Garante privacy, nuove norme sulle procedure con rilevanza esterna e provvedimenti correttivi
In G.U. n. 106 del 8 maggio 2019 è pubblicata la Delibera 4 aprile 2019: Regolamento n. 1/2019
In G.U. n. 106 del 8 maggio 2019 è pubblicata la Delibera 4 aprile 2019: Regolamento n. 1/2019. Procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante per la protezione dei dati personali, nonche' all'adozione dei provvedimenti correttivi e sanzionatori. (Delibera n. 98).
Capo I
Disposizioni generali
Art. 1 – Definizioni
1. Ai fini del presente regolamento si applicano le definizioni contenute nell’art. 4 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) (di seguito denominato "RGPD"), e nell’articolo 2-ter, comma 4, nell’articolo 121, comma 1-bis, e nell’articolo 153 del Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo 30 giugno 2003, n. 196, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito denominato “Codice”), nonché le definizioni contenute nell’articolo 2 del decreto legislativo 18 maggio 2018, n. 51, recante attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio.
Art. 2 ‒ Oggetto del regolamento
1. Il presente regolamento disciplina, ai sensi dell’articolo 142, comma 5, dell’articolo 154, comma 1, lettera b), e comma 3, e dell’articolo 156, comma 3, lettera a), del Codice, le procedure interne all’Autorità aventi rilevanza esterna, avviate su istanza di parte o d’ufficio e finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
2. Il presente regolamento disciplina altresì, ai sensi dell’articolo 166, comma 9, del Codice, il procedimento con il quale il Garante adotta i provvedimenti correttivi di cui all'articolo 58, paragrafo 2, del RGPD, ed irroga le sanzioni di cui all'articolo 83 del medesimo Regolamento, nel rispetto dei princìpi della piena conoscenza degli atti istruttori, del contraddittorio, della verbalizzazione nonché della distinzione tra funzioni istruttorie e funzioni decisorie rispetto all’irrogazione delle sanzioni.
Art. 3 ‒ Princìpi generali
1. Nell’esercizio dei compiti e dei poteri demandati al Garante dalla normativa vigente e dalla disciplina comunque rilevante in materia di trattamento dei dati personali, in particolare per quanto riguarda il controllo sulla liceità e correttezza dei trattamenti, il Garante ispira la propria azione a princìpi di trasparenza, ragionevolezza, proporzionalità e non discriminazione, realizzando l’interesse pubblico connesso a ciascuna attività secondo criteri di buona amministrazione, economicità, adeguatezza e imparzialità, valorizzando l’utilizzo di tecniche informatiche e della telematica. A tal fine, si tiene conto anche della natura e della gravità degli illeciti da accertare in rapporto ai relativi effetti e all’entità del pregiudizio che essi possono comportare per uno o più interessati, della probabilità di comprovarne la sussistenza, nonché delle risorse disponibili.
Art. 4 ‒ Programmazione
1. Il Garante, in applicazione dei princìpi e dei criteri di cui all’articolo 3, e ai sensi dell’articolo 2, comma 1, lettere a) e c), del regolamento del Garante n. 1/2000, determina e aggiorna periodicamente con cadenza almeno semestrale:
a) la programmazione dei lavori del Collegio;
b) le linee di priorità nella trattazione degli affari da parte dell’Ufficio;
c) la programmazione delle attività ispettive.
2. Al fine di determinare la priorità nella trattazione degli affari sottoposti all’attenzione del Garante, tenuto conto delle risorse disponibili in relazione al carico di lavoro delle singole unità organizzative, sono tenute in considerazione le linee di priorità di cui alla lettera b) del comma 1 del presente articolo, nonché la natura e la gravità delle violazioni, la rilevanza del pregiudizio e il numero dei possibili interessati.
3. Nei casi in cui la condotta è particolarmente risalente nel tempo o ha esaurito i suoi effetti oppure tali effetti sono stati rimossi o sono state fornite idonee assicurazioni da parte del titolare del trattamento, di cui all’articolo 14, comma 5, del presente regolamento, il Collegio, con propria deliberazione da pubblicarsi nella Gazzetta Ufficiale della Repubblica italiana, può delegare il segretario generale ovvero il dirigente del dipartimento, servizio o altra unità organizzativa competente ad adottare il provvedimento correttivo di cui all’articolo 58, paragrafo 2, lettera b), del RGPD.
Art. 5 ‒ Qualificazione e trattazione degli affari
1. Il segretario generale assegna gli affari al dipartimento, servizio o altra unità organizzativa competente ai sensi dell’articolo 14 del regolamento del Garante n. 1/2000.
2. Il dirigente del dipartimento, servizio o altra unità organizzativa segnala al segretario generale, anche ai fini di una diversa qualificazione dell’affare, l’opportunità di una sua riassegnazione ad un diverso dipartimento, servizio o unità organizzativa.
3. Le assegnazioni e la qualificazione attribuita agli affari sono annotate e aggiornate costantemente nel sistema informativo del Garante.
4. Il dipartimento, servizio o altra unità organizzativa tratta l’affare assegnato nel rispetto di quanto previsto dalla normativa vigente, dal presente regolamento e da altri regolamenti approvati dal Garante.
Art. 6 ‒ Eventuale avvio del procedimento e relativo responsabile
1. Il dipartimento, servizio o altra unità organizzativa avvia un procedimento nei casi in cui, d’ufficio o sulla base di un’istanza, ciò è necessario ai sensi della normativa vigente, e cura la predisposizione degli atti, delle comunicazioni e degli altri adempimenti previsti nel medesimo procedimento.
2. Il responsabile del procedimento avviato ai sensi del comma 1 è il dirigente o funzionario preposto all’unità organizzativa cui è assegnato l’affare, il quale cura gli atti, le comunicazioni e gli altri adempimenti di cui al comma 1 anche ai sensi dell’articolo 14, comma 3, del regolamento del Garante n. 1/2000.
