Ruoli privacy nel CNR

Quali sono i principali riferimenti regolamentari e i provvedimenti interni del CNR in materia di privacy?
Il principale riferimento regolamentare interno del CNR in materia di privacy è l’art. 19-bis del Regolamento di Organizzazione e Funzionamento (ROF), che stabilisce compiti e funzioni all’interno dell’Ente in materia di privacy.

In particolare, definisce i seguenti ruoli:

• Titolare del trattamento: Consiglio Nazionale delle Ricerche nelle sue articolazioni organizzative.
• Responsabile Interno: direttore di dipartimento, direttore di istituto, presidente di area territoriale di ricerca, dirigente di un ufficio dirigenziale o responsabile di una struttura organizzativa di cui all’articolo 19 comma 3 del ROF, ai quali sono attribuiti specifici compiti e funzioni del titolare.
• Responsabile della protezione dei dati: soggetto incaricato ai sensi dell’articolo 37 del regolamento 2016/679 (UE);
• Corrispondente del responsabile della protezione dei dati: il soggetto avente i requisiti indicati dall’articolo 37 del regolamento 2016/679 (UE), dedicato ad un dipartimento e, solo in casi eccezionali previa delibera del Consiglio di amministrazione, ad una articolazione organizzativa dell’ente, che opera sotto la responsabilità e con dipendenza funzionale dal Responsabile della Protezione dei Dati.

Il Direttore Generale svolge funzioni di coordinamento, fornendo indicazioni di carattere generale ai Responsabili Interni, nomina il Responsabile della Protezione dei Dati e i Corrispondenti del responsabile della protezione dei dati su proposta di quest’ultimo.

Il Provvedimento 27 del 2019 del Presidente del CNR stabilisce “Compiti e funzioni dei Responsabili interni CNR in materia di Trattamento dei dati personali”, tra cui quello di nominare, per la propria struttura, un Referente Privacy “quale punto di contatto con il responsabile della protezione dei dati e con la direzione generale per l’applicazione delle disposizioni in materia di protezione dei dati personali e supporto alle attività di gestione degli adempimenti connessi alla protezione dei dati”.

Di seguito i link ai riferimenti citati:
ROF: https://www.cnr.it/sites/default/files/public/media/doc_istituzionali/Cnr_ROF_decreto_12_03_2019.pdf
Provv. del Presidente 27/2019: https://www.urp.cnr.it/copertine/ente/ente_normativa/ordinamento/2019/027.pdf

 

Che differenza c’è tra Responsabile Interno ex art. 19 bis del Regolamento di Organizzazione e Funzionamento del CNR e Responsabile del trattamento ex art. 28 del Regolamento Generale sulla Protezione dei Dati (Regolamento UE 2016/679 – GDPR)?
Il Responsabile interno ex art. 19 bis del ROF svolge i compiti del Titolare CNR per quanto attiene ai trattamenti effettuati all’interno della struttura che coordina. In quanto tale, decide finalità e mezzi di tali trattamenti.

Il Responsabile del trattamento ex art. 28 del GDPR è un soggetto esterno al quale il Titolare/Responsabile Interno affida uno o più trattamenti (in parte o in toto) mediante un formale contratto o atto giuridicamente vincolante. Il Responsabile ex art. 28 agisce unicamente in base alle istruzioni impartite dal Titolare/Responsabile Interno e non può ricorrere a sub-responsabili senza previa autorizzazione scritta di quest’ultimo.

 

Adempimenti del Responsabile Interno CNR

Quali sono gli adempimenti principali del Responsabile Interno ex art. 19bis del CNR?
Il Responsabile Interno ex art. 19 bis del ROF svolge compiti e funzioni del Titolare per quanto attiene ai trattamenti effettuati all’interno della Struttura che coordina.

Tra gli adempimenti principali che il Responsabile Interno deve curare direttamente o per tramite dei suoli collaboratori, rientrano:

• Nomina del Referente Privacy della struttura (vd provv. 19/2019 del Presidente del CNR);
• Compilazione del Registro Titolare e, nel caso la struttura effettui trattamenti per conto si soggetti terzi esterni all’Ente, del Registro Responsabile;
• Predisposizione, con il supporto del Referente Privacy, delle informative agli interessati relative ai trattamenti svolti dalla struttura che coordina;
• Analisi del rischio relativo ai trattamenti effettuati dalla propria struttura (vd a tal riguardo il tool ENISA per l’analisi del rischio https://www.enisa.europa.eu/risk-level-tool/)
• Predisposizione della Valutazione di Impatto (Data Protection Impact Assessment – DPIA) per i trattamenti ad alto rischio e/o che rientrino delle categorie per le quali la DPIA è obbligatoria (vd. a tal riguardo il software PIA del CNIL https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-protection-impact-assessment), coinvolgendo il Responsabile pe rla Protezione dei Dati;
• Predisposizione degli incarichi per il personale autorizzato al trattamento, comprensivi di istruzioni;
• Contrattualizzazione degli eventuali Responsabili ex art. 28 GDPR;
• Formazione ed aggiornamento del personale afferente alla propria struttura in materia di privacy;
• Cooperazione con le autorità di controllo in materia di Privacy;
• Segnalazione al Garante degli eventuali Data Breach entro 72 ore dal momento in cui ne sia venuto a conoscenza, coinvolgendo il Responsabile per la Protezione dei Dati.

