LA GUIDA PRATICA

Reclamo di un interessato: ecco cosa deve sapere e può fare il titolare del trattamento

Ecco cosa accade quando il Garante Privacy riceve un reclamo da parte di un interessato su un titolare del trattamento e come quest’ultimo si deve comportare o esercitare il diritto di difesa

10 Mag 2022
R
Paola Righetti

DPO certificato, Consulente Privacy e Cybersecurity

Il Garante per la protezione dei dati personali, nel suo Regolamento interno 1/2019, descrive, tra le altre attività dell’ufficio, anche come viene gestito un reclamo che un interessato al trattamento dei dati invia all’Autorità stessa.

Vediamo di seguito cosa sono i reclami e come si deve comportare il titolare del trattamento quando riceve una richiesta di chiarimenti alla sua PEC da parte di uno degli Uffici dell’Autorità.

Esercizio dei diritti GDPR, un volano per la governance del sistema privacy aziendale: ecco perché

Cosa sono i reclami all’Autorità Garante Privacy

Sono qualificabili come reclami gli atti che indicano specificatamente gli elementi previsti dall’articolo 142 del Codice Privacy:

“Art. 142 Codice della Privacy (d.lgs. 196/2003 aggiornato con il d.lgs. 101/2018)

1. Il reclamo contiene un’indicazione per quanto possibile dettagliata dei fatti e delle circostanze su cui si fonda, delle disposizioni che si presumono violate e delle misure richieste, nonché gli estremi identificativi del titolare o del responsabile del trattamento, ove conosciuto.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

2. Il reclamo è sottoscritto dall’interessato o, su mandato di questo, da un ente del terzo settore soggetto alla disciplina del decreto legislativo 3 luglio 2017, n. 117, che sia attivo nel settore della tutela dei diritti e delle libertà degli interessati, con riguardo alla protezione dei dati personali.

3. Il reclamo reca in allegato la documentazione utile ai fini della sua valutazione e l’eventuale mandato, e indica un recapito per l’invio di comunicazioni anche tramite posta elettronica, telefax o telefono.

4. Il Garante predispone un modello per il reclamo, da pubblicare nel proprio sito istituzionale, di cui favorisce la disponibilità con strumenti elettronici.

5. Il Garante disciplina con proprio regolamento il procedimento relativo all’esame dei reclami, nonché modalità semplificate e termini abbreviati per la trattazione di reclami che abbiano ad oggetto la violazione degli articoli da 15 a 22 del Regolamento.

Procedimenti a seguito di reclamo

La presentazione di un reclamo non comporta necessariamente l’adozione di un provvedimento da parte del Garante Privacy.

Il dipartimento, servizio o altra unità organizzativa cui il reclamo è assegnato avvia un’istruttoria preliminare e, entro tre mesi, informa il reclamante dello stato o dell’esito del reclamo.

Apertura dell’istruttoria preliminare

L’istruttoria preliminare consiste nella verifica della presenza di elementi che attestano la presunta violazione del GDPR.

Viene quindi esaminata la documentazione pervenuta e l’ufficio del Garante responsabile della gestione del reclamo può chiedere precisazioni o informazioni relative ai fatti e alle circostanze cui si riferisce il reclamo, al titolare o al responsabile del trattamento, mediante richiesta di informazioni o di esibizione di documenti.

L’ufficio del Garante può anche invitare il titolare o il responsabile del trattamento, ad eseguire spontaneamente le misure richieste con il reclamo e a comunicare all’Ufficio, entro il termine da quest’ultimo richiesto, la propria eventuale adesione.

