Art. 13
Trattamento dei dati personali
1. Ogni trattamento dei dati personali, compresa la comunicazione
tra le autorita' competenti, previsto dal presente decreto, deve
essere effettuato a norma del regolamento (UE) 2016/679, del decreto
legislativo 30 giugno 2003, n. 196 e del decreto legislativo 18
maggio 2018, n. 51. La comunicazione di dati personali da parte delle
istituzioni, degli organi o degli organismi dell'Unione europea e'
effettuata in conformita' del regolamento (UE) 2018/1725.
2. I dati personali che manifestamente non sono utili al
trattamento di una specifica segnalazione non sono raccolti o, se
raccolti accidentalmente, sono cancellati immediatamente.
3. I diritti di cui agli articoli da 15 a 22 del regolamento (UE)
2016/679 possono essere esercitati nei limiti di quanto previsto
dall'articolo 2-undecies del decreto legislativo 30 giugno 2003, n.
196.
4. I trattamenti di dati personali relativi al ricevimento e alla
gestione delle segnalazioni sono effettuati dai soggetti di cui
all'articolo 4, in qualita' di titolari del trattamento, nel rispetto
dei principi di cui agli articoli 5 e 25 del regolamento (UE)
2016/679 o agli articoli 3 e 16 del decreto legislativo n. 51 del
2018, fornendo idonee informazioni alle persone segnalanti e alle
persone coinvolte ai sensi degli articoli 13 e 14 del medesimo
regolamento (UE) 2016/679 o dell'articolo 11 del citato decreto
legislativo n. 51 del 2018, nonche' adottando misure appropriate a
tutela dei diritti e delle liberta' degli interessati.
5. I soggetti del settore pubblico e i soggetti del settore privato
che condividono risorse per il ricevimento e la gestione delle
segnalazioni, ai sensi dell'articolo 4, comma 4, determinano in modo
trasparente, mediante un accordo interno, le rispettive
responsabilita' in merito all'osservanza degli obblighi in materia di
protezione dei dati personali, ai sensi dell'articolo 26 del
regolamento (UE) 2016/679 o dell'articolo 23 del decreto legislativo
n. 51 del 2018.
6. I soggetti di cui all'articolo 4 definiscono il proprio modello
di ricevimento e gestione delle segnalazioni interne, individuando
misure tecniche e organizzative idonee a garantire un livello di
sicurezza adeguato agli specifici rischi derivanti dai trattamenti
effettuati, sulla base di una valutazione d'impatto sulla protezione
dei dati, e disciplinando il rapporto con eventuali fornitori esterni
che trattano dati personali per loro conto ai sensi dell'articolo 28
del regolamento (UE) 2016/679 o dell'articolo 18 del decreto
legislativo n. 51 del 2018.
Note all'art. 13:
- Per i regolamenti (UE) 2016/679 e (UE) 2018/1725 si
veda nelle note all'articolo 9.
- Si riporta il testo dell'articolo 2-undecies del
citato decreto legislativo 30 giugno 2003, n. 196, come
modificato dal presente decreto:
«Art. 2-undecies (Limitazioni ai diritti
dell'interessato). - 1. I diritti di cui agli articoli da
15 a 22 del Regolamento non possono essere esercitati con
richiesta al titolare del trattamento ovvero con reclamo ai
sensi dell'articolo 77 del Regolamento qualora
dall'esercizio di tali diritti possa derivare un
pregiudizio effettivo e concreto:
a) agli interessi tutelati in base alle
disposizioni in materia di riciclaggio;
b) agli interessi tutelati in base alle
disposizioni in materia di sostegno alle vittime di
richieste estorsive;
c) all'attivita' di Commissioni parlamentari
d'inchiesta istituite ai sensi dell'articolo 82 della
Costituzione;
d) alle attivita' svolte da un soggetto pubblico,
diverso dagli enti pubblici economici, in base ad espressa
disposizione di legge, per esclusive finalita' inerenti
alla politica monetaria e valutaria, al sistema dei
pagamenti, al controllo degli intermediari e dei mercati
creditizi e finanziari, nonche' alla tutela della loro
stabilita';
e) allo svolgimento delle investigazioni difensive
o all'esercizio di un diritto in sede giudiziaria;
f) alla riservatezza dell'identita' della persona
che segnala violazioni di cui sia venuta a conoscenza in
ragione del proprio rapporto di lavoro o delle funzioni
svolte, ai sensi del decreto legislativo recante attuazione
della direttiva (UE) 2019/1937 del Parlamento europeo e del
Consiglio del 23 ottobre 2019, riguardante la protezione
delle persone che segnalano violazioni del diritto
dell'Unione, ovvero che segnala violazioni ai sensi degli
articoli 52-bis e 52-ter del decreto legislativo 1°
settembre 1993, n. 385, o degli articoli 4-undecies e
4-duodecies del decreto legislativo 24 febbraio 1998, n.
