Categorie approfondimento: Commerciale e industriale
25 Ottobre 2011

Privacy: poteri ispettivi e sanzionatori da parte del Garante nei confronti delle aziende

Di cosa si tratta

Con questo articolo intendiamo dare risposta ad alcuni quesiti che ci sono pervenuti in ordine ai poteri ispettivi e sanzionatori del Garante per la protezione dei dati personali in special modo nei confronti delle realtà imprenditoriali.
La ragione di questa curiosità non è intellettuale, infatti non è più così infrequente che professionisti, PMI nonché realtà di dimensioni più grandi, in ragione della notevole quantità di dati trattati nell’esercizio delle proprie attività, siano destinatari di richieste da parte del Garante di fornire informazioni o di esibire documenti relativi alle modalità con cui viene effettuato il trattamento.
Meno frequente, ma certamente più gravosa negli effetti, è invece la possibilità che i predetti soggetti siano oggetto di ispezioni, verifiche nonché di accessi diretti a banche di dati, archivi compiuti dal Garante con la finalità di verificare l’osservanza dei principi e delle disposizioni in materia di protezione dei dati personali.
Quanto alla prima ipotesi rappresentata, si è in presenza dell’esercizio di un poter di vigilanza e controllo che il Garante esercita principalmente in seguito a segnalazioni di soggetti che ritengono sia avvenuto un trattamento illecito dei propri dati; si tratta, in sostanza, di un’attività che può anticipare e introdurre un procedimento. La norma che disciplina questo potere è l’art. 157 del d.lgs. 196/03 che sancisce che “per l’espletamento dei propri compiti il Garante può richiedere al titolare, al responsabile, all’interessato o anche a terzi di fornire informazioni e di esibire documenti”. La richiesta può pervenire sia in loco sia mediante posta elettronica o telefax. Viene posto in capo ai soggetti coinvolti nel trattamento dei dati un obbligo di collaborazione nei confronti dell’attività svolta dal Garante.
E’ da evidenziare che la reticenza del titolare ovvero una condotta omissiva, oltre a poter comportare l’apertura di un procedimento, è punita con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro così come è previsto dall’art. 164.
Per dare concretezza all’ipotesi in esame possiamo dire, ad esempio, che questo è il caso che ricorre quando, in seguito alla ricezione di una comunicazione indesiderata, un soggetto effettui una segnalazione al Garante. Il Garante provvederà di conseguenza a richiedere informazioni all’autore della comunicazione e, qualora non dovesse ricevere risposta nei termini indicati, potrebbe comminare una sanzione. Sanzione che come abbiamo visto non avrebbe un importo trascurabile.
Un altro illecito amministrativo che si configura con frequenza nelle realtà imprenditoriali o professionali e che vede l’irrogazione di sanzioni dal cospicuo importo è quello disciplinato dall’art. 161 del codice della privacy rubricato omessa o inidonea informativa all’interessato. Recita l’articolo: la violazione delle disposizioni di cui all’articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro.
Integra questa condotta l’omissione o l’inidoneità dell’informativa che deve essere resa in ordine al trattamento dei dati personali per esempio sui siti web. Più volte, nell’esercizio della nostra professione, ci siamo imbattuti in casi in cui aziende (non solo di ridotte dimensioni) non rendevano sul proprio sito web un’idonea informativa in quanto non erano a conoscenza dell’obbligo. Altre ipotesi riscontrata è quella in cui i titolari di un sito ritenevano di aver assolto all’obbligo di rendere un’informativa copiando quella presente in altro sito web.
A tal proposito non è superfluo ricordare che sistemi informatici con caratteristiche autonome e procedure software preposte al funzionamento di siti web differenti necessitano di informative non solo adeguate ma anche calzanti il trattamento che vanno a illustrare. Ciò rileva soprattutto in ragione della sanzione che, come abbiamo visto, può essere comminata non solo nel caso di omessa informativa ma anche nel caso di “inidonea” informativa.