 

Il Responsabile Interno CNR deve compilare il Registro Titolare o il Registro Responsabile?
Il Responsabile Interno deve sicuramente compilare il Registro Titolare per tutti i trattamenti che la sua struttura effettua nell’adempimento dei suoi compiti istituzionali e per i quali decide finalità e mezzi.

Nel Registro del Responsabile devono essere invece inseriti eventuali trattamenti per i quali finalità e mezzi sono definiti da soggetti esterni al CNR, effettuati dalla struttura sulla base di un contratto di affidamento o di altro atto giuridicamente vincolante (ad esempio, nell’ambito di attività conto terzi). Se la struttura non effettua trattamenti di questo tipo, il Registro Responsabile non deve essere compilato.

 

È obbligatorio per il Responsabile Interno CNR nominare il Referente Privacy?
Sì. Il Referente Privacy è una figura centrale nella gestione degli adempimenti normativi. Funge da punto di riferimento all’interno della struttura e da tramite verso il RPD.

L’esperienza mostra che il livello di aderenza alla normativa in materia di trattamento di dati personali da parte di una struttura è fortemente correlato all’efficacia dell’azione del Referente Privacy.

 

Una stessa persona può essere nominata Referente Privacy per più di una struttura?
Sì. Ovviamente ciascuno dei Responsabili Interni delle strutture interessate dovrà predisporre e firmare un apposito provvedimento, valutando adeguatamente le competenze del soggetto e l’effettiva possibilità di svolgere i compiti assegnati, anche in relazione agli altri carichi di lavoro.

 

Come si effettua l’indicazione del Referente Privacy?
La nomina del Referente Privacy deve essere effettuata mediante apposito provvedimento, che deve poi essere caricato nell’apposita sezione della Intranet CNR (https://intranet.cnr.it, sezione “Strutture Centralià Gestione Strutture CentraliàTrattamento Dati PersonaliàReferente Tratt. Dati Pers.”).

 

Come si effettua la compilazione dei Registri del Titolare e del Responsabile?
Allo stato attuale la compilazione dei registri del Titolare e del Responsabile deve essere effettuata tramite la Intranet CNR (https://intranet.cnr.it, sezione “Strutture Centralià Gestione Strutture CentraliàTrattamento Dati PersonaliàRegistro del Titolare” e “Strutture Centralià Gestione Strutture CentraliàTrattamento Dati PersonaliàRegistro del Responsabile”)

I passi da eseguire sono i seguenti:

• scaricare il modello Excel,
• inserire nella tabella riportata all’interno del file Excel le informazioni richieste per ciascun trattamento effettuato dalla propria struttura,
• firmare digitalmente il file in formato p7m,
• caricare il file tramite l’apposita funzionalità (pulsante “INSERISCI”).

Se in passato era stata caricata una precedente versione del registro, questa va archiviata mediante l’apposita funzione (pulsante “ARCHIVIA”) prima di caricare quella nuova.

 

Ogni quanto tempo deve essere aggiornato il Registro dei Trattamenti?
Il Registro dei Trattamenti deve essere aggiornato nei seguenti casi:

• introduzione di un nuovo trattamento,
• eliminazione di un trattamento dalle competenze della struttura,
• modifiche in un trattamento esistente.

In ogni caso, si consiglia la revisione dei registri almeno una volta l’anno.

 

Responsabile del Trattamento ex art. 28 GDPR

Esistono clausole standard per i contratti di affidamento a Responsabile Esterno ex art. 28 GDPR?
Sì. La Commissione europea, tramite la Decisione di Esecuzione (UE) 2021/915, ha emanato clausole standard reperibili tramite i seguenti link:

Versione italiana:

https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX%3A32021D0915#d1e181-18-1

Versione inglese:

https://ec.europa.eu/info/law/law-topic/data-protection/publications/standard-contractual-clauses-controllers-and-processors_it

 

Ricerca scientifica e privacy

È sempre necessario raccogliere il consenso al trattamento dei dati personali per finalità di ricerca scientifica?
Affinché un trattamento di dati personali sia legittimo devono sussistere una o più condizioni previste dagli articoli del GDPR n. 6 (dati comuni), 9 (dati particolari) e 10 (dati giudiziari).

La base giuridica del consenso (art. 6 par. 1 lett. a e art. 9, par 2 lett. a) può sempre essere utilizzata nei casi in cui ottenerlo non sia impossibile o non comporti uno sforzo sproporzionato.

Sussistono tuttavia delle condizioni in cui la base giuridica dei trattamenti per attività di ricerca scientifica può essere diversa dal consenso. In tali casi, alcuni dei quali esaminati nel seguito, sussiste comunque in capo al titolare l’obbligo di compiere e documentare ogni sforzo per fornire informativa agli interessati e mettere in atto tutte le misure necessarie per tutelarne le libertà, i diritti e i legittimi interessi. È sempre opportuno valutare attentamente questa scelta con il supporto del RPD e metterne agli atti le motivazioni.

