E’ noto che, tra le novità introdotte dal GDPR, vi è anche quella di informare esplicitamente l’interessato nelle informative del suo “diritto di proporre reclamo ad un Autorità di controllo“ (art. 13, comma 2, lett, d).
Sappiamo anche che l’art. 77 GDPR dispone che “fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente Regolamento, ha diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione”.
In esecuzione delle predette norme e di quanto previsto dal nostro nuovo Codice Privacy modificato dal D.lgs 101/2018, il nostro Garante per la Protezione dei Dati ha pubblicato sul proprio sito un modello di reclamo utilizzabile da chiunque.
Al riguardo, il Garante precisa che “il reclamo è lo strumento (gratuito, N.d.r.) che consente all’interessato di rivolgersi al Garante per la protezione dei dati personali per lamentare una violazione della disciplina in materia di protezione dei dati personali (…) e di richiedere una verifica dell‘Autorità. (…)”.
I primi dati raccolti successivamente all’entrata in vigore del GDPR dicono che gli interessati hanno utilizzato lo strumento del reclamo con maggiore “entusiasmo” ed intensità rispetto al passato un po’ in tutta Europa.
In Italia, il Garante ha pubblicato la statistica dei reclami ricevuti alla data del 25 settembre 2018, da cui emerge un aumento del 42% in 4 mesi: “Dal 25 maggio al 25 settembre 2018 i reclami e le segnalazioni pervenuti al Garante sono stati 2.547, a fronte dei 1.795 pervenuti nello stesso periodo dello scorso anno, in crescita consistente del 42%. Un trend condiviso anche da altre Autorità come quella francese e quella britannica, che stanno vivendo gli stessi problemi dovuti anche ad una maggior consapevolezza del tema data protection”.
Benché il reclamo rappresenti, secondo il GDPR, lo strumento d’elezione in mano all’interessato per sollecitare l’Autorità di controllo a svolgere le opportune verifiche in casi di non conformità e ad adottare i provvedimenti più idonei per far cessare le violazioni, occorre, però, precisare che, in Italia, il reclamo si pone come alternativo all’azione giudiziaria.
L’art. 140bis del nostro attuale Codice Privacy, sotto la rubrica “Forme alternative di tutela”, stabilisce, infatti, che: “qualora ritenga che i diritti di cui gode sulla base della normativa in materia di protezione dei dati personali siano stati violati, l’interessato può proporre reclamo al Garante o ricorso dinanzi all’Autorità Giudiziaria. Il reclamo al Garante non può essere proposto se, per il medesimo oggetto e tra le stesse parti, è stata già adita l’autorità giudiziaria. La presentazione del reclamo al Garante rende improponibile un’ulteriore domanda dinanzi all’autorità giudiziaria tra le stesse parti e per il medesimo oggetto (…)“.
Il nostro Legislatore ha, cioè, imposto all’interessato un’alternativa secca tra:
- adire l’autorità giudiziaria oppure
- proporre reclamo al Garante.
La scelta obbligata tra una delle due strade – sulla cui legittimità mi permetto di nutrire qualche perplessità sia alla luce di quanto prevede l’art. 77 GDPR sia perché si può creare una situazione di disparità di trattamento con gli interessati di altri Stati membri non soggetti a questa scelta forzata – appare, però, fortemente condizionata dalla scarsità di risorse messe a disposizione del nostro Garante, gravemente sottodimensionato rispetto ai numerosi compiti che gli sono affidati.
In base ai dati pubblicati dallo stesso Garante sul proprio sito riferiti al mese di luglio 2018, il personale in servizio presso il nostro Garante è, infatti, pari a 122 unità.
Come ha ben sottolineato Raffaele Barbierio sull’Huffington Post: “c’è qualcosa che non torna. Non tornano i numeri, perché danno un quadro sin troppo asimmetrico tra la consistenza enorme dei compiti da affrontare e gli strumenti a disposizione.
L’autorità Garante della Protezione dei Dati Personali ha un organico (…) minore a quello di tutte le altre Autorità regolatorie nazionali che, va precisato, non hanno eccessi di personale, anzi.
Il vero problema è la scarsezza di risorse in relazione ai compiti che la protezione dei dati personali di 60 milioni di italiani comporta e la necessità improrogabile è quella di dare al Garante una consistenza di risorse pari a quella di altre autorità regolatorie del Paese. (…). Le nostre perplessità sono poi confermate anche dal confronto tra le risorse del Garante italiano e quelle dei Garanti dei principali Paesi europei.
Nei 5 Big Five europei si va dai 593 dipendenti del Garante tedesco ai soliti 113 (oggi 122 N.d.r.) dipendenti del Garante italiano. Ma va segnalata anche l’iniziativa del Garante britannico che, pur disponendo di circa 500 dipendenti, ha chiesto a gran voce altri 200 dipendenti per far fronte alla mole di lavoro derivante dall’applicazione del Regolamento Europeo”.
In questa situazione, quante saranno le probabilità che il nostro Garante sia effettivamente in grado di dare risposte tempestive ed efficaci agli interessati che lamentano la violazione dei loro diritti?
E’ chiaro, infatti, che se i tempi di attesa per l’esame dei reclami e per l’adozione delle opportune misure di contrasto si dilaterà oltre ogni ragionevole aspettativa, l’unica concreta possibilità di tutela per l’interessato rimarrà quella giudiziaria, che ha un costo e quindi non sarà percorribile da tutti ed in tutte le situazioni.
Più che conoscere il numero di reclami presentati al nostro Garante in un certo lasso temporale, sarà, pertanto, importante sapere quanti di essi saranno effettivamente evasi nel medesimo periodo di tempo, perché solo questo dato potrà fornirci un chiaro elemento orientativo per attivare gli strumenti messi a disposizione degli interessati dal GDPR e dal Codice Privacy.