1. Home
  2. Informativa sulla Privacy
  3. Domande e risposte sulla protezione dei dati

Domande e risposte sulla protezione dei dati

Pubblicato: 05 Ottobre 2022
Ultimo aggiornamento: 05 Ottobre 2022

Dati personali e trattamento

Il Regolamento definisce come Trattamento di dati personali "qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione".

Quindi è un Trattamento qualunque operazione compiuta sui dati personali di un interessato, quali ad esempio il ricevimento di una istanza, la gestione di tali dati, la firma di un atto o di un decreto contenente dati personali, la gestione di un archivio, l'elaborazione dei dati di un archivio, ecc.

Il Trattamento può riguardare, ad esempio, la gestione di contributi o pagamenti che riguardino persone fisiche, la gestione del processo di acquisto di beni o servizi, la gestione del personale, la gestione di archivi riguardanti la salute dei cittadini (inclusi i dati sensibili, sanitari, biometrici, genetici ecc.), la videoregistrazione, la gestione del contenzioso, la gestione di servizi web rivolti al pubblico, la gestione di sistemi di posta elettronica, la memorizzazione di indirizzi IP o indirizzi MAC ecc.

Sono qualunque informazione riguardante una persona fisica identificata o identificabile, ad es. il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online, uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Non si possono considerare dati personali le informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato. Il Regolamento non si applica pertanto al trattamento di informazioni anonime, anche per finalità statistiche o di ricerca, né ai dati personali delle persone decedute.

Sono considerati dati personali comuni quelli che consentono di identificare direttamente o indirettamente una persona fisica, tra cui, ad esempio, nome e cognome, indirizzo di casa, indirizzo email, numero identificativo nazionale, numero di passaporto, indirizzo IP, numero di targa del veicolo, numero di patente, identità digitale, data di nascita, luogo di nascita, numero di telefono, nickname.

Invece appartengono a categorie particolari di dati personali quelli che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché i dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica (quali a titolo esemplificativo, un gruppo di fotografie caricate online, oppure negli aeroporti dove l'immagine dell'individuo viene scansionata per identificarlo), dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona (articolo 9 del GDPR).

I dati relativi a condanne penali e reati quali quelli che possono rivelare l'esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato, sono considerati dati non comuni (articolo 10 del GDPR).

Soggetto interessato

Il Regolamento definisce interessato una persona fisica vivente, identificata o identificabile e stabilita nell'Unione Europea. L'identificazione può avvenire direttamente o indirettamente, ad es. con il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online, uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. Online le persone fisiche possono essere identificate tramite dispositivi, applicazioni, strumenti e protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o a identificativi di altro tipo.

I diritti dell'interessato tutelati dal Regolamento sono:

  • diritto all'accesso ai dati personali, ovvero ad ottenere dal Titolare del trattamento la conferma che sia in corso un Trattamento di dati personali che lo riguardano e in tal caso ottenere le informazioni specificate nell'articolo15;
  • diritto alla rettifica dei dati personali previsto dall'articolo 16;
  • diritto alla cancellazione o all'oblio previsto dall'articolo17;
  • diritto alla limitazione del Trattamento di dati personali previsto all'articolo 18;
  • diritto alla portabilità dei dati personali, ovvero a ricevere in un formato strutturato, di uso comune e leggibile da un dispositivo automatico i propri dati personali e a trasmetterli a un altro Titolare del trattamento, previsto dall'articolo 20;
  • diritto di opposizione al Trattamento di dati personali (articolo 21);
  • diritto al risarcimento (articolo 82).

Le modalità per l'esercizio dei diritti sono dettagliatamente disciplinate dall'articolo 12 del Regolamento. Di regola l'interessato effettua una richiesta che il Titolare del trattamento riscontra senza ingiustificato ritardo con l'assistenza del Responsabile del trattamento e comunque entro un mese. In presenza di un elevato numero di richieste o di complessità della richiesta il termine può essere prorogato di 2 mesi informando l'interessato.

Titolare trattamento

Il Regolamento stabilisce che il Titolare del trattamento è "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del Trattamento di dati personali". Nella Regione Abruzzo il Titolare del trattamento è l’Ente Regione Abruzzo, con sede in Via Leonardo da Vinci 6 - 67100 L’Aquila (AQ), CF 80003170661, nella persona del suo Presidente pro-tempore. 

In fase di prima applicazione della DGR 41/2021 ed al fine di accelerare il processo di adeguamento al GDPR, dalla data di adozione del Disciplinare da parte della Giunta Regionale (03.02.2021), i Direttori e Dirigenti regionali, in qualità di Soggetti Autorizzati al trattamento con delega (DAT) sono autorizzati al trattamento dei dati personali.

