Regolamento - 27/04/2016 - n. 679 art. 58 - Poteri 1Poteri1 1. Ogni autorità di controllo ha tutti i poteri di indagine seguenti: a) ingiungere al titolare del trattamento e al responsabile del trattamento e, ove applicabile, al rappresentante del titolare del trattamento o del responsabile del trattamento, di fornirle ogni informazione di cui necessiti per l'esecuzione dei suoi compiti; b) condurre indagini sotto forma di attività di revisione sulla protezione dei dati; c) effettuare un riesame delle certificazioni rilasciate in conformità dell'articolo 42, paragrafo 7; d) notificare al titolare del trattamento o al responsabile del trattamento le presunte violazioni del presente regolamento; e) ottenere, dal titolare del trattamento o dal responsabile del trattamento, l'accesso a tutti i dati personali e a tutte le informazioni necessarie per l'esecuzione dei suoi compiti; e f) ottenere accesso a tutti i locali del titolare del trattamento e del responsabile del trattamento, compresi tutti gli strumenti e mezzi di trattamento dei dati, in conformità con il diritto dell'Unione o il diritto processuale degli Stati membri. 2. Ogni autorità di controllo ha tutti i poteri correttivi seguenti: a) rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del presente regolamento2; b) rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del presente regolamento; c) ingiungere al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell'interessato di esercitare i diritti loro derivanti dal presente regolamento; d) ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine; e) ingiungere al titolare del trattamento di comunicare all'interessato una violazione dei dati personali; f) imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento; g) ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento a norma degli articoli 16, 17 e 18 e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali ai sensi dell'articolo 17, paragrafo 2, e dell'articolo 19; h) revocare la certificazione o ingiungere all'organismo di certificazione di ritirare la certificazione rilasciata a norma degli articoli 42 e 43, oppure ingiungere all'organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono più soddisfatti; i) infliggere una sanzione amministrativa pecuniaria ai sensi dell'articolo 83, in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso; e j) ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un'organizzazione internazionale. 3. Ogni autorità di controllo ha tutti i poteri autorizzativi e consultivi seguenti: a) fornire consulenza al titolare del trattamento, secondo la procedura di consultazione preventiva di cui all'articolo 36; b) rilasciare, di propria iniziativa o su richiesta, pareri destinati al parlamento nazionale, al governo dello Stato membro, oppure, conformemente al diritto degli Stati membri, ad altri organismi e istituzioni e al pubblico su questioni riguardanti la protezione dei dati personali; c) autorizzare il trattamento di cui all'articolo 36, paragrafo 5, se il diritto dello Stato membro richiede una siffatta autorizzazione preliminare; d) rilasciare un parere sui progetti di codici di condotta e approvarli, ai sensi dell'articolo 40, paragrafo 5; e) accreditare gli organismi di certificazione a norma dell'articolo 43; f) rilasciare certificazioni e approvare i criteri di certificazione conformemente all'articolo 42, paragrafo 5; g) adottare le clausole tipo di protezione dei dati di cui all'articolo 28, paragrafo 8, e all'articolo 46, paragrafo 2, lettera d); h) autorizzare le clausole contrattuali di cui all'articolo 46, paragrafo 3, lettera a); i) autorizzare gli accordi amministrativi di cui all'articolo 46, paragrafo 3, lettera b); j) approvare le norme vincolanti d'impresa ai sensi dell'articolo 47. 4. L'esercizio da parte di un'autorità di controllo dei poteri attribuitile dal presente articolo è soggetto a garanzie adeguate, inclusi il ricorso giurisdizionale effettivo e il giusto processo, previste dal diritto dell'Unione e degli Stati membri conformemente alla Carta. 