Una conferma che quanto poc’anzi esposto non è uno “scrupolo tipico di un avvocato” (talvolta questa è il commento che fa seguito ai nostri suggerimenti) ma una situazione reale nella quale è possibile incorrere, si rinviene nel provvedimento del 7 settembre 2011 del Garante. In tale sede è stata infatti dichiarato illecito il trattamento dei dati personali (luogo e data di nascita, codice fiscale, cittadinanza) acquisiti da parte di un’Università telematica, in quanto eccedenti rispetto alla finalità del servizio di registrazione così come dichiarata nell’informativa resa e ciò in violazione dei principi di pertinenza e non eccedenza di cui all’art. 11 comma 1, lettera d) del Codice della Privacy.
Passiamo ora ad esaminare gli accertamenti ispettivi che possono essere disposti e compiuti dal Garante. Recitano il primo e il secondo comma dell’art. 158: ” Il Garante può disporre accessi a banche di dati, archivi o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al controllo del rispetto della disciplina in materia di trattamento dei dati personali. I controlli di cui al comma 1 sono eseguiti da personale dell’Ufficio. Il Garante si avvale anche, ove necessario, della collaborazione di altri organi dello Stato”. Nella pratica l’attività ispettiva è costituita da accertamenti svolti dal personale dell’ufficio del Garante o, più ricorrentemente, dalle unità Speciali della Guardia di Finanza – Nucleo Privacy che operano in ragione di un protocollo d’intesa sottoscritto con il Garante.
Per dare ancora una volta concretezza all’ipotesi trattata ciò che accade nella realtà è che si presenti presso gli uffici di un’azienda un’unità della guardia di finanza che, fattasi riconoscere mediante appositi documenti, richieda di compiere accertamenti finalizzati alla verifica dell’osservanza di disposizioni specifiche del codice della Privacy. Gli accertamenti possono riguardare pertanto una pluralità di aspetti che vanno dalle modalità di utilizzo dei sistemi di comunicazione elettronica alla verifica della corretta formazione del personale o della corretta conservazione dei dati.
L’attività ispettiva ha solitamente inizio in seguito a segnalazioni o ricorsi ma può essere anche compiuta in ragione di un piano ispettivo di accertamenti che il Garante rende noto in via preventiva ogni semestre e che, di volta in volta, ha a oggetto settori diversi.
La newsletter del Garante del 3 agosto 2011 riporta che per il secondo semestre di quest’anno “il piano ispettivo appena varato prevede specifici controlli, sia nel settore pubblico che in quello privato, anche riguardo alle informazioni da fornire ai cittadini sull’uso dei loro dati personali, all’adozione delle misure di sicurezza, ai tempi di conservazione dei dati, al consenso da richiedere nei casi previsti dalla legge, all’obbligo di notificazione al Garante. Oltre 225 gli accertamenti ispettivi programmati che verranno effettuati come di consueto anche in collaborazione con le Unità Speciali della Guardia di Finanza – Nucleo Privacy. A questi accertamenti si affiancheranno quelli che si renderanno necessari in ordine a segnalazioni e reclami presentati”. Un’attenzione particolare sarà data al contrasto del fenomeno della violazione del diritto di opposizione dei cittadini da parte dei soggetti che effettuino il c.d. telemarketing selvaggio.
L’attività ispettiva relativa al primo semestre 2011 è consistita nel compimento di 230 ispezioni sfociate in 181 procedimenti sanzionatori, relativi in larga parte alla omessa informativa, al trattamento illecito dei dati, alla mancata adozione di misure di sicurezza, all’inosservanza dei provvedimenti del Garante.
Come emerge da quanto detto, particolare attenzione deve essere pertanto dedicata al rispetto degli obblighi previsti dalla normativa sulla privacy. Non solo l’omessa osservanza delle disposizioni in materia di protezione dei dati personali ma anche l’inidoneità o l’inadeguatezza delle misure adottate per un corretto trattamento possono portare all’irrogazione di sanzioni il cui ammontare, soprattutto nell’attuale congiuntura economica, può incidere assai negativamente sul bilancio di realtà imprenditoriali.

(Visited 17 times, 2 visits today)