Art. 23
Disposizioni di coordinamento
1. A decorrere dalla data di entrata in vigore del presente
decreto:
a) all'articolo 37, comma 2, alinea, del decreto legislativo 18
maggio 2018, n. 51, il riferimento all'articolo 154 del codice in
materia di protezione dei dati personali, di cui al decreto
legislativo n. 196 del 2003, si intende effettuato agli articoli 154
e 154-bis del medesimo codice;
b) all'articolo 39, comma 1, del decreto legislativo 18 maggio
2018, n. 51, il riferimento agli articoli 142 e 143 del codice in
materia di protezione dei dati personali, di cui al decreto
legislativo n. 196 del 2003 si intende effettuato agli articoli 141,
142 e 143 del medesimo codice;
c) all'articolo 42 del decreto legislativo 18 maggio 2018, n. 51,
il riferimento all'articolo 165 del codice in materia di protezione
dei dati personali, di cui al decreto legislativo n. 196 del 2003, si
intende effettuato all'articolo 166, comma 7, del medesimo codice;
d) all'articolo 45 del decreto legislativo 18 maggio 2018, n. 51,
il riferimento all'articolo 143, comma 1, lettera c), del codice in
materia di protezione dei dati personali, di cui al decreto
legislativo n. 196 del 2003, si intende effettuato all'articolo 58,
paragrafo 2, lettera f), del Regolamento (UE) 2016/679.
Note all'art. 23:
- Gli articoli 37, 39, 42 e 45 del decreto legislativo
18 maggio 2018, n. 51 (Attuazione delladirettiva (UE)
2016/680 del Parlamento europeo e del Consiglio, del 27
aprile 2016, relativa alla protezione delle persone fisiche
con riguardo al trattamento dei dati personali da parte
delle autorita' competenti a fini di prevenzione, indagine,
accertamento e perseguimento di reati o esecuzione di
sanzioni penali, nonche' alla libera circolazione di tali
dati e che abroga ladecisione quadro 2008/977/GAIdel
Consiglio), pubblicato nella Gazzetta Ufficiale 24 maggio
2018, n. 119, cosi' recitano:
«Art. 37 (Autorita' di controllo). - 1. Il Garante e'
l'autorita' di controllo incaricata di vigilare
sull'applicazione delle norme di cui al presente decreto,
al fine di tutelare i diritti e le liberta' fondamentali
delle persone fisiche con riguardo al trattamento di dati
personali e di agevolare la libera circolazione dei dati
all'interno dell'Unione europea.
2. Ai fini di cui al comma 1 sono attribuite al Garante
le funzioni di cui all'art. 154 del Codice, nonche' le
seguenti:
a) promozione di una diffusa conoscenza e della
consapevolezza circa i rischi, le norme, le garanzie e i
diritti in relazione al trattamento;
b) promozione della consapevolezza in capo ai
titolari e responsabili del trattamento dell'importanza
degli obblighi previsti dal presente decreto;
c) espressione di pareri nei casi previsti dalla
legge;
d) rilascio, su richiesta dell'interessato, di
informazioni in merito all'esercizio dei diritti previsti
dal presente decreto e, se del caso, cooperazione, a tal
fine, con le autorita' di controllo di altri Stati membri;
e) trattazione dei reclami proposti da un
interessato, da un organismo, un'organizzazione o
un'associazione ai sensi dell'art. 40 e compimento delle
indagini sull'oggetto del reclamo, informando il reclamante
dello stato e dell'esito delle indagini entro un termine
ragionevole, in particolare ove siano necessarie ulteriori
indagini o un coordinamento con un'altra autorita' di
controllo;
f) supporto agli interessati nella proposizione dei
reclami;
g) accertamento della liceita' del trattamento ai
sensi dell'art. 13 e informazione all'interessato entro un
termine ragionevole dell'esito della verifica ai sensi del
comma 3 di detto articolo, o dei motivi per cui non e'
stata effettuata;
h) collaborazione, anche tramite
i) verifica degli sviluppi tecnologici e sociali che
presentano un interesse, se ed in quanto incidenti sulla
protezione dei dati personali, in particolare l'evoluzione
delle tecnologie dell'informazione e della comunicazione;
l) prestazione di consulenza in merito ai trattamenti
di cui all'art. 24;
m) contribuzione alle attivita' del comitato di cui