5. Ogni Stato membro dispone per legge che la sua autorità di controllo abbia il potere di intentare un'azione o di agire in sede giudiziale o, ove del caso, stragiudiziale in caso di violazione del presente regolamento per far rispettare le disposizioni dello stesso. 6. Ogni Stato membro può prevedere per legge che la sua autorità di controllo abbia ulteriori poteri rispetto a quelli di cui ai paragrafi 1, 2 e 3. L'esercizio di tali poteri non pregiudica l'operatività effettiva del capo VII. [1] In riferimento al presente articolo, vedi l'articolo 2 della Decisione della Commissione del 23 gennaio 2019, n. 419. [2] In riferimento alla presente lettera, vedi Delibera 8 aprile 2021, n. 131. InquadramentoOltre agli specifici compiti assegnati dall'art. 57, il Regolamento, all'art. 58, elenca anche i poteri che vengono espressamente riconosciuti alle autorità di controllo nazionali. Come noto, a tal riguardo l'art. 55, par. 1, Regolamento (UE) 2016/679 stabilisce che le autorità di controllo devono considerarsi competenti ad esercitare i compiti e i poteri rispettivamente previsti dagli artt. 57 e 58 all'interno del territorio dello Stato membro di appartenenza. Per garantire, dunque, l'effettiva applicazione del Regolamento e il corretto adempimento dei compiti e delle funzioni che le autorità di controllo nazionali sono chiamate a svolgere ai sensi dell'art. 57, il legislatore europeo prevede una serie di poteri che è possibile riassumere in tre categorie: 1. poteri di indagine (art. 58, par. 1 Regolamento (UE) 2016/679); 2. poteri correttivi (art. 58, par. 2 Regolamento (UE) 2016/679); 3. poteri autorizzativi e consultivi (art. 58, par. 3 Regolamento (UE) 2016/679). L'esercizio da parte dell'autorità di controllo di tali poteri deve essere soggetto a garanzie adeguate, ivi incluso il ricorso giurisdizionale effettivo e il giusto processo, previsti dal diritto dell'Unione europea e degli Stati membri conformemente alla Carta dei diritti fondamentali dell'Unione europea (art. 58, par. 4 Regolamento (UE) 2016/679). È interessante notare l'inversione di rotta rispetto alla dir. 95/46/CE che, sebbene avesse lo scopo di armonizzare a livello europeo la materia della protezione dei dati personali, non è tuttavia riuscita fino in fondo nel suo intento con riferimento, ad esempio, ai poteri che le autorità di controllo devono essere chiamate ad esercitare al fine di garantire la coerente applicazione della normativa a livello locale. Rimettendo alla legislazione degli Stati membri il compito di individuare puntualmente i poteri delle autorità di controllo nazionali, la dir. 95/46/CE si limitava piuttosto a stabilire (art. 28) che ogni autorità di controllo dovesse disporre di: – poteri investigativi (come il diritto di accesso ai dati e di raccolta di qualsiasi informazione utile all'esercizio della sua funzione di controllo); – poteri d'intervento (come quello di formulare pareri prima dell'avvio dei trattamenti, quello di ordinare il congelamento, la cancellazione o la distruzione dei dati, oppure vietare a titolo provvisorio o definitivo un trattamento, ovvero quello di rivolgere un monito al titolare del trattamento o di adire i Parlamenti nazionali o alte istituzioni politiche nazionali); – potere di promuovere azionai giudiziarie in caso di violazione di disposizioni in materia di protezione dei dati personali. Con il Regolamento (UE) 2016/679, invece, il legislatore europeo ha voluto assicurare che tutte le autorità di controllo nazionali disponessero dei medesimi poteri – poteri che oggi vengono puntualmente individuati da una fonte normativa di rango europeo, piuttosto che dal diritto nazionale come avveniva sulla base della dir. 95/46/CE. Bisogna tuttavia segnalare che i poteri richiamati dall'art. 58 Regolamento (UE) 2016/679 non sono gli unici che le autorità di controllo nazionali devono esercitare: ogni Stato membro può infatti prevedere, per legge, che la propria autorità di controllo abbia ulteriori poteri rispetto a quelli di indagine, correttivi e autorizzativi/consultivi espressamente richiamati dai primi tre paragrafi della norma in questione, a condizione che l'esercizio di tali ulteriori poteri non pregiudichi l'operatività del capo VII del Regolamento (i.e., cooperazione tra