GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

DELIBERA 4 aprile 2019 

Regolamento n. 1/2019. Procedure interne  aventi  rilevanza  esterna,
finalizzate allo svolgimento dei compiti e all'esercizio  dei  poteri
demandati al Garante per la protezione dei  dati  personali,  nonche'
all'adozione dei provvedimenti correttivi e  sanzionatori.  (Delibera
n. 98). (19A02843) 
(GU n.106 del 8-5-2019)
 
           IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI 
 
  Nella riunione odierna, alla presenza  del  dott.  Antonello  Soro,
presidente, della dott.ssa  Augusta  Iannini,  vicepresidente,  della
dott.ssa Giovanna Bianchi Clerici e della  prof.ssa  Licia  Califano,
componenti e del dott. Giuseppe Busia, segretario generale; 
  Visto il regolamento (UE) 2016/679 del  Parlamento  europeo  e  del
Consiglio, del 27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche'  alla
libera circolazione di  tali  dati  e  che  abroga  la  direttiva  n.
95/46/CE (Regolamento generale sulla protezione dei dati, di  seguito
«RGPD»), con particolare riferimento agli articoli 40, 57, 58 e 83; 
  Visto il codice  in  materia  di  protezione  dei  dati  personali,
recante disposizioni per l'adeguamento dell'ordinamento nazionale  al
regolamento (UE) n. 2016/679 del Parlamento europeo e del  Consiglio,
del 27 aprile 2016, relativo alla protezione  delle  persone  fisiche
con riguardo al trattamento dei dati personali, nonche'  alla  libera
circolazione di tali dati e  che  abroga  la  direttiva  n.  95/46/CE
(decreto legislativo 30 giugno 2003,  n.  196,  come  modificato  dal
decreto legislativo 10 agosto 2018, n.  101,  di  seguito  denominato
«codice»), con particolare riferimento all'art. 156, comma 3, lettera
a), ai sensi  del  quale  il  Garante  per  la  protezione  dei  dati
personali (di seguito «Garante»  o  anche  «Autorita'»),  con  propri
regolamenti pubblicati  nella  Gazzetta  Ufficiale  della  Repubblica
italiana, definisce l'organizzazione e il funzionamento dell'ufficio,
anche ai fini dello  svolgimento  dei  compiti  e  all'esercizio  dei
poteri ad esso assegnati  dagli  articoli  da  140-bis  a  144,  154,
154-bis, 157, 158, 160, del medesimo codice; 
  Rilevato che il codice disciplina diversi  istituti  relativi  alla
tutela degli interessati  nelle  procedure  dinanzi  al  Garante,  in
particolare  per  quanto  riguarda  la  presentazione  di  reclami  e
segnalazioni; 
  Considerato che, in base all'art. 154, comma  3,  del  codice,  per
quanto non previsto dal  RGPD  e  dal  codice  medesimo,  il  Garante
disciplina «con proprio regolamento, ai sensi dell'art. 156, comma 3,
le modalita' specifiche dei procedimenti  relative  allo  svolgimento
dei compiti  e  all'esercizio  dei  poteri  ad  esso  attribuiti  dal
regolamento»; 
  Considerato che ai sensi dell'art. 142, comma  5,  del  codice,  il
Garante disciplina «con proprio regolamento il procedimento  relativo
all'esame dei  reclami,  nonche'  modalita'  semplificate  e  termini
abbreviati per la trattazione di reclami che abbiano  ad  oggetto  la
violazione degli articoli da 15 a 22» del RGPD; 
  Rilevato altresi' che ai sensi dell'art. 166, comma 9, del  codice,
«con proprio regolamento pubblicato nella  Gazzetta  Ufficiale  della
Repubblica  italiana,  il  Garante   definisce   le   modalita'   del
procedimento per l'adozione dei provvedimenti e delle sanzioni di cui
al comma 3 ed i relativi termini, in conformita'  ai  principi  della
piena conoscenza degli atti istruttori,  del  contraddittorio,  della
verbalizzazione, nonche' della distinzione tra funzioni istruttorie e
funzioni decisorie rispetto all'irrogazione della sanzione»; 
  Visto il  decreto  legislativo  18  maggio  2018,  n.  51,  recante
«Attuazione della direttiva (UE) n. 2016/680 del Parlamento europeo e
del Consiglio, del 27 aprile 2016,  relativa  alla  protezione  delle
persone fisiche con riguardo al trattamento  dei  dati  personali  da
parte delle autorita' competenti a  fini  di  prevenzione,  indagine,
accertamento e  perseguimento  di  reati  o  esecuzione  di  sanzioni
penali, nonche' alla libera circolazione di tali dati e che abroga la
decisione  quadro  2008/977/GAI  del  Consiglio»,   con   particolare
riferimento agli articoli 13, comma 1, 37, 39, 40 e 42, comma 4; 
  Rilevato che ulteriori disposizioni di legge regolano altri profili
relativi ai procedimenti  dinanzi  al  Garante,  in  particolare  per
quanto riguarda gli accertamenti inerenti ai  trattamenti  effettuati
da forze di polizia (articoli 175 e 57  del  codice  come  richiamato
dall'art. 49, comma 2, decreto legislativo 18  maggio  2018,  n.  51)
ovvero in ambito giudiziario  (art.  2-duodecies  del  codice)  o  di
difesa e sicurezza dello Stato (articoli 58 e 160 del  codice),  come
pure  in  relazione  alla  disciplina   generale   sul   procedimento
amministrativo  (legge  7  agosto   1990,   n.   241   e   successive
modificazioni),  alla  disciplina  in  materia  di  accesso   civico,
obblighi di pubblicita', trasparenza e diffusione di informazioni  da
parte delle pubbliche amministrazioni (decreto legislativo  14  marzo
2013,  n.  33  e  successive  modificazioni),   a   quella   relativa
all'applicazione di sanzioni  amministrative,  con  riferimento  agli
articoli da 1 a 9, da 18 a 22 e da 24 a 28 della  legge  24  novembre
1981, n. 689 (art. 166, comma 7, del codice), nonche' in  materia  di
tutela dei minori dal fenomeno del  cyberbullismo  (legge  29  maggio
2017, n. 71); 
  Considerato che fra i compiti del Garante figurano, tra gli  altri,
quelli  di  assicurare  la  tutela  dei  diritti  e  delle   liberta'
fondamentali degli individui previsti dal  RGPD,  dal  codice  e  dal
menzionato decreto legislativo n. 51/2018,  nonche'  delle  ulteriori
norme vigenti, di controllare se i trattamenti di dati personali sono
effettuati nel rispetto della disciplina applicabile, di  trattare  i
reclami ed esaminare le segnalazioni, nonche' di esercitare i  poteri
d'indagine,  correttivi,  sanzionatori,  autorizzativi  e  consultivi
previsti  dalla  disciplina  applicabile  al  trattamento  dei   dati
personali; 
  Visto il regolamento del Garante n. 1/2000 sull'organizzazione e il
funzionamento dell'ufficio del Garante (deliberazione 28 giugno 2000,
n. 15, e successive  modifiche)  e,  in  particolare,  il  capo  III,
relativo ai principi di trasparenza, partecipazione e contraddittorio
cui si ispira l'attivita' dell'ufficio, all'assegnazione degli affari
ai  relativi   dipartimenti   e   servizi,   all'individuazione   del
responsabile del procedimento e alle funzioni del relatore quando  si
provvede con deliberazione del Garante; 
  Rilevata  la  necessita',  in  ragione  della  modificata   cornice
normativa in materia di protezione dei dati personali, di  aggiornare
il  regolamento  n.  1/2007   sullo   svolgimento   dei   compiti   e
sull'esercizio dei poteri rimessi al Garante,  con  proprio  atto  di
natura regolamentare da adottare in base alle menzionate disposizioni
di cui agli articoli 142, comma 5, 154, comma 3, e 166, comma 9,  del
codice; 
  Rilevata l'esigenza, in tale contesto,  di  specificare  e  rendere
note le procedure interne finalizzate allo svolgimento dei compiti  e
all'esercizio  dei  poteri  demandati  al  Garante  aventi  rilevanza
esterna,  in  particolare  quelle  funzionali   alla   tutela   degli
interessati, avviate  d'ufficio  o  su  loro  istanza,  all'esame  di
comunicazioni e richieste inoltrate  dai  titolari  del  trattamento,
quelle  relative   all'adozione   di   provvedimenti   correttivi   e
sanzionatori da parte del Garante, al rilascio  di  pareri  nei  casi
previsti, alla valutazione preliminare  delle  regole  deontologiche,
all'elaborazione dei codici di condotta; 
  Visti gli atti d'ufficio; 
  Viste le osservazioni formulate dal segretario  generale  ai  sensi
dell'art. 15, comma 1 del predetto regolamento n. 1/2000; 
  Relatore la prof.ssa Licia Califano; 
 
