Procedimento dinanzi al Garante privacy: suggerimenti per strutturare una difesa efficace - Cyber Security 360

IL VADEMECUM

Procedimento dinanzi al Garante privacy: suggerimenti per strutturare una difesa efficace

Nell’esercizio dei suoi poteri di indagine, il Garante privacy può avviare un procedimento formale per l’adozione di provvedimenti correttivi e sanzionatori in ordine a presunte violazioni del GDPR. Un momento cruciale per l’impresa coinvolta. Ecco qualche suggerimento utile per strutturare una difesa efficace

05 Ott 2021
A
Giuseppe Alverone

DPO Certificato UNI 11697:2017

Estote parati! (siate preparati/pronti): questa nota locuzione latina, di origine evangelica – spesso utilizzata per esortare persone od organizzazioni ad essere sempre vigili e pronti a fronteggiare situazioni che possano determinare impatti gravosi – potrebbe/dovrebbe essere adottata come motto da tutte le organizzazioni pubbliche e private che trattano dati personali in qualità di titolari o responsabili, soprattutto in relazione alla possibilità di essere soggetti ad attività ispettive e di revisione del Garante della protezione dei dati personali e ad eventuali conseguenti procedimenti formali per l’adozione di provvedimenti correttivi e sanzioni amministrative.

Ecco perché appare utile, anzi necessario, avere un quadro chiaro e coerente degli adempimenti e accorgimenti da porre in essere al momento dell’avvio del procedimento, per evitare o quantomeno temperare l’irrogazione di gravose sanzioni pecuniarie e/o la limitazione provvisoria o definitiva del trattamento o la sospensione dei flussi di dati verso un destinatario in un paese terzo[1], con pesanti possibili ricadute sulla business continuity.

Si forniscono, quindi, di seguito alcuni suggerimenti per strutturare una difesa efficace, volta ad evitare o quantomeno ad attenuare i provvedimenti correttivi e/o le sanzioni amministrative pecuniarie.

Ispezione del Garante Privacy: le buone regole per gestirla correttamente

L’istruttoria preliminare

Il Garante per la protezione dei dati personali, all’interno di un ampio perimetro costituito dalla “linea di conformità” al GDPR[2]. e simmetricamente correlato alla sfera di “accountability” del titolare del trattamento[3] esercita incisivi poteri di indagine consistenti nella possibilità di:

  1. richiedere al titolare, al responsabile, al rappresentante del titolare o del responsabile, all’interessato o anche a terzi di fornire informazioni e di esibire documenti anche con riferimento al contenuto di banche di dati[4];
  2. disporre accessi a banche di dati, archivi o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al controllo della compliance al GDPR[5].

Generalmente la richiesta di informazioni e/o documenti è prodromica all’esecuzione degli accertamenti (accessi a banche dati o archivi o ispezioni e verifiche negli spazi analogici o virtuali in cui si svolgono i trattamenti di dati personali).

Nell’esercizio di detti poteri il Garante – in seguito a una notifica di data breach, alla presentazione di un reclamo o di una segnalazione o anche d’ufficio – può avviare un’istruttoria preliminare al fine di verificare se sussistano idonei elementi in ordine a possibili violazioni del GDPR[6].

L’avvio del procedimento formale

Se al termine dell’istruttoria preliminare risultano acquisiti elementi idonei in ordine a presunte violazioni del GDPR, il dipartimento, servizio o altra unità organizzativa del Garante avvia, con propria comunicazione al titolare e, se del caso, al responsabile del trattamento, un procedimento amministrativo formale[7] che può portare all’adozione di:

  • provvedimenti correttivi quali:
  1. ammonimento;
  2. ingiunzione al titolare/responsabile di soddisfare le richieste di esercizio dei diritti degli interessati;
  3. ingiunzione al titolare/responsabile di conformare i trattamenti alle disposizioni del GDPR;
  4. ingiunzione al titolare di comunicare all’interessato un data breach;
  5. imposizione di una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento;
  6. ordine di rettificare, cancellare dati personali o limitarne il trattamento;
  7. revoca della certificazione;
  8. ordine di sospendere i flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale;
  • sanzioni amministrative pecuniarie fino a 20 milioni di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore[8].

