salta al contenuto

Decreto 15 ottobre 2019 - Istituzione del registro delle attività di trattamento svolte dal titolare del trattamento

15 ottobre 2019


Il Ministro della Giustizia

 

Visto il decreto legislativo 30 giugno 2003 n. 196 recante il “Codice in materia di protezione dei dati personali”, come modificato dal decreto legislativo 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;

Visto il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) e, in particolare: l’articolo 1, paragrafo 2, che circoscrive l’applicabilità delle norme del Regolamento alla protezione “delle persone fisiche” con riguardo al trattamento dei dati personali; l’articolo 2, paragrafo 2, che pone alla base dell’applicabilità del Regolamento il fatto che il trattamento abbia ad oggetto “dati personali”; l’articolo 4, n. 1, che definisce «dato personale» “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”; l’articolo 4, n. 2, in virtù del quale per «trattamento» si intende “qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione”; l’articolo 4, n. 7, che identifica nel «titolare del trattamento» “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”;

Visto l’articolo 30, paragrafi 1 e 3, del menzionato Regolamento generale sulla protezione dei dati ove è previsto che “ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni: a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; b) le finalità del trattamento; c) una descrizione delle categorie di interessati e delle categorie di dati personali; d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate; f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1” e che il registro è tenuto “in forma scritta, anche in formato elettronico”;

Visto anche l’articolo 49, paragrafo 6, del menzionato Regolamento generale sulla protezione dei dati ove è previsto che “il titolare del trattamento (…) attesta nel registro di cui all'articolo 30 la valutazione e le garanzie adeguate di cui al paragrafo 1, secondo comma, del presente articolo”;

Visto il Considerando n. 82 del citato Regolamento generale sulla protezione dei dati ove si chiarisce che “per dimostrare che si conforma al presente regolamento, il titolare del trattamento (…) dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità. Sarebbe necessario obbligare tutti i titolari del trattamento (…) a cooperare con l'autorità di controllo e a mettere, su richiesta, detti registri a sua disposizione affinché possano servire per monitorare detti trattamenti”;

Richiamato il decreto di questo Ministro del 7 agosto 2018, di nomina del responsabile della protezione dei dati per il Ministero della giustizia e, in particolare, l’articolo 2 in cui si prevede che “il RPD (…) è incaricato di (…) tenere il registro delle attività di trattamento”;

Ritenuto necessario procedere alla istituzione del registro delle attività di trattamento svolte sotto la responsabilità del titolare del trattamento;

Considerato che nel registro non confluiscono le attività svolte sotto la responsabilità di altro titolare, anche se espletate con strutture o personale del ministero della giustizia;

Sentita la Responsabile per la protezione dei dati personali;

DECRETA

Articolo 1
(Istituzione del registro delle attività di trattamento svolte dal titolare del trattamento)

È istituito il registro delle attività di trattamento svolte sotto la responsabilità del ministero della giustizia, ai sensi dell’articolo 30, paragrafo 1, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

Articolo 2
(Tenuta del registro)

  1. Il registro delle attività di trattamento svolte dal titolare del trattamento è tenuto in formato elettronico e pubblicato sul sito istituzionale del ministero della giustizia.
  2. Il responsabile per la protezione dei dati cura l’inserimento delle informazioni nel registro e provvede all’aggiornamento del registro sulla base delle indicazioni del titolare.
  3. Il registro indica la data della prima istituzione e la data dell’ultimo aggiornamento.

Articolo 3
(Autorità di controllo)

Su richiesta, il registro è messo a disposizione del Garante per la protezione dei dati personali.

Articolo 4
(Clausola di invarianza finanziaria)

L’Amministrazione provvede agli adempimenti previsti dal presente decreto nel limite delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente.
Il presente decreto è trasmesso ai competenti organi di controllo e pubblicato sul bollettino ufficiale del ministero della giustizia.

Roma, 15 ottobre 2018

Il Ministro
Alfonso Bonafede