Tom's Hardware Italia
e-Gov

GDPR, gli interventi dell’Autorità Garante

Come previsto dall’art. 58 del GDPR, le autorità di controllo (in Italia l’Autorità Garante per la protezione dei dati personali), dispongono innanzitutto di una serie di poteri di indagine. L’Autorità di controllo dello Stato competente nel caso specifico, per verificare il rispetto delle regole previste dal GDPR potrà, infatti, ingiungere al titolare e al responsabile […]

Studio Legale Associato Fioriglio-Croari

Come previsto dall’art. 58 del GDPR, le autorità di controllo (in Italia l’Autorità Garante per la protezione dei dati personali), dispongono innanzitutto di una serie di poteri di indagine. L’Autorità di controllo dello Stato competente nel caso specifico, per verificare il rispetto delle regole previste dal GDPR potrà, infatti, ingiungere al titolare e al responsabile del trattamento (nonché al rappresentante, se presente) di fornirle tutte le informazioni ritenute necessarie e porre in essere tutte le attività opportune per condurre le relative indagini. L’Autorità potrà, poi, notificare al titolare o al responsabile le presunte violazioni del Regolamento che ritiene di aver individuato e ottenere l’accesso, da un lato, a tutti i dati personali oggetto di trattamento e, dall’altro lato, sia ai locali del titolare e del responsabile del trattamento che agli strumenti utilizzati per il trattamento (pur sempre nel rispetto delle norme di diritto dell’Unione Europea e di diritto processuale dei singoli Stati membri).

Il paragrafo 2 dello stesso articolo prevede poi che le Autorità di controllo possano intervenire concretamente nei confronti delle aziende, esercitando una serie di poteri correttivi, che vengono puntualmente elencati dalla norma stessa. Il Regolamento riconosce, quindi, in capo alle Autorità di controllo, i seguenti poteri:

  1. potere di rivolgere avvertimenti al titolare o al responsabile del trattamento dei dati personali in relazione al fatto che i trattamenti previsti potrebbero dare luogo alla violazione di una o più disposizioni sancite dal GDPR;
  2. potere di rivolgere degli ammonimenti al titolare o al responsabile del trattamento nel caso in cui, a seguito di indagini opportunamente effettuate, emerga che i trattamenti abbiano determinato una violazione delle disposizioni del regolamento;
  3. potere di intimare al titolare o al responsabile del trattamento di soddisfare le richieste avanzate dagli interessati per l’esercizio dei diritti loro riconosciuti dal regolamento;
  4. potere di ingiungere al titolare o al responsabile del trattamento di adeguare i trattamenti dei dati personali alle disposizioni sancite dal regolamento prescrivendo anche, eventualmente, una determinata forma e un determinato termine;
  5. potere di ingiungere al titolare del trattamento di comunicare senza ritardo all’interessato la violazione dei dati personali che si sia eventualmente verificata;
  6. potere di disporre una limitazione parziale o totale, provvisoria o definitiva al trattamento dei dati personali;
  7. potere di ordinare la rettifica, la cancellazione dei dati personali o la limitazione del trattamento a norma come previsto a norma degli artt. 16, 17 e 18, nonché la notificazione di tali misure anche agli altri soggetti coinvolti nel caso in cui i dati personali oggetto di trattamento siano stati resi pubblici o siano stati altrimenti comunicati ad altri soggetti;
  8. potere di revocare la certificazione o ingiungere all’organismo di certificazione di ritirare la certificazione rilasciata a norma degli articoli 42 e 43, oppure ingiungere all’organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono più soddisfatti;
  9. potere di infliggere una sanzione amministrativa pecuniaria, come previsto ai sensi dell’art. 83 (analizzato nel precedente paragrafo di questo approfondimento speciale sul GDPR) in aggiunta, o in luogo, delle altre misure previste invece dall’art. 58, paragrafo 2, a seconda delle circostanze specifiche che vengono in rilievo nel singolo caso concreto; e infine
  10. potere di ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.
7 3
Foto: tashatuvango / Depositphotos

L’esercizio da parte delle Autorità di controllo dei poteri attribuiti dall’art. 58 dovrà essere soggetto, in ogni caso, ad una serie di adeguate garanzie, tra cui quella ad un ricorso giurisdizionale effettivo e quella del giusto processo, previste a norma del diritto dell’UE e dei singoli Stati membri.

Inoltre, ciascuno Stato membro dovrà disporre per legge (come previsto dall’art. 58, paragrafo 5), che l’autorità di controllo competente sulla base del diritto interno abbia il potere di agire in giudizio, o in sede stragiudiziale, in caso di violazione delle norme del regolamento e al fine di farne rispettare l’osservanza.

Ogni Stato membro potrà poi prevedere, per legge, che l’autorità di controllo abbia anche ulteriori poteri rispetto a quelli di cui all’art. 58, l’esercizio dei quali non ne pregiudica comunque l’operatività.

Infine, come previsto dall’art. 59, ciascuna autorità di controllo dovrà predisporre annualmente una relazione avente ad oggetto l’attività svolta nel corso dell’anno per garantire il rispetto della normativa sulla protezione dei dati, nella quale si potrà dare contezza delle tipologie di violazioni delle disposizioni del regolamento che siano state notificate, nonché delle misure adottate.

Queste relazioni dovranno poi essere trasmesse al parlamento, al governo e alle altre autorità designate dal diritto dello stato membro e saranno rese conoscibili anche ai cittadini, nonché alla Commissione e al comitato.

Puoi trovare tutte le news sul GDPR in questa pagina speciale.
Per ricevere assistenza consulta il sito fclex.it