FAQ – Frequently Asked Questions ovvero domande poste frequentemente.

48° CONVEGNO NAZIONALE DI STUDIO DEGLI ECONOMI GENERALI E PROVINCIALI CNEC

Documento elaborato a cura del Dott. Massimo SCARPETTA

Premessa

Le risposte fornite ai quesiti posti in occasione del 48^ Convegno Nazionale di Studio degli Economi Generali e Provinciali hanno carattere generale. Per l’applicazione delle misure specifiche, occorre, di volta in volta analizzare nella sua “interezza e nello specifico” il contesto di riferimento. Sono stati presi in considerazione tutti i quesiti posti così “come sono stati posti e scritti” senza modificarne la formulazione. Apparentemente alcuni sembrerebbero ripetitivi in quanto afferenti allo stesso ambito operativo e/o di richiesta, in realtà, fanno riferimento a situazioni specifiche differenti ed il fatto che le domande siano state poste in modo differente, aiuta il lettore a inquadrare meglio l’operatività specifica.

Nella predisposizione del presente documento sono stati utilizzati le seguenti sigle/acronimi:

SIGLA/ACRONIMI

SIGNIFICATO

GDPR

General data protection regulation ovvero Regolamento Europeo 2016/679

DPO

Data Protection Officer o Responsabile Protezione dei dati

UE

Unione Europea

DSA

Disturbi Specifici di Apprendimento

INAIL

Istituto Nazionale per l’assicurazione contro gli infortuni sul lavoro

INPS

Istituto Nazionale Previdenza Sociale

HIV

Human Immunodeficiency Virus

WP ART. 29

Articolo 29 Working Party – E’ un organismo consultivo e indipendente, istituito dall’art. 29 della direttiva 95/46 del Parlamento Europeo e del Consiglio relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati. Il gruppo è composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno Stato Membro, dal Garante Europeo della protezione dei dati nonché da un rappresentante della Commissione.

ODV

Organismo di Vigilanza

RSA

Residenza Sanitaria Assistita

D.P.R

Decreto Presidente della Repubblica

D.Lgs

Decreto Legislativo

 

#

QUESITO

RISPOSTA

1

Se tra i miei dipendenti vi è un ammalato di HIV, i suoi colleghi devono essere informati o la notizia deve rimanere riservata?

Premesso che il titolare del trattamento / datore di lavoro non dovrebbe essere a conoscenza che il dipendente sia affetto da HIV, in quanto dovrà ricevere da parte del medico competente solo l’idoneità alla mansione, l’informazione circa la malattia di un dipendente è un dato particolare “sensibile” che può causare discriminazioni e necessità di particolari precauzioni di riserbo.

Peraltro il test è previsto solo per le categorie di lavoratori impegnati in “attività che comportano rischi per la salute di terzi” (o della collettività generale). Essi si giustificano, quindi, nell’ambito delle misure indispensabili per assicurare questa tutela e trovano un limite non valicabile nel rispetto della dignità della persona che vi può essere sottoposta. In quest’ambito il rispetto della persona esige l’efficace protezione della riservatezza, necessaria anche per contrastare il rischio di emarginazione nella vita lavorativa e di relazione.

2

Se le norme sulla protezione dei dati valgono anche per Comunità Religiosa che nel diritto proprio degli istituti religiosi è equiparata a una famiglia, agli effetti civili i membri della comunità, come persone fisiche, sono considerati terzi? Es. le segreterie di istituto con l’anagrafica delle suore o le Cartelle sanitarie delle suore anziane o ammalate.

Essendo la Congregazione un Ente Giuridico deve garantire la protezione dei dati dei propri membri (persone fisiche) in particolar modo se si tratta di dati particolari (sanitari). In ogni caso le Comunità Religiose sono considerate “convivenze religiose” – insieme di persone che, senza essere legate da vincoli di matrimonio, parentela, affinità e simili, conducono vita in comune per motivi religiosi, di cura, di assistenza e simili. Quindi bisogna adottare una protezione dei dati in linea con la normativa europea.

3

Le cartelle cliniche delle Istituzioni religiose dove le suore sono ammesse per cure e degenza rientrano nel regolamento privacy?

La domanda pone un quesito di applicabilità del regolamento. Il regolamento si applica nell’ambito delle attività effettuate da un ente da parte del titolare del trattamento o di un responsabile del trattamento. Dunque, nel caso della “convivenza religiosa” relativamente alla domanda posta, la risposta al quesito è affermativa.

4

Come gestire i dati personali dei membri delle Congregazioni Religiose custoditi negli archivi della propria Congregazione, esempio archivio generale della Casa Generalizia?

