VEDI ANCHE Deliberazione del 22 maggio 2018

[doc. web n. 9051107]

Deliberazione del 4 ottobre 2018 - Contenuti del registro interno delle violazioni e delle misure adottate dal Garante

Registro dei provvedimenti
n. 463 del 4 ottobre 2018 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito “Regolamento”);

VISTO il d.lgs. 18 maggio 2018, n. 51, recante «Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio»;

VISTO il d.lgs. 30 giugno 2003, n. 196, recante il «Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE» (di seguito “Codice”);

VISTO, in particolare, l’art. 57 del Regolamento il quale prevede tra i compiti dell’Autorità di controllo, quello di «tenere registri interni delle violazioni del presente regolamento e delle misure adottate in conformità dell'articolo 58, paragrafo 2»;

VISTO l’art. 58, par. 2, del Regolamento il quale elenca i poteri correttivi le cui misure, una volta adottate dall’Autorità, devono essere riportate nel predetto registro interno insieme alle disposizioni del Regolamento e del Codice che sono state oggetto di violazione;

VISTO l’art. 55 del Regolamento, in base al quale è previsto che ogni autorità di controllo è competente a eseguire i compiti assegnati e a esercitare i poteri a essa conferiti, a norma del regolamento, nel territorio del rispettivo Stato membro;

VISTO l’art. 166, comma 3, del Codice, ai sensi del quale il Garante per la protezione dei dati personali è l’organo competente ad adottare i provvedimenti correttivi di cui all’art. 58, par. 2 del Regolamento, nonché ad irrogare le sanzioni di cui all’art. 83 del medesimo Regolamento e di cui ai commi 1 e 2 dell’art. 166 citato;

VISTA la deliberazione del 22 maggio 2018 (n. 357 del registro dei provvedimenti), con la quale sono stati individuati i contenuti del registro interno delle violazioni del Regolamento e del Codice e delle misure adottate in conformità dell'art. 58, par. 2, del Regolamento nelle more dell’iter di approvazione dello schema di decreto legislativo, di cui all’art. 13 della legge n. 163/2017 di delegazione europea 2016-2017, di adeguamento del quadro normativo nazionale al Regolamento;

CONSIDERATO che la citata deliberazione del 22 maggio 2018 prevedeva che, all’esito della prima esperienza applicativa in ordine all’utilizzo del registro interno, gli elementi in esso contenuti avrebbero potuto essere  ulteriormente specificati mediante aggiornamenti e integrazioni ritenuti necessari per il migliore raggiungimento delle finalità cui il registro stesso è preordinato;

CONSIDERATO che il d.lgs. n. 51/2018 ha previsto talune ipotesi di inosservanza della disciplina che comportano la comminazione di sanzioni amministrative da parte del Garante ovvero penali, con specifico riferimento al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali (artt. 37 e ss.);

CONSIDERATO che il d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento della disciplina nazionale al Regolamento, nel novellare e aggiornare il Codice, ha modificato le fattispecie che comportano la comminazione di sanzioni di carattere amministrativo e penale;

VISTO l’art. 83, par. 2, lett. e), del Regolamento, ai sensi del quale al momento di infliggere una sanzione pecuniaria e di determinare l’ammontare della stessa, in ogni singolo caso, occorre tenere conto, tra l’altro, di eventuali precedenti violazioni pertinenti commesse dal titolare o dal responsabile del trattamento;

VISTO l’art. 154, comma 1, lett. f) e g), del Codice, ai sensi del quale, questa Autorità ha il compito, tra gli altri, di dare idonea attuazione al Regolamento e al Codice medesimo, nonché di provvedere all’espletamento dei compiti ad esso attribuiti dal diritto dell’Unione europea o dello Stato; 

CONSIDERATO che, ai fini di cui all’art. 83, par. 2, lett. e), del Regolamento, nonché dell’art. 154, comma 1, lett. f) e g), del Codice, occorre altresì tenere in considerazione eventuali provvedimenti correttivi o sanzioni comminabili ai sensi di ulteriori disposizioni di settore applicabili alla materia della protezione dei dati personali che attribuiscano analoghe competenze a questa Autorità; 

RITENUTO, pertanto, di dover coerentemente aggiornare i contenuti del registro interno delle violazioni, nonché delle misure adottate già determinati con la citata deliberazione del 22 maggio 2018, e in particolare i contenuti di cui all’All. A individuando gli elementi aggiuntivi da inserire in tale allegato, al fine di tenere conto anche delle ulteriori misure correttive e delle sanzioni previste dal Codice, come novellato dal d.lgs. n. 101/2018, del d.lgs. n. 51/2018, nonché di ogni altra disposizione di settore che preveda compiti analoghi in capo a questa Autorità;

RITENUTO, pertanto, alla luce del nuovo quadro normativo, di sostituire la deliberazione del 22 maggio 2018, n. 105, con la presente deliberazione e approvare l’All. A, che ne forma parte integrante;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

DELIBERA 

a) ai sensi dell’art. 57, par. 1, lett. u), del Regolamento, di determinare i contenuti del registro interno delle violazioni e delle misure adottate, come individuati nell’Allegato A, che forma parte integrante della presente deliberazione;

b) la presente sostituisce la deliberazione del 22 maggio 2018, n. 357.