                              Delibera: 
 
  di adottare il regolamento  n.  1/2019,  concernente  le  procedure
interne aventi rilevanza esterna, finalizzate  allo  svolgimento  dei
compiti e all'esercizio  dei  poteri  demandati  al  Garante  per  la
protezione dei dati personali, in  particolare  per  quanto  concerne
l'adozione dei provvedimenti correttivi di cui all'art. 58, paragrafo
2, del RGPD, e delle sanzioni di cui agli articoli  83  del  medesimo
regolamento e 166, commi  1  e  2,  del  codice.  Il  regolamento  e'
riportato  in  allegato  alla  presente  deliberazione,  della  quale
costituisce parte integrante, e ne  dispone  la  pubblicazione  nella
Gazzetta Ufficiale della Repubblica italiana, ai sensi degli articoli
142, comma 5, 154, commi 1, lettera b) e 3, 156, comma 3, lettera a),
e 166, comma 9, del codice. 
 
    Roma, 4 aprile 2019 
 
                         Il Presidente: Soro 
 
                        Il relatore: Califano 
 
                    Il segretario generale: Busia 
 

Capo I
Disposizioni generali

                                                             Allegato 
 
     REGOLAMENTO CONCERNENTE LE PROCEDURE  INTERNE  AVENTI  RILEVANZA
ESTERNA, FINALIZZATE ALLO SVOLGIMENTO DEI COMPITI E ALL'ESERCIZIO DEI
POTERI DEMANDATI AL GARANTE PER LA  PROTEZIONE  DEI  DATI  PERSONALI,
NONCHE' ALL'ADOZIONE  DEI  PROVVEDIMENTI  CORRETTIVI  E  SANZIONATORI
(ART. 142, COMMA 5, ART. 154, COMMA 1, LETTERA B), E  COMMA  3,  ART.
156, COMMA 3, LETTERA A), E ART. 166, COMMA 9, DECRETO LEGISLATIVO 30
GIUGNO 2003, N. 196,  COME  MODIFICATO  DAL  DECRETO  LEGISLATIVO  10
AGOSTO 2018, N. 101). 
 
 
                               Art. 1. 
 
                             Definizioni 
 
    1. Ai fini del presente regolamento si applicano  le  definizioni
contenute nell'art. 4 del regolamento (UE)  2016/679  del  Parlamento
europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione
delle persone fisiche con riguardo al trattamento dei dati personali,
nonche' alla libera  circolazione  di  tali  dati  e  che  abroga  la
direttiva n. 95/46/CE  (Regolamento  generale  sulla  protezione  dei
dati) (di seguito denominato «RGPD»), e  nell'art.  2-ter,  comma  4,
nell'art. 121, comma 1-bis, e nell'art. 153 del codice in materia  di
protezione dei dati personali, recante disposizioni per l'adeguamento
dell'ordinamento  nazionale  al  regolamento  (UE)  n.  2016/679  del
Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla
protezione delle persone fisiche con riguardo al trattamento dei dati
personali, nonche' alla libera circolazione di tali dati e che abroga
la direttiva n. 95/46/CE (decreto legislativo 30 giugno 2003, n. 196,
come modificato dal decreto legislativo 10 agosto 2018,  n.  101,  di
seguito  denominato  «Codice»),  nonche'  le  definizioni   contenute
nell'art. 2 del decreto legislativo 18 maggio 2018,  n.  51,  recante
attuazione della direttiva (UE) n. 2016/680 del Parlamento europeo  e
del Consiglio, del 27 aprile 2016,  relativa  alla  protezione  delle
persone fisiche con riguardo al trattamento  dei  dati  personali  da
parte delle autorita' competenti a  fini  di  prevenzione,  indagine,
accertamento e  perseguimento  di  reati  o  esecuzione  di  sanzioni
penali, nonche' alla libera circolazione di tali dati e che abroga la
decisione quadro 2008/977/GAI del Consiglio. 
 
                               Art. 2. 
 
                       Oggetto del regolamento 
 
    1. Il presente regolamento disciplina, ai  sensi  dell'art.  142,
comma 5, dell'art. 154, comma 1, lettera b), e comma 3,  e  dell'art.
156,  comma  3,  lettera  a),  del  codice,  le   procedure   interne
all'Autorita' aventi rilevanza esterna, avviate su istanza di parte o
d'ufficio e finalizzate allo svolgimento dei compiti e  all'esercizio
dei poteri demandati al Garante. 
    2.  Il  presente  regolamento  disciplina  altresi',   ai   sensi
dell'art. 166, comma 9, del codice, il procedimento con il  quale  il
Garante  adotta  i  provvedimenti  correttivi  di  cui  all'art.  58,
paragrafo 2, del RGPD, ed irroga le sanzioni di cui all'art.  83  del
medesimo  regolamento,  nel  rispetto  dei   principi   della   piena
conoscenza  degli  atti  istruttori,   del   contraddittorio,   della
verbalizzazione nonche' della distinzione tra funzioni istruttorie  e
funzioni decisorie rispetto all'irrogazione delle sanzioni. 
 
                               Art. 3. 
 
                          Principi generali 
 
    1. Nell'esercizio dei compiti e dei poteri demandati  al  Garante
dalla normativa vigente e  dalla  disciplina  comunque  rilevante  in
materia di trattamento dei dati personali, in particolare per  quanto
riguarda il controllo sulla liceita' e correttezza  dei  trattamenti,
il Garante ispira  la  propria  azione  a  principi  di  trasparenza,
ragionevolezza, proporzionalita' e non  discriminazione,  realizzando
l'interesse pubblico connesso a ciascuna attivita' secondo criteri di
buona amministrazione,  economicita',  adeguatezza  e  imparzialita',
valorizzando l'utilizzo di tecniche informatiche e della  telematica.
A tal fine, si tiene conto anche della natura e della gravita'  degli
illeciti da accertare in rapporto ai relativi effetti  e  all'entita'
del  pregiudizio  che  essi  possono  comportare  per  uno   o   piu'
interessati,  della  probabilita'  di  comprovarne  la   sussistenza,
nonche' delle risorse disponibili. 
 
                               Art. 4. 
 
                           Programmazione 
 
    1. Il Garante, in applicazione dei principi e dei criteri di  cui
all'art. 3, e ai sensi dell'art. 2, comma 1, lettere  a)  e  c),  del
regolamento   del   Garante   n.   1/2000,   determina   e   aggiorna
periodicamente con cadenza almeno semestrale: 
      a) la programmazione dei lavori del Collegio; 
      b) le linee di priorita'  nella  trattazione  degli  affari  da
parte dell'ufficio; 
      c) la programmazione delle attivita' ispettive. 
    2. Al fine di determinare la priorita'  nella  trattazione  degli
affari sottoposti all'attenzione  del  Garante,  tenuto  conto  delle
risorse disponibili in relazione al carico di  lavoro  delle  singole
unita' organizzative, sono  tenute  in  considerazione  le  linee  di
priorita' di cui alla lettera b) del comma 1 del  presente  articolo,
nonche' la natura e la gravita' delle violazioni,  la  rilevanza  del
pregiudizio e il numero dei possibili interessati. 
    3. Nei casi in cui la condotta e' particolarmente  risalente  nel
tempo o ha esaurito i suoi effetti oppure  tali  effetti  sono  stati
rimossi o sono  state  fornite  idonee  assicurazioni  da  parte  del
titolare del trattamento, di cui all'art. 14, comma 5,  del  presente
regolamento, il Collegio, con propria  deliberazione  da  pubblicarsi
nella Gazzetta Ufficiale della Repubblica italiana, puo' delegare  il
segretario generale ovvero il dirigente del dipartimento, servizio  o
altra unita' organizzativa competente ad  adottare  il  provvedimento
correttivo di cui all'art. 58, paragrafo 2, lettera b), del RGPD. 
 