Ricerca scientifica in campo medico, biomedico o epidemiologico
L’art. 110 del Dlgs 196/2003 al paragrafo 1 prevede che “Il consenso dell’interessato per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell’Unione europea in conformità all’articolo 9, paragrafo 2, lettera j), del Regolamento, ivi incluso il caso in cui la ricerca rientra in un programma di ricerca biomedica o sanitaria previsto ai sensi dell’articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502, ed è condotta e resa pubblica una valutazione d’impatto ai sensi degli articoli 35 e 36 del Regolamento. Il consenso non è inoltre necessario quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale per la ricerca medica, biomedica ed epidemiologica […]”

Quindi, le condizioni per ricorrere al succitato art. 110 sono:

1. esiste una specifica disposizione di legge o di regolamento di livello nazionale o Europeo che consente il trattamento, ivi incluso il caso di ricerche scientifiche che rientrano nel Piano Sanitario Nazionale, oppure
2. informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. In questi casi il titolare:
   • adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato,
   • il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale per la ricerca medica, biomedica ed epidemiologica.

È allo stato attuale oggetto di pareri discordanti se, in base alla nuova versione dell’art. 110 del dlgs 196/2003[1], trovi ancora applicazione quanto previsto dal provvedimento n. 146 del 2019 del Garante per la Protezione dei Dati Personali, che al par. 4.5, che recita:

“Il consenso al trattamento dei dati genetici è necessario per:

[…]

4. finalità di ricerca scientifica e statistica non previste dalla legge o da altro requisito specifico di cui all’art. 9 del Regolamento […].”

In attesa della definizione di una posizione chiara e definitiva delle autorità competenti e della emanazione delle annunciate nuove regole deontologiche, è possibile in questi casi contattare l’RPD per analizzare il caso specifico e valutare l’ipotesi di inviare una comunicazione al Garante con ragionevole anticipo rispetto all’avvio del trattamento.

[1] Derivante dall’approvazione del  DDL n. 1110 di conversione in legge, con modificazioni, del D.L. n. 19/2024, recante ulteriori disposizioni urgenti per l’attuazione del piano nazionale di ripresa e resilienza (PNRR).

Ricorso all’art. 6 par. 1 lett. e) e/o all’art. 9 par. 2 lett. g) GDPR
Questi articoli prevedono che sia possibile il trattamento di dati personali comuni (art. 6) e particolari (art. 9) se “il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”.

L’utilizzo dell’interesse pubblico come base giuridica per il trattamento dei dati personali nell’ambito della ricerca scientifica è in linea di principio possibile, ma deve essere adeguatamente giustificato e conforme a specifiche condizioni.

Innanzitutto, l’interesse pubblico deve essere riconosciuto da una autorità pubblica competente. Deve esistere quindi, ad esempio, una fonte normativa che riconosce esplicitamente questo interesse pubblico oppure una linea guida, un parere o un provvedimento del Garante in merito.

Ad esempio, per la ricerca in campo statistico, escludendo il caso dei dati genetici, è possibile trattare i dati personali senza il consenso dell’interessato se l’attività rientra nel Piano Statistico Nazionale.

Deve essere inoltre documentato il fatto che il trattamento in oggetto rientri chiaramente nell’interesse pubblico invocato e che la medesima finalità non possa essere perseguita in altro modo.

Deve essere effettuata una valutazione del rischio e, se necessario, una valutazione di impatto e devono essere adottate tutte le adeguate misure tecniche e organizzative a salvaguardia dei diritti e delle libertà dell’interessato.

Qualora la ricerca preveda il trattamento di dati particolari (cd sensibili), è fondamentale ottenere il consenso esplicito dell’interessato prima di raccogliere tali informazioni. Questo passaggio è cruciale per garantire la conformità alle normative sulla privacy e proteggere i diritti degli individui

Si sottolinea che l’interessato ha il diritto di revocare il consenso in qualsiasi momento. Se il consenso viene revocato e la base giuridica per il trattamento dei dati personali era proprio il consenso, non sarà più possibile estrarre ulteriori informazioni dai dati raccolti. Tuttavia, le informazioni già estratte rimarranno valide per non alterare i risultati della ricerca.

Per quanto riguarda la modalità di raccolta del consenso, è buona prassi ottenerlo per iscritto e conservarlo agli atti insieme alla documentazione del progetto.

 

È sempre dovuta all’interessato l’informativa nel caso di riuso di dati personali non conferiti direttamente dall’interessato al CNR?
Il GDPR, all’art. 14, prevede che l’informativa sia resa entro un termine ragionevole anche nel caso in cui i dati non siano stati ottenuti presso l’interessato, al massimo entro un mese dalla raccolta dei dati, oppure al momento della prima comunicazione all’interessato, o al momento della prima comunicazione dei dati a terzi.

