Il GDPR – General Data Protection Regulation è il Regolamento Europeo UE 2016/79 in materia di protezione dei dati personali che richiede anche alla Pubblica Amministrazione ( PA) di adottare le politiche e le misure necessarie per la protezione dei dati personali nell’adempimento dei propri compiti istituzionali.
Il GDPR è basato sul principio della Responsabilità (Accountability) e prevede la nomina da parte dell’Ente, Titolare del Trattamento, di un Responsabile della Protezione dei Dati (DPO – Data Protection Officer) e, se lo ritiene necessario, di un Responsabile del Trattamento dei Dati.
Il DPO ha il compito di supportare l’Ente in ogni attività connessa al trattamento dei dati personali e di sorvegliare l’osservanza del Regolamento. La funzione del DPO è molto critica, pertanto, il soggetto preposto deve possedere dei requisiti in termini di competenza ed esperienza che gli consentono di analizzare, valutare e definire gli interventi richiesti in termini di informazione, formazione e supporto organizzativo e tecnologico alle persone coinvolte nei trattamenti di dati personali all’interno dell’Ente.
Il Responsabile del Trattamento dei Dati effettua, per conto del Titolare del Trattamento, uno o più trattamenti di dati personali, e deve mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento effettuato per conto del Titolate soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell’interessato. I trattamenti effettuati da un Responsabile del Trattamento devono essere disciplinati da un contratto o altro atto giuridico in cui vanno chiaramente definiti la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del Titolare, la durata del trattamento.
Uno dei principali nuovi adempimenti previsto dall’art. 30 del GDPR è quello dell’adozione e dell’aggiornamento continuo di un Registro dei Trattamenti, ovvero:di una vera e propria mappatura dei trattamenti dell Ente, in cui indicare
- il nome e i dati di contatto del titolare del trattamento e del DPO;
- le finalità del trattamento;
- una descrizione delle categorie di interessati e delle categorie di dati personali;
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
- i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- una descrizione generale delle misure di sicurezza tecniche e organizzative adottate dall’amministrazione;
In caso di violazione dei dati personali, il Titolare del Trattamento devono notificare all’autorità di controllo, il Garante Privacy, le violazioni di dati personali di cui vengano a conoscenza soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati. La notifica all’autorità dell’avvenuta violazione è, quindi, subordinata alla valutazione, sempre da parte del Titolare del Trattamento, del rischio per gli interessati.
Nei casi di inosservanza del Regolamento Europeo, oltre alle sanzioni amministrative previste, chiunque subisca un danno materiale o immateriale causato da una violazione del Regolamento ha il diritto di ottenere il risarcimento del danno dal Titolare del trattamento o dal Responsabile del Trattamento’ (art. 82 GDPR).