Il Regolamento Europeo n. 679/2016 (GDPR: General Data Protection Regulation) si occupa della tutela delle persone con riguardo ai loro dati personali. Il diritto alla protezione dei dati personali è un diritto e libertà fondamentale.
In questa sezione, oltre ad alcune sintetiche informazioni sulle definizioni della disciplina in materia di privacy e protezione dei dati personali, verranno raccolte le domande frequenti poste dai docenti o dal personale amministrativo per condividere le competenze e buone prassi da seguire quotidianamente per una gestione e protezione sostanziale dei dati personali.
Che cos’è il GDPR?
Per “GDPR” (“General Data Protection Regulation”) si intende il nuovo Regolamento Europeo n. 679/2016 in materia di protezione dei dati personali. La nuova normativa è entrata pienamente in vigore in tutti i Paesi dell’Unione Europea il 25 maggio 2018.
In Italia rimane in vigore il Codice privacy (D.Lgs. 196/2003).
Il GDPR introduce importantissime novità per cittadini e imprese, con l’obiettivo dichiarato di elevare il livello di protezione dei dati, rafforzare la fiducia dei cittadini e sostenere la crescita dell’economia digitale.
Cosa sono i dati personali?
Si può considerare "dato personale" qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Ad esempio, sono dati personali: carta d’identità, il codice fiscale, il numero di telefono, l’indirizzo e-mail, le informazioni in un referto medico, una fotografia, una fattura se riporta dati che identificano una persona fisica, il ritratto di una persona fisica.
Anche alcune informazioni che, apparentemente, possono sembrare "anonime" in realtà consentono di identificare le persone fisiche. Ad esempio, nella creazione di questionari anonimi, è importante verificare che non solo non siano presenti dati anagrafici, ma nemmeno informazioni che, sulla base di una loro correlazione, consentono di risalire all'identità del compilatore.
Cosa si intende per "trattamento"?
Per "trattamento" si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione
mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
Ad esempio, determina trattamento di dati personali: conservare i numeri di telefono in un’agenda cartacea o sul proprio smartphone; l’invio di e-mail per scopi lavorativi; la pubblicazione di fotografie su un social network; la compilazione di questionari.
Chi è il Titolare del trattamento?
Il Titolare del trattamento è la persona fisica o giuridica, l’Autorità Pubblica, il servizio o altro Organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali, nonché garantisce l’applicazione di adeguate misure di protezione degli stessi. Ad esempio, il Titolare del trattamento di tutti i dati personali di un Ateneo è l’Università, intesa come persona giuridica, rappresentata dal suo Legale Rappresentante, il Rettore pro tempore.
Chi è il Responsabile della Protezione dei Dati personali (RPD), o Data Protection Officer (DPO) e quali sono i suoi compiti?
Il Responsabile della Protezione dei Dati personali è un soggetto, designato dal Titolare del trattamento, per assolvere a funzioni di supporto, controllo, consultive, formative e informative relativamente all'applicazione del Regolamento. I suoi compiti sono declinati all’art. 39 del GDPR.
Come devono essere trattati i dati inerenti la ricerca?
Quando è necessario raccogliere dati personali o effettuare sondaggi per la partecipazione a progetti di ricerca (o redazione della tesi di laurea) è necessario consultare la sezione FAQ Ricerca di GDPR Unity.
Cosa fare per esercitare i miei diritti?
Gli interessati al trattamento possono esercitare i loro diritti, ad esempio per chiedere l'accesso o la rettifica i dati, o la cancellazione dei dati, utilizzando l'apposito form della sezione GDPR Unity "Aiuto e contatti".
L'Ateneo valuterà la richiesta, dal momento che in alcuni casi non è possibile, per legge, dare seguito alle richieste dell'interessato.
Verrà dato riscontro entro 30 giorni.