Codice della Privacy: il testo coordinato con il GDPR (GENERAL DATA

PROTECTION REGULATION) è ora disponibile sul sito del Garante.

Ecco tutte le novità del nuovo regolamento UE relativo al trattamento
dei dati personali.

Il testo del Codice della Privacy coordinato con il GDPR è stato pubblicato il 19 settembre 2018
dall’Autorità Garante a seguito dell’emanazione del decreto di adeguamento della normativa italiana
al Regolamento UE.

La privacy è un elemento fondamentale perché regola diversi settori come ad esempio

quello condominiale, quello lavorativo e quello sanitario. È importante dunque rispettare le regole
necessarie per tutelare il trattamento dei dati personali.

Il testo del decreto italiano di adeguamento al GDPR (General Data Protection Regulation) è entrato
in vigore il 19 settembre 2018 ed integra il precedente Codice Privacy con le nuove regole stabilite
dall’Unione Europea, con l’obiettivo di rafforzare ulteriormente la protezione delle persone fisiche in
merito al trattamento dei dati personali.

L’obiettivo del Codice della privacy è di riordinare la normativa in tema di trattamento dei dati
personali riunendo in un unico contesto la legge 675/1996 e gli altri decreti legislativi, regolamenti e
codici deontologici che si sono succeduti in questi ultimi anni.

Il nuovo regolamento europeo in materia di privacy introduce importanti novità in merito al

trattamento dei dati personali, in particolare sono cambiate le regole per ciò che concerne il
consenso, l’informativa, il diritto all’oblio e la conservazione limitata dei dati.

Il codice della privacy

 Testo coordinato del Codice della privacy pubblicato dal Garante

 Cosa cambia in materia di privacy con il GDPR?
 La struttura del vecchio codice della privacy
 Quali sono i dati che vengono tutelati dal codice della privacy?
 Modalità del trattamento dei dati
 Informativa alla privacy

1
  Adeguamento del Codice della privacy alla normativa europea

Testo coordinato del Codice della privacy pubblicato dal Garante

Dal 19 settembre 2018 è disponibile sul sito istituzionale del Garante Privacy il testo coordinato del
Codice in materia di protezione dei dati personali che pone in evidenza tutte le novità e le
disposizioni previste dal nuovo regolamento UE e segnala l’abrogazione di molti articoli.

Decreto Legislativo 30 giugno 2003, n. 196 recante il “Codice in materia di protezione dei dati
personali” integrato con le modifiche introdotte dal Decreto Legislativo 10 agosto 2018, n.
101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del
regolamento (UE) 2016/679.

Codice della privacy: cosa cambia con il GDPR?

Il nuovo regolamento europeo sulla privacy (GDPR) entrato in vigore il 19 settembre 2018 ha
apportato diverse novità al vecchio Codice sulla protezione dei dati personali. Andiamo ora a vedere
quali sono le principali misure introdotte in materia di privacy.
La prima novità riguarda i fondamenti di liceità del trattamento dei dati personali. Il GDPR stabilisce
che per il trattamento dei dati sensibili il consenso deve essere esplicito. Non è necessario che questo
sia redatto in forma scritta.
In generale le nuove disposizioni prevedono misure più stringenti per i titolari delle aziende riguardo
il trattamento dei dati personali in possesso.
Tali regole riguardano precisamente la “comunicazione” e la “diffusione” dei dati personali delle
persone fisiche. Pertanto per il mancato rispetto delle regole saranno applicate sanzioni
amministrative.
Per ciò che concerne i minori il nuovo regolamento della privacy stabilisce che il consenso degli stessi
è valido a partire dai 16 anni, prima di tale età è necessario che il consenso venga dato dai genitori.
Un’altra novità introdotta dal GDPR riguarda l’informativa che ora dovrà essere chiara e di semplice
comprensione. Inoltre il nuovo regolamento stabilisce che nel caso di dati personali non raccolti
direttamente presso l’interessato, l’informativa deve essere fornita entro un termine che non può
superare 1 mese dalla raccolta, oppure al momento della comunicazione dei dati.
Inoltre la modifica prevista dall’art. 9 Trattamenti nell’ambito del rapporto di lavoro tramite la
disposizione “Informazioni in caso di ricezione di curriculum” stabilisce che nei casi di ricezione dei

