tramite raccolta o richiesta di informazioni o di esibizione di documenti, rivolte anche direttamente al soggetto

Transcript

1 Privacy Tutela dei dati personali: i controlli da parte dell autorità garante Nel presente articolo vengono illustrati i poteri di controllo del rispetto della disciplina sulla protezione dei dati personali in capo all Autorità Garante, che si può avvalere anche della collaborazione con alcuni organi dello Stato come ad esempio la Guardia di Finanza, con la quale esiste un protocollo d intesa. a cura di Patrizia Ghini - Dottore Commercialista in Milano - Studio Ghini Ledda Tra i compiti dell Autorità Garante per la protezione dei dati personali, contemplati nell art. 154 del Codice privacy (D.Lgs. 30 giugno 2003, n. 196, da qui in avanti il «Codice»), vi è quello di «controllare se i trattamenti sono effettuati nel rispetto della disciplina applicabile e in conformità alla notificazione, anche in caso di loro cessazione». L attività di accertamento e controllo è disciplinata attraverso gli artt del predetto Codice. Le possibili forme di controllo L esercizio dell attività di controllo è guidata dai principi di proporzionalità, adeguatezza e gradualità, tenendo presente, di volta in volta: il contesto operativo di riferimento (rischio di dispersione o di alterazione degli elementi di prova); la disponibilità o meno del soggetto controllato ad una collaborazione nello svolgimento delle verifiche. I controlli specifici del Garante per la privacy possono essere originati da esigenze di verifica o approfondimento originate da: segnalazioni; reclami; ricorsi; notizie comunque acquisite direttamente dall Ufficio del Garante. I controlli possono derivare altresì da: iniziative autonome dell Autorità stessa (in relazione, ad esempio, alla verifica del rispetto degli adempimenti da parte di particolari categorie di «titolari» appartenenti a determinati settori). I controlli possono essere effettuati: tramite raccolta o richiesta di informazioni o di esibizione di documenti, rivolte anche direttamente al soggetto controllato; mediante accessi ai luoghi dove si svolge il trattamento nei quali si renda utile effettuare rilevazioni ai fini del controllo stesso. Nella tavola 1 si riassumono le principali norme di riferimento. I controlli previsti dall art. 158 del Codice sono disposti quando, per acquisire gli elementi necessari alla definizione di una vicenda, non sia idonea una mera richiesta di informazioni odi esibizione di documenti o nei casi in cui non siano state fornite tempestivamente le informazioni o i documenti richiesti dall Autorità (o, se pervenuti, siano incompleti o non veritieri). A differenza di quella ex art. 157, l attività di controllo prevista dall art. 158 del Codice è una potestà con caratteri «inquisitori» e i soggetti interessati agli accertamenti, quindi, sono obbligati a permettere la loro regolare esecuzione. Le modalità di esercizio dell attività di controllo Come accennato, utilizzando i poteri previsti dal Codice, le attività di controllo dell Autorità Garante per la privacy possono consistere in ispezioni effettuate materialmente nei luoghi dove si svolgono trattamenti di dati personali. In tal caso, il Titolare del trattamento (es. la società, l impresa individuale, ecc.) deve essere informato delle attività di controllo espletate presso le sue sedi. Detta informazione può essere fornita direttamente al suo Responsabile del trattamento, se designato; se dovesse mancare o essere 16 Azienda & Fisco n. 23/2006