                               Art. 5. 
 
              Qualificazione e trattazione degli affari 
 
    1. Il segretario generale assegna  gli  affari  al  dipartimento,
servizio o altra unita' organizzativa competente ai  sensi  dell'art.
14 del regolamento del Garante n. 1/2000. 
    2.  Il  dirigente  del  dipartimento,  servizio  o  altra  unita'
organizzativa segnala al segretario generale, anche ai  fini  di  una
diversa  qualificazione  dell'affare,  l'opportunita'  di   una   sua
riassegnazione  ad  un  diverso  dipartimento,  servizio   o   unita'
organizzativa. 
    3. Le assegnazioni e la  qualificazione  attribuita  agli  affari
sono annotate e aggiornate costantemente nel sistema informativo  del
Garante. 
    4. Il dipartimento, servizio o altra unita' organizzativa  tratta
l'affare assegnato nel rispetto di quanto  previsto  dalla  normativa
vigente, dal presente regolamento e da  altri  regolamenti  approvati
dal Garante. 
 
                               Art. 6. 
 
      Eventuale avvio del procedimento e relativo responsabile 
 
    1. Il dipartimento, servizio o altra unita'  organizzativa  avvia
un  procedimento  nei  casi  in  cui,  d'ufficio  o  sulla  base   di
un'istanza, cio' e' necessario ai sensi della  normativa  vigente,  e
cura la predisposizione degli atti, delle comunicazioni e degli altri
adempimenti previsti nel medesimo procedimento. 
    2. Il responsabile del procedimento avviato ai sensi del comma  1
e' il dirigente o funzionario preposto all'unita'  organizzativa  cui
e' assegnato l'affare, il quale cura gli atti, le comunicazioni e gli
altri adempimenti di cui al comma 1  anche  ai  sensi  dell'art.  14,
comma 3, del regolamento del Garante n. 1/2000. 
 
                               Art. 7. 
 
               Trattazione degli affari e procedimento 
 
    1. Per esigenze di certezza e celerita' nella  trattazione  degli
affari,  le  comunicazioni  al  Garante  inerenti  gli  stessi   sono
effettuate preferibilmente tramite i servizi on-line resi disponibili
sul sito web o  tramite  posta  elettronica  certificata  (PEC).  Ove
possibile,  le  comunicazioni  sono  effettuate   dal   dipartimento,
servizio o altra unita' organizzativa tenendo conto delle indicazioni
fornite dagli interessati ai fini delle notificazioni e comunicazioni
con il Garante,  ovvero,  nei  casi  e  nelle  forme  previsti  dalle
disposizioni  vigenti,  presso  la  casella  di   posta   elettronica
certificata  (PEC)  risultante  da  pubblici   elenchi   o   comunque
accessibili alle pubbliche amministrazioni. 
    2. In caso di trattazione di affari, anche relativi a trattamenti
transfrontalieri  di  dati  personali  che,   a   qualsiasi   titolo,
richiedono, in base alla  disciplina  vigente,  la  cooperazione  del
Garante con altre autorita' di controllo, il dipartimento, servizio o
altra unita' organizzativa cura lo scambio di tutte  le  informazioni
utili,  anche  osservando  le  modalita'  procedurali   eventualmente
stabilite in proposito dal Comitato europeo  per  la  protezione  dei
dati. 
    3. In  caso  di  affare  riguardante  persone  giuridiche,  enti,
associazioni o altri organismi la documentazione, anche difensiva, e'
presentata a firma del legale  rappresentante  o  da  altro  soggetto
munito dei poteri di rappresentanza. In caso  di  affare  riguardante
persone fisiche, la documentazione, anche  difensiva,  e'  presentata
anche per  il  tramite  di  altra  persona  da  questi  espressamente
delegata ovvero, su mandato di questi, da un ente del  terzo  settore
soggetto alla disciplina del decreto legislativo 3  luglio  2017,  n.
117, che sia attivo nel settore della  tutela  dei  diritti  e  delle
liberta' degli interessati, con riguardo  alla  protezione  dei  dati
personali. 
    4. Nella trattazione degli affari  avanti  al  Garante  le  parti
possono essere assistite da un procuratore  o  da  altra  persona  di
fiducia. 
    5. Ferma restando la garanzia del diritto di difesa,  l'attivita'
difensiva innanzi al Garante si svolge  nel  rispetto  del  principio
della leale collaborazione delle  parti  con  il  medesimo.  In  tale
prospettiva, tenuto conto dell'esigenza di assicurare  l'economicita'
dell'azione amministrativa, le deduzioni devono essere svolte,  anche
al fine di favorire la  migliore  comprensione  delle  argomentazioni
difensive, in modo essenziale. In caso di  trasmissione  cartacea,  a
richiesta dell'Ufficio, i  documenti  difensivi  vanno  trasmessi  in
formato digitale, se del  caso  su  supporto  informatico  unitamente
all'attestazione di conformita' delle  informazioni  cosi'  trasmesse
all'originale utilizzando il modello predisposto dal Garante e  messo
a  disposizione  sul  sito  web.  La  produzione  di   documentazione
inutilmente  sovrabbondante,   inconferente   o   ingiustificatamente
dilatoria puo' costituire elemento di valutazione negativa del  grado
di cooperazione con il Garante. 
    6.  In  relazione  all'accesso  ai  documenti  amministrativi  si
applicano le disposizioni previste dal  regolamento  del  Garante  n.
1/2006. 
    7.  Il  dipartimento,  servizio  o  altra  unita'   organizzativa
competente cura, ove richiesto dalla  normativa  vigente  o  ritenuto
comunque  opportuno,  gli  adempimenti  connessi  alla  consultazione
pubblica degli schemi di provvedimento. 

Capo II
Procedure concernenti la tutela dinanzi al Garante
Sezione I
Reclami

                               Art. 8. 
 
                               Reclami 
 
    1.  Sono  qualificabili  come  reclami  gli  atti  che   indicano
specificatamente,  anche  sulla  base   del   modello   appositamente
predisposto dal Garante, gli  elementi  previsti  dall'art.  142  del
codice. 
    2. Ove il  reclamo  sia  irregolare  o  incompleto,  ne  e'  data
comunicazione  all'istante,  con  l'indicazione  delle  cause   della
irregolarita' o incompletezza nonche'  del  termine,  di  regola  non
superiore a quindici  giorni,  entro  cui  provvedere  alla  relativa
regolarizzazione. 
    3. Il reclamo non tempestivamente regolarizzato e'  archiviato  e
puo' essere esaminato a titolo di segnalazione. 
 
                               Art. 9. 
 
                       Trattazione del reclamo 
 
    1. L'esame del reclamo, nel corso dell'istruttoria preliminare  e
del successivo procedimento amministrativo eventualmente avviato,  e'
orientato  a  criteri  di  semplicita'  delle  forme  osservate,   di
celerita' ed economicita', anche in riferimento  al  contraddittorio.
Resta  fermo  quanto  stabilito  all'art.  15   in   relazione   alla
trattazione  dei  reclami  aventi  ad  oggetto  la  violazione  degli
articoli da 15 a 22 del RGPD. 
    2. Salvo quanto previsto dall'art. 57, paragrafo 4, del  RGPD,  e
dall'art. 156, comma 8, del codice, il dipartimento, servizio o altra
unita'  organizzativa  al  quale  il  reclamo   e'   assegnato   cura
l'istruttoria senza richiedere alcun contributo spese. 
    3. Il responsabile del procedimento procede, in riferimento  alle
formalita' da osservare, nel rispetto delle disposizioni di cui  alla
legge  7  agosto  1990,  n.  241,  e  successive  modificazioni,  con
particolare riguardo  agli  avvisi  alle  parti,  alle  comunicazioni
interlocutorie previste e al diritto di visione degli atti. 
 
                              Art. 10. 
 