Tuttavia, lo stesso art. 14 al par. 5 del GDPR stabilisce che l’obbligo di informare l’interessato non si applica nelle seguenti situazioni:

• L’interessato è già in possesso delle informazioni.
• La comunicazione delle informazioni all’interessato si rivela impossibile o comporterebbe uno sforzo sproporzionato, in particolare per il trattamento a fini di archiviazione nel pubblico interesse, a fini di ricerca scientifica o storica o a fini statistici. In tali casi, il titolare del trattamento deve comunque adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, tra cui rendere pubbliche le informazioni.
• L’ottenimento o la comunicazione è espressamente previsto dal diritto dell’Unione o degli Stati membri cui è soggetto il titolare del trattamento, che prevede misure appropriate a tutela dei legittimi interessi dell’interessato.
• I dati personali devono rimanere riservati in virtù di un obbligo di segretezza professionale disciplinato dal diritto dell’Unione o degli Stati membri, compreso un obbligo di segretezza previsto per legge.

Nel caso in cui si applica la deroga all’obbligo di informativa, il titolare del trattamento deve comunque adottare misure appropriate per proteggere i diritti degli interessati, come ad esempio, pubblicare l’informativa tramite canali accessibili a tutti gli interessati, quali siti web, luoghi di affissione pubblici, mailing list, etc.

 

È possibile riutilizzare i dati personali raccolti per una ricerca scientifica per ulteriori ricerche scientifiche?
Il riutilizzo per ulteriori ricerche scientifiche di dati personali originariamente raccolti per altra attività di ricerca scientifica è consentito. Ciò deve ovviamente avvenire nel rispetto della normativa europea e nazionale in materia di trattamento dei dati personali (Regolamento UE 2016/679 – GDPR, D.lgs. 196/2003, così come modificato dal D.lgs. 101/2018).

In particolare, deve essere resa informativa agli interessati in merito al nuovo trattamento e deve essere ottenuto un nuovo consenso specifico, a meno che non si rientri nelle deroghe previste dal GDPR e dalla normativa nazionale (vedi domande precedenti).

Il nuovo trattamento deve essere inserito nel registro dei trattamenti e, se necessario, deve essere condotta una valutazione di impatto.

Devono essere adottate misure a tutela dei diritti e delle libertà dell’interessato quali, ad esempio, le misure di sicurezza indicate all’art. 32 del GDPR.

 

Un’Amministrazione Pubblica che deve trattare dati personali per un interesse pubblico rilevante (es. attività di ricerca scientifica) può acquisirli da un’altra Amministrazione Pubblica che li tratta per un diverso interesse pubblico rilevante o nell’esercizio di un pubblico potere?
Premesso che l’interesse pubblico rilevante deve essere stabilito dal diritto dell’Unione o dal diritto dello Stato membro cui è soggetto il Titolare del trattamento, l’art. 2 ter Dlgs 196/2003 stabilisce che la comunicazione e l’ulteriore trattamento sono consentiti in questo casi, con l’esclusione delle particolari categorie di cui all’articolo 9 del GDPR e di quelli relativi a condanne penali e reati di cui all’articolo 10 del GDPR.

Resta fermo l’obbligo di inviare al Garante apposita preventiva comunicazione.

Vista la delicatezza del ricorso da questo presupposto normativo e all’obbligo di comunicazione al Garante, è sempre necessario consultare preliminarmente il Responsabile per la Protezione dei Dati.

L’attività di ricerca può costituire un compito di interesse pubblico rilevante, se prevista da una norma Europea o Nazionale.

 

Nell’ambito della rendicontazione di un progetto, possono essere trattati e/o trasmessi al soggetto finanziatore i cedolini dei dipendenti che partecipano al progetto?
Se la fonte normativa che istituisce/regola un determinato tipo di finanziamento/progetto stabilisce che per la rendicontazione finanziaria è necessario produrre i cedolini dei dipendenti che hanno partecipato, il trattamento è legittimo anche senza consenso dell’interessato (vedi art. 6 comma 1 lettera b) del GDPR “il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso”). Rimane, tuttavia, l’obbligo, da parte del titolare del trattamento di fornire l’informativa all’interessato.

Inoltre, nel trattamento del cedolino, deve essere rispettato il principio di minimizzazione dei dati sancito dal GDPR. Pertanto, il titolare del trattamento procederà all’oscuramento di tutti i dati non necessari ai fini della rendicontazione, ma presenti sul cedolino stesso (es. benefici assistenziali, pignoramenti, cessione del quinto, sanzioni disciplinari, ritenute sindacali, etc.).

 

Cosa sono i codici di deontologia e le regole deontologiche?
I codici di deontologia e le regole deontologiche stabiliscono standard di comportamento e linee guida etiche per i professionisti e le organizzazioni che trattano dati personali, assicurando che tali trattamenti avvengano in conformità con le normative vigenti e con principi etici condivisi e garantendo tutele adeguate per i diritti e le libertà dell’interessato.

In particolare, i codici di deontologia sono insiemi di indicazioni elaborate da associazioni professionali, enti di categoria o altri organismi rappresentativi di specifici settori, ai quali i singoli o le organizzazioni decidono liberamente di attenersi. Sebbene l’adesione ai codici di condotta sia un atto volontario, è spesso fortemente consigliata e può essere posta come condizione necessaria per partecipare ad una associazione o ad una specifica attività.

