Logo
Stampa questa pagina

privacy

Il G.D.P.R.

Il 25 maggio 2018 è divenuto direttamente applicabile in tutti gli stati membri dell’Unione Europea il Regolamento del Parlamento europeo e del Consiglio n. 679 del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (General Data Protection Regulation – G.D.P.R.). Esso modifica numerosi aspetti della disciplina della privacy e introduce nuovi concetti, tra i quali particolarmente importante è quello di accountability, e cioè responsabilizzazione, del Titolare del trattamento di dati personali (che nel caso di un Comune è il sindaco). In base a tale principio, il Titolare del trattamento dei dati deve essere in grado di dimostrare di avere adottato un processo complessivo di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi, e devedimostrare in modo positivo e proattivo che i trattamenti di dati effettuati sono adeguati e conformi al G.D.P.R., e in particolare ai principi di liceità, correttezza e trasparenza nel trattamento, limitazione delle sue finalità, minimizzazione ed esattezza dei dati trattati, integrità e riservatezza, limitazione della loro conservazione.

Il Titolare del trattamento di dati personali.

Titolare del trattamento dei dati personali è il soggetto cui competono le decisioni in ordine alle finalità e modalità del trattamento dei dati personali, compreso il profilo della sicurezza. Per il Comune di Grugliasco, Titolare del trattamento è il Sindaco.

Il Responsabile del trattamento dei dati personali.

Responsabile del trattamento dei dati personali è la persona fisica, interna o esterna all’Ente, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal Titolare al trattamento di dati personali.

Incaricati del trattamento dei dati personali.

Incaricati sono le persone fisiche che, operando sotto l’autorità del Responsabile del trattamento, sono autorizzate da quest’ultimo a effettuare le operazioni di trattamento dei dati personali attenendosi alle istruzioni ricevute.

Il Responsabile della Protezione dei Dati (D.P.O. – Data Protection Officer)

Il Responsabile della Protezione dei Dati è una figura introdotta dal G.D.P.R., con esperienza e competenze professionali specifiche e adeguate, cui sono affidate l’attuazione del suddetto Regolamento all’interno della struttura e dell’organizzazione di riferimento e l’implementazione delle misure necessarie a garantire la corretta applicazione della normativa, nonché funzioni di raccordo con il Garante per la Protezione dei dati personali e con i singoli interessati.

Contatti del Responsabile della Protezione dei Dati del Comune di Grugliasco:

Tel. n. 0376803074

e-mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

PEC: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

 

I dati personali nel G.D.P.R.

E’ dato personale qualunque informazione relativa a una persona fisica che la identifichi o la renda identificabile (interessato) direttamente, come i dati anagrafici o un’immagine, o anche indirettamente mediante un riferimento ad altre informazioni, ivi compreso un numero di identificazione personale (codice fiscale, indirizzo IP, numero di targa), e che possa fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc. In particolare il Regolamento UE, a differenza della normativa italiana previgente e cioè del Codice per la tutela dei dati personali (D.Lgs. n. 196/2003) include tra i dati personali i dati genetici, quelli biometrici e quelli sanitari.

Per dati genetici si intendono i dati personali relativi alle caratteristiche genetiche, ereditarie o acquisite, di una persona fisica, che risultino dall’analisi di un campione biologico della persona in questione, in particolare dall’analisi dei cromosomi, dell’acido desossiribonucleico (DNA) o dell’acido ribonucleico (RNA), ovvero dall’analisi di un altro elemento che consenta di ottenere informazioni equivalenti.

I dati biometrici sono considerati dati personali quando sono ottenuti da un trattamento tecnico specifico delle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici. Va però tenuto presente che il trattamento di fotografie non costituisce sempre e sistematicamente un trattamento di categorie particolari di dati personali, poiché le fotografie rientrano nella definizione di dati biometrici soltanto quando sono trattate attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica.

Sono considerati personali i dati attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute. I dati sanitari comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione, come: un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro.

L’art. 9 del G.D.P.R. attribuisce anche una specifica protezione per i dati personali “particolari”, che, per loro natura, sono maggiormente sensibili. Sono dati particolari, o sensibili, ed è vietato trattare, oltre ai dati genetici, i dati biometrici e i dati sanitari di cui sopra, anche quei dati personali che rivelino:

  • l’origine razziale o etnica;
  • le opinioni politiche;
  • le convinzioni religiose o filosofiche;
  • l’appartenenza sindacale;
  • la vita sessuale o l’orientamento sessuale della persona.

Nello stabilire il divieto generale di trattamento dei dati particolari, il Regolamento UE prevede comunque alcune specifiche condizioni, come il consenso esplicito degli interessati o la necessità di assolvere a determinati obblighi, che consentono una deroga e permettono il trattamento anche dei suddetti dati.

Oltre ai dati personali particolari, o sensibili, particolare tutela è garantita anche dall’art. 10 del Regolamento UE ai dati relativi alle condanne penali, ai reati e alle connesse misure di sicurezza. Si tratta dei cosiddetti dati giudiziari, cioè quelli che possono rivelare l'esistenza di determinati provvedimenti giudiziari soggetti a iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la libertà condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato.

