Gazzetta n. 106 del 8 maggio 2019 (vai al sommario)
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
DELIBERA 4 aprile 2019
Regolamento n. 1/2019. Procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante per la protezione dei dati personali, nonche' all'adozione dei provvedimenti correttivi e sanzionatori. (Delibera n. 98).


IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva n. 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito «RGPD»), con particolare riferimento agli articoli 40, 57, 58 e 83;
Visto il codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva n. 95/46/CE (decreto legislativo 30 giugno 2003, n. 196, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito denominato «codice»), con particolare riferimento all'art. 156, comma 3, lettera a), ai sensi del quale il Garante per la protezione dei dati personali (di seguito «Garante» o anche «Autorita'»), con propri regolamenti pubblicati nella Gazzetta Ufficiale della Repubblica italiana, definisce l'organizzazione e il funzionamento dell'ufficio, anche ai fini dello svolgimento dei compiti e all'esercizio dei poteri ad esso assegnati dagli articoli da 140-bis a 144, 154, 154-bis, 157, 158, 160, del medesimo codice;
Rilevato che il codice disciplina diversi istituti relativi alla tutela degli interessati nelle procedure dinanzi al Garante, in particolare per quanto riguarda la presentazione di reclami e segnalazioni;
Considerato che, in base all'art. 154, comma 3, del codice, per quanto non previsto dal RGPD e dal codice medesimo, il Garante disciplina «con proprio regolamento, ai sensi dell'art. 156, comma 3, le modalita' specifiche dei procedimenti relative allo svolgimento dei compiti e all'esercizio dei poteri ad esso attribuiti dal regolamento»;
Considerato che ai sensi dell'art. 142, comma 5, del codice, il Garante disciplina «con proprio regolamento il procedimento relativo all'esame dei reclami, nonche' modalita' semplificate e termini abbreviati per la trattazione di reclami che abbiano ad oggetto la violazione degli articoli da 15 a 22» del RGPD;
Rilevato altresi' che ai sensi dell'art. 166, comma 9, del codice, «con proprio regolamento pubblicato nella Gazzetta Ufficiale della Repubblica italiana, il Garante definisce le modalita' del procedimento per l'adozione dei provvedimenti e delle sanzioni di cui al comma 3 ed i relativi termini, in conformita' ai principi della piena conoscenza degli atti istruttori, del contraddittorio, della verbalizzazione, nonche' della distinzione tra funzioni istruttorie e funzioni decisorie rispetto all'irrogazione della sanzione»;
Visto il decreto legislativo 18 maggio 2018, n. 51, recante «Attuazione della direttiva (UE) n. 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorita' competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonche' alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio», con particolare riferimento agli articoli 13, comma 1, 37, 39, 40 e 42, comma 4;
Rilevato che ulteriori disposizioni di legge regolano altri profili relativi ai procedimenti dinanzi al Garante, in particolare per quanto riguarda gli accertamenti inerenti ai trattamenti effettuati da forze di polizia (articoli 175 e 57 del codice come richiamato dall'art. 49, comma 2, decreto legislativo 18 maggio 2018, n. 51) ovvero in ambito giudiziario (art. 2-duodecies del codice) o di difesa e sicurezza dello Stato (articoli 58 e 160 del codice), come pure in relazione alla disciplina generale sul procedimento amministrativo (legge 7 agosto 1990, n. 241 e successive modificazioni), alla disciplina in materia di accesso civico, obblighi di pubblicita', trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni (decreto legislativo 14 marzo 2013, n. 33 e successive modificazioni), a quella relativa all'applicazione di sanzioni amministrative, con riferimento agli articoli da 1 a 9, da 18 a 22 e da 24 a 28 della legge 24 novembre 1981, n. 689 (art. 166, comma 7, del codice), nonche' in materia di tutela dei minori dal fenomeno del cyberbullismo (legge 29 maggio 2017, n. 71);
Considerato che fra i compiti del Garante figurano, tra gli altri, quelli di assicurare la tutela dei diritti e delle liberta' fondamentali degli individui previsti dal RGPD, dal codice e dal menzionato decreto legislativo n. 51/2018, nonche' delle ulteriori norme vigenti, di controllare se i trattamenti di dati personali sono effettuati nel rispetto della disciplina applicabile, di trattare i reclami ed esaminare le segnalazioni, nonche' di esercitare i poteri d'indagine, correttivi, sanzionatori, autorizzativi e consultivi previsti dalla disciplina applicabile al trattamento dei dati personali;
Visto il regolamento del Garante n. 1/2000 sull'organizzazione e il funzionamento dell'ufficio del Garante (deliberazione 28 giugno 2000, n. 15, e successive modifiche) e, in particolare, il capo III, relativo ai principi di trasparenza, partecipazione e contraddittorio cui si ispira l'attivita' dell'ufficio, all'assegnazione degli affari ai relativi dipartimenti e servizi, all'individuazione del responsabile del procedimento e alle funzioni del relatore quando si provvede con deliberazione del Garante;
Rilevata la necessita', in ragione della modificata cornice normativa in materia di protezione dei dati personali, di aggiornare il regolamento n. 1/2007 sullo svolgimento dei compiti e sull'esercizio dei poteri rimessi al Garante, con proprio atto di natura regolamentare da adottare in base alle menzionate disposizioni di cui agli articoli 142, comma 5, 154, comma 3, e 166, comma 9, del codice;
Rilevata l'esigenza, in tale contesto, di specificare e rendere note le procedure interne finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante aventi rilevanza esterna, in particolare quelle funzionali alla tutela degli interessati, avviate d'ufficio o su loro istanza, all'esame di comunicazioni e richieste inoltrate dai titolari del trattamento, quelle relative all'adozione di provvedimenti correttivi e sanzionatori da parte del Garante, al rilascio di pareri nei casi previsti, alla valutazione preliminare delle regole deontologiche, all'elaborazione dei codici di condotta;
Visti gli atti d'ufficio;
Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15, comma 1 del predetto regolamento n. 1/2000;
Relatore la prof.ssa Licia Califano;

Delibera:

di adottare il regolamento n. 1/2019, concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante per la protezione dei dati personali, in particolare per quanto concerne l'adozione dei provvedimenti correttivi di cui all'art. 58, paragrafo 2, del RGPD, e delle sanzioni di cui agli articoli 83 del medesimo regolamento e 166, commi 1 e 2, del codice. Il regolamento e' riportato in allegato alla presente deliberazione, della quale costituisce parte integrante, e ne dispone la pubblicazione nella Gazzetta Ufficiale della Repubblica italiana, ai sensi degli articoli 142, comma 5, 154, commi 1, lettera b) e 3, 156, comma 3, lettera a), e 166, comma 9, del codice.

