GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
DELIBERA 4 aprile 2019
Regolamento n. 1/2019. Procedure interne aventi rilevanza esterna,
finalizzate allo svolgimento dei compiti e all'esercizio dei poteri
demandati al Garante per la protezione dei dati personali, nonche'
all'adozione dei provvedimenti correttivi e sanzionatori. (Delibera
n. 98). (19A02843)
(GU n.106 del 8-5-2019)
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, alla presenza del dott. Antonello Soro,
presidente, della dott.ssa Augusta Iannini, vicepresidente, della
dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano,
componenti e del dott. Giuseppe Busia, segretario generale;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del
Consiglio, del 27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche' alla
libera circolazione di tali dati e che abroga la direttiva n.
95/46/CE (Regolamento generale sulla protezione dei dati, di seguito
«RGPD»), con particolare riferimento agli articoli 40, 57, 58 e 83;
Visto il codice in materia di protezione dei dati personali,
recante disposizioni per l'adeguamento dell'ordinamento nazionale al
regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio,
del 27 aprile 2016, relativo alla protezione delle persone fisiche
con riguardo al trattamento dei dati personali, nonche' alla libera
circolazione di tali dati e che abroga la direttiva n. 95/46/CE
(decreto legislativo 30 giugno 2003, n. 196, come modificato dal
decreto legislativo 10 agosto 2018, n. 101, di seguito denominato
«codice»), con particolare riferimento all'art. 156, comma 3, lettera
a), ai sensi del quale il Garante per la protezione dei dati
personali (di seguito «Garante» o anche «Autorita'»), con propri
regolamenti pubblicati nella Gazzetta Ufficiale della Repubblica
italiana, definisce l'organizzazione e il funzionamento dell'ufficio,
anche ai fini dello svolgimento dei compiti e all'esercizio dei
poteri ad esso assegnati dagli articoli da 140-bis a 144, 154,
154-bis, 157, 158, 160, del medesimo codice;
Rilevato che il codice disciplina diversi istituti relativi alla
tutela degli interessati nelle procedure dinanzi al Garante, in
particolare per quanto riguarda la presentazione di reclami e
segnalazioni;
Considerato che, in base all'art. 154, comma 3, del codice, per
quanto non previsto dal RGPD e dal codice medesimo, il Garante
disciplina «con proprio regolamento, ai sensi dell'art. 156, comma 3,
le modalita' specifiche dei procedimenti relative allo svolgimento
dei compiti e all'esercizio dei poteri ad esso attribuiti dal
regolamento»;
Considerato che ai sensi dell'art. 142, comma 5, del codice, il
Garante disciplina «con proprio regolamento il procedimento relativo
all'esame dei reclami, nonche' modalita' semplificate e termini
abbreviati per la trattazione di reclami che abbiano ad oggetto la
violazione degli articoli da 15 a 22» del RGPD;
Rilevato altresi' che ai sensi dell'art. 166, comma 9, del codice,
«con proprio regolamento pubblicato nella Gazzetta Ufficiale della
Repubblica italiana, il Garante definisce le modalita' del
procedimento per l'adozione dei provvedimenti e delle sanzioni di cui
al comma 3 ed i relativi termini, in conformita' ai principi della
piena conoscenza degli atti istruttori, del contraddittorio, della
verbalizzazione, nonche' della distinzione tra funzioni istruttorie e
funzioni decisorie rispetto all'irrogazione della sanzione»;
Visto il decreto legislativo 18 maggio 2018, n. 51, recante
«Attuazione della direttiva (UE) n. 2016/680 del Parlamento europeo e
del Consiglio, del 27 aprile 2016, relativa alla protezione delle
persone fisiche con riguardo al trattamento dei dati personali da
parte delle autorita' competenti a fini di prevenzione, indagine,
accertamento e perseguimento di reati o esecuzione di sanzioni
penali, nonche' alla libera circolazione di tali dati e che abroga la
decisione quadro 2008/977/GAI del Consiglio», con particolare
riferimento agli articoli 13, comma 1, 37, 39, 40 e 42, comma 4;
Rilevato che ulteriori disposizioni di legge regolano altri profili
relativi ai procedimenti dinanzi al Garante, in particolare per
quanto riguarda gli accertamenti inerenti ai trattamenti effettuati
da forze di polizia (articoli 175 e 57 del codice come richiamato
dall'art. 49, comma 2, decreto legislativo 18 maggio 2018, n. 51)
ovvero in ambito giudiziario (art. 2-duodecies del codice) o di
difesa e sicurezza dello Stato (articoli 58 e 160 del codice), come
pure in relazione alla disciplina generale sul procedimento
amministrativo (legge 7 agosto 1990, n. 241 e successive
modificazioni), alla disciplina in materia di accesso civico,
obblighi di pubblicita', trasparenza e diffusione di informazioni da
parte delle pubbliche amministrazioni (decreto legislativo 14 marzo
2013, n. 33 e successive modificazioni), a quella relativa
all'applicazione di sanzioni amministrative, con riferimento agli
articoli da 1 a 9, da 18 a 22 e da 24 a 28 della legge 24 novembre
1981, n. 689 (art. 166, comma 7, del codice), nonche' in materia di
tutela dei minori dal fenomeno del cyberbullismo (legge 29 maggio
2017, n. 71);
Considerato che fra i compiti del Garante figurano, tra gli altri,
quelli di assicurare la tutela dei diritti e delle liberta'
fondamentali degli individui previsti dal RGPD, dal codice e dal
menzionato decreto legislativo n. 51/2018, nonche' delle ulteriori
norme vigenti, di controllare se i trattamenti di dati personali sono
effettuati nel rispetto della disciplina applicabile, di trattare i
reclami ed esaminare le segnalazioni, nonche' di esercitare i poteri
d'indagine, correttivi, sanzionatori, autorizzativi e consultivi
previsti dalla disciplina applicabile al trattamento dei dati
personali;
Visto il regolamento del Garante n. 1/2000 sull'organizzazione e il
funzionamento dell'ufficio del Garante (deliberazione 28 giugno 2000,
n. 15, e successive modifiche) e, in particolare, il capo III,
relativo ai principi di trasparenza, partecipazione e contraddittorio
cui si ispira l'attivita' dell'ufficio, all'assegnazione degli affari
ai relativi dipartimenti e servizi, all'individuazione del
responsabile del procedimento e alle funzioni del relatore quando si
provvede con deliberazione del Garante;
Rilevata la necessita', in ragione della modificata cornice
normativa in materia di protezione dei dati personali, di aggiornare
il regolamento n. 1/2007 sullo svolgimento dei compiti e
sull'esercizio dei poteri rimessi al Garante, con proprio atto di
natura regolamentare da adottare in base alle menzionate disposizioni
di cui agli articoli 142, comma 5, 154, comma 3, e 166, comma 9, del
codice;
Rilevata l'esigenza, in tale contesto, di specificare e rendere
note le procedure interne finalizzate allo svolgimento dei compiti e
all'esercizio dei poteri demandati al Garante aventi rilevanza
esterna, in particolare quelle funzionali alla tutela degli
interessati, avviate d'ufficio o su loro istanza, all'esame di
comunicazioni e richieste inoltrate dai titolari del trattamento,
quelle relative all'adozione di provvedimenti correttivi e
sanzionatori da parte del Garante, al rilascio di pareri nei casi
previsti, alla valutazione preliminare delle regole deontologiche,
all'elaborazione dei codici di condotta;
Visti gli atti d'ufficio;
Viste le osservazioni formulate dal segretario generale ai sensi
dell'art. 15, comma 1 del predetto regolamento n. 1/2000;
Relatore la prof.ssa Licia Califano;
Delibera:
di adottare il regolamento n. 1/2019, concernente le procedure
interne aventi rilevanza esterna, finalizzate allo svolgimento dei
compiti e all'esercizio dei poteri demandati al Garante per la
protezione dei dati personali, in particolare per quanto concerne
l'adozione dei provvedimenti correttivi di cui all'art. 58, paragrafo
2, del RGPD, e delle sanzioni di cui agli articoli 83 del medesimo
regolamento e 166, commi 1 e 2, del codice. Il regolamento e'
riportato in allegato alla presente deliberazione, della quale
costituisce parte integrante, e ne dispone la pubblicazione nella
Gazzetta Ufficiale della Repubblica italiana, ai sensi degli articoli
142, comma 5, 154, commi 1, lettera b) e 3, 156, comma 3, lettera a),
e 166, comma 9, del codice.