2 TAVOLA N. 1 Riferimento normativo Art. 157 Rubrica della disposizione Richiesta di informazioni e di esibizione di documenti Contenuto della disposizione 1. Per l espletamento dei propri compiti il Garante può richiedere al titolare, al responsabile, all interessato o anche a terzi di fornire informazioni e di esibire documenti. Art. 158 Accertamenti 1. Il Garante può disporre accessi a banche di dati, archivi o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al controllo del rispetto della disciplina in materia di trattamento dei dati personali. 2. I controlli di cui al comma 1 sono eseguiti da personale dell Ufficio. Il Garante si avvale anche, ove necessario, della collaborazione di altri organi dello Stato. 3. Gli accertamenti di cui al comma 1, se svolti in un abitazione o in un altro luogo di privata dimora o nelle relative appartenenze, sono effettuati con l assenso informato del titolare o del responsabile, oppure previa autorizzazione del presidente del tribunale competente per territorio in relazione al luogo dell accertamento, il quale provvede con decreto motivato senza ritardo, al più tardi entro tre giorni dal ricevimento della richiesta del Garante quando è documentata l indifferibilità dell accertamento. Commento I controlli di cui all art. 157 hanno una valenza per così dire «collaborativa». Il Garante adotta la predetta procedura: nei confronti di soggetti e in relazione a materie per le quali ritiene di non dover procedere all accesso fisico nei luoghi del «trattamento» dei dati, oppure quando sono necessarie informazioni analitiche che Titolare e Responsabile/i potrebbero avere difficoltà a fornire in modo esaustivo, nonché quando devono essere effettuati controlli incrociati rispetto a trattamenti di dati personali che interessino più Titolari. Il carattere «collaborativo» di tali attività di controllo è evidenziato anche dalla prassi, seguita spesso dall Autorità per la privacy, di preannunciare le iniziative ai destinatari delle stesse. In ogni caso, i soggetti interpellati sono tenuti a fornire informazioni non false od omissive e ad esibire documenti genuini, al fine di non essere passibili: della sanzione di carattere penale prevista dall art. 168 del Codice privacy (Falsità nelle dichiarazioni al Garante), o della sanzione amministrativa di cui all art. 164 (Omessa informazione o esibizione al Garante). Gli accertamenti previsti dall art. 158 sono disposti: quando, per acquisire gli elementi necessari alla compiuta definizione del contesto, non sia ritenuto sufficiente procedere con una mera richiesta di informazioni o di esibizione di documenti, ovvero nei casi in cui le informazioni o i documenti richiesti non siano pervenuti o siano ritenuti incompleti o non veritieri. Azienda & Fisco n. 23/

3 assente il Responsabile, potranno essere gli «incaricati del trattamento» a ricevere la notizia. Ai controlli possono assistere anche persone indicate dal Titolare o dal suo Responsabile (es. dipendenti, collaboratori, consulenti). Se vengono svolti in un abitazione o in un altro luogo di privata dimora, i controlli del Garante possono essere effettuati: con l assenso informato del Titolare del trattamento (o del Responsabile del trattamento), da documentare per iscritto; previa Autorizzazione dell Autorità giudiziaria (Decreto motivato del Presidente del Tribunale competente per territorio in relazione al luogo dell accertamento). Al soggetto presso il quale è effettuato il controllo deve essere consegnata copia dell autorizzazione del Presidente del tribunale, ove rilasciata. In caso di rifiuto del Titolare, qualora esista la suddetta autorizzazione dell Autorità giudiziaria, gli accertamenti possono essere comunque eseguiti; in tal caso, con il provvedimento che definisce il procedimento, che per questa parte costituisce titolo esecutivo (ex artt. 474 e 475 del Codice di procedura civile), le spese sostenute sono poste a carico del Titolare del trattamento. Di regola, le operazioni di controllo nei luoghi fisici possono svolgersi solo entro una certa fascia oraria: non possono iniziare prima delle ore sette del mattino; non possono proseguire oltre le ore venti (salvo diversa autorizzazione dell Autorità giudiziaria). Non è necessario il preavviso, che è comunque possibile quando possa facilitare l esecuzione dei controlli. Il personale preposto ai controlli dell Ufficio del Garante deve presentarsi munito di documento di riconoscimento. Se ritenuto necessario, può essere assistito da consulenti. I controllori, nel procedere a rilievi e ad operazioni tecniche, possono estrarre copia di ogni atto, dato e documento (anche a campione e su supporto informatico o per via telematica). Le attività effettuate nel corso del controllo devono essere verbalizzate. Dal verbale devono risultare tutti gli elementi rilevanti occorsi durante le operazioni; deve essere fatto riferimento alle informazioni e alla documentazione eventualmente acquisita e devono essere annotate anche eventuali dichiarazioni dei presenti. Nel corso o al termine del procedimento ispettivo, l Autorità Garante: può prescrivere le modificazioni necessarie o opportune al fine di rendere il trattamento dei dati personali conforme alle disposizioni vigenti; può emanare un provvedimento di divieto o blocco del trattamento (v. artt. 143, 144 e 154 del Codice); può contestare le violazioni amministrative eventualmente constatate; nei casi più gravi previsti dalla legge, procede alla comunicazione di notizia di reato all Autorità giudiziaria, per l accertamento delle violazioni penalmente rilevanti. L andamento dei controlli: il loro potenziamento Nella propria Relazione annuale, l Autorità Garante dà atto che nel corso del 2005 si è registrato un importante incremento delle attività ispettive (+130% rispetto al 2004), quale effetto di una serie di azioni rientranti nel processo di potenziamento delle attività di controllo in materia di privacy. Nell ultima Relazione annuale si legge quanto segue: «Il Garante, per svolgere al meglio i compiti di garanzia dei cittadini e per evitare che, nell esercizio dell attività di impresa, soggetti poco virtuosi acquisiscano rendite illecite sulla base di trattamenti di dati personali effettuati in contrasto con la legge, a danno delle altre imprese, ha investito nuovamente in modo significativo sull attività ispettiva attraverso: una revisione e un potenziamento organizzativo del Dipartimento che cura tale attività; la firma di un nuovo protocol- 18 Azienda & Fisco n. 23/2006

