Attività ispettive del Garante con il Gdpr, la circolare di Fedeprivacy

ROMA - Il piano delle ispezioni per il semestre in corso, è il primo ad essere stato varato dal Garante dopo la piena applicazione del GDPR, e vede sotto la lente degli ispettori dell'Autorità i trattamenti di dati effettuati da aziende e pubbliche amministrazioni che gestiscono banche dati di grandi dimensioni, le misure di protezione dei dati negli istituti di credito (specie con riferimento a segnalazioni di data breach), e i trattamenti di dati per attività di telemarketing.

Le ispezioni vengono svolte anche in collaborazione con il Nucleo speciale tutela privacy e frodi telematiche della Guardia di Finanza, e i controlli vertono sul rispetto degli obblighi di informativa, sull'acquisizione del consenso nei casi previsti, sul periodo di conservazione dei dati e sulle misure di sicurezza per la loro protezione, e tengono conto, in particolare, del rispetto degli obblighi in tema di tenuta del registro dei trattamenti, di valutazione d'impatto e di designazione del Responsabile della protezione dei dati (Data Protection Officer).

Al Garante per la protezione dei dati personali spetta il compito di individuare il precetto violato, la condotta del responsabile e tutti gli altri elementi della fattispecie illecita, ma occorre precisare che l’onere della prova della commessa violazione amministrativa delle disposizioni del GDPR grava sulla stessa autorità di controllo. Pertanto, ai sensi del GDPR, il titolare del trattamento è competente a riguardo dell’osservanza dei principi del trattamento e dell’applicazione delle misure tecniche e organizzative.

Da ciò sicuramente discende un particolare onere probatorio ai fini dell’accertamento della responsabilità civile per danni nei casi di richieste di risarcimento, incombendo al titolare medesimo la prova a discarico (cosiddetta inversione dell’onere della prova).

A legislazione processuale vigente, tuttavia, non altrettanto può dirsi nel giudizio diretto all’accertamento della legittimità dell’atto irrogativo delle sanzioni comminate dall’Autorità di controllo.

Questo implica la necessità che gli atti istruttori e quelli definitivi del procedimento sanzionatorio siano particolarmente accurati nella individuazione dei presupposti di fatto e di diritto posti a base delle sanzioni, non potendo la motivazione di tali predetti atti limitarsi a registrare la omessa o carente prova da parte del titolare del trattamento in ordine alla non debenza di un adempimento omesso o, al contrario, alla legittimità di una condotta tenuta.

Altrimenti detto è l’Autorità di controllo ad essere tenuta ad individuare specificamente la condotta attiva od omissiva. Inoltre, ai fini dell’irrogazione delle sanzioni amministrative bisogna rispettare il principio di proporzionalità sia in concreto e sia in astratto.

Articolo a cura di Nicola Bernardi, presidente di Federprivacy