Roma, 4 aprile 2019
Il Presidente: Soro
Il relatore: Califano
Il segretario generale: Busia
Allegato
REGOLAMENTO CONCERNENTE LE PROCEDURE INTERNE AVENTI RILEVANZA
ESTERNA, FINALIZZATE ALLO SVOLGIMENTO DEI COMPITI E ALL'ESERCIZIO DEI
POTERI DEMANDATI AL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI,
NONCHE' ALL'ADOZIONE DEI PROVVEDIMENTI CORRETTIVI E SANZIONATORI
(ART. 142, COMMA 5, ART. 154, COMMA 1, LETTERA B), E COMMA 3, ART.
156, COMMA 3, LETTERA A), E ART. 166, COMMA 9, DECRETO LEGISLATIVO 30
GIUGNO 2003, N. 196, COME MODIFICATO DAL DECRETO LEGISLATIVO 10
AGOSTO 2018, N. 101).
Capo I
Disposizioni generali
Art. 1.
Definizioni
1. Ai fini del presente regolamento si applicano le definizioni
contenute nell'art. 4 del regolamento (UE) 2016/679 del Parlamento
europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione
delle persone fisiche con riguardo al trattamento dei dati personali,
nonche' alla libera circolazione di tali dati e che abroga la
direttiva n. 95/46/CE (Regolamento generale sulla protezione dei
dati) (di seguito denominato «RGPD»), e nell'art. 2-ter, comma 4,
nell'art. 121, comma 1-bis, e nell'art. 153 del codice in materia di
protezione dei dati personali, recante disposizioni per l'adeguamento
dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del
Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla
protezione delle persone fisiche con riguardo al trattamento dei dati
personali, nonche' alla libera circolazione di tali dati e che abroga
la direttiva n. 95/46/CE (decreto legislativo 30 giugno 2003, n. 196,
come modificato dal decreto legislativo 10 agosto 2018, n. 101, di
seguito denominato «Codice»), nonche' le definizioni contenute
nell'art. 2 del decreto legislativo 18 maggio 2018, n. 51, recante
attuazione della direttiva (UE) n. 2016/680 del Parlamento europeo e
del Consiglio, del 27 aprile 2016, relativa alla protezione delle
persone fisiche con riguardo al trattamento dei dati personali da
parte delle autorita' competenti a fini di prevenzione, indagine,
accertamento e perseguimento di reati o esecuzione di sanzioni
penali, nonche' alla libera circolazione di tali dati e che abroga la
decisione quadro 2008/977/GAI del Consiglio.
Art. 2.
Oggetto del regolamento
1. Il presente regolamento disciplina, ai sensi dell'art. 142,
comma 5, dell'art. 154, comma 1, lettera b), e comma 3, e dell'art.
156, comma 3, lettera a), del codice, le procedure interne
all'Autorita' aventi rilevanza esterna, avviate su istanza di parte o
d'ufficio e finalizzate allo svolgimento dei compiti e all'esercizio
dei poteri demandati al Garante.
2. Il presente regolamento disciplina altresi', ai sensi
dell'art. 166, comma 9, del codice, il procedimento con il quale il
Garante adotta i provvedimenti correttivi di cui all'art. 58,
paragrafo 2, del RGPD, ed irroga le sanzioni di cui all'art. 83 del
medesimo regolamento, nel rispetto dei principi della piena
conoscenza degli atti istruttori, del contraddittorio, della
verbalizzazione nonche' della distinzione tra funzioni istruttorie e
funzioni decisorie rispetto all'irrogazione delle sanzioni.
Art. 3.
Principi generali
1. Nell'esercizio dei compiti e dei poteri demandati al Garante
dalla normativa vigente e dalla disciplina comunque rilevante in
materia di trattamento dei dati personali, in particolare per quanto
riguarda il controllo sulla liceita' e correttezza dei trattamenti,
il Garante ispira la propria azione a principi di trasparenza,
ragionevolezza, proporzionalita' e non discriminazione, realizzando
l'interesse pubblico connesso a ciascuna attivita' secondo criteri di
buona amministrazione, economicita', adeguatezza e imparzialita',
valorizzando l'utilizzo di tecniche informatiche e della telematica.
A tal fine, si tiene conto anche della natura e della gravita' degli
illeciti da accertare in rapporto ai relativi effetti e all'entita'
del pregiudizio che essi possono comportare per uno o piu'
interessati, della probabilita' di comprovarne la sussistenza,
nonche' delle risorse disponibili.
Art. 4.
Programmazione
1. Il Garante, in applicazione dei principi e dei criteri di cui
all'art. 3, e ai sensi dell'art. 2, comma 1, lettere a) e c), del
regolamento del Garante n. 1/2000, determina e aggiorna
periodicamente con cadenza almeno semestrale:
a) la programmazione dei lavori del Collegio;
b) le linee di priorita' nella trattazione degli affari da
parte dell'ufficio;
c) la programmazione delle attivita' ispettive.
2. Al fine di determinare la priorita' nella trattazione degli
affari sottoposti all'attenzione del Garante, tenuto conto delle
risorse disponibili in relazione al carico di lavoro delle singole
unita' organizzative, sono tenute in considerazione le linee di
priorita' di cui alla lettera b) del comma 1 del presente articolo,
nonche' la natura e la gravita' delle violazioni, la rilevanza del
pregiudizio e il numero dei possibili interessati.
3. Nei casi in cui la condotta e' particolarmente risalente nel
tempo o ha esaurito i suoi effetti oppure tali effetti sono stati
rimossi o sono state fornite idonee assicurazioni da parte del
titolare del trattamento, di cui all'art. 14, comma 5, del presente
regolamento, il Collegio, con propria deliberazione da pubblicarsi
nella Gazzetta Ufficiale della Repubblica italiana, puo' delegare il
segretario generale ovvero il dirigente del dipartimento, servizio o
altra unita' organizzativa competente ad adottare il provvedimento
correttivo di cui all'art. 58, paragrafo 2, lettera b), del RGPD.
Art. 5.
Qualificazione e trattazione degli affari
1. Il segretario generale assegna gli affari al dipartimento,
servizio o altra unita' organizzativa competente ai sensi dell'art.
14 del regolamento del Garante n. 1/2000.