2
curricula inviati dai candidati, le informazioni devono essere fornite dai datori di lavoro al momento
del primo contatto utile, successivo all’invio del CV.
Si prevede inoltre che “il consenso al trattamento dei dati personali presenti nei curricula non è
dovuto”.
L’informativa dovrà essere redatta in forma scritta e preferibilmente in formato elettronico.
Oltre alle suddette novità è possibile ora per i consumatori chiedere il trasferimento dei propri dati
personali da un titolare del trattamento ad un altro. Ad esempio si potrà cambiare il provider di posta
elettronica senza perdere i contatti e i messaggi salvati.
Non solo: per ciò che concerne il diritto all’oblio i consumatori possono ora richiedere
la cancellazione dei propri dati personali nei casi in cui i dati sono trattati solo sulla base del
consenso, se i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti, se i dati
sono trattati illecitamente oppure se l’interessato si oppone legittimamente al loro trattamento.
Un’altra novità prevista dal GDPR è che la conservazione dei dati dell’utente non potrà essere
illimitata ma la durata del trattamento deve essere collegata alla finalità per la quale è stato
richiesto il consenso. Quindi se un’azienda che ricerca personale e richiede il consenso al trattamento
dei dati relativi ai cv trasmessi, essa può ora conservarli solo per un periodo proporzionato all’attività
di ricerca del personale.
Infine il nuovo regolamento europeo stabilisce che nel caso si verifichi una violazione dei dati
personali il data breach il titolare del trattamento dei dati è tenuto a darne comunicazione
all’Autorità Garante.
Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare
dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni
su come intende limitare le possibili conseguenze negative.

QUALI SONO I DATI CHE VENGONO TUTELATI DAL CODICE DELLA PRIVACY?
I dati che il codice della privacy tutela sono:
 dati personali;
 dati sensibili e giudiziari (dati particolari).
I dati personali sono le informazioni che identificano o rendono identificabili una persona fisica e che
possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni
personali, il suo stato di salute e la sua situazione economica.
I dati particolari sono il sottoinsieme dei dati personali formati da dati sensibili + dati giudiziari.

3
I dati sensibili sono i dati personali che rivelano l’origine razziale ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od
organizzazioni a orientamento religioso, filosofico, politico o sindacale, nonché i dati personali idonei
a rivelare lo stato di salute e la vita sessuale.
I dati giudiziari sono invece i dati personali relativi al casellario giudiziale, alle sanzioni amministrative
dipendenti da reato e dei relativi carichi pendenti, o che rivelano la qualità di imputato o di indagato.

Modalità del trattamento dei dati

Il codice della privacy prevede che i dati personali oggetto di trattamento devono essere:
1. trattati in modo lecito e secondo correttezza;
2. raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni
del trattamento in termini compatibili con tali scopi;
3. esatti e, se necessario, aggiornati;
4. pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o
successivamente trattati;
5. conservati in una forma che consenta l’identificazione dell’interessato per un periodo di
tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o
successivamente trattati: periodo di riferimento due anni. Conservazione più lunghe x:
A. archiviazione nel pubblico interesse
B. ricerca scientifico storica fini statistici

PSEUDONOMIZZAZIONE= dato che cessa di essere personale; trattamento dei dati in modo che
non possono essere attribuiti ad un interessato specifico senza l’utilizzo di info aggiuntive.

Informativa alla privacy

Il codice della privacy prevede inoltre l’obbligo di informativa nei confronti dei soggetti che rilasciano
i propri dati personali.
In particolare il soggetto che decide di autorizzare il trattamento dei propri dati personali dovrà
essere previamente informato tramite una comunicazione scritta o orale che deve contenere le
seguenti indicazioni:
1. le finalità e le modalità del trattamento cui sono destinati i dati;
2. la natura obbligatoria o facoltativa del conferimento dei dati;

4
 3. le conseguenze di un eventuale rifiuto di rispondere;
4. i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che
possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione
dei dati medesimi.
Una volta che l’interessato ha ricevuto l’informativa, quest’ultimo dovrà dare il suo consenso per il
trattamento dei dati personali.

