionali, un ruolo che in Italia sarà assunto dall’Autorità Garante per la protezione dei dati personali.

Con l’entrata in vigore del GDPR il Garante Privacy avrà nuovi compiti e disporrà di una serie di nuovi poteri di indagine, di intervento, autorizzativi e consultivi. Vediamoli più in dettaglio.

LE AUTORITÀ DI CONTROLLO A FIANCO DI TITOLARI E RESPONSABILI DEL TRATTAMENTO GDPR

GDPRIn base a quanto previsto dal GDPR, le Autorità di Controllo hanno il compito di sorvegliare e guidare le aziende nell’applicazione del Regolamento allo scopo di tutelare «i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all’interno dell’Unione».

I compiti delle autorità sui rispettivi territori sono indicati all’articolo 57 e prevedono attività estremamente ramificate e diversificate in un continuo rapporto di affiancamento, controllo e scambio di informazioni con i titolari e responsabili del trattamento. Nei casi in cui sia riscontrato un operato non conforme ai principi del GDPR, all’autorità di controllo sono conferiti poteri di indagine, correttivi, autorizzativi e consultivi, nonché il potere di infliggere sanzioni amministrative pecuniarie.

Nello specifico, l’articolo 58 elenca:

  • poteri di indagine (art. 58, c. 1);
  • poteri correttivi (art. 58, c. 2);
  • poteri autorizzativi e consultivi (art. 58, c. 3).

L’articolo 83 introduce invece la facoltà di infliggere sanzioni amministrative pecuniarie fino a 20 milioni di euro o fino al 4% del fatturato totale annuo dell’esercizio precedente, con un sostanziale inasprimento rispetto a quanto disposto dalla disciplina ancora vigente.

GDPR E AUTORITÀ DI CONTROLLO: POTERI DI INDAGINE, CORRETTIVI, AUTORIZZATIVI E CONSULTIVI

GDPR attività di controllo AutoritàI poteri attribuiti alle Autorità di Controllo dall’articolo 58 del GDPR si strutturano in modo graduale secondo un percorso che prevede una crescente autorevolezza ad ogni passaggio.

In una prima fase all’autorità sono riconosciuti poteri di indagine, ovvero il potere di imporre ad aziende e organizzazioni pubbliche di fornire ogni informazione di cui abbia bisogno relativamente al trattamento dei dati personali, l’accesso ai dati personali gestiti così come ai locali del titolare del trattamento e del responsabile del trattamento, compresi gli strumenti e i mezzi utilizzati per trattare i dati. Ai poteri di indagine si ricollega anche quello di notificare presunte violazioni del Regolamento al titolare o al responsabile del trattamento.

I poteri correttivi prevedono attività che spaziano dal semplice avvertimento sulla possibilità che determinate attività di trattamento possano violare il Regolamento, a interventi che incidono direttamente sull’operatività connessa al trattamento dei dati. Così figura tra i poteri correttivi la possibilità di:

  • rivolgere ammonimenti al titolare/responsabile del trattamento o ingiungere agli stessi di conformare i trattamenti dei dati alle disposizioni del regolamento, in caso di violazione delle disposizioni del GDPR;
  • ingiungere che siano soddisfatte le richieste di un soggetto interessato dal trattamento dei dati;
  • imporre limitazioni, provvisorie o definitive, al trattamento o anche il divieto completo di trattamento dei dati, eventualmente circoscritto ai dati per i quali si è verificata la violazione.

In quest’ambito l’Autorità ha anche il potere di ordinare la rettifica o la cancellazione, la limitazione o il divieto del trattamento, relativamente a una sfera più ampia di dati.

Vanno inoltre aggiunti ai poteri correttivi quelli sanzionatori di cui dicevamo sopra, ovvero il potere di infliggere una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del GDPR. Sanzioni e interventi correttivi danno un grande potere all’Autorità di Controllo nei confronti dei titolari e responsabili del trattamento, e quindi delle organizzazioni che vi fanno capo.

L’area dei poteri autorizzativi e consultivi, infine, riguarda funzioni che spaziano dalla consulenza al titolare del trattamento alla definizione di poteri e limiti in merito alle autorizzazioni cui è subordinata l’intera attività di trattamento dei dati: pareri su progetti di codici di condotta e approvazione degli stessi, approvazione dei criteri di certificazione e rilascio delle certificazioni stesse. Una serie di attività miranti a costruire l’assetto organizzativo entro il quale dovrà poi esercitarsi l’attività del titolare e del responsabile, finalizzata al corretto trattamento dei dati.

9 maggio 2018