AGGIORNATA DA Deliberazione del 4 ottobre 2018

[doc. web n. 9051096]

Deliberazione del 22 maggio 2018

Registro dei provvedimenti
n. 357 del 22 maggio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito “Regolamento”);

VISTO l'art. 13 della legge 25 ottobre 2017, n.163, recante "Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell'Unione europea - Legge di delegazione europea. 2016-2017, il quale demanda al Governo il compito di adottare i decreti legislativi per adeguare entro sei mesi il quadro normativo nazionale al Regolamento (UE) 2016/679” (di seguito Regolamento);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito Codice);

VISTO, in particolare, l’art. 57 del Regolamento il quale prevede tra i compiti dell’Autorità di controllo, quello di “tenere registri interni delle violazioni del presente regolamento e delle misure adottate in conformità dell'articolo 58, paragrafo 2”;

VISTO l’art. 58, paragrafo 2, del Regolamento il quale elenca i poteri correttivi le cui misure, una volta adottate dall’Autorità, devono essere riportate nel predetto registro interno insieme alle disposizioni del Regolamento e del Codice che sono state oggetto di violazione;

VISTO l’art. 55 del Regolamento, in base al quale è previsto che ogni autorità di controllo è competente a eseguire i compiti assegnati e a esercitare i poteri a essa conferiti, a norma del regolamento, nel territorio del rispettivo Stato membro;

VISTO l’art. 56 del Regolamento che, fatto salvo il citato art. 55, prevede che l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare o del responsabile del trattamento è competente ad agire in qualità di autorità di controllo capofila per i trattamenti transfrontalieri effettuati dal suddetto titolare del trattamento o responsabile del trattamento, secondo la procedura di cui all'articolo 60;

VISTO l’art. 60 del Regolamento il quale disciplina le regole di cooperazione tra l'autorità di controllo capofila e le altre autorità di controllo interessate;

VISTO che il Garante è l’organo competente ad adottare i provvedimenti correttivi di cui all’art. 58, par. 2 del Regolamento, nonché ad irrogare le sanzioni di cui all’art. 83 del medesimo Regolamento;

VISTO l’art. 58, paragrafo 2, lett. i) del Regolamento il quale dispone, in particolare, che il Garante ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell'articolo 83, in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso”;

VISTO l’art. 84 del Regolamento, in base al quale “Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell'articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l'applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive”;

TENUTO CONTO che le informazioni contenute nel registro interno delle violazioni del Regolamento e del Codice e delle misure adottate in conformità dell'articolo 58, par. 2, del Regolamento, rispondono anche all’esigenza di valutare da parte dell’Autorità, ai sensi dell’art. 83 del regolamento, le condizioni generali per infliggere sanzioni amministrative pecuniarie, affinché siano in ogni singolo caso effettive, proporzionate e dissuasive,  e siano inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all'articolo 58, § 2, lettere da a) a h) e j), o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l'ammontare della stessa in ogni singolo caso, l’Autorità deve infatti tenere in debito conto “anche di eventuali precedenti violazioni commesse dal titolare del trattamento o dal responsabile del trattamento”;

RITENUTO, pertanto, di individuare con la presente deliberazione i contenuti del registro interno (di seguito registro) delle violazioni del Regolamento e del Codice e delle misure adottate in conformità dell'articolo 58, par. 2, del Regolamento;

RITENUTO che, all’esito della prima esperienza applicativa in ordine all’utilizzo del presente registro interno, gli elementi in esso contenuti potranno essere ulteriormente specificati mediante aggiornamenti e integrazioni ritenuti necessari per il migliore raggiungimento delle finalità cui il registro stesso è preordinato;

CONSIDERATO che alla data odierna ancora non si è concluso l’iter di approvazione dello scherma di decreto legislativo di attuazione del Regolamento  (UE) 2016/679 e che pertanto viene fatta riserva di integrare i contenuti del registro interno delle violazioni  all’esito del predetto procedimento;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Antonello Soro;

DELIBERA 

ai sensi dell’art. 57 del Regolamento, i contenuti del registro interno delle violazioni del Regolamento e del Codice e delle misure adottate in conformità dell'articolo 58, par. 2, del Regolamento, individuati nell’Allegato che forma parte integrante della presente deliberazione.

