Regolamento - 27/04/2016 - n. 679 art. 77 - Diritto di proporre reclamo all'autorità di controllo

Legittimazione attiva e passiva

Sono legittimati attivi l'interessato (art. 77, par. 1) e gli enti rappresentativi di diritti degli interessati (art. 80, par. 1 GDPR), su loro mandato, oppure anche senza mandato ove ciò sia consentito dalla normativa nazionale applicabile (art. 80, par. 2). Non sono legittimati attivi il titolare e il responsabile del trattamento. Rispetto alla legittimazione passiva, il reclamo può essere esperito avverso il titolare del trattamento, come pure nei confronti di ciascuno dei contitolari secondo la previsione dell'art. 26, par. 3 GDPR e nei confronti del responsabile del trattamento, essendo tale soggetto direttamente destinatario di previsioni normative (es. art. 32 GDPR). Rispetto agli autorizzati al trattamento, deve ritenersi che il reclamo possa essere azionato anche direttamente nei confronti di costoro, nella misura in cui abbiano assunto iniziative autonome. Qualora il responsabile agisca per finalità proprie, sarà considerato a sua volta titolare di trattamento, in applicazione del principio di cui all'art. 28, par. 10 GDPR. Ugualmente, l'autorizzato che agisca per finalità proprie è da considerare titolare del trattamento, si rimanda sul punto al commento all'art. 10 d.lgs. 150/2011.

Autorità nazionale competente

A scelta dell'interessato, sono competenti (art. 77, par. 1) l'Autorità del suo luogo di residenza abituale o di lavoro oppure l'Autorità del luogo dove si è verificata la violazione. Sul piano ermeneutico, stabilire che cosa debba intendersi per «luogo dove si è verificata la violazione» può non rivelarsi agevole, soprattutto nel caso di trattamenti geograficamente distribuiti e di eventi online connotati da ampia capacità diffusiva. Verosimilmente, il luogo dove si è verificata la violazione può pertanto anche corrispondere a una pluralità di punti territoriali diversi.

Autorità di controllo adita e autorità garante decidente

Nel caso di trattamento transfrontaliero, può registrarsi una dissociazione tra Autorità di controllo adita e Autorità di controllo decidente. La ratio di questo meccanismo è quella di conciliare il principio dello «sportello unico» (one stop shop) del titolare o del responsabile (artt. 56, par. 1 e 56, par. 6 GDPR) con l'istituto per alcuni versi omologo riconosciuto per l'interessato all'art. 77 par. 1 e ben espresso nel considerando 141 («Ciascun interessato dovrebbe avere il diritto di proporre reclamo a un'unica autorità di controllo, in particolare nello Stato membro in cui risiede abitualmente»). La questione ha un'origine risalente. Già l'ex Gruppo di lavoro 29 nell'opinione 1/2012 a p. 23, in occasione dell'esame della proposta di Regolamento, aveva infatti evidenziato il pericolo di «creare confusione ed incertezza in merito al soggetto che in ultima istanza ha la responsabilità di dare una risposta all'interessato». Concludeva l'opinione: «Per essere in grado di rispondere all'interessato, l'autorità di protezione dei dati adita [...] deve cooperare con quella del luogo in cui il titolare del trattamento ha il proprio stabilimento principale (l'autorità capofila) per concordare le misure necessarie a svolgere le relative indagini e, in taluni casi, a porre in essere azioni per il rispetto delle norme. Tuttavia, l'autorità di protezione dei dati inizialmente invocata conserverà in tutte le circostanze la responsabilità di rispondere all'interessato». Queste linee di sviluppo sono state poi sostanzialmente recepite nella versione definitiva del Regolamento e si trovano articolate agli attuali artt. 56 e 60. La dissociazione tra Autorità adita e Autorità decidente è mitigata dalla disposizione dell'art. 56, par. 2 GDPR, che fa salvo il coinvolgimento nella decisione dell'Autorità adita che si trovi in una speciale posizione di prossimità rispetto alla materia controversa, ossia quando l'oggetto del reclamo riguarda unicamente uno stabilimento del titolare/responsabile nel suo Stato membro di competenza; o produce effetti sostanziali unicamente nel suo Stato membro di competenza.