Art. 7 ‒ Trattazione degli affari e procedimento
1. Per esigenze di certezza e celerità nella trattazione degli affari, le comunicazioni al Garante inerenti gli stessi sono effettuate preferibilmente tramite i servizi online resi disponibili sul sito web o tramite posta elettronica certificata (PEC). Ove possibile, le comunicazioni sono effettuate dal dipartimento, servizio o altra unità organizzativa tenendo conto delle indicazioni fornite dagli interessati ai fini delle notificazioni e comunicazioni con il Garante, ovvero, nei casi e nelle forme previsti dalle disposizioni vigenti, presso la casella di posta elettronica certificata (PEC) risultante da pubblici elenchi o comunque accessibili alle pubbliche amministrazioni.
2. In caso di trattazione di affari, anche relativi a trattamenti transfrontalieri di dati personali che, a qualsiasi titolo, richiedono, in base alla disciplina vigente, la cooperazione del Garante con altre autorità di controllo, il dipartimento, servizio o altra unità organizzativa cura lo scambio di tutte le informazioni utili, anche osservando le modalità procedurali eventualmente stabilite in proposito dal Comitato europeo per la protezione dei dati.
3. In caso di affare riguardante persone giuridiche, enti, associazioni o altri organismi la documentazione, anche difensiva, è presentata a firma del legale rappresentante o da altro soggetto munito dei poteri di rappresentanza. In caso di affare riguardante persone fisiche, la documentazione, anche difensiva, è presentata anche per il tramite di altra persona da questi espressamente delegata ovvero, su mandato di questi, da un ente del terzo settore soggetto alla disciplina del decreto legislativo 3 luglio 2017, n. 117, che sia attivo nel settore della tutela dei diritti e delle libertà degli interessati, con riguardo alla protezione dei dati personali.
4. Nella trattazione degli affari avanti al Garante le parti possono essere assistite da un procuratore o da altra persona di fiducia.
5. Ferma restando la garanzia del diritto di difesa, l’attività difensiva innanzi al Garante si svolge nel rispetto del principio della leale collaborazione delle parti con il medesimo. In tale prospettiva, tenuto conto dell'esigenza di assicurare l'economicità dell'azione amministrativa, le deduzioni devono essere svolte, anche al fine di favorire la migliore comprensione delle argomentazioni difensive, in modo essenziale. In caso di trasmissione cartacea, a richiesta dell’Ufficio, i documenti difensivi vanno trasmessi in formato digitale, se del caso su supporto informatico unitamente all’attestazione di conformità delle informazioni così trasmesse all'originale utilizzando il modello predisposto dal Garante e messo a disposizione sul sito web. La produzione di documentazione inutilmente sovrabbondante, inconferente o ingiustificatamente dilatoria può costituire elemento di valutazione negativa del grado di cooperazione con il Garante.
6. In relazione all’accesso ai documenti amministrativi si applicano le disposizioni previste dal regolamento del Garante n. 1/2006.
7. Il dipartimento, servizio o altra unità organizzativa competente cura, ove richiesto dalla normativa vigente o ritenuto comunque opportuno, gli adempimenti connessi alla consultazione pubblica degli schemi di provvedimento.
Capo II
Procedure concernenti la tutela dinanzi al Garante
Sezione I
Reclami
Art. 8 – Reclami
1. Sono qualificabili come reclami gli atti che indicano specificatamente, anche sulla base del modello appositamente predisposto dal Garante, gli elementi previsti dall’articolo 142 del Codice.
2. Ove il reclamo sia irregolare o incompleto, ne è data comunicazione all’istante, con l’indicazione delle cause della irregolarità o incompletezza nonché del termine, di regola non superiore a quindici giorni, entro cui provvedere alla relativa regolarizzazione.
3. Il reclamo non tempestivamente regolarizzato è archiviato e può essere esaminato a titolo di segnalazione.
Art. 9 ‒ Trattazione del reclamo
1. L’esame del reclamo, nel corso dell’istruttoria preliminare e del successivo procedimento amministrativo eventualmente avviato, è orientato a criteri di semplicità delle forme osservate, di celerità ed economicità, anche in riferimento al contraddittorio. Resta fermo quanto stabilito all’articolo 15 in relazione alla trattazione dei reclami aventi ad oggetto la violazione degli articoli da 15 a 22 del RGPD.
2. Salvo quanto previsto dall’articolo 57, paragrafo 4, del RGPD, e dall’articolo 156, comma 8, del Codice, il dipartimento, servizio o altra unità organizzativa al quale il reclamo è assegnato cura l’istruttoria senza richiedere alcun contributo spese.
3. Il responsabile del procedimento procede, in riferimento alle formalità da osservare, nel rispetto delle disposizioni di cui alla legge 7 agosto 1990, n. 241, e successive modificazioni, con particolare riguardo agli avvisi alle parti, alle comunicazioni interlocutorie previste e al diritto di visione degli atti.
Art. 10 ‒ Istruttoria preliminare
1. Il reclamo regolarmente presentato non comporta la necessaria adozione di un provvedimento del Collegio ai sensi dell’articolo 143, comma 1, del Codice.
2. Il dipartimento, servizio o altra unità organizzativa cui il reclamo è assegnato avvia un’istruttoria preliminare e, fermo restando quanto previsto dall’articolo 8, commi 1 e 2, del presente articolo informa l’istante dello stato o dell’esito del reclamo entro tre mesi dalla data della sua ricezione o della sua regolarizzazione.