                       Istruttoria preliminare 
 
    1. Il reclamo regolarmente presentato non comporta la  necessaria
adozione di un provvedimento del Collegio  ai  sensi  dell'art.  143,
comma 1, del codice. 
    2. Il dipartimento, servizio o altra unita' organizzativa cui  il
reclamo  e'  assegnato  avvia  un'istruttoria  preliminare  e,  fermo
restando quanto previsto dall'art. 8,  commi  1  e  2,  del  presente
articolo informa l'istante dello stato o dell'esito del reclamo entro
tre mesi dalla data della sua ricezione o della sua regolarizzazione. 
    3.  Il  dipartimento,  servizio  o  altra  unita'   organizzativa
verifica se  sussistono  idonei  elementi  in  ordine  alle  presunte
violazioni e alle misure  richieste  dall'istante.  A  tal  fine,  il
dipartimento,  servizio  o  altra  unita'  organizzativa  esamina  la
documentazione pervenuta e puo' curare l'acquisizione di precisazioni
e informazioni in ordine ai fatti e alle circostanze cui si riferisce
il reclamo, anche sentendo personalmente o a mezzo di procuratore  il
titolare o il responsabile del  trattamento,  mediante  richiesta  di
informazioni o di esibizione di documenti ai sensi dell'art. 157  del
codice sottoscritta dal dirigente competente, nonche'  procedendo  ai
sensi dell'art. 22. In tale  contesto  il  dipartimento,  servizio  o
unita' organizzativa puo' invitare il titolare o il  responsabile  ad
eseguire spontaneamente le  misure  richieste  con  il  reclamo  e  a
comunicare all'Ufficio, entro il termine da  quest'ultimo  richiesto,
la propria eventuale adesione. 
    4. Al fine di promuovere l'esame  organico  di  questioni,  anche
pervenute in tempi diversi, che possono rendere opportuna  l'adozione
di un eventuale provvedimento di  carattere  generale,  l'istruttoria
preliminare puo' essere svolta contestualmente in  relazione  a  piu'
reclami aventi il medesimo  oggetto  o  che  riguardano  il  medesimo
titolare o responsabile del trattamento, oppure trattamenti  di  dati
tra  loro  correlati.   L'eventuale   riunione   o   separazione   di
procedimenti e' disposta dal dirigente del dipartimento,  servizio  o
unita' organizzativa competente. Per i procedimenti di pertinenza  di
piu' unita' organizzative la riunione o separazione e'  disposta  dal
segretario generale. 
 
                              Art. 11. 
 
                Chiusura dell'istruttoria preliminare 
 
    1. Al  termine  dell'istruttoria  preliminare,  il  dipartimento,
servizio o altra  unita'  organizzativa  competente  puo'  concludere
l'esame del reclamo archiviandolo, quando: 
      a)  la  questione  prospettata  con  il  reclamo  non   risulta
riconducibile  alla  protezione  dei  dati  personali  o  ai  compiti
demandati al Garante; 
      b) non sono ravvisati, allo stato degli atti,  gli  estremi  di
una violazione della disciplina rilevante in  materia  di  protezione
dei dati personali; 
      c) si tratta di una richiesta eccessiva, in particolare per  il
carattere pretestuoso o  ripetitivo  anche  ai  sensi  dell'art.  57,
paragrafo 4, del RGPD; 
      d) la questione  prospettata  con  il  reclamo  e'  stata  gia'
esaminata  dall'Autorita',  in  particolare  con   un   provvedimento
collegiale di carattere generale, o puo' essere esaminata richiamando
provvedimenti  o  questioni  gia'  affrontate  dal   Garante   ovvero
esprimendo  un  prudente  avviso  su  questioni  che  non  presentano
particolare rilevanza sul piano generale. 
    2. Nei casi di cui al comma 1 del presente  articolo  e'  fornito
all'istante un riscontro indicando succintamente le  ragioni  per  le
quali, ai sensi del medesimo comma, non e' promossa l'adozione di  un
provvedimento del Collegio. 
    3. Delle determinazioni  di  cui  al  comma  1  e'  informato  il
Collegio nei modi di cui all'art. 36 del presente regolamento. 
 
                              Art. 12. 
 
                Avvio del procedimento per l'adozione 
             dei provvedimenti correttivi e sanzionatori 
 
    1. Quando l'esame del reclamo non si conclude ai sensi  dell'art.
11, comma 1, il dipartimento, servizio o altra  unita'  organizzativa
avvia, con propria comunicazione al  titolare  e,  se  del  caso,  al
responsabile del trattamento,  il  procedimento  per  l'adozione  dei
provvedimenti di cui agli articoli 58, paragrafo 2, e 83 del RGPD. 
    2.  Nel  rispetto  dell'art.  166,  comma  5,  del   codice,   la
comunicazione di cui al comma 1 contiene: 
      a)  una  sintetica  descrizione  dei  fatti  e  delle  presunte
violazioni della disciplina rilevante in materia  di  protezione  dei
dati personali nonche' delle relative disposizioni sanzionatorie; 
      b) l'indicazione dell'unita' organizzativa competente presso la
quale  puo'  essere  presa  visione  ed  estratta  copia  degli  atti
istruttori; 
      c) l'indicazione che entro trenta giorni dal ricevimento  della
comunicazione e' possibile inviare al  Garante  scritti  difensivi  o
documenti e chiedere di essere sentito dalla medesima Autorita'. 
    3. Ove ne ricorrano i presupposti, la  comunicazione  di  cui  ai
commi 1 e 2 del presente articolo puo' essere  resa  direttamente  al
titolare e, se del caso, al  responsabile  del  trattamento,  qualora
tali soggetti vengano sentiti  dal  dipartimento,  servizio  o  altra
unita' organizzativa in fase di  istruttoria  preliminare,  ai  sensi
dell'art. 10, comma 3, del presente regolamento. 
    4.  Ai  sensi  dell'art.  166,  comma  5,  del  codice,  i  commi
precedenti non trovano applicazione  ove  la  suddetta  comunicazione
risulti incompatibile con la natura e le finalita' del  provvedimento
da adottare. 
 
                              Art. 13. 
 
                          Diritto di difesa 
 
    1. Il destinatario della comunicazione di cui  all'art.  12  puo'
esercitare  il  diritto  di  difesa  mediante  la  presentazione   di
deduzioni  scritte  e  documenti,   nonche',   ove   richiesta,   con
l'audizione personale in merito ai fatti oggetto di comunicazione. 
    2. Entro trenta giorni dalla  data  di  notifica  della  predetta
comunicazione  le  deduzioni  scritte  e  i  documenti  sono  inviati
all'unita' organizzativa competente. 
    3. Il  destinatario  della  comunicazione  puo'  richiedere,  con
specifica  istanza  debitamente  motivata,  una  breve  proroga.   La
proroga, di norma  non  superiore  a  quindici  giorni,  puo'  essere
concessa secondo criteri di proporzionalita' anche in relazione  alle
caratteristiche operativo/dimensionali dei destinatari stessi e  alla
complessita' della vicenda presa in esame. Il dipartimento,  servizio
o altra unita' organizzativa competente comunica l'accoglimento o  il
rigetto della richiesta di proroga. 
    4. Ove sia altresi' richiesta un'audizione, con istanza specifica
anche allegata alle memorie difensive  indirizzate  al  dipartimento,
servizio o altra unita'  organizzativa  competente,  la  medesima  ha
luogo presso la sede del Garante  nella  data  fissata  dall'ufficio.
Dell'audizione e' redatto un sintetico verbale a  cura  dell'ufficio.
L'eventuale   rinuncia   all'audizione   deve    essere    comunicata
tempestivamente   al   dipartimento,   servizio   o   altra    unita'
organizzativa competente in relazione  all'istruttoria.  In  sede  di
audizione i richiedenti svolgono le proprie controdeduzioni, evitando
duplicazioni o meri rinvii a quanto gia' rappresentato negli  scritti
difensivi.  L'audizione  delle  persone  fisiche  destinatarie  della
comunicazione di cui all'art. 12, comma 2, ha carattere  strettamente
personale; e' consentita la partecipazione  con  l'assistenza  di  un
avvocato o di altro consulente. 
    5. La mancata presentazione di controdeduzioni  scritte  o  della
richiesta di audizione non pregiudica il seguito del procedimento. 
 
                              Art. 14. 
 
