Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Il testo del Codice della Privacy coordinato con il GDPR è stato pubblicato il 19 settembre 2018
dall’Autorità Garante a seguito dell’emanazione del decreto di adeguamento della normativa italiana
al Regolamento UE.
Il testo del decreto italiano di adeguamento al GDPR (General Data Protection Regulation) è entrato
in vigore il 19 settembre 2018 ed integra il precedente Codice Privacy con le nuove regole stabilite
dall’Unione Europea, con l’obiettivo di rafforzare ulteriormente la protezione delle persone fisiche in
merito al trattamento dei dati personali.
L’obiettivo del Codice della privacy è di riordinare la normativa in tema di trattamento dei dati
personali riunendo in un unico contesto la legge 675/1996 e gli altri decreti legislativi, regolamenti e
codici deontologici che si sono succeduti in questi ultimi anni.
1
Adeguamento del Codice della privacy alla normativa europea
Dal 19 settembre 2018 è disponibile sul sito istituzionale del Garante Privacy il testo coordinato del
Codice in materia di protezione dei dati personali che pone in evidenza tutte le novità e le
disposizioni previste dal nuovo regolamento UE e segnala l’abrogazione di molti articoli.
Decreto Legislativo 30 giugno 2003, n. 196 recante il “Codice in materia di protezione dei dati
personali” integrato con le modifiche introdotte dal Decreto Legislativo 10 agosto 2018, n.
101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del
regolamento (UE) 2016/679.
Il nuovo regolamento europeo sulla privacy (GDPR) entrato in vigore il 19 settembre 2018 ha
apportato diverse novità al vecchio Codice sulla protezione dei dati personali. Andiamo ora a vedere
quali sono le principali misure introdotte in materia di privacy.
La prima novità riguarda i fondamenti di liceità del trattamento dei dati personali. Il GDPR stabilisce
che per il trattamento dei dati sensibili il consenso deve essere esplicito. Non è necessario che questo
sia redatto in forma scritta.
In generale le nuove disposizioni prevedono misure più stringenti per i titolari delle aziende riguardo
il trattamento dei dati personali in possesso.
Tali regole riguardano precisamente la “comunicazione” e la “diffusione” dei dati personali delle
persone fisiche. Pertanto per il mancato rispetto delle regole saranno applicate sanzioni
amministrative.
Per ciò che concerne i minori il nuovo regolamento della privacy stabilisce che il consenso degli stessi
è valido a partire dai 16 anni, prima di tale età è necessario che il consenso venga dato dai genitori.
Un’altra novità introdotta dal GDPR riguarda l’informativa che ora dovrà essere chiara e di semplice
comprensione. Inoltre il nuovo regolamento stabilisce che nel caso di dati personali non raccolti
direttamente presso l’interessato, l’informativa deve essere fornita entro un termine che non può
superare 1 mese dalla raccolta, oppure al momento della comunicazione dei dati.
Inoltre la modifica prevista dall’art. 9 Trattamenti nell’ambito del rapporto di lavoro tramite la
disposizione “Informazioni in caso di ricezione di curriculum” stabilisce che nei casi di ricezione dei
2
curricula inviati dai candidati, le informazioni devono essere fornite dai datori di lavoro al momento
del primo contatto utile, successivo all’invio del CV.
Si prevede inoltre che “il consenso al trattamento dei dati personali presenti nei curricula non è
dovuto”.
L’informativa dovrà essere redatta in forma scritta e preferibilmente in formato elettronico.
Oltre alle suddette novità è possibile ora per i consumatori chiedere il trasferimento dei propri dati
personali da un titolare del trattamento ad un altro. Ad esempio si potrà cambiare il provider di posta
elettronica senza perdere i contatti e i messaggi salvati.
Non solo: per ciò che concerne il diritto all’oblio i consumatori possono ora richiedere
la cancellazione dei propri dati personali nei casi in cui i dati sono trattati solo sulla base del
consenso, se i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti, se i dati
sono trattati illecitamente oppure se l’interessato si oppone legittimamente al loro trattamento.
Un’altra novità prevista dal GDPR è che la conservazione dei dati dell’utente non potrà essere
illimitata ma la durata del trattamento deve essere collegata alla finalità per la quale è stato
richiesto il consenso. Quindi se un’azienda che ricerca personale e richiede il consenso al trattamento
dei dati relativi ai cv trasmessi, essa può ora conservarli solo per un periodo proporzionato all’attività
di ricerca del personale.
Infine il nuovo regolamento europeo stabilisce che nel caso si verifichi una violazione dei dati
personali il data breach il titolare del trattamento dei dati è tenuto a darne comunicazione
all’Autorità Garante.
Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare
dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni
su come intende limitare le possibili conseguenze negative.
QUALI SONO I DATI CHE VENGONO TUTELATI DAL CODICE DELLA PRIVACY?
I dati che il codice della privacy tutela sono:
dati personali;
dati sensibili e giudiziari (dati particolari).
I dati personali sono le informazioni che identificano o rendono identificabili una persona fisica e che
possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni
personali, il suo stato di salute e la sua situazione economica.
