Gazzetta n. 145 del 19 giugno 2021 (vai al sommario) GARANTE PER LA PROTEZIONE DEI DATI PERSONALI DELIBERA 27 maggio 2021 Modifiche al regolamento n. 1/2000 in materia di organizzazione e funzionamento dell'Ufficio del Garante per la protezione dei dati personali. (Provvedimento n. 222). IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, l'avv. Guido Scorza e il dott. Agostino Ghiglia, componenti e il cons. Fabio Mattei, segretario generale; Visto il regolamento (UE) n. 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati, di seguito regolamento); Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito codice); Visto il decreto legislativo 18 maggio 2018, n. 51, recante attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorita' competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonche' alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio; Visto l'art. 156, comma 3, del codice ai sensi del quale il Garante definisce con propri regolamenti pubblicati nella Gazzetta Ufficiale l'organizzazione e il funzionamento dell'ufficio anche ai fini dello svolgimento dei compiti e dell'esercizio dei poteri di cui agli articoli 154, 154-bis, 160, nonche' all'art. 57, par. 1, del regolamento; Visti i regolamenti del Garante nn. 1, 2, e 3/2000, approvati con deliberazione n. 15 del 28 giugno 2000, pubblicata nella Gazzetta Ufficiale della Repubblica italiana del 13 luglio 2000, n. 162 e le successive modificazioni ed integrazioni; Visto l'art. 8, commi 2 e 3, del citato regolamento n. 1/2000, che articola l'Ufficio del Garante in unita' organizzative di primo e di secondo livello e individua le unita' di primo livello nei dipartimenti, nei servizi e, laddove costituite, nelle unita' temporanee; Visto l'art. 57, par. 1, lettera b), del regolamento che ha attribuito alle autorita' nazionali di controllo il compito, tra gli altri, di promuovere la consapevolezza e favorire la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione al trattamento dei dati personali, con particolare attenzione alle attivita' destinate specificatamente ai minori; Visto, altresi', l'art. 57, par. 1, lettera d), del regolamento, ai sensi del quale le autorita' nazionali di controllo hanno il compito di promuovere la consapevolezza dei titolari e dei responsabili del trattamento riguardo agli obblighi imposti loro dal regolamento medesimo; Visto l'art. 8 della legge del 7 giugno 2000, n. 150, recante «Disciplina delle attivita' di informazione e di comunicazione delle pubbliche amministrazioni», che ha definito i criteri e le modalita' di funzionamento dell'ufficio relazioni con il pubblico presso le pubbliche amministrazioni; Visto l'art. 11 del decreto legislativo 30 marzo 2001, n. 165, recante «Norme generali sull'ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche», il quale prevede che le amministrazioni pubbliche individuino, nell'ambito della propria struttura, uffici per le relazioni con il pubblico, anche al fine di garantire la piena attuazione della legge 7 agosto 1990, n. 241, assegnando ad essi personale con idonea qualificazione ed elevata capacita' di comunicazione con il pubblico; Viste le deliberazioni di questa Autorita' n. 6 del 3 febbraio 2005; n. 5 del 17 febbraio 2014; n. 374 del 25 giugno 2015; n. 504 del 1° ottobre 2015 e n. 118 del 22 febbraio 2018, con le quali si e' provveduto a disciplinare l'attivita' di comunicazione al pubblico da parte di questa Autorita' nel corso del tempo; Ritenuta la necessita' sulla base dell'esperienza sviluppata, tenuto conto della rilevanza e della delicatezza del ruolo svolto presso l'Autorita' dall'ufficio relazioni con il pubblico sia sotto il profilo del numero di interpelli e quesiti di varia natura provenienti da soggetti pubblici e privati e da cittadini che quotidianamente vengono prospettati a tale struttura, sia sotto il profilo della complessita' e delicatezza delle problematiche affrontate e del ruolo di comunicazione istituzionale insito in tali attivita', al fine di migliorare e qualificare ulteriormente il servizio reso all'utenza, di potenziare l'ufficio relazioni con il pubblico riconfigurandolo come unita' organizzativa di primo livello; Ritenuta la necessita' di istituire, come unita' organizzativa di primo livello, il servizio per le relazioni con il pubblico, al quale vengono attribuite le seguenti competenze: curare, anche mediante un servizio di ascolto telefonico o attraverso la posta elettronica, l'informazione al pubblico sulle disposizioni in materia di diritto alla protezione dei dati personali e sulle relative modalita' di tutela (segnalazioni e reclami); risposte a quesiti, richieste di informazioni e pareri da parte di cittadini, amministrazioni pubbliche, associazioni o imprese, anche sulla base delle indicazioni e della documentazione fornita da dipartimenti e servizi, pure attraverso la predisposizione di note che richiamano provvedimenti del Garante; riscontro a richieste di documentazione e materiale informativo sulla protezione dei dati personali e sulle relative modalita' di tutela; Considerato, inoltre, che il regolamento contiene una serie di disposizioni riguardanti il trattamento effettuato attraverso il processo decisionale automatizzato, compresa la profilazione (v., in particolare, articoli 13, 14, 22, 35 e 36); Visto l'art. 57, par. 1, lettera i), del regolamento che ha attribuito alle autorita' nazionali di controllo il compito, tra gli altri, di sorvegliare gli