58;
f-bis) agli interessi tutelati in materia
tributaria e allo svolgimento delle attivita' di
prevenzione e contrasto all'evasione fiscale.
2. Nei casi di cui al comma 1, lettera c), si applica
quanto previsto dai regolamenti parlamentari ovvero dalla
legge o dalle norme istitutive della Commissione
d'inchiesta.
3. Nei casi di cui al comma 1, lettere a), b), d) e),
f) e f-bis) i diritti di cui al medesimo comma sono
esercitati conformemente alle disposizioni di legge o di
regolamento che regolano il settore, che devono almeno
recare misure dirette a disciplinare gli ambiti di cui
all'articolo 23, paragrafo 2, del Regolamento. L'esercizio
dei medesimi diritti puo', in ogni caso, essere ritardato,
limitato o escluso con comunicazione motivata e resa senza
ritardo all'interessato, a meno che la comunicazione possa
compromettere la finalita' della limitazione, per il tempo
e nei limiti in cui cio' costituisca una misura necessaria
e proporzionata, tenuto conto dei diritti fondamentali e
dei legittimi interessi dell'interessato, al fine di
salvaguardare gli interessi di cui al comma 1, lettere a),
b), d), e), f) e f-bis). In tali casi, i diritti
dell'interessato possono essere esercitati anche tramite il
Garante con le modalita' di cui all'articolo 160. In tale
ipotesi, il Garante informa l'interessato di aver eseguito
tutte le verifiche necessarie o di aver svolto un riesame,
nonche' del diritto dell'interessato di proporre ricorso
giurisdizionale. Il titolare del trattamento informa
l'interessato delle facolta' di cui al presente comma.».
- Si riporta il testo degli articoli 3, 11, 16, 18 e 23
del citato decreto legislativo 18 maggio 2018, n. 51:
«Art. 3 (Principi applicabili al trattamento di dati
personali). - 1. I dati personali di cui all'articolo 1,
comma 2, sono:
a) trattati in modo lecito e corretto;
b) raccolti per finalita' determinate, espresse e
legittime e trattati in modo compatibile con tali
finalita';
c) adeguati, pertinenti e non eccedenti rispetto
alle finalita' per le quali sono trattati;
d) esatti e, se necessario, aggiornati; devono
essere adottate tutte le misure ragionevoli per cancellare
o rettificare tempestivamente i dati inesatti rispetto alle
finalita' per le quali sono trattati;
e) conservati con modalita' che consentano
l'identificazione degli interessati per il tempo necessario
al conseguimento delle finalita' per le quali sono
trattati, sottoposti a esame periodico per verificarne la
persistente necessita' di conservazione, cancellati o
anonimizzati una volta decorso tale termine;
f) trattati in modo da garantire un'adeguata
sicurezza e protezione da trattamenti non autorizzati o
illeciti e dalla perdita, dalla distruzione o dal danno
accidentali, mediante l'adozione di misure tecniche e
organizzative adeguate.
2. Il trattamento per una delle finalita' di cui
all'articolo 1, comma 2, diversa da quella per cui i dati
sono raccolti, e' consentito se il titolare del
trattamento, anche se diverso da quello che ha raccolto i
dati, e' autorizzato a trattarli per detta finalita',
conformemente al diritto dell'Unione europea o
dell'ordinamento interno e se il trattamento e' necessario
e proporzionato a tale diversa finalita', conformemente al
diritto dell'Unione europea o dell'ordinamento interno.
3. Il trattamento per le finalita' di cui all'articolo
1, comma 2, puo' comprendere l'archiviazione nel pubblico
interesse, l'utilizzo scientifico, storico o statistico,
fatte salve le garanzie adeguate per i diritti e le
liberta' degli interessati.
4. Il titolare del trattamento e' responsabile del
rispetto dei principi di cui ai commi 1, 2 e 3.»
«Art. 11 (Diritto di accesso dell'interessato). - 1.
L'interessato ha il diritto di ottenere dal titolare del
trattamento conferma dell'esistenza di un trattamento in
corso di dati personali che lo riguardano e, in tal caso,
l'accesso ai dati e alle seguenti informazioni:
a) le finalita' e il titolo giuridico del
trattamento;
b) le categorie di dati personali trattati;
c) i destinatari o le categorie di destinatari a
cui i dati personali sono stati comunicati;
d) il periodo di conservazione dei dati personali
o, se non e' possibile, i criteri per determinare tale
periodo;
e) il diritto di chiedere al titolare del
trattamento la rettifica o la cancellazione dei dati
personali o la limitazione del trattamento dei dati
personali che lo riguardano;
f) il diritto di proporre reclamo al Garante, con i
relativi dati di contatto;
g) la comunicazione dei dati personali oggetto del
trattamento e di tutte le informazioni disponibili sulla
loro origine.
