Page contents Page contents Risposta Un'amministrazione pubblica è soggetta alle norme del GDPR quando tratta i dati personali di una persona. È responsabilità delle amministrazioni nazionali supportare gli enti regionali e locali nella fase di preparazione all’applicazione del regolamento. Generalmente, la maggior parte dei dati personali detenuti dalle amministrazioni pubbliche è trattata sulla base di un obbligo giuridico o nella misura in cui ciò è necessario per eseguire compiti svolti nell’interesse pubblico o per l’esercizio di un’autorità ufficiale a esse conferita. Nel trattare i dati personali, l'amministrazione pubblica è tenuta ad assicurarsi di rispettare principi fondamentali come: trattamento corretto e lecito; limitazione delle finalità; minimizzazione e conservazione dei dati. In caso di trattamento su base giuridica, la legge in questione deve già garantire che tali principi siano osservati (ad esempio i tipi di dati, il periodo di conservazione e le misure di salvaguardia adeguate). Prima di trattare i dati personali, è necessario informare le persone in merito al trattamento: le sue finalità, i tipi di dati raccolti, i destinatari e i loro diritti di protezione dei dati. Una amministrazione pubblica è tenuta a nominare un responsabile della protezione dei dati; tuttavia, è possibile designare un unico responsabile della protezione dei dati per diversi organismi pubblici che, di conseguenza, lo condivideranno, oppure subappaltare tale lavoro a un responsabile della protezione dei dati esterno. Deve inoltre assicurarsi di aver attuato misure tecniche e organizzative adeguate per proteggere i dati personali. Se parte del trattamento è subappaltato a un’organizzazione esterna (cosiddetto «responsabile del trattamento»), deve esistere un contratto o altro atto giuridico che garantisca che il responsabile del trattamento fornisce garanzie sufficienti per l’attuazione di misure tecniche e organizzative adeguate che soddisfano gli standard del regolamento. Nei casi in cui i dati personali raccolti siano divulgati accidentalmente o illegalmente a destinatari non autorizzati o siano temporaneamente indisponibili o alterati, occorre notificare la violazione all’autorità per la protezione dei dati senza indebito ritardo e al più tardi entro 72 ore dal momento in cui si è venuti a conoscenza della violazione. Potrebbe anche essere necessario informare le persone della violazione. Ulteriori informazioni sugli obblighi delle amministrazioni pubbliche previsti dal GDPR sono disponibili nella sezione «Imprese e organizzazioni». Riferimenti Capo II, IV del GDPR References Chapter II and IV of the GDPR
