CAPO VI – Autorità di controllo indipendenti

Sezione 1 – Indipendenza

Articolo 51 - Autorità di controllo

  • Ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di sorvegliare l’applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all’interno dell’Unione (l’«autorità di controllo»).
  • Ogni autorità di controllo contribuisce alla coerente applicazione del presente regolamento in tutta l’Unione. A tale scopo, le autorità di controllo cooperano tra loro e con la Commissione, conformemente al capo VII.
  • Qualora in uno Stato membro siano istituite più autorità di controllo, detto Stato membro designa l’autorità di controllo che rappresenta tali autorità nel comitato e stabilisce il meccanismo in base al quale le altre autorità si conformano alle norme relative al meccanismo di coerenza di cui all’articolo 63.
  • Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del presente capo al più tardi entro 25 maggio 2018, e comunica senza ritardo ogni successiva modifica.

Articolo 52 - Indipendenza

  • Ogni autorità di controllo agisce in piena indipendenza nell’adempimento dei propri compiti e nell’esercizio dei propri poteri conformemente al presente regolamento.
  • Nell’adempimento dei rispettivi compiti e nell’esercizio dei rispettivi poteri previsti dal presente regolamento, il membro o i membri di ogni autorità di controllo non subiscono pressioni esterne, né dirette, né indirette, e non sollecitano né accettano istruzioni da alcuno.
  • Il membro o i membri dell’autorità di controllo si astengono da qualunque azione incompatibile con le loro funzioni e per tutta la durata del mandato non possono esercitare alcuna altra attività incompatibile, remunerata o meno.
  • Ogni Stato membro provvede affinché ogni autorità di controllo sia dotata delle risorse umane, tecniche e finanziarie, dei locali e delle infrastrutture necessari per l’effettivo adempimento dei suoi compiti e l’esercizio dei propri poteri, compresi quelli nell’ambito dell’assistenza reciproca, della cooperazione e della partecipazione al comitato.
  • Ogni Stato membro provvede affinché ogni autorità di controllo selezioni e disponga di proprio personale, soggetto alla direzione esclusiva del membro o dei membri dell’autorità di controllo interessata.
  • Ogni Stato membro provvede affinché ogni autorità di controllo sia soggetta a un controllo finanziario che non ne pregiudichi l’indipendenza e disponga di bilanci annuali, separati e pubblici, che possono far parte del bilancio generale statale o nazionale.

Articolo 53 - Condizioni generali per i membri dell’autorità di controllo

  • Gli Stati membri dispongono che ciascun membro delle rispettive autorità di controllo sia nominato attraverso una procedura trasparente:
    • dal rispettivo parlamento;
    • dal rispettivo governo;
    • dal rispettivo capo di Stato; oppure
    • da un organismo indipendente incaricato della nomina a norma del diritto dello Stato membro.
  • Ogni membro possiede le qualifiche, l’esperienza e le competenze, in particolare nel settore della protezione dei dati personali, richieste per l’esercizio delle sue funzioni e dei suoi poteri.
  • Il mandato dei membri cessa alla scadenza del termine o in caso di dimissioni volontarie o di provvedimento d’ufficio, a norma del diritto dello Stato membro interessato.
  • Un membro è rimosso solo in casi di colpa grave o se non soddisfa più le condizioni richieste per l’esercizio delle sue funzioni.

