NEWS

Gestione reclami privacy, una funzione aziendale di “prevenzione” e occasioni di ravvedimento operoso

Creazione di una funzione aziendale “prevenzione reclami” e focus sulle occasioni di ravvedimento operoso in ottica di minimizzazione del rischio “sanzioni” da un lato (per il data controller); opportunità di interpellare il titolare del trattamento prima della presentazione del reclamo, dall’altro lato (per il data subject): sono questi alcuni spunti per la gestione pratica delle forme di tutela previste dal regolamento del Garante sui reclami. In effetti il GDPR ha cambiato le carte in tavola: ha detto addio ai ricorsi e ha emancipato i reclami.

L’abbandono di un procedimento contenzioso (il ricorso, appunto, con due litiganti al cospetto di un’autorità super partes) non ha, però, certamente minimizzato le esigenze di garanzia anche nel procedimento del reclamo.

Le condizioni del “giusto procedimento” di reclamo sono descritte dalla Deliberazione del Garante n. 98 del 4 aprile 2019, ovvero il Regolamento n. 1/2019, concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali (pubblicato sulla Gazzetta Ufficiale n. 106 dell'8 maggio 2019, in vigore dal 9 maggio 2019).

Il regolamento dedica una sezione (la prima del capo II) ai “reclami”.

In questa sezione trova collocazione anche un articolo dedicato alla ordinanza ingiunzione e cioè all’atto con cui si irrogano le sanzioni amministrative.

Questo dà conferma del fatto che il reclamo è anche una fonte dell’attività d’ufficio del Garante tesa alla applicazione delle sanzioni pecuniarie.

E tutto ciò porta ad un’altra riflessione. Ciascun titolare del trattamento deve valutare quanto sia importante, nella sua organizzazione di impresa, una funzione che potremmo chiamare di “prevenzione reclami”. Si consideri a questo proposito che il reclamo, ovviamente se fondato, darà adito quasi sempre alla applicazione di una sanzione amministrativa.

La funzione di “prevenzione reclami” è tanto più importante se si rammenta che, in relazione all’esercizio dei diritti dell’interessato questi non è più tenuto a interpellare (preventivamente al reclamo) il titolare del trattamento: con la conseguenza che questi potrebbe trovarsi sulla PEC la comunicazione di avvio del procedimento senza avere ricevuto alcuna avvisaglia precedente.

Anche se è opportuno che l’interessato mandi una richiesta al titolare prima di inoltrare un reclamo al Garante: altrimenti rischia di doverlo fare ex post su invito del Garante stesso

Peraltro, una volta in ballo il titolare del trattamento farà bene a valutare se avvalersi di una serie di possibilità, pendente il procedimento.

Ci si riferisce alla possibilità:

a) di aderire spontaneamente alle richieste formulate dall’interessato nel reclamo durante l’istruttoria preliminare

b) di aderire spontaneamente alle richieste formulate dall’interessato nel reclamo durante il procedimento avviato dopo che l’interessato abbia in un primo tempo esercitato i suoi diritti con richiesta diretta al titolare

c) di pagare una somma ridotta ex art. 166, comma 8, Codice della privacy.

Tutto ciò, oltre alle scelte di partecipazione difensiva in senso stretto e cioè la scelta se presentare memorie o documenti o se chiedere di essere sentiti personalmente.

Fermo restando che tutti i provvedimenti del Garante sono impugnabili avanti all’autorità giudiziaria, approfondiamo, dunque, la disciplina dei reclami nel regolamento 1/2019 del Garante, cercando di fornire alcuni suggerimenti pratici.

RECLAMI -  Non è necessario utilizzare il modello appositamente predisposto dal Garante.

È, però, necessario che quanto inviato al Garante contenga tutti gli elementi previsti dall’articolo 142 del Codice della privacy.

Eventuali incompletezze o irregolarità non compromettono l’iter del reclamo.

D’altra parte il reclamo non è soggetto a termini di decadenza o di prescrizione.

In effetti il Garante è tenuto a segnalare le eventuali irregolarità o incompletezza ed a fissare un termine, di regola non superiore a quindici giorni, entro cui provvedere alla relativa regolarizzazione.

Se non si regolarizza, il reclamo viene archiviato in quanto tale.

Peraltro il reclamo viene d’ufficio derubricato in una segnalazione.

ITER/IL FILTRO DELL’ISTRUTTORIA PRELIMINARE -  L’iter del reclamo può essere spezzato in due: l’istruttoria preliminare e la fase successiva del procedimento vero e proprio.

L’istruttoria preliminare ha la funzione di filtro.