Tale comunicazione deve riportare[9]:

  • una sintetica descrizione dei fatti e delle presunte violazioni della disciplina rilevante in materia di protezione dei dati personali nonché delle relative disposizioni sanzionatorie;
  • l’indicazione dell’unità organizzativa competente presso la quale può essere presa visione ed estratta copia degli atti istruttori;
  • l’indicazione che entro trenta giorni dal ricevimento della comunicazione è possibile inviare al Garante scritti difensivi o documenti e chiedere di essere sentito dalla medesima Autorità.

L’avvio del procedimento formale è un momento cruciale che richiede la massima attenzione del titolare/responsabile coinvolto il quale, non dovrebbe sottovalutare questa particolare circostanza anzi dovrebbe attivarsi per esercitare una difesa efficace finalizzata ad evitare azioni correttive del Garante e/o sanzioni amministrative pecuniarie o quantomeno temperarne gli effetti.

Analisi del processo aziendale oggetto del procedimento formale

Si è detto che il titolare/responsabile del trattamento riceve comunicazione dell’avvio del procedimento formale, nel momento in cui, in esito all’istruttoria preliminare, sono emersi elementi idonei in ordine a presunte violazioni del GDPR.

E’ quindi probabile che la violazione effettivamente sia sussistente, poiché si è già sviluppata un’attività di indagine (ispezione/revisione) ed una valutazione dei relativi risultati.

Il titolare/responsabile dovrebbe quindi, a questo punto, eseguire una propria “istruttoria interna” e confrontare i relativi risultati con gli esiti dell’istruttoria preliminare del Garante, descritti compiutamente nella comunicazione di avvio del procedimento.

Si tratta essenzialmente di una analisi del processo aziendale oggetto del procedimento formale. Va eseguito un “privacy checkup i.e. una verifica della avvenuta corretta applicazione del principio di privacy by design. Devono quindi essere individuate le misure tecniche e organizzative adeguate che sono state poste per attuare in modo efficace i principi posti dall’art. 5 GDPR.

A tal fine si suggerisce di seguire la seguente check list:

  1. I dati personali sono stati raccolti per finalità determinate?
  2. I dati personali sono stati raccolti per finalità esplicite?
  3. I dati personali sono stati raccolti per finalità legittime? La base giuridica è determinata?
  4. È stata data agli interessati un’adeguata informativa?
  5. Il trattamento effettuato era in linea con le aspettative degli interessati?
  6. I dati personali sono stati trattati in modo non incompatibile con le finalità per le quali erano stati raccolti?
  7. I dati personali risultano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono stati trattati?
  8. I dati personali risultano esatti e aggiornati? Sono state adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali erano stati trattati?
  9. I dati personali sono/sono stati conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono stati trattati?
  10. Sono state adottate misure di sicurezza per proteggere la riservatezza, l’integrità e la disponibilità dei dati?
  11. Sono state adottate misure di sicurezza contro il trattamento non autorizzato o illecito dei dati?
  12. Sono state adottate misure di sicurezza per evitare la distruzione o la perdita dei dati o il danno accidentale?

Se gli esiti dell’analisi di processo sono diversi da quelli ottenuti dall’istruttoria preliminare del Garante, il titolare/responsabile avrà cura di evidenziare in una memoria difensiva tutti gli elementi emersi che consentono di superare i rilievi notificati dal Garante con l’atto di avvio del procedimento.

Qualora invece, come è probabile, i risultati ottenuti dall’istruttoria interna confermino le ipotesi di violazione contestate dal Garante, è necessario che il titolare/responsabile riconosca la sussistenza della violazione, ne assuma piena consapevolezza e si attivi per elidere o attenuare le conseguenze dannose della stessa, seguendo contestualmente alcune linee di azione e ponendo in essere alcuni accorgimenti, validi ed utili anche nel corso della istruttoria preliminare.