                        Decisione del reclamo 
 
    1. Valutata la documentazione in atti,  l'esame  del  reclamo  e'
concluso nei modi di cui all'art. 11, comma 1, quando nuovi  elementi
sopravvenuti nel corso del procedimento evidenziano l'infondatezza  o
l'insussistenza dei presupposti per adottare un provvedimento. 
    2. Fuori dei casi di cui al comma 1, il dipartimento, servizio  o
altra unita' organizzativa competente cura la  predisposizione  dello
schema di provvedimento del Collegio e  lo  sottopone  al  segretario
generale, trasmettendolo nei modi di cui all'art. 15 del  regolamento
del Garante n. 1/2000. 
    3. Il Collegio provvede con propria deliberazione e  adotta,  ove
necessario, i provvedimenti correttivi e sanzionatori di cui all'art.
58,  paragrafo  2,  del  RGPD.  Il  Collegio  provvede  con   propria
deliberazione anche quando rileva l'infondatezza del reclamo. 
    4.  Il  provvedimento  e'  notificato  alle  parti  a  cura   del
dipartimento, servizio o altra unita' organizzativa che ne ha  curato
l'istruttoria. 
    5. Quando la condotta e' particolarmente risalente nel tempo o ha
esaurito i suoi effetti oppure tali effetti sono stati rimossi o sono
state fornite idonee  assicurazioni  da  parte  del  titolare  o  del
responsabile del  trattamento,  il  dipartimento,  servizio  o  altra
unita' organizzativa competente informa l'istante, ai sensi dell'art.
77, paragrafo 2, del RGPD, ferma restando l'applicazione dei commi 2,
3 e 4 del presente articolo ove ne ricorrano i presupposti. 
 
                              Art. 15. 
 
               Reclami aventi ad oggetto la violazione 
                 degli articoli da 15 a 22 del RGPD 
 
    1. In relazione  ai  reclami  che  abbiano  ad  oggetto,  in  via
esclusiva, la violazione degli articoli da 15 a 22  del  RGPD  per  i
quali l'istante abbia  gia'  esercitato,  in  relazione  al  medesimo
oggetto, i diritti riconosciuti da tali  disposizioni  nei  confronti
del titolare del trattamento senza ottenere un idoneo  riscontro  nei
termini di cui all'art. 12, paragrafo 3, del RGPD, salvi  i  casi  di
inammissibilita'  o  manifesta  infondatezza,  entro   quarantacinque
giorni dalla data della sua ricezione, il reclamo  e'  comunicato  al
titolare, con  invito  ad  esercitare  entro  venti  giorni  dal  suo
ricevimento la facolta' di comunicare all'istante  e  all'Ufficio  la
propria eventuale adesione spontanea. 
    2. Il reclamo reca in allegato copia della richiesta  rivolta  al
titolare del trattamento e dell'eventuale riscontro ricevuto. 
    3. Qualora  l'istante  non  abbia  preventivamente  esercitato  i
diritti di cui agli articoli da 15 a 22 del RGPD con istanza  rivolta
al titolare del trattamento, se dal reclamo non emergano specifiche e
fondate ragioni che ne giustifichino  la  mancata  effettuazione,  il
dipartimento, servizio o  altra  unita'  organizzativa  ai  quali  il
reclamo e' assegnato invita, entro quarantacinque giorni  dalla  data
della ricezione del reclamo, l'istante a rivolgersi al  titolare  del
trattamento. 
    4. In caso di adesione spontanea da parte del titolare  ai  sensi
del comma 1, il dipartimento, servizio o altra  unita'  organizzativa
competente informa l'istante, ai sensi dell'art. 77, paragrafo 2, del
RGPD, e comunica  al  titolare  o  al  responsabile  del  trattamento
l'avvio del procedimento per l'adozione dei provvedimenti di cui agli
articoli 58, paragrafo 2, e 83 del  RGPD,  ai  sensi  dell'art.  166,
comma 5, del codice e nei termini di cui  all'art.  12  del  presente
regolamento. 
 
                              Art. 16. 
 
                        Ordinanza ingiunzione 
 
    1. Ai sensi dell'art. 58, paragrafo 2, lettera i), e dell'art. 83
del RGPD  nonche'  dell'art.  166  del  codice,  il  Collegio  adotta
l'ordinanza ingiunzione, con la  quale  dispone  altresi'  in  ordine
all'applicazione della sanzione amministrativa accessoria  della  sua
pubblicazione, per intero o per estratto, sul sito web del Garante ai
sensi dell'art. 166, comma 7, del codice. 
    2.  L'ordinanza  ingiunzione  o  l'atto  di  archiviazione   sono
notificati ai destinatari  degli  stessi  a  cura  del  dipartimento,
servizio o altra unita' organizzativa che ne ha curato l'istruttoria. 
    3.  Quando  ne  ricorrono  le  condizioni,  il  provvedimento  e'
altresi' trasmesso, a cura del dipartimento, servizio o altra  unita'
organizzativa  che  ha  curato  il  procedimento  sanzionatorio,   al
dipartimento, servizio o altra  unita'  organizzativa  competente  in
materia di amministrazione e contabilita' per  l'iscrizione  a  ruolo
dei relativi importi. 
    4.  Resta  salva  l'applicazione  dell'art.  28  della  legge  24
novembre 1981, n. 689. 
 
                              Art. 17. 
 
Registro interno delle violazioni e delle misure correttive adottate 
 
    1. La decisione sul reclamo ai  sensi  degli  articoli  14  e  15
nonche' l'ordinanza ingiunzione  ai  sensi  dell'art.  16  dispongono
altresi', ricorrendone  i  presupposti,  l'annotazione  nel  registro
interno dell'Autorita' previsto dall'art. 57,  paragrafo  1,  lettera
u), del RGPD, delle violazioni e delle misure adottate in conformita'
all'art. 58, paragrafo 2, del RGPD. 
    2. La conseguente annotazione nel predetto  registro  interno  e'
curata  dal  dipartimento,  servizio  o  altra  unita'  organizzativa
competente. 
 
                              Art. 18. 
 
        Procedimenti relativi a trattamenti transfrontalieri 
 
    1. In relazione alla trattazione di affari oggetto  di  procedure
avviate ai sensi dell'art. 60 del RGPD, il dipartimento,  servizio  o
altra  unita'  organizzativa  competente,  curati   gli   adempimenti
previsti ai paragrafi da 1 a 3 della medesima disposizione, trasmette
al Collegio lo schema di progetto di decisione ovvero lo schema delle
eventuali obiezioni pertinenti e motivate ad un progetto di decisione
predisposto da altra autorita' di controllo di cui,  rispettivamente,
ai paragrafi 3 e 5 del medesimo art. 60. 
    2.  Il  dipartimento,  servizio  o  altra  unita'   organizzativa
competente procede secondo le  modalita'  indicate  al  comma  1  del
presente  articolo  anche  in  relazione  allo  schema  di  ordinanza
ingiunzione. 
    3. Il Collegio provvede con propria deliberazione: 
      a) ad approvare  le  obiezioni  pertinenti  e  motivate  ad  un
progetto di decisione predisposta da un'altra autorita' capofila; 
      b) ad adottare il progetto di decisione  di  cui  all'art.  60,
paragrafi 3 e 5, del RGPD; ovvero 
      c) ricorrendo i presupposti di cui all'art. 60, paragrafo 4,  a
sottoporre la questione al meccanismo di coerenza di cui all'art.  63
del RGPD. 
    4. Quando il Garante e' autorita' capofila,  acquisiti  i  pareri
conformi  delle  altre  autorita'  di   controllo   interessate,   il
procedimento si conclude, nel rispetto dell'art. 60, paragrafi 7 o 9,
del RGPD, con provvedimento di cui agli articoli  14,  15  e  16  del
presente regolamento. 
    5.  Quando  il  Garante  e'  autorita'  interessata   in   quanto
destinataria di un reclamo, il procedimento si conclude, nel rispetto
dell'art. 60, paragrafi 8 o 9, del RGPD,  con  provvedimento  di  cui
agli articoli 14, 15 e 16 del presente regolamento. 

Sezione II
Segnalazioni

 
                              Art. 19. 
 
