Quaderno del 29 marzo 2018

Il Regolamento oltre a prevedere nuovi adempimenti, in capo ai titolari e ai responsabili del trattamento, modifica alcune disposizioni (già previste nel Codice nazionale), suscettibili di impattare più direttamente sulle attività di competenza delle AdG. Si pensi ad esempio: all’informativa da rendere all’interessato, alla puntuale declinazione dei compiti affidati al responsabile del trattamento, all’introduzione della disciplina della contitolarità, alle misure di sicurezza tecniche ed organizzative da mettere in atto, ecc.

Per agevolare le AdG nella revisione dei sistemi e della modellistica in uso, per allinearla alle previsioni del GDPR, si riportano di seguito alcune misure che le stesse potrebbero attivare in qualità di titolari o responsabili dei trattamenti relativi al FSE. Si tratta chiaramente di iniziative solo eventuali, la cui opportunità andrà valutata in ragione delle specificità di ciascuna amministrazione.

Punto a. Aggiornare il modello per l’informativa da rendere all’interessato con gli ulteriori elementi previsti dall’art. 13 del Regolamento: i dati di contatto del responsabile della protezione dei dati, la base giuridica del trattamento, il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo, il diritto dell’interessato di ottenere la limitazione del trattamento e la portabilità dei dati nonché il diritto di presentare un reclamo all'autorità di controllo.

Punto b. Aggiornare le Convenzioni/Atti di adesione/Contratti con i quali i beneficiari/attuatori vengono individuati come responsabili (esterni) del trattamento integrandoli con le informazioni aggiuntive richieste dall’art. 28 del Regolamento: natura, durata e finalità del trattamento o dei trattamenti assegnati, categorie di dati oggetto di trattamento, misure tecniche e organizzative.

Punto c. Predisporre/aggiornare linee guida per i beneficiari per fornire indicazioni in merito alle modalità di trattamento dei dati personali alla luce delle nuove previsioni introdotte dal Regolamento Europeo: designare un responsabile della protezione dei dati (se PA/organismi di diritto pubblico), tenere un registro delle attività di trattamento ecc. In alternativa inserire un paragrafo, o aggiornarlo ove presente, dedicato al trattamento dei dati personali nell’ambito dei manuali destinati ai beneficiari (11).

Punto d. Predisporre un format di registro delle attività di trattamento effettuate dal responsabile per conto del titolare, da mettere a disposizione dei beneficiari/attuatori che in qualità di responsabili (esterni) del trattamento dovranno provvedere alla sua compilazione. Si segnala, comunque, che il Garante per la privacy sta valutando di mettere a disposizione un modello di registro dei trattamenti sul proprio sito, che i singoli titolari potranno integrare nei modi opportuni.

Punto e. Aggiornare eventuali Convenzioni con Organismi intermedi (se individuati come contitolari del trattamento) definendo specificamente il rispettivo ambito di responsabilità e i compiti con particolare riguardo all'esercizio dei diritti degli interessati.

Punto f. Aggiornare i sistemi informativi ed i rispettivi manuali e, se del caso, le pertinenti sezioni dei SIGECO alla luce di eventuali adeguamenti tecnologici o di correttivi da apportare alle procedure in atto suggeriti dal responsabile della protezione dei dati.