Home | Strutture regionali | Presidenza della Regione | Responsabile della protezione dei dati (Data Protection Officer) | FAQ - Domande e risposte sulla Protezione dei dati personali

Dati personali e Trattamenti

Che cosa è un Trattamento di dati personali

Il Regolamento definisce come Trattamento di dati personali "qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione". Quindi è un Trattamento qualunque operazione compiuta sui dati personali di un interessato, quali ad esempio il ricevimento di una istanza, la gestione di tali dati, la firma di un atto o di un decreto contenente dati personali, la gestione di un archivio, l'elaborazione dei dati di un archivio, ecc. Il Trattamento può riguardare, ad esempio, la gestione di contributi o pagamenti che riguardino persone fisiche, la gestione del processo di acquisto di beni o servizi, la gestione del personale, la gestione di archivi riguardanti la salute dei cittadini (inclusi i dati sensibili, sanitari, biometrici, genetici ecc.), la videoregistrazione, la gestione del contenzioso, la gestione di servizi web rivolti al pubblico, la gestione di sistemi di posta elettronica, la memorizzazione di indirizzi IP o indirizzi MAC ecc.

 

Cosa sono i dati personali

Sono qualunque informazione riguardante una persona fisica identificata o identificabile, ad es. il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online, uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Non si possono considerare dati personali le informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato. Il Regolamento non si applica pertanto al trattamento di informazioni anonime, anche per finalità statistiche o di ricerca, né ai dati personali delle persone decedute.

Sono considerati dati personali comuni quelli che consentono di identificare direttamente o indirettamente una persona fisica, tra cui, ad esempio, nome e cognome, indirizzo di casa, indirizzo email, numero identificativo nazionale, numero di passaporto, indirizzo IP, numero di targa del veicolo, numero di patente, identità digitale, data di nascita, luogo di nascita, numero di telefono, nickname.

Invece appartengono a categorie particolari di dati personali quelli che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché i dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica (quali a titolo esemplificativo, un gruppo di fotografie caricate online, oppure negli aeroporti dove l'immagine dell'individuo viene scansionata per identificarlo), dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona (art. 9 del GDPR).

I dati relativi a condanne penali e reati quali quelli che possono rivelare l'esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato, sono considerati dati non comuni (art. 10 del GDPR).



 

Interessato

Chi è l'interessato

Il Regolamento definisce interessato una persona fisica vivente, identificata o identificabile e stabilita nell'Unione Europea. L'identificazione può avvenire direttamente o indirettamente, ad es. con il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online, uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. Online le persone fisiche possono essere identificate tramite dispositivi, applicazioni, strumenti e protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o a identificativi di altro tipo.

 

Quali sono i diritti dell'interessato

I diritti dell'interessato tutelati dal Regolamento sono:

 

Come fa l'interessato ad esercitare i propri diritti

Le modalità per l'esercizio dei diritti sono dettagliatamente disciplinate dall'art. 12 del Regolamento. Di regola l'interessato effettua una richiesta che il Titolare del trattamento riscontra senza ingiustificato ritardo con l'assistenza del Responsabile del trattamento e comunque entro un mese. In presenza di un elevato numero di richieste o di complessità della richiesta il termine può essere prorogato di 2 mesi informando l'interessato



 

Titolare del trattamento

Chi è il Titolare del trattamento dei dati personali

Il Regolamento stabilisce che il Titolare del trattamento è "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del Trattamento di dati personali". Nella Regione Siciliana, a norma dello Statuto, il Presidente e gli Assessori regionali svolgono le funzioni esecutive ed amministrative e pertanto sono da identificarsi come titolari dei trattamenti dei dati personali di loro competenza (v. art. 20 dello Statuto della Regione Siciliana, parere dell'Ufficio Legislativo e Legale n. 132 del 2004 e n. 46 del 2005).