sviluppi che presentano un interesse, se e in quanto incidenti sulla protezione dei dati personali, in particolare l'evoluzione delle tecnologie dell'informazione e della comunicazione; Considerato che, nell'ambito degli obiettivi programmatici e delle linee di priorita' dell'Autorita' per l'anno 2021, e' stata attribuita particolare rilevanza, tra l'altro, «alla trattazione degli affari riguardanti l'impatto della digitalizzazione nel trattamento dei dati personali, con particolare riferimento allo sviluppo di sistemi di intelligenza artificiale» (v. all. A al bilancio di previsione dell'esercizio finanziario del Garante per l'anno 2021, adottato con delibera del 17 dicembre 2020) e che il Documento programmatico 2021-2023 a sua volta prevede che il Garante e' chiamato ad intervenire, tra i vari settori di particolare delicatezza, in quello dell'intelligenza artificiale (v. all. B al predetto bilancio di previsione); Considerato che nell'ambito di applicazione del diritto dell'Unione europea e, in via riflessa, anche nei suoi Stati membri, l'intelligenza artificiale rappresenta un settore di intervento in forte espansione, rientrando tra gli elementi cardine per la digitalizzazione del mercato unico europeo (cfr. Comunicazione della Commissione europea, L'intelligenza artificiale per l'Europa, COM(2018) 237 final del 25 aprile 2018 e, da ultimo, la proposta di regolamento sull'approccio europeo all'intelligenza artificiale, COM(2021) 206 final, nonche' il piano coordinato sull'Intelligenza artificiale 2021 [COM(2021) 205 final] del 21 aprile 2021); Ritenuta la necessita', tenuto conto della rilevanza e dell'impatto dell'intelligenza artificiale sul diritto alla protezione dei dati personali, anche alla luce di interpelli e quesiti posti in materia a questa Autorita', di istituire il Dipartimento intelligenza artificiale come unita' organizzativa di primo livello, alla quale vengono attribuite le seguenti competenze: per i profili di carattere giuridico, monitorare i fondamenti e la metodologia di progettazione, sviluppo e impiego di sistemi informatici basati su tecnologie di intelligenza artificiale e di apprendimento automatico (c.d. machine learning); seguire le iniziative, anche da parte di enti di ricerca, e i tavoli di lavoro nazionali, europei e internazionali con riguardo alle aree di interazioni tra intelligenza artificiale e diritto alla protezione dei dati personali; fornire supporto all'attivita' istruttoria, anche in occasione di accertamenti ispettivi, degli affari di competenza delle altre Unita' organizzative svolta ai sensi del regolamento, del codice e del decreto legislativo n. 51/2018; collaborare all'esame delle proposte di legge o degli atti normativi in materia aventi natura regolamentare basati su atti legislativi ai sensi degli articoli 36, par. 4, ovvero 57, par. 1, lettera c), del regolamento; supportare in materia le Unita' organizzative interessate per le attivita' di cooperazione e coerenza previste dal regolamento; fornire il medesimo supporto al Collegio; Ritenuto, alla luce di quanto sopra illustrato, di dover apportare all'art. 8, comma 5, primo periodo, del regolamento n. 1/2000, la conseguente modifica, aggiungendo dopo le seguenti parole «e) servizio del controllo di gestione», le parole «f) servizio per le relazioni con il pubblico», e di dover altresi' apportare all'art. 8, comma 5, quarto periodo, del regolamento n. 1/2000, la conseguente modifica, aggiungendo dopo le seguenti parole «l) affari legali e di giustizia», le parole «m) intelligenza artificiale», come riportato nell'allegato A che costituisce parte integrante e sostanziale della presente deliberazione; Considerato che le rappresentanze sindacali del Garante sono state informate in ordine alla istituzione del Dipartimento intelligenza artificiale e del servizio per le relazioni con il pubblico nel corso di incontri e di riunioni su temi di interesse sindacale; Vista la documentazione in atti; Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il prof. Pasquale Stanzione; Tutto cio' premesso il Garante: ai sensi dell'art. 156, comma 3, del codice, delibera nei termini di cui in motivazione di: a) istituire il servizio per le relazioni con il pubblico e il Dipartimento intelligenza artificiale come unita' organizzative di primo livello; b) modificare l'art. 8, comma 5, primo e quarto periodo, del regolamento n. 1/2000, come riportato nell'allegato A che costituisce parte integrante e sostanziale della presente deliberazione. Le modifiche di cui al punto a) entrano in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Ai sensi dell'art. 154-bis, comma 3, del codice, dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia - ufficio pubblicazioni ai fini della pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Roma, 27 maggio 2021 Il Presidente e relatore: Stanzione Il segretario generale: Mattei   Allegato A Modifica al regolamento n. 1/2000 sull'organizzazione e il funzionamento dell'Ufficio del Garante per la protezione dei dati personali Art. 8, comma 5, primo e quarto periodo. Nell'art. 8, comma 5, primo periodo, del regolamento n. 1/2000, dopo le seguenti parole «e) servizio del controllo di gestione», sono aggiunte le parole «f) servizio per le relazioni con il pubblico». Nell'art. 8, comma 5, quarto periodo, del regolamento n. 1/2000, dopo le seguenti parole «l) affari legali e di giustizia», sono aggiunte le parole «m) intelligenza artificiale».