GDPR: il ruolo e le funzioni dell’Autorità di controllo

Il GDPR è il nuovo regolamento europeo sulla protezione generale dei dati. Entrato ufficialmente in vigore il 25 maggio 2018, ha modificato e rinnovato la normativa su tutto ciò che concerne il trattamento dei dati personali degli utenti. Ciò anche alla luce degli importanti mutamenti a livello tecnologico che si sono verificati negli ultimi anni.

All’interno del GDPR è presente una sezione interamente dedicata ad un’autorità a cui sono stati assegnati compiti molto delicati ed onerosi. Stiamo parlando dell’Autorità di controllo.

Chi è l’Autorità di controllo

L’Autorità di controllo è un’autorità pubblica indipendente la cui funzione principale è di contribuire affinché in tutta l’Unione Europea venga correttamente applicato il GDPR. Spetta ad ogni stato membro istituire una o più autorità di controllo, così da tutelare nel migliore dei modi i diritti e le libertà fondamentali dei cittadini, soprattutto sul fronte della libera circolazione dei dati personali all’interno dell’Unione Europea.
Se in uno Stato membro sono presenti più autorità di controllo, è lo stesso Stato membro a determinare l’autorità che rappresenterà tutte le altre nel comitato europeo per la protezione dei dati. Le autorità di controllo sono, inoltre, tenute a cooperare tra di loro nonché con la Commissione Europea.

Il principio dell’indipendenza

Uno dei principi fondamentali che guida l’agire dell’autorità di controllo è l’indipendenza. Infatti, l’autorità non è subordinata a nessun altro organo nell’adempimento delle proprie funzioni e nell’esercizio dei propri poteri.
Ogni Stato membro si impegna a garantire che le autorità di controllo siano in possesso delle risorse umane ma anche tecniche, organizzative, infrastrutturali e logistiche per svolgere in maniera efficace le funzioni ad esse assegnate.
La presenza di un controllo finanziario, unito alla necessità di predisporre annualmente appositi bilanci pubblici, non pregiudica l’indipendenza dell’autorità.

Nomina dei membri dell’autorità

I membri dell’autorità di controllo possono essere nominati dal parlamento, dal governo, dal capo di Stato o da un organismo indipendente incaricato di occuparsi della nomina la quale, dunque, avviene in forma decentralizzata.
Tutti i membri dell’autorità devono possedere competenze comprovate e certificate nell’ambito della protezione dei dati personali. Il loro mandato si conclude alla naturale scadenza, in presenza di dimissioni volontarie o in virtù di un provvedimento di ufficio.
Solo in due casi è possibile sollevare dall’incarico un membro dell’autorità di controllo:

  • quando si verificano casi di colpa grave,
  • quando il membro non possiede più i requisiti necessari per lo svolgimento delle funzioni che tale ruolo richiede.

I compiti dell’autorità di controllo

Sono davvero tante le funzioni attribuite all’autorità di controllo. Andremo, ora, a vedere quali sono quelle più importanti. Oltre a fare da garante per la corretta applicazione del GDPR, l’autorità deve fare in modo che i titolari e i responsabili del trattamento siano consapevoli degli obblighi a cui sono sottoposti. Non solo. Deve fare il possibile affinché anche il pubblico comprenda rischi, garanzie, norme e diritti legati alla disciplina del trattamento dati.
In caso di reclami, l’autorità è tenuta ad indagare su quanto segnalato, informando entro ragionevoli tempistiche il reclamante dell’andamento delle indagini. Essa può, inoltre, fornire consulenza al parlamento e al governo nonché ad altri organismi ed istituzioni. L’oggetto della consulenza si riferisce alla protezione dei diritti e delle libertà dei cittadini, sempre sul fronte del trattamento dei dati.
Affinché i reclami possano essere presentati senza troppe difficoltà, l’autorità mette a disposizione dei modulo, compilabili anche elettronicamente. Lo svolgimento dei compiti assegnati all’autorità non deve prevedere spese per l’interessato, né per il responsabile della protezione dei dati. L’unica eccezione riguarda il caso in cui l’autorità riesca a dimostrare che le richieste presentate siano “manifestamente infondate o eccessive”, soprattutto perché ripetitive.

I poteri

L’autorità di controllo è tenuta a notificare al titolare o al responsabile del trattamento le possibili violazioni del GDPR. Quest’ultimi devono fare in modo che l’autorità abbia la possibilità di accedere a tutti i dati personali, alle informazioni, ai locali, ai strumenti ed ai mezzi utilizzati per il trattamento dei dati.
Un altro potere conferito all’autorità è quello di ordinare la rettifica, la cancellazione di dati personali nonché la limitazione del trattamento. Può, inoltre, chiedere che le suddette misure vengano notificate ai destinatari.
Gli Stati membri possono fare in modo, attraverso apposite disposizioni normative, che le autorità acquisiscano ulteriori poteri e garantiscono, inoltre, loro l’opportunità di agire sia in sede giudiziale che stragiudiziale.