Con il recente Provvedimento n. 233 dello scorso 26 marzo il Garante Privacy ha deliberato relativamente alle proprie procedure interne con rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri che gli sono stati demandati, già oggetto dei Regolamenti 1 e 2 dell’Autorità, adottati nel 2019.
Con tale atto ha infatti modificato il proprio Regolamento interno n. 1/2019 (di seguito Regolamento), che fu deliberato il 4 aprile 2019 con il Provvedimento n. 98 “Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali”, che successivamente fu pubblicato sulla Gazzetta Ufficiale n. 106 dell’8 maggio 2019.
Indice degli argomenti
Le modifiche al Regolamento interno del Garante Privacy
Nessuna modifica è invece stata apportata al Regolamento n. 2/2019, con il quale sono stati individuati i termini e le unità organizzative responsabili dei procedimenti amministrativi attivi presso il Garante per la protezione dei dati personali, che fu invece adottato con il Provvedimento n. 99 del 4 aprile 2019, e poi pubblicato nella Gazzetta Ufficiale della Repubblica italiana n. 107 del 9 maggio 2019.
L’articolo 156, comma 3, lettera a), del Codice in materia di protezione dei dati personali, il Decreto Legislativo n. 196/2003, dispone a tal riguardo che il Garante per la protezione dei dati personali, con propri atti pubblicati nella Gazzetta Ufficiale debba definire la propria organizzazione e il funzionamento dell’Ufficio, anche ai fini dello svolgimento dei compiti e all’esercizio dei poteri ad esso assegnati, comprese le procedure finalizzate alla tutela degli interessati relativamente alla presentazione di reclami e segnalazioni dinanzi al Garante.
Di conseguenza il Garante è tenuto ad assegnare gli affari ai relativi dipartimenti e servizi ed all’individuazione del relativo responsabile del procedimento, specificando e rendendo note le procedure interne finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante aventi rilevanza esterna, in particolare quelle funzionali alla tutela degli interessati, avviate d’ufficio o su loro istanza, all’esame di comunicazioni e richieste inoltrate dai titolari del trattamento, quelle relative all’adozione di provvedimenti correttivi e sanzionatori da parte del Garante, al rilascio di pareri nei casi previsti, alla valutazione preliminare delle regole deontologiche ed all’elaborazione dei codici di condotta.
Programmazione dei lavori e attività ispettive
Con il Regolamento il Garante ha quindi disciplinato i compiti e i poteri che gli sono stati demandati dalla normativa vigente, ispirando la sua azione ai principi di trasparenza, ragionevolezza, proporzionalità e non discriminazione.
Tale attività, finalizzata a realizzare l’interesse pubblico, deve comunque osservare anche i criteri di buona amministrazione, economicità, adeguatezza e imparzialità, e deve tener conto anche della natura e della gravità degli illeciti da accertare in rapporto ai relativi effetti e all’entità del pregiudizio che essi possono comportare per uno o più interessati, della probabilità di comprovarne la sussistenza, nonché delle risorse disponibili.
L’articolo del Regolamento dispone che il Garante determini ed aggiorni periodicamente, con cadenza almeno semestrale, in applicazione dei surrichiamati princìpi e criteri, sia la programmazione dei lavori del Collegio e delle attività ispettive, così come di recente ha fatto adottando il Provvedimento n. 797 del 30 dicembre 2025 “Attività ispettiva curata dall’Ufficio del Garante, anche per mezzo della Guardia di Finanza, limitatamente al periodo gennaio/luglio 2026”.
Con quest’ultimo Provvedimento, il Garante ha determinato il numero e le tematiche relative alle verifiche ispettive programmate del primo semestre dell’anno in corso, alle quali si aggiungono le verifiche necessarie per lo svolgimento delle ulteriori attività istruttorie di carattere ispettivo d’ufficio, o in relazione a segnalazioni o reclami proposti dagli interessati.