                      Esame delle segnalazioni 
 
    1. Sono qualificabili come segnalazioni gli atti,  diversi  dalle
richieste  di  parere  e  dai  quesiti,   che   non   presentano   le
caratteristiche del reclamo e sono volti a sollecitare  un  controllo
da parte  del  Garante  sulla  disciplina  rilevante  in  materia  di
trattamento dei dati personali. 
    2. La segnalazione e' presentata  da  un  soggetto  identificato.
L'Autorita'  puo'  utilizzare  le  notizie  indicate   in   eventuali
segnalazioni che provengono da un soggetto non identificato,  qualora
ritenga di dover avviare controlli  su  casi  nei  quali  ravvisa  il
rischio di seri pregiudizi o  di  ritorsioni  ai  danni  di  soggetti
interessati dal trattamento,  oppure  ricorre  comunque  un  caso  di
particolare gravita'. 
    3. La segnalazione puo' essere esaminata dall'Autorita',  ma  non
comporta la necessaria adozione di un provvedimento. 
    4. Nei casi in cui fatti di possibile rilievo per  la  disciplina
in materia di protezione dei dati personali siano  stati  riscontrati
nell'ambito di verifiche condotte da altre Autorita', la segnalazione
puo' essere  esaminata  ai  fini  dell'eventuale  accertamento  della
sussistenza  di  una  violazione.  Ove  necessario,  sono   acquisiti
ulteriori elementi. 
    5.  Il  dipartimento,  servizio  o  altra  unita'   organizzativa
competente puo', anche tenuto conto di quanto  previsto  dall'art.  3
del  presente  regolamento,  concludere  l'esame  della  segnalazione
disponendone l'archiviazione quando ricorre uno  dei  presupposti  di
cui all'art. 11, comma 1, oppure in caso di  segnalazioni  del  tutto
generiche. Si considerano tali le  segnalazioni  che  si  limitano  a
imputare a un soggetto fatti privi di elementi circostanziati  o  che
non contengono elementi tali da consentire un'agevole  individuazione
del titolare del trattamento. 
    6. E' fatta salva l'attivita' di controllo, anche con riferimento
a segnalazioni gia' oggetto  di  archiviazione  ai  sensi  dei  commi
precedenti, in caso di sopravvenuti elementi di fatto  o  di  diritto
ovvero di diversa ed ulteriore valutazione del Garante. 
    7. Delle determinazioni  di  cui  al  comma  5  e'  informato  il
Collegio nei modi di cui all'art. 36. 
 
                              Art. 20. 
 
  Istruttoria preliminare ed eventuale procedimento amministrativo 
 
    1. Fermi restando i casi in cui la segnalazione e' archiviata  ai
sensi dell'art. 19, comma 5, il dipartimento, servizio o altra unita'
organizzativa puo' avviare un'istruttoria preliminare. 
    2.  Nel  corso  dell'eventuale  procedimento  amministrativo   si
osservano le disposizioni per i reclami di cui agli articoli da  9  a
18, anche per quanto riguarda  l'informativa  al  Collegio  ai  sensi
dell'art. 36, e al segnalante puo' essere fornito un riscontro. 

Capo III
Attività di controllo ed ispettive

 
                              Art. 21. 
 
      Controlli e provvedimenti adottati senza istanza di parte 
 
    1.  Nell'esercizio  dei   compiti   di   controllo   o   comunque
esercitabili dal Garante, valutati gli elementi  in  suo  possesso  e
anche  in  assenza  di  reclamo,  segnalazione  o  notificazione   di
violazione dei dati personali,  l'Autorita'  puo'  avviare  d'ufficio
un'istruttoria preliminare per verificare la  sussistenza  di  idonei
elementi in ordine a possibili violazioni della disciplina  rilevante
in materia di protezione dei dati personali. 
    2. Nel corso dell'eventuale procedimento si osservano, in  quanto
applicabili, le disposizioni per i reclami di cui agli articoli da  9
a 18, anche per quanto riguarda l'informativa al  Collegio  ai  sensi
dell'art. 36. 
 
                              Art. 22. 
 
Attivita'  ispettive  e  di  revisione  sulla  protezione  dei   dati
                              personali 
 
    1.  Il  dipartimento,  servizio  o  altra  unita'   organizzativa
competente in materia di attivita' ispettive e di revisione  cura  lo
svolgimento  dell'attivita'  ispettiva  effettuata  ai  sensi   degli
articoli 157  e  158  del  codice  nonche'  ai  sensi  dell'art.  58,
paragrafo 1, e dell'art.  62  del  RGPD,  tenuto  anche  conto  della
programmazione dell'attivita'  ispettiva  disposta  dal  Collegio  ai
sensi dell'art. 4, comma 1, lettera  c),  del  presente  regolamento,
sulla base di un ordine di servizio sottoscritto  dal  dirigente  del
medesimo dipartimento.  Effettuati  gli  accertamenti  relativi  agli
elementi idonei in ordine alle presunte violazioni, il  dipartimento,
servizio o altra unita' organizzativa inoltra gli atti al  segretario
generale per l'assegnazione alla competente unita'  organizzativa  ai
sensi dell'art. 14 del regolamento del  Garante  n.  1/2000,  per  il
seguito di trattazione. 
    2. Valutata la sussistenza di eventi di particolare rilevanza, il
Collegio puo' disporre ulteriori attivita'  ispettive,  da  svolgersi
secondo le modalita' di cui al comma 1 del presente regolamento. 
    3.  Il  dipartimento  servizio  o  altra   unita'   organizzativa
competente in materia di attivita'  ispettive  e  di  revisione  cura
altresi' i controlli di cui al comma 1 nell'ambito delle  istruttorie
preliminari e dei procedimenti amministrativi comunque avviati presso
altre unita' organizzative dell'Autorita', alle quali  e'  restituito
l'esito per la successiva trattazione. 
    4. L'attivita' ispettiva effettuata ai sensi degli articoli 157 e
158 del codice puo' essere curata dal dipartimento servizio  o  altra
unita' organizzativa competente in materia di attivita'  ispettive  e
di revisione ovvero delegata alla Guardia di finanza. La stessa  puo'
essere  altresi'  effettuata  avvalendosi,  ove   necessario,   della
collaborazione di altri organi dello Stato. 
    5. L'ordine di servizio con cui e' disposta l'attivita' ispettiva
individua il titolare o il responsabile del  trattamento  destinatari
del  controllo,  i  poteri  di  indagine  utilizzati,  l'ambito   del
controllo, il luogo ove si  svolge  l'accertamento,  il  responsabile
delle attivita' e gli ulteriori partecipanti, designati d'intesa  con
i dirigenti dei dipartimenti, servizi o altre  unita'  organizzative;
l'ordine di servizio indica altresi' le sanzioni  previste  ai  sensi
dell'art. 83, paragrafo 5, lettera e), del RGPD e degli articoli  166
e 168 del codice. 
    6. Nel corso dell'attivita' ispettiva, della  quale  puo'  essere
dato preavviso, e' possibile, in particolare: 
      a) controllare, estrarre  ed  acquisire  copia  dei  documenti,
anche in formato elettronico; 
      b) richiedere informazioni e spiegazioni; 
      c) accedere alle banche dati ed agli archivi; 
      d) acquisire  copia  delle  banche  dati  e  degli  archivi  su
supporto informatico. 
    7.  Durante  l'attivita'  ispettiva  il  soggetto  sottoposto  ad
ispezione puo' farsi assistere da consulenti  di  propria  fiducia  e
fare  riserva  di  produrre  la  documentazione  non   immediatamente
reperibile entro un termine congruo, di regola non superiore a trenta
giorni; in casi eccezionali, puo' essere richiesto un differimento di
tale termine. 
    8. Le attivita' di revisione sulla protezione dei dati  personali
sono avviate ai sensi dell'art. 58,  paragrafo  1,  lettera  b),  del
RGPD, presso il titolare o il  responsabile  del  trattamento  ovvero
presso la sede dell'Autorita'. In tale ultimo  caso,  l'attivita'  si
svolge a seguito di convocazione  del  titolare  o  del  responsabile
presso  il  dipartimento,  servizio  o  altra  unita'   organizzativa
competente  in  materia  di  attivita'  ispettive  e  di   revisione.
Nell'ambito delle attivita' di revisione, qualora  emergano  elementi
di criticita' nel trattamento  dei  dati  personali,  possono  essere
avviate attivita' ispettive al fine di rilevare eventuali  violazioni
della normativa sulla protezione dei dati personali. 
    9. Dell'attivita' svolta  ai  sensi  dei  commi  precedenti,  con
particolare riferimento  alle  dichiarazioni  rese  ed  ai  documenti
acquisiti, e' redatto processo verbale, una  copia  del  quale  viene
consegnata al soggetto sottoposto ad ispezione ovvero ad attivita' di
revisione. 

Capo IV
Regole deontologiche

 
                              Art. 23. 
 
