L’attuale legislazione privacy prevede due rimedi alternativi per la tutela dei diritti dei soggetti interessati: il primo è quello di adire con un procedimento semplificato l’autorità Garante, il secondo è quello di rivolgersi all’autorità Giudiziaria secondo le regole del processo civile ordinario. La normativa prevede, infatti, che l’interessato che ritenga essere stati violati di cui al Regolamento Europeo 2016/679 o del Codice Privacy come modificato dal D.lgs. 101/18 ha facoltà – così come disposto dell’art. 77 del GDPR e degli artt. 140-bis e 142 del Codice – di proporre reclamo all’Autorità Garante o proporre un ricorso in sede giudiziale. Vediamo in che modo.
Indice degli argomenti
Il reclamo al Garante: come funziona
Con riferimento alla possibilità del privato cittadino di proporre reclamo al Garante, vediamo quali sono i passaggi e i tempi di riscontro. Prima di tutto è richiesto che il reclamo abbia un contenuto minimo e in particolare deve riportare:
Esplora come l'AI impatta sulla sicurezza dati. Guida essenziale per la DPIA
- l’illustrazione “per quanto possibile dettagliata dei fatti e delle circostanze su cui si fonda” la richiesta di tutela e “delle disposizioni che si presumono violate e delle misure richieste”;
- gli estremi identificativi del titolare o del responsabile del trattamento, ove conosciuto;
- tutta la documentazione utile ai fini della dimostrazione dei fatti indicati;
- il mandato al difensore o all’associazione che agisce per conto del cittadino qualora il Reclamo non venga presentato direttamente dall’interessato.
Pertanto il documento da presentare all’Autorità si sostanzia in una parte fattuale e documentale (descrizione degli eventi e prove documentali a sostegno di tale descrizione) e di una parte più tecnico-normativa (ossia l’indicazione delle norme che si asseriscono violate).
Si segnala che il reclamo al Garante ha il pregio di poter essere redatto e sottoscritto direttamente dall’interessato o, su mandato di questo, da un avvocato o ente del terzo settore soggetto alla disciplina del decreto legislativo 3 luglio 2017, n. 117, che sia attivo nel settore della tutela dei diritti e delle libertà degli interessati, con riguardo alla protezione dei dati personali.
Per la redazione del documento da presentare – proprio perché anche i privati possono autonomamente redigere e presentare reclamo – il Garante fornisce sul proprio sito web un modello precompilato che i cittadini possono seguire.
L’interessato, o chi per esso, dovrà infine ricordarsi di indicare un recapito per l’invio di comunicazioni da parte dell’autorità: posta elettronica, telefax o telefono.
Una volta redatto il documento il richiedente, o il suo procuratore, possono trasmetterlo utilizzando la modalità ritenuta più opportuna fra le seguenti:
- consegnandolo a mano presso gli uffici del Garante presso la sede di Piazza Venezia, 11 – 00187 Roma;
- mediante l’inoltro di raccomandata A/R indirizzata a: Garante per la protezione dei dati personali, Piazza Venezia, 11 – 00187 Roma;
- messaggio di posta elettronica certificata indirizzata a: protocollo@pec.gpdp.it.
Ricevuto il reclamo, l’Autorità provvede a un’istruttoria preliminare: se il reclamo non è manifestamente infondato e sussistono i presupposti per adottare un provvedimento, il Garante, anche prima della definizione del procedimento può adottare i provvedimenti di cui all’articolo 58 del Regolamento nel rispetto delle disposizioni di cui all’articolo 56 dello stesso.
Il Garante decide poi sul reclamo entro nove mesi dalla data di presentazione e, in ogni caso, entro tre mesi dalla predetta data informa l’interessato sullo stato del procedimento.
Solo in presenza di motivate esigenze istruttorie, che il Garante comunica all’interessato, il reclamo è deciso entro dodici mesi. È possibile che nelle more della tutela amministrativa, abbia luogo l’attivazione del procedimento c.d. di cooperazione, di cui all’articolo 60 del Regolamento, in tal caso il termine per la decisione rimane sospeso per tutta la sua a durata.
Avverso la decisione è ammesso ricorso giurisdizionale ai sensi dell’articolo 152 del Codice Privacy.
Il reclamo è un atto c.d. circostanziato con il quale il privato ha la possibilità di rappresentare all’Autorità preposta una violazione della normativa in materia di privacy, ma diversamente dal ricorso all’Autorità Giudiziaria – con il reclamo non è possibile avanzare richieste di risarcimento dei danni eventualmente patiti dall’interessato, derivanti dalla violazione per cui si procede.
Eventuali pretese risarcitorie potranno essere presentate al Giudice ordinario. Il Garante, infatti, è competente per l’adozione di provvedimenti correttivi (art. 58 paragrafo 2 del GDPR) e irrogazione di sanzioni (artt. 83 del Reg. Ue 2016/679 e 166 del novellato Codice Privacy).
La segnalazione
Nei casi in cui non sia possibile presentare un reclamo in via amministrativa (nel caso ad esempio l’interessato non sia fornito di sufficienti evidenze probatorie) è sempre possibile inviare all’Autorità Garante una segnalazione ex art. 144 del Codice Privacy c.m. dal D.lgs. 101/18.
La segnalazione ha la finalità di sollecitare un controllo da parte del Garante (art. 13 paragrafo 1 del regolamento 1/2007). Anche la segnalazione può essere presentata senza particolari formalità dal soggetto interessato.