autorità di controllo capofila e autorità di controllo interessate, meccanismo di coerenza e Comitato europeo per la protezione dei dati) (art 58, par. 6 Regolamento (UE) 2016/679). Ed ancora, deve essere soggetta a riserva di legge nazionale anche l'attribuzione all'autorità di controllo della legittimazione attiva, sia in sede giudiziale che stragiudiziale (art 58, par. 5 Regolamento (UE) 2016/679). Il quadro completo dei poteri affidati alle autorità di controllo nazionaliNell'art. 58 Regolamento (UE) 2016/679, il legislatore europeo ha organizzato i poteri delle autorità di controllo nazionali in tre gruppi: i) poteri di indagine, ii) poteri correttivi e iii) poteri autorizzativi e consultivi (art. 58, paragrafi 1-3 Regolamento (UE) 2016/679). L'esistenza di autorità di controllo nazionali dotate degli stessi poteri non può che rappresentare una forte garanzia di “enforcement” realmente uniforme e rispondere, peraltro, alla necessità per cui ciascun “sportello unico” – i.e., ciascuna autorità di controllo capofila operante nei contesti di trattamenti transfrontalieri di dati personali – abbia identici poteri e le medesime capacità di amministrare di intervenire su eventuali violazioni del Regolamento (Caselli, 2018, 487). L'art. 58, par. 4 Regolamento (UE) 2016/679 prevede inoltre che l'esercizio da parte dell'autorità di controllo di tali poteri deve essere soggetto a garanzie adeguate, ivi incluso il ricorso giurisdizionale effettivo e il giusto processo, previsti dal diritto dell'Unione europea e degli Stati membri conformemente alla Carta dei diritti fondamentali dell'Unione europea. Interessanti, a tal riguardo, sono le considerazioni riportate nel considerando 129 Regolamento (UE) 2016/679, dove viene rimarcata l'importanza che i poteri delle autorità di controllo nazionali siano esercitati: • nel rispetto di garanzie procedurali adeguate previste dal diritto dell'Unione e degli Stati membri; • in modo imparziale ed equo; • entro un termine ragionevole. In particolare, nel considerando 129 il legislatore europeo ritiene che ogni misura dovrebbe i) essere appropriata, necessaria e proporzionata al fine di assicurare la conformità al Regolamento, tenuto conto delle circostanze di ciascun singolo caso, ii) rispettare il diritto di ogni persona di essere ascoltata prima che nei suoi confronti sia adottato un provvedimento individuale che le rechi pregiudizio ed evitare costi superflui ed eccessivi disagi per le persone interessate. Il legislatore si è preoccupato di riportare l'esercizio dei poteri delle autorità di controllo nell'alveo delle garanzie di rango – si potrebbe dire – “costituzionale” fissate nella Carta dei diritti fondamentali dell'Unione europea, al netto delle tradizioni costituzionali degli Stati membri e, soprattutto, nell'alveo del “giusto processo”, stante la previsione espressa presente nel par. 4 dell'art. 58 Regolamento (UE) 2016/679. Ed ancora, il richiamo espresso ai principi del giusto processo e del “ricorso giurisdizionale effettivo” di cui all'art. 58, paragrafo 4, unitamente alla presenza del considerando 129 dedicato esclusivamente alla descrizione delle modalità di esercizio dei poteri delle autorità di controllo e dei relativi principi procedurali minimi, indica la chiara intenzione del legislatore europeo di mettere alcuni punti fermi in termini di garanzie (Caselli, 2018, 487-488). Sempre il considerando 129, pone alcuni specifici requisiti che riguardano le singole tipologie di poteri sopra accennate. Con riferimento ai poteri di indagine, per quanto concerne in particolare l'accesso ai locali, si prevede che tali poteri siano esercitati nel rispetto dei requisiti specifici previsti dal diritto processuale degli Stati membri, quale l'obbligo di ottenere un'autorizzazione giudiziaria preliminare. Per quanto riguarda, invece, i poteri correttivi e autorizzativi, a condizione che ciò non precluda gli eventuali requisiti supplementari ai sensi del diritto processuale degli Stati membri, si prevede che ogni misura giuridicamente vincolante dell'autorità di controllo debba avere la forma scritta, essere chiara e univoca, riportare l'autorità di controllo