Roma, 22 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia

ALLEGATO

REGISTRO INTERNO DELLE VIOLAZIONI DEL REGOLAMENTO E DELLE MISURE ADOTTATE

A. LE MISURE DA INSERIRE NEL REGISTRO

Le misure da inserire nel registro, adottate dal Garante ai sensi degli artt. 58, par. 2, e 60 del Regolamento, individuate ciascuna mediante la data e il relativo riferimento al documento web (raggiungibile mediante LINK) pubblicato sul sito www.gpdp.it, sono gli atti con i quali:

a) si rivolgono avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del presente regolamento;

b) si rivolgono ammonimenti al titolare o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del presente regolamento;

c) si ingiunge al titolare o al responsabile del trattamento di soddisfare le richieste dell'interessato di esercitare i diritti loro derivanti dal presente regolamento;

d) si ingiunge al titolare o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine;

e) si ingiunge al titolare del trattamento di comunicare all'interessato una violazione dei dati personali;

f) si impone una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento;

g) si ordina (al titolare) la rettifica, la cancellazione di dati personali o la limitazione del trattamento a norma degli articoli 16, 17 e 18 e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali ai sensi dell'articolo 17, paragrafo 2, e dell'articolo 19;

h) si revoca la certificazione o si ingiunge all'organismo di certificazione di ritirare la certificazione rilasciata a norma degli articoli 42 e 43, oppure si ingiunge all'organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono più soddisfatti;

i) si infligge una sanzione amministrativa pecuniaria ai sensi dell'articolo 83, in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso;

j) si ordina la sospensione dei flussi di dati verso un destinatario in un paese terzo o un'organizzazione internazionale.

B. ESITI DELLE CONTROVERSIE RIGUARDANTI I PROVVEDIMENTI DEL GARANTE

Nel registro devono essere inseriti, in correlazione con ciascun provvedimento di cui al punto A), gli esiti delle controversie previste dall’art. 152 del Codice mediante l’indicazione degli estremi della sentenza.

C. LE VIOLAZIONI DA INSERIRE NEL REGISTRO

Le violazioni da inserire nel registro sono rappresentate dagli articoli del Regolamento e del Codice oggetto delle violazioni, e dall’importo delle sanzioni amministrative pecuniarie. Tali elementi sono rinvenibili negli atti con i quali il Garante, ai sensi dell’art. 58, par.2, ha adottato una misura nell’ambito dei poteri correttivi. Qualora sia stata inflitta una sanzione amministrativa pecuniaria ai sensi dell'articolo 83, par. 4, 5 e 6 del Regolamento,  deve essere riportato nel registro l’importo della sanzione inflitta ovvero l’importo ridotto qualora il contravventore si sia avvalso della facoltà del pagamento in misura ridotta.

Il registro deve contenere anche l’informazione in ordine all’avvenuto pagamento della sanzione amministrativa pecuniaria inflitta ovvero l’avvenuta iscrizione a ruolo del relativo importo non pagato.

D. I SOGGETTI DA INSERIRE NEL REGISTRO

Nel registro vanno indicati i seguenti soggetti qualora siano destinatari delle misure sopra indicate:

• titolari (art. 4, c. 7);

• contitolari (art. 26);

• responsabili (art. 4, c. 8 e 28);

• rappresentati di titolari o dei responsabili non stabiliti nell’Unione (art. 27);

• responsabili in solido (art. 14 l. n. 689/1981);

• organismi di certificazione (art. 43).

E. GLI ESTREMI IDENTIFICATIVI DEI SOGGETTI DA INSERIRE NEL REGISTRO

Nel registro i soggetti di cui al punto D) sono identificati e classificati mediante i seguenti elementi:

• per le persone fisiche: nome, cognome, luogo e data di nascita, codice fiscale;

• per le persone giuridiche: denominazione, partita IVA/codice fiscale, codice Ateco.