Focus

Published on aprile 4th, 2018 | by dirittodellinformatica.it

0

GDPR: Interventi dell’Autorità Garante (Guida al GDPR 7.3)

Come previsto dall’art. 58 del GDPR, le autorità di controllo (in Italia l’Autorità Garante per la protezione dei dati personali), dispongono innanzitutto di una serie di poteri di indagine. L’Autorità di controllo dello Stato competente nel caso specifico, per verificare il rispetto delle regole previste dal GDPR potrà, infatti, ingiungere al titolare e al responsabile del trattamento (nonché al rappresentante, se presente) di fornirle tutte le informazioni ritenute necessarie e porre in essere tutte le attività opportune per condurre le relative indagini. L’Autorità potrà, poi, notificare al titolare o al responsabile le presunte violazioni del Regolamento che ritiene di aver individuato e ottenere l’accesso, da un lato, a tutti i dati personali oggetto di trattamento e, dall’altro lato, sia ai locali del titolare e del responsabile del trattamento che agli strumenti utilizzati per il trattamento (pur sempre nel rispetto delle norme di diritto dell’Unione Europea e di diritto processuale dei singoli Stati membri).

Il paragrafo 2 dello stesso articolo prevede poi che le Autorità di controllo possano intervenire concretamente nei confronti delle aziende, esercitando una serie di poteri correttivi, che vengono puntualmente elencati dalla norma stessa.

Il Regolamento riconosce, quindi, in capo alle Autorità di controllo, i seguenti poteri:

  1. potere di rivolgere avvertimenti al titolare o al responsabile del trattamento dei dati personali in relazione al fatto che i trattamenti previsti potrebbero dare luogo alla violazione di una o più disposizioni sancite dal GDPR;
  2. potere di rivolgere degli ammonimenti al titolare o al responsabile del trattamento nel caso in cui, a seguito di indagini opportunamente effettuate, emerga che i trattamenti abbiano determinato una violazione delle disposizioni del regolamento;
  3. potere di intimare al titolare o al responsabile del trattamento di soddisfare le richieste avanzate dagli interessati per l’esercizio dei diritti loro riconosciuti dal regolamento;
  4. potere di ingiungere al titolare o al responsabile del trattamento di adeguare i trattamenti dei dati personali alle disposizioni sancite dal regolamento prescrivendo anche, eventualmente, una determinata forma e un determinato termine;
  5. potere di ingiungere al titolare del trattamento di comunicare senza ritardo all’interessato la violazione dei dati personali che si sia eventualmente verificata;
  6. potere di disporre una limitazione parziale o totale, provvisoria o definitiva al trattamento dei dati personali;
  7. potere di ordinare la rettifica, la cancellazione dei dati personali o la limitazione del trattamento a norma come previsto a norma degli artt. 16, 17 e 18, nonché la notificazione di tali misure anche agli altri soggetti coinvolti nel caso in cui i dati personali oggetto di trattamento siano stati resi pubblici o siano stati altrimenti comunicati ad altri soggetti;
  8. potere di revocare la certificazione o ingiungere all’organismo di certificazione di ritirare la certificazione rilasciata a norma degli articoli 42 e 43, oppure ingiungere all’organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono più soddisfatti;
  9. potere di infliggere una sanzione amministrativa pecuniaria, come previsto ai sensi dell’art. 83 (analizzato nel precedente paragrafo di questo approfondimento speciale sul GDPR) in aggiunta, o in luogo, delle altre misure previste invece dall’art. 58, paragrafo 2, a seconda delle circostanze specifiche che vengono in rilievo nel singolo caso concreto; e infine
  10. potere di ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.

L’esercizio da parte delle Autorità di controllo dei poteri attribuiti dall’art. 58 dovrà essere soggetto, in ogni caso, ad una serie di adeguate garanzie, tra cui quella ad un ricorso giurisdizionale effettivo e quella del giusto processo, previste a norma del diritto dell’UE e dei singoli Stati membri.

Inoltre, come previsto dall’art. 58, paragrafo 5, “Ogni Stato membro dispone per legge che la sua autorità di controllo abbia il potere di intentare un’azione o di agire in sede giudiziale o, ove del caso, stragiudiziale in caso di violazione del presente regolamento per far rispettare le disposizioni dello stesso”.

Ogni Stato membro potrà poi prevedere, per legge, che l’autorità di controllo abbia anche ulteriori poteri rispetto a quelli di cui all’art. 58, l’esercizio dei quali non ne pregiudica comunque l’operatività.

Infine, come previsto dall’art. 59, ciascuna autorità di controllo dovrà predisporre annualmente una relazione avente ad oggetto l’attività svolta nel corso dell’anno per garantire il rispetto della normativa sulla protezione dei dati, nella quale si potrà dare contezza delle tipologie di violazioni delle disposizioni del regolamento che siano state notificate, nonché delle misure adottate.

Queste relazioni dovranno poi essere trasmesse al parlamento, al governo e alle altre autorità designate dal diritto dello stato membro e saranno rese conoscibili anche ai cittadini, nonché alla Commissione e al comitato. Questo il testo dell’art. 59: “Ogni autorità di controllo elabora una relazione annuale sulla propria attività, in cui può figurare un elenco delle tipologie di violazioni notificate e di misure adottate a norma dell’articolo 58, paragrafo 2. Tali relazioni sono trasmesse al parlamento nazionale, al governo e alle altre autorità designate dal diritto dello Stato membro. Esse sono messe a disposizione del pubblico, della Commissione e del comitato”.

Tags: , ,


About the Author



Back to Top ↑