FAQ sulla protezione dei dati personali

Dove si trovano le regole sulla protezione dei dati personali?

La disciplina in materia di protezione dei dati personali è particolarmente complessa in quanto presenta una vasta produzione normativa Europea e Nazionale con effetti concreti in tutti i settori in cui vi è trattamento di dati.

Le principali fonti normative sono:

Il Regolamento (UE) 679/2016 (“GDPR”), entrato in vigore il giorno 25 maggio 2018 prevede regole immediatamente e direttamente applicabili per tutti i soggetti coinvolti nella gestione dei dati personali
D. lgs. 196/2003 come modificato dal D.lgs. n. 101/2018 (“Codice della privacy”)

Per quanto concerne l’Ateneo, i principali riferimenti in tema di protezione dei dati personali sono i seguenti:

con DR del 6 aprile 2021, n. 281 l’Ateneo ha implementato una struttura organizzativa individuando diverse figure (organi, uffici e personale) e le rispettive funzioni svolte nel trattamento di dati personali;
con il DR del 30 settembre 2021, n. 981 sono stati indicati gli specifici adempimenti in capo a ciascuna figura (Preposti, quali responsabili di struttura; Preposti, quali responsabili scientifici; Referenti privacy) nonché fornite le istruzioni rivolte a tutti gli autorizzati;
con ulteriori e diversi documenti (linee guida, policy, articoli in Service Desk…) anche disponibili nelle pagine interne del portale di Ateneo, per i diversi servizi in essere ha dato indicazioni e regole di comportamento.

Cos’è un dato personale?

Il “dato personale” è qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. All’estremo opposto del dato personale si trova il “dato anonimo”, il quale non consente in alcun modo l’identificazione della persona e non rientra nell’ambito di applicazione della normativa privacy.

Vi sono poi, i dati de-identificati (o pseudonimizzati), ovvero dati personali che non permettono di identificare immediatamente un individuo, ma che, se associati ad altre informazioni, possono permettere di risalire all’identità del soggetto. I dati de-identificati costituiscono dati personali e sono, pertanto, soggetti alla normativa privacy.

Se la nozione di persona “identificata” è facilmente comprensibile, va precisato che “identificabile” è quella che può essere individuata direttamente (es. nome) o indirettamente (es. indirizzo, ruolo ricoperto), anche attraverso uno o più elementi specifici dell’identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Esempi di dati personali:

dati anagrafici (ad. es. nome, cognome, genere, età, data di nascita);
dati di contatto (ad. es. indirizzo e-mail, numero di telefono, Skype Id);
documenti di identità e numeri identificativi (ad. es. codice fiscale, numero di targa);
CV e relative esperienze professionali e accademiche;
voce registrata, non alterata, da cui è possibile identificare una persona;
immagini da cui è possibile identificare una persona (ad. es. fotografie, riprese video).

Chi è l’Interessato?

L’Interessato è la persona fisica a cui i dati personali si riferiscono.

Sono Interessati le persone fisiche, non le persone giuridiche.

Cosa si intende per dati sensibili (o categorie particolari di dati personali) e per dati relativi a condanne penali e reati?

Con l’espressione “dati sensibili” vengono comunemente intesi i dati personali idonei a rivelare l’origine razziale ed etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi ad identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

In pratica, si tratta di dati che toccano la sfera più intima della persona e, di conseguenza, devono essere raccolti predisponendo particolari cautele e solo in presenza di reali necessità e condizioni particolari che ne permettano il legittimo trattamento. La terminologia adoperata di “dato sensibile”, un tempo contenuta nel “Codice della Privacy”, risulta oggi sostituita da quella di “categorie particolari di dati personali” introdotta dal GDPR.

Infine, soggetti a particolari cautele, sono anche i dati personali relativi a condanne penali e reati.