Roma, 4 aprile 2019

Il Presidente: Soro

Il relatore: Califano

Il segretario generale: Busia

 
Allegato

REGOLAMENTO CONCERNENTE LE PROCEDURE INTERNE AVENTI RILEVANZA ESTERNA, FINALIZZATE ALLO SVOLGIMENTO DEI COMPITI E ALL'ESERCIZIO DEI POTERI DEMANDATI AL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI, NONCHE' ALL'ADOZIONE DEI PROVVEDIMENTI CORRETTIVI E SANZIONATORI (ART. 142, COMMA 5, ART. 154, COMMA 1, LETTERA B), E COMMA 3, ART. 156, COMMA 3, LETTERA A), E ART. 166, COMMA 9, DECRETO LEGISLATIVO 30 GIUGNO 2003, N. 196, COME MODIFICATO DAL DECRETO LEGISLATIVO 10 AGOSTO 2018, N. 101).
Art. 1.

Definizioni

1. Ai fini del presente regolamento si applicano le definizioni contenute nell'art. 4 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva n. 95/46/CE (Regolamento generale sulla protezione dei dati) (di seguito denominato «RGPD»), e nell'art. 2-ter, comma 4, nell'art. 121, comma 1-bis, e nell'art. 153 del codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva n. 95/46/CE (decreto legislativo 30 giugno 2003, n. 196, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito denominato «Codice»), nonche' le definizioni contenute nell'art. 2 del decreto legislativo 18 maggio 2018, n. 51, recante attuazione della direttiva (UE) n. 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorita' competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonche' alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio.
 

Art. 2.

Oggetto del regolamento

1. Il presente regolamento disciplina, ai sensi dell'art. 142, comma 5, dell'art. 154, comma 1, lettera b), e comma 3, e dell'art. 156, comma 3, lettera a), del codice, le procedure interne all'Autorita' aventi rilevanza esterna, avviate su istanza di parte o d'ufficio e finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante.
2. Il presente regolamento disciplina altresi', ai sensi dell'art. 166, comma 9, del codice, il procedimento con il quale il Garante adotta i provvedimenti correttivi di cui all'art. 58, paragrafo 2, del RGPD, ed irroga le sanzioni di cui all'art. 83 del medesimo regolamento, nel rispetto dei principi della piena conoscenza degli atti istruttori, del contraddittorio, della verbalizzazione nonche' della distinzione tra funzioni istruttorie e funzioni decisorie rispetto all'irrogazione delle sanzioni.
 

Art. 3.

Principi generali

1. Nell'esercizio dei compiti e dei poteri demandati al Garante dalla normativa vigente e dalla disciplina comunque rilevante in materia di trattamento dei dati personali, in particolare per quanto riguarda il controllo sulla liceita' e correttezza dei trattamenti, il Garante ispira la propria azione a principi di trasparenza, ragionevolezza, proporzionalita' e non discriminazione, realizzando l'interesse pubblico connesso a ciascuna attivita' secondo criteri di buona amministrazione, economicita', adeguatezza e imparzialita', valorizzando l'utilizzo di tecniche informatiche e della telematica. A tal fine, si tiene conto anche della natura e della gravita' degli illeciti da accertare in rapporto ai relativi effetti e all'entita' del pregiudizio che essi possono comportare per uno o piu' interessati, della probabilita' di comprovarne la sussistenza, nonche' delle risorse disponibili.
 

Art. 4.

Programmazione

1. Il Garante, in applicazione dei principi e dei criteri di cui all'art. 3, e ai sensi dell'art. 2, comma 1, lettere a) e c), del regolamento del Garante n. 1/2000, determina e aggiorna periodicamente con cadenza almeno semestrale:
a) la programmazione dei lavori del Collegio;
b) le linee di priorita' nella trattazione degli affari da parte dell'ufficio;
c) la programmazione delle attivita' ispettive.
2. Al fine di determinare la priorita' nella trattazione degli affari sottoposti all'attenzione del Garante, tenuto conto delle risorse disponibili in relazione al carico di lavoro delle singole unita' organizzative, sono tenute in considerazione le linee di priorita' di cui alla lettera b) del comma 1 del presente articolo, nonche' la natura e la gravita' delle violazioni, la rilevanza del pregiudizio e il numero dei possibili interessati.
3. Nei casi in cui la condotta e' particolarmente risalente nel tempo o ha esaurito i suoi effetti oppure tali effetti sono stati rimossi o sono state fornite idonee assicurazioni da parte del titolare del trattamento, di cui all'art. 14, comma 5, del presente regolamento, il Collegio, con propria deliberazione da pubblicarsi nella Gazzetta Ufficiale della Repubblica italiana, puo' delegare il segretario generale ovvero il dirigente del dipartimento, servizio o altra unita' organizzativa competente ad adottare il provvedimento correttivo di cui all'art. 58, paragrafo 2, lettera b), del RGPD.
 

Art. 5.

Qualificazione e trattazione degli affari

1. Il segretario generale assegna gli affari al dipartimento, servizio o altra unita' organizzativa competente ai sensi dell'art. 14 del regolamento del Garante n. 1/2000.
2. Il dirigente del dipartimento, servizio o altra unita' organizzativa segnala al segretario generale, anche ai fini di una diversa qualificazione dell'affare, l'opportunita' di una sua riassegnazione ad un diverso dipartimento, servizio o unita' organizzativa.
3. Le assegnazioni e la qualificazione attribuita agli affari sono annotate e aggiornate costantemente nel sistema informativo del Garante.
4. Il dipartimento, servizio o altra unita' organizzativa tratta l'affare assegnato nel rispetto di quanto previsto dalla normativa vigente, dal presente regolamento e da altri regolamenti approvati dal Garante.
 

Art. 6.

Eventuale avvio del procedimento e relativo responsabile

1. Il dipartimento, servizio o altra unita' organizzativa avvia un procedimento nei casi in cui, d'ufficio o sulla base di un'istanza, cio' e' necessario ai sensi della normativa vigente, e cura la predisposizione degli atti, delle comunicazioni e degli altri adempimenti previsti nel medesimo procedimento.
2. Il responsabile del procedimento avviato ai sensi del comma 1 e' il dirigente o funzionario preposto all'unita' organizzativa cui e' assegnato l'affare, il quale cura gli atti, le comunicazioni e gli altri adempimenti di cui al comma 1 anche ai sensi dell'art. 14, comma 3, del regolamento del Garante n. 1/2000.
 

Art. 7.

