Quelli dei reclami e dei ricorsi giurisdizionali sono due degli argomenti trattati al Capo VIII (Mezzi di ricorso, responsabilità e sanzioni) del Regolamento 2016/679 UE (Gdpr) che, oltre agli aspetti che saranno trattati in questo articolo – diritto di proporre reclamo all’Autorità di controllo (Art. 77); diritto a un ricorso giurisdizionale effettivo nei confronti dell’Autorità di controllo (Art. 78); diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento (Art. 79); rappresentanza degli interessati (Art. 80) – tratta anche della sospensione delle azioni, del diritto al risarcimento e responsabilità, delle condizioni generali per infliggere sanzioni amministrative pecuniarie e delle sanzioni di cui parleremo nei prossimi articoli.
Ad essi si aggiunge il tema delle segnalazioni di cui all’Art. 144 del D. Lgs. 196/2003 così come modificato dall’Art. 13 del D. Lgs. 101/2018.
Gdpr e uniformità del trattamento dati
Fondamentali contributi interpretativi sulla sui temi che qui saranno trattati li troviamo nei Considerando 141, 142, 143, 145 e 147 del GDPR così come devono essere tenute ben presenti le novelle contenute negli Artt. 15 e 17 nel Decreto di adeguamento della normativa nazionale al Regolamento 2016/679 UE (D. Lgs. 101/2018) che, per altro – a parere di chi scrive – avrebbe dovuto constare di un unico articolo: Art. 1 «Il D. Lgs.196/2003 è abrogato». Quello che è invece accaduto con il decreto 101 del 2018 ha dato a tutti uno strumento in più per parlare del Regolamento 2016/679 UE come di una direttiva camuffata ben lontana dal determinare un trattamento uniforme dei dati personali per tutti i cittadini dell’Unione europea e altrettanto ben lontana dal rafforzare il diritto alla protezione dei loro dati personali oltre a, come vedremo tra poco, generare continui rimandi normativi, confusione interpretativa e trattamenti diversi in Paesi diversi. Appunto!
Ma sviluppiamo gli argomenti di giornata: reclami, ricorsi, segnalazioni, rappresentanza.
I reclami e i ricorsi
I primi dati raccolti successivamente all’entrata in vigore del GDPR ci dicono che gli interessati hanno utilizzato lo strumento del reclamo maggiormente rispetto al passato in tutta Europa con un incremento dei reclami nel periodo 25 maggio – 31 dicembre 2018 di circa il 45% rispetto al periodo precedente.
È noto infatti che, tra gli obblighi introdotti dal GDPR, c’è anche quello di informare esplicitamente l’interessato – quando i dati personali siano raccolti presso di lui – del suo «diritto di proporre reclamo ad un Autorità di controllo» (Art. 13, c. 2, lett, d).
È altresì noto che l’Art. 77 GDPR dispone che «fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente Regolamento, ha diritto di proporre reclamo a un’Autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione».
Quindi, il primo rimedio che il Regolamento 2016/679 all’Art. 77 (Diritto di proporre un reclamo all’Autorità di controllo) prevede a tutela dell’interessato avverso una violazione perpetrata nell’ambito di un trattamento di dati è, appunto, il reclamo all’Autorità di controllo. La competenza in questo caso, lo ribadiamo, è stabilita in base al luogo di residenza abituale o di lavoro dell’interessato, oppure al luogo in cui si è verificata la violazione.
In esecuzione delle già menzionate norme e di quanto previsto dal nuovo Codice Privacy così come modificato dal D. Lgs. 101/2018, il nostro Garante per la Protezione dei Dati ha pubblicato sul proprio sito un modello di reclamo utilizzabile da chiunque.
Sempre in merito al reclamo – ricordiamo strumento gratuito che non richiede particolare consulenza legale – il Garante precisa che «il reclamo è lo strumento che consente all’interessato di rivolgersi al Garante per la protezione dei dati personali per lamentare una violazione della disciplina in materia di protezione dei dati personali (…) e di richiedere una verifica dell‘Autorità.».
Il reclamo all’Autorità di controllo (nel nostro caso l’Autorità Garante per la protezione dei dati personali) è lo strumento – fatto salvo ogni altro ricorso amministrativo o giurisdizionale che richiedono invece assistenza e consulenza legale – che consente all’interessato di rivolgersi al Garante dello Stato membro in cui risiede abitualmente, lavora oppure del luogo nel quale si è verificata la presunta infrazione per lamentare la violazione della disciplina in materia di trattamento dei dati personali ex GDPR Art. 77 (Diritto di proporre un reclamo all’Autorità di controllo) e D. Lgs. 196/2003 Artt. 140 bis (Forme alternative di tutela), 141 (Reclamo al garante), 142 (Proposizione del reclamo), 143 (Decisioni del reclamo) e 144 (Segnalazioni) introdotti e novellati dal D. Lgs. 101/2018 recante disposizioni per l’adeguamento dell’ordinamento nazionale al GDPR e di richiedere una verifica dell’Autorità.
