notifica al garante privacy

La notificazione al Garante Privacy va eseguita solo per il trattamento di particolari tipi di dati personali che sono elencati e suddivisi in categorie come previsto dall’articolo 37 del Codice Privacy come segue:

• dati genetici o biometrici;
• dati che consentono la geolocalizzazione tramite reti di comunicazione elettronica (ad esempio: localizzazione gps, app che utilizzano la localizzazione degli utenti etc.);
• dati che rivelano lo stato di salute (ad esempio: dati raccolti per la prestazione di servizi sanitari);
• dati relativi alla vita sessuale o alla sfera psichica, trattati da enti no profit in ambito politico, filosofico, religioso o sindacale;
• dati di “profilazione”: dati che consentono di delineare il profilo, la personalità, le abitudini e le scelte di consumo dei soggetti (ad esempio: i dati raccolti durante la navigazione sul web tramite i “cookie”, per fornire pubblicità mirata agli utenti);
• dati sensibili registrati in banche dati per servizi di selezione del personale o dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche a campione (i dati sensibili sono quelli relativi allo stato di salute e alla vita sessuale, all'origine razziale ed etnica, al credo religioso, alle opinioni filosofiche o politiche e all’ appartenenza a partiti, sindacati e associazioni religiose, politiche, sindacali o filosofiche);
• dati registrati su banche dati elettroniche, che consentono di conoscere la situazione patrimoniale e di solvibilità di un soggetto (ad. esempio portali on-line, da cui si possono ottenere informazioni su una data impresa).

Il Garante Privacy ha emanato dei provvedimenti in cui sono indicate alcune eccezioni ai casi appena elencati e ulteriori dettagli per la corretta applicazione.

Il soggetto tenuto ad eseguire la notifica al Garante è il titolare del trattamento dei dati.

Il titolare del trattamento è il soggetto (persona fisica, impresa, l'ente, l'associazione etc.) che ha il potere di prendere le decisioni principali relative agli scopi e alle modalità del trattamento (ossia le decisioni sulla raccolta, registrazione, organizzazione, conservazione, modifica, selezione, estrazione, l'utilizzo, blocco, comunicazione a terzi, diffusione, cancellazione e distruzione dei dati personali).

Nel caso in cui ci sia più di un titolare del trattamento dei dati, tutti i titolari sono tenuti ad effettuare una notifica, che sarà distinta e autonoma rispetto alle altre con indicazione degli altri contitolari.

Quando il titolare del trattamento cambia, il nuovo titolare è tenuto ad eseguire una nuova notifica (ad esempio: una società che effettua il trattamento di dati oggetto di notifica viene acquisita da un’altra società, che diventa così la nuova titolare del trattamento e deve procedere con una nuova notifica).

La notifica va inviata al Garante prima di dare avvio al trattamento dei dati.

Una volta effettuata la notifica, questa resta valida per tutte le operazioni effettuate riguardo ai dati segnalati con la notifica e per tutta la durata del trattamento.
E' necessario procedere a una nuova notifica solo se si verificano modifiche alle caratteristiche principali del trattamento (ad. esempio: variazione delle finalità del trattamento; variazione del titolare del trattamento etc.).

Se, per qualsiasi motivo, il titolare del trattamento termina di trattare i dati per cui è stata eseguita la notifica (ad esempio: i dati passano ad un altro titolare), il vecchio titolare deve inoltrare una nuova notifica al Garante con cui comunica l’avvenuta cessazione del trattamento.

Si avvisa che dal 25 maggio 2018, in tutti i paesi dell’Unione Europea sarà applicabile il “Regolamento Privacy Europeo”, che sostituirà il nostro Codice Privacy (D.lgs. 196/2003).
Tale Regolamento ha eliminato l’obbligo della notifica al Garante, sostituendolo, per gli stessi casi per cui è oggi necessario eseguire la notifica, con l’obbligo di compiere una valutazione di rischio (la c.d. “Valutazione di Impatto Privacy”), che consiste in un documento che descrive il trattamento dei dati e le sue finalità, l’individuazione degli eventuali rischi per i soggetti interessati e le relative misure di protezione adottate.

In ogni caso, fino al 24 maggio 2018, resta l’obbligo per il titolare del trattamento di procedere alla notifica. Dal 25 maggio 2018 invece, sia per chi ha già eseguito la notifica, sia per chi si appresta ad avviare un nuovo trattamento di dati, sarà necessario adeguarsi alla nuova normativa, predisponendo la Valutazione di Impatto Privacy.

Il titolare del trattamento che non procede alla notifica o invia una notifica incompleta è punito con una sanzione che va da € 20.000 a € 120.000.

Nel caso in cui il titolare renda una falsa dichiarazione nella notifica, commette un reato punito con la reclusione da 6 mesi a 3 anni, salvo il fatto costituisca un più grave reato.