Decreto legislativo - 30/06/2003 - n. 196 art. 154 - (Compiti) (A)12
1. Oltre a quanto previsto da specifiche disposizioni e dalla Sezione II del Capo VI del regolamento, il Garante, ai sensi dell'articolo 57, paragrafo 1, lettera v), del Regolamento medesimo, anche di propria iniziativa e avvalendosi dell'Ufficio, in conformità alla disciplina vigente e nei confronti di uno o più titolari del trattamento, ha il compito di: a) controllare se i trattamenti sono effettuati nel rispetto della disciplina applicabile, anche in caso di loro cessazione e con riferimento alla conservazione dei dati di traffico; b) trattare i reclami presentati ai sensi del regolamento, e delle disposizioni del presente codice, anche individuando con proprio regolamento modalità specifiche per la trattazione, nonché fissando annualmente le priorità delle questioni emergenti dai reclami che potranno essere istruite nel corso dell'anno di riferimento; c) promuovere l'adozione di regole deontologiche, nei casi di cui all'articolo 2-quater; d) denunciare i fatti configurabili come reati perseguibili d'ufficio, dei quali viene a conoscenza nell'esercizio o a causa delle funzioni; e) trasmettere la relazione, predisposta annualmente ai sensi dell'articolo 59 del Regolamento, al Parlamento e al Governo entro il 31 maggio dell'anno successivo a quello cui si riferisce; f) assicurare la tutela dei diritti e delle libertà fondamentali degli individui dando idonea attuazione al Regolamento e al presente codice; g) provvedere altresì all'espletamento dei compiti ad esso attribuiti dal diritto dell'Unione europea o dello Stato e svolgere le ulteriori funzioni previste dall'ordinamento. 2. Il Garante svolge altresì, ai sensi del comma 1, la funzione di controllo o assistenza in materia di trattamento dei dati personali prevista da leggi di ratifica di accordi o convenzioni internazionali o da atti comunitari o dell'Unione europea e, in particolare: a) dal Regolamento (CE) n. 1987/2006 del Parlamento europeo e del Consiglio, del 20 dicembre 2006, sull'istituzione, l'esercizio e l'uso del sistema d'informazione Schengen di seconda generazione (SIS II) e Decisione 2007/533/GAI del Consiglio, del 12 giugno 2007, sull'istituzione, l'esercizio e l'uso del sistema d'informazione Schengen di seconda generazione (SIS II); b) dal Regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio, dell'11 maggio 2016, che istituisce l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol) e sostituisce e abroga le decisioni del Consiglio 2009/371/GAI, 2009/934/GAI, 2009/935/GAI, 2009/936/GAI e 2009/968/GAI; c) dal Regolamento (UE) 2015/1525 del Parlamento europeo e del Consiglio, del 9 settembre 2015, che modifica il Regolamento (CE) n. 515/97 del Consiglio relativo alla mutua assistenza tra le autorità amministrative degli Stati membri e alla collaborazione tra queste e la Commissione per assicurare la corretta applicazione delle normative doganale e agricola e decisione 2009/917/GAI del Consiglio, del 30 novembre 2009, sull'uso dell'informatica nel settore doganale; d) dal Regolamento (CE) n. 603/2013 del Parlamento europeo e del Consiglio, del 26 giugno 2013, che istituisce l'Eurodac per il confronto delle impronte digitali per l'efficace applicazione del Regolamento (UE) n. 604/2013 che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l'esame di una domanda di protezione internazionale presentata in uno degli Stati membri da un cittadino di un paese terzo o da un apolide e per le richieste di confronto con i dati Eurodac presentate dalle autorità di contrasto degli Stati membri e da Europol a fini di contrasto, e che modifica il Regolamento (UE) n. 1077/2011 che istituisce un'agenzia europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia; e) dal Regolamento (CE) n. 767/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, concernente il sistema di informazione visti (VIS) e lo scambio di dati tra Stati