L'ABC del GDPR: il ruolo delle Autorità di controllo
- Sara Maria Marsella
- 5 giu 2024
- Tempo di lettura: 4 min
Aggiornamento: 9 lug 2024
Il GDPR nel capo VI assegna un ruolo fondamentale alle Autorità di controllo: scopriamo insieme chi sono e che ruolo hanno nell’applicazione del Regolamento.
1. Caratteristiche
Vengono istituite con legge da ogni Stato Membro: l’Autorità italiana (Garante per la protezione dei dati personali) è stata istituita con la legge 675/1996 e ora è disciplinata dal cd. Codice privacy (d.lgs. 196/2003 e successive modifiche).
Come enuncia il considerando 117 del GDPR, il ruolo delle Autorità di controllo è un «elemento essenziale della protezione delle persone fisiche con riguardo al trattamento dei loro dati personali».
Le Autorità devono agire in piena indipendenza nell’adempimento dei propri compiti e nell’esercizio dei propri poteri: l’indipendenza è fondamentale per assicurarsi che l’Autorità non subisca pressioni esterne e che i suoi membri non siano in conflitto di interessi con il ruolo svolto. L’indipendenza non deve essere solo formale ma anche e soprattutto sostanziale: per questo ogni Stato membro deve provvedere affinché l’Autorità del proprio Stato abbia le risorse necessarie (umane, tecniche, finanziarie, ecc.) per esercitare il proprio ruolo. Ciò non toglie che le Autorità siano comunque sottoposte al controllo finanziario dello Stato di appartenenza.
2. Come si può divenire membro dell’Autorità di controllo?
Nell’istituire le Autorità di controllo, gli Stati membri definiscono anche le qualifiche, le condizioni richieste per la nomina dei membri, le incompatibilità, la durata del mandato e le relative procedure per la nomina. L’articolo 53 GDPR sottolinea che la procedura deve essere trasparente: in via generale, i membri possono essere nominati dal parlamento, dal governo, dal capo di Stato o da un organismo indipendente incaricato della nomina a norma del diritto dello Stato membro.
Per divenire membro dell’Autorità di controllo è necessario possedere determinate qualifiche, competenze ed esperienza in particolare nell’ambito della protezione dei dati personali. Tra gli obblighi a cui si è tenuti vi è il segreto professionale, in ragione delle informazioni riservate con le quali si entra in contatto.
3. Competenza
Le Autorità di controllo sono competenti a operare nell’ambito del rispettivo Stato membro di appartenenza. Quindi, il Garante per la protezione dei dati personali è competente a operare in Italia, la Commission Nationale de l’Informatique et des Libertés in Francia, e così via.
Ma cosa accade quando ci si trova di fronte a un trattamento transfrontaliero per il quale sarebbero astrattamente competenti più Autorità di controllo di differenti Stati membri?
Il GDPR prende in considerazione questa casistica introducendo il concetto di Autorità capofila: in questi casi si fa riferimento all'Autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare o responsabile del trattamento. Tale Autorità sarà l'unica interlocutrice del titolare o responsabile del trattamento coinvolti. Il criterio dell’Autorità capofila però non opera sempre: ci sono delle deroghe, descritte nel prosieguo dell’articolo 56 GDPR.
4. Compiti e poteri
I compiti delle Autorità sono descritti nell’articolo 57 GDPR e sono estremamente vari. Per citarne alcuni, all’Autorità spetta sorvegliare e assicurare l'applicazione del GDPR, promuovere la consapevolezza sia del pubblico che dei titolari e dei responsabili del trattamento (per il Garante italiano, si consiglia di consultare il sito alla sezione «attività di comunicazione e informazione»), trattare i reclami e svolgere le indagini opportune: l'Autorità è tenuta a svolgere i propri compiti senza costi per l'interessato a meno che si tratti di richieste considerate manifestamente infondate.
In ottica europea è molto importante l'aspetto degli scambi di informazioni e di assistenza reciproca tra le Autorità. L'Autorità è inoltre tenuta ad agevolare preposizione di reclami, per esempio, preparando un modulo (sul sito del Garante italiano è possibile consultare la sezione «modulistica»).
Ma passiamo ora ai poteri, descritti nell'art. 58 GDPR. I poteri, esercitati nel rispetto delle garanzie adeguate, possono essere riassunti in:
poteri di indagine, per assicurarsi che titolari e responsabili rispettino il GDPR e dunque i diritti e le libertà degli interessati.
poteri correttivi, che possono concretizzarsi, ad esempio, in avvertimenti, ammonimenti, ingiunzioni di soddisfare le richieste dell'interessato, di conformare i trattamenti al GDPR, di comunicazione.
poteri autorizzativi e consultivi, nei casi descritti dal GDPR e dalla normativa nazionale.
Per i poteri sanzionatori di cui all’articolo 83 GDPR si rinvia alla prossima pillola sul capo VIII del Regolamento. Sia i compiti che i poteri possono essere ampliati dagli Stati membri. Ad esempio, in Italia sono stati ampliati negli articoli 154 e 154-bis del Codice privacy.
5. Composizione del Garante italiano
Il Garante per la protezione dei dati personali è composto, in base all’art 153 del d.lgs 196/2003 e successive modifiche, «dal Collegio, che ne costituisce il vertice, e dall'Ufficio. Il Collegio è costituito da quattro componenti, eletti due dalla Camera dei deputati e due dal Senato della Repubblica con voto limitato». Il mandato dei componenti dura 7 anni e non è rinnovabile.
Il primo Presidente del Collegio è stato Stefano Rodotà, mentre il Presidente attuale è Pasquale Stanzione. Nel tempo, il Garante ha adottato anche dei regolamenti interni quali i regolamenti UE 1/2019 e 2/2019.
6. Conclusione
Il ruolo delle Autorità di controllo è fondamentale per la corretta attuazione del GDPR. Per comprendere in modo più approfondito l’attività concreta svolta dal Garante italiano, si invita a leggere le relazioni annuali del lavoro svolto, predisposte ai sensi dell’art. 59 GDPR e disponibili sul sito dell’Autorità.
Comments