Articolo 54 - Norme sull‘istituzione dell’autorità di controllo

  • Ogni Stato membro prevede con legge tutte le condizioni seguenti:
    • l’istituzione di ogni autorità di controllo;
    • le qualifiche e le condizioni di idoneità richieste per essere nominato membro di ogni autorità di controllo;
    • le norme e le procedure per la nomina del membro o dei membri di ogni autorità di controllo;
    • la durata del mandato del membro o dei membri di ogni autorità di controllo non inferiore a quattro anni, salvo per le prime nomine dopo 24 maggio 2016, alcune delle quali possono avere una durata inferiore qualora ciò sia necessario per tutelare l’indipendenza dell’autorità di controllo mediante una procedura di nomina scaglionata;
    • l’eventuale rinnovabilità e, in caso positivo, il numero di rinnovi del mandato del membro o dei membri di ogni autorità di controllo;
    • le condizioni che disciplinano gli obblighi del membro o dei membri e del personale di ogni autorità di controllo, i divieti relativi ad attività, professioni e benefici incompatibili con tali obblighi durante e dopo il mandato e le regole che disciplinano la cessazione del rapporto di lavoro.
  • Il membro o i membri e il personale di ogni autorità di controllo sono tenuti, in virtù del diritto dell’Unione o degli Stati membri, al segreto professionale in merito alle informazioni riservate cui hanno avuto accesso nell’esecuzione dei loro compiti o nell’esercizio dei loro poteri, sia durante che dopo il mandato. Per tutta la durata del loro mandato, tale obbligo del segreto professionale si applica in particolare alle segnalazioni da parte di persone fisiche di violazioni del presente regolamento.

Sezione 2 – Competenza, compiti e poteri

Articolo 55 - Competenza

  • Ogni autorità di controllo è competente a eseguire i compiti assegnati e a esercitare i poteri a essa conferiti a norma del presente regolamento nel territorio del rispettivo Stato membro.
  • Se il trattamento è effettuato da autorità pubbliche o organismi privati che agiscono sulla base dell’articolo 6, paragrafo 1, lettera c) o e), è competente l’autorità di controllo dello Stato membro interessato. In tal caso, non si applica l’articolo 56.
  • Le autorità di controllo non sono competenti per il controllo dei trattamenti effettuati dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali.

Articolo 56 - Competenza dell’autorità di controllo capofila

  • Fatto salvo l’articolo 55, l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare e del trattamento o responsabile del trattamento è competente ad agire in qualità di autorità di controllo capofila per i trattamenti transfrontalieri effettuati dal suddetto titolare del trattamento o responsabile del trattamento, secondo la procedura di cui all’articolo 60.
  • In deroga al paragrafo 1, ogni autorità di controllo è competente per la gestione dei reclami a essa proposti o di eventuali violazioni del presente regolamento se l’oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro.
  • Nei casi indicati al paragrafo 2 del presente articolo, l’autorità di controllo informa senza indugio l’autorità di controllo capofila in merito alla questione. Entro un termine di tre settimane da quando è stata informata, l’autorità di controllo capofila decide se intende o meno trattare il caso secondo la procedura di cui all’articolo 60, tenendo conto dell’esistenza o meno di uno stabilimento del titolare del trattamento o responsabile del trattamento nello Stato membro dell’autorità di controllo che l’ha informata.
  • Qualora l’autorità di controllo capofila decida di trattare il caso, si applica la procedura di cui all’articolo 60. L’autorità di controllo che ha informato l’autorità di controllo capofila può presentare a quest’ultima un progetto di decisione. L’autorità di controllo capofila tiene nella massima considerazione tale progetto nella predisposizione del progetto di decisione di cui all’articolo 60, paragrafo 3.
  • Nel caso in cui l’autorità di controllo capofila decida di non trattarlo, l’autorità di controllo che ha informato l’autorità di controllo capofila tratta il caso conformemente agli articoli 61 e 62.
  • L’autorità di controllo capofila è l’unico interlocutore del titolare del trattamento o del responsabile del trattamento in merito al trattamento transfrontaliero effettuato da tale titolare del trattamento o responsabile del trattamento.

