g-docweb-display Portlet

Determinazione del Segretario Generale del 16 giugno 2020 [9427090]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9427090]

Detereminazione del Segeretario Generale del 16 giugno 2020

Registro atti SG
n. 79 del 16 giugno 2020

IL SEGRETARIO GENERALE

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante il “Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE” (di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101;

VISTI i regolamenti del Garante n. 1, 2 e 3 del 2000, approvati con deliberazione n. 15 del 28 giugno 2000, pubblicata nella Gazzetta Ufficiale;

VISTO il provvedimento del 22 febbraio 2018, n. 118, con il quale sono state individuate le competenze per materia delle Unità organizzative a far data dal 1° marzo 2018, ha stabilito altresì che “il Segretario generale fornisce con propria determinazione, anche a seguito dei decreti legislativi previsti dalla citata Legge di delegazione europea 2016-2017, eventuali chiarimenti interpretativi sui citati ambiti di competenza e sulle conseguenti variazioni di carattere sostanziale”;

CONSIDERATO che il complesso normativo derivante dall’attuazione del pacchetto di protezione dati, anche in ambito nazionale, all’atto della sua concreta applicazione per un lasso di tempo ragionevole, ha fatto emergere talune peculiarità che si riflettono direttamente sulle competenze delle singole Unità organizzative e che appare opportuno intervenire con riferimento alle tematiche di seguito rappresentate;

VISTO l’art. 167, comma 5, del Codice, come novellato dal d.lgs. n. 101/2018, ai sensi del quale il Garante trasmette al pubblico ministero, con una relazione motivata, la documentazione raccolta nello svolgimento dell'attività di accertamento nel caso in cui emergano elementi che facciano presumere la esistenza di un reato. La trasmissione degli atti al pubblico ministero avviene al più tardi al termine dell'attività di accertamento delle violazioni in materia di protezione dati;

CONSIDERATO che il citato provvedimento n. 118/2018, non esplicita con sufficiente chiarezza quali siano le Unità organizzative competenti alla predisposizione della citata relazione motivata; 

RITENUTO che, alla luce della delicatezza di tale adempimento, occorra fornire chiarimenti in ordine alla competenza a predisporre la relazione motivata di cui all’art. 167, comma 5, del Codice, al fine di evitare una dilazione dell’attività istruttoria ed incertezze applicative; 

VISTE le indicazioni fornite dal Collegio nell’adunanza del 10 giugno 2020;

CONSIDERATO che si realizza in capo all’Unità organizzativa assegnataria dell'affare, in ragione dell’attività istruttoria effettuata, una indubitabile e approfondita conoscenza del trattamento in esame, tale ritenere che questa sia l’articolazione organizzativa più idonea non solo a determinare fondatamente la possibile sussistenza di una fattispecie penalmente rilevante con conseguente necessità di provvedere a formulare la segnalazione di una notizia di reato alla Procura della Repubblica, ma anche a illustrare con maggiore perizia la fattispecie medesima nella relazione motivata di cui all’art. 167, comma 7, del Codice, sulla base degli elementi istruttori acquisiti;

RITENUTO che risponda a criteri di efficacia ed efficienza amministrativa confermare l’attribuzione della competenza a provvedere ai sensi del citato art. 167, comma 5, del Codice, al Dipartimento assegnatario per materia dell’affare, anche in ragione del fatto che, svolgendo l’istruttoria, il medesimo rileva nell’immediatezza la possibile commissione di reati e, quindi, risulta essere quello che più rapidamente e con maggiore cognizione di causa è in grado di predisporre la relazione motivata per la Procura della Repubblica;

RITENUTO, pertanto, che il Dipartimento assegnatario dell’affare, al momento di proporre lo schema di provvedimento al Collegio ai sensi dell’art. 14 del regolamento n. 1/2019, evidenzi anche l’eventuale ritenuta sussistenza degli estremi di una fattispecie costituente reato, in modo da consentire al Collegio medesimo di pronunciarsi in proposito;

RITENUTO altresì che, anche nella diversa ipotesi in cui si ritenga di definire l'istruttoria con nota del dirigente ai sensi dell’art. 11 del regolamento n. 1/2019, l'eventuale comunicazione alla Procura della Repubblica debba confluire nell’ambito istruttorio di competenza dipartimentale;

RITENUTO in ogni caso che, anche al fine di assicurare opportunamente il coordinamento e l’unitarietà dell’attività istituzionale, la relazione motivata di cui all’art. 167, comma 5, del Codice, predisposta dall’Unità organizzativa assegnataria dell’affare e sottoscritta dal relativo Dirigente sia formalmente trasmessa, completa di ogni allegato e con l’indicazione della Procura della Repubblica competente, al Segretario generale che provvederà alla relativa trasmissione;

VISTO che, sotto il differente profilo dell’attività istruttoria inerente la comunicazione di violazione di dati personali di cui all’art. 33 del Regolamento, il Dipartimento tecnologie digitali e sicurezza informatica-DiTeDiSi è stato incaricato di curare “l'istruttoria relativa alla notifica delle violazioni dei dati personali all'Autorità di controllo ai sensi di quanto previsto dall'art. 33 del Regolamento (UE) 2016/679, coordinandosi con i dipartimenti competenti per gli specifici profili di carattere strettamente giuridico” (cfr. par. 2, lett. n, del provvedimento n. 118/2018);