4 lo di intesa con la Guardia di Finanza; l introduzione di una nuova procedura di programmazione delle attività ispettive tesa ad intensificare ulteriormente il controllo su determinati settori di volta in volta individuati in ragione di una più specifica attività di analisi». Sotto il profilo organizzativo, internamente all Ufficio del Garante è stata istituita una nuova unità organizzativa (il «Dipartimento attività ispettive e sanzioni»). Ad essa competono specificamente: l espletamento dell attività ispettiva; la contestazione e l applicazione delle sanzioni amministrative (spesso connesse all attività ispettiva stessa); la gestione dei rapporti con l Autorità giudiziaria; la cura dei controlli nei confronti dei settori che hanno evidenziato il più alto coefficiente di inadempimento. Una spinta al potenziamento dell attività ispettiva è dipendente dall intensificarsi dell attività di prevenzione attraverso gli accertamenti cd. di iniziativa, vale a dire i controlli avviati dall Autorità anche in assenza di specifica sollecitazione da parte di soggetti interessati (attraverso segnalazioni, reclami o ricorsi). Nel 2005 l attività d iniziativa ha avuto una forte incidenza nel totale dei controlli effettuati dall Autorità (circa il 70%). Tale forma di controllo è programmata con cadenza semestrale, sulla base delle risorse disponibili, in funzione di linee di indirizzo (settori e ambiti delle ispezioni)che vengono di volta in volta rese pubbliche. Con tale sistema, attraverso verifiche effettuate nei confronti di più soggetti operanti nello stesso settore o che effettuano tipologie omogenee di trattamento, il Garante ritiene di poter acquisire importanti elementi di valutazione in ordine ai seguenti aspetti: livello di adeguamento al Codice degli operatori appartenenti ad un determinato settore (ad es., società di selezione e collocamento del personale) o che utilizzano i dati personali per particolari finalità (ad es., profilazione dei clienti attraverso l uso di tessere di fidelizzazione); fenomeni di ampia portata che possono costituire presupposto per l adozione di Provvedimenti generali dell Autorità (diretti, cioè, ad un insieme indeterminato di operatori); verifica dell impatto dei Provvedimenti adottati. La collaborazione con altri organi dello Stato Nell ambito dei controlli compiuti fisicamente presso i luoghi appartenenti ai titolari del trattamento (es. uffici aziendali), negli ultimi tre anni l elemento determinante per lo sviluppo e il concreto espletamento delle attività ispettive dell Autorità Garante è stato il protocollo di intesa con la Guardia di Finanza. Il più recente, siglato presso il Comando generale della GdF in data 11 novembre 2005, è stato voluto in considerazione dell apprezzato grado di collaborazione nell attività di controllo raggiunto a seguito del protocollo del 2002 e dell accresciuta capacità operativa della GdF collegata all istituzione, nel suo ambito, di un apposito reparto specializzato nell attività di vigilanza in materia di protezione dei dati personali (il «Nucleo funzione pubblica e privacy» della GdF). Tale reparto è stato sottoposto a un intensa attività di formazione volta a creare le necessarie competenze per i controlli sulla normativa in materia di protezione dei dati personali. In base all attuale protocollo d intesa, la Guardia di Finanza: a) assicura al Garante la collaborazione nell attività ispettiva, attraverso: la partecipazione di proprio personale agli accessi alle banche dati, ispezioni, verifiche e alle altre rilevazioni nei luoghi ove si svolge il trattamento; l assistenza nei rapporti con l Autorità giudiziaria; lo sviluppo di attività ispettive delegate o subdelegate per l accertamento delle violazioni; la contestazione delle sanzioni amministrative rilevate nell ambito delle attività delegate; Azienda & Fisco n. 23/