I principali cambiamenti del GDPR in sintesi

Il GDPR (General Data Protection Regulation) è il nuovo Regolamento sul trattamento dei dati,
introdotto all’interno dell’Unione Europea il 25 maggio 2018. Questo nuovo regolamento sulla
privacy dell’Unione Europea ha creato dei veri e propri attacchi di panico nelle persone e nelle
aziende o pubbliche amministrazioni che hanno a che fare con il trattamento dei dati. Una fobia per
lo più immotivata.
Cominciamo con lo specificare che il GDPR si applica alle persone fisiche e giuridiche che trattano i
dati personali dei cittadini dell’Unione Europea, anche se non residenti in Europa. Dunque aziende,
privati e professionisti che svolgono attività commerciali e professionali, devono rispettare gli
adempimenti previsti dal GDPR. Il GDPR però non si applica ai privati che svolgono attività
personali e che dunque non trattano dati di altre persone.

GDPR in breve: ruoli e principi fondanti

Aspetti caratteristici del GDPR
Il GDPR è caratterizzato da due aspetti:
1. Privacy by design: sin dall’inizio del progetto, bisogna stabilire le misure e le procedure
adeguate per garantire la tutela dei dati trattati.
2. Privacy by default: i dati devono essere trattati con la massima chiarezza, indicando le finalità,
le modalità e la durata del trattamento degli stessi.

5
Principi del GDPR

Il GDPR si fonda su 5 punti:

1. LICEITÀ, CORRETTEZZA E TRASPARENZA,LIMITAZIONI DELLE FINALITA': i dati personali

dell’utente devono essere trattati in modo lecito, e con la massima correttezza e trasparenza,
indicando in modo esplicito le finalità previste.
2. MINIMIZZAZIONE DEI DATI: deve essere raccolta e trattata la quantità di dati strettamente
necessaria alle finalità previste.
3. ESATTEZZA: i dati personali devono essere esatti e aggiornati, in caso contrario bisogna
provvedere a cancellare o a modificare i dati inesatti.
4. LIMITAZIONE DELLA CONSERVAZIONE: i dati personali devono essere archiviati solo per il
periodo necessario al raggiungimento delle finalità previste.
5. INTEGRITÀ, SICUREZZA E RISERVATEZZA: devono essere eseguite tutte le misure adeguate
per garantire la riservatezza, la sicurezza e l’integrità dei dati, in modo da proteggerli da furti o
altri eventi accidentali.
6. RESPONSABILIZZAZIONE Titolari e Responsabili del trattamento devono adottare misure atte
a garantire proattivamente l’osservanza del regolamento nella sua interezza.

Il titolare del trattamento dei dati (unige: rettore)

Uno dei punti focali della nuova normativa GDPR è che questa aumenta gli obblighi del Titolare del
trattamento dei dati per garantire la tutela dei dati e i diritti del soggetto interessato.

Nello specifico il titolare del trattamento dei dati deve:

 spiegare con chiarezza come sono stati violati i dati personali;

 comunicare il nome e i contatti del titolare o del responsabile del trattamento dei dati a cui
rivolgersi per chiarimenti;
 spiegare le conseguenze della violazione dei dati personali;
 indicare le misure prese, per rimediare alla violazione dei dati personali.
 deve inviare una notifica agli utenti e all’autorità di controllo entro 72 ore, se avviene una
violazione o un furto dei dati personali (Data Breach).

6
Il DPO (nominato con DR)

Il DPO, cioè il Data Protection Officer, è un ruolo introdotto dal nuovo Regolamento Europeo.
Il DPO è il Responsabile della Protezione dei Dati e può essere un dipendente o un collaboratore
esterno.

Si tratta di una figura obbligatoria solo per le grandi aziende. Si occupa principalmente di:
 assicurare la protezione e la tutela dei dati;
 dare informazioni e fornire consulenza al titolare o al responsabile del trattamento dei dati;
 svolgere attività di formazione al personale o ai collaboratori che accedono o controllano i
dati;
 relazionarsi con l’autorità di controllo.