2. Il dirigente del dipartimento, servizio o altra unita'
organizzativa segnala al segretario generale, anche ai fini di una
diversa qualificazione dell'affare, l'opportunita' di una sua
riassegnazione ad un diverso dipartimento, servizio o unita'
organizzativa.
3. Le assegnazioni e la qualificazione attribuita agli affari
sono annotate e aggiornate costantemente nel sistema informativo del
Garante.
4. Il dipartimento, servizio o altra unita' organizzativa tratta
l'affare assegnato nel rispetto di quanto previsto dalla normativa
vigente, dal presente regolamento e da altri regolamenti approvati
dal Garante.
Art. 6.
Eventuale avvio del procedimento e relativo responsabile
1. Il dipartimento, servizio o altra unita' organizzativa avvia
un procedimento nei casi in cui, d'ufficio o sulla base di
un'istanza, cio' e' necessario ai sensi della normativa vigente, e
cura la predisposizione degli atti, delle comunicazioni e degli altri
adempimenti previsti nel medesimo procedimento.
2. Il responsabile del procedimento avviato ai sensi del comma 1
e' il dirigente o funzionario preposto all'unita' organizzativa cui
e' assegnato l'affare, il quale cura gli atti, le comunicazioni e gli
altri adempimenti di cui al comma 1 anche ai sensi dell'art. 14,
comma 3, del regolamento del Garante n. 1/2000.
Art. 7.
Trattazione degli affari e procedimento
1. Per esigenze di certezza e celerita' nella trattazione degli
affari, le comunicazioni al Garante inerenti gli stessi sono
effettuate preferibilmente tramite i servizi on-line resi disponibili
sul sito web o tramite posta elettronica certificata (PEC). Ove
possibile, le comunicazioni sono effettuate dal dipartimento,
servizio o altra unita' organizzativa tenendo conto delle indicazioni
fornite dagli interessati ai fini delle notificazioni e comunicazioni
con il Garante, ovvero, nei casi e nelle forme previsti dalle
disposizioni vigenti, presso la casella di posta elettronica
certificata (PEC) risultante da pubblici elenchi o comunque
accessibili alle pubbliche amministrazioni.
2. In caso di trattazione di affari, anche relativi a trattamenti
transfrontalieri di dati personali che, a qualsiasi titolo,
richiedono, in base alla disciplina vigente, la cooperazione del
Garante con altre autorita' di controllo, il dipartimento, servizio o
altra unita' organizzativa cura lo scambio di tutte le informazioni
utili, anche osservando le modalita' procedurali eventualmente
stabilite in proposito dal Comitato europeo per la protezione dei
dati.
3. In caso di affare riguardante persone giuridiche, enti,
associazioni o altri organismi la documentazione, anche difensiva, e'
presentata a firma del legale rappresentante o da altro soggetto
munito dei poteri di rappresentanza. In caso di affare riguardante
persone fisiche, la documentazione, anche difensiva, e' presentata
anche per il tramite di altra persona da questi espressamente
delegata ovvero, su mandato di questi, da un ente del terzo settore
soggetto alla disciplina del decreto legislativo 3 luglio 2017, n.
117, che sia attivo nel settore della tutela dei diritti e delle
liberta' degli interessati, con riguardo alla protezione dei dati
personali.
4. Nella trattazione degli affari avanti al Garante le parti
possono essere assistite da un procuratore o da altra persona di
fiducia.
5. Ferma restando la garanzia del diritto di difesa, l'attivita'
difensiva innanzi al Garante si svolge nel rispetto del principio
della leale collaborazione delle parti con il medesimo. In tale
prospettiva, tenuto conto dell'esigenza di assicurare l'economicita'
dell'azione amministrativa, le deduzioni devono essere svolte, anche
al fine di favorire la migliore comprensione delle argomentazioni
difensive, in modo essenziale. In caso di trasmissione cartacea, a
richiesta dell'Ufficio, i documenti difensivi vanno trasmessi in
formato digitale, se del caso su supporto informatico unitamente
all'attestazione di conformita' delle informazioni cosi' trasmesse
all'originale utilizzando il modello predisposto dal Garante e messo
a disposizione sul sito web. La produzione di documentazione
inutilmente sovrabbondante, inconferente o ingiustificatamente
dilatoria puo' costituire elemento di valutazione negativa del grado
di cooperazione con il Garante.
6. In relazione all'accesso ai documenti amministrativi si
applicano le disposizioni previste dal regolamento del Garante n.
1/2006.
7. Il dipartimento, servizio o altra unita' organizzativa
competente cura, ove richiesto dalla normativa vigente o ritenuto
comunque opportuno, gli adempimenti connessi alla consultazione
pubblica degli schemi di provvedimento.
Capo II
Procedure concernenti la tutela dinanzi al Garante
Sezione I
Reclami
Art. 8.
Reclami
1. Sono qualificabili come reclami gli atti che indicano
specificatamente, anche sulla base del modello appositamente
predisposto dal Garante, gli elementi previsti dall'art. 142 del
codice.
2. Ove il reclamo sia irregolare o incompleto, ne e' data
comunicazione all'istante, con l'indicazione delle cause della
irregolarita' o incompletezza nonche' del termine, di regola non
superiore a quindici giorni, entro cui provvedere alla relativa
regolarizzazione.
3. Il reclamo non tempestivamente regolarizzato e' archiviato e
puo' essere esaminato a titolo di segnalazione.
Art. 9.
Trattazione del reclamo
1. L'esame del reclamo, nel corso dell'istruttoria preliminare e
del successivo procedimento amministrativo eventualmente avviato, e'
orientato a criteri di semplicita' delle forme osservate, di
celerita' ed economicita', anche in riferimento al contraddittorio.
Resta fermo quanto stabilito all'art. 15 in relazione alla
trattazione dei reclami aventi ad oggetto la violazione degli
articoli da 15 a 22 del RGPD.
2. Salvo quanto previsto dall'art. 57, paragrafo 4, del RGPD, e
dall'art. 156, comma 8, del codice, il dipartimento, servizio o altra
unita' organizzativa al quale il reclamo e' assegnato cura
l'istruttoria senza richiedere alcun contributo spese.
3. Il responsabile del procedimento procede, in riferimento alle
formalita' da osservare, nel rispetto delle disposizioni di cui alla
legge 7 agosto 1990, n. 241, e successive modificazioni, con
particolare riguardo agli avvisi alle parti, alle comunicazioni
interlocutorie previste e al diritto di visione degli atti.
Art. 10.
Istruttoria preliminare
1. Il reclamo regolarmente presentato non comporta la necessaria
adozione di un provvedimento del Collegio ai sensi dell'art. 143,
comma 1, del codice.
2. Il dipartimento, servizio o altra unita' organizzativa cui il
reclamo e' assegnato avvia un'istruttoria preliminare e, fermo
restando quanto previsto dall'art. 8, commi 1 e 2, del presente
articolo informa l'istante dello stato o dell'esito del reclamo entro
tre mesi dalla data della sua ricezione o della sua regolarizzazione.