Roma, 4 ottobre 2018

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia

ALLEGATO A

REGISTRO INTERNO DELLE VIOLAZIONI DEL REGOLAMENTO E DELLE MISURE ADOTTATE

A. LE MISURE DA INSERIRE NEL REGISTRO

Le misure da inserire nel registro, adottate dal Garante ai sensi degli artt. 58, par. 2, e 60 del Regolamento, individuate ciascuna mediante la data e il relativo riferimento al documento web (raggiungibile mediante LINK) pubblicato sul sito www.gpdp.it, sono gli atti con i quali:

a) si rivolgono avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del presente regolamento;

b) si rivolgono ammonimenti al titolare o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del presente regolamento;

c) si ingiunge al titolare o al responsabile del trattamento di soddisfare le richieste dell'interessato di esercitare i diritti loro derivanti dal presente regolamento;

d) si ingiunge al titolare o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine;

e) si ingiunge al titolare del trattamento di comunicare all'interessato una violazione dei dati personali;

f) si impone una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento;

g) si ordina (al titolare) la rettifica, la cancellazione di dati personali o la limitazione del trattamento a norma degli articoli 16, 17 e 18 e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali ai sensi dell'articolo 17, paragrafo 2, e dell'articolo 19;

h) si revoca la certificazione o si ingiunge all'organismo di certificazione di ritirare la certificazione rilasciata a norma degli articoli 42 e 43, oppure si ingiunge all'organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono più soddisfatti;

i) si infligge una sanzione amministrativa pecuniaria ai sensi dell'articolo 83, in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso;

j) si ordina la sospensione dei flussi di dati verso un destinatario in un paese terzo o un'organizzazione internazionale;

h) si infliggono le sanzioni amministrative pecuniarie per le violazioni di cui agli artt. 166, commi 1 e 2, del Codice, all’art. 21, comma 5, del d,lgs. n. 101/2018, nonché all’art. 42 del d.lgs. n. 51/2018; 

i) si denunciano i fatti configurabili come reati perseguibili d’ufficio, dei quali il Garante viene a conoscenza nell’esercizio o a causa delle funzioni ai sensi dell’art. 154, comma 1, lett. d), del Codice e dell’art. 37, comma 3, lett. f), d.lgs. n. 51/2018;

l) si rivolgono al titolare o al responsabile del trattamento, in particolare, avvertimenti o  ingiunzioni ovvero si impone limitazione provvisoria o definitiva al trattamento, incluso il divieto e il blocco (art. 37 del d.lgs. n. 51/2018);

m) si rivolgono a chiunque provvedimenti correttivi ovvero si infliggono sanzioni amministrative ai sensi della disciplina di settore applicabile.

B. ESITI DELLE CONTROVERSIE RIGUARDANTI I PROVVEDIMENTI DEL GARANTE

Nel registro devono essere inseriti, in correlazione con ciascun provvedimento di cui al punto A), gli esiti delle controversie previste dall’art. 152 del Codice, dall’art. 39 del d.lgs. n. 51/2018, nonché dalla disciplina di settore applicabile, mediante l’indicazione degli estremi della sentenza.

C. LE VIOLAZIONI DA INSERIRE NEL REGISTRO

Le violazioni da inserire nel registro sono rappresentate dagli articoli del Regolamento, del Codice, del d.lgs. n. 51/2018, nonché della disciplina di settore applicabile,  oggetto delle violazioni, e dall’importo delle sanzioni amministrative pecuniarie. Tali elementi sono rinvenibili negli atti con i quali il Garante ha adottato una misura nell’ambito dei poteri correttivi o, comunque, di intervento ad esso attribuiti. Qualora sia stata inflitta una sanzione amministrativa pecuniaria ai sensi dell'art. 166 del Codice, dell’art. 42 del d.lgs. n. 51/2018, ovvero della disciplina di settore applicabile deve essere riportato nel registro l’importo della sanzione inflitta ovvero l’importo ridotto qualora il contravventore si sia avvalso della facoltà del pagamento in misura ridotta.

Il registro deve contenere anche l’informazione in ordine all’avvenuto pagamento della sanzione amministrativa pecuniaria inflitta ovvero l’avvenuta iscrizione a ruolo del relativo importo non pagato.

D. I SOGGETTI DA INSERIRE NEL REGISTRO

Nel registro vanno indicati i seguenti soggetti qualora siano destinatari delle misure sopra indicate:

• titolari (art. 4, par. 1, punto 7, del Regolamento, ovvero art. 2, comma 1, lett. h, e 18 del d.lgs. n. 51/2018);

• contitolari (art. 26 del Regolamento e art. 17 del d.lgs. n. 51/2018);

• responsabili (art. 4, par. 1, punto 8 e 28, del Regolamento, e art. 2, comma 1, lett. i, del d.lgs. n. 51/2018);

• rappresentati di titolari o dei responsabili non stabiliti nell’Unione (art. 27);

• responsabili in solido (art. 14 l. n. 689/1981);

• organismi di certificazione (art. 43 del Regolamento).

E. GLI ESTREMI IDENTIFICATIVI DEI SOGGETTI DA INSERIRE NEL REGISTRO

Nel registro i soggetti di cui al punto D) sono identificati e classificati mediante i seguenti elementi:

• per le persone fisiche: nome, cognome, luogo e data di nascita, codice fiscale;

• per le persone giuridiche: denominazione, partita IVA/codice fiscale.