La Congregazione Religiosa essendo riconosciuta come Ente Giuridico deve garantire la protezione dei dati dei propri membri custoditi negli archivi in linea con la normativa europea e con le disposizioni impartite dalla Conferenza Episcopale Italiana attraverso Decreto Generale “Disposizioni per la tutela del diritto alla buona fama e alla riservatezza”. E’ tenuta quindi ad adottare le giuste misure di sicurezza tecniche ed organizzative.

5

Come fare l’invio della rivista dell’istituto religioso?

Nel momento in cui è possibile risalire alla natura del mittente e questa ne indentifichi il credo religioso, la confessione religiosa, allora siamo nel campo dei dati sensibili. In questo caso, tenuto conto anche che il ricevente potrebbe non gradire che venga reso noto a tutti il suo credo religioso, è bene assicurare una misura di sicurezza che eviti l’identificativo del mittente.

6

Spediamo lettere chiuse ai benefattori di conferma ricezione offerta: il mittente rivela il carattere del nostro istituto religioso, come ci comportiamo?

È una situazione simile (con le dovute proporzioni) all’invio di Pubblicazioni Postulatori. Nel momento in cui è possibile risalire alla natura del mittente e questa ne indentifichi il credo religioso, la confessione religiosa, allora siamo nel campo dei dati sensibili. In questo caso, tenuto conto che il benefattore potrebbe non gradire la pubblicità della donazione, è bene assicurare una misura di sicurezza (come per le riviste e/o pubblicazioni) che potrebbe essere una busta bianca in cui c’è solo il destinatario all’esterno oppure un rivestimento oscurato.

7

È chiaro che questa legge va applicata per tutte le attività fiscali. Per la gestione di attività tipo associazioni, volontari, utenti della pastorale come familiare e giovanile, va applicata la legge?

In base all’art. 2 del Regolamento UE 2016/679, il regolamento si applica a qualsiasi trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurativi.

Non si applica ai trattamenti di dati personali: a) effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione; b) effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, TUE; c) effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico; d) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.

È applicabile perciò anche al trattamento di dati personali da parte di associazioni e similari.

8

Il regolamento vale anche per i dati personali del censimento di una parrocchia?

In base all’art. 2 del Regolamento UE 2016/679, il regolamento si applica a qualsiasi trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurativi.

Non si applica ai trattamenti di dati personali: a) effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione; b) effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, TUE; c) effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico; d) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.

È applicabile perciò anche al trattamento di dati personali da parte di una parrocchia tenendo conto delle recenti disposizioni adottate dalla Conferenza Episcopale Italiana nella 71ª Assemblea Generale svoltasi a Roma dal 21 al 24 maggio ultimo scorso per approvare un aggiornamento del Decreto Generale “Disposizioni per la tutela del diritto alla buona fama e alla riservatezza”, risalente al 1999 finalizzato a “garantire che il trattamento dei dati diretto ai fedeli, agli enti ecclesiastici, alle aggregazioni ecclesiali, nonché alle persone che entrano in contatto con i medesimi soggetti, sia svolto nel pieno rispetto della persona alla buona fama e alla riservatezza riconosciuta dal can. 220 del codice di diritto canonico (CIC) e dal can. 23 del codice dei canoni delle Chiese orientali (CCEO ).

9

Come si deve spedire una rivista (il cellophane non andrebbe più bene)?

Potrebbe essere una busta bianca in cui c’è solo il destinatario all’esterno oppure un rivestimento oscurato.

10

Un membro dell’ODV ai sensi del Dlgs 231 può svolgere anche la funzione di DPO?

Ad oggi non esistono interpretazioni normative emesse dal Garante, cautelativamente ed a titolo personale ritengo che possa sussistere una incompatibilità in quanto entrambe le figure sono in conflitto di interessi (il controllore, membro ODV, controlla sé stesso, DPO) e dunque viene meno il requisito dell’indipendenza e potrebbero sorgere il conflitto d’interessi. Stesso discorso, a mio avviso, vale per l’Economa Generale che assume l’incarico di DPO.

11

Il DPO può essere più di uno per l’Istituto religioso?

Il DPO può essere uno per ogni attività soggetta od uno unico (fortemente consigliato) per tutto l’Istituto e/o l’Ente a condizione che questo sia facilmente raggiungibile da ciascuna delle strutture gestite dall’istituto stesso. Il concetto di raggiungibilità si riferisce ai compiti del DPO in quanto punto di contatto per gli interessati, l’autorità di controllo ed i soggetti interni all’organismo o all’ente.