 

Cosa fa il Titolare del trattamento

I principali compiti del Titolare del trattamento sono:

  • - nomina il Responsabile del trattamento o i Responsabili con un atto esplicito e gli fornisce le istruzioni sulle modalità di Trattamento di dati personali (art.28);

    - mantiene il Registro delle attività di trattamento svolte sotto la sua responsabilità (art.30);

    - mette in atto misure tecniche e organizzative per garantire che il Trattamento di dati personali sia conforme al Regolamento (art.24) e che il livello di sicurezza sia adeguato al rischio (art.32);

    - effettua le comunicazioni al Garante sulla violazione di dati personali (art.33) ed informa l'interessato se si presenta il rischio per i diritti e le libertà di quest'ultimo (art.34) ;

    - tiene un registro delle violazioni dei dati (art.33);

  • - garantisce che i trattamenti siano effettuati in modo lecito, corretto e trasparente e siano adeguati alle finalità (art.5);

  • - garantisce che i dati personali siano esatti, aggiornati, conservati per il tempo strettamente necessario e trattati in modo di garantire la loro sicurezza (art.5 e 32);

  • - se il Trattamento di dati personali si basa sul consenso dell'interessato, deve poter dimostrare che quest'ultimo lo ha prestato (art. 7);

  • - adotta misure appropriate per fornire all'interessato una adeguata informativa sui dati trattati (art. 12);

  • - garantisce il diritto d'accesso dell'interessato ai dati personali che lo riguardano (art. 15), lo informa sui suoi diritti (rettifica o cancellazione dei dati personali e limitazione o opposizione al loro trattamento) e assicura il corretto godimento dei suoi diritti (artt.15-22);

  • - se non è stabilito nell'Unione Europea nomina per iscritto un proprio rappresentate nell'UE (art.27);

  • - dispone che sia effettuata la valutazione di impatto sui dati personali (DPIA) se si presenta un rischio per le libertà e i diritti personali (art.35);

  • - designa il Responsabile della protezione dei dati (art.37) e gli fornisce risorse sufficienti per svolgere in modo efficace i suoi compiti (art. 38), per accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica;;

  • - si assicura che il Responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali ed in particolare nei processi di definizione di nuovi trattamenti per contribuire alla protezione dei dati personali sin dalla fase di progettazione e per impostazione predefinita



 

Responsabile del trattamento

Chi è il Responsabile del trattamento

Il Responsabile del trattamento, secondo il Regolamento, è la persona fisica o giuridica, l'amministrazione pubblica o altro organismo che tratta dati personali per conto del Titolare del trattamento. Nella Regione Siciliana i responsabili dei trattamenti vengono di norma individuati nei dirigenti preposti ai dipartimenti, aree e servizi ed unità operative o a posizioni di collaborazione e coordinamento, nonché nei dirigenti preposti agli uffici speciali, agli uffici di diretta collaborazione ed alle dirette dipendenze, in ragione degli incarichi loro conferiti e dei trattamenti effettuati

 

Come viene individuato un Responsabile del trattamento

L'atto con cui il Titolare del trattamento designa un Responsabile del trattamento è l'atto esplicito, quale un contratto o di altro atto giuridico equivalente, con il quale gli attribuisce specifici compiti ai sensi del Regolamento e nel quale vengono disciplinati la natura, durata e finalità dei trattamenti assegnati, le categorie di dati personali oggetto di Trattamento di dati personali, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal Titolare del trattamento e, in via generale, delle disposizioni contenute nel Regolamento

 

Cosa fa il Responsabile del trattamento

I principali compiti del Responsabile del trattamento sono:



 

Responsabile della protezione dei dati

Chi è il Responsabile della Protezione dei dati

Il Responsabile della protezione dei dati (RPD o, in inglese, Data Protection Officer, DPO) è una nuova figura istituita dal Regolamento che viene designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i propri compiti. Svolge le proprie funzioni in autonomia ed indipendenza, senza ricevere istruzioni e in collaborazione diretta con il vertice gerarchico. Con D.P.Reg n. 569 del 12/6/2018 è stato nominato il Responsabile per la protezione di dati dell'Amministrazione regionale in attuazione della delibera della Giunta regionale nella riunione del 23/5/2018.

