Garante per la protezione dei dati personali

Garante per la Protezione dei Dati Personali
Il palazzo delle Assicurazioni Generali a Roma, sede dell'Autorità dal 2019
SiglaGPDP
StatoItalia (bandiera) Italia
TipoAutorità amministrativa indipendente
Istituito31 dicembre 1996
daGoverno Prodi I
PresidentePasquale Stanzione (dal 29 luglio 2020)
VicepresidenteGinevra Cerrina Feroni
Bilancio32 milioni di euro (2016)[1]
Impiegati170 (8 gennaio 2019)
SedeRoma
IndirizzoPiazza Venezia 11, 00187 Roma
Sito webwww.garanteprivacy.it/

Il Garante per la Protezione dei Dati Personali (GPDP), noto anche come Garante della privacy[2], è un'autorità amministrativa indipendente italiana istituita dalla legge 31 dicembre 1996, n. 675, per assicurare la tutela dei diritti e delle libertà fondamentali e il rispetto della dignità nel trattamento dei dati personali.

Dal 2020 l'autorità è presieduta da Pasquale Stanzione[3].

Ai sensi del Codice per la protezione dei dati personali è costituita da quattro membri, eletti dai due rami del Parlamento della Repubblica Italiana, che ne individuano due ciascuno.

Le candidature possono essere avanzate da persone che assicurino indipendenza e che risultino di comprovata esperienza nel settore della protezione dei dati personali, con particolare riferimento alle discipline giuridiche o dell'informatica e devono pervenire almeno trenta giorni prima della nomina e i curriculum devono essere pubblicati negli stessi siti Internet.[4]

I membri a loro volta eleggono uno di loro come presidente, il voto del quale prevale in caso di parità.

All'atto dell'istituzione il mandato dei componenti durava quattro anni e poteva essere rinnovato; dal 2005 la durata per i mandati successivi è fissata a sette anni[5] e il mandato non può essere rinnovato.

Il codice etico

[modifica | modifica wikitesto]

Il codice etico adottato dal Garante definisce l'insieme dei principi di condotta morale e i criteri fondamentali affinché i dipendenti che operano presso l'"Ufficio del Garante" operino con imparzialità e trasparenza nell'attività amministrativa, nonché mantengano il rispetto degli obblighi di riservatezza. A ogni dipendente è proibito fare uso delle informazioni non disponibili al pubblico per realizzare interessi privati e rilasciare informazioni relative ad atti e provvedimenti prima della loro comunicazione alle parti.

Inoltre il dipendente deve provvedere a non trovarsi in una posizione che generi alcun tipo di conflitto di interesse ed è tenuto a mantenere rapporti con la stampa e con i fornitori di informazione ispirandosi al criterio della parità di trattamento per ciò che riguarda la tempestività della diffusione delle notizie. ll codice entrò in vigore il 1º luglio 1998 e può essere aggiornato in qualsiasi momento sulla base dell'esperienza.

Compiti e funzioni

[modifica | modifica wikitesto]

Tra i diversi compiti del Garante (art. 154 D.Lgs. n. 196/2003) rientrano quelli di:

  • controllare che i trattamenti siano effettuati nel rispetto delle norme di legge ed eventualmente disporre agli attori interessati dal controllo le opportune modifiche affinché i suddetti trattamenti siano conformi ai diritti e alle libertà fondamentali degli individui
  • ricevere ed esaminare i reclami e le segnalazioni e provvedere ai ricorsi presentati dagli interessati
  • vietare anche d'ufficio i trattamenti illeciti o non corretti ed eventualmente disporne il blocco
  • promuovere la sottoscrizione di codici di deontologia e buona condotta di determinati settori
  • segnalare al Governo e al Parlamento l'opportunità di provvedimenti normativi richiesti dall'evoluzione del settore
  • esprimere pareri nei casi previsti
  • curare la conoscenza tra il pubblico della disciplina rilevante in materia di trattamento dei dati personali e delle relative finalità e in materia di misure di sicurezza dei dati
  • denunciare i fatti configurabili come reati perseguibili d'ufficio conosciuti nell'esercizio delle sue funzioni
  • tenere il registro dei trattamenti
  • predisporre una relazione annuale sull'attività svolta da presentare al Governo e al Parlamento
  • essere consultato da Governo o Ministri quando questi predispongono norme che incidono sulla materia
  • cooperare con le altre autorità amministrative indipendenti
  • organizzare il proprio ufficio e il proprio organico nonché il loro trattamento giuridico, economico e amministrativo.