Articolo 57 - Compiti

  • Fatti salvi gli altri compiti indicati nel presente regolamento, sul proprio territorio ogni autorità di controllo:
    • sorveglia e assicura l’applicazione del presente regolamento;
    • promuove la consapevolezza e favorisce la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione al trattamento. Sono oggetto di particolare attenzione le attività destinate specificamente ai minori;
    • fornisce consulenza, a norma del diritto degli Stati membri, al parlamento nazionale, al governo e ad altri organismi e istituzioni in merito alle misure legislative e amministrative relative alla protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento;
    • promuove la consapevolezza dei titolari del trattamento e dei responsabili del trattamento riguardo agli obblighi imposti loro dal presente regolamento;
    • su richiesta, fornisce informazioni all’interessato in merito all’esercizio dei propri diritti derivanti dal presente regolamento e, se del caso, coopera a tal fine con le autorità di controllo di altri Stati membri;
    • tratta i reclami proposti da un interessato, o da un organismo, un’organizzazione o un’associazione ai sensi dell’articolo 80, e svolge le indagini opportune sull’oggetto del reclamo e informa il reclamante dello stato e dell’esito delle indagini entro un termine ragionevole, in particolare ove siano necessarie ulteriori indagini o un coordinamento con un’altra autorità di controllo;
    • collabora, anche tramite scambi di informazioni, con le altre autorità di controllo e presta assistenza reciproca al fine di garantire l’applicazione e l’attuazione coerente del presente regolamento;
    • svolge indagini sull’applicazione del presente regolamento, anche sulla base di informazioni ricevute da un’altra autorità di controllo o da un’altra autorità pubblica;
    • sorveglia gli sviluppi che presentano un interesse, se e in quanto incidenti sulla protezione dei dati personali, in particolare l’evoluzione delle tecnologie dell’informazione e della comunicazione e le prassi commerciali;
    • adotta le clausole contrattuali tipo di cui all’articolo 28, paragrafo 8, e all’articolo 46, paragrafo 2, lettera d);
    • redige e tiene un elenco in relazione al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’articolo 35, paragrafo 4;
    • offre consulenza sui trattamenti di cui all’articolo 36, paragrafo 2;
    • incoraggia l’elaborazione di codici di condotta ai sensi dell’articolo 40, paragrafo 1, e fornisce un parere su tali codici di condotta e approva quelli che forniscono garanzie sufficienti, a norma dell’articolo 40, paragrafo 5;
    • incoraggia l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati a norma dell’articolo 42, paragrafo 1, e approva i criteri di certificazione a norma dell’articolo 42, paragrafo 5;
    • ove applicabile, effettua un riesame periodico delle certificazioni rilasciate in conformità dell’articolo 42, paragrafo 7;
    • definisce e pubblica i criteri per l’accreditamento di un organismo per il controllo dei codici di condotta ai sensi dell’articolo 41 e di un organismo di certificazione ai sensi dell’articolo 43;
    • effettua l’accreditamento di un organismo per il controllo dei codici di condotta ai sensi dell’articolo 41 e di un organismo di certificazione ai sensi dell’articolo 43;
    • autorizza le clausole contrattuali e le altre disposizioni di cui all’articolo 46, paragrafo 3;
    • approva le norme vincolanti d’impresa ai sensi dell’articolo 47;
    • contribuisce alle attività del comitato;
    • tiene registri interni delle violazioni del presente regolamento e delle misure adottate in conformità dell’articolo 58, paragrafo 2; e
    • svolge qualsiasi altro compito legato alla protezione dei dati personali.
  • Ogni autorità di controllo agevola la proposizione di reclami di cui al paragrafo 1, lettera f), tramite misure quali un modulo per la proposizione dei reclami compilabile anche elettronicamente, senza escludere altri mezzi di comunicazione.
  • Ogni autorità di controllo svolge i propri compiti senza spese né per l’interessato né, ove applicabile, per il responsabile della protezione dei dati.
  • Qualora le richieste siano manifestamente infondate o eccessive, in particolare per il carattere ripetitivo, l’autorità di controllo può addebitare un contributo spese ragionevole basato sui costi amministrativi o rifiutarsi di soddisfare la richiesta. Incombe all’autorità di controllo dimostrare il carattere manifestamente infondato o eccessivo della richiesta.

