Il nuovo regolamento europeo sulla privacy ha certo reso più semplice la presentazione di un ricorso al Garante. Per un semplice motivo: non si paga nulla. Fino a un mese fa bisognava sborsare almeno 150 euro di diritti di segreteria.
Inoltre ci si può rivolgere al titolare del trattamento, e le norme sono congegnate in modo tale da obbligare le imprese a rispondere in fretta, per non correre il rischio di sanzioni pesantissime, fino a 20 milioni di euro o al 4% del fatturato.
La conseguenza inevitabile è che i circa 300 ricorsi ogni anno presentati al Garante si moltiplicheranno in modo consistente. Idem per le richieste di esercizio dei diritti presentate ai titolari del trattamento dati.
Per le imprese più grandi o quelle che trattano grandi volumi di dati personali, ciò si tradurrà in aumento dei costi: in molti casi dovranno prevedere o mettere in opera l’ufficio reclami o l’ufficio relazioni con il pubblico. E per le società con sedi in diversi Paesi europei, il problema si moltiplica perché è facile prevedere una europeizzazione dei ricorsi.
Un’impresa italiana, cioè, potrebbe essere chiamata a rispondere anche a un ricorso presentato al Garante di un Paese europeo nel quale ha una attività che comporta il trattamento di dati. Finora, se la sede era italiana, il ricorso poteva essere presentato solo al Garante italiano. Sarà inevitabile anche il formarsi di una giurisprudenza europea, perché i garanti di tutta l’Ue dovranno coordinarsi tra loro per prendere posizioni non contraddittorie.
Per il cittadino che ritiene violato un suo diritto ci sono quindi tre possibilità di azione. Può rivolgersi all’impresa che ha trattato i suoi dati e presentare la sua richiesta utilizzando il modello predisposto dal Garante della privacy. A questo punto la controparte sarà tenuta a dare una risposta in tempi piuttosto brevi (un mese) se vuole evitare sanzioni molto pesanti, come si è visto sopra.
Anche se la risposta fosse negativa, dovrà aver cura di segnalare che il cittadino può comunque rivolgersi al Garante o al tribunale per far valere il suo (presunto) diritto. Non potrà essere addebitato alcun costo per l’attività necessaria a dare risposta, salvo il caso di richieste emulative o insistenti.
La seconda opzione è presentare ricorso al Garante il quale può ordinare all’impresa di tenere o meno un certo comportamento, oppure rigettare il ricorso. Oggi la percentuale dei ricorsi respinti è di poco superiore alla metà. Attenzione, nel passato regime il mancato riconoscimento del diritto da parte del titolare del trattamento non lo esponeva alla sanzione amministrativa, oggi invece sì. Se vado dal Garante e lamento che l’impresa non mi ha dato i miei dati, questi può aprire un fascicolo per irrogare una sanzione amministrativa.
Cosa che farà certamente una volta accertata la violazione di un diritto. Il vantaggio di tale procedimento è che, oltre a essere diventato gratuito, si conclude in media in 3 o 4 mesi. Per la verità il termine di legge previsto dal codice della privacy era 60 giorni, ma viene quasi sempre derogato. In alternativa al Garante si può ricorrere in tribunale, ma tale soluzione presenta alcuni svantaggi, in primo luogo il costo del contributo unificato. Inoltre i tempi sono molto lunghi e non c’è una grande giurisprudenza che possa rendere prevedibile l’esito del ricorso. In pratica conviene solo per le richieste di risarcimento danni.
Un esempio concreto. La cronaca dei giorni scorsi ha segnalato la vicenda di Facebook pescata a vendere in modo illegittimo i dati dei propri utenti. Chi si sentisse leso nei propri diritti potrebbe a questo punto chiedere direttamente al social network l’accesso ai propri dati e le modalità di trattamento degli stessi. Se l’azienda non risponde ci si può rivolgere al Garante italiano senza bisogno di inoltrare domanda a quello del Paese dove l’azienda ha sede. In teoria ci si può rivolgere anche al tribunale per chiedere il risarcimento del danno non patrimoniale, ma bisogna dare prova e quantificare il danno subito.
Nella maggior parte dei casi questo può risultare inferiore al costo del processo. Più realistica una class action.
Articolo pubblicato su Mf/Milano finanza
Articoli correlati
Altolà del Garante Privacy al progetto Worldcoin di Sam Altman (OpenAI)
Perché il Garante privacy avverte OpenAI su ChatGpt
Dossier metaverso per il Garante della Privacy
Google eviterà una causa da 5 miliardi negli Usa?