I DAT provvedono, nell’ambito delle strutture di rispettiva competenza, alla designazione dei Soggetti Autorizzati al Trattamento dei dati personali  (SAT)  secondo  la  “Procedura  per  la  designazione  dei  Soggetti  autorizzati  al trattamento dei dati personali e relativa attribuzione di responsabilità” (Allegato A).

I principali compiti del Titolare del trattamento sono:

  • nomina il Responsabile del trattamento o i Responsabili con un atto esplicito e gli fornisce le istruzioni sulle modalità di Trattamento di dati personali (articolo 28);
  • mantiene il Registro delle attività di trattamento svolte sotto la sua responsabilità (articolo 30);
  • mette in atto misure tecniche e organizzative per garantire che il Trattamento di dati personali sia conforme al Regolamento (articolo 24) e che il livello di sicurezza sia adeguato al rischio (articolo 32);
  • effettua le comunicazioni al Garante sulla violazione di dati personali (articolo 33) ed informa l'interessato se si presenta il rischio per i diritti e le libertà di quest'ultimo (articolo 34) ;
  • tiene un registro delle violazioni dei dati (articolo 33);
  • garantisce che i trattamenti siano effettuati in modo lecito, corretto e trasparente e siano adeguati alle finalità (articolo 5);
  • garantisce che i dati personali siano esatti, aggiornati, conservati per il tempo strettamente necessario e trattati in modo di garantire la loro sicurezza (articoli 5 e 32);
  • se il Trattamento di dati personali si basa sul consenso dell'interessato, deve poter dimostrare che quest'ultimo lo ha prestato (articolo 7);
  • adotta misure appropriate per fornire all'interessato una adeguata informativa sui dati trattati (articolo 12);
  • garantisce il diritto d'accesso dell'interessato ai dati personali che lo riguardano (articolo 15), lo informa sui suoi diritti (rettifica o cancellazione dei dati personali e limitazione o opposizione al loro trattamento) e assicura il corretto godimento dei suoi diritti (articoli 15-22);
  • se non è stabilito nell'Unione Europea nomina per iscritto un proprio rappresentate nell'UE (articolo 27);
  • dispone che sia effettuata la valutazione di impatto sui dati personali (DPIA) se si presenta un rischio per le libertà e i diritti personali (articolo 35);
  • designa il Responsabile della protezione dei dati (articolo 37) e gli fornisce risorse sufficienti per svolgere in modo efficace i suoi compiti (articolo 38), per accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica;
  • si assicura che il Responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali ed in particolare nei processi di definizione di nuovi trattamenti per contribuire alla protezione dei dati personali sin dalla fase di progettazione e per impostazione predefinita.

Responsabile del trattamento

Il Responsabile del trattamento, secondo il Regolamento, è la persona fisica o giuridica, l'amministrazione pubblica o altro organismo che tratta dati personali per conto del Titolare del trattamento.

L'atto con cui il Titolare del trattamento designa un Responsabile del trattamento è l'atto esplicito, quale un contratto o di altro atto giuridico equivalente, con il quale gli attribuisce specifici compiti ai sensi del Regolamento e nel quale vengono disciplinati la natura, durata e finalità dei trattamenti assegnati, le categorie di dati personali oggetto di Trattamento di dati personali, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal Titolare del trattamento e, in via generale, delle disposizioni contenute nel Regolamento (si veda Allegato B del Discplinare approvato con DGR 41/2021).

I principali compiti del Responsabile del trattamento sono:

  • trattare i dati personali per conto del Titolare del trattamento, sulla base delle istruzioni ricevute (art.28);
  • garantire che le persone autorizzate al Trattamento di dati personali siano impegnate nell'assicurare la riservatezza (art.28);
  • non ricorrere ad altro responsabile (o sub-Responsabile) se non autorizzato dal Titolare del trattamento (art. 28);
  • assistere il Titolare del trattamento con misure tecniche e organizzative adeguate per garantire che questo possa dare seguito alle richieste dell'interessato (art. 28)
  • assistere il Titolare del trattamento nel garantire la sicurezza dei dati personali (art.28);
  • mettere a disposizione del Titolare del trattamento le informazioni necessarie a dimostrare il rispetto degli obblighi di quest'ultimo (art.28);
  • mantenere il Registro delle categorie delle attività di trattamento svolte per conto di un Titolare del trattamento (art.30);
  • mettere in atto misure tecniche ed organizzative per garantire la sicurezza del Trattamento di dati personali (art.32)
  • informare senza ritardo il Titolare del trattamento in caso di violazione dei dati (art.33) e assisterlo nelle attività conseguenti;
  • fornire risorse sufficienti al Responsabile della protezione dei dati per svolgere in modo efficace i suoi compiti (art. 38), accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica;
  • adottare, se lo ritiene, un codice di condotta approvato a norma dell'art. 40 per dimostrare il rispetto dei suoi obblighi (art.24)
  • coinvolgere tempestivamente e adeguatamente il Responsabile della protezione dei dati in tutte le questioni riguardanti la protezione dei dati personali ed in particolare nei processi di definizione di nuovi trattamenti per contribuire alla protezione dei dati personali sin dalla fase di progettazione (protection by design) e per impostazione predefinita (protection by default).

