NEWS

Gdpr, ora il ricorso al Garante è gratis e più semplice

Il nuovo regolamento europeo sulla privacy, operativo dal 25 maggio, ha certamente reso più semplice la presentazione di un ricorso al Garante. Per un semplice motivo: non si paga nulla. Fino a un mese fa, invece, bisognava sborsare almeno 150 euro di diritti di segreteria.

Inoltre ci si può rivolgere al titolare del trattamento, e le norme sono congegnate in modo tale da obbligare le imprese a rispondere piuttosto celermente, per non correre il rischio di sanzioni pesantissime, fino a 20 milioni di euro o al 4% del fatturato. La conseguenza inevitabile è che i circa 300 ricorsi che ogni anno venivano presentati al Garante si moltiplicheranno nei prossimi anni in modo consistente.

Idem per le richieste di esercizio dei diritti presentate ai titolari del trattamento dati. Dal punto di vista delle imprese di maggiori dimensioni o di quelle che trattano un numero significativo di dati personali, questo si tradurrà in un aumento dei costi: in molti casi sarà necessario prevedere o implementare l’ufficio reclami o l’ufficio relazioni con il pubblico.

E per le società con sedi in diversi paesi europei, il problema si moltiplica perché è facile prevedere una europeizzazione dei ricorsi. Nel senso che l’impresa italiana potrebbe essere chiamata a rispondere anche a un ricorso presentato al Garante di un paese europeo nel quale ha una attività che comporta il trattamento di dati.

Fino ad oggi, se la sede era italiana, il ricorso poteva essere presentato solo al Garante italiano. Sarà inevitabile anche il formarsi di una giurisprudenza europea, perché i garanti di tutta l’Unione dovranno coordinarsi tra di loro per prendere delle posizioni non contraddittorie. Dal punto di vista del cittadino che ritiene violato un suo diritto ci sono quindi tre possibilità di azione.

Può rivolgersi all’impresa che ha effettuato il trattamento dei suoi dati e presentare la sua richiesta utilizzando il modello predisposto dal Garante della privacy. A questo punto la controparte sarà tenuta a dare una risposta in tempi piuttosto brevi (un mese) se non vuole correre il rischio di sanzioni molto pesanti, come si è visto sopra.

Anche nel caso la risposta sia negativa, dovrà aver cura di segnalare che il cittadino può comunque rivolgersi al Garante o al tribunale per far valere il suo (presunto) diritto. Non potrà essere addebitato alcun costo per l’attività necessaria a fornire una risposta, salvo il caso di richieste emulative o insistenti.

La seconda opzione è quella di presentare un ricorso al Garante il quale può ordinare all’impresa di tenere o non tenere un certo comportamento, oppure rigettare il ricorso. Attualmente la percentuale dei ricorsi respinti è di poco superiore alla metà.

Attenzione, nel passato regime il mancato riconoscimento del diritto da parte del titolare del trattamento non lo esponeva alla sanzione amministrativa, oggi invece sì. Per esempio, se vado dal Garante e lamento che l’impresa non mi ha dato i miei dati, questi può aprire un fascicolo parallelo per irrogare una sanzione amministrativa.

Cosa che farà certamente una volta accertata la violazione di un diritto. Il vantaggio di questo tipo di procedimento è che, oltre a essere diventato gratuito, si conclude mediamente in 3 o 4 mesi. Per la verità il termine di legge previsto dal codice della privacy era addirittura di 60 giorni, ma viene quasi sempre derogato. In alternativa al Garante può essere esperito il ricorso in tribunale, ma questo procedimento presenta alcuni svantaggi, in primo luogo il costo del contributo unifi cato. Inoltre i tempi sono molto lunghi e non c’è una grande giurisprudenza che consenta di rendere prevedibile l’esito del ricorso. In pratica conviene solo in caso di richiesta di risarcimento di danno, altrimenti meglio passare dal Garante.

Un esempio concreto. La cronaca dei giorni scorsi ha segnalato la vicenda di Facebook pescata a vendere in modo illegittimo i dati dei propri utenti. Chi si sentisse leso nei propri diritti potrebbe a questo punto rivolgersi direttamente al social network per chiedere l’acceso ai propri dati e le modalità di trattamento degli stessi. Se l’azienda non risponde ci si può rivolgere al Garante italiano senza bisogno di inoltrare la domanda a quello del paese dove l’azienda ha la sua sede. In teoria ci si può rivolgere anche al tribunale per chiedere il risarcimento del danno non patrimoniale, ma bisogna fornire la prova e la quantificazione del danno subito e nella maggior parte dei casi questo potrebbe essere inferiore al costo del processo. Più realistica, anche se più complessa, la possibilità di instaurare una class action.

Fonte: Italia Oggi Sette dell'11 giugno 2018 - Articolo a cura di Marino Longoni

Note sull'autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: urp@federprivacy.it 

Prev Corte UE: anche chi gestisce fanpage su Facebook risponde del trattamento di dati
Next Cassazione, l'investigatore ammesso solo per atti illeciti del lavoratore

7° Privacy Day Forum: intervista a Alessandra Toma

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
captcha 
Ho letto l'informativa sulla privacy e presto il consenso al trattamento dei miei dati personali