Art. 37
Autorita' di controllo
1. Il Garante e' l'autorita' di controllo incaricata di vigilare
sull'applicazione delle norme di cui al presente decreto, al fine di
tutelare i diritti e le liberta' fondamentali delle persone fisiche
con riguardo al trattamento di dati personali e di agevolare la
libera circolazione dei dati all'interno dell'Unione europea.
2. Ai fini di cui al comma 1 sono attribuite al Garante le funzioni
di cui all'articolo 154 del Codice, nonche' le seguenti:
a) promozione di una diffusa conoscenza e della consapevolezza
circa i rischi, le norme, le garanzie e i diritti in relazione al
trattamento;
b) promozione della consapevolezza in capo ai titolari e
responsabili del trattamento dell'importanza degli obblighi previsti
dal presente decreto;
c) espressione di pareri nei casi previsti dalla legge;
d) rilascio, su richiesta dell'interessato, di informazioni in
merito all'esercizio dei diritti previsti dal presente decreto e, se
del caso, cooperazione, a tal fine, con le autorita' di controllo di
altri Stati membri;
e) trattazione dei reclami proposti da un interessato, da un
organismo, un'organizzazione o un'associazione ai sensi dell'articolo
40 e compimento delle indagini sull'oggetto del reclamo, informando
il reclamante dello stato e dell'esito delle indagini entro un
termine ragionevole, in particolare ove siano necessarie ulteriori
indagini o un coordinamento con un'altra autorita' di controllo;
f) supporto agli interessati nella proposizione dei reclami;
g) accertamento della liceita' del trattamento ai sensi
dell'articolo 13 e informazione all'interessato entro un termine
ragionevole dell'esito della verifica ai sensi del comma 3 di detto
articolo, o dei motivi per cui non e' stata effettuata;
h) collaborazione, anche tramite scambi di informazioni, con le
altre autorita' di controllo e attivita' di assistenza reciproca, al
fine di garantire l'applicazione e l'attuazione del presente decreto;
i) verifica degli sviluppi tecnologici e sociali che presentano
un interesse, se ed in quanto incidenti sulla protezione dei dati
personali, in particolare l'evoluzione delle tecnologie
dell'informazione e della comunicazione;
l) prestazione di consulenza in merito ai trattamenti di cui
all'articolo 24;
m) contribuzione alle attivita' del comitato di cui all'articolo
68 del regolamento UE;
3. Ai fini di cui al comma 1 sono attribuiti al Garante i seguenti
poteri:
a) svolgere indagini sull'applicazione del presente decreto,
anche sulla base di informazioni ricevute da un'altra autorita' di
controllo o da un'altra autorita' pubblica. Lo svolgimento delle
indagini e' disciplinato dalle disposizioni del Codice;
b) ottenere, dal titolare del trattamento e dal responsabile del
trattamento, l'accesso a tutti i dati personali oggetto del
trattamento e a tutte le informazioni necessarie per l'adempimento
dei suoi compiti;
c) rivolgere avvertimenti al titolare del trattamento o al
responsabile del trattamento in ordine alle possibili violazioni
delle norme del presente decreto;
d) ingiungere al titolare del trattamento o al responsabile del
trattamento di conformare i trattamenti alle disposizioni del
presente decreto, se del caso, con specifiche modalita' ed entro un
determinato termine, ordinando in particolare la rettifica o la
cancellazione di dati personali o la limitazione del trattamento ai
sensi dell'articolo 12;
e) imporre una limitazione provvisoria o definitiva al
trattamento, incluso il divieto e il blocco dello stesso;
f) promuovere la segnalazione riservata di violazioni del
presente decreto;
g) denunciare i reati dei quali viene a conoscenza nell'esercizio
o a causa delle funzioni;
h) predisporre annualmente una relazione sull'attivita' svolta,
da trasmettere al Parlamento e al Governo, ai sensi dell'articolo
154, comma 1, del Codice e da mettere a disposizione del pubblico,
della Commissione europea e del comitato di cui all'articolo 68 del
regolamento UE, in cui puo' figurare un elenco delle tipologie di
violazioni notificate e di sanzioni imposte.
4. I poteri di cui al comma 3 sono esercitati nei modi, nelle forme
e con le garanzie previste dalla legge.
5. Le funzioni e i poteri di cui ai commi 2 e 3 sono esercitati
senza spese per l'interessato o per il responsabile della protezione
dati. Il Garante non provvede in ordine alle richieste manifestamente
infondate o inammissibili in quanto ripropongono, senza nuovi
elementi, richieste gia' rigettate.
6. Il Garante non e' competente in ordine al controllo del rispetto
delle norme del presente decreto, limitatamente ai trattamenti
effettuati dall'autorita' giudiziaria nell'esercizio delle funzioni
giurisdizionali, nonche' di quelle giudiziarie del pubblico
ministero.
