In sintesi
- L'art. 59 GDPR impone relazione annuale di attività dell'Autorità.
- Contenuto: violazioni, reclami, provvedimenti, cooperazione, EDPB.
- Trasmissione a parlamento, governo, EDPB, Commissione (par. 1).
- Pubblicità al pubblico (par. 2): sito istituzionale.
- Strumento di benchmarking e convergenza europea.
- Il Garante italiano pubblica relazione corposa (200-300 pagine) annualmente.
Testo dell'articoloVigente
Articolo 59 del Regolamento (UE) 2016/679 (GDPR) — Relazione di attività.
Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Commento
La rendicontazione pubblica
L'art. 59 GDPR impone a ogni Autorità di controllo di redigere una relazione annuale sulla propria attività, da trasmettere a parlamento nazionale, governo, EDPB, Commissione europea, e da rendere disponibile al pubblico. È strumento di accountability istituzionale: l'Autorità è indipendente ma deve rendicontare. La relazione è anche strumento di benchmarking europeo: i destinatari possono valutare l'efficacia delle Autorità e identificare buone pratiche. Il considerando 130 sottolinea l'importanza della trasparenza.
Contenuto della relazione (par. 1)
La relazione deve includere informazioni su: violazioni notificate ex art. 33 e gestite; tipi di violazioni e modalità di intervento dell'Autorità; reclami ricevuti e trattati; provvedimenti adottati; cooperazione internazionale; partecipazione a EDPB; pareri rilasciati; aspetti organizzativi e di personale. La struttura è dettata dalla logica della rendicontazione: cosa ha fatto, come ha gestito, quali risultati. È documento ricco di dati e analisi.
Trasmissione a parlamento, governo, EDPB, Commissione
Il par. 1 specifica la trasmissione: la relazione è inoltrata al parlamento, al governo e ad altre autorità designate dal diritto SM. È inoltrata anche all'EDPB e alla Commissione. La trasmissione plurima garantisce visibilità istituzionale: il parlamento esercita controllo politico, il governo è informato delle priorità, l'EDPB integra in posizione comune europea, la Commissione può proporre evolutivi del Regolamento. È governance multilivello.
Pubblicità della relazione
Il par. 2 prevede la pubblicità: la relazione è resa accessibile al pubblico. La pubblicazione online è prassi diffusa, con sezioni dedicate sul sito istituzionale. Ciò consente a cittadini, stampa, ricercatori, operatori di consultare i dati e le analisi. La trasparenza è strumento di responsabilità: l'Autorità si misura pubblicamente con i risultati raggiunti. Le critiche basate sui dati possono spingere a miglioramenti.
Buone pratiche e benchmarking
Le buone pratiche e il benchmarking emergono dalle relazioni europee. Differenze nelle metodologie (dati assoluti vs ratio), nelle priorità (sanitario vs marketing vs tecnologia), nei risultati (sanzioni inflitte, casi chiusi, formazione erogata) consentono comparazione. L'EDPB ha sviluppato dashboard armonizzati. Garanti più efficienti diventano modello; quelli meno efficienti sono sollecitati a investimenti. La trasparenza promuove convergenza al rialzo.
La relazione del Garante italiano
La relazione del Garante italiano è pubblicata annualmente: corposo documento (200-300 pagine) con dati su provvedimenti, sanzioni, reclami, ispezioni, attività internazionali, formazione, finanze. Articolata per settori tematici (sanità, marketing, lavoro, PA, tecnologia, minori). Include analisi statistiche e casi notevoli. È risorsa di riferimento per operatori, studiosi, giornalisti, parlamentari. Disponibile sul sito www.garanteprivacy.it.
Regola pratica e checklist operativa
Compliance art. 59: per operatori: (i) consultare regolarmente la relazione; (ii) analizzare provvedimenti tematici per il settore; (iii) anticipare priorità e aree di rischio; (iv) usare come knowledge base. Per Autorità: trasparenza come strumento di responsabilità e legittimazione.
Accountability e documentazione
Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.
Coordinamento con il Codice Privacy italiano
L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.
Casi pratici
Caso 1: Tizio: consulta relazione Garante
Tizio, DPO, consulta relazione annuale del Garante per orientarsi su priorità di settore. Art. 59, par. 2: relazione pubblica, accessibile sul sito.
Caso 2: Caio: parlamentare e analisi
Caio, parlamentare, analizza relazione per valutare dotazione del Garante. Trasmissione al parlamento consente controllo politico delle attività.
Caso 3: Sempronio: ricercatore
Sempronio, ricercatore universitario, usa relazioni dei Garanti europei per studio comparato. Benchmarking tra Autorità: differenze, buone pratiche, opportunità di convergenza.
Caso 4: Commento applicativo
L'art. 59 è la finestra di trasparenza. La relazione è risorsa di intelligence per DPO, legali, accademici. Anticipare priorità del Garante prepara compliance.
Domande frequenti
Cosa contiene la relazione?
Violazioni notificate, reclami ricevuti, provvedimenti adottati, sanzioni inflitte, cooperazione internazionale, attività EDPB, aspetti organizzativi, dati statistici.
A chi è trasmessa?
Parlamento, governo, EDPB, Commissione europea, altre autorità designate dal diritto SM (par. 1).
È pubblica?
Sì (par. 2). Resa accessibile al pubblico, di norma sul sito istituzionale. Trasparenza come strumento di responsabilità.
Quando è pubblicata?
Annualmente. Il Garante italiano pubblica tipicamente nella prima metà dell'anno la relazione dell'esercizio precedente.
Cosa posso fare con la relazione?
Consultare per orientarsi su priorità del Garante, analizzare trend, identificare buone pratiche, anticipare aree di rischio, integrare nella strategia di compliance.
Vedi anche