L’Art. 140 bis del nostro attuale Codice Privacy, sotto la rubrica “Forme alternative di tutela” della Parte III (Tutela dell’interessato e sanzioni), Titolo I (Tutela amministrativa e giurisdizionale), Capo 0.I (Alternatività delle forme di tutela) stabilisce, infatti, che «qualora ritenga che i diritti di cui gode sulla base della normativa in materia di protezione dei dati personali siano stati violati, l’interessato può proporre reclamo al Garante o ricorso dinanzi all’Autorità Giudiziaria. Il reclamo al Garante non può essere proposto se, per il medesimo oggetto e tra le stesse parti, è stata già adita l’Autorità giudiziaria. La presentazione del reclamo al Garante rende improponibile un’ulteriore domanda dinanzi all’Autorità giudiziaria tra le stesse parti e per il medesimo oggetto (…)».
Il nostro Legislatore ha, cioè, imposto all’interessato un’alternativa obbligata tra:
- proporre reclamo al Garante;
- adire l’Autorità giudiziaria.
Sulla scelta obbligata tra una delle due strade in molti hanno espresso qualche perplessità in merito alla sua legittimità sia alla luce di quanto prevede l’Art. 77 GDPR (Diritto di proporre reclamo all’Autorità di controllo) sia perché si è creata una situazione di disparità di trattamento dei dati personali con gli interessati di altri Stati membri non soggetti a questa scelta forzata cosa che si sarebbe voluto evitare con il Regolamento 2016/679.
Però è nel D. Lgs. 101/2018 che possiamo rinvenire le modalità attraverso le quali sarà possibile proporre reclamo al Garante della privacy in conformità con quanto stabilito dal GDPR.
Infatti, mentre la vecchia formulazione del D. Lgs. 196/2003 prevedeva la possibilità per l’interessato di promuovere reclami e ricorsi al Garante della privacy e, in particolare, l’interessato poteva presentare un reclamo al Garante per rappresentare una violazione della disciplina rilevante in materia di trattamento di dati personali (Art.141, D. Lgs. 196/2003 vecchia formulazione oggi modificato «L’interessato può rivolgersi al Garante: a) mediante reclamo circostanziato nei modi previsti dall’articolo 142, per rappresentare una violazione della disciplina rilevante in materia di trattamento di dati personali; b) mediante segnalazione, se non è possibile presentare un reclamo circostanziato ai sensi della lettera a), al fine di sollecitare un controllo da parte del Garante sulla disciplina medesima; c) mediante ricorso, se intende far valere gli specifici diritti di cui all’articolo 7 secondo le modalità e per conseguire gli effetti previsti nella sezione III del presente capo.») mentre avrebbe potuto utilizzare la forma del ricorso al Garante contro il Titolare del trattamento, in relazione a violazioni sui diritti di cui alla vecchia formulazione dell’Art.7 (oggi abrogato) «1. L’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. 2. L’interessato ha diritto di ottenere l’indicazione: a) dell’origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’articolo 5, comma 2; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati. 3. L’interessato ha diritto di ottenere: a) l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. 4. L’interessato ha diritto di opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta; b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.») del vecchio Codice Privacy, oggi la novella del D. Lgs. 101/2018 allineandosi alle disposizioni del Regolamento 2016/679 UE che all’Art. 77 consente all’interessato di proporre reclamo all’Autorità di controllo qualora ritenga che il trattamento che lo riguarda abbia violato una disposizione del Regolamento stesso, eliminando la forma del ricorso al Garante, riunendo nel reclamo tutte le forme di richiesta di intervento dell’Autorità di controllo in relazione a trattamenti non conformi.
In altri termini, anche in merito a violazioni che abbiano a che fare con i diritti di cui agli Artt. da 15 a 22 del GDPR (in sostanza quelli appena menzionati dell’Art.7 del vecchio D. Lgs. 196/2003) si potrà proporre reclamo al Garante. Allo stesso modo, qualora un trattamento di dati personali violi i diritti riconosciuti dal Regolamento, l’interessato può rivolgersi all’Autorità giurisdizionale, agendo direttamente nei confronti del titolare o del responsabile del trattamento. In tal caso il Foro, alternativo, è quello di stabilimento di titolare e responsabile oppure di residenza abituale dell’interessato (Art. 79 GDPR).