Trattazione degli affari e procedimento

1. Per esigenze di certezza e celerita' nella trattazione degli affari, le comunicazioni al Garante inerenti gli stessi sono effettuate preferibilmente tramite i servizi on-line resi disponibili sul sito web o tramite posta elettronica certificata (PEC). Ove possibile, le comunicazioni sono effettuate dal dipartimento, servizio o altra unita' organizzativa tenendo conto delle indicazioni fornite dagli interessati ai fini delle notificazioni e comunicazioni con il Garante, ovvero, nei casi e nelle forme previsti dalle disposizioni vigenti, presso la casella di posta elettronica certificata (PEC) risultante da pubblici elenchi o comunque accessibili alle pubbliche amministrazioni.
2. In caso di trattazione di affari, anche relativi a trattamenti transfrontalieri di dati personali che, a qualsiasi titolo, richiedono, in base alla disciplina vigente, la cooperazione del Garante con altre autorita' di controllo, il dipartimento, servizio o altra unita' organizzativa cura lo scambio di tutte le informazioni utili, anche osservando le modalita' procedurali eventualmente stabilite in proposito dal Comitato europeo per la protezione dei dati.
3. In caso di affare riguardante persone giuridiche, enti, associazioni o altri organismi la documentazione, anche difensiva, e' presentata a firma del legale rappresentante o da altro soggetto munito dei poteri di rappresentanza. In caso di affare riguardante persone fisiche, la documentazione, anche difensiva, e' presentata anche per il tramite di altra persona da questi espressamente delegata ovvero, su mandato di questi, da un ente del terzo settore soggetto alla disciplina del decreto legislativo 3 luglio 2017, n. 117, che sia attivo nel settore della tutela dei diritti e delle liberta' degli interessati, con riguardo alla protezione dei dati personali.
4. Nella trattazione degli affari avanti al Garante le parti possono essere assistite da un procuratore o da altra persona di fiducia.
5. Ferma restando la garanzia del diritto di difesa, l'attivita' difensiva innanzi al Garante si svolge nel rispetto del principio della leale collaborazione delle parti con il medesimo. In tale prospettiva, tenuto conto dell'esigenza di assicurare l'economicita' dell'azione amministrativa, le deduzioni devono essere svolte, anche al fine di favorire la migliore comprensione delle argomentazioni difensive, in modo essenziale. In caso di trasmissione cartacea, a richiesta dell'Ufficio, i documenti difensivi vanno trasmessi in formato digitale, se del caso su supporto informatico unitamente all'attestazione di conformita' delle informazioni cosi' trasmesse all'originale utilizzando il modello predisposto dal Garante e messo a disposizione sul sito web. La produzione di documentazione inutilmente sovrabbondante, inconferente o ingiustificatamente dilatoria puo' costituire elemento di valutazione negativa del grado di cooperazione con il Garante.
6. In relazione all'accesso ai documenti amministrativi si applicano le disposizioni previste dal regolamento del Garante n. 1/2006.
7. Il dipartimento, servizio o altra unita' organizzativa competente cura, ove richiesto dalla normativa vigente o ritenuto comunque opportuno, gli adempimenti connessi alla consultazione pubblica degli schemi di provvedimento.
 
Art. 8.

Reclami

1. Sono qualificabili come reclami gli atti che indicano specificatamente, anche sulla base del modello appositamente predisposto dal Garante, gli elementi previsti dall'art. 142 del codice.
2. Ove il reclamo sia irregolare o incompleto, ne e' data comunicazione all'istante, con l'indicazione delle cause della irregolarita' o incompletezza nonche' del termine, di regola non superiore a quindici giorni, entro cui provvedere alla relativa regolarizzazione.
3. Il reclamo non tempestivamente regolarizzato e' archiviato e puo' essere esaminato a titolo di segnalazione.
 

Art. 9.

Trattazione del reclamo

1. L'esame del reclamo, nel corso dell'istruttoria preliminare e del successivo procedimento amministrativo eventualmente avviato, e' orientato a criteri di semplicita' delle forme osservate, di celerita' ed economicita', anche in riferimento al contraddittorio. Resta fermo quanto stabilito all'art. 15 in relazione alla trattazione dei reclami aventi ad oggetto la violazione degli articoli da 15 a 22 del RGPD.
2. Salvo quanto previsto dall'art. 57, paragrafo 4, del RGPD, e dall'art. 156, comma 8, del codice, il dipartimento, servizio o altra unita' organizzativa al quale il reclamo e' assegnato cura l'istruttoria senza richiedere alcun contributo spese.
3. Il responsabile del procedimento procede, in riferimento alle formalita' da osservare, nel rispetto delle disposizioni di cui alla legge 7 agosto 1990, n. 241, e successive modificazioni, con particolare riguardo agli avvisi alle parti, alle comunicazioni interlocutorie previste e al diritto di visione degli atti.
 

Art. 10.

Istruttoria preliminare

1. Il reclamo regolarmente presentato non comporta la necessaria adozione di un provvedimento del Collegio ai sensi dell'art. 143, comma 1, del codice.
2. Il dipartimento, servizio o altra unita' organizzativa cui il reclamo e' assegnato avvia un'istruttoria preliminare e, fermo restando quanto previsto dall'art. 8, commi 1 e 2, del presente articolo informa l'istante dello stato o dell'esito del reclamo entro tre mesi dalla data della sua ricezione o della sua regolarizzazione.
3. Il dipartimento, servizio o altra unita' organizzativa verifica se sussistono idonei elementi in ordine alle presunte violazioni e alle misure richieste dall'istante. A tal fine, il dipartimento, servizio o altra unita' organizzativa esamina la documentazione pervenuta e puo' curare l'acquisizione di precisazioni e informazioni in ordine ai fatti e alle circostanze cui si riferisce il reclamo, anche sentendo personalmente o a mezzo di procuratore il titolare o il responsabile del trattamento, mediante richiesta di informazioni o di esibizione di documenti ai sensi dell'art. 157 del codice sottoscritta dal dirigente competente, nonche' procedendo ai sensi dell'art. 22. In tale contesto il dipartimento, servizio o unita' organizzativa puo' invitare il titolare o il responsabile ad eseguire spontaneamente le misure richieste con il reclamo e a comunicare all'Ufficio, entro il termine da quest'ultimo richiesto, la propria eventuale adesione.
4. Al fine di promuovere l'esame organico di questioni, anche pervenute in tempi diversi, che possono rendere opportuna l'adozione di un eventuale provvedimento di carattere generale, l'istruttoria preliminare puo' essere svolta contestualmente in relazione a piu' reclami aventi il medesimo oggetto o che riguardano il medesimo titolare o responsabile del trattamento, oppure trattamenti di dati tra loro correlati. L'eventuale riunione o separazione di procedimenti e' disposta dal dirigente del dipartimento, servizio o unita' organizzativa competente. Per i procedimenti di pertinenza di piu' unita' organizzative la riunione o separazione e' disposta dal segretario generale.
 