La segnalazione, diversamente dal reclamo, non comporta la necessaria adozione da parte dell’Autorità di un provvedimento, ma nel caso in cui questa risulti fondata il dipartimento o chi sia competente potrà avviare un’istruttoria preliminare.
Come disposto dal novellato Codice Privacy il reclamo al Garante non può essere proposto se, per il medesimo oggetto e tra le stesse parti, è stata già adita l’autorità giudiziaria.
La presentazione del reclamo al Garante rende improponibile un’ulteriore domanda dinanzi all’autorità giudiziaria tra le stesse parti e per il medesimo oggetto, salvo quanto previsto dall’articolo 10, comma 4, del decreto legislativo 1° settembre 2011, n. 150.
Ricorso all’autorità giudiziaria
Alla tutela amministrativa, dunque, si accede tramite reclamo mentre per adire l’autorità Giudiziaria dovrà essere presentato un ricorso.
L’art. 152 del Codice Privacy stabilisce che tutte le controversie che riguardano materie oggetto di ricorsi giurisdizionali di cui agli artt. 78 e 79 del Regolamento e quelli comunque riguardanti l’applicazione delle normative in materia di privacy, nonché il diritto al risarcimento ai sensi dell’art. 82 del GDPR sono attribuite all’Autorità Giudiziaria ordinaria.
Pertanto, per l’accesso alla tutela giurisdizionale in ogni caso gli interessati dovranno rivolgersi ad un difensore abilitato e sostenere i costi del procedimento civile giudiziale tramite il quale potrà altresì avanzare domande di risarcimento.
E se il ricorso è promosso contro un provvedimento dell’Autorità garante la controversia sarà invece disciplinata dall’art. 10 del D.lgs. 150/2011 e in particolare il ricorso deve essere proposto entro trenta giorni dalla data di comunicazione del provvedimento o dalla data del rigetto tacito, ovvero entro sessanta giorni se il ricorrente risiede all’estero.
In questo caso l’efficacia esecutiva del provvedimento impugnato può essere sospesa secondo quanto previsto dall’articolo 5.
Se alla prima udienza il ricorrente non compare senza addurre alcun legittimo impedimento, il Giudice dispone la cancellazione della causa dal ruolo e dichiara l’estinzione del processo, ponendo a carico del ricorrente le spese di giudizio.
La sentenza che definisce il giudizio non è appellabile e può prescrivere le misure necessarie anche in deroga al divieto di cui all’articolo 4 della legge 20 marzo 1865, n. 2248, allegato E), anche in relazione all’eventuale atto del soggetto pubblico titolare o responsabile dei dati, nonché il risarcimento del danno.
I tempi del ricorso seguono dunque quelli della giustizia ordinaria e del rito applicabile.
A proposito del rito, il legislatore ha confermato la scelta secondo cui “le controversie previste dall’articolo 152 del decreto legislativo 30 giugno 2003, n. 196, sono regolate dal rito del lavoro, ove non diversamente disposto dal presente articolo” e sono decise dal Tribunale in composizione monocratica con sentenza non appellabile, ma ricorribile unicamente per Cassazione.
Reclamo al Garante: considerazioni
Da quanto sopra analizzato si evince che il legislatore europeo prevede come primo rimedio per la tutela dei diritti dell’interessato il reclamo all’Autorità di controllo.
Nel caso in cui l’Autorità, adita con reclamo, non fornisca informazioni sull’esito del procedimento entro il termine di tre mesi, ed in generale, avverso qualunque decisione giuridicamente vincolante di un’Autorità, l’interessato ha diritto a proporre un ricorso giurisdizionale innanzi all’autorità competente.
Allo stesso modo e in via alternativa, qualora un trattamento di dati personali violi i diritti sanciti dal regolamento, l’interessato, potrà rivolgersi all’Autorità giurisdizionale ordinaria, agendo direttamente nei confronti del titolare o del responsabile del trattamento, presentando un ricorso. Con tale procedimento potrà altresì avanzare, se del caso, richieste di risarcimento del danno.
L’interessato ha dunque due possibilità, come spiegato in premessa: quella di accedere direttamente ad una procedura di tutela gratuita e senza formalità al fine di richiedere l’intervento del Garante e quella di rivolgersi secondo il rito civile all’Autorità Giudiziaria.
Il meccanismo del reclamo sembra avvicinare l’Autorità Garante alle richieste dei cittadini, ma in realtà il cittadino che decide di rivolgersi in via autonoma e gratuita all’Autorità potrebbe per disinformazione non agire per il meglio in ragione della tecnicità della materia, del tutto peculiare.
La diffusione dell’informazione ai cittadini sembra essere, ancora una volta, l’attività necessaria a rendere effettiva la tutela e dunque i nuovi diritti introdotti dall’Unione Europea.
La consapevolezza degli interessati permetterà loro di distinguere quando sia il caso di rivolgersi ad un difensore specializzato e quando poter adire l’Autorità Garante senza patrocinio.
Ad oggi non esiste una piena consapevolezza del diritto alla riservatezza di ognuno, l’avvento delle nuove tecnologie ha infatti contribuito a dematerializzare il contatto umano e a non comprendere effettivamente chi abbia accesso alle nostre informazioni (dati personali).
La riservatezza si sta perdendo fra un social e l’altro, solo riscoprendone il valore potrà assicurare la certezza di quei diritti che l’Unione Europea ha voluto ribadire con il nuovo Regolamento 2016/679.
Risk management: l’importanza di quantificare correttamente il rischio (non solo quello informatico)