Resta l’alternatività obbligatoria delle forme di tutela, Garante o Autorità giudiziaria, che viene estesa a tutti i casi. Infatti, mentre la vecchia formulazione limitava l’alternatività delle forme di tutela alle sole violazioni dei diritti di cui all’Art.7 del Codice della privacy, il D. Lgs. 101/2018, introducendo il nuovo Art.140 bis (Forme alternative di tutela) al D. Lgs. 196/2003, stabilisce che un interessato, in tutti i casi in cui ritenga che un trattamento dei dati che lo riguarda sia svolto in violazione delle disposizioni del GDPR, possa rivolgersi alternativamente al Garante mediante reclamo o all’Autorità giudiziaria mediante ricorso. Tuttavia, se tra le medesime parti e per il medesimo oggetto è già stata avviata un’azione davanti all’Autorità giudiziaria, il reclamo al Garante non può essere proposto, come del resto, viceversa, la presentazione del reclamo al Garante rende improponibile un’ulteriore domanda dinanzi all’Autorità giudiziaria tra le stesse parti e per il medesimo oggetto, salvo quanto previsto dal D. Lgs. 150/2011 (Disposizioni complementari al codice di procedura civile in materia di riduzione e semplificazione dei procedimenti civili di cognizione, ai sensi dell’articolo 54 della legge 18 giugno 2009, n. 69.) all’Art.10, c. 4, del (Delle controversie in materia di applicazione delle disposizioni del codice in materia di protezione dei dati personali).
Infatti, benché il reclamo rappresenti come abbiamo visto, secondo il GDPR, lo strumento d’elezione in mano all’interessato per sollecitare l’Autorità di controllo a svolgere le opportune verifiche in casi di non conformità e a adottare i provvedimenti più idonei per far cessare le violazioni, occorre, però, ribadire che, in Italia, il reclamo si pone come alternativo all’azione giudiziaria.
Al fine di consentire il coordinamento delle azioni delle Autorità di Controllo dei diversi Stati Membri il Regolamento prevede un dovere di cooperazione (Art. 60 GDPR – Cooperazione tra l’Autorità di controllo capofila e le altre Autorità di controllo interessate) in forza del quale, in pendenza di più azioni relative allo stesso Titolare del trattamento dei dati o Responsabile del trattamento dei dati, le Autorità adite prendono contatto e quella successivamente coinvolta può sospendere l’azione, oppure dichiarare la propria incompetenza su richiesta delle parti, a condizione che la prima sia competente e che sia possibile per Legge una riunione dei procedimenti.
Il contenuto del reclamo al Garante della Privacy
Il reclamo al Garante deve contenere:
- un’indicazione per quanto possibile dettagliata: dei fatti e delle circostanze su cui si fonda; delle disposizioni che si presumono violate; delle misure richieste;
- gli estremi identificativi del Titolare o del Responsabile del trattamento, ove conosciuto.
Il reclamo deve essere sottoscritto dall’interessato oppure, su mandato dell’interessato stesso, da un Ente del terzo settore soggetto alla disciplina del D. Lgs. 117/2017 (Codice del Terzo settore, a norma dell’articolo 1, comma 2, lettera b), della legge 6 Giugno 2016, n. 106.) che sia attivo nel settore della tutela dei diritti e delle libertà degli interessati, con riguardo alla protezione dei dati personali.
Al reclamo dovranno essere allegati i documenti utili per provare quanto sostenuto e l’eventuale mandato, indicando un recapito per l’invio di comunicazioni anche tramite posta elettronica, telefax o telefono.
Il procedimento con cui il Garante esaminerà i reclami, le modalità di trattazione semplificate e i tempi ristretti in relazione alla trattazione di quei reclami che abbiano ad oggetto questioni riferite all’esercizio dei diritti di cui agli Articoli da 15 a 22 del GDPR (diritti degli interessati) verrà disciplinato tramite Regolamento del Garante.
Al termine dell’istruttoria preliminare, se il reclamo non risulta manifestamente infondato e se sussistono i presupposti per adottare un provvedimento, il Garante, anche prima della definizione del procedimento, può decidere mediante i rimedi – poteri di indagine (c. 1), poteri correttivi (c. 2), poteri autorizzativi e consultivi (c. 3) – ex Art. 58 (Poteri) del Regolamento.
