FAQ per l'amministrazione

Per “GDPR” (“General Data Protection Regulation”) si intende il nuovo Regolamento Europeo n. 679/2016 in materia di protezione dei dati personali. La nuova normativa è entrata pienamente in vigore in tutti i Paesi dell’Unione Europea il 25 maggio 2018.
In Italia rimane in vigore il Codice privacy (D.Lgs. 196/2003).

Il GDPR introduce importantissime novità per cittadini e imprese, con l’obiettivo dichiarato di elevare il livello di protezione dei dati, rafforzare la fiducia dei cittadini e sostenere la crescita dell’economia digitale.

Si può considerare "dato personale" qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Ad esempio, sono dati personali: carta d’identità, il codice fiscale, il numero di telefono, l’indirizzo e-mail, le informazioni in un referto medico, una fotografia, una fattura se riporta dati che identificano una persona fisica, il ritratto di una persona fisica.

Anche alcune informazioni che, apparentemente, possono sembrare "anonime" in realtà consentono di identificare le persone fisiche. Ad esempio, nella creazione di questionari anonimi, è importante verificare che non solo non siano presenti dati anagrafici, ma nemmeno informazioni che, sulla base di una loro correlazione, consentono di risalire all'identità del compilatore.

Per "trattamento" si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione
mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Ad esempio, determina trattamento di dati personali: conservare i numeri di telefono in un’agenda cartacea o sul proprio smartphone; l’invio di e-mail per scopi lavorativi; la pubblicazione di fotografie su un social network; la compilazione di questionari.

Il Titolare del trattamento è la persona fisica o giuridica, l’Autorità Pubblica, il servizio o altro Organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali, nonché garantisce l’applicazione di adeguate misure di protezione degli stessi. Ad esempio, il Titolare del trattamento di tutti i dati personali di un Ateneo è l’Università, intesa come persona giuridica, rappresentata dal suo Legale Rappresentante, il Rettore pro tempore.

Il Responsabile della Protezione dei Dati personali è un soggetto, designato dal Titolare del trattamento, per assolvere a funzioni di supporto, controllo, consultive, formative e informative relativamente all'applicazione del Regolamento. Coopera con il Garante e costituisce ilpunto di contatto, anche rispetto agli interessati, per le questioni connesse altrattamento dei dati personali.I suoi compiti sono declinati all’art. 39 del GDPR.

All’articolo 4, punto 12, il regolamento definisce la “violazione dei dati personali” come segue: “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. Il significato di “distruzione” dei dati personali dovrebbe essere abbastanza chiaro: si ha distruzione dei dati quando gli stessi non esistono più o non esistono più in una forma che sia di qualche utilità per il titolare del trattamento. Anche il concetto di “danno” dovrebbe essere relativamente evidente: si verifica un danno quando i dati personali sono stati modificati, corrotti o non sono più completi. Con “perdita” dei dati personali si dovrebbe invece intendere il caso in cui i dati potrebbero comunque esistere, ma il titolare del trattamento potrebbe averne perso il controllo o l’accesso, oppure non averli più in possesso. Infine, un trattamento non autorizzato o illecito può includere la divulgazione di dati personali a (o l’accesso da parte di) destinatari non autorizzati a ricevere (o ad accedere a) i dati oppure qualsiasi altra forma di trattamento in violazione del regolamento.

Esempio:
Un esempio di perdita di dati personali può essere la perdita o il furto di un dispositivo contenente una copia della banca dati dei clienti del titolare del trattamento. Un altro esempio può essere il caso in cui l’unica copia di un insieme di dati personali sia stata crittografata da un ransomware (malware del riscatto) oppure dal titolare del trattamento mediante una chiave non più in suo possesso.