Art. 11.

Chiusura dell'istruttoria preliminare

1. Al termine dell'istruttoria preliminare, il dipartimento, servizio o altra unita' organizzativa competente puo' concludere l'esame del reclamo archiviandolo, quando:
a) la questione prospettata con il reclamo non risulta riconducibile alla protezione dei dati personali o ai compiti demandati al Garante;
b) non sono ravvisati, allo stato degli atti, gli estremi di una violazione della disciplina rilevante in materia di protezione dei dati personali;
c) si tratta di una richiesta eccessiva, in particolare per il carattere pretestuoso o ripetitivo anche ai sensi dell'art. 57, paragrafo 4, del RGPD;
d) la questione prospettata con il reclamo e' stata gia' esaminata dall'Autorita', in particolare con un provvedimento collegiale di carattere generale, o puo' essere esaminata richiamando provvedimenti o questioni gia' affrontate dal Garante ovvero esprimendo un prudente avviso su questioni che non presentano particolare rilevanza sul piano generale.
2. Nei casi di cui al comma 1 del presente articolo e' fornito all'istante un riscontro indicando succintamente le ragioni per le quali, ai sensi del medesimo comma, non e' promossa l'adozione di un provvedimento del Collegio.
3. Delle determinazioni di cui al comma 1 e' informato il Collegio nei modi di cui all'art. 36 del presente regolamento.
 

Art. 12.

Avvio del procedimento per l'adozione
dei provvedimenti correttivi e sanzionatori

1. Quando l'esame del reclamo non si conclude ai sensi dell'art. 11, comma 1, il dipartimento, servizio o altra unita' organizzativa avvia, con propria comunicazione al titolare e, se del caso, al responsabile del trattamento, il procedimento per l'adozione dei provvedimenti di cui agli articoli 58, paragrafo 2, e 83 del RGPD.
2. Nel rispetto dell'art. 166, comma 5, del codice, la comunicazione di cui al comma 1 contiene:
a) una sintetica descrizione dei fatti e delle presunte violazioni della disciplina rilevante in materia di protezione dei dati personali nonche' delle relative disposizioni sanzionatorie;
b) l'indicazione dell'unita' organizzativa competente presso la quale puo' essere presa visione ed estratta copia degli atti istruttori;
c) l'indicazione che entro trenta giorni dal ricevimento della comunicazione e' possibile inviare al Garante scritti difensivi o documenti e chiedere di essere sentito dalla medesima Autorita'.
3. Ove ne ricorrano i presupposti, la comunicazione di cui ai commi 1 e 2 del presente articolo puo' essere resa direttamente al titolare e, se del caso, al responsabile del trattamento, qualora tali soggetti vengano sentiti dal dipartimento, servizio o altra unita' organizzativa in fase di istruttoria preliminare, ai sensi dell'art. 10, comma 3, del presente regolamento.
4. Ai sensi dell'art. 166, comma 5, del codice, i commi precedenti non trovano applicazione ove la suddetta comunicazione risulti incompatibile con la natura e le finalita' del provvedimento da adottare.
 

Art. 13.

Diritto di difesa

1. Il destinatario della comunicazione di cui all'art. 12 puo' esercitare il diritto di difesa mediante la presentazione di deduzioni scritte e documenti, nonche', ove richiesta, con l'audizione personale in merito ai fatti oggetto di comunicazione.
2. Entro trenta giorni dalla data di notifica della predetta comunicazione le deduzioni scritte e i documenti sono inviati all'unita' organizzativa competente.
3. Il destinatario della comunicazione puo' richiedere, con specifica istanza debitamente motivata, una breve proroga. La proroga, di norma non superiore a quindici giorni, puo' essere concessa secondo criteri di proporzionalita' anche in relazione alle caratteristiche operativo/dimensionali dei destinatari stessi e alla complessita' della vicenda presa in esame. Il dipartimento, servizio o altra unita' organizzativa competente comunica l'accoglimento o il rigetto della richiesta di proroga.
4. Ove sia altresi' richiesta un'audizione, con istanza specifica anche allegata alle memorie difensive indirizzate al dipartimento, servizio o altra unita' organizzativa competente, la medesima ha luogo presso la sede del Garante nella data fissata dall'ufficio. Dell'audizione e' redatto un sintetico verbale a cura dell'ufficio. L'eventuale rinuncia all'audizione deve essere comunicata tempestivamente al dipartimento, servizio o altra unita' organizzativa competente in relazione all'istruttoria. In sede di audizione i richiedenti svolgono le proprie controdeduzioni, evitando duplicazioni o meri rinvii a quanto gia' rappresentato negli scritti difensivi. L'audizione delle persone fisiche destinatarie della comunicazione di cui all'art. 12, comma 2, ha carattere strettamente personale; e' consentita la partecipazione con l'assistenza di un avvocato o di altro consulente.
5. La mancata presentazione di controdeduzioni scritte o della richiesta di audizione non pregiudica il seguito del procedimento.
 

Art. 14.

Decisione del reclamo

1. Valutata la documentazione in atti, l'esame del reclamo e' concluso nei modi di cui all'art. 11, comma 1, quando nuovi elementi sopravvenuti nel corso del procedimento evidenziano l'infondatezza o l'insussistenza dei presupposti per adottare un provvedimento.
2. Fuori dei casi di cui al comma 1, il dipartimento, servizio o altra unita' organizzativa competente cura la predisposizione dello schema di provvedimento del Collegio e lo sottopone al segretario generale, trasmettendolo nei modi di cui all'art. 15 del regolamento del Garante n. 1/2000.
3. Il Collegio provvede con propria deliberazione e adotta, ove necessario, i provvedimenti correttivi e sanzionatori di cui all'art. 58, paragrafo 2, del RGPD. Il Collegio provvede con propria deliberazione anche quando rileva l'infondatezza del reclamo.
4. Il provvedimento e' notificato alle parti a cura del dipartimento, servizio o altra unita' organizzativa che ne ha curato l'istruttoria.
5. Quando la condotta e' particolarmente risalente nel tempo o ha esaurito i suoi effetti oppure tali effetti sono stati rimossi o sono state fornite idonee assicurazioni da parte del titolare o del responsabile del trattamento, il dipartimento, servizio o altra unita' organizzativa competente informa l'istante, ai sensi dell'art. 77, paragrafo 2, del RGPD, ferma restando l'applicazione dei commi 2, 3 e 4 del presente articolo ove ne ricorrano i presupposti.
 

Art. 15.

