In un'epoca in cui la gestione dei dati personali assume dimensioni rilevanti, e i cittadini sono sempre più interessati a sapere dove vanno e come vengono gestite le informazioni relative a loro stessi, può essere utile sapere chi è e cosa fa il Garante europeo per la protezione dei dati personali. Un'istituzione come l'Unione Europea si pone sempre più spesso da referente diretto del cittadino, e sempre di più sono le sue articolazioni. Il Garante europeo è una figura indipendente che si occupa dei dati personali gestiti direttamente dagli uffici dell'Unione Europea, e dagli organi ad essa collegati.

Questa è una importante differenza rispetto agli uffici dei singoli stati membri, che devono invece controllare le violazioni in qualsiasi campo avvengano, cioè sia da parte di persone fisiche che di imprese. L'obbligo per gli stati di dotarsi di un'autorità garante è stabilito dalla direttiva 95/46/CE, e in particolare dall'articolo 28. L'Italia ha adempiuto istituendo il Garante per la protezione dei dati personali attraverso la legge 31 dicembre 1996, n. 675, intitolata Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali. La legge è stata poi sostituita dal decreto legislativo 30 giugno 2003, n. 196, intitolato Codice in materia di protezione dei dati personali, che ha riordinato l'intero settore.

Successivamente un'altra direttiva europea, la numero 2002/58 (pdf), usualmente definita direttiva sull'e-privacy, ha aggiornato la direttiva 95/46/CE alle esigenze che via via si sono fatte più stringenti ed attuali, in particolare quelle derivanti dalle comunicazioni elettroniche e dallo spam. I suoi 49 "considerando", che precedono la direttiva vera e propria, costituiscono un utile quadro riassuntivo sull'intera tematica. I successivi articoli riguardano, oltre alle comunicazioni elettroniche vere e proprie, anche norme sulle comunicazioni telefoniche.

Il Garante europeo è stato invece istituito dal Regolamento 45/2001, che implementa l'articolo 286 del Trattato istitutivo della Comunità Europea. Più precisamente, l'articolo 286, ora articolo 16 nella versione consolidata del Trattato, prevede esplicitamente che le norme comunitarie sul trattamento dei dati si applichino alle istituzioni e agli organi comunitari, e la necessità di istituire un organo di controllo indipendente - il Garante, appunto - per sorvegliare sull'applicazione delle normative, sempre con riferimento alle istituzioni comunitarie.

Il Regolamento ha, inoltre, stabilito princìpi in merito alla qualità dei dati e al loro trattamento, obblighi di informazione così come diritti dell'interessato, e ha previsto l'obbligo per ogni istituzione europea di dotarsi di un ufficio per la protezione dei dati. Il Garante dura in carica cinque anni ed è nominato tramite una decisione congiunta del Parlamento e del Consiglio, sulla base di una lista predisposta dalla Commissione, lista a propria volta derivante da un bando pubblico.

Le funzioni del Garante sono quelle di supervisione, consultazione e cooperazione. La prima, quella di supervisione, è la sua funzione tipica: deve ascoltare i reclami che coinvolgono i dati personali dei cittadini, in collaborazione con i singoli uffici interessati, e con gli uffici di protezione dati delle singole istituzioni. Può in questa sede anche condurre inchieste e raccogliere denunce. Oltre al rapporto con il cittadino, ha anche una funzione di consultazione, dal momento che può essere interpellato in sede di approvazione di direttive e regolamenti, o nelle cause di fronte alla Corte di giustizia che siano rilevanti sotto questo profilo. Svolge anche una valutazione preventiva rispetto ai dati personali gestiti dalla istituzioni comunitarie e tiene un registro delle operazioni notificate al Garante. Per quanto concerne la cooperazione, essa si intende operante con le autorità nazionali, con gli uffici per la protezione dei dati personali delle singole istituzioni e attraverso la partecipazione a diverse conferenze internazionali sull'argomento.

Il Garante pubblica ogni anno, prima dell'estate, un rapporto contenente le informazioni sulle attività compiute in quel periodo, mettendo in luce quanto fatto e gli asetti più rilevanti del lavoro. I rapporti degli anni passati sono disponibili anche in italiano sul sito web. Si accennava poco fa agli uffici per la protezione dei dati dei singoli organi della Comunità. È, come detto, lo stesso Regolamento del 2001 che prevede l'obbligo, per ciascuna istituzione europea, di dotarsi di un ufficio di questo tipo, e di un funzionario responsabile. Ad esempio, la Commissione europea ne ha uno per ciascun Direttorato generale.

Le funzioni sono quelle di coordinamento del lavoro con il Garante principale, ma possono anch'essi condurre inchieste autonomamente, devono tenere un registro delle proprie attività ed informare il Garante in merito a possibili operazioni che potrebbero comportare rischi specifici. I diversi uffici formano inoltre un network, che si incontra periodicamente per stabilire linee comuni o individuare buone pratiche di lavoro dall'esperienza di ciascuno. Tornando al Garante, i modi per presentare ricorso sono molto semplici. In particolare, esiste una certa libertà di forme per farlo, dal momento che viene accettata la posta elettronica, il fax o la posta ordinaria. È in ogni caso necessario allegare tutti i documenti sulla base dei quali si intende far valere il reclamo.

Si raccomanda comunque di rivolgersi principalmente agli uffici di ciascuna istituzione, e di adire il Garante solo dopo averlo fatto, o direttamente qualora particolari circostanze lo richiedano. Quello è l'unico caso in cui il Garante può fungere da "organo di appello". Ugualmente, non è possibile rivolgersi al Garante in relazione ad una decisione già ricevuta da parte di un'autorità nazionale, a prescindere dal suo esito. Dopo che il ricorso è stato ammesso, ne viene data comunicazione al ricorrente e all'organo interessato, e il Garante può in questa sede esercitare i propri poteri di inchiesta.

Qualsiasi decisioni del Garante può essere impugnata di fronte alla Corte di giustizia europea. Esiste anche un Memorandum of Understanding (pdf) tra il Garante e il Mediatore europeo, per evitare duplicazioni nei ricorsi. In particolare, se si sceglie di adire uno dei due organi, non ci si può rivolgere all'altro, a meno che non si presentino elementi nuovi.

Sul sito web del Garante è inoltre possibile prendere visione del registro dei ricorsi[http://www.edps.europa.eu/EDPSWEB/edps/lang/en/pid/115]. I risultati sono ordinati cronologicamente e contiene per ciascun caso tutte le informazioni sulla base delle quali si è basata la decisione, come ad esempio le parti coinvolte e la base legale della decisione, rimandando ai file in pdf del caso. È un utile modo per valutare, sulla base delle decisioni precedenti, la possibilità pratica di successo di un eventuale reclamo.