Poteri d'indagine, autorizzativi e consultivi

[modifica | modifica wikitesto]

Il Garante ha tutti i poteri di indagine seguenti ai sensi dell'art. 58 del Regolamento generale sulla protezione dei dati (GDPR): a) ingiungere al titolare del trattamento e al responsabile del trattamento e, ove applicabile, al rappresentante del titolare del trattamento o del responsabile del trattamento, di fornirle ogni informazione di cui necessiti per l'esecuzione dei suoi compiti; b) condurre indagini sotto forma di attività di revisione sulla protezione dei dati; c) effettuare un riesame delle certificazioni rilasciate in conformità dell'articolo 42, paragrafo 7 GDPR; d) notificare al titolare del trattamento o al responsabile del trattamento le presunte violazioni del GDPR; e) ottenere, dal titolare del trattamento o dal responsabile del trattamento, l'accesso a tutti i dati personali e a tutte le informazioni necessarie per l'esecuzione dei suoi compiti; e f) ottenere accesso a tutti i locali del titolare del trattamento e del responsabile del trattamento, compresi tutti gli strumenti e mezzi di trattamento dei dati, in conformità con il diritto dell'Unione o il diritto processuale degli Stati membri.

Il Garante ha tutti i poteri autorizzativi e consultivi seguenti ai sensi dell'art. 58 del Regolamento generale sulla protezione dei dati (GDPR): a) fornire consulenza al titolare del trattamento, secondo la procedura di consultazione preventiva di cui all'articolo 36 GDPR; b) rilasciare, di propria iniziativa o su richiesta, pareri destinati al parlamento nazionale, al governo dello Stato membro, oppure, conformemente al diritto degli Stati membri, ad altri organismi e istituzioni e al pubblico su questioni riguardanti la protezione dei dati personali; c) autorizzare il trattamento di cui all'articolo 36, paragrafo 5 GDPR, se il diritto dello Stato membro richiede una siffatta autorizzazione preliminare; d) rilasciare un parere sui progetti di codici di condotta e approvarli, ai sensi dell'articolo 40, paragrafo 5 GDPR; e) accreditare gli organismi di certificazione a norma dell'articolo 43 GDPR; f) rilasciare certificazioni e approvare i criteri di certificazione conformemente all'articolo 42, paragrafo 5 GDPR; g) adottare le clausole tipo di protezione dei dati di cui all'articolo 28, paragrafo 8, e all'articolo 46, paragrafo 2, lettera d) GDPR; h) autorizzare le clausole contrattuali di cui all'articolo 46, paragrafo 3, lettera a) GDPR; i) autorizzare gli accordi amministrativi di cui all'articolo 46, paragrafo 3, lettera b) GDPR; j) approvare le norme vincolanti d'impresa ai sensi dell'articolo 47 GDPR.

Oltre a quanto previsto da specifiche disposizioni e dall'art. 58 del Regolamento generale sulla protezione dei dati, il Garante, anche di propria iniziativa e avvalendosi dell'Ufficio, in conformità alla disciplina vigente e nei confronti di uno o più titolari del trattamento, ai sensi dell'art. 154 del Codice in materia di protezione dei dati personali ha il compito di: a) controllare se i trattamenti sono effettuati nel rispetto della disciplina applicabile, anche in caso di loro cessazione e con riferimento alla conservazione dei dati di traffico; b) trattare i reclami presentati, anche individuando con proprio regolamento modalità specifiche per la trattazione, nonché fissando annualmente le priorità delle questioni emergenti dai reclami che potranno essere istruite nel corso dell'anno di riferimento; c) promuovere l'adozione di regole deontologiche, nei casi di cui all'articolo 2-quater; d) denunciare i fatti configurabili come reati perseguibili d'ufficio, dei quali viene a conoscenza nell'esercizio o a causa delle funzioni; e) trasmettere la relazione, predisposta annualmente ai sensi dell'articolo 59 GDPR, al Parlamento e al Governo entro il 31 maggio dell'anno successivo a quello cui si riferisce; f) assicurare la tutela dei diritti e delle libertà fondamentali degli individui dando idonea attuazione al GDPR e al Codice in materia di protezione dei dati personali; g) provvedere altresì all'espletamento dei compiti ad esso attribuiti dal diritto dell'Unione europea o dello Stato e svolgere le ulteriori funzioni previste dall'ordinamento.

