[doc. web n. 10239146]

Provvedimento del 26 marzo 2026 - Modifiche al regolamento n. 1/2019, concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante per la protezione dei dati personali 
(Pubblicato sulla Gazzetta Ufficiale Serie Generale n. 82 del 9 aprille 2026)

Registro dei provvedimenti
n. 233 del 26 marzo 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia componente, e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196) recante disposizioni per l'adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali (delibera n. 98 del 4 aprile 2019 – pubblicata sulla G.U. n. 106 dell'8 maggio 2019 – disponibile su www.gpdp.it doc. web n. 9107633);

VISTO il Regolamento n. 2/2019, concernente l'individuazione dei termini e delle unità organizzative responsabili dei procedimenti amministrativi presso il Garante per la protezione dei dati personali (delibera n. 99 del 4 aprile 2019 - pubblicata sulla G.U. n. 107 del 9 maggio 2019- disponibile su www.gpdp.it doc. web n. 9107640);

CONSIDERATO che il regolamento n. 1/2019 stabilisce, tra i princìpi generali, che l’Autorità, nell’esercizio dei compiti e dei poteri ad essa demandati dalla normativa vigente e dalla disciplina comunque rilevante in materia di trattamento dei dati personali, ispira la propria azione a princìpi di trasparenza, ragionevolezza, proporzionalità e non discriminazione, realizzando l’interesse pubblico connesso a ciascuna attività secondo criteri di buona amministrazione, economicità, adeguatezza e imparzialità e che, a tal fine, tiene conto anche della natura e della gravità degli illeciti da accertare in rapporto ai relativi effetti e all’entità del pregiudizio che essi possono comportare per uno o più interessati, della probabilità di comprovarne la sussistenza, nonché delle risorse disponibili;

TENUTO CONTO che il Garante, in conformità a quanto stabilito dal regolamento n. 1/2019, fornisce, anche attraverso gli obiettivi programmatici, le linee di priorità delle unità organizzative preposte alla trattazione degli affari giuridici a rilevanza esterna, in particolare tramite le programmazioni semestrali dell’attività;

VISTO l’art. 4, comma 3, del regolamento n. 1/2019 il quale prevede che “Nei casi in cui la condotta è particolarmente risalente nel tempo o ha esaurito i suoi effetti oppure tali effetti sono stati rimossi o sono state fornite idonee assicurazioni da parte del titolare del trattamento, di cui all’articolo 14, comma 5, del presente regolamento, il Collegio, con propria deliberazione da pubblicarsi nella Gazzetta Ufficiale della Repubblica italiana, può delegare il segretario generale ovvero il dirigente del dipartimento, servizio o altra unità organizzativa competente ad adottare il provvedimento correttivo di cui all’articolo 58, paragrafo 2, lettera b), del RGPD.”;

VISTO l’art. 58, paragrafo 2, lettera b), del Regolamento il quale prevede che l’Autorità ha il potere di rivolgere ammonimenti al titolare del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del Regolamento medesimo;

VISTO l’art. 14, comma 5, del regolamento n. 1/2019 in base al quale “Quando la condotta è particolarmente risalente nel tempo o ha esaurito i suoi effetti oppure tali effetti sono stati rimossi o sono state fornite idonee assicurazioni da parte del titolare o del responsabile del trattamento, il dipartimento, servizio o altra unità organizzativa competente informa l’istante, ai sensi dell’articolo 77, paragrafo 2, del RGPD, ferma restando l’applicazione dei commi 2, 3 e 4 del presente articolo ove ne ricorrano i presupposti”;

RITENUTO necessario, per assicurare maggiore tempestività ed efficacia nella trattazione degli affari di propria competenza, in attuazione di quanto previsto dall’art. 4, comma 3, del regolamento n. 1/2019, delegare il dirigente del dipartimento, servizio o altra unità organizzativa competente ad adottare il provvedimento correttivo di cui all’articolo 58, paragrafo 2, lettera b), del Regolamento nei casi in cui la condotta è particolarmente risalente nel tempo o ha esaurito i suoi effetti oppure tali effetti sono stati rimossi o sono state fornite idonee assicurazioni da parte del titolare del trattamento;

RITENUTO opportuno che non rientrino nell’ambito della delega in questione i trattamenti di dati personali:

- attinenti al settore giornalistico oppure ai diritti politici e sindacali;

- effettuati da titolari o da responsabili del trattamento con fatturato annuo superiore a 500.000 euro;

- effettuati da Ministeri, Regioni e Province autonome, Asl e Comuni con popolazione superiore a 50.000 abitanti;

RITENUTO altresì necessario che il dipartimento, servizio o altra unità organizzativa competente informi il Collegio, per il tramite del segretario generale, in ordine allo svolgimento delle attività delegate, nell’ambito del rapporto informativo di cui all’art. 36 del regolamento n. 1/2019;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 4, comma 3, del regolamento n. 1/2019, delega il dirigente del dipartimento, servizio o altra unità organizzativa competente ad adottare il provvedimento correttivo di cui all’articolo 58, paragrafo 2, lettera b), del Regolamento nei casi in cui la condotta è particolarmente risalente nel tempo o ha esaurito i suoi effetti oppure tali effetti sono stati rimossi o sono state fornite idonee assicurazioni da parte del titolare del trattamento.

Non sono oggetto della delega in questione i trattamenti di dati personali:

- attinenti al settore giornalistico oppure ai diritti politici e sindacali;

- effettuati da titolari o da responsabili del trattamento con fatturato annuo superiore a 500.000 euro;

- effettuati da Ministeri, Regioni e Province autonome, ASL e Comuni con popolazione superiore a 50.000 abitanti.

Dispone che il dirigente del dipartimento, servizio o altra unità organizzativa competente informi il Collegio, per il tramite del segretario generale, in ordine allo svolgimento delle attività delegate, nell’ambito del rapporto informativo di cui all’art. 36 del regolamento n. 1/2019.

Dispone, altresì, la pubblicazione della presente deliberazione nella Gazzetta Ufficiale della Repubblica italiana, ai sensi dell'art. 4, comma 3, del regolamento n. 1/2019.

Roma 26 marzo 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori