salta al contenuto

Decreto 15 ottobre 2019 - Istituzione del registro delle attività di trattamento svolte dai Responsabili del trattamento

15 ottobre 2019


Il Ministro della Giustizia


Visto il decreto legislativo 30 giugno 2003 n. 196 recante il “Codice in materia di protezione dei dati personali”, come modificato dal decreto legislativo 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;

Visto il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) e, in particolare: l’articolo 1, paragrafo 2, che circoscrive l’applicabilità delle norme del Regolamento alla protezione “delle persone fisiche” con riguardo al trattamento dei dati personali; l’articolo 2, paragrafo 2, che pone alla base dell’applicabilità del Regolamento il fatto che il trattamento abbia ad oggetto “dati personali”; l’articolo 4, n. 1, che definisce «dato personale» “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”; l’articolo 4, n. 2, in virtù del quale per «trattamento» si intende “qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione”; l’articolo 4, numeri 7 e 8, che identificano nel «titolare del trattamento» “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” e nel «responsabile del trattamento» “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”;

Visto l’articolo 28, paragrafi 1 e 3 del menzionato Regolamento generale sulla protezione dei dati secondo cui “qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato” e “i trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento (…)”;

Visto l’articolo 30, paragrafi 2 e 3, del menzionato Regolamento generale sulla protezione dei dati ove è previsto che “ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente: a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati; b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento; c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate; d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1” e che i registri “sono tenuti in forma scritta, anche in formato elettronico”;

Visto anche l’articolo 49, paragrafo 6, del menzionato Regolamento generale sulla protezione dei dati ove è previsto “il titolare del trattamento o il responsabile del trattamento attesta nel registro di cui all'articolo 30 la valutazione e le garanzie adeguate di cui al paragrafo 1, secondo comma, del presente articolo”;

Visto il Considerando n. 82 del citato Regolamento generale sulla protezione dei dati ove si chiarisce che “per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità. Sarebbe necessario obbligare tutti i titolari del trattamento e i responsabili del trattamento a cooperare con l'autorità di controllo e a mettere, su richiesta, detti registri a sua disposizione affinché possano servire per monitorare detti trattamenti”;

Ritenuto necessario procedere alla individuazione, all’interno della struttura ministeriale e per l’intera durata del rapporto in corso, di responsabili del trattamento nei diversi settori di competenza, tenendo conto delle attività loro attribuite sulla base dei provvedimenti da cui scaturisce l’incarico e dei seguenti provvedimenti: d.P.C.M. 15 giugno 2015 n. 84 (Regolamento di organizzazione del Ministero della giustizia e riduzione degli uffici dirigenziali e delle dotazioni organiche); d.P.R. 25 luglio 2001 n. 35 (Regolamento di organizzazione degli Uffici di diretta collaborazione del Ministro della giustizia); d.P.R. 6 marzo 2011 n. 55 (Regolamento di organizzazione del Ministero della giustizia in particolare, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati oggetto del trattamento, nonché la durata di quest’ultimo); decreto legislativo 27 ottobre 2009 n. 150 (attuazione della legge 4 marzo 2009, n. 15, in materia di ottimizzazione della produttività del lavoro pubblico e di efficienza e trasparenza delle pubbliche amministrazioni; d.P.C.M. del 19 giugno 2019 n. 99 (Regolamento concernente l'organizzazione del Ministero della giustizia, di cui al d.p.c.m. 84/2015); d.P.C.M. del 19 giugno 2019 n. 100 (Regolamento concernente l’organizzazione degli Uffici di diretta collaborazione del Ministro della giustizia, nonché dell'organismo indipendente di valutazione della performance);

Visto il decreto di questo Ministro emesso in pari data con cui è stato istituito il registro delle attività di trattamento del titolare (Ministero della giustizia);

Ritenuto necessario procedere alla istituzione del registro delle attività di trattamento svolte dai singoli responsabili del trattamento per conto del titolare;

Sentita la Responsabile per la protezione dei dati personali;

DECRETA

Articolo 1
(Individuazione dei responsabili del trattamento)

I responsabili del trattamento sono così individuati:

  1. il componente unico dell’organismo indipendente di valutazione della performance;
  2. i capi degli uffici di diretta collaborazione e i sottosegretari di Stato;
  3. il direttore generale della direzione generale per il coordinamento delle politiche di coesione;
  4. i capi dei dipartimenti;
  5. il direttore generale dell’ufficio centrale degli archivi notarili;
  6. il responsabile della prevenzione della corruzione e della trasparenza.

Articolo 2
(Istituzione del registro delle attività di trattamento svolte dal responsabile del trattamento)

È istituito il registro delle attività di trattamento svolte dal responsabile del trattamento ai sensi dell’articolo 30, paragrafo 2, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

Articolo 3
(Tenuta dei registri)

  1. Il registro delle attività di trattamento svolte dal responsabile del trattamento è da questi tenuto in formato elettronico ed è pubblicato sul sito istituzionale del Ministero della giustizia.
  2. Il responsabile del trattamento cura l’aggiornamento del registro dandone tempestiva informazione al titolare.
  3. Il registro indica la data della prima istituzione e la data dell’ultimo aggiornamento.

Articolo 4
(Autorità di controllo)

Su richiesta, il registro è messo a disposizione del Garante per la protezione dei dati personali.

Articolo 5
(Clausola di invarianza finanziaria)

L’Amministrazione provvede agli adempimenti previsti dal presente decreto nel limite delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente.

Il presente decreto è trasmesso ai competenti organi di controllo e pubblicato sul Bollettino Ufficiale del Ministero della giustizia.

Roma, 15 ottobre 2018

Il Ministro
Alfonso Bonafede