Le regole deontologiche sono specifiche linee guida emanate per settori particolari da soggetti competenti per materia (es. enti regolatori o organismi di controllo), alle quali i singoli o le organizzazioni devono attenersi.

Importanti riferimenti in ambito di ricerca scientifica sono le “Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica ai sensi degli artt. 2-quater e 106 del Codice – 9 maggio 2024” (https:// https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10016146) e il “Data Protection Code of Conduct for Research” (https://ec.europa.eu/info/funding-tenders/opportunities/docs/2021-2027/horizon/guidance/ethics-and-data-protection_he_en.pdf). Regole, linee guida e codici più specifici possono essere disponibili per particolari tipo di ricerca o di dati.

Ai fini dell’accountability, per dimostrare e garantire maggiormente un effettivo rispetto di regole e codici:

• il titolare specifica in forma scritta le misure da adottare nel trattamento di dati personali, al fine di garantire il rispetto delle regole deontologiche e/o dei codici di condotta;
• il titolare conserva agli atti una dichiarazione di impegno a conformarsi alle regole deontologiche e/o ai codici di condotta. Un’analoga dichiarazione è sottoscritta anche dai soggetti – ricercatori, responsabili e persone autorizzate al trattamento – che fossero coinvolti nella ricerca.

 

Quando il trattamento di dati personali coinvolge interessati stranieri, vengono meno le prerogative in tema di protezione dei dati personali?
La disciplina in tema di protezione dei dati relativi alla persona trova applicazione anche in riferimento a soggetti stranieri, a prescindere dalla loro nazionalità o residenza.

 

Trasparenza e privacy

Cosa si intende per trasparenza online della P.A.?
La trasparenza consiste nel rendere pubblici atti, documenti, informazioni e dati appartenenti a ogni amministrazione. Questo processo è reso più semplice e ampio grazie alla diffusione delle informazioni su Internet, principalmente attraverso la pubblicazione sui siti web istituzionali delle amministrazioni. L’obiettivo principale è favorire un controllo diffuso sull’azione amministrativa, sull’utilizzo delle risorse pubbliche e sulle modalità con cui le pubbliche amministrazioni perseguono i propri obiettivi.”

 

Quali sono gli obblighi di pubblicazione per finalità di trasparenza?
Gli obblighi di pubblicazione per finalità di trasparenza riguardano l’organizzazione e l’attività dell’Amministrazione. Questi obblighi sono principalmente previsti dal decreto trasparenza e includono:

• dati relativi agli organi di indirizzo politico e di amministrazione e gestione;
• informazioni sull’articolazione degli uffici, competenze e risorse: Questi dati includono dettagli sugli uffici all’interno dell’amministrazione, le loro competenze specifiche e le risorse a loro disposizione;
• nomi dei dirigenti responsabili dei singoli uffici: queste informazioni identificano i dirigenti che guidano ciascun ufficio all’interno dell’amministrazione;
• illustrazione semplificata dell’organizzazione: Spesso realizzata tramite organigrammi, questa rappresentazione visiva semplifica la struttura e l’organizzazione dell’amministrazione;
• elenco dei numeri di telefono e caselle di posta elettronica: Questi dati consentono ai cittadini di contattare l’amministrazione per richiedere informazioni o assistenza;
• bandi di gara e contratti;
• bilanci;
• controlli e rilievi sull’Amministrazione;
• sovvenzioni, contributi, sussidi e vantaggi economici;
• accesso civico e protezione dei dati.

L’obiettivo di questi obblighi è garantire la trasparenza dell’azione amministrativa e favorire il controllo diffuso da parte dei cittadini.

 

L’Amministrazione può pubblicare qualunque dato e informazione personale per finalità di trasparenza?
No. Vale la regola generale per la quale i soggetti pubblici possono diffondere dati personali solo se ciò è ammesso da una specifica disposizione di legge o di regolamento.

 

Quali sono i limiti agli obblighi di pubblicazione online di atti e documenti contenenti dati personali?
Dopo aver accertato l’obbligo di pubblicazione di un atto o di un documento sul sito web istituzionale o su altro canale predisposto per l’adempimento degli obblighi di trasparenza, l’Amministrazione deve verificare che contenga solo i dati personali strettamente necessari e proporzionati alla finalità specifica perseguita.

 

Quali precauzioni si devono prendere quando si pubblicano online dati personali a fini di trasparenza?
Qualunque trattamento deve rispettare i principi di:

• liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato;
• limitazione della finalità del trattamento, compreso l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati;
• minimizzazione dei dati: ossia, i dati devono essere adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento;
• esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento;
• limitazione della conservazione: ossia, è necessario provvedere alla conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
• integrità e riservatezza: occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento.