Oltre alla programmazione dei lavori e delle verifiche, il Garante stabilisce infatti semestralmente, tenendo conto delle risorse disponibili in relazione al carico di lavoro delle singole unità organizzative, la natura e la gravità delle violazioni, la rilevanza del pregiudizio e il numero dei possibili interessati, anche le linee di priorità nella trattazione dei diversi procedimenti istruttori.
La delega ai dirigenti del Garante Privacy
Il Regolamento nella versione del 2019 prevedeva sinora che gli affari fossero assegnati dal Segretario generale al Dipartimento, Servizio o altra Unità Organizzativa competente.
Queste erano tenute a svolgere i necessari approfondimenti istruttori e ad effettuare anche richiesta di informazioni o di esibizione di documenti al fine di curare la predisposizione dello schema di Provvedimento per il Collegio, che preventivamente sottoposto al segretario generale, al fine di consentire al Collegio stesso di adottare le proprie deliberazioni e adottare, ove necessario, anche i provvedimenti correttivi e sanzionatori.
Con il Provvedimento del 26 marzo il Garante Privacy ha invece reso effettivo, disciplinandone i limiti ed il dettaglio, quanto già in precedenza indicato dal comma 3 dell’articolo 4 del Regolamento.
Questo prevede che il Garante Privacy, nei casi in cui la condotta relativa ad un trattamento di dati personali non conforme alle disposizioni vigenti sia particolarmente risalente nel tempo o abbia già esaurito i suoi effetti oppure gli stessi sono stati rimossi o sono state fornite idonee assicurazioni da parte del titolare del trattamento, possa delegare il proprio Segretario Generale o il Dirigente del Dipartimento, Servizio o Unità organizzativa competente ad adottare direttamente il Provvedimento correttivo, senza preventivamente sottoporlo al Collegio.
Tale delega è stata conferita proprio con il Provvedimento di marzo scorso, al fine di assicurare maggiore tempestività ed efficacia all’azione dei Dirigenti nella trattazione degli affari di propria competenza, attività sulla quale questi dovranno comunque informare periodicamente il Collegio, tramite il segretario generale nell’ambito del rapporto informativo previsto dall’articolo 36 del Regolamento.
Con tale Rapporto informativo sullo stato della trattazione degli affari, predisposto dal Segretario Generale ed inviato con cadenza semestrale al Collegio, questo viene edotto sullo stato degli affari trattati dalle unità organizzative, con le tipologie di determinazioni da esse adottate o in via di adozione nei casi individuati, nonché il relativo oggetto.
Procedimenti più rapidi e termini da rispettare
La delega conferita dal Collegio al Segretario Generale ed ai Dirigenti rappresenta indubbiamente una semplificazione dell’iter di adozione delle determinazioni del Garante Privacy, rendendo più celere e più efficiente l’attività di controllo del rispetto della normativa sulla protezione dati affidata a tale Autorità, attraverso una ottimizzazione delle procedure interne.
Le nuove misure, che comunque assicurano il rispetto del vigente quadro normativo in materia di privacy, sono di estrema rilevanza per gli interessati, che potranno, attraverso procedure più snelle rispetto a quelle ordinarie, vedere trattati più velocemente i propri reclami e quindi ottenere il rispetto dei diritti agli stessi riconosciuti dal RGDP (Regolamento UE 2016/679).
Ciò consentirà quindi di accelerare la chiusura dei procedimenti istruttori entro i termini stabiliti dalla vigente normativa, necessità che era stata evidenziata dalla Suprema Corte di Cassazione con le sentenze n. 18583/2025, e la successiva n. 759/2025.
In particolare la prima sentenza, pur avendo accolto il ricorso del Garante, aveva fissato i principi sull’osservanza da parte dello stesso dei termini procedurali, ricordando che il procedimento dinanzi al Garante si suddivide in due fasi, una prima fase dedicata alla raccolta delle prove e all’accertamento dei fatti e una seconda fase in cui vengono formalizzate le contestazioni e viene adottato il provvedimento sanzionatorio.