Il Garante svolge altresì la funzione di controllo o assistenza in materia di trattamento dei dati personali prevista da leggi di ratifica di accordi o convenzioni internazionali o da atti comunitari o dell'Unione europea e, in particolare: a) dal Regolamento (CE) n. 1987/2006 del Parlamento europeo e del Consiglio, del 20 dicembre 2006, sull'istituzione, l'esercizio e l'uso del sistema d'informazione Schengen di seconda generazione (SIS II) e Decisione 2007/533/GAI del Consiglio, del 12 giugno 2007, sull'istituzione, l'esercizio e l'uso del sistema d'informazione Schengen di seconda generazione (SIS II); b) dal Regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio, dell'11 maggio 2016, che istituisce l'Agenzia dell'Unione europea per la cooperazione nell'attività di contrasto (Europol) e sostituisce e abroga le decisioni del Consiglio 2009/371/GAI, 2009/934/GAI, 2009/935/GAI, 2009/936/GAI e 2009/968/GAI; c) dal Regolamento (UE) 2015/1525 del Parlamento europeo e del Consiglio, del 9 settembre 2015, che modifica il Regolamento (CE) n. 515/97 del Consiglio relativo alla mutua assistenza tra le autorità amministrative degli Stati membri e alla collaborazione tra queste e la Commissione per assicurare la corretta applicazione delle normative doganale e agricola e decisione 2009/917/GAI del Consiglio, del 30 novembre 2009, sull'uso dell'informatica nel settore doganale; d) dal Regolamento (CE) n. 603/2013 del Parlamento europeo e del Consiglio, del 26 giugno 2013, che istituisce l'Eurodac per il confronto delle impronte digitali per l'efficace applicazione del Regolamento (UE) n. 604/2013 che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l'esame di una domanda di protezione internazionale presentata in uno degli Stati membri da un cittadino di un paese terzo o da un apolide e per le richieste di confronto con i dati Eurodac presentate dalle autorità di contrasto degli Stati membri e da Europol a fini di contrasto, e che modifica il Regolamento (UE) n. 1077/2011 che istituisce un'agenzia europea per la gestione operativa dei sistemi IT su larga scala nello spazio di libertà, sicurezza e giustizia; e) dal Regolamento (CE) n. 767/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, concernente il sistema di informazione visti (VIS) e lo scambio di dati tra Stati membri sui visti per soggiorni di breve durata (Regolamento VIS) e decisione n.2008/633/GAI del Consiglio, del 23 giugno 2008, relativa all'accesso per la consultazione al sistema di informazione visti (VIS) da parte delle autorità designate degli Stati membri e di Europol ai fini della prevenzione, dell'individuazione e dell'investigazione di reati di terrorismo e altri reati gravi; f) dal Regolamento (CE) n. 1024/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012, relativo alla cooperazione amministrativa attraverso il sistema di informazione del mercato interno e che abroga la decisione 2008/49/CE della Commissione (Regolamento IMI) Testo rilevante ai fini del SEE; g) dalle disposizioni di cui al capitolo IV della Convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981 e resa esecutiva con legge 21 febbraio 1989, n. 98, quale autorità designata ai fini della cooperazione tra Stati ai sensi dell'articolo 13 della convenzione medesima.

Potere sanzionatorio e correttivo

[modifica | modifica wikitesto]

Le sanzioni applicabili dal Garante sono solo di carattere amministrativo.

Sanzioni amministrative pecuniarie:

Poteri correttivi del Garante ai sensi dell'art. 58 del Regolamento generale sulla protezione dei dati: a) rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del presente regolamento; b) rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del presente regolamento; c) ingiungere al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell'interessato di esercitare i diritti loro derivanti dal presente regolamento; d) ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine; e) ingiungere al titolare del trattamento di comunicare all'interessato una violazione dei dati personali; f) imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento; g) ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento a norma degli articoli 16, 17 e 18 del Regolamento generale sulla protezione dei dati e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali ai sensi dell'articolo 17, paragrafo 2, e dell'articolo 19 del Regolamento generale sulla protezione dei dati; h) revocare la certificazione o ingiungere all'organismo di certificazione di ritirare la certificazione rilasciata a norma degli articoli 42 e 43 del Regolamento generale sulla protezione dei dati, oppure ingiungere all'organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono più soddisfatti; i) infliggere una sanzione amministrativa pecuniaria ai sensi dell'articolo 83 del Regolamento generale sulla protezione dei dati, in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso; e j) ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un'organizzazione internazionale.

Illeciti penali in relazione all'attività del Garante:

compiti o dell'esercizio dei poteri del Garante

Cronotassi dei presidenti

[modifica | modifica wikitesto]

I presidenti del Collegio sono stati[6]

Num. Presidente in carica da fino a
1 Stefano Rodotà 17 marzo 1997 16 marzo 2001
19 marzo 2001 18 aprile 2005
2 Francesco Pizzetti 18 aprile 2005 18 giugno 2012
3 Antonello Soro 19 giugno 2012 28 luglio 2020
4 Pasquale Stanzione 29 luglio 2020 in carica

Riferimenti normativi

[modifica | modifica wikitesto]
  1. ^ (PDF)Dati dal bilancio di previsione 2016 Archiviato il 27 novembre 2016 in Internet Archive. Bilancio 2016
  2. ^ Home, su garanteprivacy.it. URL consultato l'8 dicembre 2021.
  3. ^ Garante Privacy: Stanzione eletto presidente; a Cerrina Feroni la vicepresidenza, su primaonline.it. URL consultato il 2 agosto 2020.
  4. ^ Art. 153 d.lgs. 30 giugno 2003, n. 196
  5. ^ Il garante, su garanteprivacy.it. URL consultato il 20 aprile 2017.
  6. ^ Precedenti Collegi del Garante, su garanteprivacy.it. URL consultato il 20 aprile 2017.

Voci correlate

[modifica | modifica wikitesto]

Altri progetti

[modifica | modifica wikitesto]

Collegamenti esterni

[modifica | modifica wikitesto]
Controllo di autoritàVIAF (EN139358193 · LCCN (ENno2002054853 · GND (DE10089030-1