12

Cosa si intende per “Larga scala?” una scuola di 700-900 alunni ha l’obbligo del DPO o no?

Il regolamento non definisce come si intende un trattamento “su larga scala”. La guida WP 243 emessa dal gruppo di lavoro articolo 29 per la protezione dei dati raccomanda di tenere conto dei seguenti fattori al fine di stabilire se un trattamento sia effettuato su larga scala:

  • il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
  • il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
  • la durata, ovvero la persistenza, dell’attività di trattamento;
  • la portata geografica dell’attività di trattamento

13

Il DPO nel caso sia obbligatorio si può nominare successivamente al 25 maggio?

Si è possibile nominarlo anche dopo il 25 maggio, ma si deve tener conto che l’inadempimento potrebbe essere sanzionato. Non si conoscono oggi le decisioni del Garante in tal senso.

14

Il DPO è il responsabile che opera sui dati? Deve essere necessariamente esterno a contratto?

Il DPO è il Responsabile della protezione dei dati, una figura definita agli articoli 37-38-39 del Regolamento Europeo 679/2016. È una funzione di informazione, consulenza, sorveglianza e di collegamento con il Garante e con gli interessati. Può essere sia interno all’Ente, sia esterno con un contratto di servizi, a patto che operi in maniera indipendente ossia che se svolge altri compiti e funzioni non devono dare luogo a conflitto d’interesse, devono essergli fornite le risorse necessarie per assolvere ai suoi compiti e deve avere la possibilità di accedere ai dati ed ai trattamenti. Non deve ricevere alcuna istruzione per l’esecuzione dei propri compiti e deve riferire direttamente ai vertici gerarchici.

15

Un Ente che ha più scuole con dimensioni che vanno da unica sezione di 10 alunni a quella con dimensioni importanti (unica partita iva): il DPO, se obbligatorio, deve ricevere l’incarico anche per le realtà più piccole o queste, soprattutto se dislocate in regioni diverse possono farne a meno?

Nel caso di un Ente che gestisca più realtà (grandi e piccole che siano) DPO può essere uno solo con un unico incarico in modo da seguire tutte le strutture, a condizione che egli sia facilmente raggiungibile da ciascuna sede.

16

Responsabile trattamento e DPO possono essere dipendenti? Quale formazione? In che misura rispondono a livello amministrativo e penale?

Il Regolamento UE non fa riferimento espressamente a Responsabili interni (quindi dipendenti) ma definisce Responsabile del Trattamento la persona fisica o giuridica (Società, Ente, cooperativa,ecc), l’autorità pubblica, il servizio o altro organismo che tratta dati per conto del titolare. Entrano in questa definizione perciò figure esterne. Si possono comunque nominare dei referenti interni a cui assegnare particolari compiti come l’individuazione delle modalità di verifica e di controllo sui trattamenti dei dati.

Il DPO è il Responsabile della protezione dei dati, una figura definita agli articoli 37-38-39 del Regolamento Europeo 679/2016. È una funzione di informazione, consulenza, sorveglianza e di collegamento con il Garante e con gli interessati. Può essere sia interno all’Ente, sia esterno con un contratto di servizi, a patto che operi in maniera indipendente ossia che se svolge altri compiti e funzioni non devono dare adito a conflitto d’interesse, devono essergli fornite le risorse necessarie per assolvere ai suoi compiti e deve avere la possibilità di accedere ai dati ed ai trattamenti. Non deve ricevere alcuna istruzione per l’esecuzione dei propri compiti e deve riferire direttamente ai vertici gerarchici.

Deve avere conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, con dettaglio alla tipologia di trattamenti effettuati dall’ente e conoscenze dello specifico settore di attività dell’Ente.

Fra le competenze e conoscenze specialistiche necessarie rientrano anche la familiarità con tecnologie informatiche e misure di sicurezza dei dati e la capacità di promuovere una cultura della protezione dati all’interno dell’organizzazione del titolare/del responsabile.

Il DPO non è responsabile personalmente in caso di inosservanza degli obblighi in materia di protezione dei dati. Spetta al titolare o al responsabile (esterno) del trattamento garantire ed essere in grado di dimostrare che il trattamento è conforme al Regolamento.

17

Se l’Istituto ha filiali in città diverse, deve esserci un DPO per ogni filiale?

Se ho casa per ferie e scuola, devo avere un registro per la casa per ferie e uno per la scuola? E nei confronti dei fornitori?

Va considerato caso per caso. In linea di massima è consentito avere un unico DPO per ogni Istituto anche se dislocato in diverse città italiane, facilmente raggiungibile da ciascuna di esse.

