La gestione delle contestazioni con il Gdpr tra opportunità di difesa e di conciliazione
Titolari dei trattamenti ormai di fronte alle contestazioni privacy: difendersi, conciliare o tutte e due. Terminato, il 19 maggio 2019, il periodo di prima applicazione del Regolamento Ue 2016/679 (Gdpr) è necessario studiare come gestire un procedimento in cui si imputa di avere violato la privacy. A fronte della contestazione di una violazione di una norma del Gdpr o del codice della privacy ci sono sia opportunità difensive sia opportunità conciliative.
Con le prime, il titolare del trattamento (impresa, professionista, pubblica amministrazione) cerca di ribaltare l'incolpazione e di far emergere che non c'è nessuna violazione sanzionabile. Con le opportunità conciliative, invece, i titolari del trattamento cercano di ridurre al minimo le conseguenze negative a loro carico, che non sono solo quelle di pagare somme a titolo di sanzione pecuniaria. Di pari se non superiore rilievo potrebbe, infatti, essere un provvedimento che implichi la cessazione di un'attività.
Le opportunità difensive e quelle conciliative sono descritte analiticamente nel regolamento n. 1/2019 del Garante della protezione dei dati personali (deliberazione n. 98 del 4 aprile 2019, concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante della privacy, pubblicato sulla Gazzetta Ufficiale n. 106 dell'8 maggio 2019).
Passiamo, dunque, in rassegna gli istituti disciplinati dal regolamento.
Difesa/fase preliminare. L'interessato (soggetto cui si riferiscono i dati) può andare dal Garante senza necessariamente rivolgersi preventivamente all'impresa/professionista/p.a., che tratta i dati. Può, quindi, essere che arrivi una corrispondenza da parte del Garante senza nessun avviso formale da parte dell'interessato. Questo aspetto non va preso sottogamba: una volta che il Garante è informato ufficialmente con un reclamo, abbiamo un treno in corsa. Ed è un treno che può portare a sanzioni o a provvedimenti inibitori.
Le politiche (a monte) di gestione della clientela e dell'utenza è bene che tengano conto anche di questa eventualità (a valle): trovarsi subito di fronte al Garante.
Sta di fatto che il Garante, una volta arrivato il reclamo, deve aprire un'istruttoria preliminare e, solo se necessario a un primo vaglio del reclamo, coinvolgerà l'impresa/professionista/p.a.
In effetti l'articolo 10 del regolamento 1/2019 del Garante prevede che gli uffici dell'Authority possono «curare l'acquisizione di precisazioni e informazioni in ordine ai fatti e alle circostanze cui si riferisce il reclamo, anche sentendo personalmente o a mezzo di procuratore il titolare o il responsabile del trattamento, mediante richiesta di informazioni o di esibizione di documenti oppure mediante acquisizione di informazioni, copie di banche dati e archivi informatici.
Questo è un momento in cui si possono cominciare a svolgere le proprie difese e non bisogna commettere errori. Per esempio non bisogna strafare fornendo, per ingenuità o per strategia, documentazione inutilmente sovrabbondante, inconferente o ingiustificatamente dilatoria: questo atteggiamento potrà essere valutato negativo rispetto al dovere di cooperazione con il Garante.
Bisogna, in ogni caso, contestualizzare la fase del procedimento: siamo nell'istruttoria preliminare e gli uffici del Garante vogliono capire se c'è materia per fare un'istruttoria approfondita da portare, magari, all'attenzione del collegio del Garante (organo decisionale più elevato).
Pertanto all'impresa/professionista/p.a. non si formula ancora una contestazione e non ci sarebbe bisogno, tecnicamente parlando di difendersi. Non si può dimenticare che una buona strategia difensiva, in questo procedimento amministrativo, comincia in questa fase.
Quindi non è richiesta, ma non è male consegnare documenti e informazioni con una annotazione di breve presentazione in cui si illustra il flusso del trattamento e/o si spiega come sono andate le cose con il tale cliente. Si badi bene che non essendo formulata un'accusa non è possibile articolare una congrua difesa.
Tuttavia si comprenderà benissimo il contesto in cui si muovono gli uffici del Garante ed anche questa fase, quindi, è bene che sia seguita da un esperto o da un consulente.
Consigliabile anche di dichiarare la propria disponibilità a essere personalmente sentiti, così da spiegare gli eventi e i documenti: attenzione, in questa fase, non c'è il diritto a essere sentiti, ma è bene segnalare una disponibilità in tale senso. Non si manchi, però, di dettagliare in che cosa possa consistere l'utilità dell'audizione personale e deve trattarsi sempre di qualcosa che non risulti già dalla documentazione.
In questa fase l'impresa/professionista/p.a potrà fare stime e prognosi di che cosa si può rischiare.
È importante che si prendano in considerazione tutti i possibili esiti, sia quello della decisione del reclamo con l'imposizione di una prescrizione o di un divieto/obbligo sia quello sanzionatorio.
Difesa/reclamo. Se il procedimento di reclamo va avanti, all'impresa/professionista/p.a. arriva la comunicazione di avvio del procedimento (articolo 12 del regolamento del Garante 1/2019) e bisogna studiarselo attentamente, perché contiene tutti gli estremi della incolpazione. Secondo il Garante l'impresa/professionista/p.a. hanno sbagliato a fare o a non fare qualche cosa.
Nella comunicazione, infatti, si trova scritta una sintetica descrizione dei fatti e delle presunte violazioni e delle relative disposizioni sanzionatorie. Ma soprattutto si ha notizia dell'ufficio competente presso il quale può essere presa visione ed estratta copia degli atti istruttori e scatta a decorrere il termine di trenta giorni per inviare al Garante scritti difensivi o documenti e/o chiedere di essere sentito (il regolamento 1/2019, articolo 13, è interpretabile nel senso che qui l'audizione ha sempre luogo, se richiesta).
La prima cosa da fare è avere copia integrale del fascicolo per capire come e perché sia comprovata la contestazione.
La seconda cosa da fare è decidere la strategia difensiva e quindi se mandare scritti difensivi e se chiedere di essere sentiti in audizione da parte del Garante. Se non lo si fa non si compromettono le possibilità di contestazione avanti al Giudice del provvedimento finale del Garante.
Se 30 giorni non sono sufficienti è possibile chiedere una motivata proroga.
La scaletta delle difese è questa: ricostruzione alternativa dei fatti, spiegazione della non punibilità per carenza di colpa (ad esempio incertezza delle norme), fornitura di interpretazioni giuridiche a sostegno della non punibilità, illustrazione di circostanze da cui possa derivare la sola applicazione dell'ammonimento oppure la riduzione della sanzione a livelli bassi. Questa è da attentamente vagliare in relazione alle necessità del caso concreto.
Fonte: Italia Oggi del 3 giugno 2019 - Articolo di Antonio Ciccia Messina