LE ISPEZIONI E LE SANZIONI DEL GARANTE PRIVACY Avv. Adriano Travaglia Direttore AFGE Salomone & Travaglia Studio Legale Privacy Corporate Compliance Forum Milano, 28 e 29 ottobre

LE FONTI NORMATIVE

•  Art. 97 Costituzione •  Art. 41 Carta dei diritti dell’Unione Europea •  Art. 6 Convenzione Europea dei Diritti dell’Uomo •  L. n. 241/90 •  L. n. 689/81 (sanzioni amministrative) •  Art. 4, Prot. 7, Convenzione Europea dei Diritti

dell’Uomo (ne bis in idem)

CODICE PRIVACY •  Reclami: art. 142 •  Segnalazioni: artt. 141 e 144 •  Ricorsi: artt. 145 ss. •  Accertamenti e controlli: artt. 157-160

LE FONTI REGOLAMENTARI •  Organizzazione e funzionamento del Garante:

Regolamento 1/2000 •  Disciplina dei procedimenti: Regolamento 1/2007 •  Disciplina dei termini: Regolamento 2/2007 •  Disciplina diritto di accesso: Regolamento 1/2006

ART. 97 COSTITUZIONE

I pubblici uffici sono organizzati secondo disposizioni di legge, in modo che siano assicurati il buon andamento e l'imparzialità dell'amministrazione. Nell'ordinamento degli uffici sono determinate le sfere di competenza, le attribuzioni e le responsabilità proprie dei funzionari

NE CONSEGUE CHE

La competenza è elemento formale e indefettibile dell’organizzazione amministrativa e legittima la delega di poteri amministrativi, anche ispettivi e sanzionatori. Il procedimento ispettivo deve essere condotto da funzionari appartenenti agli uffici appositamente costituiti in seno al Garante. Le violazioni privacy non possono essere contestate nel corso o all’esito di procedimenti facenti capo ad amministrazioni diverse (ad es. accertamenti fiscali)

ECCEZIONI

•  In caso di reati privacy, la Guardia di Finanza, anche in

sede ad es. di procedimento di natura tributaria, ha l’obbligo di segnalazione alla Procura.

•  Violazioni dello Statuto dei Lavoratori (compentenza uffici ispettorato del lavoro e altri)

A RT. 4 1 , C A RTA D E I D I R I TT I FONDAMENTALI DELL’UE Diritto ad una buona amministrazione 1.  Ogni individuo ha diritto a che le questioni che lo riguardano

siano trattate in modo imparziale, equo ed entro un termine ragionevole dalle istituzioni e dagli organi dell’Unione.

2.  !Tale diritto comprende in particolare: -  il diritto di ogni individuo di essere ascoltato prima che

nei suoi confronti venga adottato un provvedimento individuale che gli rechi pregiudizio,

-  - il diritto di ogni individuo di accedere al fascicolo che lo riguarda, nel rispetto dei legittimi interessi della riservatezza e del segreto professionale,

-  - l’obbligo per l’amministrazione di motivare le proprie decisioni.

ART. 6, CONVENZIONE EUROPEA DEI DIRITTI DELL’UOMO Diritto a un equo processo Ogni persona ha diritto a che la sua causa sia esaminata equamente, pubblicamente ed entro un termine ragionevole da un tribunale indipendente e imparziale, costituito per legge, il quale sia chiamato a pronunciarsi sulle controversie sui suoi diritti e doveri di carattere civile o sulla fondatezza di ogni accusa penale formulata nei suoi confronti

ART. 6, CONVENZIONE EUROPEA DEI DIRITTI DELL’UOMO Diritto a un equo processo In particolare, ogni accusato ha diritto di: (a) essere informato, nel più breve tempo possibile della natura e dei motivi dell’accusa formulata a suo carico; (b) disporre del tempo e delle facilitazioni necessarie a preparare la sua difesa; (c) difendersi personalmente o avere l’assistenza di un difensore di sua scelta …; (d) esaminare o far esaminare i testimoni a carico e ottenere la convocazione e l’esame dei testimoni a discarico nelle stesse condizioni dei testimoni a carico; …

ART. 7, L. N. 241/1990

L’avvio del procedimento stesso è comunicato … ai soggetti nei confronti dei quali il provvedimento finale è destinato a produrre effetti diretti ed a quelli che per legge debbono intervenirvi … qualora da un provvedimento possa derivare un pregiudizio a soggetti individuati o facilmente individuabili, diversi dai suoi diretti destinatari, l'amministrazione è tenuta a fornire loro, con le stesse modalità, notizia dell'inizio del procedimento.

NE CONSEGUE CHE

La lettera di ingaggio con la quale il Garante comunica l’avvio del procedimento è inviata al soggetto specifico sottoposto ad ispezione. Ove sussistano contratti di servizi tra il soggetto sottoposto ad ispezione e un fornitore di servizi ICT, nel caso in cui il Garante volesse sottoporre ad ispezione anche quest’ultimo, dovrebbe aprire un ulteriore procedimento e comunicarlo formalmente.