È raccomandato detenere differenti Registri dei trattamenti per ogni diversa tipologia di attività svolta dalle strutture. Il fornitore, in quanto Responsabile Esterno del Trattamento, può chiedere a al titolare copia del Registro dei Trattamenti limitatamente alle attività e trattamenti eseguiti per suo conto

18

Chi deve fare questo DPO? Potrebbe dire che significa DPO? Qualche specialista oppure qualcuno che lavora con i dati? Si deve nominare nella Casa per Ferie

Il DPO (Data Protection Officer) è il Responsabile della protezione dei dati, una figura definita agli articoli 37-38-39 del Regolamento Europeo 679/2016. È una funzione di informazione, consulenza, sorveglianza e di collegamento con il Garante e con gli interessati. Non deve ricevere alcuna istruzione per l’esecuzione dei propri compiti e deve riferire direttamente ai vertici gerarchici. Deve avere conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, con dettaglio alla tipologia di trattamenti effettuati dall’ente e conoscenze dello specifico settore di attività dell’Ente.

Fra le competenze e conoscenze specialistiche necessarie rientrano anche la familiarità con tecnologie informatiche e misure di sicurezza dei dati e la capacità di promuovere una cultura della protezione dati all’interno dell’organizzazione del titolare/del responsabile.

In linea di massima, ma con ogni riserva di verifica specifica, per la Casa per ferie non è richiesta la nomina.

19

Nel caso di un Ente che raccoglie fondi per la realizzazione di progetti missionari (sociali, sviluppo culto) all’estero, è necessario il DPO?

I dati raccolti sono: anagrafici, versamenti effettuati (non iban del benefattore) e presunto orientamento religioso, in quanto l’adesione a progetti è liberale e non c’è un tesseramento.

Per la raccolta fondo, gestendo e trattando dati di persone fisiche si rende necessario l’applicazione delle giuste misure di sicurezza in base al Regolamento Europeo.

La necessità del DPO va invece valutata analizzando in maniera più approfondita l’Ente e le attività svolte.

20

Ammesso che debba nominare un DPO, si può scegliere questa figura tra i membri della Congregazione?

Il DPO è il Responsabile della protezione dei dati, una figura definita agli articoli 37-38-39 del Regolamento Europeo 679/2016. È una funzione di informazione, consulenza, sorveglianza e di collegamento con il Garante e con gli interessati. Può essere sia interno alla Congregazione, sia esterno con un contratto di servizi, a patto che operi in maniera indipendente ossia che se svolge altri compiti e funzioni non devono dare adito a conflitto d’interesse, devono essergli fornite le risorse necessarie per assolvere ai suoi compiti e deve avere la possibilità di accedere ai dati ed ai trattamenti. Non deve ricevere alcuna istruzione per l’esecuzione dei propri compiti e deve riferire direttamente ai vertici gerarchici.

Deve avere conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, con dettaglio alla tipologia di trattamenti effettuati e conoscenze dello specifico settore di attività dell’Ente.Fra le competenze e conoscenze specialistiche necessarie rientrano anche la familiarità con tecnologie informatiche e misure di sicurezza dei dati e la capacità di promuovere una cultura della protezione dati all’interno dell’organizzazione del titolare/del responsabile.

21

Una scuola che ha quindi un’utenza formata da minori, con un circuito di telecamere di sorveglianza e dati relativi alle diagnosi funzionali di allievi DSA è obbligata alla nomina del DPO?

Il DPO deve essere nominato:

  1. se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;

  2. se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure

  3. se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

Va fatta una valutazione della Struttura comunque il DPO è fortemente consigliato per le Strutture che trattano dati sanitari considerati come categorie particolari di dati.

22

Come possiamo gestire la consulta dei documenti dei ragazzi soggetti DSA o con requisiti della Legge 104 da parte dei docenti della classe che i ragazzi frequentano?

Tutta la documentazione va gestita attraverso il modello organizzativo posto in essere su ogni struttura.

L’accesso ai documenti e alle diagnosi dei soggetti DSA o con requisiti previsti dalla L. 104 deve essere regolamentato e autorizzato.

I docenti comunque, nelle more dell’esercizio dell’incarico ad essi conferito, vengono a conoscenza in realtà di informazioni “sensibili” di tutti i ragazzi che seguono, quindi già in fase di contrattualizzazione del rapporto devono essere autorizzati al trattamento dei suddetti dati e devono garantirne la riservatezza.

23

Il registro del trattamento va sottoscritto dal titolare e/o siglato con data aggiornamento?