CONSIDERATO che il DiTeDiSI interviene sulle problematiche di natura tecnica prospettate con la notifica, valutando anche le conseguenti misure correttive da prescrivere tempestivamente, oltre che la eventuale necessità di comunicazione dell’evento agli interessati;

RILEVATO che il citato provvedimento n. 118/2018, non esplicita quali siano le Unità organizzative competenti a provvedere in merito alle connesse violazioni di carattere giuridico che dovessero emergere nel caso di specie e per le quali si rende necessario adottare ulteriori misure correttive nei confronti del titolare del trattamento ai sensi dell’art. 58, par. 2, del Regolamento, inclusa la sanzione amministrativa pecuniaria;

RITENUTO opportuno, quindi, al fine di scongiurare il rischio di possibili contrasti interpretativi e nel rispetto dei criteri di efficacia ed efficienza amministrativa, provvedere a chiarire, in relazione alle notifiche di violazioni di dati personali, che la competenza del DiTeDiSI è riferita alla prescrizione dei soli accorgimenti strettamente tecnici, da adottare nell’immediatezza del fatto, e della eventuale notifica agli interessati ai sensi degli artt. 33 e 34 del Regolamento, dovendosi ritenere investiti dei profili giuridici che dovessero emergere di volta in volta i Dipartimenti competenti per materia, qualora questi ultimi ravvisino la necessità di impartire al titolare del trattamento ulteriori misure correttive ai sensi dell’art. 58, par. 2, del Regolamento, inclusa la sanzione amministrativa pecuniaria, 

RITENUTO pertanto che qualora dovessero emergere, nel caso concreto, questioni di carattere giuridico, il DiTeDiSi si astiene dal trattare l’affare trasmettendo gli atti - corredati da una relazione recante le misure correttive di natura tecnica che si rende necessario prescrivere al titolare del trattamento, compresa l’eventuale notifica agli interessati - al Dipartimento competente per materia, ai fini del completamento dell’istruttoria in relazione ai profili giuridici;

RITENUTO di dover provvedere in merito;

DETERMINA:

1. in relazione agli adempimenti di cui all’art. 167, comma 5, del Codice, che il Dipartimento competente per materia:

a. al momento di proporre lo schema di provvedimento al Collegio ai sensi dell’art. 14 del regolamento n. 1/2019, evidenzia anche l’eventuale ritenuta sussistenza degli estremi di una fattispecie costituente reato con esplicitazione delle relative motivazioni, in modo da consentire al Collegio medesimo di pronunciarsi in proposito;

b. che, in relazione agli citati adempimenti di cui all’art. 167, comma 5, del Codice, nella diversa ipotesi in cui il Dipartimento assegnatario dell’affare ritenga di definire l'istruttoria con nota del dirigente ai sensi dell’art. 11 del regolamento n. 1/2019, l'eventuale comunicazione alla Procura della Repubblica confluisca comunque nell’ambito istruttorio di competenza dipartimentale;

c. in ogni caso, anche al fine di assicurare opportunamente il coordinamento e l’unitarietà dell’attività istituzionale, la relazione motivata di cui all’art. 167, comma 5, del Codice, predisposta dall’Unità organizzativa assegnataria dell’affare e sottoscritta dal relativo Dirigente, è formalmente trasmessa, completa di ogni allegato e con l’indicazione della Procura della Repubblica competente, al Segretario generale che provvederà alla relativa trasmissione;

2.  in relazione alle notifiche di violazioni di dati personali, che il Dipartimento tecnologie digitali e sicurezza informatica:

a. provvede alla prescrizione dei soli accorgimenti strettamente tecnici, da adottare nell’immediatezza del fatto, e della eventuale notifica agli interessati, ai sensi degli artt. 33 e 34 del Regolamento, dovendosi invece ritenere investiti dei profili giuridici che dovessero emergere i Dipartimenti competenti per materia, al fine di scongiurare il rischio di possibili contrasti interpretativi, qualora questi ultimi ravvisino la necessità di impartire al titolare del trattamento ulteriori misure correttive ai sensi dell’art. 58, par. 2, del Regolamento, inclusa la sanzione amministrativa pecuniaria; 

b. qualora dovessero emergere, nel caso concreto, questioni di carattere giuridico che esulano dalle specifiche attribuzioni sopra richiamate, si astiene dal trattare l’affare e trasmette gli atti - corredati da una relazione recante le misure correttive di natura tecnica che si rende necessario prescrivere al titolare del trattamento, compresa l’eventuale notifica agli interessati - al Dipartimento competente per materia, ai fini del completamento dell’istruttoria in relazione ai profili giuridici.

Roma, 16 giugno 2020

IL SEGRETARIO GENERALE
Giuseppe Busia

Scheda

Doc-Web
9427090
Data
16/06/20

Tipologie

Trasparenza