Responsabile protezione dei dati

Il Responsabile della protezione dei dati (RPD o, in inglese, Data Protection Officer, DPO) è una nuova figura istituita dal Regolamento che viene designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i propri compiti.

Svolge le proprie funzioni in autonomia ed indipendenza, senza ricevere istruzioni e in collaborazione diretta con il vertice gerarchico. Il Responsabile per la Protezione dei dati della Regione Abruzzo è indicato nella sezione Responsabile della Protezione dei Dati della pagina “Informativa sulla Privacy”. L’RPD può essere contattato all'indirizzo e-mail dpo@regione.abruzzo.it.

I compiti del Responsabile della protezione dei dati sono:

  • informare e fornire consulenza al Titolare del trattamento, al Responsabile del trattamento ed ai dipendenti che trattano i dati personali (articolo 39);
  • sorvegliare l'osservanza del Regolamento e le politiche del Titolare del trattamento e del Responsabile del trattamento in materia di trattamenti (articolo 39);
  • fornire pareri sulle valutazioni di impatto di cui all'articolo35 del Regolamento (articolo 39);
  • cooperare con il Garante della protezione dei dati personali nell'esecuzione dei suoi compiti (articoli 31 e 39);
  • fungere da punto di contatto con il Garante della protezione dei dati personali per facilitarne l'accesso ai documenti ed alle informazioni necessarie (articolo 39);
  • mantenere il segreto e la riservatezza nell'adempimento dei propri compiti (articolo 38).

Sub-responsabile del trattamento

Il Responsabile del trattamento può ricorrere a un altro responsabile del trattamento, o sub-Responsabile, per l'esecuzione di alcune o tutte le attività di Trattamento di dati personali per conto del Titolare del trattamento, mediante un contratto o un altro atto giuridico con il quale vengono imposti al sub-Responsabile gli stessi obblighi in materia di protezione dei dati personali che sono stati imposti al Responsabile del trattamento da parte del Titolare del trattamento; resta fermo che in caso di omissione dell'adempimento degli obblighi suddetti da parte del sub-Responsabile, il Responsabile del trattamento iniziale conserva nei confronti del Titolare del trattamento l'intera responsabilità dell'adempimento degli obblighi del sub-Responsabile.

Nel caso in cui il sub-Responsabile sia incaricato dell'esecuzione solo di alcune specifiche attività di carattere tecnico (ad es. attività informatiche, centri di contatto con il pubblico, call center, ecc.) assume la denominazione di sub-Responsabile tecnico.

I principali compiti del sub-Responsabile del trattamento sono:

  • gestire le attività che gli sono state affidate dal Responsabile del trattamento che lo ha designato;
  • curare gli aspetti che garantiscono la corretta gestione e la conservazione dei dati, nonchè di quanto gli sia stato affidato (ad esempio Sistemi);
  • mantenere aggiornati i dati e i sistemi che gli vengono affidati badando alla loro manutenzione ed alla loro protezione;
  • garantire la collaborazione e il supporto al Responsabile del trattamento ed al Titolare del trattamento per tutte le operazioni che riguardano le attività affidate;
  • garantire la collaborazione e il supporto nelle verifiche tecniche, svolte dai soggetti individuati dal Titolare del trattamento, dal Responsabile del trattamento o dal Responsabile della protezione dei dati, tese ad accertare la sicurezza dei dati, dei sistemi e la correttezza del trattamento.

Soggetto autorizzato al trattamento dati

La DGR 41/2021 individua due figure privacy nel contesto regionale, sulla base dell’art. 29 del GDPR, che ha ad oggetto “i trattamenti svolti sotto l'autorità del Titolare del trattamento”.

