Art. 23 Disposizioni di coordinamento 1. A decorrere dalla data di entrata in vigore del presente decreto: a) all'articolo 37, comma 2, alinea, del decreto legislativo 18 maggio 2018, n. 51, il riferimento all'articolo 154 del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, si intende effettuato agli articoli 154 e 154-bis del medesimo codice; b) all'articolo 39, comma 1, del decreto legislativo 18 maggio 2018, n. 51, il riferimento agli articoli 142 e 143 del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003 si intende effettuato agli articoli 141, 142 e 143 del medesimo codice; c) all'articolo 42 del decreto legislativo 18 maggio 2018, n. 51, il riferimento all'articolo 165 del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, si intende effettuato all'articolo 166, comma 7, del medesimo codice; d) all'articolo 45 del decreto legislativo 18 maggio 2018, n. 51, il riferimento all'articolo 143, comma 1, lettera c), del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, si intende effettuato all'articolo 58, paragrafo 2, lettera f), del Regolamento (UE) 2016/679.
Note all'art. 23: - Gli articoli 37, 39, 42 e 45 del decreto legislativo 18 maggio 2018, n. 51 (Attuazione delladirettiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorita' competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonche' alla libera circolazione di tali dati e che abroga ladecisione quadro 2008/977/GAIdel Consiglio), pubblicato nella Gazzetta Ufficiale 24 maggio 2018, n. 119, cosi' recitano: «Art. 37 (Autorita' di controllo). - 1. Il Garante e' l'autorita' di controllo incaricata di vigilare sull'applicazione delle norme di cui al presente decreto, al fine di tutelare i diritti e le liberta' fondamentali delle persone fisiche con riguardo al trattamento di dati personali e di agevolare la libera circolazione dei dati all'interno dell'Unione europea. 2. Ai fini di cui al comma 1 sono attribuite al Garante le funzioni di cui all'art. 154 del Codice, nonche' le seguenti: a) promozione di una diffusa conoscenza e della consapevolezza circa i rischi, le norme, le garanzie e i diritti in relazione al trattamento; b) promozione della consapevolezza in capo ai titolari e responsabili del trattamento dell'importanza degli obblighi previsti dal presente decreto; c) espressione di pareri nei casi previsti dalla legge; d) rilascio, su richiesta dell'interessato, di informazioni in merito all'esercizio dei diritti previsti dal presente decreto e, se del caso, cooperazione, a tal fine, con le autorita' di controllo di altri Stati membri; e) trattazione dei reclami proposti da un interessato, da un organismo, un'organizzazione o un'associazione ai sensi dell'art. 40 e compimento delle indagini sull'oggetto del reclamo, informando il reclamante dello stato e dell'esito delle indagini entro un termine ragionevole, in particolare ove siano necessarie ulteriori indagini o un coordinamento con un'altra autorita' di controllo; f) supporto agli interessati nella proposizione dei reclami; g) accertamento della liceita' del trattamento ai sensi dell'art. 13 e informazione all'interessato entro un termine ragionevole dell'esito della verifica ai sensi del comma 3 di detto articolo, o dei motivi per cui non e' stata effettuata; h) collaborazione, anche tramite i) verifica degli sviluppi tecnologici e sociali che presentano un interesse, se ed in quanto incidenti sulla protezione dei dati personali, in particolare l'evoluzione delle tecnologie dell'informazione e della comunicazione; l) prestazione di consulenza in merito ai trattamenti di cui all'art. 24; m) contribuzione alle attivita' del comitato di cui all'art. 68 del regolamento UE; 3. Ai fini di cui al comma 1 sono attribuiti al Garante i seguenti poteri: a) svolgere indagini sull'applicazione del presente decreto, anche sulla base di informazioni ricevute da un'altra autorita' di controllo o da un'altra autorita' pubblica. Lo svolgimento delle indagini e' disciplinato dalle disposizioni delCodice; b) ottenere, dal titolare del trattamento e dal responsabile del trattamento, l'accesso a tutti i dati personali oggetto del trattamento e a tutte le informazioni necessarie per l'adempimento dei suoi compiti; c) rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento in ordine alle possibili violazioni delle norme del presente decreto; d) ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente decreto, se del caso, con specifiche modalita' ed entro un determinato termine, ordinando in particolare la rettifica o la cancellazione di dati personali o la limitazione del trattamento ai sensi dell'art. 12; e) imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto e il blocco dello stesso; f) promuovere la segnalazione riservata di violazioni del presente decreto; g) denunciare i reati dei quali viene a conoscenza nell'esercizio o a causa delle funzioni; h) predisporre annualmente una relazione sull'attivita' svolta, da trasmettere al Parlamento 4. I poteri di cui al comma 3 sono esercitati nei modi, nelle forme e con le garanzie previste dalla legge. 