Nella prassi quotidiana delle organizzazioni, la gestione dell’esercizio dei diritti ex artt. 15-22 GDPR continua a essere percepita come un’attività marginale, residuale, spesso “smistata” a funzioni interne (HR, customer care, segreteria) prive di reale consapevolezza delle implicazioni giuridiche connesse. Questo atteggiamento genera un rischio sistemico che si manifesta, con regolarità crescente, nella forma più insidiosa: il reclamo al Garante per mancata o tardiva risposta all’istanza del titolare di diritti.
Il punto di rottura non è quasi mai la richiesta in sé, bensì il silenzio. Un’istanza ignorata, archiviata senza riscontro o gestita con toni informali e privi di base normativa rappresenta, agli occhi dell’Autorità, una violazione autonoma e autosufficiente, indipendente dall’esistenza o meno di un trattamento illecito sottostante. È qui che si misura la reale maturità organizzativa di un titolare del trattamento: non nella sofisticazione delle misure di sicurezza, ma nella capacità di rispondere, nei tempi e nei modi previsti, a chi esercita un diritto riconosciuto dall’ordinamento.
Indice degli argomenti
Il quadro normativo di riferimento
L’art. 12, paragrafo 3, del Regolamento impone un termine di un mese dal ricevimento della richiesta, prorogabile di ulteriori due mesi in casi di particolare complessità, con obbligo di informare l’interessato della proroga e delle relative motivazioni entro il primo mese. La violazione di questo termine, unita all’assenza di motivazione, costituisce di per sé un illecito amministrativo sanzionabile ex art. 83, par. 5, lett. b) GDPR, che colloca la mancata risposta tra le violazioni più gravi, equiparabile per impianto sanzionatorio alla violazione dei principi fondanti del trattamento.
A livello procedimentale, il reclamo è disciplinato dall’art. 77 GDPR e, sul piano nazionale, dagli artt. 140-bis e seguenti del Codice Privacy (d.lgs. 196/2003 come novellato dal d.lgs. 101/2018), che attribuiscono al Garante poteri istruttori ai sensi dell’art. 58 GDPR: richiesta di informazioni, accesso a documentazione, audizioni, sopralluoghi. È in questa fase che la qualità della governance privacy aziendale viene messa a nudo.
L’apertura dell’istruttoria: cosa accade davvero in azienda
Quando il reclamo perviene formalmente al titolare, attraverso comunicazione dell’Ufficio del Garante con richiesta di informazioni e documentazione ai sensi dell’art. 157 Codice Privacy, si apre una finestra temporale solitamente di trenta giorni entro cui fornire riscontro. È il momento in cui, nella mia esperienza diretta, si manifesta in modo evidente la frattura tra la teoria della compliance documentale e la prassi operativa reale: l’azienda spesso non possiede un registro strutturato delle istanze ricevute, non ha tracciato la data di ricezione, non ha verificato l’identità del richiedente, non ha applicato un workflow interno con responsabilità assegnate.
Il personale coinvolto, nella maggior parte dei casi, reagisce con un misto di sorpresa e minimizzazione: “abbiamo risposto comunque”, “il cliente non aveva diritto a quei dati”, “si tratta di una richiesta vessatoria”. Sono affermazioni che, salvo eccezioni puntualmente motivabili (artt. 12, par. 5, e 15, par. 4 GDPR sulle richieste manifestamente infondate o eccessive), non hanno alcun valore esimente se non supportate da un iter documentato e da una valutazione formalizzata al momento dei fatti, non costruita ex post per necessità defensionale.
I possibili scenari esitali
Sul piano degli esiti, l’istruttoria può evolvere lungo diverse direttrici, ciascuna con implicazioni operative distinte:
Archiviazione
Si verifica quando il titolare dimostra di aver risposto nei termini, oppure quando la richiesta era effettivamente riconducibile alle eccezioni di legge, oppure quando interviene una sanatoria tempestiva (riscontro tardivo ma completo, accompagnato da una ricostruzione credibile delle cause del ritardo). L’archiviazione non equivale all’assenza di rilievo: il fascicolo resta nella storia ispettiva del titolare e può incidere su valutazioni di recidiva in procedimenti futuri.
