Il Decreto n. 662/2025 del Ministero delle Finanze del 13 giugno 2025 sui modelli di prevenzione delle violazioni dei dati personali è attualmente presso l’Ufficio del Comptroller General della Repubblica per il processo di toma de razón, ovvero il controllo preventivo di legalità che questa istituzione svolge sugli atti amministrativi.
Una volta riconosciuto, il decreto sarà pubblicato sulla Gazzetta Ufficiale e integrerà la Legge n. 21.719.
Il presente regolamento stabilisce i requisiti, le modalità e le procedure per l’attuazione, la certificazione, la registrazione e la vigilanza dei modelli di prevenzione delle violazioni dei dati personali.
Un modello di prevenzione delle violazioni consiste in un programma di conformità per la protezione dei dati personali che i responsabili del trattamento possono adottare volontariamente, composto da strumenti che insieme costituiscono uno strumento per la gestione responsabile dei rischi associati al trattamento dei dati personali.
Gli elementi da considerare nel Modello di prevenzione delle violazioni sono:
– Individualizzazione del titolare del trattamento.
– Registro delle attività di trattamento (”RAT”): è il meccanismo centrale per l’identificazione e la caratterizzazione di tutte le attività di trattamento dei dati personali svolte dal responsabile del trattamento.
– Designazione di un responsabile della protezione dei dati, definendone i poteri in conformità ai requisiti del regolamento.
– La caratterizzazione dei dati personali che il responsabile del trattamento tratta, le categorie di dati personali e le banche dati che gestisce e la caratterizzazione delle operazioni di trattamento che effettua
– L’identificazione delle attività o dei processi di trattamento dei dati dell’entità, sia regolari che sporadici.
– Protocolli, regole e procedure specifiche che consentano alle persone coinvolte nelle attività o nei processi di trattamento dell’entità di programmare ed eseguire i propri compiti o il proprio lavoro in modo da prevenire la commissione di tali violazioni.
– Meccanismi di segnalazione interna sul rispetto o sulla commissione di violazioni delle norme applicabili alla protezione dei dati personali.
– Le sanzioni amministrative interne e le procedure sanzionatorie applicabili alle violazioni delle disposizioni delle norme applicabili al trattamento dei dati personali o delle disposizioni del programma di conformità.
– I meccanismi di segnalazione interna delle violazioni delle norme applicabili al trattamento dei dati personali al delegato.
Il responsabile della protezione dei dati personali è obbligatorio solo quando viene adottato e certificato un programma di conformità. Può essere sia dipendente dall’identità che indipendente dall’identità.
Per quanto riguarda i suoi compiti, il delegato deve fornire consulenza sulla conformità, partecipare all’elaborazione del programma di conformità, nonché segnalare le violazioni e fungere da intermediario con l’Agenzia per la protezione dei dati personali.
Il Regolamento descrive anche il processo di certificazione, registrazione e supervisione del Modello.
L’Agenzia può certificare i Modelli che soddisfano i requisiti della Legge e del Regolamento.
La procedura di certificazione viene avviata su richiesta della parte interessata e viene trattata in conformità alla Legge n. 19.880 e a una successiva istruzione generale dell’Agenzia.
Una volta accreditata la conformità, il Modello certificato deve essere iscritto nel Registro Nazionale delle Sanzioni e delle Conformità, identificando il soggetto responsabile, il suo legale rappresentante, la data e il termine di validità. La procedura di certificazione ha una validità di tre anni.
L’Agenzia può revocare la certificazione se non vengono rispettati i requisiti della Legge e del Regolamento, compresa l’applicazione di sanzioni per le infrazioni.