         Promovimento dell'adozione di regole deontologiche 
 
    1. Il Garante promuove, nei casi previsti dalla legge, l'adozione
di regole deontologiche ai sensi dell'art. 2-quater  del  codice  con
deliberazione del Collegio da  pubblicare  nella  Gazzetta  Ufficiale
della Repubblica italiana. 
    2. Con la deliberazione di cui al comma 1 del  presente  articolo
sono indicati  i  criteri  generali  in  base  ai  quali  l'Autorita'
verifica il rispetto del principio di rappresentativita'. In base  al
medesimo principio, i soggetti pubblici e privati  appartenenti  alle
categorie interessate che ritengano di avere titolo  a  sottoscrivere
le  regole  deontologiche  sono  invitati   a   darne   comunicazione
all'Autorita' entro un termine prefissato, e a fornire informazioni e
documentazione  idonee  a  comprovare,  in   particolare,   la   loro
rappresentativita'. 
    3. Con la deliberazione  di  cui  al  comma  1  il  Garante  puo'
invitare altri soggetti che  si  ritengano  comunque  interessati  in
relazione  all'applicazione  delle  regole  deontologiche   a   darne
comunicazione all'Autorita' e a fornire informazioni e documentazione
idonee a comprovare, in particolare, il proprio interesse qualificato
alla materia. 
 
                              Art. 24. 
 
                          Esame preliminare 
 
    1. Le comunicazioni  di  cui  all'art.  23,  comma  2,  pervenute
all'Autorita' sono esaminate preliminarmente, unitamente al materiale
prodotto,  e  valutate  dal   Garante,   anche   sulla   base   della
deliberazione  gia'  adottata  ai  sensi   del   medesimo   articolo,
considerando in particolare: 
      a) l'appartenenza alle categorie  interessate  degli  organismi
che intendono adottare regole deontologiche in qualita'  di  soggetti
rappresentativi,  nonche'  la  sussistenza  del   presupposto   della
rappresentativita' anche in  relazione  ai  settori  determinati  nei
quali le stesse dovrebbe operare; 
      b) la sussistenza  di  un  interesse  qualificato  in  capo  ai
soggetti interessati. 
    2. Le valutazioni di cui al  comma  1  possono  essere  formulate
anche  dopo  l'inizio  dei  lavori  per  la  redazione  delle  regole
deontologiche, qualora ricorrano particolari esigenze inerenti  anche
alla necessita' di svolgere ulteriori approfondimenti  relativi  alla
rappresentativita' o all'interesse qualificato. 
    3. Eventuali comunicazioni pervenute da categorie o  da  soggetti
interessati dopo il termine prefissato ai sensi dell'art.  23,  comma
2,  possono  essere  esaminate  fino  alla  adozione   delle   regole
deontologiche, valutando parimenti la sussistenza dei presupposti  di
cui al comma 1. 
    4. L'esito della valutazione effettuata dal Garante ai sensi  dei
commi 1 e 3 e' comunicata a ciascun soggetto od organismo interessato
informando tutti coloro che hanno inviato comunicazioni all'Autorita'
ai sensi dell'art. 23, comma 2. 
    5.  I  criteri  per  individuare  le  categorie  interessate   in
relazione al settore determinato per il quale le regole deontologiche
verranno adottate, e per valutare la rappresentativita' o l'interesse
qualificato   dei   soggetti   che   hanno   inviato    comunicazioni
all'Autorita', sono definiti  dal  Garante  in  relazione  a  ciascun
ambito interessato dalle regole deontologiche,  tenendo  conto  della
specificita' del settore  e  delle  particolari  caratteristiche  del
trattamento. 
 
                              Art. 25. 
 
               Organizzazione e svolgimento dei lavori 
 
    1. L'Autorita', effettuata la comunicazione di cui  all'art.  24,
comma 4, fermo restando quanto previsto nei commi 2 e 3 del  medesimo
articolo, invita i soggetti appartenenti alle categorie interessate a
partecipare ad una prima riunione di lavoro  preordinata  all'analisi
dello schema preliminare delle regole deontologiche portate alla  sua
attenzione, anche presso gli uffici del Garante,  e  ne  comunica  la
data anche agli altri soggetti  che  risultano  interessati  i  quali
possono prendervi parte. 
    2. Nell'esercitare il  compito  di  promuovere  l'adozione  delle
regole deontologiche, l'Autorita' incoraggia la proficua cooperazione
tra  i  soggetti  appartenenti  alle  categorie  interessate   e   la
collaborazione dei soggetti interessati nell'organizzazione  e  nello
svolgimento dei lavori. 
 
                              Art. 26. 
 
                  Schema delle regole deontologiche 
 
    1.  Al  termine  della  prima  fase  dei   lavori,   i   soggetti
rappresentativi che vi  hanno  partecipato  redigono  e  sottopongono
all'Autorita'  uno  schema  di  regole  deontologiche  che  tiene  in
considerazione i contributi forniti dai soggetti interessati. 
 
                              Art. 27. 
 
  Valutazione preliminare di conformita' delle regole deontologiche 
 
    1. Lo schema di cui all'art. 26 e' soggetto  ad  una  valutazione
preliminare da parte del  Garante,  anche  sulla  base  di  eventuali
richieste di chiarimento al fine di  rilevare  l'eventuale  manifesta
sussistenza di profili di non  conformita'  alla  normativa  vigente,
invitando, in quest'ultima  ipotesi,  i  soggetti  rappresentativi  a
riesaminare lo schema proposto. 
    2. Ove non ricorrano le condizioni di cui al comma 1, il Garante,
ai sensi dell'art. 2-quater, comma 2, del codice, sottopone lo schema
a consultazione pubblica per almeno sessanta giorni  inserendolo  nel
proprio sito web al fine di  raccogliere  eventuali  osservazioni  ed
invita a tal fine soggetti  rappresentativi  e  interessati  a  darne
ampia pubblicita'. 
    3.  Il  Garante  dispone  altresi'  la  trasmissione  all'Ufficio
pubblicazioni leggi e decreti del Ministero  della  giustizia  di  un
avviso  da  pubblicare  nella  Gazzetta  Ufficiale  della  Repubblica
italiana, volto a rendere nota l'inserzione dello schema sul  proprio
sito web e ad invitare i soggetti interessati a  formulare  eventuali
osservazioni entro un termine prefissato. 
    4. Scaduto il termine, le osservazioni di cui  al  comma  3  sono
esaminate e trasmesse ai soggetti rappresentativi o  interessati  per
le valutazioni del caso. 
 
                              Art. 28. 
 
              Schema finale delle regole deontologiche 
 
    1. I soggetti rappresentativi, esaminate le osservazioni  di  cui
all'art.  27,  comma  3,  redigono  lo  schema  finale  delle  regole
deontologiche tenendo in considerazione il  contributo  dei  soggetti
interessati e lo trasmettono al Garante. 
    2. Nelle regole deontologiche e' individuata altresi' la  data  a
decorrere dalla quale le stesse sono applicabili. 
 
                              Art. 29. 
 
                  Valutazione finale di conformita' 
          delle regole deontologiche e loro sottoscrizione 
 
    1.  Il  Garante  esamina  lo  schema  finale  recante  le  regole
deontologiche e, salvo che riscontri profili  di  non  conformita'  a
norme di legge o di regolamento, invita i soggetti rappresentativi  a
sottoscriverle,   disponendone   quindi   la   pubblicazione   e   la
comunicazione al Ministero della giustizia per la loro allegazione al
codice. 
    2. I soggetti interessati possono manifestare la loro adesione ai
principi affermati dalle regole deontologiche. L'adesione e' indicata
in un atto distinto dal documento dove e' apposta  la  sottoscrizione
dei soggetti rappresentativi, ma ad esso allegato. 
    3. Il Garante esamina la richiesta di soggetti rappresentativi  o
interessati volta ad apporre le sottoscrizioni o le adesioni  di  cui
ai commi  1  e  2  in  epoca  successiva  all'adozione  delle  regole
deontologiche. Se la richiesta e' accolta, ne e' data  notizia  nella
Gazzetta Ufficiale della Repubblica italiana. 
 
                              Art. 30. 
 