Non è detto che il reclamo si chiuda sempre e comunque con l’adozione di un provvedimento espresso da parte del Collegio.

In ogni caso entro tre mesi dalla data della ricezione o della regolarizzazione, il reclamante viene informato dello stato o dell’esito del reclamo: sinceramente sarebbe opportuno anche un flusso informativo sulla chiusura del reclamo e non solo in un momento iniziale.

Alcuni esiti del reclamo sono interamente sotto la cura e responsabilità del dipartimento, servizio o altra unità organizzativa cui il reclamo è assegnato.

L’esame preliminare è volto a verificare se sussistono idonei elementi in ordine alle presunte violazioni e alle misure richieste.

L’ufficio può, senza vincoli formali, acquisire notizie e informazioni.

In questa fase il titolare/responsabile del trattamento può essere invitato ad eseguire spontaneamente le misure richieste con il reclamo e a comunicare all'Ufficio, entro il termine da quest’ultimo richiesto, la propria eventuale adesione.

L’adesione alle richieste può determinare la chiusura del reclamo, ma potrebbe non escludere eventuali applicazioni di sanzioni pecuniarie amministrative.

Se il reclamo ha per oggetto una violazione di una prescrizione o di un divieto sanzionato con una sanzione pecuniaria amministrativa, l’intervenuta adesione non estingue l’illecito, anche se di tale adesione a posteriori il Garante potrà tenere conto al fine di graduare nel basso la sanzione amministrativa stessa. Da qui la constatazione della convenienza dei comportamenti di sostanziale “ravvedimento operoso”.

L’istruttoria preliminare potrà avere uno dei seguenti esiti:

  1. passaggio alla fase successiva, avanti al Collegio del Garante
  2. chiusura con un provvedimento dell’ufficio che ha curato la fase istruttoria preliminare.

Questa seconda ipotesi si verifica quando:

  1. il Garante non ha competenza rispetto alla questione prospettata (ad esempio si chiede il risarcimento del danno);
  2. il reclamo è infondato (non ci gli estremi di una violazione della normativa sulla privacy);
  3. la richiesta è eccessiva, pretestuosa o ripetitiva;
  4. si tratta di applicare un precedente con un provvedimento collegiale di carattere generale, o richiamando provvedimenti o questioni già affrontate dal Garante oppure esprimendo un prudente avviso su questioni che non presentano particolare rilevanza sul piano generale.

In tutti questi casi la decisione finale è dell’ufficio e non si va oltre: non ci sarà, quindi, nessun provvedimento del Collegio, che comunque è tenuto informato delle decisioni adottate dagli uffici.

Sul punto si dovrà affrontare la questione di come si impugnano i provvedimenti degli uffici che chiudono il procedimento di reclamo: la materia pare potersi far rientrare nell’articolo 152 del Codice della privacy nella parte in cui tratta delle controversie riguardanti “l’applicazione della normativa in materia di protezione dei dati personali”, con conseguente giurisdizione del giudice ordinario.

ITER/IL PROCEDIMENTO VERO E PROPRIO - Nei casi diversi da quelli da ultimo descritti, dall’istruttoria preliminare si passa alla fase successiva, avanti al Collegio del Garante.

In tale caso, l’ufficio comunica al titolare/responsabile del trattamento l’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

Dall’avviso il titolare/responsabile del trattamento viene a conoscere:

a) una sintetica descrizione dei fatti e delle presunte violazioni e le relative disposizioni sanzionatorie;

b) l’indicazione dell’ufficio presso il quale può essere presa visione ed estratta copia degli atti istruttori;

c) l’indicazione che entro trenta giorni dal ricevimento della comunicazione è possibile inviare al Garante scritti difensivi o documenti e chiedere di essere sentito dalla medesima Autorità.

La comunicazione di avvio potrà essere fatta direttamente ai destinatari in sede di audizione nel corso dell’istruttoria preliminare.

ITER/PARTECIPAZIONE DIFENSIVA - Il soggetto cui è contestata la violazione ha diverse modalità facoltative di difesa:

  • presentazione di deduzioni scritte
  • presentazione di documenti
  • richiesta di audizione personale in merito ai fatti oggetto di comunicazione.

L’audizione personale non è una fase necessaria e, quindi, bisogna chiederla.

Si consiglia di mandare avanti la richiesta solo quando sia realmente necessario l’illustrazione a viva voce delle proprie difese e della propria posizione.

In sede di audizione bisogna evitare duplicazioni o meri rinvii a quanto già rappresentato negli scritti difensivi.

Bisogna invece precisare aggiungendo elementi o specificando quanto già scritto.

