IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, alla presenza del dott. Antonello Soro,
presidente, della dott.ssa Augusta Iannini, vicepresidente, della
dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano,
componenti e del dott. Giuseppe Busia, segretario generale;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del
Consiglio, del 27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche' alla
libera circolazione di tali dati e che abroga la direttiva n.
95/46/CE (Regolamento generale sulla protezione dei dati, di seguito
«RGPD»), con particolare riferimento agli articoli 40, 57, 58 e 83;
Visto il codice in materia di protezione dei dati personali,
recante disposizioni per l'adeguamento dell'ordinamento nazionale al
regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio,
del 27 aprile 2016, relativo alla protezione delle persone fisiche
con riguardo al trattamento dei dati personali, nonche' alla libera
circolazione di tali dati e che abroga la direttiva n. 95/46/CE
(decreto legislativo 30 giugno 2003, n. 196, come modificato dal
decreto legislativo 10 agosto 2018, n. 101, di seguito denominato
«codice»), con particolare riferimento all'art. 156, comma 3, lettera
a), ai sensi del quale il Garante per la protezione dei dati
personali (di seguito «Garante» o anche «Autorita'»), con propri
regolamenti pubblicati nella Gazzetta Ufficiale della Repubblica
italiana, definisce l'organizzazione e il funzionamento dell'ufficio,
anche ai fini dello svolgimento dei compiti e all'esercizio dei
poteri ad esso assegnati dagli articoli da 140-bis a 144, 154,
154-bis, 157, 158, 160, del medesimo codice;
Rilevato che il codice disciplina diversi istituti relativi alla
tutela degli interessati nelle procedure dinanzi al Garante, in
particolare per quanto riguarda la presentazione di reclami e
segnalazioni;
Considerato che, in base all'art. 154, comma 3, del codice, per
quanto non previsto dal RGPD e dal codice medesimo, il Garante
disciplina «con proprio regolamento, ai sensi dell'art. 156, comma 3,
le modalita' specifiche dei procedimenti relative allo svolgimento
dei compiti e all'esercizio dei poteri ad esso attribuiti dal
regolamento»;
Considerato che ai sensi dell'art. 142, comma 5, del codice, il
Garante disciplina «con proprio regolamento il procedimento relativo
all'esame dei reclami, nonche' modalita' semplificate e termini
abbreviati per la trattazione di reclami che abbiano ad oggetto la
violazione degli articoli da 15 a 22» del RGPD;
Rilevato altresi' che ai sensi dell'art. 166, comma 9, del codice,
«con proprio regolamento pubblicato nella Gazzetta Ufficiale della
Repubblica italiana, il Garante definisce le modalita' del
procedimento per l'adozione dei provvedimenti e delle sanzioni di cui
al comma 3 ed i relativi termini, in conformita' ai principi della
piena conoscenza degli atti istruttori, del contraddittorio, della
verbalizzazione, nonche' della distinzione tra funzioni istruttorie e
funzioni decisorie rispetto all'irrogazione della sanzione»;
Visto il decreto legislativo 18 maggio 2018, n. 51, recante
«Attuazione della direttiva (UE) n. 2016/680 del Parlamento europeo e
del Consiglio, del 27 aprile 2016, relativa alla protezione delle
persone fisiche con riguardo al trattamento dei dati personali da
parte delle autorita' competenti a fini di prevenzione, indagine,
accertamento e perseguimento di reati o esecuzione di sanzioni
penali, nonche' alla libera circolazione di tali dati e che abroga la
decisione quadro 2008/977/GAI del Consiglio», con particolare
riferimento agli articoli 13, comma 1, 37, 39, 40 e 42, comma 4;
Rilevato che ulteriori disposizioni di legge regolano altri profili
relativi ai procedimenti dinanzi al Garante, in particolare per
quanto riguarda gli accertamenti inerenti ai trattamenti effettuati
da forze di polizia (articoli 175 e 57 del codice come richiamato
dall'art. 49, comma 2, decreto legislativo 18 maggio 2018, n. 51)