3. Il dipartimento, servizio o altra unita' organizzativa
verifica se sussistono idonei elementi in ordine alle presunte
violazioni e alle misure richieste dall'istante. A tal fine, il
dipartimento, servizio o altra unita' organizzativa esamina la
documentazione pervenuta e puo' curare l'acquisizione di precisazioni
e informazioni in ordine ai fatti e alle circostanze cui si riferisce
il reclamo, anche sentendo personalmente o a mezzo di procuratore il
titolare o il responsabile del trattamento, mediante richiesta di
informazioni o di esibizione di documenti ai sensi dell'art. 157 del
codice sottoscritta dal dirigente competente, nonche' procedendo ai
sensi dell'art. 22. In tale contesto il dipartimento, servizio o
unita' organizzativa puo' invitare il titolare o il responsabile ad
eseguire spontaneamente le misure richieste con il reclamo e a
comunicare all'Ufficio, entro il termine da quest'ultimo richiesto,
la propria eventuale adesione.
4. Al fine di promuovere l'esame organico di questioni, anche
pervenute in tempi diversi, che possono rendere opportuna l'adozione
di un eventuale provvedimento di carattere generale, l'istruttoria
preliminare puo' essere svolta contestualmente in relazione a piu'
reclami aventi il medesimo oggetto o che riguardano il medesimo
titolare o responsabile del trattamento, oppure trattamenti di dati
tra loro correlati. L'eventuale riunione o separazione di
procedimenti e' disposta dal dirigente del dipartimento, servizio o
unita' organizzativa competente. Per i procedimenti di pertinenza di
piu' unita' organizzative la riunione o separazione e' disposta dal
segretario generale.
Art. 11.
Chiusura dell'istruttoria preliminare
1. Al termine dell'istruttoria preliminare, il dipartimento,
servizio o altra unita' organizzativa competente puo' concludere
l'esame del reclamo archiviandolo, quando:
a) la questione prospettata con il reclamo non risulta
riconducibile alla protezione dei dati personali o ai compiti
demandati al Garante;
b) non sono ravvisati, allo stato degli atti, gli estremi di
una violazione della disciplina rilevante in materia di protezione
dei dati personali;
c) si tratta di una richiesta eccessiva, in particolare per il
carattere pretestuoso o ripetitivo anche ai sensi dell'art. 57,
paragrafo 4, del RGPD;
d) la questione prospettata con il reclamo e' stata gia'
esaminata dall'Autorita', in particolare con un provvedimento
collegiale di carattere generale, o puo' essere esaminata richiamando
provvedimenti o questioni gia' affrontate dal Garante ovvero
esprimendo un prudente avviso su questioni che non presentano
particolare rilevanza sul piano generale.
2. Nei casi di cui al comma 1 del presente articolo e' fornito
all'istante un riscontro indicando succintamente le ragioni per le
quali, ai sensi del medesimo comma, non e' promossa l'adozione di un
provvedimento del Collegio.
3. Delle determinazioni di cui al comma 1 e' informato il
Collegio nei modi di cui all'art. 36 del presente regolamento.
Art. 12.
Avvio del procedimento per l'adozione
dei provvedimenti correttivi e sanzionatori
1. Quando l'esame del reclamo non si conclude ai sensi dell'art.
11, comma 1, il dipartimento, servizio o altra unita' organizzativa
avvia, con propria comunicazione al titolare e, se del caso, al
responsabile del trattamento, il procedimento per l'adozione dei
provvedimenti di cui agli articoli 58, paragrafo 2, e 83 del RGPD.
2. Nel rispetto dell'art. 166, comma 5, del codice, la
comunicazione di cui al comma 1 contiene:
a) una sintetica descrizione dei fatti e delle presunte
violazioni della disciplina rilevante in materia di protezione dei
dati personali nonche' delle relative disposizioni sanzionatorie;
b) l'indicazione dell'unita' organizzativa competente presso la
quale puo' essere presa visione ed estratta copia degli atti
istruttori;
c) l'indicazione che entro trenta giorni dal ricevimento della
comunicazione e' possibile inviare al Garante scritti difensivi o
documenti e chiedere di essere sentito dalla medesima Autorita'.
3. Ove ne ricorrano i presupposti, la comunicazione di cui ai
commi 1 e 2 del presente articolo puo' essere resa direttamente al
titolare e, se del caso, al responsabile del trattamento, qualora
tali soggetti vengano sentiti dal dipartimento, servizio o altra
unita' organizzativa in fase di istruttoria preliminare, ai sensi
dell'art. 10, comma 3, del presente regolamento.
4. Ai sensi dell'art. 166, comma 5, del codice, i commi
precedenti non trovano applicazione ove la suddetta comunicazione
risulti incompatibile con la natura e le finalita' del provvedimento
da adottare.
Art. 13.
Diritto di difesa
1. Il destinatario della comunicazione di cui all'art. 12 puo'
esercitare il diritto di difesa mediante la presentazione di
deduzioni scritte e documenti, nonche', ove richiesta, con
l'audizione personale in merito ai fatti oggetto di comunicazione.
2. Entro trenta giorni dalla data di notifica della predetta
comunicazione le deduzioni scritte e i documenti sono inviati
all'unita' organizzativa competente.
3. Il destinatario della comunicazione puo' richiedere, con
specifica istanza debitamente motivata, una breve proroga. La
proroga, di norma non superiore a quindici giorni, puo' essere
concessa secondo criteri di proporzionalita' anche in relazione alle
caratteristiche operativo/dimensionali dei destinatari stessi e alla
complessita' della vicenda presa in esame. Il dipartimento, servizio
o altra unita' organizzativa competente comunica l'accoglimento o il
rigetto della richiesta di proroga.
4. Ove sia altresi' richiesta un'audizione, con istanza specifica
anche allegata alle memorie difensive indirizzate al dipartimento,
servizio o altra unita' organizzativa competente, la medesima ha
luogo presso la sede del Garante nella data fissata dall'ufficio.
Dell'audizione e' redatto un sintetico verbale a cura dell'ufficio.
L'eventuale rinuncia all'audizione deve essere comunicata
tempestivamente al dipartimento, servizio o altra unita'
organizzativa competente in relazione all'istruttoria. In sede di
audizione i richiedenti svolgono le proprie controdeduzioni, evitando
duplicazioni o meri rinvii a quanto gia' rappresentato negli scritti
difensivi. L'audizione delle persone fisiche destinatarie della
comunicazione di cui all'art. 12, comma 2, ha carattere strettamente
personale; e' consentita la partecipazione con l'assistenza di un
avvocato o di altro consulente.
5. La mancata presentazione di controdeduzioni scritte o della
richiesta di audizione non pregiudica il seguito del procedimento.
Art. 14.
Decisione del reclamo
1. Valutata la documentazione in atti, l'esame del reclamo e'
concluso nei modi di cui all'art. 11, comma 1, quando nuovi elementi
sopravvenuti nel corso del procedimento evidenziano l'infondatezza o
l'insussistenza dei presupposti per adottare un provvedimento.
2. Fuori dei casi di cui al comma 1, il dipartimento, servizio o
altra unita' organizzativa competente cura la predisposizione dello
schema di provvedimento del Collegio e lo sottopone al segretario
generale, trasmettendolo nei modi di cui all'art. 15 del regolamento
del Garante n. 1/2000.
3. Il Collegio provvede con propria deliberazione e adotta, ove
necessario, i provvedimenti correttivi e sanzionatori di cui all'art.
58, paragrafo 2, del RGPD. Il Collegio provvede con propria
deliberazione anche quando rileva l'infondatezza del reclamo.
4. Il provvedimento e' notificato alle parti a cura del
dipartimento, servizio o altra unita' organizzativa che ne ha curato
l'istruttoria.