Il registro del trattamento è un documento che deve contenere, come indicato dall’articolo 30 del Regolamento UE 679/2016, il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare e del responsabile della protezione dei dati. Per quanto riguarda la firma del titolare e la revisione, con data di aggiornamento sono elementi del registro non obbligatori ma consigliati per ufficializzare l’emissione del documento e tenerne più agevolmente sotto controllo le revisioni / aggiornamenti.

24

Il registro può essere detenuto esclusivamente presso la sede del titolare o presso un responsabile?

La tenuta del registro dei trattamenti è prevista dall’articolo 30 del regolamento generale europeo, ed è considerata indice di una corretta gestione dei trattamenti.

L’onere della tenuta del registro è a carico del titolare e, se nominato, del responsabile del trattamento, ognuno per competenza. La tenuta del registro è utile per una completa ricognizione e valutazione dei trattamenti svolti e quindi finalizzata anche all’analisi del rischio di tali trattamenti e ad una corretta pianificazione dei trattamenti. Per cui le autorità invitano tutti i titolari a dotarsene, eventualmente inserendo negli stessi ogni elemento utile, anche oltre a quelli minimi previsti dalle norme.

Il registro deve essere tenuto in forma scritta, anche in formato elettronico, e va esibito all’autorità di controllo (Garante) in caso di verifiche.

Il Titolare, nel caso in cui sia stato individuato un Responsabile Esterno del Trattamento, può chiedere a quest’ultimo copia del Registro dei Trattamenti relativo alle sole attività e trattamenti eseguiti per suo conto.

25

Per chi ha più sedi è preferibile dotarsi di più registri per il trattamento dati?

Dipende da diversi fattori, ad es. se le diverse sedi svolgono la stessa attività o si tratta di strutture completamente diverse, se vengono utilizzati gli stessi Responsabili Esterni o ognuna ha i propri, quindi non è possibile dare un’indicazione generale. Nel caso in cui si decidesse di redigere un unico Registro (unica attività svolta, stessi Responsabili esterni per tutte le strutture, stesse figure in organigramma, stessi software), questo deve essere disponibile presso ciascuna delle sedi

26

Il diritto di portabilità dei dati (es. chiusura contratto con un fornitore per stipulare altro contratto) può essere esercitato a prescindere da una previsione contrattuale nella nomina del responsabile?

L’articolo 20 del nuovo Regolamento Generale per la protezione dei dati personali (GDPR) ha introdotto un nuovo diritto per gli interessati del trattamento: il diritto alla portabilità dei dati.

Questo diritto è diverso dal diritto all’accesso ai dati, e consente agli interessati di ricevere, dal titolare del trattamento, “i dati personali che lo riguardano forniti ad un titolare del trattamento” in modo che possa trasmetterli ad un altro titolare del trattamento (ad esempio, un’altra azienda).Il diritto alla portabilità dei dati è previsto, quindi, al fine di garantire il trasferimento dei propri dati da un servizio online ad un altro, così assicurando da un lato un maggiore controllo sui propri dati da parte degli individui, e dall’altro una maggiore concorrenza tra aziende, promuovendo in tal modo l’innovazione e lo sviluppo di nuovi servizi.

Nel caso specifico trattasi di una semplice chiusura di un rapporto contrattuale.

27

Quali sono le disposizioni per il cloud usato sempre più spesso per backup dati nelle segreterie didattiche o amministrative?

Anche per l’utilizzo di tecnologie informatiche come il Cloud andrà fatta un’analisi dei rischi per la protezione dei dati e quindi adottate le giuste misure di sicurezza.

Il Provider del servizio è a tutti gli effetti un Responsabile del Trattamento e deve fornire al Titolare, prevedendole da contratto, tutte le garanzie di conformità al Regolamento UE 2016/679

28

Le informative se pubblicate sul sito internet possono soddisfare le regole di informazione?

Le informative on-line, se redatte in conformità con la normativa europea possono costituire un valido strumento per informare gli interessati sulle modalità e finalità del trattamento, nonché sugli altri aspetti riportati dall’Art. 13 del Reg. UE 2016/679 e sui diritti previsti dagli Artt. dal 15 al 22. L’interessato deve essere informato sulle modalità di accesso all’informativa, ad es. tramite e-mail o attraverso apposita modulistica che la menzioni.

29

Come comportarci con il nostro sito web, facebook, ecc. se pubblichiamo foto di adulti e minorenni per adozioni a distanza anche se i soggetti sono all’estero?

E se pubblichiamo foto su fb di una nostra attività (spettacolo di beneficienza) dove ci sono persone e minorenni anche per semplici attività religiose,

È considerato, un illecito trattamento di dati personali pubblicare o condividere, sul profilo Facebook, fotografie e filmati in cui sono presenti altri soggetti senza che questi ne abbiano autorizzato la pubblicazione.

