Nuovo regolamento del Garante Privacy sulle procedure interne aventi rilevanza esterna

Il Garante per la protezione dei dati personali adotta un regolamento al fine di specificare e rendere note le procedure interne finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante aventi rilevanza esterna dalla tutela degli interessati, all’esame delle comunicazioni e richieste inoltrate dai titolari dei trattamenti, dall’adozione dei provvedimenti correttivi ai pareri.

Il Garante per la protezione dei dati personali adotta la delibera 4 aprile 2019 e disciplina, le procedure interne all'Autorità aventi rilevanza esterna, avviate su domanda di parte o d'ufficio e finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati alla stessa autorità. Abrogazione dei precedenti regolamenti. La delibera abroga i precedenti regolamenti del Garante privacy n. 1 /2007 sullo svolgimento dei compiti e sull’esercizio dei poteri rimessi al Garante e n. 2/2006 ad oggetto la procedura per la sottoscrizione dei codici di deontologia e di buona condotta. Resta invece in vigore il regolamento n. 1/2006 in materia di accesso ai documenti amministrativi presso l’ufficio del Garante. Il sopra citato regolamento che entra in vigore dal 9 maggio 2019 giorno successivo alla pubblicazione in Gazzetta Ufficiale n. costituisce un documento di estremo interesse in considerazione della modifica della cornice normativa e nell’attuale complessa fase di definizione dei compiti dell’Autorità Garante. Alla luce del regolamento privacy europeo e del Codice privacy come novellato dal d.lgs. 101/2018 l’autorità garante svolge compiti complessi e delicati tra cui assicurare la tutela dei diritti e delle libertà fondamentali degli individui previsti dal RGPD, dal codice e dal d.lgs. n. 51/2018, nonché delle ulteriori norme vigenti, controllare se i trattamenti di dati personali sono effettuati nel rispetto della disciplina applicabile, di trattare i reclami ed esaminare le segnalazioni, nonché di esercitare i poteri d'indagine, correttivi, sanzionatori, autorizzativi e consultivi previsti dalla disciplina applicabile al trattamento dei dati personali. Il regolamento del Garante era particolarmente atteso dagli operatori in quanto disciplina ai sensi dell'art. 166, comma 9, codice privacy, il procedimento con il quale il Garante adotta i provvedimenti correttivi di cui all'art. 58, par. 2, RGPD, ed irroga le sanzioni di cui all'art. 83 del medesimo regolamento, nel rispetto dei principi della piena conoscenza degli atti istruttori, del contraddittorio, della verbalizzazione nonché della distinzione tra funzioni istruttorie e funzioni decisorie rispetto all'irrogazione delle sanzioni. Il regolamento si articola in 6 capi. Il primo capo approfondisce i seguenti profili disposizioni generali, oggetto del regolamento, principi generali, programmazione, qualificazione e trattazione degli affari, eventuale avvio del procedimento e relativo responsabile trattazione degli affari e procedimento. Il secondo capo rubricato Procedure concernenti la tutela dinanzi al Garante” si articola in 2 sezioni la prima sezione riguarda i reclami, la trattazione del reclamo, l’istruttoria preliminare, la chiusura dell’istruttoria preliminare, l’avvio del procedimento di adozione dei provvedimenti correttivi e sanzionatori, il diritto di difesa decisione del reclamo, reclami aventi oggetto la violazione degli artt. da 15 a 22 GRPR, ordinanza di ingiunzione, registro interno delle violazioni e delle misure correttivi adottate, procedimenti relativi a trattamenti transfrontalieri. La seconda sezione riguarda le segnalazioni, dall’esame delle stesse all’istruttoria preliminare ed eventuale procedimento amministrativo. Il capo III approfondisce le attività di controllo ed ispettive e di revisione sulla protezione dei dati personali. Il Capo IV è dedicato alle regole deontologiche dal promovimento dell’adozione delle regole deontologiche, all’esame preliminare, all’organizzazione e svolgimento dei lavori, allo schema delle regole deontologiche, alla valutazione preliminare di conformità delle regole deontologiche, dallo schema finale delle regole