5. Quando la condotta e' particolarmente risalente nel tempo o ha
esaurito i suoi effetti oppure tali effetti sono stati rimossi o sono
state fornite idonee assicurazioni da parte del titolare o del
responsabile del trattamento, il dipartimento, servizio o altra
unita' organizzativa competente informa l'istante, ai sensi dell'art.
77, paragrafo 2, del RGPD, ferma restando l'applicazione dei commi 2,
3 e 4 del presente articolo ove ne ricorrano i presupposti.
Art. 15.
Reclami aventi ad oggetto la violazione
degli articoli da 15 a 22 del RGPD
1. In relazione ai reclami che abbiano ad oggetto, in via
esclusiva, la violazione degli articoli da 15 a 22 del RGPD per i
quali l'istante abbia gia' esercitato, in relazione al medesimo
oggetto, i diritti riconosciuti da tali disposizioni nei confronti
del titolare del trattamento senza ottenere un idoneo riscontro nei
termini di cui all'art. 12, paragrafo 3, del RGPD, salvi i casi di
inammissibilita' o manifesta infondatezza, entro quarantacinque
giorni dalla data della sua ricezione, il reclamo e' comunicato al
titolare, con invito ad esercitare entro venti giorni dal suo
ricevimento la facolta' di comunicare all'istante e all'Ufficio la
propria eventuale adesione spontanea.
2. Il reclamo reca in allegato copia della richiesta rivolta al
titolare del trattamento e dell'eventuale riscontro ricevuto.
3. Qualora l'istante non abbia preventivamente esercitato i
diritti di cui agli articoli da 15 a 22 del RGPD con istanza rivolta
al titolare del trattamento, se dal reclamo non emergano specifiche e
fondate ragioni che ne giustifichino la mancata effettuazione, il
dipartimento, servizio o altra unita' organizzativa ai quali il
reclamo e' assegnato invita, entro quarantacinque giorni dalla data
della ricezione del reclamo, l'istante a rivolgersi al titolare del
trattamento.
4. In caso di adesione spontanea da parte del titolare ai sensi
del comma 1, il dipartimento, servizio o altra unita' organizzativa
competente informa l'istante, ai sensi dell'art. 77, paragrafo 2, del
RGPD, e comunica al titolare o al responsabile del trattamento
l'avvio del procedimento per l'adozione dei provvedimenti di cui agli
articoli 58, paragrafo 2, e 83 del RGPD, ai sensi dell'art. 166,
comma 5, del codice e nei termini di cui all'art. 12 del presente
regolamento.
Art. 16.
Ordinanza ingiunzione
1. Ai sensi dell'art. 58, paragrafo 2, lettera i), e dell'art. 83
del RGPD nonche' dell'art. 166 del codice, il Collegio adotta
l'ordinanza ingiunzione, con la quale dispone altresi' in ordine
all'applicazione della sanzione amministrativa accessoria della sua
pubblicazione, per intero o per estratto, sul sito web del Garante ai
sensi dell'art. 166, comma 7, del codice.
2. L'ordinanza ingiunzione o l'atto di archiviazione sono
notificati ai destinatari degli stessi a cura del dipartimento,
servizio o altra unita' organizzativa che ne ha curato l'istruttoria.
3. Quando ne ricorrono le condizioni, il provvedimento e'
altresi' trasmesso, a cura del dipartimento, servizio o altra unita'
organizzativa che ha curato il procedimento sanzionatorio, al
dipartimento, servizio o altra unita' organizzativa competente in
materia di amministrazione e contabilita' per l'iscrizione a ruolo
dei relativi importi.
4. Resta salva l'applicazione dell'art. 28 della legge 24
novembre 1981, n. 689.
Art. 17.
Registro interno delle violazioni e delle misure correttive adottate
1. La decisione sul reclamo ai sensi degli articoli 14 e 15
nonche' l'ordinanza ingiunzione ai sensi dell'art. 16 dispongono
altresi', ricorrendone i presupposti, l'annotazione nel registro
interno dell'Autorita' previsto dall'art. 57, paragrafo 1, lettera
u), del RGPD, delle violazioni e delle misure adottate in conformita'
all'art. 58, paragrafo 2, del RGPD.
2. La conseguente annotazione nel predetto registro interno e'
curata dal dipartimento, servizio o altra unita' organizzativa
competente.
Art. 18.
Procedimenti relativi a trattamenti transfrontalieri
1. In relazione alla trattazione di affari oggetto di procedure
avviate ai sensi dell'art. 60 del RGPD, il dipartimento, servizio o
altra unita' organizzativa competente, curati gli adempimenti
previsti ai paragrafi da 1 a 3 della medesima disposizione, trasmette
al Collegio lo schema di progetto di decisione ovvero lo schema delle
eventuali obiezioni pertinenti e motivate ad un progetto di decisione
predisposto da altra autorita' di controllo di cui, rispettivamente,
ai paragrafi 3 e 5 del medesimo art. 60.
2. Il dipartimento, servizio o altra unita' organizzativa
competente procede secondo le modalita' indicate al comma 1 del
presente articolo anche in relazione allo schema di ordinanza
ingiunzione.
3. Il Collegio provvede con propria deliberazione:
a) ad approvare le obiezioni pertinenti e motivate ad un
progetto di decisione predisposta da un'altra autorita' capofila;
b) ad adottare il progetto di decisione di cui all'art. 60,
paragrafi 3 e 5, del RGPD; ovvero
c) ricorrendo i presupposti di cui all'art. 60, paragrafo 4, a
sottoporre la questione al meccanismo di coerenza di cui all'art. 63
del RGPD.
4. Quando il Garante e' autorita' capofila, acquisiti i pareri
conformi delle altre autorita' di controllo interessate, il
procedimento si conclude, nel rispetto dell'art. 60, paragrafi 7 o 9,
del RGPD, con provvedimento di cui agli articoli 14, 15 e 16 del
presente regolamento.
5. Quando il Garante e' autorita' interessata in quanto
destinataria di un reclamo, il procedimento si conclude, nel rispetto
dell'art. 60, paragrafi 8 o 9, del RGPD, con provvedimento di cui
agli articoli 14, 15 e 16 del presente regolamento.
Sezione II
Segnalazioni
Art. 19.
Esame delle segnalazioni
1. Sono qualificabili come segnalazioni gli atti, diversi dalle
richieste di parere e dai quesiti, che non presentano le
caratteristiche del reclamo e sono volti a sollecitare un controllo
da parte del Garante sulla disciplina rilevante in materia di
trattamento dei dati personali.
2. La segnalazione e' presentata da un soggetto identificato.
L'Autorita' puo' utilizzare le notizie indicate in eventuali
segnalazioni che provengono da un soggetto non identificato, qualora
ritenga di dover avviare controlli su casi nei quali ravvisa il
rischio di seri pregiudizi o di ritorsioni ai danni di soggetti
interessati dal trattamento, oppure ricorre comunque un caso di
particolare gravita'.
3. La segnalazione puo' essere esaminata dall'Autorita', ma non
comporta la necessaria adozione di un provvedimento.
4. Nei casi in cui fatti di possibile rilievo per la disciplina
in materia di protezione dei dati personali siano stati riscontrati
nell'ambito di verifiche condotte da altre Autorita', la segnalazione
puo' essere esaminata ai fini dell'eventuale accertamento della
sussistenza di una violazione. Ove necessario, sono acquisiti
ulteriori elementi.