Ciò che dovrebbe essere chiaro è che una violazione è un tipo di incidente di sicurezza. Tuttavia, come indicato all’articolo 4, punto 12, il regolamento si applica soltanto in caso di violazione di dati personali. La conseguenza di tale violazione è che il titolare del trattamento non è più in grado di garantire l’osservanza dei principi relativi al trattamento dei dati personali di cui all’articolo 5 del regolamento. Questo punto mette in luce la differenza tra un incidente di sicurezza e una violazione dei dati personali: mentre tutte le violazioni dei dati personali sono incidenti di sicurezza, non tutti gli incidenti di sicurezza sono necessariamente violazioni dei dati personali13.
Ogni violazione va segnalata tempestivamente al Titolare. Su questo sito è disponibile il form di contatto dedicato: https://gdpr.unityfvg.it/aiuto-contatti/voglio-segnalare-problema-sicur…

Per maggiori informazioni consultare Linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679 in https://gdpr.unityfvg.it/normativa-e-linee-guida-rilevanti

È considerato Amministratore di sistema ogni soggetto, autorizzato al trattamento e appositamente nominato, preposto alla gestione e alla manutenzione di un impianto di elaborazione dati o di sue componenti. Sono Amministratori di Sistema: gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza, e gli amministratori di sistemi software complessi. L’Amministratore di Sistema: progetta, sviluppa e gestisce l’infrastruttura di rete, i server, il software ed i servizi applicativi di base occupandosi spesso della sicurezza e della protezione dei dati e delle risorse. Inoltre fornisce supporto tecnico (help desk) e informatico su software e hardware. Quando necessario, ricopre un ruolo proattivo nell’ambito delle notificazioni di violazioni di sicurezza o dati, notificando al RPD eventuali anomalie riscontrate su malfunzionamenti o rischi di sicurezza. Egli risponde, inoltre, delle attività svolte e delle conseguenze derivanti da un malfunzionamento della rete e supporta Responsabili del Trattamento e Autorizzati per gli aspetti di tipo tecnico informatico nelle normali attività operative.

Il Garante per la protezione dei dati personali ha chiarito già da tempo (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/do…) che, rispetto a determinati adempimenti riferiti a categorie di documenti (per i quali non sono dettagliati i dati da pubblicare), le amministrazioni devono procedere alla pubblicazione dei soli dati che rispondono alla finalità di trasparenza dell’attività e dell’organizzazione amministrativa e che servono per raggiungere quest’obiettivo. In ragione di ciò, ha chiarito che rispetto all’obbligo di pubblicare i curricula professionali, le amministrazioni devono epurarli di tutti i dati personali non necessari ai fini della trasparenza come i recapiti personali e il codice fiscale (anche per scongiurare eventuali furti di identità).
I dati sanitari o comunque dal quale si possa desumere lo stato di salute sono sempre vietati.
La soluzione di farsi mandare il CV già epurato e dedicato alla pubblicazione rimane sempre la via più semplice.
Attenzione: anche la sottoscrizione olografa acquisita è un dato personale che va epurato dai CV e dalle dichiarazioni destinate alla pubblicazione.

Occorre verificare che le pagine degli allegati ai siti web di Dipartimento caricate on line siano accessibili esclusivamente alle persone dotate di credenziali di Ateneo autorizzate ad accedervi. Inoltre, chiunque pubblichi verbali deve minimizzare il più possibile, se non omettere direttamente se non indispensabili per le finalità previste, i dati personali contenuti in detti verbali in sede di pubblicazione. In ogni caso non dovranno mai essere pubblicati dati riferiti alle categorie particolari/sensibili (stato di salute, opinioni religiose, politiche, etc.).

Sulla newsletter del Garante del 28 Novembre 2019 è stato pubblicato un parere su una richiesta di accesso civico formulata dall'Università degli Studi di Firenze. In tale parere Il Garante privacy ha confermato la decisione dell’Ateneo fiorentino di negare ad una persona l’accesso civico generalizzato agli elaborati scritti, ai verbali di correzione e ai curricula dei partecipanti ad un concorso pubblico in quanto la messa a disposizione di tale documentazione avrebbe potuto arrecare un pregiudizio concreto alla tutela dei dati personali dei partecipanti stessi. Per maggiori informazioni: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/do…