Definizione
Da tempo in Italia sono attive le cosiddette autorità amministrative indipendenti. Si tratta di enti chiamati a svolgere attività di regolazione e vigilanza in settori ritenuti particolarmente delicati e che, per questo, richiedono un elevato livello di autonomia. Tra queste, rientra anche il garante per la protezione dei dati personali, meglio noto come garante della privacy.
Quest’autorità è stata istituita per la prima volta dalla legge 675/1996 e successivamente disciplinata dal decreto legislativo 196/2003. L’intero settore ha poi subito una significativa evoluzione con il decreto legislativo 101/2018 che ha introdotto in Italia le direttive europee previste nel regolamento generale sulla protezione dei dati personali (Gdpr).
Leggi anche
Che cosa sono le autorità amministrative indipendenti.
Tra i compiti principali del garante (previsti dagli articoli 57 e 58 del regolamento Ue e dall’articolo 154 del codice della privacy) vi sono:
- Controllo sul rispetto delle normative europee e nazionali in temi di trattamento dei dati personali
- Esame dei reclami da parte di cittadini ed enti
- Segnalazione al parlamento e alle altre istituzioni dell’esigenza di innovazioni dal punto di vista normativo e amministrativo
- Formulazione di pareri su proposte di atti normativi e amministrativi
- Produzione di consulenze alle istituzioni riguardo alle normative vigenti in tema di privacy
Il Garante è l’autorità di controllo designata per l’attuazione in Italia del regolamento generale sulla protezione dei dati personali (Gdpr).
Per realizzare questi obiettivi, il garante della privacy gode di una serie di poteri tra cui: l’adozione di linee guida e codici di condotta; l’organizzazione di ispezioni in loco e la richiesta di accesso a documenti e banche dati; l’irrogazione di sanzioni amministrative (mentre nel caso di reati penali deve segnalarli celermente all’autorità giudiziaria); l’ingiunzione alla rettifica o alla cancellazione dei dati personali, l’imposizione di una limitazione provvisoria o definitiva del loro trattamento, fino anche al divieto.
Quest’autorità è diretta da un collegio di 4 persone elette dai due rami del parlamento (2 dalla camera e 2 dal senato) tra coloro che presentano la propria candidatura nell’ambito di una procedura pubblica di selezione. Una volta nominati poi, i membri del collegio eleggono un presidente ed un vice presidente. Il direttivo resta in carica per 7 anni ed il suo mandato non è rinnovabile.
9.689 le segnalazioni e i reclami pervenuti al garante della privacy nel 2019.
Come le altre autorità amministrative indipendenti italiane, anche il garante della privacy presenta una relazione annuale a governo e parlamento sull’attività svolta.
Dati
L’attività del garante della privacy si esplica nella pubblicazione di diverse migliaia di atti ogni anno. Tra questi, alcuni dei più significativi sono gli atti collegiali, le ordinanze e le ingiunzioni, le ispezioni e le segnalazioni all’autorità giudiziaria il cui numero è rimasto più o meno stabile negli ultimi anni. È aumentata invece l’incidenza dei pareri, passati dai 35 emessi nel 2014 agli 86 del 2018 e 2019.
Di cosa si occupa il garante della privacy
Panoramica sull'attività del garante per la protezione dei dati personali (2014-2019)
Il grafico rappresenta una panoramica e non esaustivo dell’intera attività svolta dal garante.
Provvedimenti collegiali
Sono atti attraverso cui il garante svolge le proprie funzioni. Possono essere di tipo prescrittivo (come la pubblicazione di linee guida e codici di condotta) o sanzionatorio.
Decisioni su ricorsi
Gli utenti possono far valere i propri diritti in tema di trattamento di dati personali facendo ricorso all’autorità giudiziaria o al garante per la privacy. Con l’entrata in vigore del Gdpr il ricorso è stato sostituito dal reclamo.
Pareri
In base alle norme vigenti, l’autorità deve esprimere un parere obbligatorio in diversi ambiti tra cui l’adozione di norme sia a livello statale che regionale e locale che riguardino la materia di sua competenza; la pubblicazione di atti contenenti dati sensibili da parte delle pubbliche e amministrazioni; il trattamento di dati a fini di ricerca medica ed epidemiologica.
Ordinanze-Ingiunzioni
L’autorità può tutelare i diritti degli utenti ordinando ai trasgressori di conformarsi alle proprie direttive a pena di sanzione.
Segnalazioni all’autorità giudiziaria
Qualora il garante venga a conoscenza di reati penali nel corso della sua attività, è tenuto a comunicarlo celermente all’autorità giudiziaria.
Accertamenti e controlli in loco
Il garante ha la facoltà di richiedere l’accesso agli archivi e ai data base e può disporre anche ispezioni in loco.
FONTE: elaborazione openpolis su dati garante della privacy
(ultimo aggiornamento: martedì 31 Dicembre 2019)
Per farsi un'idea della delicatezza dei temi che l'autorità va a trattare, può essere interessante analizzare le violazioni amministrative contestate a soggetti sia pubblici che privati negli ultimi anni. Tra il 2014 e il 2017, il garante ha notificato 5.912 sanzioni per violazione delle norme sul trattamento dei dati personali. Di queste, 577 nel 2014, 1.668 nel 2015, 2.339 nel 2016, 589 nel 2017, 707 nel 2018 e 32 nel 2019.
202 comunicazioni di notizia di reato all'autorità giudiziaria tra il 2014 e il 2019.