 

Cosa fa il Responsabile della protezione dei dati

I compiti del Responsabile della protezione dei dati sono:

  • - informa e fornisce consulenza al Titolare del trattamento, al Responsabile del trattamento ed ai dipendenti che trattano i dati personali (art. 39);

    - sorvegliare l'osservanza del Regolamento e le politiche del Titolare del trattamento e del Responsabile del trattamento in materia di trattamenti (art. 39);

    - fornisce pareri sulle valutazioni di impatto di cui all'art. 35 del Regolamento (art. 39);

  • - coopera con il Garante della protezione dei dati personali nell'esecuzione dei suoi compiti (artt.31 e 39)

  • - funge da punto di contatto con il Garante della protezione dei dati personali per facilitarne l'accesso ai documenti ed alle informazioni necessarie (art. 39);

  • - mantiene il segreto e la riservatezza nell'adempimento dei propri compiti (art. 38)

 



 

sub-Responsabile del trattamento

Chi è il sub-Responsabile

Il Responsabile del trattamento può ricorrere a un altro responsabile del trattamento, o sub-Responsabile, per l'esecuzione di alcune o tutte le attività di Trattamento di dati personali per conto del Titolare del trattamento, mediante un contratto o un altro atto giuridico con il quale vengono imposti al sub-Responsabile gli stessi obblighi in materia di protezione dei dati personali che sono stati imposti al Responsabile del trattamento da parte del Titolare del trattamento; resta fermo che in caso di omissione dell'adempimento degli obblighi suddetti da parte del sub-Responsabile, il Responsabile del trattamento iniziale conserva nei confronti del Titolare del trattamento l'intera responsabilità dell'adempimento degli obblighi del sub-Responsabile.

Nel caso in cui il sub-Responsabile sia incaricato dell'esecuzione solo di alcune specifiche attività di carattere tecnico (ad es. attività informatiche, centri di contatto con il pubblico, call center, ecc.) assume la denominazione di sub-Responsabile tecnico.

 

Cosa fa il sub-Responsabile

I principali compiti del sub-Responsabile del trattamento sono:



 

Soggetto autorizzato al trattamento dati

Il soggetto (o i soggetti) autorizzato al trattamento di dati (ex incaricato) viene individuato dal Responsabile del trattamento o da sub-Responsabile del trattamento all'interno della propria struttura e tratta i dati personali secondo le decisioni e le istruzioni ricevute dal Responsabile del trattamento e dal sub-Responsabile del trattamento.



 

Registri

Cosa sono i Registri dei trattamenti

Tra i nuovi adempimenti del Regolamento vi è anche l'istituzione e la tenuta del Registro delle attività di trattamento a cura del Titolare del trattamento (art. 30 co.1) e del Registro delle categorie delle attività dei trattamento a cura del Responsabile del trattamento (art. 30 co. 2) in forma scritta, anche elettronica, da mettere a disposizione del Garante della Privacy su richiesta. I Registri, quindi, sono almeno due, uno tenuto dal Titolare del trattamento e uno da ciascun Responsabile del trattamento, ma redatti ed aggiornati in sinergia. I contenuti dei Registri sono descritti dettagliatamente nel suddetto articolo del Regolamento e riguardano, tra l'altro, i dati nominativi e di contatto, del Titolare del trattamento e del Responsabile del trattamento, del Responsabile della protezione dei dati , le finalità del Trattamento di dati personali, le categorie dei dati personali trattati e dei soggetti interessati, gli eventuali destinatari a cui i dati personali saranno comunicati ed eventuali trasferimenti degli stessi verso paesi non appartenenti alla UE, la durata del Trattamento di dati personali e i termini per la cancellazione dei dati personali, nonché le misure di sicurezza di carattere organizzativo e tecnico messe in atto per garantire, tra l'altro, la riservatezza, l'integrità, la non divulgazione dei dati personali e l'accesso controllato e rispettoso delle finalità del Trattamento di dati personali. Nulla vieta a un Titolare del trattamento o un Responsabile del trattamento di inserire ulteriori informazioni qualora lo ritenga opportuno, nell'ottica della complessiva valutazione di impatto dei trattamenti svolti. I Registri vanno aggiornati ogni volta che sia intervenuta una modifica o che si ritenga necessario.