3. Il dipartimento, servizio o altra unità organizzativa verifica se sussistono idonei elementi in ordine alle presunte violazioni e alle misure richieste dall’istante. A tal fine, il dipartimento, servizio o altra unità organizzativa esamina la documentazione pervenuta e può curare l’acquisizione di precisazioni e informazioni in ordine ai fatti e alle circostanze cui si riferisce il reclamo, anche sentendo personalmente o a mezzo di procuratore il titolare o il responsabile del trattamento, mediante richiesta di informazioni o di esibizione di documenti ai sensi dell’articolo 157 del Codice sottoscritta dal dirigente competente, nonché procedendo ai sensi dell’articolo 22. In tale contesto il dipartimento, servizio o unità organizzativa può invitare il titolare o il responsabile ad eseguire spontaneamente le misure richieste con il reclamo e a comunicare all'Ufficio, entro il termine da quest’ultimo richiesto, la propria eventuale adesione.
4. Al fine di promuovere l’esame organico di questioni, anche pervenute in tempi diversi, che possono rendere opportuna l’adozione di un eventuale provvedimento di carattere generale, l’istruttoria preliminare può essere svolta contestualmente in relazione a più reclami aventi il medesimo oggetto o che riguardano il medesimo titolare o responsabile del trattamento, oppure trattamenti di dati tra loro correlati. L’eventuale riunione o separazione di procedimenti è disposta dal dirigente del dipartimento, servizio o unità organizzativa competente. Per i procedimenti di pertinenza di più unità organizzative la riunione o separazione è disposta dal segretario generale.
Art. 11 ‒ Chiusura dell’istruttoria preliminare
1. Al termine dell’istruttoria preliminare, il dipartimento, servizio o altra unità organizzativa competente può concludere l’esame del reclamo archiviandolo, quando:
a) la questione prospettata con il reclamo non risulta riconducibile alla protezione dei dati personali o ai compiti demandati al Garante;
b) non sono ravvisati, allo stato degli atti, gli estremi di una violazione della disciplina rilevante in materia di protezione dei dati personali;
c) si tratta di una richiesta eccessiva, in particolare per il carattere pretestuoso o ripetitivo anche ai sensi dell’articolo 57, paragrafo 4, del RGPD;
d) la questione prospettata con il reclamo è stata già esaminata dall’Autorità, in particolare con un provvedimento collegiale di carattere generale, o può essere esaminata richiamando provvedimenti o questioni già affrontate dal Garante ovvero esprimendo un prudente avviso su questioni che non presentano particolare rilevanza sul piano generale.
2. Nei casi di cui al comma 1 del presente articolo è fornito all’istante un riscontro indicando succintamente le ragioni per le quali, ai sensi del medesimo comma, non è promossa l’adozione di un provvedimento del Collegio.
3. Delle determinazioni di cui al comma 1 è informato il Collegio nei modi di cui all’articolo 36 del presente regolamento.
Art. 12 ‒ Avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori
1. Quando l’esame del reclamo non si conclude ai sensi dell’articolo 11, comma 1, il dipartimento, servizio o altra unità organizzativa avvia, con propria comunicazione al titolare e, se del caso, al responsabile del trattamento, il procedimento per l’adozione dei provvedimenti di cui agli articoli 58, paragrafo 2, e 83 del RGPD.
2. Nel rispetto dell’articolo 166, comma 5, del Codice, la comunicazione di cui al comma 1 contiene:
a) una sintetica descrizione dei fatti e delle presunte violazioni della disciplina rilevante in materia di protezione dei dati personali nonché delle relative disposizioni sanzionatorie;
b) l’indicazione dell’unità organizzativa competente presso la quale può essere presa visione ed estratta copia degli atti istruttori;
c) l’indicazione che entro trenta giorni dal ricevimento della comunicazione è possibile inviare al Garante scritti difensivi o documenti e chiedere di essere sentito dalla medesima Autorità.
3. Ove ne ricorrano i presupposti, la comunicazione di cui ai commi 1 e 2 del presente articolo può essere resa direttamente al titolare e, se del caso, al responsabile del trattamento, qualora tali soggetti vengano sentiti dal dipartimento, servizio o altra unità organizzativa in fase di istruttoria preliminare, ai sensi dell’articolo 10, comma 3, del presente regolamento.
4. Ai sensi dell’articolo 166, comma 5, del Codice, i commi precedenti non trovano applicazione ove la suddetta comunicazione risulti incompatibile con la natura e le finalità del provvedimento da adottare.
Art. 13 ‒ Diritto di difesa
1. Il destinatario della comunicazione di cui all’articolo 12 può esercitare il diritto di difesa mediante la presentazione di deduzioni scritte e documenti, nonché, ove richiesta, con l’audizione personale in merito ai fatti oggetto di comunicazione.
2. Entro trenta giorni dalla data di notifica della predetta comunicazione le deduzioni scritte e i documenti sono inviati all’unità organizzativa competente.
3. Il destinatario della comunicazione può richiedere, con specifica istanza debitamente motivata, una breve proroga. La proroga, di norma non superiore a quindici giorni, può essere concessa secondo criteri di proporzionalità anche in relazione alle caratteristiche operativo/dimensionali dei destinatari stessi e alla complessità della vicenda presa in esame. Il dipartimento, servizio o altra unità organizzativa competente comunica l’accoglimento o il rigetto della richiesta di proroga.
4. Ove sia altresì richiesta un’audizione, con istanza specifica anche allegata alle memorie difensive indirizzate al dipartimento, servizio o altra unità organizzativa competente, la medesima ha luogo presso la sede del Garante nella data fissata dall’Ufficio. Dell’audizione è redatto un sintetico verbale a cura dell’Ufficio. L’eventuale rinuncia all'audizione deve essere comunicata tempestivamente al dipartimento, servizio o altra unità organizzativa competente in relazione all'istruttoria. In sede di audizione i richiedenti svolgono le proprie controdeduzioni, evitando duplicazioni o meri rinvii a quanto già rappresentato negli scritti difensivi. L'audizione delle persone fisiche destinatarie della comunicazione di cui all’articolo 12, comma 2, ha carattere strettamente personale; è consentita la partecipazione con l'assistenza di un avvocato o di altro consulente.
