Informazioni su questo Documento Legale

Cos’è la notifica al Garante Privacy

La notifica al Garante Privacy è la dichiarazione con cui un soggetto segnala l’avvio di un’attività di raccolta e utilizzazione di alcuni dati personali (ad esempio: dati sensibili, dati di localizzazione; dati di profilazione etc.).

Nella notifica al Garante dovranno essere indicati:

  • il tipo di dati trattati;
  • la finalità del trattamento;
  • il luogo dove avviene il trattamento; gli altri soggetti ai quali i dati sono eventualmente comunicati e se questi soggetti si trovano in Italia o all'estero;
  • le misure di sicurezza adottate per la protezione dei dati.

Per quali tipi di dati si deve fare la notificazione?

La notificazione al Garante Privacy va eseguita solo per il trattamento di particolari tipi di dati personali che sono elencati e suddivisi in categorie come previsto dall’articolo 37 del Codice Privacy come segue:

  • dati genetici o biometrici;
  • dati che consentono la geolocalizzazione tramite reti di comunicazione elettronica (ad esempio: localizzazione gps, app che utilizzano la localizzazione degli utenti etc.);
  • dati che rivelano lo stato di salute (ad esempio: dati raccolti per la prestazione di servizi sanitari);
  • dati relativi alla vita sessuale o alla sfera psichica, trattati da enti no profit in ambito politico, filosofico, religioso o sindacale;
  • dati di “profilazione”: dati che consentono di delineare il profilo, la personalità, le abitudini e le scelte di consumo dei soggetti (ad esempio: i dati raccolti durante la navigazione sul web tramite i “cookie”, per fornire pubblicità mirata agli utenti);
  • dati sensibili registrati in banche dati per servizi di selezione del personale o dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche a campione (i dati sensibili sono quelli relativi allo stato di salute e alla vita sessuale, all'origine razziale ed etnica, al credo religioso, alle opinioni filosofiche o politiche e all’ appartenenza a partiti, sindacati e associazioni religiose, politiche, sindacali o filosofiche);
  • dati registrati su banche dati elettroniche, che consentono di conoscere la situazione patrimoniale e di solvibilità di un soggetto (ad. esempio portali on-line, da cui si possono ottenere informazioni su una data impresa).

Il Garante Privacy ha emanato dei provvedimenti in cui sono indicate alcune eccezioni ai casi appena elencati e ulteriori dettagli per la corretta applicazione.

Chi deve fare la notifica?

Il soggetto tenuto ad eseguire la notifica al Garante è il titolare del trattamento dei dati.

Il titolare del trattamento è il soggetto (persona fisica, impresa, l'ente, l'associazione etc.) che ha il potere di prendere le decisioni principali relative agli scopi e alle modalità del trattamento (ossia le decisioni sulla raccolta, registrazione, organizzazione, conservazione, modifica, selezione, estrazione, l'utilizzo, blocco, comunicazione a terzi, diffusione, cancellazione e distruzione dei dati personali).

Nel caso in cui ci sia più di un titolare del trattamento dei dati, tutti i titolari sono tenuti ad effettuare una notifica, che sarà distinta e autonoma rispetto alle altre con indicazione degli altri contitolari.

Quando il titolare del trattamento cambia, il nuovo titolare è tenuto ad eseguire una nuova notifica (ad esempio: una società che effettua il trattamento di dati oggetto di notifica viene acquisita da un’altra società, che diventa così la nuova titolare del trattamento e deve procedere con una nuova notifica).

Quando si deve fare la notifica?

La notifica va inviata al Garante prima di dare avvio al trattamento dei dati.

Una volta effettuata la notifica, questa resta valida per tutte le operazioni effettuate riguardo ai dati segnalati con la notifica e per tutta la durata del trattamento.
E' necessario procedere a una nuova notifica solo se si verificano modifiche alle caratteristiche principali del trattamento (ad. esempio: variazione delle finalità del trattamento; variazione del titolare del trattamento etc.).

Se, per qualsiasi motivo, il titolare del trattamento termina di trattare i dati per cui è stata eseguita la notifica (ad esempio: i dati passano ad un altro titolare), il vecchio titolare deve inoltrare una nuova notifica al Garante con cui comunica l’avvenuta cessazione del trattamento.

Si avvisa che dal 25 maggio 2018, in tutti i paesi dell’Unione Europea sarà applicabile il “Regolamento Privacy Europeo”, che sostituirà il nostro Codice Privacy (D.lgs. 196/2003).
Tale Regolamento ha eliminato l’obbligo della notifica al Garante, sostituendolo, per gli stessi casi per cui è oggi necessario eseguire la notifica, con l’obbligo di compiere una valutazione di rischio (la c.d. “Valutazione di Impatto Privacy”), che consiste in un documento che descrive il trattamento dei dati e le sue finalità, l’individuazione degli eventuali rischi per i soggetti interessati e le relative misure di protezione adottate.

In ogni caso, fino al 24 maggio 2018, resta l’obbligo per il titolare del trattamento di procedere alla notifica. Dal 25 maggio 2018 invece, sia per chi ha già eseguito la notifica, sia per chi si appresta ad avviare un nuovo trattamento di dati, sarà necessario adeguarsi alla nuova normativa, predisponendo la Valutazione di Impatto Privacy.

Cosa succede se non si esegue la notifica?

Il titolare del trattamento che non procede alla notifica o invia una notifica incompleta è punito con una sanzione che va da € 20.000 a € 120.000.

Nel caso in cui il titolare renda una falsa dichiarazione nella notifica, commette un reato punito con la reclusione da 6 mesi a 3 anni, salvo il fatto costituisca un più grave reato.

Cosa offre LexDo.it

Se si trattano dati personali per i quali è necessaria la notifica, tramite il nostro Sito puoi richiedere che la procedura di notifica sia gestita da un avvocato del nostro network esperto in materia. In particolare, offriamo i seguenti servizi:

  • verifichiamo che i dati trattati siano o meno dati per i quali è necessaria la notifica (o la Valutazione di Impatto Privacy);
  • gestiamo la procedura telematica di notifica ed eventuali successive modifiche alla notifica o comunicazioni di cessazione;
  • offriamo una consulenza per adeguarsi al Nuovo Regolamento Privacy Europeo applicabile dal 25 maggio 2018.
RICHIEDI CONSULENZARICHIEDI CONSULENZA