Una soluzione è richiedere a tutti i partecipanti il consenso duplice sia per scattare la foto che per pubblicarla sui social network. In alternativa si può oscurare il volto dei partecipanti.

Più in dettaglio, la Legge sul Diritto d’Autore (L. 633/1941) stabilisce che “il ritratto di una persona non può essere esposto, riprodotto o messo in commercio senza il consenso di questa”, salvo che la riproduzione dell’immagine sia giustificata dalla notorietà, dall’ufficio pubblico ricoperto o da particolari necessità scientifiche, culturali e di sicurezza, o salvo ancora che la riproduzione sia collegata ad avvenimenti di interesse pubblico o svoltisi in pubblico.

Con riferimento ai minori, secondo il regolamento UE 2016/679 per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.

30

Come gestire le “adozioni a distanza” (nomi +foto) in linea con la nuova normativa?

Il trattamento di dati personali del minore di 16 anni è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.

In generale, con riferimento alle foto, queste sono pubblicabili se inserite in un contesto la cui visione sia limitata ad un pubblico circoscritto ed identificato (compresa una pagina web protetta da password) in modo che l’immagine sia visibile solo da un pubblico conosciuto, limitato e controllabile e l’uso è ristretto, è possibile. Se l’immagine viene mostrata ad un gruppo ristretto, conosciuto e controllabile di interlocutori, non si può parlare di pubblicazione, ma di uso privato.

Resta fermo l’obbligo di utilizzare le foto dei minori previo consenso da parte dei genitori o di chi ne fa le veci.

31

Nel caso di Responsabile esterno al trattamento, come il Consulente del Lavoro, che durata concordare per la conservazione dei dati. Capita che degli accertamenti INPS/INAIL o altro arrivino al datore di lavoro anche dopo la data di cessazione del rapporto od anche dopo che il datore di lavoro abbia cambiato consulente del lavoro.

In linea generale la durata è da intendersi quale durata pensionistica.

Tutto il fascicolo contenente i documenti contabili del dipendente possono essere conservati dal Consulente del Lavoro dalla data di cessazione del rapporto contrattuale per finalità amministrative, secondo quanto previsto dal codice civile.

32

È lecito trasmettere le presenze dei dipendenti e ricevere le buste paga tramite e-mail ordinaria? (se è incaricato un responsabile esterno)

L’e-mail ordinaria viaggia sulla rete in chiaro e non è il veicolo più sicuro. Può essere valutato l’uso della PEC per incrementare la sicurezza, oppure di altri sistemi / estensioni per la cifratura delle e-mail. La valutazione del rischio per i dati trattati deve essere fatta dal titolare del trattamento anche se c’è un responsabile esterno e deve concordare con lui le relative misure.

33

Il titolare è necessariamente una persona fisica o può essere l’ente?

Il Titolare del trattamento è la persona fisica o giuridica che determina le finalità e i mezzi del trattamento. Può essere anche l’Ente.

34

Applicazione sanzioni criteri diversi in caso di:

  • Mera inadeguatezza dei sistemi di protezione

  • Effettivo constatato uso illecito dei dati (data breach)

Le sanzioni sono fino a 10 mln o fino al 2% del fatturato totale mondiale annuo per inadempimenti agli obblighi del titolare o del responsabile (assenza di registro dei trattamenti, documento di valutazione dei rischi, procedure e istruzioni agli incaricati, nomina DPO, ecc). E sanzioni fino a 20 mln o fino al 4% del fatturato totale mondiale annuo per le violazioni dei diritti degli interessati e delle condizioni del trattamento (violazione condizioni di leicità del trattamento, assenza di consenso, informative non trasparenti, inosservanza dei diritti degli interessati, illecito trattamento).

È rimessa poi alla valutazione di ogni Stato membro la determinazione di differenti soglie di applicazione e tipologie delle sanzioni penali.

35

La casa per Ferie può scannerizzare i passaporti degli Ospiti per trasmettere la denuncia? (Ho dubbi per la foto sul documento)

Anche qui è necessaria una valutazione del titolare. Se si ritiene necessario fare copia del documento dell’Ospite bisognerà prendere maggiori precauzioni per l’archiviazione (es. apposizione di un timbro su di esso) qualora venga mantenuta o per l’eliminazione se invece è usata e poi buttata. È fortemente raccomandata la valutazione di soluzione alternative alla copia del documento, al fine di rispettare il principio di minimizzazione enunciato dal regolamento europeo, utilizzando ad esempio una scheda anagrafica per la raccolta delle informazioni necessarie alla notifica e la sola visione dei documenti, non la copia, dell’ospite solo ai fini del riconoscimento o semplicemente eseguendo l’operazione di notifica con restituzione del documento all’ospite. .