Reclami aventi ad oggetto la violazione
degli articoli da 15 a 22 del RGPD

1. In relazione ai reclami che abbiano ad oggetto, in via esclusiva, la violazione degli articoli da 15 a 22 del RGPD per i quali l'istante abbia gia' esercitato, in relazione al medesimo oggetto, i diritti riconosciuti da tali disposizioni nei confronti del titolare del trattamento senza ottenere un idoneo riscontro nei termini di cui all'art. 12, paragrafo 3, del RGPD, salvi i casi di inammissibilita' o manifesta infondatezza, entro quarantacinque giorni dalla data della sua ricezione, il reclamo e' comunicato al titolare, con invito ad esercitare entro venti giorni dal suo ricevimento la facolta' di comunicare all'istante e all'Ufficio la propria eventuale adesione spontanea.
2. Il reclamo reca in allegato copia della richiesta rivolta al titolare del trattamento e dell'eventuale riscontro ricevuto.
3. Qualora l'istante non abbia preventivamente esercitato i diritti di cui agli articoli da 15 a 22 del RGPD con istanza rivolta al titolare del trattamento, se dal reclamo non emergano specifiche e fondate ragioni che ne giustifichino la mancata effettuazione, il dipartimento, servizio o altra unita' organizzativa ai quali il reclamo e' assegnato invita, entro quarantacinque giorni dalla data della ricezione del reclamo, l'istante a rivolgersi al titolare del trattamento.
4. In caso di adesione spontanea da parte del titolare ai sensi del comma 1, il dipartimento, servizio o altra unita' organizzativa competente informa l'istante, ai sensi dell'art. 77, paragrafo 2, del RGPD, e comunica al titolare o al responsabile del trattamento l'avvio del procedimento per l'adozione dei provvedimenti di cui agli articoli 58, paragrafo 2, e 83 del RGPD, ai sensi dell'art. 166, comma 5, del codice e nei termini di cui all'art. 12 del presente regolamento.
 

Art. 16.

Ordinanza ingiunzione

1. Ai sensi dell'art. 58, paragrafo 2, lettera i), e dell'art. 83 del RGPD nonche' dell'art. 166 del codice, il Collegio adotta l'ordinanza ingiunzione, con la quale dispone altresi' in ordine all'applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell'art. 166, comma 7, del codice.
2. L'ordinanza ingiunzione o l'atto di archiviazione sono notificati ai destinatari degli stessi a cura del dipartimento, servizio o altra unita' organizzativa che ne ha curato l'istruttoria.
3. Quando ne ricorrono le condizioni, il provvedimento e' altresi' trasmesso, a cura del dipartimento, servizio o altra unita' organizzativa che ha curato il procedimento sanzionatorio, al dipartimento, servizio o altra unita' organizzativa competente in materia di amministrazione e contabilita' per l'iscrizione a ruolo dei relativi importi.
4. Resta salva l'applicazione dell'art. 28 della legge 24 novembre 1981, n. 689.
 

Art. 17.
Registro interno delle violazioni e delle misure correttive adottate

1. La decisione sul reclamo ai sensi degli articoli 14 e 15 nonche' l'ordinanza ingiunzione ai sensi dell'art. 16 dispongono altresi', ricorrendone i presupposti, l'annotazione nel registro interno dell'Autorita' previsto dall'art. 57, paragrafo 1, lettera u), del RGPD, delle violazioni e delle misure adottate in conformita' all'art. 58, paragrafo 2, del RGPD.
2. La conseguente annotazione nel predetto registro interno e' curata dal dipartimento, servizio o altra unita' organizzativa competente.
 

Art. 18.

Procedimenti relativi a trattamenti transfrontalieri

1. In relazione alla trattazione di affari oggetto di procedure avviate ai sensi dell'art. 60 del RGPD, il dipartimento, servizio o altra unita' organizzativa competente, curati gli adempimenti previsti ai paragrafi da 1 a 3 della medesima disposizione, trasmette al Collegio lo schema di progetto di decisione ovvero lo schema delle eventuali obiezioni pertinenti e motivate ad un progetto di decisione predisposto da altra autorita' di controllo di cui, rispettivamente, ai paragrafi 3 e 5 del medesimo art. 60.
2. Il dipartimento, servizio o altra unita' organizzativa competente procede secondo le modalita' indicate al comma 1 del presente articolo anche in relazione allo schema di ordinanza ingiunzione.
3. Il Collegio provvede con propria deliberazione:
a) ad approvare le obiezioni pertinenti e motivate ad un progetto di decisione predisposta da un'altra autorita' capofila;
b) ad adottare il progetto di decisione di cui all'art. 60, paragrafi 3 e 5, del RGPD; ovvero
c) ricorrendo i presupposti di cui all'art. 60, paragrafo 4, a sottoporre la questione al meccanismo di coerenza di cui all'art. 63 del RGPD.
4. Quando il Garante e' autorita' capofila, acquisiti i pareri conformi delle altre autorita' di controllo interessate, il procedimento si conclude, nel rispetto dell'art. 60, paragrafi 7 o 9, del RGPD, con provvedimento di cui agli articoli 14, 15 e 16 del presente regolamento.
5. Quando il Garante e' autorita' interessata in quanto destinataria di un reclamo, il procedimento si conclude, nel rispetto dell'art. 60, paragrafi 8 o 9, del RGPD, con provvedimento di cui agli articoli 14, 15 e 16 del presente regolamento.
 

Art. 19.

Esame delle segnalazioni

1. Sono qualificabili come segnalazioni gli atti, diversi dalle richieste di parere e dai quesiti, che non presentano le caratteristiche del reclamo e sono volti a sollecitare un controllo da parte del Garante sulla disciplina rilevante in materia di trattamento dei dati personali.
2. La segnalazione e' presentata da un soggetto identificato. L'Autorita' puo' utilizzare le notizie indicate in eventuali segnalazioni che provengono da un soggetto non identificato, qualora ritenga di dover avviare controlli su casi nei quali ravvisa il rischio di seri pregiudizi o di ritorsioni ai danni di soggetti interessati dal trattamento, oppure ricorre comunque un caso di particolare gravita'.
3. La segnalazione puo' essere esaminata dall'Autorita', ma non comporta la necessaria adozione di un provvedimento.
4. Nei casi in cui fatti di possibile rilievo per la disciplina in materia di protezione dei dati personali siano stati riscontrati nell'ambito di verifiche condotte da altre Autorita', la segnalazione puo' essere esaminata ai fini dell'eventuale accertamento della sussistenza di una violazione. Ove necessario, sono acquisiti ulteriori elementi.
5. Il dipartimento, servizio o altra unita' organizzativa competente puo', anche tenuto conto di quanto previsto dall'art. 3 del presente regolamento, concludere l'esame della segnalazione disponendone l'archiviazione quando ricorre uno dei presupposti di cui all'art. 11, comma 1, oppure in caso di segnalazioni del tutto generiche. Si considerano tali le segnalazioni che si limitano a imputare a un soggetto fatti privi di elementi circostanziati o che non contengono elementi tali da consentire un'agevole individuazione del titolare del trattamento.
6. E' fatta salva l'attivita' di controllo, anche con riferimento a segnalazioni gia' oggetto di archiviazione ai sensi dei commi precedenti, in caso di sopravvenuti elementi di fatto o di diritto ovvero di diversa ed ulteriore valutazione del Garante.
7. Delle determinazioni di cui al comma 5 e' informato il Collegio nei modi di cui all'art. 36.
 