Nell’adempimento ad obblighi di trasparenza è necessario porre particolare attenzione alle seguenti categorie di dati, applicando l’oscuramento laddove la pubblicazione non sia prevista da una specifica norma di legge:

• Dati particolari (cd. sensibili) ovvero dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale; dati genetici, biometrici o relativi alla salute, alla vita sessuale o all’orientamento sessuale della persona. In particolare, è sempre vietata la pubblicazione di dati sulla salute e sulla vita sessuale. Altri dati sensibili (etnia, religione, appartenenze politiche etc.) possono essere diffusi solo laddove indispensabili al perseguimento delle finalità di rilevante interesse pubblico.
• Dati giudiziari ovvero relativi a condanne penali e reati o misure di sicurezza.
• Dati relativi a minori e in particolare informazioni personali di minori senza adeguata autorizzazione.
• Dati finanziari personali ovvero informazioni su conti bancari, debiti, crediti e altre informazioni finanziarie strettamente personali che non siano strettamente attinenti all’obbligo di trasparenza.
• Dati di localizzazione ovvero informazioni che rivelano la posizione geografica precisa di un individuo.

Tutti i dati personali non necessari devono essere oscurati in modo effettivo ed irreversibile. Nel caso di documenti in formato PDF, può non essere sufficiente apporre, tramite uno strumento di editing, una banda nera o di altro colore sul dato che si desidera oscurare. Il testo in questione, infatti, potrebbe rimanere all’interno del file pdf anche se non visibile e potrebbe esserne quindi estratto. Per ovviare a questo problema, dopo aver apposto la banda sul/sui dato/i personale/i non necessario/i, è possibile trasformare il file pdf in uno o più file immagine (un file per ogni pagina, in formati quali jpeg, bmp, tiff o gif) e poi riconvertire il/i file immagine in un unico file pdf, usando le opzioni di stampa PDF di Windows o MacOS e, nel caso di più file immagine, quelle di unione di più file in un unico pdf fornite da Acrobat o altro software analogo.

Un altro metodo è quello di stampare il documento su carta, oscurare i dati non necessari ed effettuare una scansione salvando in formato pdf.

 

Esistono linee guida del Garante che fanno riferimento alla trasparenza online della PA?
Sì. Il testo integrale è reperibile alla URL https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3134436.

Di seguito si riporta una sintesi dei contenuti.

Principi generali
È sempre necessario rispettare tutti i principi e le precauzioni previsti dalla normativa sul trattamento di dati personali.

I dati sensibili (etnia, religione, appartenenze politiche etc.) possono essere diffusi solo laddove indispensabili al perseguimento delle finalità di rilevante interesse pubblico.

Occorre adottare misure per impedire la indicizzazione dei dati sensibili da parte dei motori di ricerca e il loro riutilizzo.

Qualora le PA intendano pubblicare dati personali ulteriori rispetto a quelli individuati nel decreto legislativo n.33, devono procedere prima all´anonimizzazione di questi dati, evitando soluzioni che consentano l’identificazione, anche indiretta o a posteriori, dell’interessato.

Riutilizzo di dati pubblicati in formato aperto
I dati pubblicati on line non sono liberamente utilizzabili da chiunque per qualunque finalità, ma solo in termini compatibili con gli scopi per i quali sono raccolti e nel rispetto delle norme sulla protezione dei dati personali.

I dati sensibili e giudiziari non possono essere riutilizzati.

Durata degli obblighi di pubblicazione
Il periodo di mantenimento on line dei dati è stato generalmente fissato in 5 anni dal decreto legislativo n.33. Sono previste però alcune deroghe, come nell’ipotesi in cui gli atti producano i loro effetti oltre questa scadenza. In ogni caso, quando sono stati raggiunti gli scopi per i quali essi sono stati resi pubblici e gli atti hanno prodotto i loro effetti, i dati personali devono essere oscurati anche prima del termine dei 5 anni.

Indicizzazione nei motori di ricerca
I dati pubblicati per finalità di trasparenza devono essere indicizzati nei motori di ricerca generalisti per il periodo di pubblicazione obbligatorio. Vanno esclusi dall’indicizzazione i dati pubblicati per obblighi di pubblicità diversi (es. pubblicità legale sull’albo pretorio, pubblicazioni matrimoniali etc).

Non possono essere indicizzati (e quindi reperibili attraverso i motori di ricerca) i dati sensibili e giudiziari.

Specifici obblighi di pubblicazione
Risulta proporzionato indicare il compenso complessivo percepito dai singoli dipendenti (determinato tenendo conto di tutte le componenti, anche variabili, della retribuzione). Non è però giustificato riprodurre sul web le dichiarazioni fiscali o la versione integrale dei cedolini degli stipendi. Esistono invece norme ad hoc per gli organi di vertice politico.

A tutela di fasce deboli, persone invalide, disabili o in situazioni di disagio economico destinatarie di sovvenzioni o sussidi, sono previste limitazioni nella pubblicazione dei dati  identificativi.

Vi è invece l’obbligo di pubblicare la dichiarazione dei redditi di politici e amministratori, con l’esclusione di dati non pertinenti (stato civile, codice fiscale) o dati sensibili (spese mediche, erogazioni di denaro ad enti senza finalità di lucro etc.).