2. Nei casi di cui all'articolo 14, comma 2, il
titolare del trattamento informa l'interessato, senza
ingiustificato ritardo e per iscritto, di ogni rifiuto o
limitazione dell'accesso e dei relativi motivi, nonche' del
diritto di proporre reclamo dinanzi al Garante o di
proporre ricorso giurisdizionale.
3. Il titolare del trattamento documenta i motivi di
fatto o di diritto su cui si basa la decisione di cui al
comma 2. Tali informazioni sono rese disponibili al
Garante.»
«Art. 16 (Protezione dei dati fin dalla progettazione
e protezione per impostazione predefinita). - 1. Il
titolare del trattamento, tenuto conto delle cognizioni
tecniche disponibili e dei costi di attuazione, della
natura, dell'ambito di applicazione, del contesto e delle
finalita' del trattamento, nonche' dei rischi per i diritti
e le liberta' delle persone fisiche, mette in atto misure
tecniche e organizzative adeguate, quale la
pseudonimizzazione, per garantire la protezione dei dati e
per tutelare i diritti degli interessati, in conformita'
alle norme del presente decreto.
2. Il titolare del trattamento mette in atto misure
tecniche e organizzative adeguate per garantire che siano
trattati, per impostazione predefinita, solo i dati
personali necessari per ogni specifica finalita' del
trattamento. Tale obbligo vale per la quantita' dei dati
personali raccolti, la portata del trattamento, il periodo
di conservazione e l'accessibilita'. In particolare, tali
misure garantiscono che, per impostazione predefinita, non
siano resi accessibili dati personali a un numero
indefinito di persone fisiche senza l'intervento della
persona fisica.»
«Art. 18 (Responsabile del trattamento). - 1. Qualora
un trattamento debba essere effettuato per conto del
titolare del trattamento, quest'ultimo ricorre a
responsabili del trattamento che garantiscono misure
tecniche e organizzative adeguate ad assicurare la
protezione dei dati personali e la tutela dei diritti
dell'interessato.
2. Il responsabile del trattamento non puo' ricorrere a
un altro responsabile senza preventiva autorizzazione
scritta del titolare del trattamento.
3. L'esecuzione dei trattamenti da parte di un
responsabile del trattamento e' disciplinata da un
contratto o da altro atto giuridico che prevede l'oggetto,
la durata, la natura e la finalita' del trattamento, il
tipo di dati personali e le categorie di interessati, gli
obblighi e i diritti del titolare del trattamento. Tale
contratto o diverso atto giuridico prevede anche che il
responsabile del trattamento:
a) agisca soltanto su istruzione del titolare del
trattamento;
b) garantisca che le persone autorizzate al
trattamento dei dati personali si siano impegnate alla
riservatezza o abbiano un adeguato obbligo legale di
riservatezza;
c) assista il titolare del trattamento con ogni mezzo
adeguato per garantire il rispetto delle disposizioni
relative ai diritti dell'interessato;
d) su scelta del titolare del trattamento, cancelli o
gli restituisca tutti i dati personali dopo che e'
terminata la prestazione dei servizi di trattamento di dati
e cancelli le copie esistenti, salvo che il diritto
dell'Unione europea o la legge preveda la conservazione dei
dati personali;
e) metta a disposizione del titolare del trattamento
tutte le informazioni necessarie per dimostrare il rispetto
delle condizioni di cui al presente articolo;
f) rispetti le condizioni di cui ai commi 2 e 3 nel
caso di ricorso ad altro responsabile del trattamento.
4. Il contratto o il diverso atto di cui al comma 3 e'
stipulato per iscritto, anche in formato elettronico.
5. Se un responsabile del trattamento determina, in
violazione del presente decreto, le finalita' e i mezzi del
trattamento, e' considerato titolare del trattamento.»
«Art. 23 (Valutazione d'impatto sulla protezione dei
dati). - 1. Se il trattamento, per l'uso di nuove
tecnologie e per la sua natura, per l'ambito di
applicazione, per il contesto e per le finalita', presenta
un rischio elevato per i diritti e le liberta' delle
persone fisiche, il titolare del trattamento, prima di
procedere al trattamento, effettua una valutazione del suo
impatto sulla protezione dei dati personali.
2. La valutazione di cui al comma 1 contiene una
descrizione generale dei trattamenti previsti, una
valutazione dei rischi per i diritti e le liberta' degli
interessati, le misure previste per affrontare tali rischi,
le garanzie, le misure di sicurezza e i meccanismi per
garantire la protezione dei dati personali e il rispetto
delle norme del presente decreto.».