che ha adottato la misura e la relativa data di adozione, recare la firma del responsabile o di un membro dell'autorità di controllo da lui autorizzata, precisare i motivi della misura stessa e fare riferimento al diritto a un ricorso effettivo. Resta inteso che l'adozione di una decisione giuridicamente vincolante implica che essa può essere soggetta a controllo giurisdizionale nello Stato membro dell'autorità di controllo che ha adottato la decisione medesima. Alla luce di quanto sopra detto, le autorità di controllo nazionali dovranno tenere in debita considerazione i criteri formali e sostanziali fissati nel considerando 129 Regolamento (UE) 2016/679, nel caso in cui vogliano assicurare la piena efficacia e vincolatività delle proprie misure. In aggiunta, gli eventuali requisiti supplementari di ordine procedurale previsti dal diritto dello Stato membro, ancorché non preclusi, non potranno che indirizzarsi nello stesso senso ed essere, quindi, in linea con tali criteri (Caselli, 2018, 489). Poteri di indagine Fra i poteri di indagine, l'art. 58, par. 1 Regolamento (UE) 2016/679 prevede espressamente che ogni autorità di controllo possa: a) ingiungere al titolare del trattamento, al responsabile del trattamento e, ove applicabile, al rappresentante del titolare del trattamento o del responsabile del trattamento, di fornire ogni informazione necessaria per l'esecuzione dei propri compiti; b) condurre indagini sotto forma di attività di revisione sulla protezione dei dati; c) effettuare un riesame delle certificazioni rilasciate in conformità dell'art. 42, par. 7 Regolamento (UE) 2016/679; d) notificare al titolare del trattamento o al responsabile del trattamento le presunte violazioni del Regolamento; e) ottenere, dal titolare del trattamento o dal responsabile del trattamento, l'accesso a tutti i dati personali e a tutte le informazioni necessarie per l'esecuzione dei propri compiti; e f) ottenere accesso a tutti i locali del titolare del trattamento e del responsabile del trattamento, compresi tutti gli strumenti e mezzi di trattamento dei dati, in conformità con il diritto dell'Unione o il diritto processuale degli Stati membri. Tali poteri potrebbero, a loro volta, suddividersi in poteri di accesso e poteri di accertamento. Nei primi – i poteri di accesso – vi rientrano l'accesso a tutti i dati personali e a tutte le informazioni necessarie per l'esecuzione dei propri compiti e l'accesso ai locali del titolare del trattamento e del responsabile del trattamento, compresi tutti gli strumenti e i mezzi di trattamento dei dati (art. 58, paragrafo 1, lett. e) ed f) Regolamento (UE) 2016/679). Sebbene il rispetto dei requisiti specifici previsti dal diritto processuale degli Stati membri sia espressamente richiamato con riferimento al solo accesso ai locali del titolare del trattamento e del responsabile del trattamento, compresi tutti gli strumenti e mezzi di trattamento dei dati, si potrebbe tuttavia ipotizzare che le stesse identiche condizioni si applichino anche per l'accesso a tutti i dati personali e a tutte le informazioni necessarie all'autorità di controllo per l'espletamento dei propri compiti. Da notare, inoltre, come tale accesso sia, per certi versi, privo di limiti, stante il tenore letterale della norma: “tutti” i dati personali, “tutte” le informazioni necessarie, “tutti” i locali e “tutti” gli strumenti e i mezzi del trattamento. Nei secondi – i poteri di accertamento – vi rientrano, invece, l'ingiunzione di fornire ogni informazione necessaria, la conduzione di indagini sotto forma di attività di revisione e il riesame delle certificazioni rilasciate in conformità dell'articolo 42, par. 7 Regolamento (UE) 2016/679 (art. 58, par. 1, lett. a), b) e c) v (UE) 2016/679). Un discorso a parte andrebbe fatto con riferimento alla lett. d) del primo paragrafo dell'art. 58, dal momento che la notifica delle presunte violazioni del Regolamento (UE) 2016/679 sembrerebbe piuttosto essere correlata a un'attività di indagine verosimilmente pregressa e che si colloca, quindi, a valle di un'attività investigativa o di accertamenti condotti anche d'ufficio (Caselli, 2018, 489). Poteri