5. Le funzioni e i poteri di cui ai commi 2 e 3 sono esercitati senza spese per l'interessato o per il responsabile della protezione dati. Il Garante non provvede in ordine alle richieste manifestamente infondate o inammissibili in quanto ripropongono, senza nuovi elementi, richieste gia' rigettate. 6. Il Garante non e' competente in ordine al controllo del rispetto delle norme del presente decreto, limitatamente ai trattamenti effettuati dall'autorita' giudiziaria nell'esercizio delle funzioni giurisdizionali, nonche' di quelle giudiziarie del pubblico ministero.» «Art. 39 (Reclamo al Garante e ricorso giurisdizionale). - 1. Fermo quanto previsto dall'art. 37, comma 6, l'interessato, se ritiene che il trattamento dei dati personali che lo riguardano violi le disposizioni del presente decreto, puo' proporre reclamo al Garante, con le modalita' di cui agliarticoli 142e143 del Codice. 2. Il Garante informa l'interessato dello stato o dell'esito del reclamo, compresa la possibilita' del ricorso giurisdizionale. 3. Per l'inosservanza delle disposizioni del presente decreto in violazione dei suoi diritti, l'interessato puo' proporre ricorso giurisdizionale secondo quanto previsto e regolato dalla disciplina contenuta nella parte III, titolo I, capo II delCodice.» «Art. 42 (Sanzioni amministrative). - 1. Salvo che il fatto costituisca reato e ad esclusione dei trattamenti svolti in ambito giudiziario, la violazione delle disposizioni di cui all'art. 3, comma 1, lettere a), b), d), e) ed f), all'art. 4, commi 2 e 3, all'art. 6, commi 3 e 4, all'art. 7, all'art. 8, e' punita con la sanzione amministrativa del pagamento di una somma da 50.000 euro a 150.000 euro. La medesima sanzione amministrativa si applica al trasferimento dei dati personali verso un Paese terzo o un'organizzazione internazionale in assenza della decisione di adeguatezza della Commissione europea, salvo quanto previsto dagli articoli 33 e 34. 2. Salvo che il fatto costituisca reato e ad esclusione dei trattamenti svolti in ambito giudiziario, e' punita con la sanzione amministrativa del pagamento di una somma da 20.000 euro a 80.000 euro la violazione delle disposizioni di cui all'art. 14, comma 2. Con la medesima sanzione e' punita la violazione delle disposizioni di cui all'art. 17, comma 2, all'art. 18, commi 1, 2, 3 e 4, all'art. 19, all'art. 20, all'art. 21, all'art. 22, all'art. 23, all'art. 24, commi 1 e 4, all'art. 26, all'art. 27, all'art. 28, commi 1 e 4, all'art. 29, comma 2. 3. Nella determinazione della sanzione amministrativa da applicare secondo quanto previsto dai commi 1 e 2 si tiene conto dei criteri di cui all'art. 83, paragrafo 2, lettere a), b), c), d), e), f), g), h), i), k), del regolamento UE. 4. Il procedimento per l'applicazione delle sanzioni e' regolato dall'art. 166 del Codice. Si applica altresi' l'art. 165 del Codice.» «Art. 45 (Inosservanza di provvedimenti del Garante). - 1. Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi dell'art. 143, comma 1, lettera c), del Codice, in un procedimento riguardante il trattamento dei dati di cui all'art. 1, comma 2, e' punito con la reclusione da tre mesi a due anni.» - Gli articoli 142,143,154 e 165 del citato decreto legislativo 30 giugno 2003, n. 196, cosi' recitano: «Art. 142 (Proposizione dei reclami). - 1. Il reclamo contiene un'indicazione per quanto possibile dettagliata dei fatti e delle circostanze su cui si fonda, delle disposizioni che si presumono violate e delle misure richieste, nonche' gli estremi identificativi del titolare, del responsabile, ove conosciuto, e dell'istante. 2. Il reclamo e' sottoscritto dagli interessati, o da associazioni che li rappresentano anche ai sensi dell'art. 9, comma 2, ed e' presentato al Garante senza particolari formalita'. Il reclamo reca in allegato la documentazione utile ai fini della sua valutazione e l'eventuale procura, e indica un recapito per l'invio di comunicazioni anche tramite posta elettronica, telefax o telefono. 3. Il Garante puo' predisporre un modello per il reclamo da pubblicare nel Bollettino e di cui favorisce la disponibilita' con strumenti elettronici.» «Art. 143 (Procedimento per i reclami). - 1. Esaurita l'istruttoria preliminare, se il reclamo non e' manifestamente infondato e sussistono i presupposti per adottare un provvedimento, il Garante, anche prima della definizione del procedimento: a) prima di prescrivere le misure di cui alla lettera b), ovvero il divieto o il blocco ai sensi della lettera c), puo' invitare il titolare, anche in contraddittorio con l'interessato, ad effettuare il blocco spontaneamente; b) prescrive al titolare le misure opportune o necessarie per rendere il trattamento conforme alle disposizioni vigenti; c) dispone il blocco o vieta, in tutto o in parte, il trattamento che risulta illecito o non corretto anche per effetto della mancata adozione delle misure necessarie di cui alla lettera b), oppure quando, in considerazione della natura dei dati o, comunque, delle modalita' del trattamento o degli effetti che esso puo' determinare, vi e' il concreto rischio del verificarsi di un pregiudizio rilevante per uno o piu' interessati; d) puo' vietare in tutto o in parte il trattamento di dati relativi a singoli soggetti o a categorie di soggetti che si pone in contrasto con rilevanti interessi della collettivita'. 