5. Il dipartimento, servizio o altra unita' organizzativa
competente puo', anche tenuto conto di quanto previsto dall'art. 3
del presente regolamento, concludere l'esame della segnalazione
disponendone l'archiviazione quando ricorre uno dei presupposti di
cui all'art. 11, comma 1, oppure in caso di segnalazioni del tutto
generiche. Si considerano tali le segnalazioni che si limitano a
imputare a un soggetto fatti privi di elementi circostanziati o che
non contengono elementi tali da consentire un'agevole individuazione
del titolare del trattamento.
6. E' fatta salva l'attivita' di controllo, anche con riferimento
a segnalazioni gia' oggetto di archiviazione ai sensi dei commi
precedenti, in caso di sopravvenuti elementi di fatto o di diritto
ovvero di diversa ed ulteriore valutazione del Garante.
7. Delle determinazioni di cui al comma 5 e' informato il
Collegio nei modi di cui all'art. 36.
Art. 20.
Istruttoria preliminare ed eventuale procedimento amministrativo
1. Fermi restando i casi in cui la segnalazione e' archiviata ai
sensi dell'art. 19, comma 5, il dipartimento, servizio o altra unita'
organizzativa puo' avviare un'istruttoria preliminare.
2. Nel corso dell'eventuale procedimento amministrativo si
osservano le disposizioni per i reclami di cui agli articoli da 9 a
18, anche per quanto riguarda l'informativa al Collegio ai sensi
dell'art. 36, e al segnalante puo' essere fornito un riscontro.
Capo III
Attivita' di controllo ed ispettive
Art. 21.
Controlli e provvedimenti adottati senza istanza di parte
1. Nell'esercizio dei compiti di controllo o comunque
esercitabili dal Garante, valutati gli elementi in suo possesso e
anche in assenza di reclamo, segnalazione o notificazione di
violazione dei dati personali, l'Autorita' puo' avviare d'ufficio
un'istruttoria preliminare per verificare la sussistenza di idonei
elementi in ordine a possibili violazioni della disciplina rilevante
in materia di protezione dei dati personali.
2. Nel corso dell'eventuale procedimento si osservano, in quanto
applicabili, le disposizioni per i reclami di cui agli articoli da 9
a 18, anche per quanto riguarda l'informativa al Collegio ai sensi
dell'art. 36.
Art. 22.
Attivita' ispettive e di revisione sulla protezione dei dati
personali
1. Il dipartimento, servizio o altra unita' organizzativa
competente in materia di attivita' ispettive e di revisione cura lo
svolgimento dell'attivita' ispettiva effettuata ai sensi degli
articoli 157 e 158 del codice nonche' ai sensi dell'art. 58,
paragrafo 1, e dell'art. 62 del RGPD, tenuto anche conto della
programmazione dell'attivita' ispettiva disposta dal Collegio ai
sensi dell'art. 4, comma 1, lettera c), del presente regolamento,
sulla base di un ordine di servizio sottoscritto dal dirigente del
medesimo dipartimento. Effettuati gli accertamenti relativi agli
elementi idonei in ordine alle presunte violazioni, il dipartimento,
servizio o altra unita' organizzativa inoltra gli atti al segretario
generale per l'assegnazione alla competente unita' organizzativa ai
sensi dell'art. 14 del regolamento del Garante n. 1/2000, per il
seguito di trattazione.
2. Valutata la sussistenza di eventi di particolare rilevanza, il
Collegio puo' disporre ulteriori attivita' ispettive, da svolgersi
secondo le modalita' di cui al comma 1 del presente regolamento.
3. Il dipartimento servizio o altra unita' organizzativa
competente in materia di attivita' ispettive e di revisione cura
altresi' i controlli di cui al comma 1 nell'ambito delle istruttorie
preliminari e dei procedimenti amministrativi comunque avviati presso
altre unita' organizzative dell'Autorita', alle quali e' restituito
l'esito per la successiva trattazione.
4. L'attivita' ispettiva effettuata ai sensi degli articoli 157 e
158 del codice puo' essere curata dal dipartimento servizio o altra
unita' organizzativa competente in materia di attivita' ispettive e
di revisione ovvero delegata alla Guardia di finanza. La stessa puo'
essere altresi' effettuata avvalendosi, ove necessario, della
collaborazione di altri organi dello Stato.
5. L'ordine di servizio con cui e' disposta l'attivita' ispettiva
individua il titolare o il responsabile del trattamento destinatari
del controllo, i poteri di indagine utilizzati, l'ambito del
controllo, il luogo ove si svolge l'accertamento, il responsabile
delle attivita' e gli ulteriori partecipanti, designati d'intesa con
i dirigenti dei dipartimenti, servizi o altre unita' organizzative;
l'ordine di servizio indica altresi' le sanzioni previste ai sensi
dell'art. 83, paragrafo 5, lettera e), del RGPD e degli articoli 166
e 168 del codice.
6. Nel corso dell'attivita' ispettiva, della quale puo' essere
dato preavviso, e' possibile, in particolare:
a) controllare, estrarre ed acquisire copia dei documenti,
anche in formato elettronico;
b) richiedere informazioni e spiegazioni;
c) accedere alle banche dati ed agli archivi;
d) acquisire copia delle banche dati e degli archivi su
supporto informatico.
7. Durante l'attivita' ispettiva il soggetto sottoposto ad
ispezione puo' farsi assistere da consulenti di propria fiducia e
fare riserva di produrre la documentazione non immediatamente
reperibile entro un termine congruo, di regola non superiore a trenta
giorni; in casi eccezionali, puo' essere richiesto un differimento di
tale termine.
8. Le attivita' di revisione sulla protezione dei dati personali
sono avviate ai sensi dell'art. 58, paragrafo 1, lettera b), del
RGPD, presso il titolare o il responsabile del trattamento ovvero
presso la sede dell'Autorita'. In tale ultimo caso, l'attivita' si
svolge a seguito di convocazione del titolare o del responsabile
presso il dipartimento, servizio o altra unita' organizzativa
competente in materia di attivita' ispettive e di revisione.
Nell'ambito delle attivita' di revisione, qualora emergano elementi
di criticita' nel trattamento dei dati personali, possono essere
avviate attivita' ispettive al fine di rilevare eventuali violazioni
della normativa sulla protezione dei dati personali.
9. Dell'attivita' svolta ai sensi dei commi precedenti, con
particolare riferimento alle dichiarazioni rese ed ai documenti
acquisiti, e' redatto processo verbale, una copia del quale viene
consegnata al soggetto sottoposto ad ispezione ovvero ad attivita' di
revisione.
Capo IV
Regole deontologiche
Art. 23.
Promovimento dell'adozione di regole deontologiche
1. Il Garante promuove, nei casi previsti dalla legge, l'adozione
di regole deontologiche ai sensi dell'art. 2-quater del codice con
deliberazione del Collegio da pubblicare nella Gazzetta Ufficiale
della Repubblica italiana.
2. Con la deliberazione di cui al comma 1 del presente articolo
sono indicati i criteri generali in base ai quali l'Autorita'
verifica il rispetto del principio di rappresentativita'. In base al
medesimo principio, i soggetti pubblici e privati appartenenti alle
categorie interessate che ritengano di avere titolo a sottoscrivere
le regole deontologiche sono invitati a darne comunicazione
all'Autorita' entro un termine prefissato, e a fornire informazioni e
documentazione idonee a comprovare, in particolare, la loro
rappresentativita'.