membri sui visti per soggiorni di breve durata (Regolamento VIS) e decisione n. 2008/633/GAI del Consiglio, del 23 giugno 2008, relativa all'accesso per la consultazione al sistema di informazione visti (VIS) da parte delle autorità designate degli Stati membri e di Europol ai fini della prevenzione, dell'individuazione e dell'investigazione di reati di terrorismo e altri reati gravi; f) dal Regolamento (CE) n. 1024/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012, relativo alla cooperazione amministrativa attraverso il sistema di informazione del mercato interno e che abroga la decisione 2008/49/CE della Commissione (Regolamento IMI) Testo rilevante ai fini del SEE; g) dalle disposizioni di cui al capitolo IV della Convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981 e resa esecutiva con legge 21 febbraio 1989, n. 98, quale autorità designata ai fini della cooperazione tra Stati ai sensi dell'articolo 13 della convenzione medesima. 3. Per quanto non previsto dal Regolamento e dal presente codice, il Garante disciplina con proprio Regolamento, ai sensi dell'articolo 156, comma 3, le modalità specifiche dei procedimenti relativi all'esercizio dei compiti e dei poteri ad esso attribuiti dal Regolamento e dal presente codice. 4. Il Garante collabora con altre autorità amministrative indipendenti nazionali nello svolgimento dei rispettivi compiti. 5. Fatti salvi i termini più brevi previsti per legge, il parere del Garante, anche nei casi di cui agli articoli 36, paragrafo 4, del Regolamento, è reso nel termine di quarantacinque giorni dal ricevimento della richiesta. Decorso il termine, l'amministrazione può procedere indipendentemente dall'acquisizione del parere. Quando, per esigenze istruttorie, non può essere rispettato il termine di cui al presente comma, tale termine può essere interrotto per una sola volta e il parere deve essere reso definitivamente entro venti giorni dal ricevimento degli elementi istruttori da parte delle amministrazioni interessate. 5-bis. Il parere di cui all'articolo 36, paragrafo 4, del Regolamento è reso dal Garante nei soli casi in cui la legge o il regolamento in corso di adozione disciplina espressamente le modalità del trattamento descrivendo una o più operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione, nonché nei casi in cui la norma di legge o di regolamento autorizza espressamente un trattamento di dati personali da parte di soggetti privati senza rinviare la disciplina delle modalità del trattamento a fonti sottoordinate3. 5-ter. Quando il Presidente del Consiglio dei ministri dichiara che ragioni di urgenza non consentono la consultazione preventiva e comunque nei casi di adozione di decreti-legge, il Garante esprime il parere di cui al comma 5-bis: a) in sede di esame parlamentare dei disegni di legge o dei disegni di legge di conversione dei decreti-legge; b) in sede di esame definitivo degli schemi di decreto legislativo sottoposti al parere delle Commissioni parlamentari;4 6. Copia dei provvedimenti emessi dall'autorità giudiziaria in relazione a quanto previsto dal presente codice o in materia di criminalità informatica è trasmessa, a cura della cancelleria, al Garante. 7. Il Garante non è competente per il controllo dei trattamenti effettuati dalle autorità giudiziarie nell'esercizio delle loro funzioni.
(A) In riferimento al presente articolo vedi: Parere Autorità garante per la protezione dei dati personali 08 maggio 2013, n. 2433401. [1] Articolo modificato dall'articolo 4, comma 1, del D.Lgs. 30 maggio 2008 n.109 e successivamente sostituito dall'articolo 14, comma 1, lettera c), del D.Lgs. 10 agosto 2018, n. 101. [2] Vedi il Provvedimento del garante per la protezione dei dati personali 23 novembre 2006, il Provvedimento del garante per la protezione dei dati personali 19 Giugno 2008 e l'articolo unico, punto 1), della Deliberazione del Garante per la protezione dei dati personali 