Tutela amministrativa e giurisdizionale. Ruolo del Garante privacy e poteri di indagine e correttivi. Sanzioni amministrative pecuniarie, accessorie e risarcimento del danno. Big data e dati non personali.
La tutela giurisdizionale e amministrativa, ovvero come in qualche modo ci si tutela di fronte ad una violazione del trattamento, dei principi del trattamento, comunque in generale delle regole sul trattamento dei dati personali disposte dal GDPR. Andiamo quindi a vedere le regole di cui agli articoli 77 e seguenti del GDPR che prevedono diversi strumenti di tutela. A tutela di cosa? Ovviamente dei diritti dell’interessato che è sempre il soggetto di cui ci dobbiamo accertare che il trattamento sia eseguito in modo corretto. In particolare le forme di tutela, appunto, sono tre. La prima, articolo 77, è la tutela in via amministrativa di fronte a quella che il GDPR chiama l’autorità di controllo. L’autorità di controllo che interviene rispetto ad un trattamento che viola il GDPR è nel nostro ordinamento il Garante Privacy, quindi l’Autorità per la protezione per il trattamento dei dati personali e che chiamiamo in generale o l’autorità o il garante. Quindi tutela amministrativa di fronte all’Autorità garante della privacy. Un secondo profilo di tutela, articolo 78, tutela in via giurisdizionale, quindi di fronte al giudice, rispetto ad una decisione dell’autorità. Quindi quando l’Autorità prende una decisione poi ci si può rivolgere al giudice perché intervenga in seconda battuta rispetto alla decisione presa appunto dall’Autorità. Ultima forma di tutela, di nuovo in via giurisdizionale, quindi di fronte al giudice, per l’esercizio di un diritto riconosciuto dal GDPR. Quindi direttamente mi rivolgo al giudice per far valere un diritto che il GDPR mi riconosce. Innanzitutto partiamo dall’autorità. Qual è l’autorità? Perché ovviamente noi siamo di fronte al GDPR, quindi di fronte a un Regolamento che vale in tutti i Paesi dell’Unione europea. Per individuare l’autorità competente quindi andremo ad applicare il cosiddetto criterio di prossimità con l’interessato, quindi per riconoscere qual è l’autorità competente a intervenire rispetto ad una nostra supposta violazione, quella che noi riteniamo essere una violazione del GDPR andremo a rivolgerci all’autorità o del luogo dove noi come interessati risiediamo, quindi il luogo di residenza abituale dell’interessato, oppure il luogo in cui l’interessato lavora, in alternativa, oppure ancora il luogo in cui è stata effettuata la violazione. Perché la violazione ovviamente inerisce al trattamento e quindi andiamo a rivolgerci all’autorità del luogo in cui il trattamento ha concretamente luogo, quindi se quel certo titolare ha il suo stabilimento in un certo Paese noi ci rivolgeremo all’autorità di quel Paese. Rispetto invece all’autorità giudiziaria, quindi quando adiamo il giudice, quando scegliamo la tutela giurisdizionale, anche qui la regola è quella del rivolgerci al tribunale del luogo in cui il titolare ha lo stabilimento, quindi del luogo in cui si realizza il trattamento di dati oppure il luogo in cui l’interessato ha la sua residenza. Ciò a meno che il titolare non sia una autorità pubblica, quindi se il titolare invece è l’autorità pubblica, allora ci rivolgiamo al giudice del luogo in cui ha sede l’autorità in questione.
Ci soffermiamo sulla tutela dei dati personali all’interno del quadro normativo del Regolamento Generale sulla Protezione dei Dati (GDPR) e la sua implementazione nel diritto italiano, particolarmente attraverso il Codice Privacy aggiornato con il decreto legislativo 101 del 2018. Esploriamo la figura dell’Autorità di controllo, in Italia rappresentata dal Garante per la protezione dei dati personali, e le modalità con cui gli individui possono rivolgersi a questa autorità o al sistema giudiziario per far valere i propri diritti.
