Art. 11
Principi sottesi al trattamento dei dati personali
e misure di sicurezza
1. Nel rispetto dei principi di liceita', correttezza, trasparenza,
limitazione delle finalita', limitazione della conservazione e
minimizzazione, di cui all'art. 5, nonche' di quanto previsto dagli
articoli 24, 25 e 32 del GDPR, il Ministero delle infrastrutture e
dei trasporti, per il tramite del Dipartimento per i trasporti e la
navigazione e, in particolare, della Direzione generale per la
motorizzazione, tratta i dati personali indicati nel presente
decreto, in qualita' di titolare dei trattamenti dei dati personali
eseguiti per il perseguimento delle seguenti finalita':
a) gestione e manutenzione tecnica della piattaforma;
b) gestione degli accessi alla piattaforma;
c) monitoraggio e Governo generale della piattaforma, anche al
fine di verificare l'efficacia dei servizi messi a disposizione dalla
stessa;
d) consultazione delle richieste di contrassegni identificativi
da parte degli uffici di motorizzazione civile e trasmissione delle
relative richieste all'Istituto Poligrafico e Zecca dello Stato;
e) consultazione dei dati personali e informazioni presenti
all'interno della piattaforma per l'adempimento delle funzioni di
propria competenza previste dalla normativa vigente, solo ove
strettamente necessario;
f) svolgimento, per il tramite degli uffici di motorizzazione
civile, delle attivita' indicate all'art. 3, comma 7, del presente
decreto.
2. Nell'ambito delle finalita' di cui alle suindicate lettere a),
b), e) e f) il Ministero delle infrastrutture e dei trasporti tratta
dati personali dei soggetti che accedono alla piattaforma solo ove
strettamente necessario, nel rispetto del principio di minimizzazione
di cui all'art. 5 del GDPR, e secondo quanto previsto nell'allegato
tecnico.
3. Nell'ambito della finalita' di cui alle suindicate lettere c) e
d), il Ministero delle infrastrutture e dei trasporti visualizza
esclusivamente dati aggregati.
4. Ove dovesse rendersi strettamente necessario, il Ministero delle
infrastrutture e dei trasporti, nei casi previsti dalla legge, e'
inoltre autorizzato ad accedere ai dati personali trattati
nell'ambito della piattaforma, al fine di:
a) soddisfare richieste ricevute dalle competenti autorita'
giudiziarie e forze di polizia;
b) effettuare segnalazioni nei confronti delle competenti
autorita'.
5. Gli uffici di motorizzazione civile sono individuati dal
Ministero delle infrastrutture e dei trasporti, ai sensi dell'art.
2-quaterdecies del decreto legislativo 30 giugno 2003, n. 196, quali
soggetti autorizzati al trattamento dei dati personali effettuato,
per il tramite della piattaforma, ai fini dello svolgimento delle
attivita' individuate all'art. 2, comma 7, volte al rilascio dei
contrassegni identificativi dei monopattini a propulsione
prevalentemente elettrica.
6. Nell'ambito delle attivita' di cui al presente decreto, il
Ministero delle infrastrutture e dei trasporti puo' avvalersi del
supporto di specifici soggetti dotati delle necessarie competenze,
nominati quali responsabili del trattamento, ai sensi dell'art. 28
del GDPR.
7. Gli studi di consulenza automobilistica operano quali titolari
autonomi del trattamento dei dati personali effettuato, ciascuno
rispetto alla propria utenza di riferimento, nell'ambito delle
attivita' di consulenza e intermediazione svolte per conto dei
richiedenti, limitatamente alle attivita' individuate al precedente
art. 3, comma 6, del presente decreto.
8. Le autorita', di cui all'art. 12 del decreto legislativo 30
aprile 1992, n. 285, operano quali titolari autonomi del trattamento
dei dati personali, acquisiti mediante la consultazione della
piattaforma per l'espletamento dei servizi e dei controlli di polizia
stradale, nonche' per l'eventuale applicazione di sanzioni di cui al
medesimo art. 12, come riportati al precedente art. 3, comma 9 del
presente decreto.
9. Al fine di garantire i principi di cui sopra, il Ministero delle
infrastrutture e dei trasporti implementa garanzie e misure di
sicurezza appropriate e specifiche, al fine di tutelare i diritti
fondamentali e gli interessi delle persone fisiche i cui dati sono
coinvolti nelle attivita' di trattamento oggetto del presente
decreto, ai sensi di quanto prescritto dall'art. 32 del GDPR e dal
Codice privacy. I requisiti di sicurezza adottati, cosi' come
precisati nell'allegato tecnico al presente decreto, garantiscono, in
ogni caso, l'integrita' e la riservatezza dei dati, la sicurezza dei
servizi, il tracciamento delle operazioni effettuate, nonche' il
rispetto dei principi di protezione dei dati per impostazione
predefinita e per progettazione.
10. Le misure tecniche e organizzative implementate tengono conto
in special modo dei rischi presentati dal trattamento, che derivano
in particolare dalla distruzione, dalla perdita, dalla modifica,
dalla divulgazione non autorizzata o dall'accesso, in modo
accidentale o illegale, a dati personali trasmessi, conservati o
comunque trattati.
11. Le misure di sicurezza sono periodicamente aggiornate e
verificate anche a fronte dello stato dell'arte tecnologico.
12. I dati personali oggetto di trattamento non sono in alcun caso
trasferiti fuori dallo spazio economico europeo, se non nelle forme e
secondo le modalita' previste dal GDPR.
13. Possono accedere ai dati personali, nel rispetto delle
finalita' del trattamento, i soggetti autorizzati e appositamente
istruiti dai titolari e dai responsabili del trattamento, ai sensi
dell'art. 2-quaterdecies del Codice privacy, nonche' gli
amministratori di sistema individuati e nominati nel rispetto del
provvedimento del Garante per la protezione dei dati personali del 27
novembre 2008, ciascuno limitatamente alle proprie attribuzioni.