Esempi di categorie particolari di dati personali:

dati che rivelino l’origine razziale o etnica (ad es. indicazione nella compilazione di un modulo del gruppo etnico di appartenenza o del colore della pelle);
dati che rivelino opinioni politiche (ad es. elenco degli iscritti ad un partito politico);
dati che rivelino le convinzioni religiose o filosofiche (ad es. indicazione nella compilazione di un modulo della preferenza per alimenti koscher o halal);
dati che rivelino l’appartenenza sindacale (ad es. elenco degli iscritti ad un sindacato);
dati genetici (ad es. esito di un esame genetico);
dati biometrici (ad es. impronta digitale);
dati relativi alla salute (ad. es. indicazione nella compilazione di un modulo della presenza di una disabilità).
dati relativi alla vita sessuale o all’orientamento sessuale (ad es. indicazione in un modulo di appartenenza alla comunità LGBT).
dati relativi a condanne penali e reati (ad. es. dati contenuti nel casellario giudiziale).

Cosa si intende per Titolare del trattamento dei dati personali?

Il titolare del trattamento è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

Cosa si intende per Responsabile del trattamento?

Il Responsabile del trattamento: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Sono per esempio Responsabili del trattamento i fornitori di servizi cloud, di servizi informatici e di archiviazione.

Quali sono le regole alla base del trattamento dei dati personali che il Titolare deve rispettare?

Il Titolare trattamento dei dati personali deve rispettare i seguenti principi:

deve essere lecito, giusto e trasparente (liceità, equità, trasparenza);
deve essere vincolato a finalità specifiche (limitazione delle finalità);
i dati personali trattati dovrebbero essere adeguati, pertinenti e limitati a quanto necessario (minimizzazione dei dati);
i dati personali devono essere esatti (esattezza);
i dati personali non devono essere conservati più a lungo del necessario (limitazione della conservazione);
i dati personali devono rimanere ben protetti e riservati (integrità e riservatezza).

Il Titolare del Trattamento è responsabile della conformità a questi principi delle operazioni di trattamento dati da lui operate e dovrebbe essere in grado di dimostrare tale conformità (principio di accountability).

Quali sono i doveri del Titolare del trattamento?

Il Titolare del trattamento dei dati personali deve:

documentare le loro operazioni di trattamento con la tenuta del Registro attività di trattamento (art. 30 GDPR);
effettuare, se necessario, una valutazione d'impatto sulla protezione dei dati (DPIA) prima delle operazioni che comportano un rischio elevato per i diritti e le libertà delle persone interessate;
in determinate circostanze, consultare il Garante per la protezione dei dati personali prima di iniziare attività di trattamento ad alto rischio;
nella progettazione delle operazioni di trattamento, tenere presenti i principi di privacy by design e privacy by default;
adottare adeguate misure di sicurezza per proteggere i dati personali;
in caso di violazione di dati personali informare, se necessario, il Garante per la protezione dei dati personali e, in determinate circostanze, le persone interessate;
concludere accordi/contratti solo con i Responsabili del trattamento che forniscono garanzie adeguate di sicurezza e riservatezza;
concludere accordi con altri titolari in caso di contitolarità per disciplinare i rispettivi obblighi e doveri;
trasferire dati personali, verso altri paesi dell'UE, verso paesi non appartenenti all'UE o organizzazioni internazionali solo se sono rispettate le condizioni del GDPR;
cooperare con il Garante per la protezione dei dati personali.

Infine, il Titolare del trattamento deve fornire alle persone interessate informazioni chiare e accessibili sul trattamento, rispettare e garantire i diritti delle persone interessate.

Quali sono i diritti dell’interessato?

Il GDPR ha ampliato i diritti riconosciuti all'interessato con riferimento ai dati che lo riguardano, rendendoli maggiormente incisivi in una realtà permeata sempre più dal ricorso alle nuove tecnologie e all'utilizzo della rete.