Note all'art. 37:
Il testo dell'art. 154 del decreto legislativo 30
giugno 2003, n. 196, citato nelle note alle premesse, cosi'
recita:
«Art. 154 (Compiti). - 1. Oltre a quanto previsto da
specifiche disposizioni, il Garante, anche avvalendosi
dell'Ufficio e in conformita' al presente codice, ha il
compito di:
a) controllare se i trattamenti sono effettuati nel
rispetto della disciplina applicabile e in conformita' alla
notificazione, anche in caso di loro cessazione e con
riferimento alla conservazione dei dati di traffico;
b) esaminare i reclami e le segnalazioni e provvedere
sui ricorsi presentati dagli interessati o dalle
associazioni che li rappresentano;
c) prescrivere anche d'ufficio ai titolari del
trattamento le misure necessarie o opportune al fine di
rendere il trattamento conforme alle disposizioni vigenti,
ai sensi dell'art. 143;
d) vietare anche d'ufficio, in tutto o in parte, il
trattamento illecito o non corretto dei dati o disporne il
blocco ai sensi dell'art. 143, e di adottare gli altri
provvedimenti previsti dalla disciplina applicabile al
trattamento dei dati personali;
e) promuovere la sottoscrizione di codici ai sensi
dell'art. 12 e dell'art. 139;
f) segnalare al Parlamento e al Governo
l'opportunita' di interventi normativi richiesti dalla
necessita' di tutelare i diritti di cui all'art. 2 anche a
seguito dell'evoluzione del settore;
g) esprimere pareri nei casi previsti;
h) curare la conoscenza tra il pubblico della
disciplina rilevante in materia di trattamento dei dati
personali e delle relative finalita', nonche' delle misure
di sicurezza dei dati;
i) denunciare i fatti configurabili come reati
perseguibili d'ufficio, dei quali viene a conoscenza
nell'esercizio o a causa delle funzioni;
l) tenere il registro dei trattamenti formato sulla
base delle notificazioni di cui all'art. 37;
m) predisporre annualmente una relazione sull'attivita'
svolta e sullo stato di attuazione del presente codice, che
e' trasmessa al Parlamento e al Governo entro il 30 aprile
dell'anno successivo a quello cui si riferisce.
2. Il Garante svolge altresi', ai sensi del comma 1, la
funzione di controllo o assistenza in materia di
trattamento dei dati personali prevista da leggi di
ratifica di accordi o convenzioni internazionali o da
regolamenti comunitari e, in particolare:
a) dalla legge 30 settembre 1993, n. 388, e
successive modificazioni, di ratifica ed esecuzione dei
protocolli e degli accordi di adesione all'accordo di
Schengen e alla relativa convenzione di applicazione;
b) dalla legge 23 marzo 1998, n. 93, e successive
modificazioni, di ratifica ed esecuzione della convenzione
istitutiva dell'Ufficio europeo di polizia (Europol);
c) dal regolamento (Ce) n. 515/97 del Consiglio, del
13 marzo 1997, e dalla legge 30 luglio 1998, n. 291, e
successive modificazioni, di ratifica ed esecuzione della
convenzione sull'uso dell'informatica nel settore doganale;
d) dal regolamento (Ce) n. 2725/2000 del Consiglio,
dell'11 dicembre 2000, che istituisce l'«Eurodac» per il
confronto delle impronte digitali e per l'efficace
applicazione della convenzione di Dublino;
e) nel capitolo IV della convenzione n. 108 sulla
protezione delle persone rispetto al trattamento
automatizzato di dati di carattere personale, adottata a
Strasburgo il 28 gennaio 1981 e resa esecutiva con legge 21
febbraio 1989, n. 98, quale autorita' designata ai fini
della cooperazione tra Stati ai sensi dell'art. 13 della
convenzione medesima.
3. Il Garante coopera con altre autorita'
amministrative indipendenti nello svolgimento dei
rispettivi compiti. A tale fine, il Garante puo' anche
invitare rappresentanti di un'altra autorita' a partecipare
alle proprie riunioni, o essere invitato alle riunioni di
altra autorita', prendendo parte alla discussione di
argomenti di comune interesse; puo' richiedere, altresi',
la collaborazione di personale specializzato addetto ad
altra autorita'.
4. Il Presidente del Consiglio dei ministri e ciascun
ministro consultano il Garante all'atto della
predisposizione delle norme regolamentari e degli atti
amministrativi suscettibili di incidere sulle materie
disciplinate dal presente codice.
5. Fatti salvi i termini piu' brevi previsti per legge,
il parere del Garante e' reso nei casi previsti nel termine
di quarantacinque giorni dal ricevimento della richiesta.
Decorso il termine, l'amministrazione puo' procedere
indipendentemente dall'acquisizione del parere. Quando, per
esigenze istruttorie, non puo' essere rispettato il termine
di cui al presente comma, tale termine puo' essere
interrotto per una sola volta e il parere deve essere reso
definitivamente entro venti giorni dal ricevimento degli
elementi istruttori da parte delle amministrazioni
interessate.
6. Copia dei provvedimenti emessi dall'autorita'
giudiziaria in relazione a quanto previsto dal presente
codice o in materia di criminalita' informatica e'
trasmessa, a cura della cancelleria, al Garante.».