La Suprema Corte ha a tal proposito precisato che, una volta conclusa l’istruttoria e definitivamente accertata la violazione, il Garante Privacy dispone di 120 giorni per notificare la contestazione e irrogare la sanzione al Titolare o al Responsabile che risulta aver violato la vigente normativa in materia di protezione dei dati personali.
Il succitato termine di 120 giorni ha natura perentoria, in quanto decorre dal definitivo accertamento dell’illecito ed impone all’Autorità di esercitare entro lo stesso il proprio potere sanzionatorio.
Il mancato rispetto di questo limite temporale, in assenza di un giustificato motivo, comporta quindi l’inefficacia dell’azione sanzionatoria, con il conseguente venir meno della legittimità del provvedimento adottato in un momento successivo.
Proprio alla luce di tali pronunciamenti la delega conferita con il Provvedimento del 26 marzo ai Dirigenti di alcuni dei 13 Dipartimenti e degli 11 Servizi dei quali è composto l’Ufficio del Garante Privacy diventa ancora più rilevante, perché permetterà all’Autorità di efficientare le proprie attività e al Collegio di lavorare sui casi di violazione dei dati di maggiore impatto sui diritti degli interessati.
I trattamenti esclusi dalla delega
Al fine di efficientare la propria attività l’Autorità ha però selezionato i trattamenti di dati più complessi, delicati o critici per il rispetto dei diritti degli interessati, escludendoli dalla Delega, visto il possibile impatto maggiorato sulla collettività e la conseguente necessità di una loro valutazione collegiale, oltre che del Dipartimento interessato.
Il Provvedimento del 26 marzo, infatti evidenzia che l’Autorità non ha ritenuto opportuno far rientrare nell’ambito della delega di gestione dei procedimenti ai Dirigenti i trattamenti di dati personali legati alla libertà di pensiero e informazione, o svolti da soggetti la cui attività comporti un elevato impatto economico sulla collettività, o svolti da una serie di soggetti pubblici o il cui focus di trattamento riguardi dati appartenenti alle categorie particolari di cui all’articolo 9 del RGDP.
Tale decisione consente ovviamente di focalizzare l’attenzione dell’Autorità sulle problematiche relative alle attività di trattamento di natura più innovativa o strategica, ad esempio.
Per rappresentare compiutamente le attività di trattamento che rimangono quindi fuori dall’ambito della delega ai Dirigenti, e che quindi, pur essendo assegnati ai Dipartimenti di cui si compone l’Ufficio del Garante sono mantenuti in capo al Collegio, questi sono quelli relativi a trattamenti di dati personali non conformi alle disposizioni vigenti:
ancora attivi o che, pur essendo risalenti nel tempo, non hanno già esaurito i propri effetti o sui quali non sono state fornite idonee assicurazioni da parte del titolare del trattamento,
attinenti al settore giornalistico oppure ai diritti politici e sindacali;
effettuati da titolari o da responsabili del trattamento con fatturato annuo superiore a 500.000 euro;
effettuati da Ministeri, regioni, province autonome e comuni con popolazione superiore a 50.000 abitanti;
effettuati dalle strutture sanitarie.
Il controllo del Collegio sulle attività delegate
Per tutti gli altri, invece, se risalenti nel tempo o che hanno già esaurito i propri effetti oppure gli stessi sono stati rimossi o sono state fornite idonee assicurazioni da parte del titolare del trattamento, via libera alla delega dal Segretario Generale al Dirigente del Dipartimento, Servizio o Unità organizzativa competente, perché questo possa adottare direttamente il Provvedimento correttivo, senza prima sottoporlo all’attenzione del Collegio.
Il collegio potrà comunque mantenere il pieno controllo attraverso il segretario generale sullo svolgimento delle attività delegate, visto l’onere del Segretario di inoltrargli periodicamente un apposito rapporto informativo previsto dall’articolo 36 del Regolamento.