I dati particolari sono il sottoinsieme dei dati personali formati da dati sensibili + dati giudiziari.
3
I dati sensibili sono i dati personali che rivelano l’origine razziale ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od
organizzazioni a orientamento religioso, filosofico, politico o sindacale, nonché i dati personali idonei
a rivelare lo stato di salute e la vita sessuale.
I dati giudiziari sono invece i dati personali relativi al casellario giudiziale, alle sanzioni amministrative
dipendenti da reato e dei relativi carichi pendenti, o che rivelano la qualità di imputato o di indagato.
PSEUDONOMIZZAZIONE= dato che cessa di essere personale; trattamento dei dati in modo che
non possono essere attribuiti ad un interessato specifico senza l’utilizzo di info aggiuntive.
4
3. le conseguenze di un eventuale rifiuto di rispondere;
4. i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che
possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione
dei dati medesimi.
Una volta che l’interessato ha ricevuto l’informativa, quest’ultimo dovrà dare il suo consenso per il
trattamento dei dati personali.
5
Principi del GDPR
Uno dei punti focali della nuova normativa GDPR è che questa aumenta gli obblighi del Titolare del
trattamento dei dati per garantire la tutela dei dati e i diritti del soggetto interessato.
6
Il DPO (nominato con DR)
Il DPO, cioè il Data Protection Officer, è un ruolo introdotto dal nuovo Regolamento Europeo.
Il DPO è il Responsabile della Protezione dei Dati e può essere un dipendente o un collaboratore
esterno.
Si tratta di una figura obbligatoria solo per le grandi aziende. Si occupa principalmente di:
assicurare la protezione e la tutela dei dati;
dare informazioni e fornire consulenza al titolare o al responsabile del trattamento dei dati;
svolgere attività di formazione al personale o ai collaboratori che accedono o controllano i
dati;
relazionarsi con l’autorità di controllo.
RUOLI UNIGE
I dati personali sono trattati e Resi accessibili ai dipendenti unige collaboratori Nella qualità di
autorizzati al trattamento secondo la procedura di autorizzazione al trattamento di dati personali e
al Patto di riservatezza
TITOLARE -Rettore
CONTITOLARE (DG) soggetto esterno che determina le finalità e i mezzi di un trattamento dei dati
insieme all’ateneo attraverso un accordo specifico (messa a disposizione dell'interessato x i suoi
contenuti essenziali)
DPO- data PROTECTION officer, responsabile della protezione dei dati DR2021 Matteo Timo
REFERENTE individuato dal titolare tra i responsabili di struttura amministrativo didattica collabora
con il DPO
AUTORIZZATO =La persona fisica che ha ricevuto dal titolare precise istruzioni per l'esecuzione dei
trattamenti dati di sua compenza. Opera sotto diretta autorità del referente, opera i trattamenti dati
personali osservando quanto previsto dal regolamento privacy e prende visione delle istruzioni agli
autorizzati del trattamento di dati personali e accede al Patto di riservatezza.
7
GDPR in sintesi: i diritti del soggetto interessato
Nonostante le apparenti complicazioni comunque il GDPR garantisce una maggiore tutela dei diritti
dei cittadini europei attraverso il rafforzamento dei seguenti diritti:
1. diritto alla trasparenza: l’informativa sulla privacy deve essere facilmente accessibile e con un
linguaggio semplice e trasparente, indicando: finalità del trattamento, il periodo di
conservazione dei dati, i nominativi e i contatti del responsabile del trattamento, le modalità
per richiedere la cancellazione o la modifica;
2. diritto di accesso: l’utente può chiedere l’accesso ai propri dati e chiederne informazioni;
3. diritto di opposizione: l’interessato può opporsi al trattamento dei propri dati;
4. diritto alla portabilità dei dati: i dati devono essere esportabili in un determinato formato, in
modo da garantire all’utente la possibilità di poter trasferire i propri dati da un fornitore
all’altro;
5. diritto all’oblio o alla modifica dei dati: l’interessato può richiedere la cancellazione o la
modifica dei propri dati in qualsiasi momento.
Le grandi imprese che hanno più di 250 dipendenti o che comunque trattano una grande quantità di
dati, sono obbligate alla redazione del REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO DEI DATI.
Inoltre l’azienda deve redigere L’INVENTARIO DEGLI ASSET TECNOLOGICI,utilizzato per la gestione e
sicurezza dei dati. Esso deve contenere:
8
LE FIGURE del DGPR
Referente
Subreferente AUTORIZZATO
DPO DESIGNATO
RESPONSABILE (O
REAPONSABILE INCARICATO)
TITOLARE COTITOLARE DELLA
PROTEZIONE DEL AL
rettore DG TRATTAMENTO TRATTAMENTO
dipendente o
professionista dipendente o
esterno collabortore
9
Alcuni strumenti del DGPR
PROCEDURE
ATTO DI
PROCEDURA DI TRATTAMENTO
INFORMATIV PER I
A
AUTORIZZAZIONE di gestione AUTORIZZAZIONE
DESIGNATI
di DATABACH PATTO DI
RISERVATEZZA
10