Domanda

Si parla sempre di “trattamento dei dati personali” che viene effettuato dalle pubbliche amministrazioni, per esempio, sui procedimenti avviati con istanza di parte. In termini pratici, con quali azioni si determina un “trattamento”?

 

Risposta

L’esatta definizione di cosa sia un trattamento dei dati personali, è data dall’articolo 4, punto 2, del Regolamento (UE) 2017/679, in materia di tutela dei dati personali.

Al riguardo, va detto che il Reg. UE è stato approvato il 27 aprile 2016 ed è in vigore dal 25 maggio del medesimo anno, essendo stato pubblicato in Gazzetta Ufficiale Europea il 4 maggio 2016. Il Regolamento, come da clausola iniziale già prevista, ha iniziato ad avere piena efficacia, in tutti i 28 paesi della Unione Europea,  solamente dal 25 maggio 2018, cioè due anni dopo la sua entrata in vigore.

Chiarito ciò, la definizione letterale di trattamento dei dati personali è la seguente:

2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

La definizione di cosa sia un “dato personale”, invece, è riportata nel medesimo articolo 4 del Reg. UE, che al punto 1, testualmente recita:

1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

Una volta circoscritto il significato di “dato personale” e di “trattamento dei dati personali”, non resta che soggiungere che il medesimo Regolamento (UE) 2016/679 prevede, all’articolo 30, comma 1, l’obbligo per tutte le pubbliche amministrazioni di formare e tenere aggiornato un Registro delle attività di trattamento, svolte sotto la responsabilità del titolare del trattamento (che è l’ente medesimo, in persona del suo legale rappresentante).

Il Registro dovrà contenere, almeno, le seguenti informazioni:
a) il nome e i dati di contatto dell’ente e del Responsabile Protezione Dati;
b) le finalità di trattamento;
c) la sintetica descrizione delle categorie di interessati (cittadini, residenti, utenti, dipendenti, amministratori, altro), e le categorie dei dati personali (identificativi; genetici; biometrici; salute, eccetera);
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
e) eventuale trasferimento di dati personali verso un paese terzo;
f) il termine ultimo (se stabilito) previsto per la cancellazione delle diverse categorie di dati;
g) Il richiamo alle misure di sicurezza tecniche e organizzative adottate per il trattamento.

Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante privacy.

L’articolo 30, comma 2, del citato Reg. UE, inoltre, prevede anche la tenuta di un ulteriore documento che è il Registro delle categorie di attività, redatto e aggiornato, in questo caso, dai singoli Responsabili del trattamento, nominati dal titolare.

Il Registro delle categorie di trattamento,  dovrà contenere le seguenti informazioni:
a) il nome e i dati di contatto del Responsabile del trattamento e del RPD;
b) le categorie di trattamenti effettuate da ciascun Responsabile: raccolta; registrazione; organizzazione; strutturazione; conservazione; adattamento o modifica; estrazione; consultazione; uso; comunicazione; raffronto; interconnessione; limitazione; cancellazione; distruzione;
c) l’eventuale trasferimento dei dati verso un paese terzo;
d) il richiamo alle misure di sicurezza tecniche e organizzative adottate per il trattamento.

Per ulteriori informazioni, si consiglia di consultare le FAQ (Frequently Asked Questions), nel sito web del Garante privacy italiano, al link: https://www.garanteprivacy.it/web/guest/faq