Richiamo o ammonimento (art. 58, par. 2, lett. b)
È l’esito più frequente nei casi di violazione procedurale non sistemica: il Garante riconosce l’inadempimento ma ne valuta la natura non strutturale, imponendo una correzione comportamentale senza sanzione pecuniaria. Resta comunque un provvedimento formale, pubblicato nel registro dei provvedimenti, con effetti reputazionali non trascurabili.
Ordine di conformarsi alle richieste dell’interessato (art. 58, par. 2, lett. c)
Il Garante impone l’esecuzione tardiva del diritto, fissando un termine perentorio, spesso accompagnato da successiva verifica di adempimento.
Sanzione amministrativa pecuniaria (art. 83 e art. 166 Codice Privacy)
Si configura nei casi di violazione reiterata, sistemica, o quando emerge totale assenza di procedure organizzative per la gestione dei diritti. L’entità della sanzione tiene conto di fattori aggravanti quali la natura, gravità e durata della violazione, il numero di interessati coinvolti, l’eventuale dolo o negligenza grave, le misure adottate per attenuare il danno e, soprattutto, il grado di cooperazione con l’Autorità durante l’istruttoria.
La cooperazione, va sottolineato con forza, non è un dettaglio procedurale: è un criterio esplicito di quantificazione sanzionatoria ex art. 83, par. 2, lett. f). Un’azienda che risponde in ritardo, con tono difensivo, omettendo documentazione o fornendo ricostruzioni incoerenti, aggrava la propria posizione indipendentemente dal merito della violazione originaria.
Il parere del DPO: un atto dovuto, non un’opzione discrezionale
Tra le funzioni che il GDPR attribuisce espressamente al Responsabile della Protezione dei Dati, l’art. 39, par. 1, lett. b), individua il compito di sorvegliare l’osservanza del Regolamento e di fornire, su richiesta, un parere in merito alla valutazione d’impatto. Ma la prassi consolidata e la lettura sistematica del ruolo del DPO impongono un’estensione naturale di questa funzione consultiva a ogni situazione in cui il titolare si trovi a interagire con l’Autorità di controllo, incluso il procedimento conseguente a un reclamo.
Va detto con chiarezza, perché è un punto che nella mia attività professionale ritengo non negoziabile: il DPO deve produrre un parere scritto, formale, datato e firmato, indipendentemente da come si concluderà il procedimento. Non è un adempimento che si giustifica solo in caso di sanzione, né un esercizio retorico da allegare alla difesa. È un atto di accountability autonomo, che certifica il momento in cui la funzione di controllo interno ha esercitato il proprio ruolo istituzionale, ha segnalato criticità, ha proposto correttivi, ha eventualmente dissentito da scelte operative assunte da altre funzioni aziendali.
Questo parere assolve a una duplice funzione, spesso sottovalutata. Da un lato, costituisce evidenza documentale a beneficio del titolare nei confronti dell’Autorità, dimostrando l’esistenza di un sistema di controllo interno effettivo e non meramente nominale. Dall’altro, e qui sta l’aspetto che ritengo decisivo, tutela la posizione personale e professionale del DPO stesso, il quale, ai sensi dell’art. 38, par. 3, non può essere rimosso o penalizzato per l’adempimento dei propri compiti, ma che deve poter dimostrare, con tracciabilità documentale, di aver esercitato la propria funzione di sorveglianza in modo indipendente e tempestivo, anche quando le proprie indicazioni non sono state seguite.
