Telefono: 0124/454611 - Fax 0124/29102 - E-Mail generica: comune@rivarolocanavese.it - PEC: rivarolocanavese@pec.it - Consulta tutti gli indirizzo PEC del Comune

PROTEZIONE DEI DATI PERSONALI

La Città di Rivarolo Canavese tratta i dati personali nel pieno rispetto del Regolamento UE 2016/679 e della normativa nazionale di protezione, al solo scopo e per il solo tempo necessari al perseguimento delle proprie finalità istituzionali.

Maggiori e dettagliate informazioni possono essere reperite sul sito web istituzionale, alla pagina raggiungibile all'indirizzo: https://privacy.nelcomune.it/rivarolocanavese.it

Clicca qui per scaricare l'Atto di designazione del Responsabile della protezione dei dati personali

Alcuni cenni sul GDPR

Il Regolamento Europeo UE 2016/679 (noto anche come “GDPR – General Data Protection Regulation”) ha ad oggetto la “tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati” (art. 1, par. 1) e disciplina – senza necessità di recepimento – i trattamenti di dati personali, sia nel settore privato che nel settore pubblico.

Il Regolamento è destinato ad abrogare la Direttiva 95/46 che ha portato l’Italia all’adozione del Codice Privacy (D. Lgs. n. 196/2003), norme adottate in un contesto tecnologico completamente diverso, prima che internet, social media, cloud e servizi in rete cambiassero definitivamente il nostro modo di vivere e lavorare. Le nuove norme, tra le altre cose, mirano proprio ad adeguare il livello di protezione dei dati all’evoluzione degli strumenti utilizzati in un’amministrazione che voglia dirsi digitale. Il Regolamento è già in vigore e definitivamente applicabile in tutto il territorio UE a partire dal 25 maggio 2018.

Le novità del regolamento sono diverse e di seguito, senza alcuna pretesa di esaustività, saranno elencate le principali.

1) Fondamenti di liceità del trattamento
Il regolamento conferma che ogni trattamento deve trovare fondamento in un’idonea base giuridica; i fondamenti di liceità del trattamento sono indicati all’art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice privacy - d.lgs. 196/2003 (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati).

2) Informativa
I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del regolamento e in parte sono più ampi rispetto al Codice. In particolare, il titolare deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati - Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.). Il regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo. Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.

3) Accountability
Il regolamento pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento. Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento. Il primo fra tali criteri è sintetizzato dall’espressione inglese “data protection by default and by design”, ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, secondo quanto afferma l’art. 25, paragrafo 1 del regolamento) e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili. Fondamentali fra tali attività sono quelle connesse al secondo criterio individuato nel regolamento rispetto alla gestione degli obblighi dei titolari, ossia il rischio inerente al trattamento. Dunque, l’intervento delle autorità di controllo sarà principalmente “ex post”, ossia si collocherà successivamente alle determinazioni assunte autonomamente dal titolare.

4) Misure di sicurezza
Le misure di sicurezza devono “garantire un livello di sicurezza adeguato al rischio” del trattamento (art. 32, paragrafo 1); in questo senso, la lista di cui al paragrafo 1 dell’art. 32 è una lista aperta e non esaustiva (“tra le altre, se del caso”). Per lo stesso motivo, non possono sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza (ex art. 33 Codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati come da art. 32 del regolamento.

5) Notifica delle violazioni di dati personali
A partire dal 25 maggio 2018, tutti i titolari – e non soltanto i fornitori di servizi di comunicazione elettronica accessibili al pubblico, come avviene oggi – devono notificare all’Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati

6) Responsabile della protezione dei dati
Anche la designazione di un “responsabile della protezione dati” (RPD, ovvero DPO se si utilizza l’acronimo inglese: Data Protection Officer) riflette l’approccio responsabilizzante che è proprio del regolamento, essendo finalizzata a facilitare l’attuazione del regolamento da parte del titolare/responsabile. Non è un caso, infatti, che fra i compiti del RPD rientrino “la sensibilizzazione e la formazione del personale” e la sorveglianza sullo svolgimento della valutazione di impatto di cui all’art. 35. La sua designazione è obbligatoria in alcuni casi (ad esempio per i soggetti pubblici), e il regolamento tratteggia le caratteristiche soggettive e oggettive di questa figura (indipendenza, autorevolezza, competenze manageriali).