ovvero in ambito giudiziario (art. 2-duodecies del codice) o di
difesa e sicurezza dello Stato (articoli 58 e 160 del codice), come
pure in relazione alla disciplina generale sul procedimento
amministrativo (legge 7 agosto 1990, n. 241 e successive
modificazioni), alla disciplina in materia di accesso civico,
obblighi di pubblicita', trasparenza e diffusione di informazioni da
parte delle pubbliche amministrazioni (decreto legislativo 14 marzo
2013, n. 33 e successive modificazioni), a quella relativa
all'applicazione di sanzioni amministrative, con riferimento agli
articoli da 1 a 9, da 18 a 22 e da 24 a 28 della legge 24 novembre
1981, n. 689 (art. 166, comma 7, del codice), nonche' in materia di
tutela dei minori dal fenomeno del cyberbullismo (legge 29 maggio
2017, n. 71);
Considerato che fra i compiti del Garante figurano, tra gli altri,
quelli di assicurare la tutela dei diritti e delle liberta'
fondamentali degli individui previsti dal RGPD, dal codice e dal
menzionato decreto legislativo n. 51/2018, nonche' delle ulteriori
norme vigenti, di controllare se i trattamenti di dati personali sono
effettuati nel rispetto della disciplina applicabile, di trattare i
reclami ed esaminare le segnalazioni, nonche' di esercitare i poteri
d'indagine, correttivi, sanzionatori, autorizzativi e consultivi
previsti dalla disciplina applicabile al trattamento dei dati
personali;
Visto il regolamento del Garante n. 1/2000 sull'organizzazione e il
funzionamento dell'ufficio del Garante (deliberazione 28 giugno 2000,
n. 15, e successive modifiche) e, in particolare, il capo III,
relativo ai principi di trasparenza, partecipazione e contraddittorio
cui si ispira l'attivita' dell'ufficio, all'assegnazione degli affari
ai relativi dipartimenti e servizi, all'individuazione del
responsabile del procedimento e alle funzioni del relatore quando si
provvede con deliberazione del Garante;
Rilevata la necessita', in ragione della modificata cornice
normativa in materia di protezione dei dati personali, di aggiornare
il regolamento n. 1/2007 sullo svolgimento dei compiti e
sull'esercizio dei poteri rimessi al Garante, con proprio atto di
natura regolamentare da adottare in base alle menzionate disposizioni
di cui agli articoli 142, comma 5, 154, comma 3, e 166, comma 9, del
codice;
Rilevata l'esigenza, in tale contesto, di specificare e rendere
note le procedure interne finalizzate allo svolgimento dei compiti e
all'esercizio dei poteri demandati al Garante aventi rilevanza
esterna, in particolare quelle funzionali alla tutela degli
interessati, avviate d'ufficio o su loro istanza, all'esame di
comunicazioni e richieste inoltrate dai titolari del trattamento,
quelle relative all'adozione di provvedimenti correttivi e
sanzionatori da parte del Garante, al rilascio di pareri nei casi
previsti, alla valutazione preliminare delle regole deontologiche,
all'elaborazione dei codici di condotta;
Visti gli atti d'ufficio;
Viste le osservazioni formulate dal segretario generale ai sensi
dell'art. 15, comma 1 del predetto regolamento n. 1/2000;
Relatore la prof.ssa Licia Califano;
Delibera:
di adottare il regolamento n. 1/2019, concernente le procedure
interne aventi rilevanza esterna, finalizzate allo svolgimento dei
compiti e all'esercizio dei poteri demandati al Garante per la
protezione dei dati personali, in particolare per quanto concerne
l'adozione dei provvedimenti correttivi di cui all'art. 58, paragrafo
2, del RGPD, e delle sanzioni di cui agli articoli 83 del medesimo
regolamento e 166, commi 1 e 2, del codice. Il regolamento e'
riportato in allegato alla presente deliberazione, della quale
costituisce parte integrante, e ne dispone la pubblicazione nella
Gazzetta Ufficiale della Repubblica italiana, ai sensi degli articoli
142, comma 5, 154, commi 1, lettera b) e 3, 156, comma 3, lettera a),
e 166, comma 9, del codice.
Roma, 4 aprile 2019
Il Presidente: Soro
Il relatore: Califano
Il segretario generale: Busia