all'art. 68 del regolamento UE;
3. Ai fini di cui al comma 1 sono attribuiti al Garante
i seguenti poteri:
a) svolgere indagini sull'applicazione del presente
decreto, anche sulla base di informazioni ricevute da
un'altra autorita' di controllo o da un'altra autorita'
pubblica. Lo svolgimento delle indagini e' disciplinato
dalle disposizioni delCodice;
b) ottenere, dal titolare del trattamento e dal
responsabile del trattamento, l'accesso a tutti i dati
personali oggetto del trattamento e a tutte le informazioni
necessarie per l'adempimento dei suoi compiti;
c) rivolgere avvertimenti al titolare del trattamento
o al responsabile del trattamento in ordine alle possibili
violazioni delle norme del presente decreto;
d) ingiungere al titolare del trattamento o al
responsabile del trattamento di conformare i trattamenti
alle disposizioni del presente decreto, se del caso, con
specifiche modalita' ed entro un determinato termine,
ordinando in particolare la rettifica o la cancellazione di
dati personali o la limitazione del trattamento ai sensi
dell'art. 12;
e) imporre una limitazione provvisoria o definitiva
al trattamento, incluso il divieto e il blocco dello
stesso;
f) promuovere la segnalazione riservata di violazioni
del presente decreto;
g) denunciare i reati dei quali viene a conoscenza
nell'esercizio o a causa delle funzioni;
h) predisporre annualmente una relazione
sull'attivita' svolta, da trasmettere al Parlamento
4. I poteri di cui al comma 3 sono esercitati nei modi,
nelle forme e con le garanzie previste dalla legge.
5. Le funzioni e i poteri di cui ai commi 2 e 3 sono
esercitati senza spese per l'interessato o per il
responsabile della protezione dati. Il Garante non provvede
in ordine alle richieste manifestamente infondate o
inammissibili in quanto ripropongono, senza nuovi elementi,
richieste gia' rigettate.
6. Il Garante non e' competente in ordine al controllo
del rispetto delle norme del presente decreto,
limitatamente ai trattamenti effettuati dall'autorita'
giudiziaria nell'esercizio delle funzioni giurisdizionali,
nonche' di quelle giudiziarie del pubblico ministero.»
«Art. 39 (Reclamo al Garante e ricorso
giurisdizionale). - 1. Fermo quanto previsto dall'art. 37,
comma 6, l'interessato, se ritiene che il trattamento dei
dati personali che lo riguardano violi le disposizioni del
presente decreto, puo' proporre reclamo al Garante, con le
modalita' di cui agliarticoli 142e143 del Codice.
2. Il Garante informa l'interessato dello stato o
dell'esito del reclamo, compresa la possibilita' del
ricorso giurisdizionale.
3. Per l'inosservanza delle disposizioni del presente
decreto in violazione dei suoi diritti, l'interessato puo'
proporre ricorso giurisdizionale secondo quanto previsto e
regolato dalla disciplina contenuta nella parte III, titolo
I, capo II delCodice.»
«Art. 42 (Sanzioni amministrative). - 1. Salvo che il
fatto costituisca reato e ad esclusione dei trattamenti
svolti in ambito giudiziario, la violazione delle
disposizioni di cui all'art. 3, comma 1, lettere a), b),
d), e) ed f), all'art. 4, commi 2 e 3, all'art. 6, commi 3
e 4, all'art. 7, all'art. 8, e' punita con la sanzione
amministrativa del pagamento di una somma da 50.000 euro a
150.000 euro. La medesima sanzione amministrativa si
applica al trasferimento dei dati personali verso un Paese
terzo o un'organizzazione internazionale in assenza della
decisione di adeguatezza della Commissione europea, salvo
quanto previsto dagli articoli 33 e 34.
2. Salvo che il fatto costituisca reato e ad esclusione
dei trattamenti svolti in ambito giudiziario, e' punita con
la sanzione amministrativa del pagamento di una somma da
20.000 euro a 80.000 euro la violazione delle disposizioni
di cui all'art. 14, comma 2. Con la medesima sanzione e'
punita la violazione delle disposizioni di cui all'art. 17,
comma 2, all'art. 18, commi 1, 2, 3 e 4, all'art. 19,
all'art. 20, all'art. 21, all'art. 22, all'art. 23,
all'art. 24, commi 1 e 4, all'art. 26, all'art. 27,
all'art. 28, commi 1 e 4, all'art. 29, comma 2.
