Art. 13 Trattamento dei dati personali 1. Ogni trattamento dei dati personali, compresa la comunicazione tra le autorita' competenti, previsto dal presente decreto, deve essere effettuato a norma del regolamento (UE) 2016/679, del decreto legislativo 30 giugno 2003, n. 196 e del decreto legislativo 18 maggio 2018, n. 51. La comunicazione di dati personali da parte delle istituzioni, degli organi o degli organismi dell'Unione europea e' effettuata in conformita' del regolamento (UE) 2018/1725. 2. I dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati immediatamente. 3. I diritti di cui agli articoli da 15 a 22 del regolamento (UE) 2016/679 possono essere esercitati nei limiti di quanto previsto dall'articolo 2-undecies del decreto legislativo 30 giugno 2003, n. 196. 4. I trattamenti di dati personali relativi al ricevimento e alla gestione delle segnalazioni sono effettuati dai soggetti di cui all'articolo 4, in qualita' di titolari del trattamento, nel rispetto dei principi di cui agli articoli 5 e 25 del regolamento (UE) 2016/679 o agli articoli 3 e 16 del decreto legislativo n. 51 del 2018, fornendo idonee informazioni alle persone segnalanti e alle persone coinvolte ai sensi degli articoli 13 e 14 del medesimo regolamento (UE) 2016/679 o dell'articolo 11 del citato decreto legislativo n. 51 del 2018, nonche' adottando misure appropriate a tutela dei diritti e delle liberta' degli interessati. 5. I soggetti del settore pubblico e i soggetti del settore privato che condividono risorse per il ricevimento e la gestione delle segnalazioni, ai sensi dell'articolo 4, comma 4, determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilita' in merito all'osservanza degli obblighi in materia di protezione dei dati personali, ai sensi dell'articolo 26 del regolamento (UE) 2016/679 o dell'articolo 23 del decreto legislativo n. 51 del 2018. 6. I soggetti di cui all'articolo 4 definiscono il proprio modello di ricevimento e gestione delle segnalazioni interne, individuando misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati, sulla base di una valutazione d'impatto sulla protezione dei dati, e disciplinando il rapporto con eventuali fornitori esterni che trattano dati personali per loro conto ai sensi dell'articolo 28 del regolamento (UE) 2016/679 o dell'articolo 18 del decreto legislativo n. 51 del 2018.
Note all'art. 13: - Per i regolamenti (UE) 2016/679 e (UE) 2018/1725 si veda nelle note all'articolo 9. - Si riporta il testo dell'articolo 2-undecies del citato decreto legislativo 30 giugno 2003, n. 196, come modificato dal presente decreto: «Art. 2-undecies (Limitazioni ai diritti dell'interessato). - 1. I diritti di cui agli articoli da 15 a 22 del Regolamento non possono essere esercitati con richiesta al titolare del trattamento ovvero con reclamo ai sensi dell'articolo 77 del Regolamento qualora dall'esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto: a) agli interessi tutelati in base alle disposizioni in materia di riciclaggio; b) agli interessi tutelati in base alle disposizioni in materia di sostegno alle vittime di richieste estorsive; c) all'attivita' di Commissioni parlamentari d'inchiesta istituite ai sensi dell'articolo 82 della Costituzione; d) alle attivita' svolte da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad espressa disposizione di legge, per esclusive finalita' inerenti alla politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli intermediari e dei mercati creditizi e finanziari, nonche' alla tutela della loro stabilita'; e) allo svolgimento delle investigazioni difensive o all'esercizio di un diritto in sede giudiziaria; f) alla riservatezza dell'identita' della persona che segnala violazioni di cui sia venuta a conoscenza in ragione del proprio rapporto di lavoro o delle funzioni svolte, ai sensi del decreto legislativo recante attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione, ovvero che segnala violazioni ai sensi degli articoli 52-bis e 52-ter del decreto legislativo 1° settembre 1993, n. 385, o degli articoli 4-undecies e 4-duodecies del decreto legislativo 24 febbraio 1998, n. 58; f-bis) agli interessi tutelati in materia tributaria e allo svolgimento delle attivita' di prevenzione e contrasto all'evasione fiscale. 2. Nei casi di cui al comma 1, lettera c), si applica quanto previsto dai regolamenti parlamentari ovvero dalla legge o dalle norme istitutive della Commissione d'inchiesta. 3. Nei casi di cui al comma 1, lettere a), b), d) e), f) e f-bis) i diritti di cui al medesimo comma sono esercitati conformemente alle disposizioni di legge o di regolamento che regolano il settore, che devono almeno recare misure dirette a disciplinare gli ambiti di cui all'articolo 23, paragrafo 2, del Regolamento. L'esercizio dei medesimi diritti puo', in ogni caso, essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all'interessato, a meno che la comunicazione possa compromettere la finalita' della limitazione, per il tempo e nei limiti in cui cio' costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell'interessato, al fine di salvaguardare gli interessi di cui al comma 1, lettere a), b), d), e), f) e f-bis). In tali casi, i diritti dell'interessato possono essere esercitati anche tramite il Garante con le modalita' di cui all'articolo 160. In tale ipotesi, il Garante informa l'interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonche' del diritto dell'interessato di proporre ricorso giurisdizionale. Il titolare del trattamento informa l'interessato delle facolta' di cui al presente comma.». - Si riporta il testo degli articoli 3, 11, 16, 18 e 23 del citato decreto legislativo 18 maggio 2018, n. 51: «Art. 3 (Principi applicabili al trattamento di dati personali). - 1. I dati personali di cui all'articolo 1, comma 2, sono: a) trattati in modo lecito e corretto; b) raccolti per finalita' determinate, espresse e legittime e trattati in modo compatibile con tali finalita'; c) adeguati, pertinenti e non eccedenti rispetto alle finalita' per le quali sono trattati; d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalita' per le quali sono trattati; e) conservati con modalita' che consentano l'identificazione degli interessati per il tempo necessario al conseguimento delle finalita' per le quali sono trattati, sottoposti a esame periodico per verificarne la persistente necessita' di conservazione, cancellati o anonimizzati una volta decorso tale termine; f) trattati in modo da garantire un'adeguata sicurezza e protezione da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali, mediante l'adozione di misure tecniche e organizzative adeguate. 