Art. 20.

Istruttoria preliminare ed eventuale procedimento amministrativo

1. Fermi restando i casi in cui la segnalazione e' archiviata ai sensi dell'art. 19, comma 5, il dipartimento, servizio o altra unita' organizzativa puo' avviare un'istruttoria preliminare.
2. Nel corso dell'eventuale procedimento amministrativo si osservano le disposizioni per i reclami di cui agli articoli da 9 a 18, anche per quanto riguarda l'informativa al Collegio ai sensi dell'art. 36, e al segnalante puo' essere fornito un riscontro.
 

Art. 21.

Controlli e provvedimenti adottati senza istanza di parte

1. Nell'esercizio dei compiti di controllo o comunque esercitabili dal Garante, valutati gli elementi in suo possesso e anche in assenza di reclamo, segnalazione o notificazione di violazione dei dati personali, l'Autorita' puo' avviare d'ufficio un'istruttoria preliminare per verificare la sussistenza di idonei elementi in ordine a possibili violazioni della disciplina rilevante in materia di protezione dei dati personali.
2. Nel corso dell'eventuale procedimento si osservano, in quanto applicabili, le disposizioni per i reclami di cui agli articoli da 9 a 18, anche per quanto riguarda l'informativa al Collegio ai sensi dell'art. 36.
 

Art. 22.
Attivita' ispettive e di revisione sulla protezione dei dati
personali

1. Il dipartimento, servizio o altra unita' organizzativa competente in materia di attivita' ispettive e di revisione cura lo svolgimento dell'attivita' ispettiva effettuata ai sensi degli articoli 157 e 158 del codice nonche' ai sensi dell'art. 58, paragrafo 1, e dell'art. 62 del RGPD, tenuto anche conto della programmazione dell'attivita' ispettiva disposta dal Collegio ai sensi dell'art. 4, comma 1, lettera c), del presente regolamento, sulla base di un ordine di servizio sottoscritto dal dirigente del medesimo dipartimento. Effettuati gli accertamenti relativi agli elementi idonei in ordine alle presunte violazioni, il dipartimento, servizio o altra unita' organizzativa inoltra gli atti al segretario generale per l'assegnazione alla competente unita' organizzativa ai sensi dell'art. 14 del regolamento del Garante n. 1/2000, per il seguito di trattazione.
2. Valutata la sussistenza di eventi di particolare rilevanza, il Collegio puo' disporre ulteriori attivita' ispettive, da svolgersi secondo le modalita' di cui al comma 1 del presente regolamento.
3. Il dipartimento servizio o altra unita' organizzativa competente in materia di attivita' ispettive e di revisione cura altresi' i controlli di cui al comma 1 nell'ambito delle istruttorie preliminari e dei procedimenti amministrativi comunque avviati presso altre unita' organizzative dell'Autorita', alle quali e' restituito l'esito per la successiva trattazione.
4. L'attivita' ispettiva effettuata ai sensi degli articoli 157 e 158 del codice puo' essere curata dal dipartimento servizio o altra unita' organizzativa competente in materia di attivita' ispettive e di revisione ovvero delegata alla Guardia di finanza. La stessa puo' essere altresi' effettuata avvalendosi, ove necessario, della collaborazione di altri organi dello Stato.
5. L'ordine di servizio con cui e' disposta l'attivita' ispettiva individua il titolare o il responsabile del trattamento destinatari del controllo, i poteri di indagine utilizzati, l'ambito del controllo, il luogo ove si svolge l'accertamento, il responsabile delle attivita' e gli ulteriori partecipanti, designati d'intesa con i dirigenti dei dipartimenti, servizi o altre unita' organizzative; l'ordine di servizio indica altresi' le sanzioni previste ai sensi dell'art. 83, paragrafo 5, lettera e), del RGPD e degli articoli 166 e 168 del codice.
6. Nel corso dell'attivita' ispettiva, della quale puo' essere dato preavviso, e' possibile, in particolare:
a) controllare, estrarre ed acquisire copia dei documenti, anche in formato elettronico;
b) richiedere informazioni e spiegazioni;
c) accedere alle banche dati ed agli archivi;
d) acquisire copia delle banche dati e degli archivi su supporto informatico.
7. Durante l'attivita' ispettiva il soggetto sottoposto ad ispezione puo' farsi assistere da consulenti di propria fiducia e fare riserva di produrre la documentazione non immediatamente reperibile entro un termine congruo, di regola non superiore a trenta giorni; in casi eccezionali, puo' essere richiesto un differimento di tale termine.
8. Le attivita' di revisione sulla protezione dei dati personali sono avviate ai sensi dell'art. 58, paragrafo 1, lettera b), del RGPD, presso il titolare o il responsabile del trattamento ovvero presso la sede dell'Autorita'. In tale ultimo caso, l'attivita' si svolge a seguito di convocazione del titolare o del responsabile presso il dipartimento, servizio o altra unita' organizzativa competente in materia di attivita' ispettive e di revisione. Nell'ambito delle attivita' di revisione, qualora emergano elementi di criticita' nel trattamento dei dati personali, possono essere avviate attivita' ispettive al fine di rilevare eventuali violazioni della normativa sulla protezione dei dati personali.
9. Dell'attivita' svolta ai sensi dei commi precedenti, con particolare riferimento alle dichiarazioni rese ed ai documenti acquisiti, e' redatto processo verbale, una copia del quale viene consegnata al soggetto sottoposto ad ispezione ovvero ad attivita' di revisione.
 

Art. 23.

Promovimento dell'adozione di regole deontologiche

1. Il Garante promuove, nei casi previsti dalla legge, l'adozione di regole deontologiche ai sensi dell'art. 2-quater del codice con deliberazione del Collegio da pubblicare nella Gazzetta Ufficiale della Repubblica italiana.
2. Con la deliberazione di cui al comma 1 del presente articolo sono indicati i criteri generali in base ai quali l'Autorita' verifica il rispetto del principio di rappresentativita'. In base al medesimo principio, i soggetti pubblici e privati appartenenti alle categorie interessate che ritengano di avere titolo a sottoscrivere le regole deontologiche sono invitati a darne comunicazione all'Autorita' entro un termine prefissato, e a fornire informazioni e documentazione idonee a comprovare, in particolare, la loro rappresentativita'.
3. Con la deliberazione di cui al comma 1 il Garante puo' invitare altri soggetti che si ritengano comunque interessati in relazione all'applicazione delle regole deontologiche a darne comunicazione all'Autorita' e a fornire informazioni e documentazione idonee a comprovare, in particolare, il proprio interesse qualificato alla materia.
 