L'audizione delle persone fisiche destinatarie della comunicazione è strettamente personale ma è consentita la partecipazione con l'assistenza di un avvocato o di altro consulente.

In sostanza se si tratta di una persona fisica la stessa deve essere personalmente presente a Roma. Rimane da chiarire se la persona interessata può dare una procura speciale e in quale forma: meglio, per questa ipotesi, chiedere specificamente al Garante quali siano le formalità ritenute valide.

Per le persone giuridiche, ovviamente, vale il principio della dimostrazione dei poteri ai sensi dell’ordinamento interno della specifica persona giuridica, ferma restando l’assistenza di un avvocato o altro consulente.

Il termine di presentazione di memorie e documenti è di 30 giorni, ma è possibile chiedere una breve proroga di 15 giorni.

La richiesta di proroga deve essere debitamente motivata ad esempio in relazione a necessità di oneroso rintraccio di materiale difensivo, alle caratteristiche operativo/dimensionali dei titolari/responsabili del trattamento o alla complessità della vicenda presa in esame.

Ad esempio la voluminosità del fascicolo istruttorio può essere presa in considerazione per accordare la proroga.

Se si chiede l’audizione, la si fa a Roma presso la sede del Garante e di essa è redatto un sintetico verbale a cura dell’Ufficio.

Poiché il verbale deve essere sintetico, non è esclusa la possibilità di chiedere di allegare al verbale scritti e documenti.

ITER/DECISIONE COLLEGIALE - Vediamo ora la sorte del procedimento.

Il primo gruppo di esiti è rappresentato da una decisione di inammissibilità, infondatezza, richiesta eccessiva, applicazione di precedente o espressione di prudente avviso su questioni di non particolare rilevanza.

Il secondo gruppo di esiti è rappresentato da un provvedimento collegiale, il cui schema è proposto dall’ufficio competente per la fase istruttoria.

Con propria deliberazione il Collegio può adottare, se necessario, i provvedimenti correttivi e sanzionatori. Potrebbe anche esserci una decisione che dichiara l’infondatezza del reclamo e, a questo punto, anche questa è una deliberazione collegiale.

Il provvedimento viene notificato alle parti.

ESERCIZIO DEI DIRITTI - Una grossa novità del GDPR è costituita dalla eliminazione della necessità di interpello al titolare del trattamento prima di promuovere un procedimento avanti al Garante teso a un provvedimento favorevole in materia di esercizio dei diritti dell’interessato.

In questa materia (esercizio dei diritti dell’interessato), dopo il GDPR, i reclami possono essere preceduti da una richiesta dell’interessato al titolare oppure no.

Il fatto che l’interessato abbia chiesto oppure non abbia chiesto al titolare l’esercizio dei diritti determina solo alcune importanti variazioni procedurali.

Se l’interessato ha già esercitato, in relazione al medesimo oggetto, i diritti riconosciuti da tali disposizioni nei confronti del titolare del trattamento senza ottenere un idoneo riscontro, entro quarantacinque giorni dalla data della sua ricezione, il reclamo è comunicato al titolare, con invito ad esercitare entro venti giorni dal suo ricevimento la facoltà di comunicare all’istante e all´Ufficio la propria eventuale adesione spontanea.

Se, al contrario, l’interessato non ha preventivamente mandato una richiesta al titolare del trattamento, l’ufficio, entro quarantacinque giorni dalla data della ricezione del reclamo, invita l’interessato a rivolgersi al titolare del trattamento, salvo che emergano ragioni tali da far soprassedere a tale incombenza.

Da quanto sopra deriva l’opportunità di passare prima da una richiesta al titolare o, se non lo si fa, di descrivere al Garante le ragioni che consigliano diversamente.

ORDINANZA INGIUNZIONE - Il procedimento sanzionatorio, che può nascere da un reclamo ma che può avere anche un diverso innesco (ad esempio attività ispettiva pianificata), termina con una ordinanza-ingiunzione adottata dal Collegio.

IL “CASELLARIO” - Le decisione sui reclami e le ordinanze ingiunzioni sono annotate nel registro interno del Garante, dedicato alla iscrizione delle violazioni e delle misure adottate.

Note Autore

Antonio Ciccia Messina Antonio Ciccia Messina

Professore a contratto di "Tutela della privacy e trattamento dei dati Digitali” presso l'Università della Valle d’Aosta. Avvocato, autore di Italia Oggi e collaboratore giornali e riviste giuridiche e appassionato di calcio e della bellezza delle parole.

Prev Capire e capirsi nell’era digitale
Next Criticità del GDPR con riferimento agli enti pubblici

TV9, il presidente di Federprivacy alla trasmissione 9X5

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy