IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva n. 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito «RGPD»), con particolare riferimento agli articoli 40, 57, 58 e 83; Visto il codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva n. 95/46/CE (decreto legislativo 30 giugno 2003, n. 196, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito denominato «codice»), con particolare riferimento all'art. 156, comma 3, lettera a), ai sensi del quale il Garante per la protezione dei dati personali (di seguito «Garante» o anche «Autorita'»), con propri regolamenti pubblicati nella Gazzetta Ufficiale della Repubblica italiana, definisce l'organizzazione e il funzionamento dell'ufficio, anche ai fini dello svolgimento dei compiti e all'esercizio dei poteri ad esso assegnati dagli articoli da 140-bis a 144, 154, 154-bis, 157, 158, 160, del medesimo codice; Rilevato che il codice disciplina diversi istituti relativi alla tutela degli interessati nelle procedure dinanzi al Garante, in particolare per quanto riguarda la presentazione di reclami e segnalazioni; Considerato che, in base all'art. 154, comma 3, del codice, per quanto non previsto dal RGPD e dal codice medesimo, il Garante disciplina «con proprio regolamento, ai sensi dell'art. 156, comma 3, le modalita' specifiche dei procedimenti relative allo svolgimento dei compiti e all'esercizio dei poteri ad esso attribuiti dal regolamento»; Considerato che ai sensi dell'art. 142, comma 5, del codice, il Garante disciplina «con proprio regolamento il procedimento relativo all'esame dei reclami, nonche' modalita' semplificate e termini abbreviati per la trattazione di reclami che abbiano ad oggetto la violazione degli articoli da 15 a 22» del RGPD; Rilevato altresi' che ai sensi dell'art. 166, comma 9, del codice, «con proprio regolamento pubblicato nella Gazzetta Ufficiale della Repubblica italiana, il Garante definisce le modalita' del procedimento per l'adozione dei provvedimenti e delle sanzioni di cui al comma 3 ed i relativi termini, in conformita' ai principi della piena conoscenza degli atti istruttori, del contraddittorio, della verbalizzazione, nonche' della distinzione tra funzioni istruttorie e funzioni decisorie rispetto all'irrogazione della sanzione»; Visto il decreto legislativo 18 maggio 2018, n. 51, recante «Attuazione della direttiva (UE) n. 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorita' competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonche' alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio», con particolare riferimento agli articoli 13, comma 1, 37, 39, 40 e 42, comma 4; Rilevato che ulteriori disposizioni di legge regolano altri profili relativi ai procedimenti dinanzi al Garante, in particolare per quanto riguarda gli accertamenti inerenti ai trattamenti effettuati da forze di polizia (articoli 175 e 57 del codice come richiamato dall'art. 49, comma 2, decreto legislativo 18 maggio 2018, n. 51) ovvero in ambito giudiziario (art. 2-duodecies del codice) o di difesa e sicurezza dello Stato (articoli 58 e 160 del codice), come pure in relazione alla disciplina generale sul procedimento amministrativo (legge 7 agosto 1990, n. 241 e successive modificazioni), alla disciplina in materia di accesso civico, obblighi di pubblicita', trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni (decreto legislativo 14 marzo 2013, n. 33 e successive modificazioni), a quella relativa all'applicazione di sanzioni amministrative, con riferimento agli articoli da 1 a 9, da 18 a 22 e da 24 a 28 della legge 24 novembre 1981, n. 689 (art. 166, comma 7, del codice), nonche' in materia di tutela dei minori dal fenomeno del cyberbullismo (legge 29 maggio 2017, n. 71); Considerato che fra i compiti del Garante figurano, tra gli altri, quelli di assicurare la tutela dei diritti e delle liberta' fondamentali degli individui previsti dal RGPD, dal codice e dal menzionato decreto legislativo n. 51/2018, nonche' delle ulteriori norme vigenti, di controllare se i trattamenti di dati personali sono effettuati nel rispetto della disciplina applicabile, di trattare i reclami ed esaminare le segnalazioni, nonche' di esercitare i poteri d'indagine, correttivi, sanzionatori, autorizzativi e consultivi previsti dalla disciplina applicabile al trattamento dei dati personali; Visto il regolamento del Garante n. 1/2000 sull'organizzazione e il funzionamento dell'ufficio del Garante (deliberazione 28 giugno 2000, n. 15, e successive modifiche) e, in particolare, il capo III, relativo ai principi di trasparenza, partecipazione e contraddittorio cui si ispira l'attivita' dell'ufficio, all'assegnazione degli affari ai relativi dipartimenti e servizi, all'individuazione del responsabile del procedimento e alle funzioni del relatore quando si provvede con deliberazione del Garante; Rilevata la necessita', in ragione della modificata cornice normativa in materia di protezione dei dati personali, di aggiornare il regolamento n. 1/2007 sullo svolgimento dei compiti e sull'esercizio dei poteri rimessi al Garante, con proprio atto di natura regolamentare da adottare in base alle menzionate disposizioni di cui agli articoli 142, comma 5, 154, comma 3, e 166, comma 9, del codice; Rilevata l'esigenza, in tale contesto, di specificare e rendere note le procedure interne finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante aventi rilevanza esterna, in particolare quelle funzionali alla tutela degli interessati, avviate d'ufficio o su loro istanza, all'esame di comunicazioni e richieste inoltrate dai titolari del trattamento, quelle relative all'adozione di provvedimenti correttivi e sanzionatori da parte del Garante, al rilascio di pareri nei casi previsti, alla valutazione preliminare delle regole deontologiche, all'elaborazione dei codici di condotta; Visti gli atti d'ufficio; Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15, comma 1 del predetto regolamento n. 1/2000; Relatore la prof.ssa Licia Califano; Delibera: di adottare il regolamento n. 1/2019, concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante per la protezione dei dati personali, in particolare per quanto concerne l'adozione dei provvedimenti correttivi di cui all'art. 58, paragrafo 2, del RGPD, e delle sanzioni di cui agli articoli 83 del medesimo regolamento e 166, commi 1 e 2, del codice. Il regolamento e' riportato in allegato alla presente deliberazione, della quale costituisce parte integrante, e ne dispone la pubblicazione nella Gazzetta Ufficiale della Repubblica italiana, ai sensi degli articoli 142, comma 5, 154, commi 1, lettera b) e 3, 156, comma 3, lettera a), e 166, comma 9, del codice. Roma, 4 aprile 2019 Il Presidente: Soro Il relatore: Califano Il segretario generale: Busia