2. I provvedimenti di cui al comma 1 sono pubblicati nella Gazzetta Ufficiale della Repubblica italiana se i relativi destinatari non sono facilmente identificabili per il numero o per la complessita' degli accertamenti.» «Art. 154 (Compiti). - 1. Oltre a quanto previsto da specifiche disposizioni, il Garante, anche avvalendosi dell'Ufficio e in conformita' al presente codice, ha il compito di: a) controllare se i trattamenti sono effettuati nel rispetto della disciplina applicabile e in conformita' alla notificazione, anche in caso di loro cessazione e con riferimento alla conservazione dei dati di traffico; b) esaminare i reclami e le segnalazioni e provvedere sui ricorsi presentati dagli interessati o dalle associazioni che li rappresentano; c) prescrivere anche d'ufficio ai titolari del trattamento le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti, ai sensi dell'art. 143; d) vietare anche d'ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco ai sensi dell'art. 143, e di adottare gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali; e) promuovere la sottoscrizione di codici ai sensi dell'art. 12e dell'art. 139; f) segnalare al Parlamento e al Governo l'opportunita' di interventi normativi richiesti dalla necessita' di tutelare i diritti di cui all'art. 2anche a seguito dell'evoluzione del settore; g) esprimere pareri nei casi previsti; h) curare la conoscenza tra il pubblico della disciplina rilevante in materia di trattamento dei dati personali e delle relative finalita', nonche' delle misure di sicurezza dei dati; i) denunciare i fatti configurabili come reati perseguibili d'ufficio, dei quali viene a conoscenza nell'esercizio o a causa delle funzioni; l) tenere il registro dei trattamenti formato sulla base delle notificazioni di cui all'art. 37; m) predisporre annualmente una relazione 2. Il Garante svolge altresi', ai sensi del comma 1, la funzione di controllo o assistenza in materia di trattamento dei dati personali prevista da leggi di ratifica di accordi o convenzioni internazionali o da regolamenti comunitari e, in particolare: a) dalla legge 30 settembre 1993, n. 388, e successive modificazioni, di ratifica ed esecuzione dei protocolli e degli accordi di adesione all'accordo di Schengen e alla relativa convenzione di applicazione; b) dalla legge 23 marzo 1998, n. 93, e successive modificazioni, di ratifica ed esecuzione della convenzione istitutiva dell'Ufficio europeo di polizia (Europol); c) dal regolamento (Ce) n. 515/97del Consiglio, del 13 marzo 1997, e dallalegge 30 luglio 1998, n. 291, e successive modificazioni, di ratifica ed esecuzione della convenzione sull'uso dell'informatica nel settore doganale; d) dal regolamento (Ce) n. 2725/2000del Consiglio, dell'11 dicembre 2000, che istituisce l'"Eurodac" per il confronto delle impronte digitali e per l'efficace e) nel capitolo IV della convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981 e resa esecutiva conlegge 21 febbraio 1989, n. 98,quale autorita' designata ai fini della cooperazione tra Stati ai sensi dell'art. 13 della convenzione medesima. 3. Il Garante coopera con altre autorita' amministrative indipendenti nello svolgimento dei rispettivi compiti. A tale fine, il Garante puo' anche invitare rappresentanti di un'altra autorita' a partecipare alle proprie riunioni, o essere invitato alle riunioni di altra autorita', prendendo parte alla discussione di argomenti di comune interesse; puo' richiedere, altresi', la collaborazione di personale specializzato addetto ad altra autorita'. 4. Il Presidente del Consiglio dei ministri e ciascun ministro consultano il Garante all'atto della predisposizione delle norme regolamentari e degli atti amministrativi suscettibili di incidere sulle materie disciplinate dal presente codice. 5. Fatti salvi i termini piu' brevi previsti per legge, il parere del Garante e' reso nei casi previsti nel termine di quarantacinque giorni dal ricevimento della richiesta. Decorso il termine, l'amministrazione puo' procedere indipendentemente dall'acquisizione del parere. Quando, per esigenze istruttorie, non puo' essere rispettato il termine di cui al presente comma, tale termine puo' essere interrotto per una sola volta e il parere deve essere reso definitivamente entro venti giorni dal ricevimento degli elementi istruttori da parte delle amministrazioni interessate. 6. Copia dei provvedimenti emessi dall'autorita' giudiziaria in relazione a quanto previsto dal presente codice o in materia di criminalita' informatica e' trasmessa, a cura della cancelleria, al Garante.» «Art. 165 (Pubblicazione del provvedimento del Garante). - 1. Nei casi di cui agli articoli del presente Capo puo' essere applicata la sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in uno o piu' giornali indicati nel provvedimento che la applica. La pubblicazione ha luogo a cura e spese del contravventore.» - Il regolamento (UE) n. 2016/679 e' citato nelle note alle premesse.