In definitiva, perciò, il quadro delle norme applicabili può sintetizzarsi come segue. Ove vengano in considerazione trattamenti transfrontalieri, possono verificarsi tre situazioni:

1. coincidenza: l'Autorità adita è anche l'Autorità capofila, come definita all'art. 56, par. 1 GDPR;

2. dissociazione parziale: l'Autorità adita non è l'Autorità capofila, ma ha una rilevante prossimità con l'oggetto del reclamo (art. 56, par. 2 GDPR), in tal caso la capofila valuta, entro tre settimane da quando ne è informata, se attivare il meccanismo di cooperazione (art. 60 GDPR) o lasciare la trattazione del caso all'autorità adita che farà uso degli strumenti dell'assistenza reciproca e delle operazioni congiunte (artt. 61 e 62 GDPR);

3. dissociazione completa: l'Autorità adita non è l'Autorità capofila né rientra nell'applicazione dell'art. 56, par. 2. Si rimanda per l'approfondimento della disciplina agli artt. 56 e 60 GDPR. Si rinvia più ampiamente al commento alle disposizioni indicate.

Modello di reclamo e gratuità

È previsto che per facilitare gli interessati sia reso disponibile un modello di reclamo compilabile, anche elettronicamente (art. 57, par. 2 GDPR), si rimanda in proposito al commento degli artt. 140-bis e ss. cod. privacy. L'utilizzo dei modelli resta comunque meramente facoltativo (art. 57, par. 2 GDPR). È prevista la gratuità per l'interessato, cfr. combinato disposto artt. 57, par. 1, lett. f) e 57, par. 3. Il terzo paragrafo dell'art. 57 espressamente infatti dispone: «Ogni autorità di controllo svolge i propri compiti senza spese né per l'interessato né, se del caso, per il responsabile della protezione dei dati». Tra i compiti suddetti figura anche quello di trattare i reclami proposti dagli interessati. La gratuità è tuttavia assicurata fino al limite dell'abuso del diritto, cfr. art. 57, par. 4, abuso che l'Autorità ha comunque l'onere di provare.

Durata

Nel Regolamento, non sono indicati espressamente termini di durata della procedura di reclamo, fatti salvi quelli relativi alle fasi della gestione trasfrontaliera, per la quale si rimanda agli artt. 56 e 60 GDPR. Sono tuttavia presenti indici che permettono di apprezzarla. In particolare, ai sensi dell'art. 77, par. 2 GDPR l'Autorità adita «informa il reclamante dello stato e dell'esito del reclamo, compresa la possibilità di un ricorso giurisdizionale ai sensi dell'art. 78», disposizione quest'ultima che al par. 2 a sua volta indica che «[...] ciascun interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora l'autorità di controllo che sia competente ai sensi degli articoli 55 e 56 [...] non lo informi entro tre mesi dello stato o dell'esito del reclamo proposto ai sensi dell'articolo 77». Appare corretto allora valorizzare il riferimento al trimestre (dal deposito), quale unità temporale significativa, non già nel senso di assumerla come termine perentorio di conclusione della procedura, ma nel senso che essa costituisce evidentemente un orizzonte temporale apparso congruo al legislatore europeo affinché si pervenga – in via tendenziale – all'«esito» della stessa. Va notato che la disciplina nazionale, all'art. 143, co. 3 d.lgs. n. 196/2003 fissa un termine di nove o dodici mesi.

Interazione con altri mezzi di tutela

Il reclamo non pregiudica l'esperimento di altri mezzi amministrativi o giurisdizionali (art. 77, par. 1). Vige cioè il principio della coesistenza di tali mezzi, come si evince palesemente dalla lettera della disposizione, che, lungi dal prevedere l'alternatività rispetto ad altri strumenti di tutela o dall'omettere – più semplicemente – precisazioni al riguardo, reca espressa clausola di salvezza: «fatto salvo ogni altro ricorso amministrativo o giurisdizionale». Su tali rilievi, la Corte di giustizia si è espressa appunto per la coesistenza dei rimedi exartt. 77,78,79 GDPR nell'arresto Nemzeti Adatvédelmi és Információszabadság Hatóság, C-132/21 del 12 gennaio 2023, ulteriormente confermato con la pronuncia del 7 dicembre 2023, caso Schufa Holding, cause riunite C-26/22 e C-64/22, punto 66. Si rimanda più ampiamente in proposito al commento all'art. 140-bis d.lgs. n. 196/2003 in quest'Opera.

Esclusione di domande risarcitorie

Come chiarito dall'art. 82, par. 6 GDPR, il risarcimento del danno è domandato «dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all'art. 79, paragrafo 2» («shall be brought», nel testo inglese, espressione che sottolinea la cogenza). Le questioni risarcitorie non appaiono perciò proponibili avanti all'Autorità di controllo, il che è peraltro pienamente conforme all'esperienza italiana. L'interessato potrà sempre radicare, anche successivamente al reclamo in sede amministrativa, autonoma domanda risarcitoria avanti all'Autorità giudiziaria ordinaria.