3. Nella determinazione della sanzione amministrativa
da applicare secondo quanto previsto dai commi 1 e 2 si
tiene conto dei criteri di cui all'art. 83, paragrafo 2,
lettere a), b), c), d), e), f), g), h), i), k), del
regolamento UE.
4. Il procedimento per l'applicazione delle sanzioni e'
regolato dall'art. 166 del Codice. Si applica altresi'
l'art. 165 del Codice.»
«Art. 45 (Inosservanza di provvedimenti del Garante). -
1. Chiunque, essendovi tenuto, non osserva il provvedimento
adottato dal Garante ai sensi dell'art. 143, comma 1,
lettera c), del Codice, in un procedimento riguardante il
trattamento dei dati di cui all'art. 1, comma 2, e' punito
con la reclusione da tre mesi a due anni.»
- Gli articoli 142,143,154 e 165 del citato decreto
legislativo 30 giugno 2003, n. 196, cosi' recitano:
«Art. 142 (Proposizione dei reclami). - 1. Il reclamo
contiene un'indicazione per quanto possibile dettagliata
dei fatti e delle circostanze su cui si fonda, delle
disposizioni che si presumono violate e delle misure
richieste, nonche' gli estremi identificativi del titolare,
del responsabile, ove conosciuto, e dell'istante.
2. Il reclamo e' sottoscritto dagli interessati, o da
associazioni che li rappresentano anche ai sensi dell'art.
9, comma 2, ed e' presentato al Garante senza particolari
formalita'. Il reclamo reca in allegato la documentazione
utile ai fini della sua valutazione e l'eventuale procura,
e indica un recapito per l'invio di comunicazioni anche
tramite posta elettronica, telefax o telefono.
3. Il Garante puo' predisporre un modello per il
reclamo da pubblicare nel Bollettino e di cui favorisce la
disponibilita' con strumenti elettronici.»
«Art. 143 (Procedimento per i reclami). - 1. Esaurita
l'istruttoria preliminare, se il reclamo non e'
manifestamente infondato e sussistono i presupposti per
adottare un provvedimento, il Garante, anche prima della
definizione del procedimento:
a) prima di prescrivere le misure di cui alla lettera
b), ovvero il divieto o il blocco ai sensi della lettera
c), puo' invitare il titolare, anche in contraddittorio con
l'interessato, ad effettuare il blocco spontaneamente;
b) prescrive al titolare le misure opportune o
necessarie per rendere il trattamento conforme alle
disposizioni vigenti;
c) dispone il blocco o vieta, in tutto o in parte, il
trattamento che risulta illecito o non corretto anche per
effetto della mancata adozione delle misure necessarie di
cui alla lettera b), oppure quando, in considerazione della
natura dei dati o, comunque, delle modalita' del
trattamento o degli effetti che esso puo' determinare, vi
e' il concreto rischio del verificarsi di un pregiudizio
rilevante per uno o piu' interessati;
d) puo' vietare in tutto o in parte il trattamento di
dati relativi a singoli soggetti o a categorie di soggetti
che si pone in contrasto con rilevanti interessi della
collettivita'.
2. I provvedimenti di cui al comma 1 sono pubblicati
nella Gazzetta Ufficiale della Repubblica italiana se i
relativi destinatari non sono facilmente identificabili per
il numero o per la complessita' degli accertamenti.»