correttivi Fra i poteri correttivi rimessi alle autorità di controllo vi rientrano i seguenti: a) rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del Regolamento (UE) 2016/679; b) rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del Regolamento (UE) 2016/679; c) ingiungere al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell'interessato di esercitare i diritti loro derivanti dal Regolamento; d) ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del Regolamento, se del caso, in una determinata maniera ed entro un determinato termine; e) ingiungere al titolare del trattamento di comunicare all'interessato una violazione dei dati personali; f) imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento; g) ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento a norma degli artt. 16, 17 e 18 e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali ai sensi dell'art. 17, par. 2, e dell'art. 19; h) revocare la certificazione o ingiungere all'organismo di certificazione di ritirare la certificazione rilasciata a norma degli artt. 42 e 43, oppure ingiungere all'organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono più soddisfatti; i) infliggere una sanzione amministrativa pecuniaria ai sensi dell'art. 83, in aggiunta alle misure finora citate, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso; e j) ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un'organizzazione internazionale. Occorre sottolineare come la previsione i) di poteri correttivi equivalenti per controllare e assicurare il rispetto delle norme in materia di protezione dei dati personali e ii) di sanzioni equivalenti per le violazioni negli Stati membri, risponda chiaramente all'esigenza manifestata dal legislatore europeo e alla base del Regolamento (UE) 2016/679, figurando a tutti gli effetti come presupposto di un'efficacie protezione dei dati personali in tutta l'Unione europea (cfr. considerando 11). Bisogna poi rilevare come i poteri correttivi possano essere esercitati dall'autorità di controllo non soltanto nei confronti del titolare del trattamento, ma anche verso il responsabile del trattamento, per espressa previsione normativa. Questo, anche e soprattutto in considerazione del fatto che, a differenza della precedente impostazione dettata dalla dir. 95/46/CE, il Regolamento attribuisce oggi una serie di obblighi, responsabilità e ruoli specifici al responsabile del trattamento – si pensi, ad esempio, ai seguenti obblighi espressamente previsti dal Regolamento: tenere un registro di tutte le categorie di attività relative al trattamento svolto per conto di un titolare del trattamento (art. 30, par. 2); cooperare, su richiesta, con l'autorità di controllo nell'esecuzione dei suoi compiti (art. 31); adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (art. 32); informare il titolare del trattamento, senza ingiustificato ritardo, dopo essere venuto a conoscenza di una violazione di dati personali (art. 33, par. 2); assistere il titolare nel garantire il rispetto degli obblighi a suo carico con riferimento alla valutazione d'impatto sulla protezione dei dati (artt. 28 e 35); nominare un Responsabile per la protezione dei dati nei casi espressamente previsti dal Regolamento o dal diritto nazionale (art. 37). Ed ancora, sul responsabile del trattamento grava anche la responsabilità diretta, sul piano civilistico, in caso di inadempimento degli obblighi previsti dal Regolamento e in caso di violazione delle legittime istruzioni impartite dal titolare (art. 82, par. 2), e in caso di inadempimento del sub-responsabile agli obblighi in materia di protezione dei dati personali, fatto salvo il caso in cui il responsabile del trattamento dimostri che l'evento dannoso non gli sia in alcun modo imputabile (cfr. artt. 28, par. 4 e 82, par. 3, Regolamento (UE) 2016/679). È necessario, inoltre, ricordare che, in funzione delle circostanze di ogni singolo caso, tutte le misure correttive richiamate dal legislatore europeo alle lett. da a) ad h) e j) del paragrafo 2 dell'art. 58, possono essere accompagnate ovvero sostituite da una sanzione pecuniaria, ai sensi e per gli effetti dell'art. 83, par. 