 

Gli atti di concessione di benefici economici a determinate categorie di soggetti possono essere pubblicati senza limitazioni?
No. Non possono essere pubblicati i dati identificativi dei soggetti beneficiari di importi inferiori a mille euro nell’anno solare; le informazioni idonee a rivelare lo stato di salute o la situazione di disagio economico-sociale degli interessati; i dati eccedenti o non pertinenti.

 

È necessario bilanciare le disposizioni sulla trasparenza con quelle in materia di privacy?
Con l’adozione di apposite Linee guida (provvedimento del 15 maggio 2014), il Garante è intervenuto proprio per assicurare l’osservanza della disciplina in materia di protezione dei dati personali nell’adempimento degli obblighi di pubblicazione sul web di atti e documenti. Le linee guida hanno lo scopo di individuare le cautele che i soggetti pubblici sono tenuti ad applicare nei casi in cui effettuano attività di diffusione di dati personali sui propri siti web istituzionali per finalità di trasparenza o per altre finalità di pubblicità dell’azione amministrativa.

 

Qual è la normativa di riferimento?
Il d.lgs. 14 marzo 2013, n. 33 e le sue successive modificazioni (cd. decreto trasparenza), che ha riordinato la normativa esistente – anche innovandola – fornendo così una disciplina unitaria della trasparenza amministrativa.

 

È prevista una durata della pubblicazione?
Sì. Il decreto trasparenza pone un termine generale di mantenimento online delle informazioni pari a 5 anni. Le uniche eccezioni riguardano:

• atti che producono effetti: Gli atti che continuano a produrre effetti alla scadenza dei cinque anni devono rimanere pubblicati fino a quando non cessa la loro validità. Ad esempio, le informazioni sui vertici e i dirigenti della P.A. possono restare online oltre i cinque anni, fino alla fine del loro mandato.
• dati dei titolari di incarichi politici e dirigenti: Questi dati devono rimanere pubblicati per i 3 anni successivi alla scadenza dell’incarico.
• altri dati con termini diversi: Alcuni dati possono avere termini di pubblicazione diversi a causa di normative sulla privacy o altre disposizioni.

Oscuramento dopo raggiungimento degli scopi: In ogni caso, una volta raggiunti gli scopi per cui i dati personali sono stati resi pubblici, devono essere oscurati anche prima del termine dei 5 anni.

 

Videosorveglianza

Occorre avere una autorizzazione da parte del Garante per installare le telecamere?
No. Non è prevista alcuna autorizzazione da parte del Garante per installare tali sistemi. In base al principio di responsabilizzazione (art. 5, par. 2, del Regolamento), spetta al titolare del trattamento valutare la liceità e la proporzionalità del trattamento, tenuto conto del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche. Il titolare del trattamento deve, altresì, valutare se sussistano i presupposti per effettuare una valutazione d’impatto sulla protezione dei dati prima di iniziare il trattamento.

È importante sottolineare che il contenuto delle riprese deve essere strettamente correlato con la finalità lecita perseguita (es. sicurezza, tutela del patrimonio aziendale) e non deve configurarsi come controllo a distanza dei lavoratori.

 

Quali sistemi di videosorveglianza necessitano di valutazione d’impatto preventiva?
La valutazione d’impatto preventiva è prevista se il trattamento, quando preveda in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per le persone fisiche (artt. 35 e 36 del Regolamento). Può essere il caso, ad esempio, dei sistemi integrati che collegano telecamere tra soggetti diversi nonché dei sistemi intelligenti, capaci di analizzare le immagini ed elaborarle, ad esempio al fine di rilevare automaticamente comportamenti o eventi anomali, segnalarli, ed eventualmente registrarli. La valutazione d’impatto sulla protezione dei dati è sempre richiesta, in particolare, in caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico (art. 35, par. 3, lett. c) del Regolamento) e negli altri casi indicati dal Garante (cfr. “Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679” dell’11 ottobre 2018).

 

Log della posta elettronica

Quali sono i termini di conservazione dei log della posta elettronica?
Il termine massimo di conservazione dei log di posta elettronica è fissato in 21 giorni, anche per i servizi acquisiti da provider esterni.

L’eventuale conservazione per un termine ancora più ampio potrà essere effettuata solo in presenza di particolari condizioni che ne rendano necessaria l’estensione, comprovando adeguatamente le specificità della realtà tecnica e organizzativa del titolare. Spetta in ogni caso al titolare adottare tutte le misure tecniche ed organizzative per assicurare il rispetto del principio di limitazione della finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati.

Ciò vuol dire che, in caso di conservazione per tempi più lunghi di 21 giorni, la necessità deve essere comprovata, tracciata e messa agli atti dal Titolare. Il ricorso a provider esterno non può essere addotto come motivazione legata alle specificità della realtà tecnica e organizzativa del Titolare, neanche nel caso di adesione a convenzioni (vedi FAQ successive specifiche sull’argomento).

Diversamente, la generalizzata raccolta e la conservazione dei log di posta elettronica per un lasso di tempo più esteso, potendo comportare un indiretto controllo a distanza dell’attività dei lavoratori, richiede l’esperimento delle garanzie previste dall’art. 4, comma 1, della predetta L. n. 300/1970, ovvero l’accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro.