I provvedimenti adottati sono pubblicati nella Gazzetta Ufficiale della Repubblica italiana se i relativi destinatari non sono facilmente identificabili per il numero o per la complessità degli accertamenti.
I tempi (lunghi) per decidere
Uno dei punti deboli della questione è quello relativo ai tempi. Infatti, il Garante per il trattamento dei dati è tenuto a adottare ex Art. 143 (Decisione del reclamo) D. Lgs. 196/2003 (articolo sostituito dall’Art. 13, c. 1, lett. f) del D. Lgs. 101/2018) una decisione in merito al reclamo entro nove mesi dalla data della sua presentazione ma entro tre mesi dalla predetta data dovrà informare l’interessato sullo stato del procedimento. Mentre nulla si dice in merito al trascorrere dei successivi periodi di tre mesi anche in considerazione del fatto che, in via eccezionale, laddove la fase istruttoria dovesse risultare particolarmente complessa, la decisione del Garante potrà essere emessa entro dodici mesi, ma di tale, e solo di tale, dilazione dei termini, il Garante dovrà tenere informato l’interessato. Inoltre, in caso di attivazione del procedimento di cooperazione previsto dall’Art. 50 del GDPR il termine rimane sospeso. Anche in questo caso nulla si dice in merito alle informazioni da fornire all’interessato.
Tempi oggettivamente troppo lunghi e poche informazioni in itinere quando il “maltrattamento” dei dati personali potrebbe essere o essere stato la causa di danni anche rilevanti per l’interessato.
Nel caso in cui l’Autorità non provveda in relazione al reclamo presentato, non fornisca informazioni sull’esito dello stesso entro tre mesi (i primi), e in generale, avverso qualunque decisione giuridicamente vincolante di un’Autorità di controllo, invece, l’interessato ha diritto a proporre un ricorso giurisdizionale “effettivo” innanzi all’Autorità giurisdizionale dello Stato in cui l’Autorità di Controllo è stabilita (Art. 78 GDPR).
È chiaro, infatti, che se i tempi di attesa per l’esame dei reclami e per l’adozione delle opportune misure di contrasto si dilaterà oltre ogni ragionevole aspettativa, l’unica concreta possibilità di tutela per l’interessato rimarrà quella giudiziaria, che ha un costo, necessità di assistenza legale e quindi non sarà percorribile da tutti ed in tutte le situazioni.
Le segnalazioni
Inoltre, il Garante potrà adottare i citati provvedimenti di cui all’Art. 58 del GDPR anche d’ufficio oppure sulla base di una mera segnalazione – quindi senza particolari formalità – in merito a una violazione sul trattamento dei dati personali.
Infatti, lo strumento della segnalazione si differenzia dal reclamo poiché, quest’ultimo, consente all’interessato (Titolare dei dati) di circostanziare in maniera più dettagliata la violazione per la quale si richiede l’intervento del Garante. Al reclamo segue un’istruttoria preliminare e un eventuale successivo procedimento amministrativo formale.
Rappresentanza degli interessati
Il Regolamento prevede (Art. 80 c.1 GDPR – Rappresentanza degli interessati), la possibilità che l’interessato si rivolga a un suo rappresentante – dandogli mandato di proporre reclamo per suo conto e di esercitare per suo conto i diritti di cui agli Artt. 77, 78 e 79 GDPR – per far valere i propri diritti, purché si tratti di un Organismo, un’Organizzazione o Associazione senza scopo di lucro che siano debitamente costituiti secondo il diritto dello Stato membro – per l’Italia il D. Lgs. 117/2017 (Codice del Terzo settore, a norma dell’articolo 1, comma 2, lettera b), della legge 6 Giugno 2016, n. 106.) – i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati. Possiamo considerare tali le Associazioni costituite a tutela dei consumatori ma una verifica statutaria e, soprattutto, in concreto dell’attività dell’Associazione è necessaria al fine di non incorrere in errori dal momento che né nel GDPR né altrove nulla si rinviene riguardo alla sufficienza della formalità o alla necessità dell’effettività.
Gli Stati membri possono prevedere che i medesimi Enti (Art. 80 c. 2 GDPR) indipendentemente dal mandato (eventuale) conferito dall’interessato abbiano diritto di proporre, in tale Stato membro, un reclamo all’Autorità di controllo competente o di esercitare i diritti di cui agli Artt. 78 e 79 GDPR, qualora ritenga che i diritti di cui un interessato gode ai sensi del GDPR siano stati violati in seguito al trattamento.