15 maggio 2014, n. 243. [3] Comma inserito dall'articolo 9, comma 1, lettera i), del D.L. 8 ottobre 2021 n. 139, convertito con modificazioni dalla Legge 3 dicembre 2021, n. 205. [4] Comma inserito dall'articolo 9, comma 1, lettera i), del D.L. 8 ottobre 2021 n. 139, convertito con modificazioni dalla Legge 3 dicembre 2021, n. 205. InquadramentoIl Garante per la protezione dei dati personali svolge tutti i compiti previsti dall'art. 57 del GDPR. In aggiunta, a norma della nuova formulazione dell'art. 154 comma 1, oltre a quanto previsto da specifiche disposizioni e dalla Sezione II del Capo VI del GDPR, il Garante, ai sensi dell'art. 57, paragrafo 1, lettera v), del GDPR medesimo, anche di propria iniziativa e avvalendosi dell'Ufficio, in conformità alla disciplina vigente e nei confronti di uno o più titolari del trattamento, ha: a) il compito di controllare se i trattamenti sono effettuati nel rispetto della disciplina applicabile, anche in caso di loro cessazione e con riferimento alla conservazione dei dati di traffico; tale previsione appare, invero, parzialmente pleonastica e di natura confusivamente ibrida, collocandosi fra la materia della protezione dei dati personali tout court e quella e-privacy delle comunicazioni elettroniche, quest'ultima derivante dal recepimento della Direttiva 2002/58/CE in corso di revisione nel Trilogo fra Parlamento Europeo, Consiglio e Commissione Europea per la possibile approvazione di un nuovo Regolamento e-privacy UE; b) il compito di trattare i reclami presentati ai sensi del GDPR, e delle disposizioni del Codice, anche individuando con proprio regolamento modalità specifiche per la trattazione, nonché fissando annualmente le priorità delle questioni emergenti dai reclami che potranno essere istruite nel corso dell'anno di riferimento. In questo, il legislatore italiano, oltre a confermare la competenza del Garante per la protezione dei dati personali con riferimento alla trattazione dei reclami – cosa, del resto, pacifica anche alla luce del nuovo art. 2-bis del Codice letto in combinato con il Capo VI del GDPR – ne ribadisce l'autonomia regolamentare con riferimento alle procedure interne di trattazione e sembra aprire a un potere del Garante di dare maggiore o minore priorità a specifiche questioni; sarà indispensabile capire, ad avviso di chi scrive, come questo significativo margine, riconosciuto all'Autorità italiana, possa rivelarsi sempre coerente con i principi di cui al Considerando 129 del GDPR, secondo il quale “[...] Gli Stati membri possono precisare altri compiti connessi alla protezione dei dati personali ai sensi del presente regolamento. È opportuno che i poteri delle autorità di controllo siano esercitati nel rispetto di garanzie procedurali adeguate previste dal diritto dell'Unione e degli Stati membri, in modo imparziale ed equo ed entro un termine ragionevole. In particolare ogni misura dovrebbe essere appropriata, necessaria e proporzionata al fine di assicurare la conformità al presente regolamento, tenuto conto delle circostanze di ciascun singolo caso, rispettare il diritto di ogni persona di essere ascoltata prima che nei suoi confronti sia adottato un provvedimento individuale che le rechi pregiudizio ed evitare costi superflui ed eccessivi disagi per le persone interessate. I poteri di indagine per quanto riguarda l'accesso ai locali dovrebbero essere esercitati nel rispetto dei requisiti specifici previsti dal diritto processuale degli Stati membri, quale l'obbligo di ottenere un'autorizzazione giudiziaria preliminare. Ogni misura giuridicamente vincolante dell'autorità di controllo dovrebbe avere forma scritta, essere chiara e univoca, riportare l'autorità di controllo che ha adottato la misura e la relativa data di adozione, recare la firma del responsabile o di un membro dell'autorità di controllo da lui autorizzata, precisare i motivi della misura e fare riferimento al diritto a un