Art. 24.

Esame preliminare

1. Le comunicazioni di cui all'art. 23, comma 2, pervenute all'Autorita' sono esaminate preliminarmente, unitamente al materiale prodotto, e valutate dal Garante, anche sulla base della deliberazione gia' adottata ai sensi del medesimo articolo, considerando in particolare:
a) l'appartenenza alle categorie interessate degli organismi che intendono adottare regole deontologiche in qualita' di soggetti rappresentativi, nonche' la sussistenza del presupposto della rappresentativita' anche in relazione ai settori determinati nei quali le stesse dovrebbe operare;
b) la sussistenza di un interesse qualificato in capo ai soggetti interessati.
2. Le valutazioni di cui al comma 1 possono essere formulate anche dopo l'inizio dei lavori per la redazione delle regole deontologiche, qualora ricorrano particolari esigenze inerenti anche alla necessita' di svolgere ulteriori approfondimenti relativi alla rappresentativita' o all'interesse qualificato.
3. Eventuali comunicazioni pervenute da categorie o da soggetti interessati dopo il termine prefissato ai sensi dell'art. 23, comma 2, possono essere esaminate fino alla adozione delle regole deontologiche, valutando parimenti la sussistenza dei presupposti di cui al comma 1.
4. L'esito della valutazione effettuata dal Garante ai sensi dei commi 1 e 3 e' comunicata a ciascun soggetto od organismo interessato informando tutti coloro che hanno inviato comunicazioni all'Autorita' ai sensi dell'art. 23, comma 2.
5. I criteri per individuare le categorie interessate in relazione al settore determinato per il quale le regole deontologiche verranno adottate, e per valutare la rappresentativita' o l'interesse qualificato dei soggetti che hanno inviato comunicazioni all'Autorita', sono definiti dal Garante in relazione a ciascun ambito interessato dalle regole deontologiche, tenendo conto della specificita' del settore e delle particolari caratteristiche del trattamento.
 

Art. 25.

Organizzazione e svolgimento dei lavori

1. L'Autorita', effettuata la comunicazione di cui all'art. 24, comma 4, fermo restando quanto previsto nei commi 2 e 3 del medesimo articolo, invita i soggetti appartenenti alle categorie interessate a partecipare ad una prima riunione di lavoro preordinata all'analisi dello schema preliminare delle regole deontologiche portate alla sua attenzione, anche presso gli uffici del Garante, e ne comunica la data anche agli altri soggetti che risultano interessati i quali possono prendervi parte.
2. Nell'esercitare il compito di promuovere l'adozione delle regole deontologiche, l'Autorita' incoraggia la proficua cooperazione tra i soggetti appartenenti alle categorie interessate e la collaborazione dei soggetti interessati nell'organizzazione e nello svolgimento dei lavori.
 

Art. 26.

Schema delle regole deontologiche

1. Al termine della prima fase dei lavori, i soggetti rappresentativi che vi hanno partecipato redigono e sottopongono all'Autorita' uno schema di regole deontologiche che tiene in considerazione i contributi forniti dai soggetti interessati.
 

Art. 27.

Valutazione preliminare di conformita' delle regole deontologiche

1. Lo schema di cui all'art. 26 e' soggetto ad una valutazione preliminare da parte del Garante, anche sulla base di eventuali richieste di chiarimento al fine di rilevare l'eventuale manifesta sussistenza di profili di non conformita' alla normativa vigente, invitando, in quest'ultima ipotesi, i soggetti rappresentativi a riesaminare lo schema proposto.
2. Ove non ricorrano le condizioni di cui al comma 1, il Garante, ai sensi dell'art. 2-quater, comma 2, del codice, sottopone lo schema a consultazione pubblica per almeno sessanta giorni inserendolo nel proprio sito web al fine di raccogliere eventuali osservazioni ed invita a tal fine soggetti rappresentativi e interessati a darne ampia pubblicita'.
3. Il Garante dispone altresi' la trasmissione all'Ufficio pubblicazioni leggi e decreti del Ministero della giustizia di un avviso da pubblicare nella Gazzetta Ufficiale della Repubblica italiana, volto a rendere nota l'inserzione dello schema sul proprio sito web e ad invitare i soggetti interessati a formulare eventuali osservazioni entro un termine prefissato.
4. Scaduto il termine, le osservazioni di cui al comma 3 sono esaminate e trasmesse ai soggetti rappresentativi o interessati per le valutazioni del caso.
 

Art. 28.

Schema finale delle regole deontologiche

1. I soggetti rappresentativi, esaminate le osservazioni di cui all'art. 27, comma 3, redigono lo schema finale delle regole deontologiche tenendo in considerazione il contributo dei soggetti interessati e lo trasmettono al Garante.
2. Nelle regole deontologiche e' individuata altresi' la data a decorrere dalla quale le stesse sono applicabili.
 

Art. 29.

Valutazione finale di conformita'
delle regole deontologiche e loro sottoscrizione

1. Il Garante esamina lo schema finale recante le regole deontologiche e, salvo che riscontri profili di non conformita' a norme di legge o di regolamento, invita i soggetti rappresentativi a sottoscriverle, disponendone quindi la pubblicazione e la comunicazione al Ministero della giustizia per la loro allegazione al codice.
2. I soggetti interessati possono manifestare la loro adesione ai principi affermati dalle regole deontologiche. L'adesione e' indicata in un atto distinto dal documento dove e' apposta la sottoscrizione dei soggetti rappresentativi, ma ad esso allegato.
3. Il Garante esamina la richiesta di soggetti rappresentativi o interessati volta ad apporre le sottoscrizioni o le adesioni di cui ai commi 1 e 2 in epoca successiva all'adozione delle regole deontologiche. Se la richiesta e' accolta, ne e' data notizia nella Gazzetta Ufficiale della Repubblica italiana.
 

Art. 30.

Pubblicazione delle regole deontologiche

1. Le regole deontologiche recanti le suddette sottoscrizioni sono trasmesse all'Ufficio pubblicazioni leggi e decreti del Ministero della giustizia per la loro pubblicazione nella Gazzetta Ufficiale della Repubblica italiana ai sensi dell'art. 2-quater, comma 3, del codice. Le regole deontologiche sono altresi' pubblicate sul sito web del Garante.
2. Le regole deontologiche sono comunicate al Ministero della giustizia ai fini della loro allegazione al codice previo decreto ministeriale da adottarsi ai sensi dell'art. 2-quater, comma 3, dello stesso codice.
 