RUOLI UNIGE

I dati personali sono trattati e Resi accessibili ai dipendenti unige collaboratori Nella qualità di
autorizzati al trattamento secondo la procedura di autorizzazione al trattamento di dati personali e
al Patto di riservatezza

TITOLARE -Rettore

CONTITOLARE (DG) soggetto esterno che determina le finalità e i mezzi di un trattamento dei dati
insieme all’ateneo attraverso un accordo specifico (messa a disposizione dell'interessato x i suoi
contenuti essenziali)

DPO- data PROTECTION officer, responsabile della protezione dei dati DR2021 Matteo Timo

REFERENTE individuato dal titolare tra i responsabili di struttura amministrativo didattica collabora
con il DPO

Subreferente puo’ essere individuato dal referente personale strutturato

AUTORIZZATO =La persona fisica che ha ricevuto dal titolare precise istruzioni per l'esecuzione dei
trattamenti dati di sua compenza. Opera sotto diretta autorità del referente, opera i trattamenti dati
personali osservando quanto previsto dal regolamento privacy e prende visione delle istruzioni agli
autorizzati del trattamento di dati personali e accede al Patto di riservatezza.

7
GDPR in sintesi: i diritti del soggetto interessato

Nonostante le apparenti complicazioni comunque il GDPR garantisce una maggiore tutela dei diritti
dei cittadini europei attraverso il rafforzamento dei seguenti diritti:

1. diritto alla trasparenza: l’informativa sulla privacy deve essere facilmente accessibile e con un
linguaggio semplice e trasparente, indicando: finalità del trattamento, il periodo di
conservazione dei dati, i nominativi e i contatti del responsabile del trattamento, le modalità
per richiedere la cancellazione o la modifica;
2. diritto di accesso: l’utente può chiedere l’accesso ai propri dati e chiederne informazioni;
3. diritto di opposizione: l’interessato può opporsi al trattamento dei propri dati;
4. diritto alla portabilità dei dati: i dati devono essere esportabili in un determinato formato, in
modo da garantire all’utente la possibilità di poter trasferire i propri dati da un fornitore
all’altro;
5. diritto all’oblio o alla modifica dei dati: l’interessato può richiedere la cancellazione o la
modifica dei propri dati in qualsiasi momento.

GDPR in breve: Registro delle attività del trattamento dei dati

Le grandi imprese che hanno più di 250 dipendenti o che comunque trattano una grande quantità di
dati, sono obbligate alla redazione del REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO DEI DATI.

In questo registro vengono spiegate le procedure, le responsabilità, le misure di sicurezza, le finalità,

le persone coinvolte e i software usati riguardo al trattamento dei dati.

Inoltre l’azienda deve redigere L’INVENTARIO DEGLI ASSET TECNOLOGICI,utilizzato per la gestione e
sicurezza dei dati. Esso deve contenere:

 archivi: database e file esportabili dei dati trattati;

 dispositivi: server, computer, smartphone e qualsiasi dispositivo di rete presente nell’azienda;
 software: tutti i software installati nei dispositivi di rete;
 utenti: elenco degli utenti che accedono ai dispositivi e ai software dell’azienda.

8
LE FIGURE del DGPR
Referente
Subreferente AUTORIZZATO

DPO DESIGNATO
RESPONSABILE (O
REAPONSABILE INCARICATO)
TITOLARE COTITOLARE DELLA
PROTEZIONE DEL AL
rettore DG TRATTAMENTO TRATTAMENTO
dipendente o
professionista dipendente o
esterno collabortore

9
Alcuni strumenti del DGPR

PROCEDURE
ATTO DI
PROCEDURA DI TRATTAMENTO
INFORMATIV PER I
A
AUTORIZZAZIONE di gestione AUTORIZZAZIONE
DESIGNATI
di DATABACH PATTO DI
RISERVATEZZA

REGISTRO DELLE ATTIVITA’ DI TRATTAMENTI + INVENTARIO DEGLI ASSTE TECNOLOGICI

VALUTAZIONE DI IMPATTO SULLA PROTEZIONE DEI DATI (DPIA)

10