3. Con la deliberazione di cui al comma 1 il Garante puo'
invitare altri soggetti che si ritengano comunque interessati in
relazione all'applicazione delle regole deontologiche a darne
comunicazione all'Autorita' e a fornire informazioni e documentazione
idonee a comprovare, in particolare, il proprio interesse qualificato
alla materia.
Art. 24.
Esame preliminare
1. Le comunicazioni di cui all'art. 23, comma 2, pervenute
all'Autorita' sono esaminate preliminarmente, unitamente al materiale
prodotto, e valutate dal Garante, anche sulla base della
deliberazione gia' adottata ai sensi del medesimo articolo,
considerando in particolare:
a) l'appartenenza alle categorie interessate degli organismi
che intendono adottare regole deontologiche in qualita' di soggetti
rappresentativi, nonche' la sussistenza del presupposto della
rappresentativita' anche in relazione ai settori determinati nei
quali le stesse dovrebbe operare;
b) la sussistenza di un interesse qualificato in capo ai
soggetti interessati.
2. Le valutazioni di cui al comma 1 possono essere formulate
anche dopo l'inizio dei lavori per la redazione delle regole
deontologiche, qualora ricorrano particolari esigenze inerenti anche
alla necessita' di svolgere ulteriori approfondimenti relativi alla
rappresentativita' o all'interesse qualificato.
3. Eventuali comunicazioni pervenute da categorie o da soggetti
interessati dopo il termine prefissato ai sensi dell'art. 23, comma
2, possono essere esaminate fino alla adozione delle regole
deontologiche, valutando parimenti la sussistenza dei presupposti di
cui al comma 1.
4. L'esito della valutazione effettuata dal Garante ai sensi dei
commi 1 e 3 e' comunicata a ciascun soggetto od organismo interessato
informando tutti coloro che hanno inviato comunicazioni all'Autorita'
ai sensi dell'art. 23, comma 2.
5. I criteri per individuare le categorie interessate in
relazione al settore determinato per il quale le regole deontologiche
verranno adottate, e per valutare la rappresentativita' o l'interesse
qualificato dei soggetti che hanno inviato comunicazioni
all'Autorita', sono definiti dal Garante in relazione a ciascun
ambito interessato dalle regole deontologiche, tenendo conto della
specificita' del settore e delle particolari caratteristiche del
trattamento.
Art. 25.
Organizzazione e svolgimento dei lavori
1. L'Autorita', effettuata la comunicazione di cui all'art. 24,
comma 4, fermo restando quanto previsto nei commi 2 e 3 del medesimo
articolo, invita i soggetti appartenenti alle categorie interessate a
partecipare ad una prima riunione di lavoro preordinata all'analisi
dello schema preliminare delle regole deontologiche portate alla sua
attenzione, anche presso gli uffici del Garante, e ne comunica la
data anche agli altri soggetti che risultano interessati i quali
possono prendervi parte.
2. Nell'esercitare il compito di promuovere l'adozione delle
regole deontologiche, l'Autorita' incoraggia la proficua cooperazione
tra i soggetti appartenenti alle categorie interessate e la
collaborazione dei soggetti interessati nell'organizzazione e nello
svolgimento dei lavori.
Art. 26.
Schema delle regole deontologiche
1. Al termine della prima fase dei lavori, i soggetti
rappresentativi che vi hanno partecipato redigono e sottopongono
all'Autorita' uno schema di regole deontologiche che tiene in
considerazione i contributi forniti dai soggetti interessati.
Art. 27.
Valutazione preliminare di conformita' delle regole deontologiche
1. Lo schema di cui all'art. 26 e' soggetto ad una valutazione
preliminare da parte del Garante, anche sulla base di eventuali
richieste di chiarimento al fine di rilevare l'eventuale manifesta
sussistenza di profili di non conformita' alla normativa vigente,
invitando, in quest'ultima ipotesi, i soggetti rappresentativi a
riesaminare lo schema proposto.
2. Ove non ricorrano le condizioni di cui al comma 1, il Garante,
ai sensi dell'art. 2-quater, comma 2, del codice, sottopone lo schema
a consultazione pubblica per almeno sessanta giorni inserendolo nel
proprio sito web al fine di raccogliere eventuali osservazioni ed
invita a tal fine soggetti rappresentativi e interessati a darne
ampia pubblicita'.
3. Il Garante dispone altresi' la trasmissione all'Ufficio
pubblicazioni leggi e decreti del Ministero della giustizia di un
avviso da pubblicare nella Gazzetta Ufficiale della Repubblica
italiana, volto a rendere nota l'inserzione dello schema sul proprio
sito web e ad invitare i soggetti interessati a formulare eventuali
osservazioni entro un termine prefissato.
4. Scaduto il termine, le osservazioni di cui al comma 3 sono
esaminate e trasmesse ai soggetti rappresentativi o interessati per
le valutazioni del caso.
Art. 28.
Schema finale delle regole deontologiche
1. I soggetti rappresentativi, esaminate le osservazioni di cui
all'art. 27, comma 3, redigono lo schema finale delle regole
deontologiche tenendo in considerazione il contributo dei soggetti
interessati e lo trasmettono al Garante.
2. Nelle regole deontologiche e' individuata altresi' la data a
decorrere dalla quale le stesse sono applicabili.
Art. 29.
Valutazione finale di conformita'
delle regole deontologiche e loro sottoscrizione
1. Il Garante esamina lo schema finale recante le regole
deontologiche e, salvo che riscontri profili di non conformita' a
norme di legge o di regolamento, invita i soggetti rappresentativi a
sottoscriverle, disponendone quindi la pubblicazione e la
comunicazione al Ministero della giustizia per la loro allegazione al
codice.
2. I soggetti interessati possono manifestare la loro adesione ai
principi affermati dalle regole deontologiche. L'adesione e' indicata
in un atto distinto dal documento dove e' apposta la sottoscrizione
dei soggetti rappresentativi, ma ad esso allegato.
3. Il Garante esamina la richiesta di soggetti rappresentativi o
interessati volta ad apporre le sottoscrizioni o le adesioni di cui
ai commi 1 e 2 in epoca successiva all'adozione delle regole
deontologiche. Se la richiesta e' accolta, ne e' data notizia nella
Gazzetta Ufficiale della Repubblica italiana.
Art. 30.
Pubblicazione delle regole deontologiche
1. Le regole deontologiche recanti le suddette sottoscrizioni
sono trasmesse all'Ufficio pubblicazioni leggi e decreti del
Ministero della giustizia per la loro pubblicazione nella Gazzetta
Ufficiale della Repubblica italiana ai sensi dell'art. 2-quater,
comma 3, del codice. Le regole deontologiche sono altresi' pubblicate
sul sito web del Garante.
2. Le regole deontologiche sono comunicate al Ministero della
giustizia ai fini della loro allegazione al codice previo decreto
ministeriale da adottarsi ai sensi dell'art. 2-quater, comma 3, dello
stesso codice.
Art. 31.
Regole deontologiche relative al trattamento dei dati personali
nell'esercizio dell'attivita' giornalistica
1. Le disposizioni del presente capo trovano applicazione anche
con riguardo all'adozione delle regole deontologiche relative al
trattamento dei dati personali nell'esercizio dell'attivita'
giornalistica, nonche' alle loro eventuali modifiche o integrazioni,
fatto salvo quanto specificamente previsto dall'art. 139 del codice.
