Art. 58 GDPR — Poteri

Commento

I tre tipi di poteri

L'art. 58 GDPR elenca i poteri dell'Autorità di controllo, distinti in tre categorie: poteri di indagine (par. 1), poteri correttivi (par. 2) e poteri di autorizzazione e consultivi (par. 3). È checklist degli strumenti operativi. La gradazione è importante: si parte da indagine (raccolta informazioni) per arrivare a sanzione (ultima ratio). Le procedure sono regolate dal diritto SM nel rispetto delle garanzie del giusto procedimento. Il considerando 129 sottolinea che i poteri vanno esercitati con imparzialità ed equità.

Poteri di indagine (par. 1)

Il par. 1 elenca sei poteri di indagine: (a) ordinare a titolare/responsabile/rappresentante di fornire le informazioni richieste per l'esecuzione dei compiti; (b) condurre indagini sotto forma di audit di protezione dei dati; (c) effettuare un riesame delle certificazioni rilasciate ex art. 42; (d) notificare al titolare/responsabile presunte violazioni; (e) ottenere accesso a tutti i dati personali e a tutte le informazioni necessarie; (f) ottenere accesso a tutti i locali, comprese qualsiasi apparecchiatura. Sono poteri ampi che consentono ispezione completa.

Poteri correttivi (par. 2)

Il par. 2 elenca dieci poteri correttivi: (a) rivolgere avvertimenti; (b) rivolgere ammonimenti; (c) ingiungere di soddisfare richieste degli interessati; (d) ingiungere di conformare i trattamenti al Regolamento; (e) ingiungere di comunicare violazioni all'interessato; (f) imporre limitazioni provvisorie o definitive al trattamento o divieto; (g) ingiungere rettifica/cancellazione/limitazione e notifica ai destinatari; (h) revocare una certificazione; (i) infliggere sanzioni amministrative pecuniarie; (j) ordinare la sospensione di trasferimenti verso paesi terzi.

Poteri di autorizzazione (par. 3)

Il par. 3 elenca sette poteri di autorizzazione e consultivi: (a) rilasciare pareri al titolare a norma art. 36 (consultazione preventiva); (b) rilasciare pareri al parlamento nazionale, al governo o ad altre istituzioni e organi sulla protezione dei dati; (c) autorizzare un'attività di trattamento a norma art. 36, par. 5; (d) emettere parere e approvare progetti di codici di condotta a norma art. 40, par. 5; (e) accreditare organismi di certificazione a norma art. 43; (f) rilasciare certificazioni e approvare criteri di certificazione a norma art. 42, par. 5; (g) approvare clausole tipo di protezione dei dati.

Sanzioni amministrative

Le sanzioni amministrative pecuniarie sono il potere correttivo più visibile. L'art. 83 disciplina la misura: fino al 2% del fatturato per violazioni di articoli specifici (parte 4) e fino al 4% per principi, basi giuridiche, diritti, trasferimenti (parte 5). Le sanzioni sono effettive, proporzionate e dissuasive. La giurisprudenza dei Garanti europei ha sviluppato criteri di quantificazione. Sanzioni miliardarie a Big Tech sono ormai consolidate.

Procedure e garanzie

Le procedure di esercizio dei poteri seguono il diritto SM con rispetto delle garanzie GDPR. Il par. 4 prevede che l'esercizio dei poteri sia soggetto a garanzie adeguate, compresi il ricorso giurisdizionale effettivo e il giusto processo. Le decisioni del Garante italiano sono impugnabili davanti al Tribunale di Roma (art. 152 D.Lgs. 196/2003). Il contraddittorio è garantito, le sanzioni motivate. Le procedure sono pubbliche con riservatezza per dati personali coinvolti.

Regola pratica e checklist operativa

Compliance art. 58: (i) conoscere i poteri del Garante; (ii) preparazione per ispezioni (documentazione pronta); (iii) cooperazione tempestiva; (iv) procedure interne di risposta; (v) team multidisciplinare DPO-legali-IT-business; (vi) impugnazione ponderata. La cooperazione strategica riduce il rischio.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.