5. La mancata presentazione di controdeduzioni scritte o della richiesta di audizione non pregiudica il seguito del procedimento.
Art. 14 ‒ Decisione del reclamo
1. Valutata la documentazione in atti, l’esame del reclamo è concluso nei modi di cui all’articolo 11, comma 1, quando nuovi elementi sopravvenuti nel corso del procedimento evidenziano l’infondatezza o l’insussistenza dei presupposti per adottare un provvedimento.
2. Fuori dei casi di cui al comma 1, il dipartimento, servizio o altra unità organizzativa competente cura la predisposizione dello schema di provvedimento del Collegio e lo sottopone al segretario generale, trasmettendolo nei modi di cui all’articolo 15 del regolamento del Garante n. 1/2000.
3. Il Collegio provvede con propria deliberazione e adotta, ove necessario, i provvedimenti correttivi e sanzionatori di cui all’articolo 58, paragrafo 2, del RGPD. Il Collegio provvede con propria deliberazione anche quando rileva l’infondatezza del reclamo.
4. Il provvedimento è notificato alle parti a cura del dipartimento, servizio o altra unità organizzativa che ne ha curato l’istruttoria.
5. Quando la condotta è particolarmente risalente nel tempo o ha esaurito i suoi effetti oppure tali effetti sono stati rimossi o sono state fornite idonee assicurazioni da parte del titolare o del responsabile del trattamento, il dipartimento, servizio o altra unità organizzativa competente informa l’istante, ai sensi dell’articolo 77, paragrafo 2, del RGPD, ferma restando l’applicazione dei commi 2, 3 e 4 del presente articolo ove ne ricorrano i presupposti.
Art. 15 ‒ Reclami aventi ad oggetto la violazione degli articoli da 15 a 22 del RGPD
1. In relazione ai reclami che abbiano ad oggetto, in via esclusiva, la violazione degli articoli da 15 a 22 del RGPD per i quali l'istante abbia già esercitato, in relazione al medesimo oggetto, i diritti riconosciuti da tali disposizioni nei confronti del titolare del trattamento senza ottenere un idoneo riscontro nei termini di cui all’articolo 12, paragrafo 3, del RGPD, salvi i casi di inammissibilità o manifesta infondatezza, entro quarantacinque giorni dalla data della sua ricezione, il reclamo è comunicato al titolare, con invito ad esercitare entro venti giorni dal suo ricevimento la facoltà di comunicare all’istante e all´Ufficio la propria eventuale adesione spontanea.
2. Il reclamo reca in allegato copia della richiesta rivolta al titolare del trattamento e dell’eventuale riscontro ricevuto.
3. Qualora l’istante non abbia preventivamente esercitato i diritti di cui agli articoli da 15 a 22 del RGPD con istanza rivolta al titolare del trattamento, se dal reclamo non emergano specifiche e fondate ragioni che ne giustifichino la mancata effettuazione, il dipartimento, servizio o altra unità organizzativa ai quali il reclamo è assegnato invita, entro quarantacinque giorni dalla data della ricezione del reclamo, l’istante a rivolgersi al titolare del trattamento.
4. In caso di adesione spontanea da parte del titolare ai sensi del comma 1, il dipartimento, servizio o altra unità organizzativa competente informa l’istante, ai sensi dell’articolo 77, paragrafo 2, del RGPD, e comunica al titolare o al responsabile del trattamento l’avvio del procedimento per l’adozione dei provvedimenti di cui agli articoli 58, paragrafo 2, e 83 del RGPD, ai sensi dell’articolo 166, comma 5, del Codice e nei termini di cui all’articolo 12 del presente regolamento.
Art. 16 – Ordinanza ingiunzione
1. Ai sensi dell’articolo 58, paragrafo 2, lettera i), e dell’articolo 83 del RGPD nonché dell’articolo 166 del Codice, il Collegio adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice.
2. L’ordinanza ingiunzione o l’atto di archiviazione sono notificati ai destinatari degli stessi a cura del dipartimento, servizio o altra unità organizzativa che ne ha curato l’istruttoria.
3. Quando ne ricorrono le condizioni, il provvedimento è altresì trasmesso, a cura del dipartimento, servizio o altra unità organizzativa che ha curato il procedimento sanzionatorio, al dipartimento, servizio o altra unità organizzativa competente in materia di amministrazione e contabilità per l’iscrizione a ruolo dei relativi importi.
4. Resta salva l’applicazione dell’articolo 28 della legge 24 novembre 1981, n. 689.
Art. 17 – Registro interno delle violazioni e delle misure correttive adottate
1. La decisione sul reclamo ai sensi degli articoli 14 e 15 nonché l’ordinanza ingiunzione ai sensi dell’articolo 16 dispongono altresì, ricorrendone i presupposti, l’annotazione nel registro interno dell’Autorità previsto dall’articolo 57, paragrafo 1, lettera u), del RGPD, delle violazioni e delle misure adottate in conformità all'articolo 58, paragrafo 2, del RGPD.
2. La conseguente annotazione nel predetto registro interno è curata dal dipartimento, servizio o altra unità organizzativa competente.
Art. 18 – Procedimenti relativi a trattamenti transfrontalieri
1. In relazione alla trattazione di affari oggetto di procedure avviate ai sensi dell’articolo 60 del RGPD, il dipartimento, servizio o altra unità organizzativa competente, curati gli adempimenti previsti ai paragrafi da 1 a 3 della medesima disposizione, trasmette al Collegio lo schema di progetto di decisione ovvero lo schema delle eventuali obiezioni pertinenti e motivate ad un progetto di decisione predisposto da altra autorità di controllo di cui, rispettivamente, ai paragrafi 3 e 5 del medesimo articolo 60.
