EntiOnLine
Categorie
indietro
30/04/2019 L'attivita' ispettiva e le sanzioni - Il nuovo quadro normativo di riferimento sui poteri di indagine del Garante

Il nuovo quadro normativo di riferimento sui poteri di indagine del Garante

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

L’attività ispettiva è lo strumento istruttorio necessario sia per accertare in loco situazioni di fatto oggetto di valutazione da parte dell’Autorità in relazione a specifici casi, sia per acquisire conoscenze relative a fenomeni nuovi in vista di successivi interventi da parte del Garante nell’ambito delle attribuzioni allo stesso rimesse dal RGPD e dal Codice.

Più precisamente, lo svolgimento della funzione ispettiva riguarda un complesso di poteri autoritativi nell’ambito dei quali il Garante realizza le attività di controllo e di ricerca di notizie e prove volte a verificare la corretta applicazione delle disposizioni in materie di protezione dei dati personali.

Tali poteri, già previsti nella direttiva 95/46/CE (cfr. art. 28, par. 3), sono ora rinvenibili anche nel RGPD, il quale individua tra i compiti delle autorità di protezione dei dati lo svolgimento di “indagini sull’applicazione del regolamento, anche sulla base di informazioni ricevute da un’altra autorità di controllo o da un’altra autorità pubblica” (artt. 57, par. 1, lett. h); 58, par. 1), prevedendo espressamente che l’autorità di controllo abbia specifici poteri di indagine, tra i quali quelli di ingiungere il rilascio di ogni informazione necessaria per l’esecuzione dei suoi compiti; ottenere l’accesso a tutti i dati personali e a tutte le informazioni essenziali per l’esecuzione dei suoi compiti; ottenere l’accesso a tutti i locali, compresi tutti gli strumenti e i mezzi di trattamento dei dati.

Il legislatore nazionale, novellando (con il d.lgs. n. 101/2018) le specifichedisposizioni del Codice, ha adeguato l’ordinamento italiano alle previsioni del RGPD anche nello specifico settore dei controlli, dotando il Garante di poteri dicontrollo e di accertamento diversi per grado di “invasività” e per efficacia.

Da una parte, infatti, è stato previsto che il Garante possa richiedere informazioni e documenti al titolare, al responsabile (e ora anche ai relativi rappresentanti), agli interessati e anche a terzi, in un’ottica di collaborazione fra organi incaricati di acquisire le informazioni e soggetti ispezionati. Dall’altra, è stato stabilito chel’Autorità possa disporre accessi a banche di dati, archivi o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al controllo del rispetto della disciplina in materia di trattamento dei dati personali, avvalendosi, se del caso, anche di strumenti di polizia giudiziaria.

Sotto altro profilo, il RGPD amplia notevolmente gli spazi di collaborazione tra le autorità di controllo, prevedendo che le stesse debbano fornirsi assistenza reciproca, anche per realizzare accessi nell’ambito delle “operazioni congiunte delle autorità di controllo”. È previsto, infatti, che tali operazioni avvengano mediante losvolgimento, in collaborazione, di indagini e controlli nei confronti di un titolareo di un responsabile del trattamento stabilito in un altro Stato membro. In tale eventualità, l’autorità di controllo competente invita l’autorità di controllo dello Stato membro interessato a partecipare all’operazione congiunta e risponde, con reciprocità, alle richieste di partecipazione delle altre autorità di controllo. In tale contesto di reciprocità, costituisce una specifica ulteriore novità la circostanza che un’autorità di controllo possa, in conformità al proprio diritto interno e con l’autorizzazione dell’autorità di controllo ospitata, conferire poteri, anche d’indagine, al personale o ai membri dell’autorità di controllo ospitata che partecipino alle operazioni congiunte, o consentire ai membri o al personale dell’autorità di controllo ospitata, nella misura in cui il diritto interno lo permette, di esercitare i loro poterid’indagine in conformità al diritto dello Stato membro dell’autorità di controllo ospitata.

Inoltre, costituisce una novità la possibilità che, sulla base di apposite garanzie, il Garante possa effettuare accertamenti in luoghi privati per il controllo su reti di comunicazione accessibili al pubblico e acquisire dati e informazioni online.

Nella disamina dei poteri di indagine riconducibili al Garante, appartengono ai “particolari accertamenti” quelli riguardanti i trattamenti effettuati per motivi disicurezza e difesa dello Stato. Tali indagini sono effettuate per il tramite di un componente designato dal Garante e i documenti acquisiti in tali circostanze sono custoditi assicurandone la segretezza e sono conoscibili dal presidente e dai componenti del Garante nonché, se necessario, da un numero delimitato di addetti all’Ufficio individuati dal Garante. Per gli accertamenti relativi invece agli organismi di informazione e di sicurezza e ai dati coperti da segreto di Stato il componente designato prende visione degli atti e dei documenti rilevanti e riferisce oralmente nelle riunioni del Garante.

Appare utile rimarcare che il mancato riscontro alla richiesta di informazioni ovvero il negato accesso ai dati e ai locali configurano una violazione amministrativa sanzionata fino a 20.000.000 euro o, per le imprese, fino al 4% del fatturato.

È poi considerato particolarmente grave, configurando addirittura illecito penale punito con la reclusione da sei mesi a tre anni, il comportamento di colui che, in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiari o attesti falsamente notizie o circostanze o produca atti o documenti falsi. Non meno grave è considerata, infine, l’intenzionale interruzione o la turbativa della regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti, punita con la reclusione sino ad un anno.

A fronte della descritta “invasività” dei poteri di indagine, lo stesso RGPD dispone che ogni Paese disponga di “garanzie appropriate per l’esercizio del potere dell’Autorità nello svolgimento delle attività ispettive e di controllo”. Nel nostro ordinamento talune specifiche disposizioni contenute nel Codice prevedono che, qualora gli accertamenti siano svolti in un’abitazione o in un altro luogo di privata dimora o nelle relative appartenenze, siano effettuati con l’assenso informato del titolare o del responsabile, oppure previa autorizzazione del presidente del tribunale competente per territorio in relazione al luogo dell’accertamento, il quale provvede con decreto motivato senza ritardo, al più tardi entro tre giorni dal ricevimento della richiesta del Garante quando è documentata l’indifferibilità dell’accertamento.

Fonte: Autorità Garante - Relazione 2018

Parole chiave
Banca dati