«Art. 154 (Compiti). - 1. Oltre a quanto previsto da
specifiche disposizioni, il Garante, anche avvalendosi
dell'Ufficio e in conformita' al presente codice, ha il
compito di:
a) controllare se i trattamenti sono effettuati nel
rispetto della disciplina applicabile e in conformita' alla
notificazione, anche in caso di loro cessazione e con
riferimento alla conservazione dei dati di traffico;
b) esaminare i reclami e le segnalazioni e provvedere
sui ricorsi presentati dagli interessati o dalle
associazioni che li rappresentano;
c) prescrivere anche d'ufficio ai titolari del
trattamento le misure necessarie o opportune al fine di
rendere il trattamento conforme alle disposizioni vigenti,
ai sensi dell'art. 143;
d) vietare anche d'ufficio, in tutto o in parte, il
trattamento illecito o non corretto dei dati o disporne il
blocco ai sensi dell'art. 143, e di adottare gli altri
provvedimenti previsti dalla disciplina applicabile al
trattamento dei dati personali;
e) promuovere la sottoscrizione di codici ai sensi
dell'art. 12e dell'art. 139;
f) segnalare al Parlamento e al Governo
l'opportunita' di interventi normativi richiesti dalla
necessita' di tutelare i diritti di cui all'art. 2anche a
seguito dell'evoluzione del settore;
g) esprimere pareri nei casi previsti;
h) curare la conoscenza tra il pubblico della
disciplina rilevante in materia di trattamento dei dati
personali e delle relative finalita', nonche' delle misure
di sicurezza dei dati;
i) denunciare i fatti configurabili come reati
perseguibili d'ufficio, dei quali viene a conoscenza
nell'esercizio o a causa delle funzioni;
l) tenere il registro dei trattamenti formato sulla
base delle notificazioni di cui all'art. 37;
m) predisporre annualmente una relazione
2. Il Garante svolge altresi', ai sensi del comma 1, la
funzione di controllo o assistenza in materia di
trattamento dei dati personali prevista da leggi di
ratifica di accordi o convenzioni internazionali o da
regolamenti comunitari e, in particolare:
a) dalla legge 30 settembre 1993, n. 388, e
successive modificazioni, di ratifica ed esecuzione dei
protocolli e degli accordi di adesione all'accordo di
Schengen e alla relativa convenzione di applicazione;
b) dalla legge 23 marzo 1998, n. 93, e successive
modificazioni, di ratifica ed esecuzione della convenzione
istitutiva dell'Ufficio europeo di polizia (Europol);
c) dal regolamento (Ce) n. 515/97del Consiglio, del
13 marzo 1997, e dallalegge 30 luglio 1998, n. 291, e
successive modificazioni, di ratifica ed esecuzione della
convenzione sull'uso dell'informatica nel settore doganale;
d) dal regolamento (Ce) n. 2725/2000del Consiglio,
dell'11 dicembre 2000, che istituisce l'"Eurodac" per il
confronto delle impronte digitali e per l'efficace
e) nel capitolo IV della convenzione n. 108 sulla
protezione delle persone rispetto al trattamento
automatizzato di dati di carattere personale, adottata a
Strasburgo il 28 gennaio 1981 e resa esecutiva conlegge 21
febbraio 1989, n. 98,quale autorita' designata ai fini
della cooperazione tra Stati ai sensi dell'art. 13 della
convenzione medesima.
3. Il Garante coopera con altre autorita'
amministrative indipendenti nello svolgimento dei
rispettivi compiti. A tale fine, il Garante puo' anche
invitare rappresentanti di un'altra autorita' a partecipare
alle proprie riunioni, o essere invitato alle riunioni di
altra autorita', prendendo parte alla discussione di
argomenti di comune interesse; puo' richiedere, altresi',
la collaborazione di personale specializzato addetto ad
altra autorita'.
4. Il Presidente del Consiglio dei ministri e ciascun
ministro consultano il Garante all'atto della
predisposizione delle norme regolamentari e degli atti
amministrativi suscettibili di incidere sulle materie
disciplinate dal presente codice.
5. Fatti salvi i termini piu' brevi previsti per legge,
il parere del Garante e' reso nei casi previsti nel termine
di quarantacinque giorni dal ricevimento della richiesta.
Decorso il termine, l'amministrazione puo' procedere
indipendentemente dall'acquisizione del parere. Quando, per
esigenze istruttorie, non puo' essere rispettato il termine
di cui al presente comma, tale termine puo' essere
interrotto per una sola volta e il parere deve essere reso
definitivamente entro venti giorni dal ricevimento degli
elementi istruttori da parte delle amministrazioni
interessate.
6. Copia dei provvedimenti emessi dall'autorita'
giudiziaria in relazione a quanto previsto dal presente
codice o in materia di criminalita' informatica e'
trasmessa, a cura della cancelleria, al Garante.»
«Art. 165 (Pubblicazione del provvedimento del
Garante). - 1. Nei casi di cui agli articoli del presente
Capo puo' essere applicata la sanzione amministrativa
accessoria della pubblicazione dell'ordinanza-ingiunzione,
per intero o per estratto, in uno o piu' giornali indicati
nel provvedimento che la applica. La pubblicazione ha luogo
a cura e spese del contravventore.»
- Il regolamento (UE) n. 2016/679 e' citato nelle note
alle premesse.