In particolare, vengono riconosciuti all’interessato i seguenti diritti:

diritto di accesso: diritto di ottenere dal Titolare conferma che sia in atto o meno un trattamento di dati personali che lo riguardano e ottenere l’accesso a tali dati;
diritto di rettifica: diritto di richiedere la rettifica dei dati personali inesatti o l’integrazione dei dati incompleti, anche fornendo una dichiarazione integrativa;
diritto alla cancellazione (c.d. diritto all’oblio): diritto di ottenere la cancellazione dei dati personali che lo riguardano in presenza di specifici motivi, salvi eventuali obblighi di legge;
diritto di limitazione: diritto di chiedere ed ottenere il blocco o la limitazione dei dati trattati in violazione di legge e quelli dei quali non è più necessaria la conservazione in relazione agli scopi del trattamento;
diritto alla portabilità: diritto di ricevere i dati personali forniti, in un formato strutturato, di uso comune e leggibile da dispositivo automatico e di trasmetterli ad un altro Titolare dei dati;
diritto di opposizione: diritto di opporsi in tutto o in parte al trattamento dei dati che lo riguardano;
diritto di non essere sottoposto a trattamenti automatizzati: diritto di non essere sottoposto a decisioni basate unicamente su trattamenti automatizzati, compresa la profilazione, che producano effetti giuridici che lo riguardano.

Resta salva la facoltà di proporre reclamo all’Autorità Garante per la protezione dei dati personali o di far valere direttamente le proprie ragioni nelle sedi giudiziarie, secondo quanto previsto dal GDPR.

L’interessato ha inoltre il diritto di ricevere l’informativa relativa al trattamento dei propri dati personali nonché il diritto di revocare il proprio consenso in qualsiasi momento, con la stessa facilità con cui lo ha prestato.

I dati personali verranno trasferiti in Paesi extra UE?

Nell’ambito dei compiti istituzionali dell’Ateneo, i dati personali potranno essere oggetto di trasferimento in Paesi extra UE, ad esempio verso università, istituti di ricerca, soggetti pubblici e privati nell’ambito di programmi di mobilità internazionale, tirocinio, progetti di ricerca e altre attività che debbano essere svolte al di fuori del territorio dell’Unione Europea.

Tale trasferimento sarà effettuato nei limiti e alle condizioni di cui agli artt. 44 e ss. del GDPR, es. in presenza di una decisione di adeguatezza della Commissione europea o di garanzie adeguate tra le quali le clausole tipo di protezione dei dati adottate dalla Commissione europea.

Per il personale di UniTrento maggiori informazioni sono disponibili su Service Desk UniTrento e Infoservizi.

A cosa serve l’informativa sul trattamento dei dati personali?

La normativa in tema di protezione dei dati personali prevede che il Titolare del trattamento fornisca all’interessato una spiegazione chiara, semplice e specifica sui vari aspetti del trattamento così da spiegare all’interessato come i propri dati personali saranno trattati e rendere effettivo il diritto alla protezione degli stessi.

Vengono in questo modo rese note tutte le informazioni che possono, in generale, garantire un sicuro ed efficace trattamento dei dati personali e senz’altro agevolare l’esercizio dei poteri di controllo spettanti alla persona dei cui dati si sta parlando: per questo motivo, è necessario dotare l’informativa non solo del contenuto minimo previsto dalla legge, ma anche di adattare il contenuto dell’informativa così che riporti in concreto informazioni circa le operazioni su dati personali compiute, tenendo a mente il canone generale di trasparenza da seguire.

Con quali modalità deve essere fornita l’informativa?

L’informativa riguardante il trattamento dei dati personali viene solitamente resa per iscritto o utilizzando mezzi informatici e digitali (anche in combinazione con icone standardizzate, per dare, in modo facilmente visibile e chiaramente leggibile, un quadro d'insieme). Naturalmente, l’informativa è gratuita e non comporta alcun onere o esborso a carico dell’interessato.

Quanto al momento in cui l’informativa deve essere fornita, occorre distinguere:

se i dati siano raccolti presso l’interessato, deve essere resa prima della raccolta dei dati;
quando i dati sono ottenuti da un soggetto diverso dall’interessato, l’informativa deve essere fornita a quest’ultimo – sempre se è possibile rintracciarlo e ciò non risulta particolarmente difficile o eccessivo, come potrebbe essere, ad esempio, per una ricerca che coinvolga un numero elevatissimo di persone – entro un termine ragionevole dall'ottenimento dei dati, al più tardi entro un mese o comunque, nel caso in cui i dati personali permettano proprio di prendere contatto con l'interessato, nella prima comunicazione.