ricorso effettivo. Ciò non dovrebbe precludere requisiti supplementari ai sensi del diritto processuale degli Stati membri. [...]”; c) il compito di promuovere l'adozione di regole deontologiche, nei casi di cui all'articolo 2-quater del Codice. Ricordiamo, infatti, che l'articolo testé menzionato prevede che il Garante promuova, nell'osservanza del principio di rappresentatività e tenendo conto delle raccomandazioni del Consiglio d'Europa sul trattamento dei dati personali, l'adozione di regole deontologiche per i trattamenti previsti dalle disposizioni di cui agli articoli 6, paragrafo 1, lettere c) (trattamenti di dati personali necessari per adempiere un obbligo legale al quale è soggetto il titolare del trattamento) ed e) (trattamenti di dati personali necessari per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento), 9, paragrafo 4 (in materia di trattamento di dati genetici, dati biometrici o dati relativi alla salute), e al Capo IX del GDPR (in materia di trattamenti di dati personali e libertà d'espressione e di informazione, accesso del pubblico ai documenti ufficiali, trattamento del numero di identificazione nazionale, trattamento dei dati nell'ambito dei rapporti di lavoro, garanzie e deroghe relative al trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, obblighi di segretezza professionale ed equivalente, e protezione dei dati presso chiese e associazioni religiose). Da notare che il legislatore italiano ha voluto “forzare” l'interpretazione dell'art. 6 paragrafi 2 e 3 del GDPR, operando una disgiunzione concettuale tra il riferimento agli ambiti di cui all'art. 6.1.c) ed e) (trattamenti per obbligo legale o esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento) e il riferimento al Capo IX del GDPR. A parere di chi scrive, la norma del GDPR andava invece intesa congiuntamente, potendosi certamente investire di ulteriori poteri regolamentari l'Autorità statale con riguardo alle materie ricadenti nel Capo IX, ma solo se ricomprese tra le fattispecie di trattamento di dati per finalità di adempimento di un obbligo legale o di esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri. Si capirà in futuro, auspicabilmente, se tale interpretazione e conseguente disposizione legislativa italiana potrà considerarsi del tutto compatibile con il GDPR. Interessante notare la previsione di cui all'art. 154 comma 5 del Codice: per le richieste di parere e di consultazione da parte dell'amministrazione statale durante l'elaborazione di una proposta di atto legislativo che deve essere adottato dai parlamenti nazionali o di misura regolamentare basata su detto atto legislativo relativamente al trattamento, fatti salvi i termini più brevi previsti per legge, il parere del Garante è reso nel termine di quarantacinque giorni dal ricevimento della richiesta. Decorso il termine, l'amministrazione può procedere indipendentemente dall'acquisizione del parere. Quando, per esigenze istruttorie, non può essere rispettato il predetto termine, tale termine può essere interrotto per una sola volta e il parere deve essere reso definitivamente entro venti giorni dal ricevimento degli elementi istruttori da parte delle amministrazioni interessate. Si tratta, come si può agevolmente notare, di termini più stringenti rispetto a quelli previsti in generale dall'art. 36 GDPR per la risposta a consultazioni preliminari. Il Garante, oltre a promuovere l'adozione delle regole deontologiche, ne verifica la conformità alle disposizioni vigenti, anche attraverso l'esame di osservazioni di soggetti interessati e contribuisce a garantirne la diffusione e il rispetto. Lo schema di regole deontologiche è sottoposto a consultazione pubblica per almeno sessanta giorni. Conclusa la fase delle consultazioni, le regole deontologiche sono approvate dal Garante ai sensi dell'art. 154-bis, comma 1, lettera b), pubblicate nella Gazzetta Ufficiale della Repubblica italiana e, con