2. Il dipartimento, servizio o altra unità organizzativa competente procede secondo le modalità indicate al comma 1 del presente articolo anche in relazione allo schema di ordinanza ingiunzione.
3. Il Collegio provvede con propria deliberazione:
a) ad approvare le obiezioni pertinenti e motivate ad un progetto di decisione predisposta da un’altra autorità capofila;
b) ad adottare il progetto di decisione di cui all’articolo 60, paragrafi 3 e 5, del RGPD; ovvero
c) ricorrendo i presupposti di cui all’articolo 60, paragrafo 4, a sottoporre la questione al meccanismo di coerenza di cui all’articolo 63 del RGPD.
4. Quando il Garante è autorità capofila, acquisiti i pareri conformi delle altre autorità di controllo interessate, il procedimento si conclude, nel rispetto dell’articolo 60, paragrafi 7 o 9, del RGPD, con provvedimento di cui agli articoli 14, 15 e 16 del presente regolamento.
5. Quando il Garante è autorità interessata in quanto destinataria di un reclamo, il procedimento si conclude, nel rispetto dell’articolo 60, paragrafi 8 o 9, del RGPD, con provvedimento di cui agli articoli 14, 15 e 16 del presente regolamento.
Sezione II
Segnalazioni
Art. 19 ‒ Esame delle segnalazioni
1. Sono qualificabili come segnalazioni gli atti, diversi dalle richieste di parere e dai quesiti, che non presentano le caratteristiche del reclamo e sono volti a sollecitare un controllo da parte del Garante sulla disciplina rilevante in materia di trattamento dei dati personali.
2. La segnalazione è presentata da un soggetto identificato. L’Autorità può utilizzare le notizie indicate in eventuali segnalazioni che provengono da un soggetto non identificato, qualora ritenga di dover avviare controlli su casi nei quali ravvisa il rischio di seri pregiudizi o di ritorsioni ai danni di soggetti interessati dal trattamento, oppure ricorre comunque un caso di particolare gravità.
3. La segnalazione può essere esaminata dall’Autorità, ma non comporta la necessaria adozione di un provvedimento.
4. Nei casi in cui fatti di possibile rilievo per la disciplina in materia di protezione dei dati personali siano stati riscontrati nell'ambito di verifiche condotte da altre Autorità, la segnalazione può essere esaminata ai fini dell'eventuale accertamento della sussistenza di una violazione. Ove necessario, sono acquisiti ulteriori elementi.
5. Il dipartimento, servizio o altra unità organizzativa competente può, anche tenuto conto di quanto previsto dall’articolo 3 del presente regolamento, concludere l’esame della segnalazione disponendone l’archiviazione quando ricorre uno dei presupposti di cui all’articolo 11, comma 1, oppure in caso di segnalazioni del tutto generiche. Si considerano tali le segnalazioni che si limitano a imputare a un soggetto fatti privi di elementi circostanziati o che non contengono elementi tali da consentire un’agevole individuazione del titolare del trattamento.
6. È fatta salva l’attività di controllo, anche con riferimento a segnalazioni già oggetto di archiviazione ai sensi dei commi precedenti, in caso di sopravvenuti elementi di fatto o di diritto ovvero di diversa ed ulteriore valutazione del Garante.
7. Delle determinazioni di cui al comma 5 è informato il Collegio nei modi di cui all’articolo 36.
Art. 20 ‒ Istruttoria preliminare ed eventuale procedimento amministrativo
1. Fermi restando i casi in cui la segnalazione è archiviata ai sensi dell’articolo 19, comma 5, il dipartimento, servizio o altra unità organizzativa può avviare un’istruttoria preliminare.
2. Nel corso dell’eventuale procedimento amministrativo si osservano le disposizioni per i reclami di cui agli articoli da 9 a 18, anche per quanto riguarda l’informativa al Collegio ai sensi dell’articolo 36, e al segnalante può essere fornito un riscontro.
Capo III
Attività di controllo ed ispettive
Art. 21 ‒ Controlli e provvedimenti adottati senza istanza di parte
1. Nell’esercizio dei compiti di controllo o comunque esercitabili dal Garante, valutati gli elementi in suo possesso e anche in assenza di reclamo, segnalazione o notificazione di violazione dei dati personali, l’Autorità può avviare d’ufficio un’istruttoria preliminare per verificare la sussistenza di idonei elementi in ordine a possibili violazioni della disciplina rilevante in materia di protezione dei dati personali.
2. Nel corso dell’eventuale procedimento si osservano, in quanto applicabili, le disposizioni per i reclami di cui agli articoli da 9 a 18, anche per quanto riguarda l’informativa al Collegio ai sensi dell’articolo 36.
Art. 22 ‒ Attività ispettive e di revisione sulla protezione dei dati personali
1. Il dipartimento, servizio o altra unità organizzativa competente in materia di attività ispettive e di revisione cura lo svolgimento dell’attività ispettiva effettuata ai sensi degli articoli 157 e 158 del Codice nonché ai sensi dell’articolo 58, paragrafo 1, e dell’articolo 62 del RGPD, tenuto anche conto della programmazione dell’attività ispettiva disposta dal Collegio ai sensi dell’articolo 4, comma 1, lettera c), del presente regolamento, sulla base di un ordine di servizio sottoscritto dal dirigente del medesimo dipartimento. Effettuati gli accertamenti relativi agli elementi idonei in ordine alle presunte violazioni, il dipartimento, servizio o altra unità organizzativa inoltra gli atti al segretario generale per l’assegnazione alla competente unità organizzativa ai sensi dell’articolo 14 del regolamento del Garante n. 1/2000, per il seguito di trattazione.