Capo V
Codici di condotta
Art. 32.
Procedimento relativo all'approvazione dei codici di condotta
1. Il Garante incoraggia l'elaborazione dei codici di condotta di
cui all'art. 40 del RGPD e, salvo che ricorrano le condizioni
indicate nel comma 2 del presente articolo, li approva osservando il
procedimento disciplinato al capo IV del presente regolamento, per
quanto compatibile.
2. Con riferimento a codici di condotta relativi alle attivita'
di trattamento in piu' Stati membri si osservano le disposizioni di
cui all'art. 40, paragrafi da 7 a 11, del RGPD, nonche' il
procedimento eventualmente stabilito in proposito dal Comitato
europeo per la protezione dei dati.
Capo VI
Altre attivita' dell'Autorita'
Art. 33.
Difficolta' connesse all'attuazione di misure correttive
1. Ove nell'esecuzione di una misura correttiva disposta ai sensi
dell'art. 58, paragrafo 2, lettere c) e d), del RGPD, emergano
significative difficolta' attuative, tenuto conto degli elementi
forniti al Garante, il dipartimento, servizio o altra unita'
organizzativa che ha curato l'istruttoria del provvedimento con il
quale sono state impartite tali misure, predispone lo schema
dell'ulteriore provvedimento del Collegio, il quale si pronuncia
anche nel merito della questione.
Art. 34.
Altri procedimenti
1. Nei casi di cui al comma 2, il dipartimento, servizio o altra
unita' organizzativa valuta la completezza degli elementi istruttori,
e, verificata l'esistenza dei presupposti per le decisioni da parte
dell'Autorita', cura la predisposizione dello schema di provvedimento
del Collegio. Il dirigente dell'unita' organizzativa competente
procede poi nei modi di cui all'art. 15 del regolamento del Garante
n. 1/2000.
2. Si procede nei modi di cui al comma 1 nei casi in cui il
Collegio deve provvedere con propria deliberazione, anche d'ufficio,
riguardo a:
a) pareri previsti dalla normativa vigente;
b) autorizzazioni, anche relative al trasferimento di dati
personali all'estero;
c) ogni altro caso in cui, fuori dalle ipotesi di cui al capo
II del presente regolamento, e' prevista l'adozione di un
provvedimento del Garante.
Art. 35.
Quesiti
1. Con riferimento al compito di promuovere la consapevolezza e
favorire la comprensione riguardo ai rischi, alle norme, alle
garanzie, ai diritti e obblighi in materia di protezione dei dati di
cui all'art. 57, paragrafo 1, lettere b) e d), del RGPD, e
subordinatamente alle linee di priorita' di cui all'art. 4 del
presente regolamento, il dipartimento, servizio o altra unita'
organizzativa competente puo', anche tenuto conto di quanto previsto
dall'art. 3, fornire riscontro a quesiti quando riguardano questioni
di specifico interesse per la protezione dei dati personali.
2. L'Ufficio relazioni con il pubblico, cui sono assegnati gli
altri quesiti ai quali, in base a quanto previsto dal comma 1, non
puo' essere fornito un riscontro analitico, informa per quanto
possibile i soggetti richiedenti di tale circostanza, o fornisce loro
eventuali succinte informazioni anche su iniziative e provvedimenti
gia' adottati dall'Autorita'.
Art. 36.
Rapporto informativo sullo stato della trattazione degli affari
1. In conformita' a quanto previsto dall'art. 6, comma 2 e
dall'art. 9, comma 4, lettera e), del regolamento del Garante n.
1/2000, il segretario generale cura per il Collegio, con cadenza
semestrale, avvalendosi del sistema informativo dell'Autorita', la
predisposizione di un rapporto informativo sullo stato degli affari
di cui ai capi da II a VI trattati dalle unita' organizzative,
indicando le tipologie di determinazioni da esse adottate o in via di
adozione nei casi individuati, nonche' il relativo oggetto, anche
avvalendosi di codici numerici.
Art. 37.
Pubblicazione dei provvedimenti
1. Salvi gli obblighi di pubblicazione previsti dall'art. 12 del
decreto legislativo 14 marzo 2013, n. 33, e il regime di pubblicita'
stabilito dal Garante ai sensi dell'art. 166, comma 7, del codice, in
occasione dell'adozione di ordinanze ingiunzione, i provvedimenti del
Garante sono pubblicati tempestivamente sul sito web dell'Autorita' e
sono reperibili mediante i comuni motori di ricerca.
2. Decorsi due anni dalla loro adozione, i provvedimenti del
Garante di cui al comma 1 del presente articolo recanti dati
personali delle parti o di terzi restano accessibili tramite il sito
web dell'Autorita' ma sono adottate, tenuto conto delle tecnologie
disponibili, misure volte ad impedire ai motori di ricerca di
indicizzarli ed effettuare ricerche rispetto ad essi.
3. In ogni caso, sono adottate opportune misure per
salvaguardare:
a) la sicurezza, la difesa nazionale e le relazioni
internazionali;
b) la politica monetaria e valutaria;
c) l'ordine pubblico e la prevenzione e repressione dei reati;
d) la protezione dei dati personali, in conformita' alla
disciplina in materia. In ogni caso non formano oggetto di
pubblicazione i nominativi degli istanti nonche' delle persone
fisiche che li rappresentano;
e) la proprieta' intellettuale, il diritto d'autore e i segreti
commerciali.
4. A margine del provvedimento pubblicato sono annotate, a cura
della competente unita' organizzativa, le informazioni riguardanti
l'avvenuta presentazione di ricorso giurisdizionale da parte del
soggetto interessato con l'indicazione del suo esito.
Art. 38.
Pubblicazione dell'ordinanza ingiunzione
1. In caso di pubblicazione dell'ordinanza ingiunzione, per
intero o per estratto, sono comunque osservati i limiti e le
modalita' stabilite dall'art. 37, commi da 2 a 4.
Capo VII
Disposizioni finali
Art. 39.
Disposizioni abrogate
1. A decorrere dalla data di entrata in vigore del presente
regolamento sono abrogati i regolamenti del Garante n. 1/2007 e n.
2/2006.
Art. 40.
Entrata in vigore
1. Il presente regolamento entra in vigore il giorno successivo a
quello della sua pubblicazione nella Gazzetta Ufficiale della
Repubblica italiana.
Roma, 4 aprile 2019
Il segretario generale: Busia
Blog di informazione e archivio del portale http://www.laboratoriopoliziademocratica.it. Inizio pubblicazioni 22 agosto 2003 Notizie flash dall'Italia e dal mondo. DAL 2003 ININTERROTTAMENTE E OLTRE 100MILA INFORMAZIONI TOTALMENTE GRATUITE- SOSTIENICI CON UNA RICARICA DELLA POSTEPAY
mercoledì 8 maggio 2019
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI DELIBERA 4 aprile 2019 Regolamento n. 1/2019. Procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante per la protezione dei dati personali, nonche' all'adozione dei provvedimenti correttivi e sanzionatori. (Delibera n. 98). (19A02843) (GU n.106 del 8-5-2019)
Iscriviti a:
Commenti sul post (Atom)
Nessun commento:
Posta un commento