Il titolare del trattamento deve mettere a disposizione dell’interessato l’informativa
Con il DLgs. 51/2018 è stata data attuazione alle disposizioni della direttiva Ue 27 aprile 2016 n. 680 del Parlamento europeo e del Consiglio, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati.
La direttiva – che fa parte del c.d. “Pacchetto protezione dati”, insieme al Regolamento Ue 679/2016 (GDPR), concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati – abroga la decisione quadro 2008/977/GAI del Consiglio, sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale.
Il DLgs. in commento entra in vigore il prossimo 8 giugno 2018 e trova applicazione con riguardo ai trattamenti di dati personali relativi a persone fisiche, svolti dalle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati, o esecuzione di sanzioni penali, comprese la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica. Sono esclusi, invece, i trattamenti di dati personali svolti, fra l’altro, da istituzioni, organi, uffici e agenzie dell’Unione europea (art. 1 del DLgs. 51/2018).
Per “autorità competente” si intende qualsiasi autorità pubblica dello Stato, di uno Stato membro dell’Ue o di uno Stato terzo competente in materia di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica, o qualsiasi altro organismo o entità incaricato dagli ordinamenti interni di esercitare l’autorità pubblica e i poteri pubblici a tali fini (art. 2, comma 1, lett. g) del DLgs. 51/2018).
Titolare del trattamento è l’autorità competente che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; qualora le finalità e i mezzi di tale trattamento siano determinati dal diritto dell’Ue o dello Stato, il titolare del trattamento o i criteri specifici applicabili alla sua nomina possono essere previsti dal diritto dell’Ue o dello Stato stesso (art. 2, comma 1, lett. h) del DLgs. 51/2018).
Premesso quanto sopra, il DLgs. è composto da 50 articoli ed è diviso in 3 Capi, riguardanti:
– le disposizioni generali;
– i diritti dell’interessato;
– le figure del titolare e responsabile del trattamento.
Quanto al Capo I, vengono indicati i principi applicabili al trattamento di dati personali, fra i quali si segnalano la liceità e la correttezza del trattamento, la raccolta per finalità determinate, espresse e legittime e la compatibilità del trattamento con tali finalità, l’adeguatezza, la pertinenza e la non eccedenza rispetto alle finalità per le quali sono trattati (art. 3, comma 1 del DLgs. 51/2018).
Viene, in particolare, precisato che il trattamento è lecito se risulta necessario per l’esecuzione di un compito di un’autorità competente per le finalità di cui sopra e si basa sul diritto dell’Ue o su disposizioni di legge o, nei casi previsti dalla legge, di regolamento che individuano i dati personali e le finalità del trattamento. Si rimanda ad uno specifico DPR l’individuazione, per i trattamenti o le categorie di trattamenti non occasionali, fra l’altro, delle modalità di conservazione dei dati (art. 5 del DLgs. 51/2018).
Nel Capo II sono elencati i diritti dell’interessato, fra i quali si segnala l’informativa che il titolare del trattamento deve mettere a sua disposizione, anche sul proprio sito internet, contenente, in particolare, l’identità e i dati di contatto del titolare del trattamento, i dati di contatto del Responsabile della protezione dei dati (se previsto), le finalità del trattamento, la sussistenza del diritto di proporre reclamo al Garante e i relativi dati di contatto, la sussistenza del diritto di chiedere al titolare del trattamento l’accesso ai dati e la rettifica o la cancellazione dei dati personali e la limitazione del trattamento dei dati personali che lo riguardano (art. 10, comma 1 del DLgs. 51/2018).
Infine, il Capo III riguarda gli obblighi generali del titolare e del responsabile del trattamento, nell’ambito dei quali si fa presente quello della predisposizione del registro delle attività di trattamento, da tenere in forma scritta, anche in formato elettronico (art. 20 del DLgs. 51/2018).
Inoltre, il titolare e il responsabile del trattamento devono mettere in atto misure tecniche e organizzativeche garantiscano un livello di sicurezza adeguato al rischio di violazione dei dati (art. 25 del DLgs. 51/2018) e, in caso di violazione, notificare la violazione al Garante della privacy (secondo la procedura di cui all’art. 33 del GDPR) e, quando la violazione di dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, comunicarla all’interessato (art. 34 del GDPR).
Il titolare del trattamento deve designare un Responsabile della protezione dei dati, anche unico per più autorità competenti, tenuto conto della loro struttura organizzativa e dimensione (art. 28 del DLgs. 51/2018).