2. Valutata la sussistenza di eventi di particolare rilevanza, il Collegio può disporre ulteriori attività ispettive, da svolgersi secondo le modalità di cui al comma 1 del presente regolamento.
3. Il dipartimento servizio o altra unità organizzativa competente in materia di attività ispettive e di revisione cura altresì i controlli di cui al comma 1 nell’ambito delle istruttorie preliminari e dei procedimenti amministrativi comunque avviati presso altre unità organizzative dell’Autorità, alle quali è restituito l’esito per la successiva trattazione.
4. L’attività ispettiva effettuata ai sensi degli articoli 157 e 158 del Codice può essere curata dal dipartimento servizio o altra unità organizzativa competente in materia di attività ispettive e di revisione ovvero delegata alla Guardia di finanza. La stessa può essere altresì effettuata avvalendosi, ove necessario, della collaborazione di altri organi dello Stato.
5. L’ordine di servizio con cui è disposta l’attività ispettiva individua il titolare o il responsabile del trattamento destinatari del controllo, i poteri di indagine utilizzati, l’ambito del controllo, il luogo ove si svolge l’accertamento, il responsabile delle attività e gli ulteriori partecipanti, designati d’intesa con i dirigenti dei dipartimenti, servizi o altre unità organizzative; l’ordine di servizio indica altresì le sanzioni previste ai sensi dell’articolo 83, paragrafo 5, lettera e), del RGPD e degli articoli 166 e 168 del Codice.
6. Nel corso dell’attività ispettiva, della quale può essere dato preavviso, è possibile, in particolare:
a) controllare, estrarre ed acquisire copia dei documenti, anche in formato elettronico;
b) richiedere informazioni e spiegazioni;
c) accedere alle banche dati ed agli archivi;
d) acquisire copia delle banche dati e degli archivi su supporto informatico.
7. Durante l’attività ispettiva il soggetto sottoposto ad ispezione può farsi assistere da consulenti di propria fiducia e fare riserva di produrre la documentazione non immediatamente reperibile entro un termine congruo, di regola non superiore a trenta giorni; in casi eccezionali, può essere richiesto un differimento di tale termine.
8. Le attività di revisione sulla protezione dei dati personali sono avviate ai sensi dell’articolo 58, paragrafo 1, lettera b), del RGPD, presso il titolare o il responsabile del trattamento ovvero presso la sede dell'Autorità. In tale ultimo caso, l'attività si svolge a seguito di convocazione del titolare o del responsabile presso il dipartimento, servizio o altra unità organizzativa competente in materia di attività ispettive e di revisione. Nell’ambito delle attività di revisione, qualora emergano elementi di criticità nel trattamento dei dati personali, possono essere avviate attività ispettive al fine di rilevare eventuali violazioni della normativa sulla protezione dei dati personali.
9. Dell’attività svolta ai sensi dei commi precedenti, con particolare riferimento alle dichiarazioni rese ed ai documenti acquisiti, è redatto processo verbale, una copia del quale viene consegnata al soggetto sottoposto ad ispezione ovvero ad attività di revisione.
Capo IV
Regole deontologiche
Art. 23 – Promovimento dell’adozione di regole deontologiche
1. Il Garante promuove, nei casi previsti dalla legge, l’adozione di regole deontologiche ai sensi dell’articolo 2-quater del Codice con deliberazione del Collegio da pubblicare nella Gazzetta Ufficiale della Repubblica italiana.
2. Con la deliberazione di cui al comma 1 del presente articolo sono indicati i criteri generali in base ai quali l´Autorità verifica il rispetto del principio di rappresentatività. In base al medesimo principio, i soggetti pubblici e privati appartenenti alle categorie interessate che ritengano di avere titolo a sottoscrivere le regole deontologiche sono invitati a darne comunicazione all´Autorità entro un termine prefissato, e a fornire informazioni e documentazione idonee a comprovare, in particolare, la loro rappresentatività.
3. Con la deliberazione di cui al comma 1 il Garante può invitare altri soggetti che si ritengano comunque interessati in relazione all’applicazione delle regole deontologiche a darne comunicazione all´Autorità e a fornire informazioni e documentazione idonee a comprovare, in particolare, il proprio interesse qualificato alla materia.
Art. 24 ‒ Esame preliminare
1. Le comunicazioni di cui all’articolo 23, comma 2, pervenute all’Autorità sono esaminate preliminarmente, unitamente al materiale prodotto, e valutate dal Garante, anche sulla base della deliberazione già adottata ai sensi del medesimo articolo, considerando in particolare:
a) l'appartenenza alle categorie interessate degli organismi che intendono adottare regole deontologiche in qualità di soggetti rappresentativi, nonché la sussistenza del presupposto della rappresentatività anche in relazione ai settori determinati nei quali le stesse dovrebbe operare;
b) la sussistenza di un interesse qualificato in capo ai soggetti interessati.
2. Le valutazioni di cui al comma 1 possono essere formulate anche dopo l´inizio dei lavori per la redazione delle regole deontologiche, qualora ricorrano particolari esigenze inerenti anche alla necessità di svolgere ulteriori approfondimenti relativi alla rappresentatività o all´interesse qualificato.
3. Eventuali comunicazioni pervenute da categorie o da soggetti interessati dopo il termine prefissato ai sensi dell´articolo 23, comma 2, possono essere esaminate fino alla adozione delle regole deontologiche, valutando parimenti la sussistenza dei presupposti di cui al comma 1.
4. L´esito della valutazione effettuata dal Garante ai sensi dei commi 1 e 3 è comunicata a ciascun soggetto od organismo interessato informando tutti coloro che hanno inviato comunicazioni all´Autorità ai sensi dell´articolo 23, comma 2.