Il trattamento dei dati personali.

In base all’art. 4, paragrafo 1, punto 2 del Regolamento U.E., per “trattamento” si intende qualsiasi operazione o insieme di operazioni, compiuta con o senza l’ausilio di processi automatizzati e applicata a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Il trattamento dei dati personali deve conformarsi ai principi generali del Regolamento UE, e cioè deve essere lecito, corretto e trasparente e le sue finalità devono essere determinate, esplicite, legittime. I soggetti che procedono al trattamento dei dati personali altrui devono adottare particolari misure per garantire il corretto e sicuro utilizzo dei dati, e in particolare devono assicurare che questi ultimi siano adeguati, pertinenti, limitati, esatti, aggiornati e conservati per il tempo necessario ad assolvere la finalità per la quale sono stati raccolti.

L’informativa all’interessato.

L’informativa, disciplinata dagli artt. 13 e 14 del Regolamento UE, è la comunicazione che deve sempre essere fornita oralmente o per iscritto all’interessato prima di effettuare la raccolta presso lo stesso dei suoi dati personali, per informarlo in merito alle finalità e modalità del trattamento, alla natura obbligatoria o facoltativa del conferimento dei dati e alle eventuali conseguenze del mancato conferimento, ai dati del Titolare e del Responsabile del trattamento, al soggetto, o categorie di soggetti, cui i dati personali possono essere comunicati, ai diritti dell’interessato. Se i dati personali non vengono raccolti direttamente presso l’interessato, l’informativa deve comprendere anche l’individuazione delle categorie di dati personali oggetto di trattamento.

Il consenso al trattamento dei dati personali.

I soggetti pubblici non devono, di regola, chiedere il consenso dell’interessato per il trattamento dei suoi dati personali, tranne in alcuni casi relativi alle categorie particolari di dati personali (dati cosiddetti “sensibili”) di cui all’art.9 del Regolamento UE e in presenza di decisioni basate su trattamenti automatizzati (compresa la profilazione di cui all’art.22 del RegolamentoUE), entrambi implicanti un consenso esplicito.

Comunque, quando necessario, il consenso deve essere:

- informato;

- specifico per ciascuna finalità del trattamento;

- libero, prestato cioè senza condizionamenti e senza dover subire pregiudizi (ad esempio l’esecuzione di un contratto, compresa la prestazione di un servizio, non  può essere subordinata a un consenso, non necessario per tale esecuzione);

- inequivocabile, e cioè manifestato attraverso una dichiarazione o azione positiva inequivocabile e distinguibile da altre materie di riferimento.

Il soggetto che conferisce il consenso deve avere la capacità giuridica per farlo. Pertanto, in caso di trattamento di dati personali di minori occorre acquisire il consenso dei genitori o degli esercenti la patria potestà se l’interessato ha meno di 16 anni.

 

I diritti dell’interessato.

I diritti più comuni riconosciuti agli interessati dal G.D.P.R. sono i seguenti:

- L’interessato ha il diritto di essere informato su tutto ciò che viene operato sui suoi dati personali e per quali finalità vengano utilizzati, di avervi accesso, di poterli modificare e infine di limitarne il trattamento, ad esempio quando risultino imprecisi, o di revocare il consenso al loro utilizzo;

- l’interessato ha il diritto alla portabilità dei dati, e cioè ha il diritto di ricevere i dati personali forniti a un titolare in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, e di trasmetterli a un altro titolare del trattamento in maniera semplice e veloce, senza alcun impedimento;

- l’interessato ha il diritto alla cancellazione dei propri dati personali (diritto all’oblìo) quando non sono più necessari rispetto alle finalità per le quali sono stati raccolti e trattati, tranne nei casi in cui vengano utilizzati per adempiere a un obbligo legale, o per finalità relative alla salute pubblica, per la ricerca scientifica e storica o a fini statistici, per l’esercizio del diritto alla libertà di espressione e informazione, a fini di archiviazione e conservazione nel pubblico interesse, per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

 

Violazione dei dati personali (Data Breach).

Per violazione dei dati personali si intende la violazione accidentale o illecita della sicurezza degli stessi che comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata dei, o l’accesso non autorizzato ai, dati personali trasmessi, conservati o comunque trattati.

In caso di violazione il Titolare dovrà informare in modo chiaro, semplice e immediato tutti gli interessati fornendo indicazioni su come intenda limitare i danni, a meno che ritenga che la violazione non comporti un rischio elevato per i loro diritti oppure se ha già adottato misure di sicurezza. Inoltre, qualora l’informazione dei singoli interessati comporti uno sforzo sproporzionato rispetto al rischio, il Titolare deve provvedere con una comunicazione pubblica.

Il Garante per la Protezione dei dati personali può comunque imporre al Titolare del trattamento di informare gli interessati sulla base di una propria valutazione dei rischi connessi alla violazione verificatasi.

© 2012 Comune di Grugliasco (TO), Piazza Matteotti, 50 - CAP 10095, T. 011 4013000, P.IVA 01472860012 - grugliasco@cert.ruparpiemonte.it