5 l esecuzione di indagini conoscitive sullo stato di attuazione del Codice in determinati settori; la segnalazione all Autorità di situazioni rilevanti, ai fini dell applicazione della legge, acquisite anche nell esecuzione di altri compiti di istituto; b) si impegna a rilevare e segnalare all Autorità Garante tutte le situazioni rilevanti sotto il profilo dell applicazione della normativa privacy di cui venga a conoscenza nell ambito dello svolgimento delle proprie attività di controllo, attuate anche con altre finalità (ad esempio, nell ambito dei controlli tributari). Attualmente, quindi, ogni qualvolta ritenga necessario avvalersi della collaborazione della Guardia di Finanza, il Garante può attivare il «Nucleo speciale funzione pubblica e privacy» che, disponendo di personale specializzato, provvede direttamente ad effettuare i controlli ai fini della privacy (avvalendosi anche dei reparti del Corpo territorialmente competenti). Le informazioni e i documenti acquisiti nell ambito degli accertamenti della GdF vengono trasmessi all Autorità Garante per la privacy per le successive analisi in ordine alla liceità del trattamento e al rispetto dei principi previsti dalla normativa in argomento. Quando nell ispezione emergono violazioni che appaiono penalmente rilevanti, la Guardia di Finanza procede ad inoltrare la notizia di reato all Autorità giudiziaria. La Guardia di Finanza può procedere direttamente, invece, alla contestazione delle violazioni amministrative. Gli esiti ufficiali dell attività di controllo Dall ultima Relazione annuale dell Autorità Garante, si rileva che gli accertamenti effettuati nel 2005 hanno riguardato sia l ambito pubblico (circa il 20%), sia quello privato (poco meno dell 80% del totale). I principali settori nei quali sono stati effettuati controlli d iniziativa volti a verificare il rispetto dei principali adempimenti previsti dalla normativa sono stati i seguenti (tra parentesi il numero dei controlli compiuti nel 2005): aziende sanitarie locali (43); società di ricerca e selezione del personale (40); società di gestione di alberghi (21); società che effettuano sondaggi di opinione (18); palestre e centri benessere (12); laboratori di analisi che effettuano anche trattamenti di dati genetici (10); società che utilizzano tessere di fidelizzazione (10); società che utilizzano sistemi di videosorveglianza in luoghi aperti al pubblico (tra cui servizi di trasporto ferroviario, metropolitano e aeroportuale) (7); società ed enti che effettuano trattamenti di dati biometrici (5); società che gestiscono sistemi di informazione creditizia, cd. centrali rischi private (4); società che forniscono nuovi servizi televisivi (digitale terrestre e web TV) (2); operatori telefonici, con riguardo alla data retention dei dati di traffico telefonico e telematico (2). Oltre alle ispezioni di iniziativa, di cui sopra, sono state effettuati ulteriori 56 accertamenti in relazione a segnalazioni, reclami e ricorsi pervenuti al Garante o comunque necessari per definire procedimenti aperti dall Autorità nei confronti di titolari del trattamento. Delle 230 attività ispettive effettuate nel 2005: 22 sono state curate direttamente dal Dipartimento attività ispettive e sanzioni del Garante; 208 sono state effettuate dalla Guardia di Finanza, dietro incarico del Garante. Dalla più recente Relazione annuale del Garante, emerge la seguente suddivisione territoriale dei controlli compiuti: nord (97); centro (62); sud (71). Nel totale delle ispezioni effettuate, in circa il 44% dei casi sono state contestate violazioni. Le violazioni penali segnalate all Autorità giudiziaria hanno riguardato ipotesi di: 20 Azienda & Fisco n. 23/2006

6 trattamento illecito di dati personali (1), inosservanza dei Provvedimenti del Garante e false dichiarazioni al Garante (2), omessa adozione di misure di sicurezza (4). Le sanzioni amministrative contestate hanno riguardato: l omessa Notifica al Garante (61); l omessa o inidonea Informativa all interessato (24); l omessa risposta alle richieste di informazione del Garante (8); la mancata acquisizione del consenso preventivo del consumatore per l utilizzo di sistemi del telefono, della posta elettronica, di sistemi automatizzati di chiamata senza l intervento di un operatore o di fax prevista dall art. 12 del d.lg n. 185/1999 (v. ora art. 62 d.lg. 6 settembre 2005, n. 206, recante il Codice del consumo) (1). Undici sono stati i procedimenti connessi al cd. «ravvedimento operoso» in materia di misure minime di sicurezza, previsto dall art. 168, comma 2, del Codice, in relazione ai quali sono state impartite dodici prescrizioni. Sempre nel 2005, il «Dipartimento attività ispettive e sanzioni» ha provveduto, tramite il Nucleo speciale della Guardia di Finanza, alla notifica di 70 atti, tra proroghe e decisioni di ricorsi e, in generale, Provvedimenti dell Autorità. Azienda & Fisco n. 23/