Risposta
Un'amministrazione pubblica è soggetta alle norme del GDPR quando tratta i dati personali di una persona. È responsabilità delle amministrazioni nazionali supportare gli enti regionali e locali nella fase di preparazione all’applicazione del regolamento.
Generalmente, la maggior parte dei dati personali detenuti dalle amministrazioni pubbliche è trattata sulla base di un obbligo giuridico o nella misura in cui ciò è necessario per eseguire compiti svolti nell’interesse pubblico o per l’esercizio di un’autorità ufficiale a esse conferita.
Nel trattare i dati personali, l'amministrazione pubblica è tenuta ad assicurarsi di rispettare principi fondamentali come:
- trattamento corretto e lecito;
- limitazione delle finalità;
- minimizzazione e conservazione dei dati.
In caso di trattamento su base giuridica, la legge in questione deve già garantire che tali principi siano osservati (ad esempio i tipi di dati, il periodo di conservazione e le misure di salvaguardia adeguate).
Prima di trattare i dati personali, è necessario informare le persone in merito al trattamento: le sue finalità, i tipi di dati raccolti, i destinatari e i loro diritti di protezione dei dati.
Una amministrazione pubblica è tenuta a nominare un responsabile della protezione dei dati; tuttavia, è possibile designare un unico responsabile della protezione dei dati per diversi organismi pubblici che, di conseguenza, lo condivideranno, oppure subappaltare tale lavoro a un responsabile della protezione dei dati esterno. Deve inoltre assicurarsi di aver attuato misure tecniche e organizzative adeguate per proteggere i dati personali. Se parte del trattamento è subappaltato a un’organizzazione esterna (cosiddetto «responsabile del trattamento»), deve esistere un contratto o altro atto giuridico che garantisca che il responsabile del trattamento fornisce garanzie sufficienti per l’attuazione di misure tecniche e organizzative adeguate che soddisfano gli standard del regolamento.
Nei casi in cui i dati personali raccolti siano divulgati accidentalmente o illegalmente a destinatari non autorizzati o siano temporaneamente indisponibili o alterati, occorre notificare la violazione all’autorità per la protezione dei dati senza indebito ritardo e al più tardi entro 72 ore dal momento in cui si è venuti a conoscenza della violazione. Potrebbe anche essere necessario informare le persone della violazione.
Ulteriori informazioni sugli obblighi delle amministrazioni pubbliche previsti dal GDPR sono disponibili nella sezione «Imprese e organizzazioni».