Art. 31.
Regole deontologiche relative al trattamento dei dati personali
nell'esercizio dell'attivita' giornalistica

1. Le disposizioni del presente capo trovano applicazione anche con riguardo all'adozione delle regole deontologiche relative al trattamento dei dati personali nell'esercizio dell'attivita' giornalistica, nonche' alle loro eventuali modifiche o integrazioni, fatto salvo quanto specificamente previsto dall'art. 139 del codice.
 

Art. 32.

Procedimento relativo all'approvazione dei codici di condotta

1. Il Garante incoraggia l'elaborazione dei codici di condotta di cui all'art. 40 del RGPD e, salvo che ricorrano le condizioni indicate nel comma 2 del presente articolo, li approva osservando il procedimento disciplinato al capo IV del presente regolamento, per quanto compatibile.
2. Con riferimento a codici di condotta relativi alle attivita' di trattamento in piu' Stati membri si osservano le disposizioni di cui all'art. 40, paragrafi da 7 a 11, del RGPD, nonche' il procedimento eventualmente stabilito in proposito dal Comitato europeo per la protezione dei dati.
 

Art. 33.

Difficolta' connesse all'attuazione di misure correttive

1. Ove nell'esecuzione di una misura correttiva disposta ai sensi dell'art. 58, paragrafo 2, lettere c) e d), del RGPD, emergano significative difficolta' attuative, tenuto conto degli elementi forniti al Garante, il dipartimento, servizio o altra unita' organizzativa che ha curato l'istruttoria del provvedimento con il quale sono state impartite tali misure, predispone lo schema dell'ulteriore provvedimento del Collegio, il quale si pronuncia anche nel merito della questione.
 

Art. 34.

Altri procedimenti

1. Nei casi di cui al comma 2, il dipartimento, servizio o altra unita' organizzativa valuta la completezza degli elementi istruttori, e, verificata l'esistenza dei presupposti per le decisioni da parte dell'Autorita', cura la predisposizione dello schema di provvedimento del Collegio. Il dirigente dell'unita' organizzativa competente procede poi nei modi di cui all'art. 15 del regolamento del Garante n. 1/2000.
2. Si procede nei modi di cui al comma 1 nei casi in cui il Collegio deve provvedere con propria deliberazione, anche d'ufficio, riguardo a:
a) pareri previsti dalla normativa vigente;
b) autorizzazioni, anche relative al trasferimento di dati personali all'estero;
c) ogni altro caso in cui, fuori dalle ipotesi di cui al capo II del presente regolamento, e' prevista l'adozione di un provvedimento del Garante.
 

Art. 35.

Quesiti

1. Con riferimento al compito di promuovere la consapevolezza e favorire la comprensione riguardo ai rischi, alle norme, alle garanzie, ai diritti e obblighi in materia di protezione dei dati di cui all'art. 57, paragrafo 1, lettere b) e d), del RGPD, e subordinatamente alle linee di priorita' di cui all'art. 4 del presente regolamento, il dipartimento, servizio o altra unita' organizzativa competente puo', anche tenuto conto di quanto previsto dall'art. 3, fornire riscontro a quesiti quando riguardano questioni di specifico interesse per la protezione dei dati personali.
2. L'Ufficio relazioni con il pubblico, cui sono assegnati gli altri quesiti ai quali, in base a quanto previsto dal comma 1, non puo' essere fornito un riscontro analitico, informa per quanto possibile i soggetti richiedenti di tale circostanza, o fornisce loro eventuali succinte informazioni anche su iniziative e provvedimenti gia' adottati dall'Autorita'.
 

Art. 36.

Rapporto informativo sullo stato della trattazione degli affari

1. In conformita' a quanto previsto dall'art. 6, comma 2 e dall'art. 9, comma 4, lettera e), del regolamento del Garante n. 1/2000, il segretario generale cura per il Collegio, con cadenza semestrale, avvalendosi del sistema informativo dell'Autorita', la predisposizione di un rapporto informativo sullo stato degli affari di cui ai capi da II a VI trattati dalle unita' organizzative, indicando le tipologie di determinazioni da esse adottate o in via di adozione nei casi individuati, nonche' il relativo oggetto, anche avvalendosi di codici numerici.
 

Art. 37.

Pubblicazione dei provvedimenti

1. Salvi gli obblighi di pubblicazione previsti dall'art. 12 del decreto legislativo 14 marzo 2013, n. 33, e il regime di pubblicita' stabilito dal Garante ai sensi dell'art. 166, comma 7, del codice, in occasione dell'adozione di ordinanze ingiunzione, i provvedimenti del Garante sono pubblicati tempestivamente sul sito web dell'Autorita' e sono reperibili mediante i comuni motori di ricerca.
2. Decorsi due anni dalla loro adozione, i provvedimenti del Garante di cui al comma 1 del presente articolo recanti dati personali delle parti o di terzi restano accessibili tramite il sito web dell'Autorita' ma sono adottate, tenuto conto delle tecnologie disponibili, misure volte ad impedire ai motori di ricerca di indicizzarli ed effettuare ricerche rispetto ad essi.
3. In ogni caso, sono adottate opportune misure per salvaguardare:
a) la sicurezza, la difesa nazionale e le relazioni internazionali;
b) la politica monetaria e valutaria;
c) l'ordine pubblico e la prevenzione e repressione dei reati;
d) la protezione dei dati personali, in conformita' alla disciplina in materia. In ogni caso non formano oggetto di pubblicazione i nominativi degli istanti nonche' delle persone fisiche che li rappresentano;
e) la proprieta' intellettuale, il diritto d'autore e i segreti commerciali.
4. A margine del provvedimento pubblicato sono annotate, a cura della competente unita' organizzativa, le informazioni riguardanti l'avvenuta presentazione di ricorso giurisdizionale da parte del soggetto interessato con l'indicazione del suo esito.
 

Art. 38.

Pubblicazione dell'ordinanza ingiunzione

1. In caso di pubblicazione dell'ordinanza ingiunzione, per intero o per estratto, sono comunque osservati i limiti e le modalita' stabilite dall'art. 37, commi da 2 a 4.
 

Art. 39.

Disposizioni abrogate

1. A decorrere dalla data di entrata in vigore del presente regolamento sono abrogati i regolamenti del Garante n. 1/2007 e n. 2/2006.
 

Art. 40.

Entrata in vigore

1. Il presente regolamento entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

Roma, 4 aprile 2019

Il segretario generale: Busia