Comportamenti da evitare assolutamente

Nel corso del procedimento formale dinanzi al Garante il titolare/responsabile coinvolto non dovrebbe mai:

  1. intenzionalmente cagionare un’interruzione o turbare la regolarità del procedimento, né dichiarare o attestare falsamente notizie o circostanze o produrre atti o documenti falsi all’Autorità procedente. Tali comportamenti sono previsti, infatti, come reato dall’art. 168 del D.lgs. 196/2003;
  2. rilasciare dichiarazioni superficiali o non ponderate nel corso di eventuale audizione personale difensiva verbalizzata dal personale procedente. E’ necessario presentarsi all’audizione, dopo aver ben meditato circa gli elementi da riferire. Bisogna sempre tener presente che tutto ciò che viene verbalizzato rimane indelebile, “scritto su pietra”, poiché il processo verbale costituisce un atto pubblico, ai sensi dell’art. 2700 c.c.[10], e, pertanto, fa piena prova, fino a querela di falso, della provenienza del documento dal pubblico ufficiale che lo ha formato, nonché delle dichiarazioni delle parti e degli altri fatti che il pubblico ufficiale attesta avvenuti in sua presenza o da lui compiuti. Prima di apporre la propria firma è quindi consigliabile rileggere attentamente il contenuto del verbale ed eventualmente richiedere ai verbalizzanti di inserire le integrazioni o le precisazioni che si ravvisino necessarie per chiarire l’assunto difensivo;
  3. cercare di legittimare le violazioni al GDPR, appellandosi ad una carenza di risorse poiché questa può apparire come un sintomo di negligenza, atteso che le imprese e le P.A. dovrebbero essere responsabili dell’adozione di strutture e risorse idonee alla natura e alla complessità della propria attività[11].

Accorgimenti per esercitare efficacemente il diritto alla difesa

Gli accorgimenti da porre in essere per esercitare efficacemente il proprio diritto alla difesa, possono essere individuati facendo riferimento – “a contrariis” – ad alcuni criteri che, secondo quanto prescritto dall’art. 83, paragrafo 2 GDPR, le Autorità di controllo devono usare per valutare sia l’opportunità di irrogare una sanzione amministrativa che l’importo della sanzione stessa nonché alle correlate Linee Guida WP 253, adottate dal WP 29[12].

In particolare l’art. 83, paragrafo 2 lettera c) prescrive che, in ogni singolo caso, si debbano tenere in debito conto le misure adottate dal titolare/responsabile del trattamento per attenuare il danno subito dagli interessati. Tale disposizione serve per valutare il grado di responsabilità del titolare del trattamento in seguito al verificarsi di una violazione. Può riguardare casi in cui non vi è dubbio che il titolare/responsabile del trattamento abbia fatto quanto in suo potere per correggere le proprie azioni quando si è reso conto della violazione.

Al riguardo il WP29[13] ha evidenziato che l’esperienza disciplinare delle Autorità di controllo ha dimostrato che può essere opportuno mostrare un certo livello di flessibilità nei confronti di quei titolari/responsabili del trattamento che hanno ammesso la violazione e che si sono assunti la responsabilità di correggere o limitare l’impatto delle loro azioni, adoperandosi spontaneamente ed efficacemente per elidere o attenuare le conseguenze dannose. Alcuni esempi:

  • aver contattato altri titolari/responsabili del trattamento che potrebbero essere stati coinvolti in un’estensione del trattamento, ad esempio nel caso in cui alcuni dati siano stati erroneamente condivisi con terze parti;
  • azione tempestiva adottata dal titolare/responsabile del trattamento per impedire la prosecuzione o l’espansione della violazione a un livello o a una fase che avrebbe determinato ripercussioni ben più gravi.