ART. 10, L. N. 241/1990

I soggetti di cui all'articolo 7 e quelli intervenuti ai sensi dell'articolo 9 hanno diritto: a) di prendere visione degli atti del procedimento, salvo quanto previsto dall'articolo 24; b) di presentare memorie scritte e documenti, che l'amministrazione ha l'obbligo di valutare ove siano pertinenti all'oggetto del procedimento.

ART. 22, L. N. 241/1990

Al fine di assicurare la trasparenza dell'attività amministrativa e di favorirne lo svolgimento imparziale è riconosciuto a chiunque vi abbia interesse per la tutela di situazioni giuridicamente rilevanti il diritto di accesso ai documenti amministrativi, secondo le modalità stabilite dalla presente legge.

ART. 24, L. N. 241/1990 … esclusione del diritto di accesso in relazione alla esigenza di salvaguardare: a) la sicurezza, a difesa nazionale e le relazioni internazionali; b) la politica monetaria e valutaria; c) l'ordine pubblico e la prevenzione e repressione della criminalità; d) la riservatezza di terzi, persone, gruppi ed imprese, … I soggetti (amministrazioni) … hanno facoltà di differire l'accesso ai documenti richiesti sino a quando la conoscenza di essi possa impedire o gravemente ostacolare lo svolgimento dell'azione amministrativa.

ART. 10, REGOLAMENTO N. 1/2006

Si intendono ricompresi tra i documenti per i quali è previsto il differimento …: a) quando risulta una necessità oggettivamente comprovata di non pregiudicare la predisposizione o l’attuazione di atti e provvedimenti anche in relazione ad attività di verifica o ispettive, o alla contestazione o applicazione di sanzioni

ART. 2, L. N. 241/1990

Ove il procedimento consegua obbligatoriamente ad una istanza, ovvero debba essere iniziato d'ufficio, la pubblica amministrazione ha il dovere di concluderlo mediante l'adozione di un provvedimento espresso.

ART. 11, L. N. 241/1990

In accoglimento di osservazioni e proposte presentate a norma dell'articolo 10, l'amministrazione procedente può concludere, senza pregiudizio dei diritti dei terzi, e in ogni caso nel perseguimento del pubblico interesse, accordi con gli interessati al fine di determinare il contenuto discrezionale del provvedimento finale ovvero, nei casi previsti dalla legge, in sostituzione di questo.

LE FUNZIONI DEL GARANTE

•  Esame di segnalazioni, reclami, ricorsi e attività di iniziativa

•  Attività di indirizzo per mezzo di provvedimenti generali, linee guida e pareri

•  Attività di controllo effettuata anche mediante accessi, di natura ispettiva, alle banche dati

•  Prescrizioni di misure necessarie o opportune, provvedimenti di blocco o di divieto

D I P A R T I M E N T O A T T I V I T A ’ ISPETTIVE E SANZIONI •  Cura lo svolgimento delle attività ispettive e di

accertamento in loco •  Presta la collaborazione richiesta all’Autorità

Giudiziaria •  Cura i rapporti con le forze di polizia che cooperano

con l’Autorità •  Esegue indagini per le violazioni costituenti

reato, avvalendosi del personale cui è attribuita la qualifica di ufficiale o agente di P.G.

COEFFICIENTE DI COMPLESSITÀ O DELICATEZZA DELL’ACCERTAMENTO Alto: Dipartimento attività ispettive e sanzioni Medio: Nucleo Privacy della Guardia di finanza Basso: Reparti territoriali della Guardia di finanza

INPUT DELL’ATTIVITA’ ISPETTIVA •  Segnalazioni: richieste informali di verifica a fronte delle

quali può essere avviata un’istruttoria preliminare •  Reclami: richieste circostanziate di intervento del

Garante in relazione a una violazione della normativa; comporta l’avvio di un’istruttoria preliminare

•  Ricorsi: attraverso i quali si fanno valere i diritti di cui all’art. 7 del Codice. 60 giorni per la decisione

•  Di iniziativa: diretta conoscenza, notizie stampa, Internet, programmazione semestrale, ecc.

L. N. 241/1990: CRITERI AZIONE AMMINISTRATIVA L'attività amministrativa persegue i fini determinati dalla legge ed è retta da criteri di economicità, di efficacia e di pubblicità … La pubblica amministrazione non può aggravare il procedimento se non per straordinarie e motivate esigenze imposte dallo svolgimento dell'istruttoria.

E F F I C A C I A A Z I O N E AMMINISTRATIVA Efficacia dell’azione amministrativa •  definizione degli obiettivi tramite piani e programmi di

azione (rilevanza dell’indirizzo politico-amministrativo) •  verifica degli obiettivi conseguiti !

