Istituzioni

Shape 5 Live Search

logo

Ogni Stato dell'Unione europea ha la sua Autorità di controllo, che è competente per la gestione dei reclami ad essa proposti o di eventuali violazioni del regolamento europeo e delle norme nazionali in materia di protezione dei dati, se l'oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro.

Il Garante per la protezione dei dati personali (Garante Privacy) è l'autorità di controllo nazionale italiana in materia di protezione dei dati personali, un'autorità amministrativa indipendente istituita dalla legge sulla privacy (legge 31 dicembre 1996, n. 675), in attuazione della direttiva comunitaria 95/46/CE. Oggi è disciplinata dal Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003 n. 196). La sua sede è a Piazza di Monte Citorio n. 121 in Roma


Il Garante si occupa di: 

- verificare la conformità alla legge dei trattamenti e prescrivere ai titolari le misure da adottare;
- esaminare reclami e segnalazioni e decidere sui ricorsi;
- limitare, sospendere o vietare i trattamenti in violazione delle norme;
- adottare le autorizzazioni generali;
- promuovere codici di deontologia e buona condotta (es. in materia di giornalismo);
- partecipare alle attività comunitarie e internazionali (anche quale componente del Gruppo Articolo 29). 

L'autorità di controllo ha il potere di irrogare sanzioni. Essi consistono nel: 

- rivolgere avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono violare le norme; 
- rivolgere ammonimenti al titolare o al responsabile del trattamento ove i trattamenti abbiano violato le norme; 
- ingiungere al titolare o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i relativi diritti
- ingiungere al titolare o al responsabile del trattamento di conformare i trattamenti alle norme, psecificando eventualmente le modalità e i termini per la conformità; 
- imporre una limitazione provvisoria o definitiva al trattamento, sospendere temporaneamente il trattamento, o vietare del tutto; 
- ordinare la rettifica, la cancellazione o l'aggiornamento dei dati personali; 
- revocare le certificazioni o ingiungere all’organismo di certificazione di ritirare le certificazioni rilasciate se i requisiti non sono soddisfatti; 
- infliggere le sanzioni amministrative pecuniarie
- ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale. 

 

Dopo il GDPR

Con il nuovo regolamento europeo l'Autorità di controllo interviene principalmente ex post, cioè la sua valutazione si colloca successivamente alle valutazioni del titolare del trattamento. Dal 25 maggio 2018, quindi, sarà abolito l'istituto della notifica preventiva dei trattamenti, sostituito da obblighi di tenuta di un registro dei trattamenti e da valutazioni di impatto autonome
In tale prospettiva, alle autorità di controllo, e in particolare al Comitato europeo della protezione dei dati (l'erede dell'attuale Gruppo Articolo 29) spetterà il ruolo di garantire uniformità di approccio alla normativa e fornire ausili interpretativi. In particolare il Comitato è chiamato a produrre linee-guida e altri documenti di indirizzo sulle varie tematiche, anche per garantire gli adattamenti che si dovessero rendere necessari alla luce dello sviluppo delle tecnologie. 

Il prior checking invece è previsto dall'articolo 36 del regolamento europeo. Qualora la valutazione d’impatto sulla protezione dei dati indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio, il titolare del trattamento consulta l'autorità di controllo prima di procedere al trattamento. 

Inoltre, il nuovo regolamento europeo ha introdotto il principio dello sportello unico per stabilire a quale Autorità di controllo un'azienda che opera in più paesi è soggetta.