 

Quali sono gli obblighi di trasparenza nei confronti degli interessati in materia di log della posta elettronica?
Il Garante richiama tutti i titolari del trattamento a verificare che la raccolta e la conservazione dei log avvengano nel rispetto dei principi di correttezza e trasparenza nei confronti dei lavoratori e che i lavoratori siano stati adeguatamente informati sul trattamento dei dati personali relativi alle comunicazioni elettroniche che li riguardano (cfr. artt. 5, par. 1, lett. a), 12, 13 e 14 del Regolamento).

A questo proposito è essenziale che gli interessati siano resi pienamente consapevoli delle complessive caratteristiche del trattamento (specificando i tempi di conservazione dei dati, gli eventuali controlli, ecc.).

Ciò vuol dire che nell’informativa sul servizio di posta elettronica dovranno essere indicati anche i tempi di conservazione dei log.

 

Il Titolare è esonerato dal rispetto del termine di conservazione di 21 giorni dei log della posta elettronica quando il servizio è erogato da un provider esterno?
No. Il titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, deve verificare, anche avvalendosi del supporto del Responsabile della protezione dei dati, ove designato, la conformità ai principi applicabili al trattamento dei dati (art. 5 del Regolamento) adottando, nel rispetto del principio di responsabilizzazione, le opportune misure tecniche e organizzative e impartendo le necessarie istruzioni al fornitore del servizio. Il titolare del trattamento deve quindi accertare che siano disattivate le funzioni che non sono compatibili con le proprie finalità del trattamento o che si pongono in contrasto con specifiche norme di settore previste dall’ordinamento, ad esempio, commisurando adeguatamente anche i tempi di conservazione dei dati di log ovvero chiedendo al fornitore del servizio di anonimizzare i metadati raccolti nei casi in cui non si intenda effettuare una conservazione più prolungata degli stessi.

 

Il Titolare è esonerato dal rispetto del termine di conservazione di 21 giorni dei log della posta elettronica quando il servizio è acquisito tramite convenzioni/piattaforme che le pubbliche amministrazioni devono o possono utilizzare per l’acquisto di beni e servizi?
No. Le indicazioni del Garante in materia di tempi di conservazione dei log devono considerarsi valide anche nel caso in cui, in ambito pubblico, i programmi e servizi informatici in questione siano acquistati mediante le convenzioni/piattaforme che le pubbliche amministrazioni devono o possono utilizzare per l’acquisto di beni e servizi.

 

Quali sono gli obblighi dei fornitori dei servizi di posta elettronica?
Il Regolamento Generale sulla Protezione dei Dati prevede che, già in fase di progettazione, sviluppo, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali, i produttori dei servizi e delle applicazioni debbano tenere conto del diritto alla protezione dei dati conformemente allo stato dell’arte.

Anche i fornitori, pertanto, devono contribuire a far sì che i titolari del trattamento possano adempiere ai loro obblighi di protezione dei dati, contemperando le esigenze di commercializzazione su larga scala dei propri prodotti con la conformità degli stessi ai principi del Regolamento, anche nella prospettiva di migliorare il prodotto offerto, sotto il profilo della sua maggiore conformità al Regolamento (v. cons. 78 del Regolamento).

 

Quali sono le responsabilità del Titolare?
Spetta al titolare del trattamento verificare che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti -specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service – consentano al cliente (datore di lavoro) di rispettare la disciplina di protezione dei dati nei termini indicati nel presente documento di indirizzo, anche con riguardo al periodo di conservazione dei metadati secondo quanto indicato al par. 3.

 

Qual è la differenza tra metadati contenuti nei log e metadati contenuti nei messaggi di posta elettronica (envelope)?
In riferimento alla possibile obiezione che i succitati metadati sono contenuti anche all’interno dei messaggi di posta elettronica, conservati per tempi potenzialmente molto più lunghi di 21 giorni nelle caselle di posta, il Garante specifica che:

“Gli stessi metadati come qui intesi non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate –  ancorché talvolta non immediatamente visibili agli utenti dei software “client” di posta elettronica (i cosiddetti MUA – Mail User Agent)  – a formare il cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici. Le informazioni contenute nell’envelope, ancorché corrispondenti a metadati registrati automaticamente nei log dei servizi di posta, sono inscindibili dal messaggio di cui fanno parte integrante e che rimane sotto l’esclusivo controllo dell’utente (sia esso il mittente o il destinatario dei messaggi).“

In altre parole, i metadati contenuti nei messaggi, a differenza di quelli contenuti nei log, sono accessibili all’utente, che può decidere anche l’eventuale cancellazione dal server.

Pertanto, le indicazioni del Garante relativamente ai tempi di conservazione dei metadati come sopra definiti non riguardano i contenuti dei messaggi di posta elettronica (né le informazioni tecniche che ne fanno comunque parte integrante) che rimangono nella disponibilità dell’utente/lavoratore, all’interno della casella di posta elettronica attribuitagli.