Con il nuovo Regolamento Europeo in materia di trattamento dati personali, hanno trovato una compiuta disciplina organica le autorità garanti nazionali che affiancheranno il Garante Europeo nell’attività di vigilanza e non solo sull’applicazione del GDPR. Ciò riguarda nel nostro paese il Garante della Privacy, definizione impropria, ma ormai comunemente adottata ed usata anche dagli addetti ai lavori.

I compiti del Garante
In particolare, al capo VI del GDPR vengono introdotti lunghi elenchi di mansioni e attività che dovranno essere poste in essere in tutti gli Stati membri, secondo la visione unitaria che il legislatore europeo ha inteso promuovere usando non a caso lo strumento del Regolamento. Rispetto ai compiti, ad esempio, deve porsi in evidenza come vengano demandate alle authority nazionali le attività di promozione dei principi e dei valori del GDPR nei confronti dei titolari e dei responsabili del trattamento, oltre l’incoraggiamento per l’istituzione di codici di condotta e meccanismi di certificazione per dimostrare l’adeguamento dei titolari e dei responsabili del trattamento alla normativa.

Da una lettura organica e proiettata verso il futuro di queste norme, è facilmente intuibile come, in un non lontano futuro, le certificazioni e attestazioni da parte dei garanti nazionali saranno requisito indispensabile, ad esempio, per partecipare ad appalti pubblici e ottenere certificazioni che permettano di dimostrare standard qualitativi conformi a livello europeo. Un nuovo onere sicuramente per aziende e imprenditori. Devono poi essere menzionate le funzioni di consulenza per gli organi legislativi, esecutivi ed amministrativi nazionali. Il Garante provvederà anche a redigere e tenere un elenco dei trattamenti soggetti ad una valutazione d’impatto sulla protezione dei dati personali e un registro interno delle violazioni al GDPR e delle misure correttive adottate in riferimento a tali violazioni.

I poteri del Garante
Per poter svolgere questi compiti, oltre tutti gli altri di cui all’art. 57, al Garante sono concessi poteri di indagine, correttivi ed anche di natura autorizzativa e consultiva. A titolo d’esempio possiamo menzionare la possibilità di accedere a tutti i locali del titolare e del responsabile del trattamento, compresi gli strumenti e i mezzi del trattamento dei dati, e di notificare le presunte violazioni dei dati ai titolari o ai responsabili del trattamento.

È concesso al garante il potere di sospendere i flussi di dati all’estero, in assenza di adeguate misure di sicurezza, nonché quello temutissimo di comminare le elevate sanzioni in caso di trattamenti illeciti o comunque non in compliance con il GDPR. Ovviamente è l’organo deputato a rilasciare pareri su richiesta di ogni possibile interessato. Sono poi previsti altri importanti compiti quali il trattamento dei reclami, anche qui con sufficienti poteri investigativi a disposizione, nonché le attività di coordinamento con gli altri garanti europei e un particolare il potere di sorveglianza sugli sviluppi che presentano un interesse, se e in quanto incidenti sulla protezione dei dati personali, in particolare l'evoluzione delle tecnologie dell'informazione e della comunicazione e le prassi commerciali. Inutile negare che quello della protezione dati è un laboratorio a cielo aperto costantemente in evoluzione di pari passo con gli sviluppi tecnologici

Oltre a questi poteri previsti a livello comunitario, quindi attuati in maniera uniforme, il GDPR riconosce agli Stati dell’Unione la facoltà di concedere ulteriori poteri. In Italia, potrebbe sembrare a prima vista che i cambiamenti siano stati rilevanti. Tuttavia, passando ad analizzare articolo per articolo ed operando una comparazione tra il testo del Codice prima e dopo, è possibile rendersi conto che le modifiche non sono state poi così rivoluzionarie.