  • DAT: Soggetto Autorizzato al Trattamento dei dati personali con Delega. Si identifica con i Dirigenti e Direttori regionali in relazione ai dati personali trattati, nella misura necessaria a raggiungere gli  obiettivi  relativi  alle  attività  istituzionali  svolte  dal  servizio  da ciascuno diretto.  Le  attività  di trattamento sono correlate allo svolgimento delle funzioni (Contratto di Lavoro).
  • SAT: Soggetto autorizzato al Trattamento dei dati personali. Il SAT viene designato dal DAT, e tratta i dati personali nella misura necessaria a raggiungere gli  obiettivi  relativi  alle  attività  istituzionali  svolti  dal  servizio  di  appartenenza.  Le  attività  di trattamento sono correlate allo  svolgimento delle  sue  funzioni  nell’ambito dei  profili di  autorizzazione attribuiti. Il SAT è responsabile del rispetto delle disposizioni di legge applicabili in materia di protezione dei dati personali e delle istruzioni impartite dal Titolare e dal DAT.

Registri

Tra gli adempimenti del Regolamento vi è anche l'istituzione e la tenuta del Registro delle attività di trattamento a cura del Titolare del trattamento (art. 30 co.1) e del Registro delle categorie delle attività dei trattamento a cura del Responsabile del trattamento (articolo 30 comma 2) in forma scritta, anche elettronica, da mettere a disposizione del Garante della Privacy su richiesta.

I Registri, quindi, sono almeno due, uno tenuto dal Titolare del trattamento e uno da ciascun Responsabile del trattamento. I contenuti dei Registri sono descritti dettagliatamente nel suddetto articolo del Regolamento e riguardano, tra l'altro, i dati nominativi e di contatto, del Titolare del trattamento e del Responsabile del trattamento, del Responsabile della protezione dei dati , le finalità del Trattamento di dati personali, le categorie dei dati personali trattati e dei soggetti interessati, gli eventuali destinatari a cui i dati personali saranno comunicati ed eventuali trasferimenti degli stessi verso paesi non appartenenti alla UE, la durata del Trattamento di dati personali e i termini per la cancellazione dei dati personali, nonché le misure di sicurezza di carattere organizzativo e tecnico messe in atto per garantire, tra l'altro, la riservatezza, l'integrità, la non divulgazione dei dati personali e l'accesso controllato e rispettoso delle finalità del Trattamento di dati personali.

Nulla vieta a un Titolare del trattamento o un Responsabile del trattamento di inserire ulteriori informazioni qualora lo ritenga opportuno, nell'ottica della complessiva valutazione di impatto dei trattamenti svolti. I Registri vanno aggiornati ogni volta che sia intervenuta una modifica o che si ritenga necessario.

Per approfondimenti sul contenuto dei Registri si possono consultare le FAQ sui Registri dei trattamenti del Garante della protezione dei dati personali.

La scadenza per la predisposizione del Registro delle attività di trattamento tenuto dal Titolare del trattamento e del Registro delle categorie delle attività di trattamento tenuto del Responsabile del trattamento è il 25/5/2018, data di inizio applicazione del Regolamento.

Al di là dell'adempimento formale la tenuta dei Registri dei trattamenti costituisce un elemento fondamentale per la corretta gestione dei dati personali, necessario per disporre di un quadro aggiornato dei trattamenti in essere all'interno dell'Amministrazione ed indispensabile per ogni valutazione e analisi del rischio per i diritti e le libertà delle persone fisiche che il Regolamento tutela.

Data breach

Il Data Breach è una violazione di dati personali, cioè un evento critico di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali conservati, trasmessi o comunque trattati dal Responsabile.

Il GDPR prevede l'obbligo di notificare le violazioni di dati personali al Garante per la protezione dei dati entro 72 ore dal momento in cui se ne è venuti a conoscenza, a meno che sia improbabile che la violazione possa configurare un rischio per i diritti e le libertà degli interessati.

La notifica quindi non deve essere sempre effettuata, ma il titolare è chiamato a valutare la sussistenza di possibili rischi per i diritti e le libertà degli interessati. Ove il titolare del trattamento dovesse ritenere che il rischio sia elevato, ne deve dare informazione "senza giustificato ritardo" anche agli interessati.

L'articolo 34, par. 3, del GDPR, stabilisce che la comunicazione all'interessato non è richiesta in presenza di almeno una delle seguenti condizioni:

  • l'adozione di misure tecniche e organizzative di protezione adeguate, ed applicazione delle stesse ai dati personali oggetto della violazione;
  • la successiva adozione di misure atte a scongiurare il sopraggiungere di un rischio elevato per la tutela dei diritti e le libertà degli interessati;
  • quando la comunicazione agli interessati richiederebbe sforzi non proporzionati. In tal caso gli interessati possono essere informati mediante una comunicazione pubblica o una misura analoga.