Ancora, l’art. 83, paragrafo 2, lettera d) sancisce che il grado di responsabilità del titolare/responsabile vada valutato tenendo conto delle misure tecniche e organizzative da lui messe in atto ai sensi degli articoli 25 e 32 GDPR (privacy by design e sicurezza del trattamento). Per evidenziare e sfruttare possibili fattori attenuanti, può quindi essere utile che il titolare verifichi specifici aspetti suggeriti dal WP29, ponendosi le seguenti domande[14]:

  1. Ho attuato misure tecniche che seguono i principi della protezione dei dati fin dalla progettazione o per impostazione predefinita (articolo 25)?
  2. Ho posto in essere misure organizzative che attuano i principi della protezione dei dati fin dalla progettazione e per impostazione predefinita (articolo 25) a tutti i livelli dell’organizzazione?
  3. Ho messo in atto un livello di sicurezza adeguato (articolo 32)?
  4. Le prassi/politiche pertinenti in materia di protezione dei dati sono conosciute e applicate al livello adeguato di gestione della mia organizzazione (articolo 24)?

L’art. 25 e l’art. 32 GDPR prevedono che i titolari del trattamento tengano conto “della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche”. Anziché imporre un obbligo di risultato, tali disposizioni introducono obblighi di mezzi, il che significa che il titolare del trattamento deve condurre le valutazioni necessarie e giungere alle opportune conclusioni.

Quindi, la domanda cui il titolare deve rispondere per provare ad evidenziare fattori lenitivi della violazione è la seguente:

  • in che misura ho fatto quanto ci si aspettava facessi, considerando la natura, le finalità o l’entità del trattamento, alla luce degli obblighi imposti dal GDPR?

In tale valutazione, occorre tenere in debita considerazione qualsiasi procedura e metodo basati sulle migliori prassi, ove esistano e siano applicate.

Altra importante possibile leva di attenuazione, è offerta dall’art.83, paragrafo 2 lettera f) che statuisce l’obbligo di tenere nel debito conto il grado di cooperazione del titolare/responsabile con il Garante, al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi.

Poiché la misura correttiva che il Garante è chiamato ad applicare deve sempre essere proporzionata al singolo caso, assume forte rilevanza giustificativa l’eventuale intervento con cui il titolare del trattamento abbia limitato o addirittura azzerato le ripercussioni negative sui diritti e libertà fondamentali delle persone fisiche che si sarebbero altrimenti verificate.

Anche per questa particolare circostanza il WP29[15] segnala un caso in cui la collaborazione con il Garante potrebbe essere presa in debita considerazione, determinabile rispondendo alla domanda:

  • io titolare/responsabile ho risposto in modo particolare alle richieste del Garante durante la fase di indagine nel caso specifico limitando così in maniera significativa le ripercussioni sulle persone?

Ovviamente non va tenuto in alcun conto la collaborazione già prevista per legge: ad esempio, il titolare/responsabile è in ogni caso tenuto a consentire al Garante di accedere ai suoi locali per controlli/ispezioni.

 

NOTE

  1. Art.58, paragrafo 2, lettere f) e J) GDPR.

  2. Art.57, paragrafo 1, lettere a), f) ed h) GDPR.

  3. Art.5, paragrafo 2 e art. 24, paragrafo 1, GDPR.

  4. Art.58, paragrafo1, lettera a) GDPR e art. 157 D.Lgs.196/2003 (Codice novellato).

  5. Art.58, paragrafo 1, lettere e) ed f) e art. 158 d.lgs. 196/2003 (Codice novellato).

  6. Art.21 Regolamento GPDP n.1/2019.

  7. Così art. 12 Regolamento GPDP n.1/2019.

  8. Art.83, paragrafo 5 GDPR.

  9. Così art.165, comma 5 D.lgs. 196/2003 (Codice novellato) e art. 12 Regolamento GPDP n.1/2019.

  10. Vds. Cassazione Civile, Sezioni Unite, sentenza 24/7/2009 n. 17355.

  11. Così il WP29 in WP 253, § III, lettera b).

  12. WP 253 “Linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento UE n.2016/679” adottate il 3 ottobre 2017.

  13. Così testualmente in citato WP 253, § III.

  14. Testualmente in citato WP253 § III.

  15. Testualmente in citato WP 253 § III.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5