2 Regolamento (UE) 2016/679, il quale contiene un elenco di criteri che le autorità di controllo devono usare per valutare sia l'opportunità di irrogare una sanzione amministrativa che l'importo della sanzione stessa. Si ritiene, infine, necessaria una considerazione a parte con riferimento alla lett. a) e b) par. 2 dell'art. 58, e segnatamente con riferimento agli “ammonimenti” che le autorità di controllo possono rivolgere al titolare del trattamento o al responsabile del trattamento, sul fatto che i trattamenti previsti possono verosimilmente violare ovvero abbiano violato le disposizioni del Regolamento (UE) 2016/679. Il considerando 148 introduce la nozione di “violazioni minori” – i.e., violazione di una o più disposizioni di cui all'art. 83, paragrafo 4 o 5 del Regolamento (UE) 2016/679. La valutazione dei criteri di cui all'art. 83, paragrafo 2, può tuttavia spingere l'autorità di controllo a ritenere che nelle circostanze concrete del caso la violazione, ad esempio, non crei un rischio significativo per i diritti degli interessati in questione e non incida sull'essenza dell'obbligo in questione. In tali casi, la sanzione può essere sostituita (ma non sempre) da un ammonimento. Il considerando 148 non prevede, tuttavia, l'obbligo per l'autorità di controllo rivolgere sempre un ammonimento, sostituendolo alla sanzione, in caso di violazione minore, quanto piuttosto una possibilità, a valle di un'opportuna valutazione in concreto di tutte le circostanze del caso. Il considerando 148 offre poi la stessa possibilità di sostituire una sanzione pecuniaria con un ammonimento qualora il titolare del trattamento sia una persona fisica e la sanzione pecuniaria che dovrebbe essere imposta costituisca un onere sproporzionato (Gruppo di Lavoro art. 29 per la Protezione dei Dati, 2017, 9). Decisiva risulta la sentenza CGUE del 26 settembre 2024, causa C-768-21, TR c. Land Hessen, ECLI:EU:C:2024:785, per capire quando e come l'autorità di controllo possa e debba intervenire in senso punitivo. La Corte ha sancito che il combinato disposto dell'art. 57.1 lett. a) e f), dell'art. 58.2 e dell'art. 77.1 GDPR va letto in tal senso: in caso di constatazione di una violazione di dati personali, l'autorità di controllo non è tenuta ad adottare una misura correttiva, in particolare una sanzione amministrativa pecuniaria - ai sensi di tale art. 58.2 GDPR - qualora un siffatto intervento non sia appropriato, necessario o proporzionato al fine di porre rimedio all'inadeguatezza constatata e garantire il pieno rispetto del GDPR. Il caso riguardava un data breach occorso in un istituto di credito a danno di un interessato tedesco che, in seguito a procedimento di fronte all'autorità, pur vedendo accertata la violazione non aveva però condiviso la mancata sanzione amministrativa verso il titolare. Da qui la richiesta di intervento interpretativo della Corte, la quale ha argomentato come il titolare avesse già predisposto misure rimediali ritenute sufficienti a fronte della violazione occorsa. La ratio dell'art. 58 GDPR riposerebbe infatti sulla “conformità del trattamento dei dati personali a tale regolamento nonché il ripristino di situazioni di violazione di quest'ultimo per renderle conformi al diritto dell'Unione”. Dal che discenderebbe come l'adozione di una misura correttiva possa - in via eccezionale e tenuto conto delle circostanze particolari del caso concreto - non imporsi, sempre che (a) la violazione del GDPR sia già stata ripristinata, (b) sia garantita la conformità dei trattamenti di dati personali da parte del loro titolare, e infine che (c) una siffatta omissione dell'autorità di controllo non sia tale da pregiudicare il requisito di un'applicazione rigorosa delle norme. Oltretutto in senso conforme deporrebbe un precedente come la sent. CGUE del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, ai sensi della quale è consentito alle autorità di controllo - nel caso di violazione minore oppure qualora la sanzione pecuniaria da imporre costituisca un onere sproporzionato per una persona fisica - di astenersi dall'imporre una sanzione pecuniaria e di rivolgere, in suo luogo, un ammonimento.
