Cambiando argomento, la nuova discussione si incerta sul tema dell'informativa necessaria per la raccolta dei dati personali dell'unte e sul conseguente tema dell'organizzazione necessaria per il trattamento dei dati.

In tale prospettiva si osserva come i contenuti dell’informativa siano elencati in modo tassativo negli articoli 13 e 14 del Regolamento.

In particolare, il titolare deve sempre specificare:

• l’identità e i dati di contatto del titolare del trattamento e del RPD-DPO (Responsabile della protezione dei dati – data protection officer), ove esistente;
• le finalità del trattamento e la base giuridica;
• le categorie di dati personali che tratta;
• gli eventuali destinatari o categorie di destinatari dei dati;

Peraltro, il Regolamento prevede anche ulteriori informazioni da fornire nel momento in cui i dati personali sono ottenuti, in quanto necessarie per garantire un trattamento corretto, tra cui:

• periodo di conservazione dei dati personali o criteri per determinarlo;
• diritti dell’interessato (accesso, rettifica, portabilità dei dati, etc.);
• laddove previsto, l’esistenza del diritto di revocare il consenso in qualsiasi momento;
• diritto di proporre reclamo a un’autorità di controllo;
• se obbligo legale o contrattuale oppure requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze;
• esistenza di un processo decisionale automatizzato, compresa la profilazione.

La prima questione che sorge relativamente agli elementi dell'informativa sopra elencati è se la revoca del consenso è ipotizzabile nel caso di flusso di dati necessario per l'adempimento di funzioni amministrative e se, conseguentemente, la raccolta dei dati svolta dai CPI sia, o meno, conseguenza di un obbligo normativo a carico dell'utente. Ovviamente, tale riposta dipenderà dal tipo di funzione pubblica in relazione alla quale si raccoglie il dato.

Quali esempi ricavati dalla casistica concreta si possono fare? Secondo voi, quali dati raccolti dai CPI sono connessi ad un obbligo nornativo e quali no?

Sotto il diverso profilo dei requisiti soggettivi del responsabile del trattamento, poi, è importante ricordare che il Codice della Privacy prevede al comma 2 dell’art. 29 che il responsabile fornisca idonea garanzia rispetto alla piena osservanza della normativa privacy dovendo assicurare:

• sufficiente esperienza;
• le capacità necessarie per svolgere i compiti affidati tramite la delega di funzioni;
• l’affidabilità.

Il Regolamento prevede che il responsabile debba disporre di sufficienti risorse per mettere in atto le misure tecniche ed organizzative che soddisfino quanto richiesto dal regolamento. Pertanto, il responsabile deve avere a disposizione risorse sufficienti in termini di personale, economici e quant’altro necessario svolgere i compiti affidati dal titolare. Tuttavia, se si tratta di un trattamento dei dati interno all’organizzazione sarà il titolare del trattamento a dover fornire tali risorse, mentre se il trattamento è affidato all’esterno normalmente le risorse sono autonome del responsabile.

Nel caso dei CPI lombardi, il trattamento è svolto internamente o esternamente? Nel primo caso, come si assicurano i requisiti professionali di cui sopra?

A livello organizzativo e di organigramma privacy, come è opportuno individuare le figure intermedie e di supporto incaricate del trattamento interno?

Esiste un sistema di deleghe interne e, nel caso, in quale atto esse sono incardinate?

Come si ripartisce l'onere di rispetto delle disposizioni sulla conservazione dei dati nel caso di trattamento interno e in caso di trattamento esterno?

Attendo vostri spunti o anche solo domande.