36

Nello specifico, per ciò che riguarda il trattamento dei dati per le “case per ferie” ci sono cambiamenti per la registrazione degli Ospiti?

Inoltre, consigliate un software di gestione sulla privacy?

Se sì, potrebbe indicarci quale?

Le registrazioni degli Ospiti necessarie per adempiere obblighi di legge restano invariate.

Dovreste verificare nella vostra struttura come vengono trattati i dati oltre agli obblighi di legge es invio di comunicazioni e news (anche offerte) per e-mail, mantenimento dati in archivio, copia documento d’identità. In base all’analisi sulla vostra Casa si andrà ad integrare il modello organizzativo che consenta di adempiere al Regolamento Europeo.

Per quanto riguarda software di gestione è fortemente consigliato, per l’adozione, valutare la funzionalità rispetto ai principi del regolamento ed il costo. Per questo di invita alla massima prudenza in quanto vengono pubblicizzati come “risolutori” di tutte le situazione, cosa che poi viene smentita nella pratica quotidiana.

37

In una casa per ferie c’è anche la ristorazione esterna, con gli utenti come bisogna comportarsi nella protezione dei dati?

Va valutato se il servizio di ristorazione esterno ha accesso e quindi viene a conoscenza di dati personali. In caso positivo dovrà ricevere un’autorizzazione e le istruzioni al trattamento dal titolare al trattamento.

38

Posso avere più responsabili nella stessa struttura (es. Dati sanitari e dati economici)

Per Responsabile del trattamento si intendono principalmente quelle persone fisiche o giuridiche, l’autorità pubblica, il servizio o altro organismo che trattano dati personali per conto del titolare del trattamento e sono esterne all’Organizzazione (es. Commercialista, Consulente del Lavoro, ecc). Possono essere più di uno e devono definire con il titolare un contratto o altro atto giuridico di nomina. All’interno di una stessa struttura, soprattutto se di piccole e medie dimensioni, ci saranno diversi soggetti autorizzati al trattamento, ognuno con specifiche nomine / autorizzazioni a seconda dei dati trattati.

39

In una RSA molti dipendenti conoscono la singola situazione sanitaria. Come si segreta?

I dipendenti che trattano dati nell’Organizzazione devono essere formalmente autorizzati o incaricati dal titolare tramite nomine o autorizzazioni, tenendo conto del principio di minimizzazione e sulla base di specifiche regole ed istruzioni. Il Titolare / Responsabile deve garantire che i soggetti autorizzati al trattamento si siano impegnati alla riservatezza o abbiano un adeguato obbligo legale di riservatezza

40

Se in una casa di riposo c’è un global service con una cooperativa chi deve adempiere al Regolamento Europeo sul trattamento dei dati? Chi adempie, la congregazione in quanto proprietaria o la Cooperativa? I dati riguardano personale-ospiti-parenti,

Vista la tipologia dei dati trattati, sia la Congregazione che la Cooperativa dovranno adeguarsi al Regolamento UE 2016/679.

La Congregazione sarà Titolare del trattamento, mentre la Cooperativa potrà essere nominata Responsabile Esterno del Trattamento.

In alternativa, nel caso in cui la Congregazione e la Cooperativa abbiano provveduto a determinare congiuntamente le finalità e i mezzi del trattamento, esse sono contitolari del trattamento e determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal Regolamento

41

Per quanto tempo devono essere conservati i “consensi informati” richiesti ai pazienti sottoposti a controlli medici invasivi: colonscopia, gastroscopia, ecc

Il consenso informato ad un trattamento medico deve essere conservato nella cartella clinica del paziente e conservato come la cartella clinica illimitatamente (Circolare del Ministero della Sanità n. 61 del 19.12.1986), in quanto rappresenta un atto ufficiale indispensabile a garantire la fonte originale del diritto (D.P.R. 128/1969). Per la sua conservazione si applicano le leggi in materia archivistica (D.Lgs. 30 settembre 1963, n. 1409) in quanto, sotto il profilo oggettivo, la cartella clinica deve ritenersi un documento finalizzato all’esercizio di un pubblico servizio e quindi un bene patrimoniale indisponibile (art. 830 Codice civile).

42

Come si deve fare quando prendono fotografie dell’Istituto e poi le strumentalizzano in modo negativo?