deontologiche, alla valutazione finale di conformità delle regole deontologiche e loro sottoscrizione, la pubblicazione delle regole deontologiche. Il capo IV approfondisce la tematica dei codici di condotta. Il Capo VI si concentra sulle altre attività dell’Autorità le difficoltà connesse all’attuazione di misure correttive, altri procedimenti, quesiti, rapporto informativo sullo stato della trattazione degli affari, pubblicazione dei provvedimenti, pubblicazione dell’ordinanza ingiunzione. Il capo VI ha ad oggetto le disposizioni finali. Il regolamento illustra i principi ai quali deve ispirarsi l’autorità Garante in particolare per quanto riguarda il controllo sulla liceità e correttezza dei trattamenti principi di trasparenza, ragionevolezza, proporzionalità e non discriminazione. Lo stesso regolamento richiama l'interesse pubblico connesso a ciascuna attività secondo criteri di buona amministrazione, economicità, adeguatezza e imparzialità, valorizzando l'utilizzo di tecniche informatiche e della telematica. Il regolamento specifica che il Garante nell’espletamento dei suoi compiti tiene conto anche della natura e della gravità degli illeciti da accertare in rapporto ai relativi effetti e all'entità del pregiudizio che essi possono comportare per uno o più interessati, della probabilità di comprovarne la sussistenza, nonché delle risorse disponibili. Le attività del Garante sono ispirate dal principio di organizzazione. L’Autorità determina ed aggiorna a tal fine la programmazione dei lavori del collegio, le linee di priorità nella trattazione degli affari e la programmazione delle attività ispettive. Il regolamento ha il pregio di illustrare il criterio al fine di determinare la priorità nella trattazione degli affari sottoposti all’attenzione del Garante le risorse disponibili in relazione al carico di lavoro delle singole unità organizzative, le linee definite dal Garante stesso nonché la natura e la gravità delle violazioni, la rilevanza del pregiudizio e il numero dei possibili interessati. È previsto che nei casi in cui la condotta sia particolarmente risalente nel tempo o abbia esaurito i suoi effetti oppure tali effetti siano stati rimossi o sono state fornite idonee assicurazioni da parte del titolare del trattamento, di cui all'art. 14, comma 5, del regolamento in oggetto, il Collegio, con propria deliberazione da pubblicarsi nella Gazzetta Ufficiale della Repubblica italiana, possa delegare il segretario generale ovvero il dirigente del dipartimento, servizio o altra unità organizzativa competente ad adottare il provvedimento correttivo di cui all'art. 58, par. 2, lett. b , RGPD. Il regolamento illustra l’avvio presso il Garante privacy del procedimento di ufficio o sulla base di un’istanza o e specifica che Il responsabile del procedimento avviato ai sensi del comma 1 è il dirigente o funzionario preposto all'unità organizzativa cui è assegnato l'affare, il quale cura gli atti, le comunicazioni e gli altri adempimenti di cui al comma 1 anche ai sensi dell'art. 14, comma 3, del regolamento del Garante n. 1/2000. Approfondito anche il profilo della trattazione degli affari e del procedimento. In caso di affare riguardante persone giuridiche, enti, associazioni o altri organismi la documentazione, anche difensiva, è presentata a firma del legale rappresentante o da altro soggetto munito dei poteri di rappresentanza. In caso di affare riguardante persone fisiche, la documentazione, anche difensiva, è presentata anche per il tramite di altra persona da questi espressamente delegata ovvero, su mandato di questi, da un ente del terzo settore soggetto alla disciplina del d.lgs. n. 117/2017, che sia attivo nel settore della tutela dei diritti e delle libertà degli interessati, con riguardo alla protezione dei dati personali. Le parti, nella trattazione degli affari avanti al Garante, possono essere assistite da un procuratore o da altra persona di fiducia. Il regolamento interno richiama l’attenzione degli operatori sul fatto che, ferma restando la garanzia del diritto di difesa, l’attività difensiva innanzi al Garante si svolge nel rispetto del principio della leale