Normativa e modulistica

17-gen-2018

Ascolta

IN EVIDENZA

Provvedimento del 26 marzo 2020 - "Didattica a distanza: prime indicazioni" [9300784] - Superata la prima fase emergenziale in cui sono state avviate d’urgenza iniziative di didattica a distanza, il Garante adotta il documento denominato “Didattica a distanza: prime indicazioni”, recante talune prime indicazioni al fine di promuovere la consapevolezza delle scelte da effettuare e favorire la più ampia comprensione riguardo alle norme, alle garanzie e ai diritti che, anche nel contesto dell’emergenza, devono essere rispettati in relazione al trattamento dei dati personali degli interessati.

NORMATIVA

Codice in materia di protezione dei dati personali - Decreto legislativo 30 giugno 2003, n. 196 - integrato con le modifiche introdotte dal decreto legislativo 10 agosto 2018, n. 101, recante "Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)"

Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 - arricchito con riferimenti ai "Considerando" di riferimento, in modo da offrire una lettura più ampia e ragionata delle previsioni introdotte dalla nuova normativa. Aggiornato alle rettifiche pubblicate sulla Gazzetta Ufficiale dell'Unione europea 127 del 23 maggio 2018

- Guida all'applicazione del Regolamento (UE) 2016/679

- Regolamento (UE) 2016/679 con note a commento

Regolamento in materia di protezione dei dati personali in attuazione del Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio nonchè del Decreto legislativo 30 giugno 2003, n. 196 codice in materia di protezione dei dati personali - D. R. n. 4019 del 18/11/2019 (pubblicato nell'Albo Ufficiale di Ateneo al n. 2473 del 18/11/2019)

Violazioni dei dati personali (data breach) in base alle previsioni del Regolamento (UE) 2016/679 - Il data breach è una violazione della sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali. Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza indebiti ritardi e, ove possibile, entro 72 ore dalla scoperta, deve notificare la violazione al Garante per la protezione dei dati personali, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi. Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo. Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto. Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa. La notifica va trasmessa al Garante per la protezione dei dati personali, inviandola all’indirizzo: protocollo@pec.gpdp.it.
- Modello per la segnalazione di violazioni dei dati personali (data breach) - Il Garante per la protezione dei dati personali ha adottato il provvedimento - 30 luglio 2019 [9126951] che fissa per le amministrazioni pubbliche l’obbligo di comunicazione nei casi in cui, a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità, si dovesse verificare la perdita, la distruzione o la diffusione indebita di dati personali conservati, trasmessi o comunque trattati.

- Linee guida in materia di notifica delle violazioni di dati personali (data breach notification) - WP250, definite in base alle previsioni del Regolamento (UE) 2016/679

Linee guida del Garante - Le linee guida del Garante mirano a fornire indicazioni di carattere generale in relazione al trattamento di dati personali in vari ambiti, al fine di garantire la corretta applicazione dei princìpi stabiliti dal Codice. In evidenza:

- Linee guida sui responsabili della protezione dei dati (RPD) (adottate il 13 dicembre 2016, allegato con le domande più frequenti)

Linee guida in materia di trattamento di dati personali per la profilazione on line (adottate il 19 marzo 2015) - La profilazione consiste nell'analisi e nell'elaborazione di informazioni relative a utenti o clienti, generalmente raccolte dai motori di ricerca sul web, al fine di suddividere gli interessati in "profili", ovvero in gruppi omogenei per comportamenti o caratteristiche sempre più specifici. Tale attività è generalmente strumentale alla fornitura di pubblicità personalizzata e allo sfruttamento commerciale dei profili ottenuti, i quali possono avere un significativo valore di mercato in ragione della loro capacità di fornire indicazioni sulle propensioni al consumo di beni e servizi. Il Garante ha pertanto deliberato le presenti linee guida affinché tutti i fornitori di servizi on line, accessibili al pubblico, adottino misure finalizzate alla pubblicazione dell'informativa di cui all'art. 13 del Codice ed all'ottenimento del preventivo consenso al trattamento dei dati personali da parte degli utenti finali.
Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici ed altri enti obbligati (adottate il 15 maggio 2014, versione grafica).

Provvedimenti del Garante - I provvedimenti sono deliberati dal Garante per la protezione dei dati personali per sua diretta iniziativa o in riferimento a istanze, ricorsi, reclami, segnalazioni, richieste di pareri, presentate da cittadini, aziende, associazioni, enti. In evidenza:

- Misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche (adottate il 2 luglio 2015) - Il Garante per la protezione dei dati personali ha adottato il presente provvedimento che fissa per le amministrazioni pubbliche l’obbligo di comunicazione nei casi in cui, a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità, si dovesse verificare la perdita, la distruzione o la diffusione indebita di dati personali conservati, trasmessi o comunque trattati.

- Cookie e privacy - I cosiddetti cookie di profilazione possono essere utilizzati per monitorare e profilare gli utenti durante la navigazione, studiare i loro movimenti e abitudini di consultazione del web o di consumo (cosa comprano, cosa leggono, ecc.), anche allo scopo di inviare pubblicità di servizi mirati e personalizzati. Può accadere anche che una pagina web contenga cookie (cosiddetti terze parti) provenienti da altri siti e contenuti in vari elementi ospitati sulla pagina stessa, come ad esempio banner pubblicitari, immagini, video. In ragione della particolare invasività che tali dispositivi possono avere nell'ambito della sfera privata degli utenti, il Garante per la protezione dei dati personali ha stabilito che nel momento in cui l'utente accede alla home page (o ad un'altra pagina) di un sito web che usa cookie per finalità di profilazione e marketing, deve essergli presentata una prima informativa "breve", contenuta in un banner a comparsa immediata, integrata da un'informativa "estesa", all'interno della quale l'utente può negare il consenso all'installazione di qualunque cookie ovvero scegliere quali specifici cookie autorizzare (provvedimento - 8 maggio 2014).

- Videosorveglianza - Il trattamento dei dati personali effettuato mediante l'uso di sistemi di videosorveglianza non forma oggetto di legislazione specifica e, pertanto, si applicano le disposizioni generali in tema di protezione dei dati personali. Il Garante, in considerazione sia dei numerosi interventi legislativi in materia, sia dell'ingente quantità di quesiti, segnalazioni, reclami e richieste di verifica preliminare,è intervenuto con il provvedimento - 8 aprile 2010 in tale settore (versione grafica).

MODULISTICA

Modello per l'esercizio dei diritti in materia di protezione dei dati personali - Ogni persona può tutelare i propri dati personali esercitando i diritti previsti dagli artt. 15-22 del Regolamento UE 2016/679. È possibile presentare un'istanza al titolare del trattamento dei dati personali (banche, operatori telefonici, gestori di siti web, assicurazioni, pubbliche amministrazioni, etc.) per richiedere: l'accesso ai dati personali, l'aggiornamento, la rettifica, la cancellazione, la portabilità dei dati, la limitazione e l'opposizione al trattamento dei dati per motivi legittimi. Il modello, debitamente compilato, va indirizzato al titolare del trattamento dei dati personali, anche tramite il Responsabile della Protezione dei Dati (RPD), ove designato dal titolare. La predetta istanza non va indirizzata al Garante per la protezione dei dati personali.

Reclamo al Garante per la protezione dei dati personali - Il reclamo è lo strumento che consente all'interessato di rivolgersi al Garante per lamentare una violazione della disciplina in materia di protezione dei dati personali (art. 77 del Regolamento UE 2016/679 e artt. da 140-bis a 143 del Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento) e di richiedere una verifica dell'Autorità.