Privacy e Regolamento Ue, le istruzioni del Garante
Lo scorso 4 settembre è stato pubblicato sulla Gazzetta Ufficiale il D.lgs. 101 del 10 agosto 2018, che contiene le disposizioni per l’adeguamento del Codice della Privacy (D.lgs. 196/2003) alle disposizioni del Regolamento Ue 679/2016, conosciuto anche come Regolamento GDPR, relativo alla protezione delle persone fisiche riguardo al trattamento dei dati personali e alla libera circolazione di tali dati, che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).
Il Garante per la protezione dei dati personali ha pubblicato sul proprio sito (https://www.garanteprivacy.it/regolamentoue/registro) le istruzioni sul Registro delle attività di trattamento previsto dal Regolamento n. 679/2016 (RGPD), che deve essere predisposto dal titolare e dal responsabile del trattamento: si tratta di un documento contenente le principali informazioni, esattamente individuate dall’art. 30 del Regolamento, relative alle operazioni di trattamento svolte da un’impresa, un’associazione, un esercizio commerciale o un libero professionista. Rientrano nella categoria delle organizzazioni indicate all’art. 30 anche le associazioni, fondazioni e i comitati.
L’obbligo di redigere il Registro rappresenta uno dei principali elementi di responsabilità del titolare, poiché si tratta di uno strumento atto a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile ai fini della valutazione o analisi del rischio e, quindi, preliminare rispetto a tale attività.
Il Registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante. Sono tenuti a redigere il Registro le imprese o le organizzazioni con almeno 250 dipendenti e, al di sotto dei 250 dipendenti, qualunque titolare o responsabile (incluse imprese o organizzazioni) che effettui trattamenti che possano presentare rischi, anche non elevati, per i diritti e le libertà delle persone o che effettui trattamenti non occasionali di dati o trattamenti di particolari categorie di dati, come possono essere, ad esempio, i dati genetici, biometrici, genetici, quelli riguardanti convinzioni religiose, salute e origine etnica, oppure di dati relativi a condanne penali e a reati.
La pagina dedicata al Registro delle attività di trattamento, in costante aggiornamento, contiene link che rimandano alla normativa e a documenti interpretativi, schede informative e pagine tematiche.
La scheda del Garante
Il Garante ha pubblicato una scheda di sintesi informativa rimandando, per un quadro completo della materia, alla legislazione in tema di protezione dei dati personali e ai provvedimenti dell’Autorità.
Sono disponibili online anche il Modello di “registro semplificato” delle attività di trattamento del titolare per Pmi e il Modello di “registro semplificato” delle attività di trattamento del responsabile per Pmi.
Per quanto concerne l’accesso ai propri dati personali – si legge nella scheda – gli interessati hanno il diritto di sapere se è in corso un trattamento di dati personali che li riguardano e, in caso di conferma, di ottenere una copia di tali dati oltre ad essere informato sull’origine e i destinatari dei dati, sulle finalità del trattamento, sull’esistenza di un processo decisionale automatizzato, compresa la profilazione, sul periodo di conservazione dei dati e sui diritti previsti dal Regolamento.
E’ anche possibile chiedere, nei casi previsti dal Regolamento:
– che i propri dati personali siano rettificati o cancellati o che ne venga limitato il trattamento;
– che i dati forniti al titolare siano trasferiti a un altro titolare (il c.d. “diritto alla portabilità”), nel caso in cui il trattamento si basi sul proprio consenso o su un contratto stipulato e venga effettuato con mezzi automatizzati.
Ci si può opporre al trattamento dei dati personali per motivi collegati alla propria situazione particolare, da specificare nella richiesta, oppure senza necessità di spiegare l’opposizione, quando i dati sono trattati per finalità di marketing diretto.
I diritti in materia di protezione dei dati personali possono essere esercitati rivolgendosi al titolare del trattamento. Riguardo all’esercizio di questi diritti, il soggetto interessato può presentare, gratis e anche tramite posta elettronica o raccomandata, senza quindi particolari formalità, una richiesta di esercizio dei diritti al titolare del trattamento, che è tenuto a rispondere alla richiesta entro un mese o a comunicare un eventuale ritardo nella risposta in caso di richieste numerose e/o complesse: la proroga, in ogni caso, non può superare i due mesi. In caso di mancato arrivo della risposta nei tempi indicati o non viene ritenuta soddisfacente, ci si può rivolgere al Garante proponendo un reclamo (art. 77 del Regolamento) o all’Autorità giudiziaria.