Il parere del DPO non si esaurisce quindi nell’esito del procedimento: che si tratti di archiviazione, ammonimento o sanzione, il parere resta il punto fermo, l’atto che certifica l’esercizio della funzione. Un DPO che non produce questo documento, limitandosi a un coinvolgimento informale o verbale, rinuncia a uno degli strumenti di tutela più solidi a propria disposizione e lascia l’organizzazione priva di una ricostruzione tecnica indipendente dei fatti.
L’errore sistemico: la totale inconsapevolezza del personale operativo
Ciò che osservo con preoccupante costanza, nell’attività di consulenza e nella gestione diretta di questi procedimenti, è la radicale assenza di consapevolezza diffusa tra i dipendenti aziendali circa le conseguenze concrete di una gestione superficiale dell’esercizio dei diritti. Non si tratta soltanto di ignorare i termini di legge: è la percezione stessa del rischio a essere distorta. Prevale la convinzione che “non succede nulla”, che un’istanza ignorata si esaurisca nel nulla, che il Garante non intervenga mai concretamente, che le sanzioni colpiscano solo le grandi violazioni di sicurezza e non le inadempienze procedurali apparentemente minori.
Questa sottovalutazione si riflette anche, e soprattutto, nel modo in cui l’azienda si pone nei confronti dell’Autorità una volta che il procedimento è avviato. Risposte tardive alle richieste istruttorie, toni polemici o minimizzanti nelle memorie difensive, ricostruzioni dei fatti incomplete o contraddittorie tra le diverse funzioni coinvolte: sono tutti elementi che il Garante valuta, esplicitamente, come indicatori di scarsa cooperazione e, indirettamente, come sintomo di un’organizzazione priva di cultura della protezione dati. Il modo in cui si risponde al Garante non è un dettaglio procedurale: è esso stesso oggetto di valutazione sanzionatoria.
Action plan operativo per il DPO
Alla luce di quanto sopra, ritengo che il protocollo operativo da seguire alla ricezione di una richiesta istruttoria del Garante conseguente a un reclamo per mancata risposta debba prevedere, in sequenza:
- Ricostruzione cronologica documentata dell’intera vicenda: data di ricezione dell’istanza originaria, canale utilizzato, soggetto che l’ha ricevuta, eventuali passaggi interni, motivi del ritardo o del mancato riscontro.
- Verifica della base giuridica di ogni eventuale rifiuto o limitazione opposta all’interessato, distinguendo nettamente tra eccezioni legittime (art. 12, par. 5, art. 15, par. 4) e mere omissioni organizzative.
- Coinvolgimento immediato e formale del DPO, con apertura di un fascicolo istruttorio interno separato da quello gestito dalle funzioni legali o di comunicazione esterna.
- Redazione del parere scritto del DPO, comprensivo di valutazione dei fatti, individuazione delle criticità organizzative, raccomandazioni correttive, eventuale segnalazione di responsabilità interne.
- Predisposizione della memoria difensiva da trasmettere all’Autorità, coerente con la ricostruzione fattuale, completa nella documentazione allegata, rispettosa dei termini procedimentali.
- Implementazione immediata dei correttivi, anche prima della conclusione del procedimento: registro delle istanze, workflow interno con responsabilità assegnate, formazione mirata del personale a contatto con gli interessati.
Conclusioni
La gestione dell’esercizio dei diritti non può continuare a essere trattata come un’attività di secondo livello, delegata a funzioni prive di formazione specifica e priva di tracciabilità documentale. Il reclamo al Garante, quando arriva, non è un evento imprevedibile: è la manifestazione di un rischio organizzativo preesistente, spesso noto e ignorato. Costruire consapevolezza significa investire in formazione continua, in procedure scritte, in un registro strutturato delle istanze e, soprattutto, nel pieno riconoscimento del ruolo consultivo e di controllo del DPO, il cui parere formale resta, in ogni scenario esitale, l’unico atto capace di certificare che la funzione di garanzia ha operato come previsto dal Regolamento.
Partecipa alla community