Poteri autorizzativi e consultivi Per quanto concerne, infine, i poteri autorizzativi e consultivi, il legislatore europeo prevede espressamente che le autorità di controllo nazionali possano: a) fornire consulenza al titolare del trattamento, secondo la procedura di consultazione preventiva di cui all'art. 36; b) rilasciare, di propria iniziativa o su richiesta, pareri destinati al parlamento nazionale, al governo dello Stato membro, oppure, conformemente al diritto degli Stati membri, ad altri organismi e istituzioni e al pubblico su questioni riguardanti la protezione dei dati personali; c) autorizzare il trattamento di cui all'art. 36, paragrafo 5, se il diritto dello Stato membro richiede una siffatta autorizzazione preliminare; d) rilasciare un parere sui progetti di codici di condotta e approvarli, ai sensi dell'art. 40, paragrafo 5; e) accreditare gli organismi di certificazione a norma dell'art. 43; f) rilasciare certificazioni e approvare i criteri di certificazione conformemente all'art. 42, paragrafo 5; g) adottare le clausole tipo di protezione dei dati di cui all'art. 28, paragrafo 8, e all'art. 46, paragrafo 2, lett. d); h) autorizzare le clausole contrattuali di cui all'art. 46, paragrafo 3, lett. a); i) autorizzare gli accordi amministrativi di cui all'art. 46, paragrafo 3, lett. b); j) approvare le norme vincolanti d'impresa ai sensi dell'art. 47. Si tratta di poteri che riguardano, per lo più, i compiti assegnati alle autorità di controllo e derivanti da specifiche disposizioni del Regolamento. Un elemento di interesse riguarda, in particolare, la circostanza per cui tutti i poteri richiamati dal paragrafo 3 dell'art. 58 – ad eccezione della lett. b) e della lett. c) – sono subordinati all'intervento del meccanismo di coerenza di cui agli artt. 63-67 Regolamento (UE) 2016/679. In alcuni casi si può rinvenire tale subordinazione nell'esistenza di trattamenti transfrontalieri; in altri casi, invece, l'intervento del meccanismo di coerenza (i.e., il passaggio dinanzi al Comitato europeo per la protezione dei dati al fine di ottenere un parere o una decisione che garantisca la conformità al Regolamento – cfr. artt. 63 e 64) rappresenta un obbligo assoluto ai sensi di quanto previsto dalle disposizioni a cui le lett. da e) a j) del paragrafo 3 dell'art. 58 rinviano espressamente (Caselli, 2018, 489). I poteri dell'Autorità Garante per la protezione dei dati personaliI poteri richiamati dall'art. 58 del Regolamento (UE) 2016/679 non sono gli unici che le autorità di controllo nazionali devono esercitare. Ogni Stato membro può infatti prevedere, per legge, che la propria autorità di controllo abbia ulteriori poteri rispetto a quelli di indagine, correttivi e autorizzativi/consultivi espressamente richiamati dai primi tre paragrafi della norma in questione, a condizione che l'esercizio di tali ulteriori poteri non pregiudichi l'operatività del capo VII del Regolamento (UE) 2016/679 (i.e., cooperazione tra autorità di controllo capofila e autorità di controllo interessate, meccanismo di coerenza e Comitato europeo per la protezione dei dati) (art. 58, paragrafo 6 Regolamento (UE) 2016/679). L'art. 14, comma 1, lett. d) del d.lgs. n. 101/2018 ha inserito l'art. 154-bis del d.lgs. n. 196/2003, rubricato “Poteri” dell'Autorità Garante per la protezione dei dati personali (di seguito, il “Garante”). Poiché i poteri delle autorità di controllo nazionali, ivi incluso il Garante, sono espressamente stabiliti e disciplinati dal Regolamento (UE) 2016/679 all'art. 58, al fine di evitare inutili duplicazioni a livello normativo, nella formulazione dell'art. 154-bis del d.lgs. n. 196/2003 il legislatore italiano espunge quelli disciplinati in tale sede, recando piuttosto limitati interventi di aggiornamento in armonia con la normativa euro-unitaria e nazionale. Per una disamina approfondita dell'art. 154-bis del d.lgs. n. 196/2003 e di quanto espressamente previsto con riferimento ai poteri del Garante, si rinvia al relativo commento. BibliografiaCaselli, Poteri(commento all'art. 58 del Regolamento (UE) 2016/679), in Riccio, Scorza, Belisario, GDPR e normativa privacy, Milano, 2018. |