Per quanto riguarda i numeri particolarmente elevati del 2015 e del 2016, essi sono dovuti a due fattori. Nel primo caso, il dato è riconducibile ad un elevato numero di sanzioni per la violazione degli articoli 33 o 177 del codice della privacy (abrogati con l'entrata in vigore del Gdpr). Nel secondo caso, si registrano 1817 sanzioni per omessa comunicazione agli interessati di eventi di data breach, cioè una violazione accidentale o dolosa degli archivi che comporta la perdita, la modifica o la diffusione di dati personali.
Tra le multe inflitte, vale la pena citare alcune sanzioni particolarmente rilevanti:
- Nel 2014, 1 milione di euro a Google perché le auto del servizio "Street view" non erano sufficientemente riconoscibili.
- Nel 2017, oltre 11 milioni a 5 società del settore money transfer per uso illecito dei dati personali degli utenti.
- Nel 2018 quasi 1 milione a Tim per uso illecito dei dati personali di un utente e per un caso di data breach risalente al 2013.
- Nel 2019, 1 milione a Facebook per il caso Cambridge Analytica.
- Sempre nel 2019, 50mila euro all'associazione Rousseau per mancanza di adeguate misure per la protezione dei dati personali degli iscritti alla piattaforma.
- Nel 2020, 27,8 milioni di euro a Tim per telemarketing indesiderato.
- Sempre nel 2020, complessivi 11,5 milioni per Eni gas e luce per telemarketing indesiderato e attivazione di servizi non richiesti.
Dalle sanzioni irrogate, negli ultimi 5 anni il garante per la privacy ha incassato una media di circa 4,4 milioni di euro all’anno. Dopo aver incassato quasi 5 milioni di euro nel 2014, nei due anni successivi si registra una diminuzione con entrate di circa 3,3 milioni sia nel 2015 che nel 2016. C’è poi una risalita nel 2017 che porta al picco degli oltre 8 milioni incassati nel 2018 (+116% rispetto all’anno precedente).
Garante privacy, nel 2018 incassi da sanzioni per oltre 8 milioni di euro
Andamento nel tempo delle sanzioni amministrative riscosse dal garante della privacy (2014-2019)
Il grafico rappresenta i pagamenti riscossi e non le sanzioni emesse nel corso dell’anno. I due dati posso essere divergenti. Questo dipende dal fatto i pagamenti possono essere dilazionati nel tempo.
I trasgressori hanno inoltre la possibilità di conformarsi alle indicazioni del garante, in questo caso la multa viene dimezzata (art. 166 comma 9 decreto legislativo 196/2003).
Inoltre, con l’adozione del Gdpr, il legislatore ha previsto una sanatoria per cui è ammesso il pagamento di un somma pari ai due quinti della sanzione minima prevista (art. 18 comma 1 decreto legislativo 101/2018).
Infine, le decisioni del garante sono sempre impugnabili di fronte al giudice (art. 152 decreto legislativo 196/2003).
FONTE: elaborazione openpolis su dati garante della privacy
(ultimo aggiornamento: martedì 31 Dicembre 2019)
Analisi
Il dibattito sulla app "Immuni" e l'utilizzo di informazioni sulla salute dei cittadini ha riportato d'attualità il tema della tutela dei dati sensibili.
Il garante per la protezione dei dati personali svolge oggi un ruolo cruciale in un settore particolarmente delicato. Per questo motivo sarebbe auspicabile che ne venissero rafforzati i poteri, anche attraverso un'indipendenza effettiva. Il fatto che i suoi vertici, così come per le altre autorità amministrative indipendenti italiane, siano scelti dalla politica rappresenta infatti un limite non da poco. Per questo motivo una parte della dottrina parla di "autorità semi-indipendenti".
La necessità di un'autorità forte ed in grado di far rispettare le regole risulta ancora più stringente con riferimento ai colossi del web. Basti pensare allo scandalo che ha coinvolto Facebook nel 2018, quando la società Cambridge Analytica aveva avuto accesso ai dati di 87 milioni di utenti (erano stati coinvolti anche 216mila italiani).
Alcuni sottolineano la necessità non solo di aumentare i poteri del garante ma anche di dotarlo di maggiori risorse umane (nel 2019 erano 127), al fine di incrementare la ricerca di eventuali violazioni e verificare l'adeguamento dai trasgressori alle indicazioni. Inoltre si chiede che l'attenzione dell'autorità sia volta principalmente ai privati piuttosto che alle istituzioni pubbliche.
Il garante ha sollecitato il legislatore ad intervenire per regolare settori critici come l'intelligenza artificiale e il cyberbullismo.
Questo perché i privati (si pensi ad aziende come Google e Facebook) gestiscono un'enorme mole di dati sensibili e non sempre si riesce a far rispettare loro le regole. Un esempio è quello relativo al diritto all'oblio, cioè alla rimozione dai motori di ricerca dei dati sensibili che è sempre molto difficile da ottenere in maniera soddisfacente per gli utenti.
Un altro caso è rappresentato dai data breach dove, come si è visto, in molti non rispettano gli obblighi di comunicazione agli utenti. Proprio in riferimento a quest'ultimo fenomeno, l'autorità ha rilevato come anche nella pubblica amministrazione sia sempre più frequente il ricorso alla tecnologia del cloud per l'archiviazione dei dati. Una tecnologia molto efficiente ma anche gravemente esposta al rischio di attacchi.
Gli attacchi [a banche dati] sono ulteriormente cresciuti nello scorso anno: persino del 91,5% nel settore dei servizi on line e del cloud. Gli atti di spionaggio/sabotaggio sono triplicati rispetto allo scorso anno.
Per questo il garante ha sollecitato le istituzioni sulla necessità di una regolazione adeguata di questi sistemi e della creazione di una struttura cloud pubblica in grado di garantire adeguati livelli di sicurezza nella protezione dei dati dei cittadini.