Chiusura dell’istruttoria preliminare

A chiusura dell’istruttoria preliminare, il reclamo può essere archiviato o può essere avviato un procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

In particolare, l’istruttoria preliminare può essere chiusa con l’archiviazione del reclamo, quando:

  1. la questione prospettata con il reclamo non risulta riconducibile alla protezione dei dati personali o ai compiti demandati al Garante;
  2. non sono ravvisati, allo stato degli atti, gli estremi di una violazione della disciplina rilevante in materia di protezione dei dati personali;
  3. si tratta di una richiesta eccessiva, in particolare per il carattere pretestuoso o ripetitivo anche ai sensi dell’articolo 57, paragrafo 4, del GDPR;
  4. la questione prospettata con il reclamo è stata già esaminata dall’Autorità, in particolare con un provvedimento collegiale di carattere generale, o può essere esaminata richiamando provvedimenti o questioni già affrontate dal Garante ovvero esprimendo un prudente avviso su questioni che non presentano particolare rilevanza sul piano generale.

In questi casi l’autorità fornisce al reclamante un riscontro indicando succintamente le ragioni per le quali non è promossa l’adozione di un provvedimento del Collegio.

Quando il reclamo non viene archiviato, l’ufficio dell’Autorità avvia il procedimento inviando una comunicazione al titolare e, se del caso, al responsabile del trattamento.

La comunicazione contiene:

  1. una sintetica descrizione dei fatti e delle presunte violazioni della disciplina rilevante in materia di protezione dei dati personali nonché delle relative disposizioni sanzionatorie;
  2. l’indicazione dell’unità organizzativa competente presso la quale può essere presa visione ed estratta copia degli atti istruttori;
  3. l’indicazione che entro trenta giorni dal ricevimento della comunicazione è possibile inviare al Garante scritti difensivi o documenti e chiedere di essere sentito dalla medesima Autorità.

Se ne ricorrono i presupposti, la comunicazione può essere fornita al titolare e, se del caso, al responsabile del trattamento, se questi vengono sentiti durante la fase istruttoria preliminare.

Il diritto di difesa del titolare del trattamento

Il destinatario della comunicazione (titolare e, se del caso, responsabile del trattamento) può esercitare il diritto di difesa mediante la presentazione di deduzioni scritte e documenti, nonché, ove richiesta, con l’audizione personale in merito ai fatti oggetto di comunicazione.

Le deduzioni scritte e i documenti devono essere inviati all’Autorità entro trenta giorni dalla data di notifica della già menzionata comunicazione.

Il destinatario della comunicazione può richiedere, con specifica istanza debitamente motivata, una breve proroga (che di norma non può superare i quindici giorni).

L’autorità, tramite l’ufficio che sta gestendo il reclamo, comunica l’accoglimento o il rigetto della richiesta di proroga.

Il titolare, o il responsabile, del trattamento, con specifica istanza, può anche richiedere un’audizione. Dell’audizione è redatto un sintetico verbale a cura dell’Ufficio.

L’audizione delle persone fisiche destinatarie della comunicazione ha carattere strettamente personale; è consentita la partecipazione con l’assistenza di un avvocato o di altro consulente.

La mancata presentazione di controdeduzioni scritte o della richiesta di audizione non pregiudica il seguito del procedimento.

Decisione del reclamo

L’esame del reclamo si conclude con l’archiviazione se valutata la documentazione agli atti, nuovi elementi presentati nel corso del procedimento evidenziano l’infondatezza o l’insussistenza dei presupposti per adottare un provvedimento.

In tutti gli altri casi, il Collegio del Garante provvede con propria deliberazione e adotta, ove necessario, i provvedimenti correttivi e sanzionatori di cui all’articolo 58, paragrafo 2, del GDPR.

Il Collegio provvede con propria deliberazione anche quando rileva l’infondatezza del reclamo.

Il provvedimento è notificato alle parti a cura del dipartimento, servizio o altra unità organizzativa che ne ha curato l’istruttoria.

Quando la condotta è particolarmente risalente nel tempo o ha esaurito i suoi effetti oppure tali effetti sono stati rimossi o sono state fornite idonee assicurazioni da parte del titolare o del responsabile del trattamento, il dipartimento, servizio o altra unità organizzativa competente informa il reclamante della possibilità di un ricorso giurisdizionale, ai sensi dell’articolo 78 del GDPR.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 5