2. Il trattamento per una delle finalita' di cui all'articolo 1, comma 2, diversa da quella per cui i dati sono raccolti, e' consentito se il titolare del trattamento, anche se diverso da quello che ha raccolto i dati, e' autorizzato a trattarli per detta finalita', conformemente al diritto dell'Unione europea o dell'ordinamento interno e se il trattamento e' necessario e proporzionato a tale diversa finalita', conformemente al diritto dell'Unione europea o dell'ordinamento interno. 3. Il trattamento per le finalita' di cui all'articolo 1, comma 2, puo' comprendere l'archiviazione nel pubblico interesse, l'utilizzo scientifico, storico o statistico, fatte salve le garanzie adeguate per i diritti e le liberta' degli interessati. 4. Il titolare del trattamento e' responsabile del rispetto dei principi di cui ai commi 1, 2 e 3.» «Art. 11 (Diritto di accesso dell'interessato). - 1. L'interessato ha il diritto di ottenere dal titolare del trattamento conferma dell'esistenza di un trattamento in corso di dati personali che lo riguardano e, in tal caso, l'accesso ai dati e alle seguenti informazioni: a) le finalita' e il titolo giuridico del trattamento; b) le categorie di dati personali trattati; c) i destinatari o le categorie di destinatari a cui i dati personali sono stati comunicati; d) il periodo di conservazione dei dati personali o, se non e' possibile, i criteri per determinare tale periodo; e) il diritto di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano; f) il diritto di proporre reclamo al Garante, con i relativi dati di contatto; g) la comunicazione dei dati personali oggetto del trattamento e di tutte le informazioni disponibili sulla loro origine. 2. Nei casi di cui all'articolo 14, comma 2, il titolare del trattamento informa l'interessato, senza ingiustificato ritardo e per iscritto, di ogni rifiuto o limitazione dell'accesso e dei relativi motivi, nonche' del diritto di proporre reclamo dinanzi al Garante o di proporre ricorso giurisdizionale. 3. Il titolare del trattamento documenta i motivi di fatto o di diritto su cui si basa la decisione di cui al comma 2. Tali informazioni sono rese disponibili al Garante.» «Art. 16 (Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita). - 1. Il titolare del trattamento, tenuto conto delle cognizioni tecniche disponibili e dei costi di attuazione, della natura, dell'ambito di applicazione, del contesto e delle finalita' del trattamento, nonche' dei rischi per i diritti e le liberta' delle persone fisiche, mette in atto misure tecniche e organizzative adeguate, quale la pseudonimizzazione, per garantire la protezione dei dati e per tutelare i diritti degli interessati, in conformita' alle norme del presente decreto. 2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalita' del trattamento. Tale obbligo vale per la quantita' dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilita'. In particolare, tali misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica.» «Art. 18 (Responsabile del trattamento). - 1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre a responsabili del trattamento che garantiscono misure tecniche e organizzative adeguate ad assicurare la protezione dei dati personali e la tutela dei diritti dell'interessato. 2. Il responsabile del trattamento non puo' ricorrere a un altro responsabile senza preventiva autorizzazione scritta del titolare del trattamento. 3. L'esecuzione dei trattamenti da parte di un responsabile del trattamento e' disciplinata da un contratto o da altro atto giuridico che prevede l'oggetto, la durata, la natura e la finalita' del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Tale contratto o diverso atto giuridico prevede anche che il responsabile del trattamento: a) agisca soltanto su istruzione del titolare del trattamento; b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza; c) assista il titolare del trattamento con ogni mezzo adeguato per garantire il rispetto delle disposizioni relative ai diritti dell'interessato; d) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che e' terminata la prestazione dei servizi di trattamento di dati e cancelli le copie esistenti, salvo che il diritto dell'Unione europea o la legge preveda la conservazione dei dati personali; e) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto delle condizioni di cui al presente articolo; f) rispetti le condizioni di cui ai commi 2 e 3 nel caso di ricorso ad altro responsabile del trattamento. 4. Il contratto o il diverso atto di cui al comma 3 e' stipulato per iscritto, anche in formato elettronico. 5. Se un responsabile del trattamento determina, in violazione del presente decreto, le finalita' e i mezzi del trattamento, e' considerato titolare del trattamento.» «Art. 23 (Valutazione d'impatto sulla protezione dei dati). - 1. Se il trattamento, per l'uso di nuove tecnologie e per la sua natura, per l'ambito di applicazione, per il contesto e per le finalita', presenta un rischio elevato per i diritti e le liberta' delle persone fisiche, il titolare del trattamento, prima di procedere al trattamento, effettua una valutazione del suo impatto sulla protezione dei dati personali. 2. La valutazione di cui al comma 1 contiene una descrizione generale dei trattamenti previsti, una valutazione dei rischi per i diritti e le liberta' degli interessati, le misure previste per affrontare tali rischi, le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e il rispetto delle norme del presente decreto.».