5. I criteri per individuare le categorie interessate in relazione al settore determinato per il quale le regole deontologiche verranno adottate, e per valutare la rappresentatività o l´interesse qualificato dei soggetti che hanno inviato comunicazioni all´Autorità, sono definiti dal Garante in relazione a ciascun ambito interessato dalle regole deontologiche, tenendo conto della specificità del settore e delle particolari caratteristiche del trattamento.
Art. 25 - Organizzazione e svolgimento dei lavori
1. L´Autorità, effettuata la comunicazione di cui all´articolo 24, comma 4, fermo restando quanto previsto nei commi 2 e 3 del medesimo articolo, invita i soggetti appartenenti alle categorie interessate a partecipare ad una prima riunione di lavoro preordinata all’analisi dello schema preliminare delle regole deontologiche portate alla sua attenzione, anche presso gli uffici del Garante, e ne comunica la data anche agli altri soggetti che risultano interessati i quali possono prendervi parte.
2. Nell´esercitare il compito di promuovere l’adozione delle regole deontologiche, l´Autorità incoraggia la proficua cooperazione tra i soggetti appartenenti alle categorie interessate e la collaborazione dei soggetti interessati nell´organizzazione e nello svolgimento dei lavori.
Art. 26 - Schema delle regole deontologiche
1. Al termine della prima fase dei lavori, i soggetti rappresentativi che vi hanno partecipato redigono e sottopongono all´Autorità uno schema di regole deontologiche che tiene in considerazione i contributi forniti dai soggetti interessati.
Art. 27 - Valutazione preliminare di conformità delle regole deontologiche
1. Lo schema di cui all’articolo 26 è soggetto ad una valutazione preliminare da parte del Garante, anche sulla base di eventuali richieste di chiarimento al fine di rilevare l´eventuale manifesta sussistenza di profili di non conformità alla normativa vigente, invitando, in quest'ultima ipotesi, i soggetti rappresentativi a riesaminare lo schema proposto.
2. Ove non ricorrano le condizioni di cui al comma 1, il Garante, ai sensi dell’articolo 2-quater, comma 2, del Codice, sottopone lo schema a consultazione pubblica per almeno sessanta giorni inserendolo nel proprio sito web al fine di raccogliere eventuali osservazioni ed invita a tal fine soggetti rappresentativi e interessati a darne ampia pubblicità.
3. Il Garante dispone altresì la trasmissione all´Ufficio pubblicazioni leggi e decreti del Ministero della giustizia di un avviso da pubblicare nella Gazzetta Ufficiale della Repubblica italiana, volto a rendere nota l´inserzione dello schema sul proprio sito web e ad invitare i soggetti interessati a formulare eventuali osservazioni entro un termine prefissato.
4. Scaduto il termine, le osservazioni di cui al comma 3 sono esaminate e trasmesse ai soggetti rappresentativi o interessati per le valutazioni del caso.
Art. 28 - Schema finale delle regole deontologiche
1. I soggetti rappresentativi, esaminate le osservazioni di cui all´articolo 27, comma 3, redigono lo schema finale delle regole deontologiche tenendo in considerazione il contributo dei soggetti interessati e lo trasmettono al Garante.
2. Nelle regole deontologiche è individuata altresì la data a decorrere dalla quale le stesse sono applicabili.
Art. 29 - Valutazione finale di conformità delle regole deontologiche e loro sottoscrizione
1. Il Garante esamina lo schema finale recante le regole deontologiche e, salvo che riscontri profili di non conformità a norme di legge o di regolamento, invita i soggetti rappresentativi a sottoscriverle, disponendone quindi la pubblicazione e la comunicazione al Ministero della giustizia per la loro allegazione al Codice.
2. I soggetti interessati possono manifestare la loro adesione ai principi affermati dalle regole deontologiche. L´adesione è indicata in un atto distinto dal documento dove è apposta la sottoscrizione dei soggetti rappresentativi, ma ad esso allegato.
3. Il Garante esamina la richiesta di soggetti rappresentativi o interessati volta ad apporre le sottoscrizioni o le adesioni di cui ai commi 1 e 2 in epoca successiva all´adozione delle regole deontologiche. Se la richiesta è accolta, ne è data notizia sulla Gazzetta Ufficiale della Repubblica italiana.
Art. 30 - Pubblicazione delle regole deontologiche
1. Le regole deontologiche recanti le suddette sottoscrizioni sono trasmesse all´Ufficio pubblicazioni leggi e decreti del Ministero della giustizia per la loro pubblicazione nella Gazzetta Ufficiale della Repubblica italiana ai sensi dell´articolo 2-quater, comma 3, del Codice. Le regole deontologiche sono altresì pubblicate sul sito web del Garante.
2. Le regole deontologiche sono comunicate al Ministero della giustizia ai fini della loro allegazione al Codice previo decreto ministeriale da adottarsi ai sensi dell’articolo 2-quater, comma 3, dello stesso Codice.
Art. 31 - Regole deontologiche relative al trattamento dei dati personali nell'esercizio dell'attività giornalistica
1. Le disposizioni del presente capo trovano applicazione anche con riguardo all'adozione delle regole deontologiche relative al trattamento dei dati personali nell'esercizio dell'attività giornalistica, nonché alle loro eventuali modifiche o integrazioni, fatto salvo quanto specificamente previsto dall'articolo 139 del Codice.
Capo V
Codici di condotta
Art. 32 – Procedimento relativo all’approvazione dei codici di condotta
1. Il Garante incoraggia l’elaborazione dei codici di condotta di cui all’articolo 40 del RGPD e, salvo che ricorrano le condizioni indicate nel comma 2 del presente articolo, li approva osservando il procedimento disciplinato al Capo IV del presente regolamento, per quanto compatibile.