Dipende dalla condotta di chi fa uso delle fotografie dell’Istituto e dall’eventualità che si configuri un reato vero e proprio, che può essere ad esempio il furto di identità, la violazione del diritto d’autore, la diffamazione, ecc.

Nei casi più gravi è necessario rivolgersi al proprio legale per una consulenza professionale.

43

Chi deve presentare il 25 maggio al Garante il nominativo ogni Casa, la superiora di comunità, il legale rappresentante?

Quale responsabilità ricade sul Legale Rappresentante in caso di inadempimento?

La comunicazione sul sito del Garante deve essere compilata dal Legale Rappresentante o da un suo delegato. Si rende necessario avere a disposizione la firma digitale.

In caso di mancata nomina, qualora questa sia obbligatoria, l’Organizzazione potrebbe incorrere in sanzione. Ad oggi non è dato sapere quali saranno gli orientamenti del Garante.

44

La limitazione nella conservazione dei dati riguarda anche i dati raccolti prima del 25.05.18 o comunque primo del 2016? Penso alle nostre congregazioni che mantengono archivi “storici”.

Il Regolamento dice che i dati possono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati o possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»).

45

Il titolare è uno per ciascuna Struttura o uno per tutto l’Ente? Chi lo nomina? È legato al suo incarico? Es. essere preside o coordinatore

Dipende se ciascuna struttura possiede un certo livello di autonomia in particolare inerente al trattamento dei dati. Per titolare si intende la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Quindi potrebbero essere titolari ciascuno dei Responsabili delle varie strutture quindi preside, direttore, ecc., se autonomo rispetto all’Ente, ovvero l’Ente stesso per tutte le Strutture. Non ha bisogno di nomina.

46

Siamo una congregazione missionaria, che detiene i dati di 4 colf-badanti per l’assistenza alle suore stesse e gli indirizzi di parenti e amici che ricevono il nostro bollettino missionario 4 volte all’anno: Cosa dobbiamo fare?

Va applicato il Regolamento Europeo 2016/679 per il trattamento di dati personali delle 4 dipendenti e per l’archivio dei dati dei parenti e amici e l’invio del bollettino. Quindi vanno previste le misure di sicurezza tecniche ed organizzative idonee a proteggere i dati da trattati, ad esempio assicurandovi che chi ha accesso a tali dati sia stato correttamente autorizzato ed istruito, che l’accesso fisico ai dati sia limitato alle persone autorizzate, ecc.

47

In una casa madre, con infermeria per le sorelle anziane, opera una cooperativa di servizi. I dati del personale devono essere trattati unicamente dalla cooperativa; la congregazione è convolta in qualche modo?

Per quanto riguarda i dati del personale della Cooperativa, se non passano in alcun modo alla casa madre si può escludere trattamento da parte della stessa. Va analizzato se in qualche modo ne viene comunque fatto un trattamento anche se minore.

Si ricorda che per trattamento si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione. Caso diverso sono i dati delle cartelle sanitarie delle sorelle anziane.

48

Specificare meglio “registro dei trattamenti” deve essere online o cartaceo?

Come mai una legge uscita 2 anni fa nessuno ne ha mai parlato? Chi doveva saperlo per essere informati? I consulenti?

L’art. 30 regolamento europeo recita, al comma 3, che il registro dei trattamenti sia tenuto in formato cartaceo ed elettronico mantenendo evidenza dei successivi aggiornamenti.

La normativa europea è in vigore dal 25.5.2016 ed in quanto pubblicata sulla gazzetta ufficiale dell’unione europea trova applicazione il principio di ignorantia legis non excusat.

49

Cosa si intende esattamente per attività principale? Rientra in questa categoria anche l’attività più grande di una Congregazione?

Con attività principali si possono intendere le operazioni essenziali che sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare del trattamento o dal responsabile del trattamento, comprese quelle attività per le quali il trattamento dei dati è inscindibilmente connesso (Linee guida Gruppo di Lavoro articolo 29 per la protezione dei dati)

50

Per l’analisi del rischio si può procedere in modo autonomo o è necessario una certificazione di qualche certificatore?

Sebbene il Regolamento UE 2016/679 contenga riferimenti espliciti a meccanismi di certificazione e sigilli nonché marchi di protezione dei dati che consentano agli interessati di valutare rapidamente il livello di protezione dei dati dei relativi prodotti e servizi, ad oggi non sono richieste specifiche certificazioni in tal senso.

Il Titolare è responsabile dell’analisi dei rischi connessi ai trattamenti eseguiti e alla conseguente definizione delle misure tecniche ed organizzative finalizzate alla mitigazione degli stessi.

Pin It on Pinterest

Share This