collaborazione delle parti con il medesimo. Le deduzioni, si legge nel testo, devono essere svolte, anche al fine di favorire la migliore comprensione delle argomentazioni difensive, in modo essenziale, tenuto conto dell'esigenza di assicurare l’economicità dell'azione amministrativa. Viene, inoltre, evidenziato come in caso di trasmissione cartacea, a richiesta dell'Ufficio, i documenti difensivi vanno trasmessi in formato digitale, se del caso su supporto informatico unitamente all'attestazione di conformità delle informazioni così trasmesse all'originale utilizzando il modello predisposto dal Garante e messo a disposizione sul sito web. Viene specificato come la produzione di documentazione inutilmente sovrabbondante, inconferente o ingiustificatamente dilatoria può costituire elemento di valutazione negativa del grado di cooperazione con il Garante. Il regolamento interno approfondisce tra i vari aspetti il profilo di interesse dell’avvio del procedimento per l’adozione dei provvedimenti per l’adozione dei provvedimenti correttivi e sanzionatori. Nel rispetto dell’art. 166, comma 5, del codice della privacy, la comunicazione del Garante privacy contiene a una sintetica descrizione dei fatti e delle presunte violazioni della disciplina rilevante in materia di protezione dei dati personali nonché delle relative disposizioni sanzionatorie b l'indicazione dell'unità organizzativa competente presso la quale può essere presa visione ed estratta copia degli atti istruttori c l'indicazione che entro 30 giorni dal ricevimento della comunicazione è possibile inviare al Garante scritti difensivi o documenti e chiedere di essere sentito dalla medesima Autorità. Diritto di difesa. Il destinatario della comunicazione del Garante può esercitare il diritto di difesa mediante la presentazione di deduzioni scritte e documenti, nonché, ove richiesta, con l'audizione personale in merito ai fatti oggetto di comunicazione. Entro 30 giorni dalla data di notifica della predetta comunicazione le deduzioni scritte e i documenti sono inviati all’unità organizzativa competente. Viene specificato che il destinatario della comunicazione può richiedere, con specifica istanza debitamente motivata, una breve proroga. La proroga, di norma non superiore a quindici giorni, può essere concessa secondo criteri di proporzionalità anche in relazione alle caratteristiche operativo/dimensionali dei destinatari stessi e alla complessità della vicenda presa in esame. Il dipartimento, servizio o altra unità organizzativa competente comunica l'accoglimento o il rigetto della richiesta di proroga. Il regolamento prevede che ove sia altresì richiesta un'audizione, con istanza specifica anche allegata alle memorie difensive indirizzate al dipartimento, servizio o altra unità organizzativa competente, la medesima ha luogo presso la sede del Garante nella data fissata dall’ufficio. L'eventuale rinuncia all'audizione deve essere comunicata tempestivamente al dipartimento, servizio o altra unità organizzativa competente in relazione all’istruttoria. In sede di audizione i richiedenti svolgono le proprie controdeduzioni, evitando duplicazioni o meri rinvii a quanto già rappresentato negli scritti difensivi. L’audizione delle persone fisiche destinatarie della comunicazione ha carattere strettamente personale è consentita la partecipazione con l’assistenza di un avvocato o di altro consulente. Il regolamento interno chiarisce come la mancata presentazione di controdeduzioni scritte o della richiesta di audizione non pregiudica il seguito del procedimento. Uno degli aspetti più interessanti del regolamento interno del Garante è l’approfondimento e la disciplina sui Reclami aventi ad oggetto la violazione degli artt. da 15 a 22 del RGPD. Il regolamento chiarisce che in relazione ai reclami che abbiano ad oggetto, in via esclusiva, la violazione degli articoli da 15 a 22 del RGPD per i quali l'istante abbia già esercitato, in relazione al medesimo oggetto, i diritti riconosciuti da tali disposizioni nei confronti del titolare del trattamento senza ottenere un idoneo riscontro nei termini di cui all'art. 12, paragrafo 3, del RGPD, salvi