Per approfondimenti sul contenuto dei Registri si possono consultare le FAQ sui Registri dei trattamenti del Garante della protezione dei dati personali

 

Qual'è la scadenza per la compilazione dei Registri dei trattamenti

La scadenza per la predisposizione del Registro delle attività di trattamento tenuto dal Titolare del trattamento e del Registro delle categorie delle attività di trattamento tenuto del Responsabile del trattamento è il 25/5/2018, data di inizio applicazione del Regolamento.

Al di là dell'adempimento formale la tenuta dei Registri dei trattamenti costituisce un elemento fondamentale per la corretta gestione dei dati personali, necessario per disporre di un quadro aggiornato dei trattamenti in essere all'interno dell'Amministrazione ed indispensabile per ogni valutazione e analisi del rischio per i diritti e le libertà delle persone fisiche che il Regolamento tutela.



 

Data Breach

Che cosa è il Data Breach

Il Data Breach è una violazione di dati personali, cioè un evento critico di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali conservati, trasmessi o comunque trattati dal Responsabile.

 

Quando effettuare la notifica di un Data Breach

Il GDPR prevede l'obbligo di notificare le violazioni di dati personali al Garante per la protezione dei dati entro 72 ore dal momento in cui se ne è venuti a conoscenza, a meno che sia improbabile che la violazione possa configurare un rischio per i diritti e le libertà degli interessati.

La notifica quindi non deve essere sempre effettuata, ma il titolare è chiamato a valutare la sussistenza di possibili rischi per i diritti e le libertà degli interessati. Ove il titolare del trattamento dovesse ritenere che il rischio sia elevato, ne deve dare informazione "senza giustificato ritardo" anche agli interessati.

L'art. 34, par. 3, del GDPR, stabilisce che la comunicazione all'interessato non è richiesta in presenza di almeno una delle seguenti condizioni:

  • - l'adozione di misure tecniche e organizzative di protezione adeguate, ed applicazione delle stesse ai dati personali oggetto della violazione;
  • - la successiva adozione di misure atte a scongiurare il sopraggiungere di un rischio elevato per la tutela dei diritti e le libertà degli interessati;
  • - quando la comunicazione agli interessati richiederebbe sforzi non proporzionati. In tal caso gli interessati possono essere informati mediante una comunicazione pubblica o una misura analoga

 



Referente privacy

Chi è il Referente privacy

Il Referente privacy è la figura che supporta il Responsabile del trattamento nell'applicazione uniforme delle disposizioni in tema di trattamento dei dati personali, nel coordinamento dell'attuazione delle politiche di protezione dei dati e lo coadiuva nell'esecuzione dei principali compiti previsti dal GDPR.
Inoltre il Referente privacy supporta il Responsabile nel fornire assistenza al Titolare e nel garantire appropriato e celere riscontro alle richieste del Responsabile della protezione dei dati o del Garante della protezione dei dati.
Nelle strutture di massima dimensione, negli Uffici di Gabinetto del Presidente e degli Assessori, negli Uffici speciali, il dirigente apicale nomina un proprio Referente privacy.
La figura del Referente privacy non è prevista dal Regolamento, anche se l'art. 2 - quaterdecies, C.1 del D.Lgs.196/2003, modificato dal D.Lgs.101/2018, stabilisce che il Titolare e il Responsabile possano affidare, sotto la propria autorità, specifici compiti e funzioni a figure espressamente designate.
Il Referente privacy è un dipendente dell'Amministrazione che deve essere dotato di riconosciuta ed elevata competenza in materia di protezione dei dati; nel caso di strutture di massima dimensione è incardinato in posizione di Staff.
I Referenti privacy sono coordinati dal dipartimento regionale della Funzione Pubblica e del Personale competente in materia di privacy.