Articolo 58 - Poteri

  • Ogni autorità di controllo ha tutti i poteri di indagine seguenti:
    • ingiungere al titolare del trattamento e al responsabile del trattamento e, ove applicabile, al rappresentante del titolare del trattamento o del responsabile del trattamento, di fornirle ogni informazione di cui necessiti per l’esecuzione dei suoi compiti;
    • condurre indagini sotto forma di attività di revisione sulla protezione dei dati;
    • effettuare un riesame delle certificazioni rilasciate in conformità dell’articolo 42, paragrafo 7;
    • notificare al titolare del trattamento o al responsabile del trattamento le presunte violazioni del presente regolamento;
    • ottenere, dal titolare del trattamento o dal responsabile del trattamento, l’accesso a tutti i dati personali e a tutte le informazioni necessarie per l’esecuzione dei suoi compiti; e
    • ottenere accesso a tutti i locali del titolare del trattamento e del responsabile del trattamento, compresi tutti gli strumenti e mezzi di trattamento dei dati, in conformità con il diritto dell’Unione o il diritto processuale degli Stati membri.
  • Ogni autorità di controllo ha tutti i poteri correttivi seguenti:
    • rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del presente regolamento;
    • rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del presente regolamento;
    • ingiungere al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i diritti loro derivanti dal presente regolamento; ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine;
    • ingiungere al titolare del trattamento di comunicare all’interessato una violazione dei dati personali;
    • imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento;
    • ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento a norma degli articoli 16, 17 e 18 e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali ai sensi dell’articolo 17, paragrafo 2, e dell’articolo 19;
    • revocare la certificazione o ingiungere all’organismo di certificazione di ritirare la certificazione rilasciata a norma degli articoli 42 e 43, oppure ingiungere all’organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono più soddisfatti;
    • infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso; e
    • ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.
  • Ogni autorità di controllo ha tutti i poteri autorizzativi e consultivi seguenti:
    • fornire consulenza al titolare del trattamento, secondo la procedura di consultazione preventiva di cui all’articolo 36;
    • rilasciare, di propria iniziativa o su richiesta, pareri destinati al parlamento nazionale, al governo dello Stato membro, oppure, conformemente al diritto degli Stati membri, ad altri organismi e istituzioni e al pubblico su questioni riguardanti la protezione dei dati personali;
    • autorizzare il trattamento di cui all’articolo 36, paragrafo 5, se il diritto dello Stato membro richiede una siffatta autorizzazione preliminare;
    • rilasciare un parere sui progetti di codici di condotta e approvarli, ai sensi dell’articolo 40, paragrafo 5;
    • accreditare gli organismi di certificazione a norma dell’articolo 43;
    • rilasciare certificazioni e approvare i criteri di certificazione conformemente all’articolo 42, paragrafo 5;
    • adottare le clausole tipo di protezione dei dati di cui all’articolo 28, paragrafo 8, e all’articolo 46, paragrafo 2, lettera d);
    • autorizzare le clausole contrattuali di cui all’articolo 46, paragrafo 3, lettera a);
    • autorizzare gli accordi amministrativi di cui all’articolo 46, paragrafo 3, lettera b);
    • approvare le norme vincolanti d’impresa ai sensi dell’articolo 47.
  • L’esercizio da parte di un’autorità di controllo dei poteri attribuitile dal presente articolo è soggetto a garanzie adeguate, inclusi il ricorso giurisdizionale effettivo e il giusto processo, previste dal diritto dell’Unione e degli Stati membri conformemente alla Carta.
  • Ogni Stato membro dispone per legge che la sua autorità di controllo abbia il potere di intentare un’azione o di agire in sede giudiziale o, ove del caso, stragiudiziale in caso di violazione del presente regolamento per far rispettare le disposizioni dello stesso.
  • Ogni Stato membro può prevedere per legge che la sua autorità di controllo abbia ulteriori poteri rispetto a quelli di cui ai paragrafi 1, 2 e 3. L’esercizio di tali poteri non pregiudica l’operatività effettiva del capo VII.

Articolo 59 - Relazioni di attività

Ogni autorità di controllo elabora una relazione annuale sulla propria attività, in cui può figurare un elenco delle tipologie di violazioni notificate e di misure adottate a norma dell’articolo 58, paragrafo 2. Tali relazioni sono trasmesse al parlamento nazionale, al governo e alle altre autorità designate dal diritto dello Stato membro. Esse sono messe a disposizione del pubblico, della Commissione e del comitato.

Vuoi maggiori informazioni?