2. Con riferimento a codici di condotta relativi alle attività di trattamento in più Stati membri si osservano le disposizioni di cui all’articolo 40, paragrafi da 7 a 11, del RGPD, nonché il procedimento eventualmente stabilito in proposito dal Comitato europeo per la protezione dei dati.
Capo VI
Altre attività dell’Autorità
Art. 33 – Difficoltà connesse all’attuazione di misure correttive
1. Ove nell’esecuzione di una misura correttiva disposta ai sensi dell’articolo 58, paragrafo 2, lettere c) e d), del RGPD, emergano significative difficoltà attuative, tenuto conto degli elementi forniti al Garante, il dipartimento, servizio o altra unità organizzativa che ha curato l’istruttoria del provvedimento con il quale sono state impartite tali misure, predispone lo schema dell’ulteriore provvedimento del Collegio, il quale si pronuncia anche nel merito della questione.
Art. 34 - Altri procedimenti
1. Nei casi di cui al comma 2, il dipartimento, servizio o altra unità organizzativa valuta la completezza degli elementi istruttori, e, verificata l’esistenza dei presupposti per le decisioni da parte dell’Autorità, cura la predisposizione dello schema di provvedimento del Collegio. Il dirigente dell’unità organizzativa competente procede poi nei modi di cui all’articolo 15 del regolamento del Garante n. 1/2000.
2. Si procede nei modi di cui al comma 1 nei casi in cui il Collegio deve provvedere con propria deliberazione, anche d’ufficio, riguardo a:
a) pareri previsti dalla normativa vigente;
b) autorizzazioni, anche relative al trasferimento di dati personali all’estero;
c) ogni altro caso in cui, fuori dalle ipotesi di cui al Capo II del presente regolamento, è prevista l’adozione di un provvedimento del Garante.
Art. 35 ‒ Quesiti
1. Con riferimento al compito di promuovere la consapevolezza e favorire la comprensione riguardo ai rischi, alle norme, alle garanzie, ai diritti e obblighi in materia di protezione dei dati di cui all’articolo 57, paragrafo 1, lettere b) e d), del RGPD, e subordinatamente alle linee di priorità di cui all’articolo 4 del presente regolamento, il dipartimento, servizio o altra unità organizzativa competente può, anche tenuto conto di quanto previsto dall’articolo 3, fornire riscontro a quesiti quando riguardano questioni di specifico interesse per la protezione dei dati personali.
2. L’Ufficio relazioni con il pubblico, cui sono assegnati gli altri quesiti ai quali, in base a quanto previsto dal comma 1, non può essere fornito un riscontro analitico, informa per quanto possibile i soggetti richiedenti di tale circostanza, o fornisce loro eventuali succinte informazioni anche su iniziative e provvedimenti già adottati dall’Autorità.
Art. 36 ‒ Rapporto informativo sullo stato della trattazione degli affari
1. In conformità a quanto previsto dall’articolo 6, comma 2 e dall’articolo 9, comma 4, lettera e), del regolamento del Garante n. 1/2000, il segretario generale cura per il Collegio, con cadenza semestrale, avvalendosi del sistema informativo dell’Autorità, la predisposizione di un rapporto informativo sullo stato degli affari di cui ai Capi da II a VI trattati dalle unità organizzative, indicando le tipologie di determinazioni da esse adottate o in via di adozione nei casi individuati, nonché il relativo oggetto, anche avvalendosi di codici numerici.
Art. 37 ‒ Pubblicazione dei provvedimenti
1. Salvi gli obblighi di pubblicazione previsti dall’articolo 12 del decreto legislativo 14 marzo 2013, n. 33, e il regime di pubblicità stabilito dal Garante ai sensi dell’articolo 166, comma 7, del Codice, in occasione dell’adozione di ordinanze ingiunzione, i provvedimenti del Garante sono pubblicati tempestivamente sul sito web dell’Autorità e sono reperibili mediante i comuni motori di ricerca.
2. Decorsi due anni dalla loro adozione, i provvedimenti del Garante di cui al comma 1 del presente articolo recanti dati personali delle parti o di terzi restano accessibili tramite il sito web dell’Autorità ma sono adottate, tenuto conto delle tecnologie disponibili, misure volte ad impedire ai motori di ricerca di indicizzarli ed effettuare ricerche rispetto ad essi.
3. In ogni caso, sono adottate opportune misure per salvaguardare:
a) la sicurezza, la difesa nazionale e le relazioni internazionali;
b) la politica monetaria e valutaria;
c) l'ordine pubblico e la prevenzione e repressione dei reati;
d) la protezione dei dati personali, in conformità alla disciplina in materia. In ogni caso non formano oggetto di pubblicazione i nominativi degli istanti nonché delle persone fisiche che li rappresentano;
e) la proprietà intellettuale, il diritto d’autore e i segreti commerciali.
4. A margine del provvedimento pubblicato sono annotate, a cura della competente unità organizzativa, le informazioni riguardanti l’avvenuta presentazione di ricorso giurisdizionale da parte del soggetto interessato con l’indicazione del suo esito.
Art. 38 ‒ Pubblicazione dell’ordinanza ingiunzione
1. In caso di pubblicazione dell’ordinanza ingiunzione, per intero o per estratto, sono comunque osservati i limiti e le modalità stabilite dall’articolo 37, commi da 2 a 4.
Capo VII
Disposizioni finali
Art. 39 – Disposizioni abrogate
1. A decorrere dalla data di entrata in vigore del presente regolamento sono abrogati i regolamenti del Garante n. 1/2007 e n. 2/2006.
Art. 40 – Entrata in vigore
1. Il presente regolamento entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
FONTE: Garanteprivacy e gazzetta ufficiale