              Pubblicazione delle regole deontologiche 
 
    1. Le regole deontologiche  recanti  le  suddette  sottoscrizioni
sono  trasmesse  all'Ufficio  pubblicazioni  leggi  e   decreti   del
Ministero della giustizia per la loro  pubblicazione  nella  Gazzetta
Ufficiale della Repubblica  italiana  ai  sensi  dell'art.  2-quater,
comma 3, del codice. Le regole deontologiche sono altresi' pubblicate
sul sito web del Garante. 
    2. Le regole deontologiche sono  comunicate  al  Ministero  della
giustizia ai fini della loro allegazione  al  codice  previo  decreto
ministeriale da adottarsi ai sensi dell'art. 2-quater, comma 3, dello
stesso codice. 
 
                              Art. 31. 
 
Regole deontologiche  relative  al  trattamento  dei  dati  personali
             nell'esercizio dell'attivita' giornalistica 
 
    1. Le disposizioni del presente capo trovano  applicazione  anche
con riguardo all'adozione  delle  regole  deontologiche  relative  al
trattamento  dei   dati   personali   nell'esercizio   dell'attivita'
giornalistica, nonche' alle loro eventuali modifiche o  integrazioni,
fatto salvo quanto specificamente previsto dall'art. 139 del codice. 

Capo V
Codici di condotta

 
                              Art. 32. 
 
    Procedimento relativo all'approvazione dei codici di condotta 
 
    1. Il Garante incoraggia l'elaborazione dei codici di condotta di
cui all'art. 40  del  RGPD  e,  salvo  che  ricorrano  le  condizioni
indicate nel comma 2 del presente articolo, li approva osservando  il
procedimento disciplinato al capo IV del  presente  regolamento,  per
quanto compatibile. 
    2. Con riferimento a codici di condotta relativi  alle  attivita'
di trattamento in piu' Stati membri si osservano le  disposizioni  di
cui  all'art.  40,  paragrafi  da  7  a  11,  del  RGPD,  nonche'  il
procedimento  eventualmente  stabilito  in  proposito  dal   Comitato
europeo per la protezione dei dati. 

Capo VI
Altre attività dell'Autorità

 
                              Art. 33. 
 
      Difficolta' connesse all'attuazione di misure correttive 
 
    1. Ove nell'esecuzione di una misura correttiva disposta ai sensi
dell'art. 58, paragrafo 2,  lettere  c)  e  d),  del  RGPD,  emergano
significative difficolta'  attuative,  tenuto  conto  degli  elementi
forniti  al  Garante,  il  dipartimento,  servizio  o  altra   unita'
organizzativa che ha curato l'istruttoria del  provvedimento  con  il
quale  sono  state  impartite  tali  misure,  predispone  lo   schema
dell'ulteriore provvedimento del  Collegio,  il  quale  si  pronuncia
anche nel merito della questione. 
 
                              Art. 34. 
 
                         Altri procedimenti 
 
    1. Nei casi di cui al comma 2, il dipartimento, servizio o  altra
unita' organizzativa valuta la completezza degli elementi istruttori,
e, verificata l'esistenza dei presupposti per le decisioni  da  parte
dell'Autorita', cura la predisposizione dello schema di provvedimento
del  Collegio.  Il  dirigente  dell'unita'  organizzativa  competente
procede poi nei modi di cui all'art. 15 del regolamento  del  Garante
n. 1/2000. 
    2. Si procede nei modi di cui al comma  1  nei  casi  in  cui  il
Collegio deve provvedere con propria deliberazione, anche  d'ufficio,
riguardo a: 
      a) pareri previsti dalla normativa vigente; 
      b) autorizzazioni, anche  relative  al  trasferimento  di  dati
personali all'estero; 
      c) ogni altro caso in cui, fuori dalle ipotesi di cui  al  capo
II  del  presente  regolamento,  e'   prevista   l'adozione   di   un
provvedimento del Garante. 
 
                              Art. 35. 
 
                               Quesiti 
 
    1. Con riferimento al compito di promuovere la  consapevolezza  e
favorire  la  comprensione  riguardo  ai  rischi,  alle  norme,  alle
garanzie, ai diritti e obblighi in materia di protezione dei dati  di
cui  all'art.  57,  paragrafo  1,  lettere  b)  e  d),  del  RGPD,  e
subordinatamente alle linee  di  priorita'  di  cui  all'art.  4  del
presente  regolamento,  il  dipartimento,  servizio  o  altra  unita'
organizzativa competente puo', anche tenuto conto di quanto  previsto
dall'art. 3, fornire riscontro a quesiti quando riguardano  questioni
di specifico interesse per la protezione dei dati personali. 
    2. L'Ufficio relazioni con il pubblico, cui  sono  assegnati  gli
altri quesiti ai quali, in base a quanto previsto dal  comma  1,  non
puo' essere  fornito  un  riscontro  analitico,  informa  per  quanto
possibile i soggetti richiedenti di tale circostanza, o fornisce loro
eventuali succinte informazioni anche su iniziative  e  provvedimenti
gia' adottati dall'Autorita'. 
 
                              Art. 36. 
 
   Rapporto informativo sullo stato della trattazione degli affari 
 
    1. In conformita' a  quanto  previsto  dall'art.  6,  comma  2  e
dall'art. 9, comma 4, lettera e),  del  regolamento  del  Garante  n.
1/2000, il segretario generale cura  per  il  Collegio,  con  cadenza
semestrale, avvalendosi del sistema  informativo  dell'Autorita',  la
predisposizione di un rapporto informativo sullo stato  degli  affari
di cui ai capi da  II  a  VI  trattati  dalle  unita'  organizzative,
indicando le tipologie di determinazioni da esse adottate o in via di
adozione nei casi individuati, nonche'  il  relativo  oggetto,  anche
avvalendosi di codici numerici. 
 
                              Art. 37. 
 
                   Pubblicazione dei provvedimenti 
 
    1. Salvi gli obblighi di pubblicazione previsti dall'art. 12  del
decreto legislativo 14 marzo 2013, n. 33, e il regime di  pubblicita'
stabilito dal Garante ai sensi dell'art. 166, comma 7, del codice, in
occasione dell'adozione di ordinanze ingiunzione, i provvedimenti del
Garante sono pubblicati tempestivamente sul sito web dell'Autorita' e
sono reperibili mediante i comuni motori di ricerca. 
    2. Decorsi due anni dalla  loro  adozione,  i  provvedimenti  del
Garante di  cui  al  comma  1  del  presente  articolo  recanti  dati
personali delle parti o di terzi restano accessibili tramite il  sito
web dell'Autorita' ma sono adottate, tenuto  conto  delle  tecnologie
disponibili, misure  volte  ad  impedire  ai  motori  di  ricerca  di
indicizzarli ed effettuare ricerche rispetto ad essi. 
    3.  In  ogni   caso,   sono   adottate   opportune   misure   per
salvaguardare: 
      a)  la  sicurezza,  la  difesa   nazionale   e   le   relazioni
internazionali; 
      b) la politica monetaria e valutaria; 
      c) l'ordine pubblico e la prevenzione e repressione dei reati; 
      d) la  protezione  dei  dati  personali,  in  conformita'  alla
disciplina  in  materia.  In  ogni  caso  non  formano   oggetto   di
pubblicazione  i  nominativi  degli  istanti  nonche'  delle  persone
fisiche che li rappresentano; 
      e) la proprieta' intellettuale, il diritto d'autore e i segreti
commerciali. 
    4. A margine del provvedimento pubblicato sono annotate,  a  cura
della competente unita' organizzativa,  le  informazioni  riguardanti
l'avvenuta presentazione di  ricorso  giurisdizionale  da  parte  del
soggetto interessato con l'indicazione del suo esito. 
 
                              Art. 38. 
 
              Pubblicazione dell'ordinanza ingiunzione 
 
    1. In  caso  di  pubblicazione  dell'ordinanza  ingiunzione,  per
intero o  per  estratto,  sono  comunque  osservati  i  limiti  e  le
modalita' stabilite dall'art. 37, commi da 2 a 4. 

Capo VII
Disposizioni finali

 
                              Art. 39. 
 
                        Disposizioni abrogate 
 
    1. A decorrere dalla data  di  entrata  in  vigore  del  presente
regolamento sono abrogati i regolamenti del Garante n.  1/2007  e  n.
2/2006. 
 
                              Art. 40. 
 
                          Entrata in vigore 
 
    1. Il presente regolamento entra in vigore il giorno successivo a
quello  della  sua  pubblicazione  nella  Gazzetta  Ufficiale   della
Repubblica italiana. 
 
      Roma, 4 aprile 2019 
 
                                        Il segretario generale: Busia