decreto del Ministro della giustizia, sono riportate nell'allegato A del Codice. Si tratta, cioè, degli “eredi” dei vecchi codici di deontologia e buona condotta, un tempo previsti dall'abrogato art. 12 del Codice. Il rispetto delle disposizioni contenute nelle regole deontologiche di cui al comma 1 costituisce condizione essenziale per la liceità e la correttezza del trattamento dei dati personali, come già fu per i menzionati, e ormai abbandonati, codici deontologici. Per approfondimenti, si rinvia al Capitolo relativo alle nuove Regole deontologiche; d) il compito di denunciare i fatti configurabili come reati perseguibili d'ufficio, dei quali viene a conoscenza nell'esercizio o a causa delle funzioni. Nihil sub sole novi, verrebbe da dire, trattandosi peraltro di obbligo previsto dall'art. 331, comma 4 del codice di procedura penale (“Se, nel corso di un procedimento civile o amministrativo, emerge un fatto nel quale si può configurare un reato perseguibile di ufficio, l'autorità che procede redige e trasmette senza ritardo la denuncia al pubblico ministero.”). Vero è che tale precisazione, apparentemente superflua, risulta di aiuto al fine di fugare ogni dubbio che possa emergere dalla lettura degli articoli 153 comma 4 e 156 comma 6 del Codice, rispettivamente dedicati all'obbligo di segreto per i Membri del Collegio e per il personale dell'Ufficio del Garante. Tale segreto non può limitare il Garante nella denuncia di fatti configurabili come reati perseguibili d'ufficio, dei quali viene a conoscenza nell'esercizio o a causa delle funzioni; e) il compito di trasmettere la relazione, predisposta annualmente ai sensi dell'articolo 59 del GDPR, al Parlamento e al Governo entro il 31 maggio dell'anno successivo a quello cui si riferisce. Si nota un mese di tempo in più rispetto a quanto fissato nella vecchia formulazione dell'art. 154.1.m) del Codice, ormai abrogata; f) il compito di assicurare la tutela dei diritti e delle libertà fondamentali degli individui dando idonea attuazione al Regolamento e al Codice. Questo compito, se da un lato appare ridondante e ripetitivo rispetto a quanto già stabilito nell'art. 57 del GDPR (in tal caso tollerabile alla luce del Considerando 8 del medesimo GDPR), dall'altro lato conferma in capo all'Autorità italiana una funzione di garanzia per la tutela dei diritti e delle libertà fondamentali anche quando derivanti dall'attuazione di altre discipline contenute e/o richiamate nel Codice; g) il compito di provvedere all'espletamento dei compiti ad esso attribuiti dal diritto dell'Unione europea o dello Stato e svolgere le ulteriori funzioni previste dall'ordinamento. Si tratta di un compito “di chiusura”, per legittimare l'azione del Garante in altri scenari contemplati da normative ulteriori e diverse da GDPR e Codice. Previsione, questa dell'art. 154 comma 1 lett. g), quanto mai pletorica almeno in apparenza. Se esistono ed esisteranno altre norme a legittimare funzioni e compiti del Garante, ebbene esse varranno a prescindere da questa lettera di articolo del Codice. Unico pregio di questa clausola, forse, quello di portarci a ricordare che le Autorità di protezione dei dati sono previsti anche al livello sovranazionale dei Trattati europei, in particolare all'art. 8 della Carta dei Diritti Fondamentali della UE e all'articolo 16 del TFUE, non essendo, pertanto, “fiori di un albero” di mero diritto secondario. In tal senso, molteplici sono e potranno essere in futuro i compiti aggiuntivi per queste Autorità, sempre più rilevanti per la difesa dei diritti umani e delle libertà delle persone, ma anche di elementi più alti di democrazia costituzionale, nell'era digitale e dell'Intelligenza Artificiale (Bolognini, Pelino, Codice privacy). BibliografiaBolognini, Pelino, Codice privacy: tutte le novità del D.lgs. n. 101/2018, Milano, 2018; Bolognini, Pelino, Bistolfi, Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016. |