Il GDPR prevede strumenti specifici per la tutela dei diritti degli interessati, iniziando con la possibilità di presentare un reclamo amministrativo all’Autorità di controllo qualora si ritenga che sia stata violata la normativa sulla protezione dei dati. Se l’Autorità prende una decisione che non soddisfa l’interessato, quest’ultimo ha il diritto di rivolgersi al sistema giurisdizionale per impugnare tale decisione. Inoltre, esiste la possibilità di avviare azioni giurisdizionali dirette per esercitare i diritti riconosciuti dal GDPR, come il diritto di accesso ai dati, o per ottenere un risarcimento in caso di danni subiti a seguito di violazioni del regolamento.
Un aspetto importante è il principio di alternatività degli strumenti di tutela introdotto dall’articolo 140 bis del Codice Privacy. Questo principio stabilisce che la scelta di una via di tutela (amministrativa o giurisdizionale) preclude automaticamente l’uso dell’altra per lo stesso motivo, a meno che non siano presenti condizioni particolari, come il mancato riscontro da parte del Garante entro i termini massimi stabiliti.
Un accenno, inoltre, alla questione delle sanzioni amministrative pecuniarie, che devono essere effettive, proporzionate e dissuasive, seguendo i criteri stabiliti dall’articolo 83 del GDPR. Viene sottolineato il ruolo del Garante, che può esercitare una varietà di poteri correttivi, da semplici ammonimenti a sanzioni pecuniarie, per garantire la conformità al regolamento.
Diamo un’occhiata ora alle implicazioni più ampie della protezione dei dati nell’era digitale, quando toccano temi come i big data e la distinzione tra dati personali e non personali. In particolare, come il trattamento di grandi volumi di dati spesso unisce informazioni di natura diversa, sollevando sfide significative per quanto riguarda la protezione e l’autodeterminazione degli individui. Questo contesto richiede una regolamentazione che bilanci efficacemente le esigenze economiche e i diritti fondamentali delle persone, una sfida che continua a evolvere con il progresso tecnologico. Le implicazioni dei big data, un concetto che si riferisce all’immensa quantità di dati generati costantemente dall’interazione tra persone e tecnologie digitali. Il trattamento dei big data presenta una serie di sfide particolari per la protezione dei dati personali, poiché spesso combina dati personali e non personali, rendendo il confine tra questi due tipi sempre più sfumato. Il GDPR, che si focalizza sulla protezione dei dati personali, trova applicazione anche nei contesti in cui i dati non personali e personali si intrecciano così strettamente da non poter essere distinti. Questo è particolarmente rilevante in contesti in cui il trattamento di enormi volumi di dati da parte delle tecnologie digitali può influenzare decisioni che hanno impatti diretti sugli individui, come nel caso delle raccomandazioni personalizzate o delle previsioni comportamentali.
L’analisi dei big data può permettere alle organizzazioni di scoprire pattern e tendenze nascoste nei comportamenti umani, offrendo così possibilità predittive che possono essere usate in vari settori, dalla pubblicità al monitoraggio della salute. Queste capacità predittive, tuttavia, sollevano questioni significative riguardo al consenso e alla trasparenza. Per esempio, le persone sono veramente consapevoli e in grado di autorizzare l’uso dei loro dati quando accettano i termini di servizio di app o piattaforme che fanno largo uso di algoritmi di analisi?
Inoltre, l’accento va posto anche su come la normativa europea stia evolvendo per rispondere a questi cambiamenti. Un esempio è il Data Act, un regolamento dell’UE recentemente proposto che mira a regolamentare non solo i dati personali ma anche i dati non personali, riflettendo così la crescente importanza economica e sociale di entrambi i tipi di dati. Questo regolamento si propone di garantire che i dati siano trattati in modo equo e trasparente, cercando di bilanciare le esigenze del mercato digitale con i diritti fondamentali delle persone.
In conclusione, il trattamento dei big data impone una riflessione critica su come le informazioni vengono utilizzate e sulla necessità di garantire che i diritti alla privacy e all’autodeterminazione informativa rimangano centrali nel contesto di una società sempre più guidata dai dati.