Ogni Stato membro dell'Unione europea ha la sua Autorità di controllo.
L'autorità di controllo è competente per la gestione dei reclami ad essa proposti o per eventuali violazioni del regolamento europeo e delle norme nazionali in materia di protezione dei dati, ma solo se l'oggetto riguarda uno stabilimento nel territorio dello Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro.
Il Garante per la protezione dei dati personali (Garante Privacy) è l'autorità di controllo nazionale italiana, un'autorità amministrativa indipendente istituita dalla legge sulla privacy (legge 31 dicembre 1996, n. 675), in attuazione della direttiva comunitaria 95/46/CE. Oggi è disciplinata dal Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003 n. 196). La sua sede è a Piazza di Monte Citorio n. 121 in Roma.
Il Garante si occupa di:
- verificare la conformità alla legge dei trattamenti e prescrivere ai titolari le misure da adottare;
- esaminare i reclami;
- limitare, sospendere o vietare i trattamenti in violazione delle norme;
- adottare le autorizzazioni generali;
- promuovere codici di deontologia e condotta (es. in materia di giornalismo);
- partecipare alle attività comunitarie e internazionali (anche quale componente dell'EDPB);
- irrogare sanzioni correttive.
Con riferimento alle competenze del Garante, occorre ricordare che non può sindacare il ricorso dell'autorità giudiziaria a mezzi di prova consentiti dal codice di procedura penale, come ad esempio le intercettazioni telefoniche, né può intervenire laddove le notizie diffuse dai media, e tratte da atti giudiziari, abbiano un contenuto di evidente interesse pubblico, fermo restando il rispetto del principio di essenzialità e non eccedenza del'informazione.
Allo stesso modo non rientra tra le competenze del Garante verificare la veridicità delle notizie diffuse dalla stampa, relativamente alle quali si possono attivare gli appositi strumenti di tutela presso il giudice ordinario, in sede sia civile che penale.
Dopo il GDPR
Con il nuovo regolamento europeo l'Autorità di controllo interviene principalmente ex post, cioè la sua valutazione si colloca successivamente alle valutazioni del titolare del trattamento, con abolizione delle notifiche preventive dei trattamenti e sostituzione con obblighi di tenuta di un registro dei trattamenti e da valutazioni di impatto autonome da parte del titolare del trattamento.
In tale prospettiva, alle autorità di controllo, e in particolare al Comitato europeo della protezione dei dati (l'erede dell'attuale Gruppo Articolo 29) spetterà il ruolo di garantire uniformità di approccio alla normativa e fornire ausili interpretativi. In particolare il Comitato è chiamato a produrre linee-guida e altri documenti di indirizzo sulle varie tematiche, anche per garantire gli adattamenti che si dovessero rendere necessari alla luce dello sviluppo delle tecnologie.
Il prior checking invece è previsto dall'articolo 36 del regolamento europeo. Qualora la valutazione d’impatto sulla protezione dei dati indica che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio, il titolare del trattamento consulta l'autorità di controllo prima di procedere al trattamento.
Regole deontologiche
I Codici deontologici, cioè i codici di comportamento relativi all'esercizio di una professione e aventi generalmente efficacia normativa, sono stati verificati dal Garante sulla base delle nuove norme del GDPR. Le disposizioni dei codici ritenute conformi sono state rinominate in Regole Deontologiche (art. 2-quater del Codice Privacy) ed integrano le condizioni di liceità e correttezza dei trattamenti in settori specifici (ad esempio con riferimento al trattamento dei dati biometrici e relativi alla salute -art. 9, par. 4 GDPR).
Attualmente risultano approvate le seguenti regole deontologiche:
- relative al trattamento dei dati personali nell'esercizio dell'attività giornalistica;
- relative al trattamento dei dati personali effettuati per svolgere investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria;
- relative al trattamento dei dati personali a fini di archiviazione nel pubblico interesse o per scopi di ricerca storica;
- relative al trattamento dei dati personali a fini statistici o di ricerca scientifica effettuati nell'ambito del Sistema Statistico Nazionale;
- relative al trattamento dei dati personali per fini statistici o di ricerca scientifica.
Sportello unico (one stop shop)
Inoltre, il nuovo regolamento europeo ha introdotto il principio dello sportello unico per stabilire a quale Autorità di controllo un'azienda che opera in più paesi è soggetta.
Impugnazione
Contro i provvedimenti dell'autorità di controllo è ammesso il ricorso giurisdizionale.