i casi di inammissibilità o manifesta infondatezza, entro quarantacinque giorni dalla data della sua ricezione, il reclamo é comunicato al titolare, con invito ad esercitare entro venti giorni dal suo ricevimento la facoltà di comunicare all'istante e all'Ufficio la propria eventuale adesione spontanea. Il reclamo reca in allegato copia della richiesta rivolta al titolare del trattamento e dell'eventuale riscontro ricevuto. Viene previsti che qualora l’istante non abbia preventivamente esercitato i diritti di cui agli articoli da 15 a 22 del RGPD con istanza rivolta al titolare del trattamento, se dal reclamo non emergano specifiche e fondate ragioni che ne giustifichino la mancata effettuazione, il dipartimento, servizio o altra unità organizzativa ai quali il reclamo è assegnato invita, entro quarantacinque giorni dalla data della ricezione del reclamo, l'istante a rivolgersi al titolare del trattamento. In caso di adesione spontanea da parte del titolare ai sensi del comma 1, il dipartimento, servizio o altra unità organizzativa competente informa l'istante, ai sensi dell'art. 77, par. 2, RGPD, e comunica al titolare o al responsabile del trattamento l'avvio del procedimento per l'adozione dei provvedimenti di cui agli articoli 58, paragrafo 2, e 83 del RGPD, ai sensi dell’art. 166, comma 5, del codice e nei termini di cui all’art. 12 del regolamento. In riferimento alle attività ispettive il regolamento specifica che nel corso dell'attività ispettiva, della quale può essere dato preavviso, è possibile, in particolare a controllare, estrarre ed acquisire copia dei documenti, anche in formato elettronico b richiedere informazioni e spiegazioni c accedere alle banche dati ed agli archivi d acquisire copia delle banche dati e degli archivi su supporto informatico. Durante l’attività ispettiva il soggetto sottoposto ad ispezione può farsi assistere da consulenti di propria fiducia e fare riserva di produrre la documentazione non immediatamente reperibile entro un termine congruo, di regola non superiore a trenta giorni in casi eccezionali, può essere richiesto un differimento di tale termine. Le attività di revisione sulla protezione dei dati personali sono avviate ai sensi dell'art. 58, par. 1, lett. b , RGPD, presso il titolare o il responsabile del trattamento ovvero presso la sede dell'Autorità. In tale ultimo caso, l’attività’ si svolge a seguito di convocazione del titolare o del responsabile presso il dipartimento, servizio o altra unità organizzativa competente in materia di attività ispettive e di revisione. Nell'ambito delle attività di revisione, qualora emergano elementi di criticità nel trattamento dei dati personali, possono essere avviate attività ispettive al fine di rilevare eventuali violazioni della normativa sulla protezione dei dati personali. Dell'attività svolta ai sensi dei commi precedenti, con particolare riferimento alle dichiarazioni rese e ai documenti acquisiti, è redatto processo verbale, una copia della quale è consegnata al soggetto sottoposto a ispezione ovvero ad attività' di controllo. Il regolamento interno approfondisce il profilo del reclamo strumento che consentirà, presumibilmente, di uscire dal sentiero tradizionale battuto finora, aprendo la via, in molte ipotesi, ad una valutazione più ampia sul trattamento posto in essere dal titolare idonea, come tale, ad integrare i presupposti dello svolgimento della funzione di controllo che fa da contraltare al principio di accountability . Per fare ciò occorre, secondo il Garante, come emerso nella relazione annuale, tuttavia, tener fede ad alcuni requisiti procedurali minimi richiesti dal RGPD al fine di garantire, pur nell’ottica della semplificazione delle forme e dei tempi di definizione dei reclami, un esercizio imparziale ed equo dei poteri affidati alle autorità di protezioni dei dati. Il regolamento in esame è uno strumento importante per una gestione in qualità dei delicati compiti dell’autorità Garante chiamato dal regolamento privacy europeo a nuove rilevanti sfide e consente agli operatori di comprendere meglio la complessità del ruolo dell’Autorità.

Regolamento_Privacy_n_1_del_2019