LA PROGRAMMAZIONE •  Il Garante determina semestralmente la

programmazione ispettiva indicando ambiti di intervento e obiettivi numerici

•  La programmazione tiene conto anche delle attività che possono essere delegate alla Guardia di finanza

•  Nella programmazione sono presenti: temi specifici del semestre e temi ricorrenti

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4240218

LA PROGRAMMAZIONE II SEM. 2015

•  trattamenti di dati personali in relazione all'offerta di servizi finalizzati alla fidelizzazione della clientela (carte fedeltà, pay back);

•  trattamenti di dati personali in relazione alle attività di marketing telefonico, anche con riferimento al fenomeno delle silent call;

•  verifica dell'implementazione delle misure previste nel provvedimento generale relativo alla "tracciabilità delle operazioni bancarie”;

LA PROGRAMMAZIONE II SEM. 2015

•  trattamenti effettuati dai centri di assistenza fiscale (CAF), per la verifica del rispetto delle misure organizzative e di sicurezza adottate nell'ambito della trasmissione della dichiarazione dei redditi precompilata;

•  trattamenti di dati personali effettuati da operatori telefonici per la gestione dei servizi sms;

•  trattamento di dati personali effettuati da società di software e servizi tecnologici nell'ambito delle attività di supporto alle indagini.

STRUMENTI ISTRUTTORI E DI VERIFICA

Richiesta di informazioni: invio di una missiva con la quale si richiede al titolare del trattamento o al responsabile di trasmettere documenti ovvero di comunicare per iscritto notizie, dati, informazioni o altri elementi suscettibili di valutazione Ispezione: prevede l’intervento, presso il luogo in cui si svolge il trattamento, di funzionari dell’Autorità appositamente incaricati di acquisire informazioni e documenti e/o di effettuare accessi alle banche dati

STRUMENTI ISTRUTTORI E DI VERIFICA

•  Il Garante può disporre accessi a banche di dati, archivi o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al controllo del rispetto della disciplina in materia di trattamento dei dati personali

•  personale munito di documento di riconoscimento •  si può procedere a rilievi e ad operazioni tecniche •  si può altresì estrarre copia di ogni atto, dato e

documento, anche a campione e su supporto informatico o per via telematica

STRUMENTI ISTRUTTORI E DI VERIFICA

•  degli accertamenti è redatto sommario verbale nel quale sono anche le eventuali dichiarazioni dei presenti

•  In caso di rifiuto gli accertamenti sono comunque eseguiti e le spese in tal caso occorrenti sono poste a carico del titolare con il provvedimento che definisce il procedimento

•  dalle 7 alle 20

COSA PREPARARE?

•  elenco dei trattamenti •  elenco aggiornato dei responsabili •  nomine a responsabili e incaricati •  elenco informative •  elenco misure di sicurezza •  procedure standard in relazione a determinati

trattamenti (es. riscontro richieste ex art. 7) •  relazioni relative a determinati trattamenti (es.

biometria) •  elenco notifiche e prior checking •  documentazione di procedimenti avanti il Garante

CHI VIENE SENTITO?

•  Titolare del trattamento (ad es.: amministratore società)

•  Privacy officer (individuato secondo l’organigramma aziendale)

•  Responsabile IT •  Responsabile del personale

QUALI SONO LE DOMANDE?

•  Struttura societaria? •  Modalità e finalità raccolta dati? •  Tipologia, natura e tempi di conservazione dei

dati? •  Sono stati effettuati audit interni o presso

responsabili esterni? •  Sono previste sanzioni disciplinari per i

dipendenti in caso di inosservanza delle norme sul trattamento dei dati?

•  Il responsabile del personale ha ricevuto una lettera di incarico al trattamento dei dati?

•  Viene svolta la formazione?

O M E S S A I N F O R M A Z I O N E O ESIBIZIONE AL GARANTE (ART. 164)

Chiunque omette di fornire le informazioni o di esibire i documenti richiesti dal Garante ai sensi degli articoli 150, comma 2, e 157 è punito con la sanzione amministrativa del pagamento di una somma da lire 10.000 a 60.000 euro

MODALITA’ (ART. 158)

Se gli accertamenti si svolgono in: •  un’abitazione •  un altro luogo di privata dimora •  nelle relative appartenenze previa autorizzazione del Presidente del Tribunale competente per territorio o con l’assenso scritto ed informato del titolare o del responsabile

F A L S E D I C H I A R A Z I O N I E NOTIFICAZIONI (ART. 168)

Chiunque dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi nella notificazione ex art. 37 o in comunicazioni (anche 32-bis, commi 1 e 8), atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti è punito con la reclusione da sei mesi a tre anni

Associazione per l’Alta Formazione Giuridico-Economica C.So G. Matteotti 42 bis – 10121 Torino���Tel. 011.2634561 – Fax. 011.0240050 info@afge.eu - www.afge.eu