Protezione dei Dati
Il GDPR e il Codice Privacy
Il diritto alla protezione dei dati personali è un diritto fondamentale dell'individuo tutelato dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.
In particolare, grazie ad esso ogni individuo può pretendere che i propri dati personali siano trattati da terzi solo nel rispetto delle regole e dei principi stabiliti dalla legge.
In Italia il Codice Privacy è stato novellato a seguito dell’entrata in vigore del Regolamento con il D.lgs. 101/2018, strumento normativo attraverso il quale sono stati inserite le principali innovazione proposte in tema di trattamento dei dati personali da parte del Legislatore europeo.
Alcune definizioni
Dato personale: «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente.
Trattamento: «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali
Un trattamento legittimo è basato su fondamenti normativi solidi e ben definiti al fine garantire all’interessato che il trattamento dei suoi dati avvenga in piena sicurezza e nel rispetto dei suoi diritti.
I principi applicabili al trattamento
Affinché il trattamento dei dati personali sia conforme a quanto previsto dalla Normativa europea e domestica deve rispettare i seguenti principi: (*)
- Liceità, correttezza e trasparenza: la liceità implica che il trattamento sia sorretto dalle c.d. basi giuridiche definite dagli artt. 6 e 9 del Regolamento; l’applicazione del principio di correttezza può essere meglio compreso se si pensa al significato della parola fair in inglese, la quale si riferisce a una condotta di lealtà e buona fede che il titolare deve osservare in tutte le fasi del trattamento dei dati; la trasparenza si traduce nell’obbligo garantire la piena consapevolezza dell’interessato circa il soggetto che tratta i suoi dati, il modo in cui li tratta.
- Limitazione delle finalità: è la garanzia a favore dell’interessato che i suoi dati saranno trattati solo ed esclusivamente per il conseguimento delle finalità per cui sono stati raccolti;
- Minimizzazione dei dati: all’interessato viene garantito che saranno trattati solo i dati necessari al conseguimento delle finalità;
- Limitazione della conservazione: i dati saranno conservati per un arco di tempo necessario al conseguimento delle finalità;
Il principio di accountability
Secondo questo principio di Accountability (=responsabilizzazione) la compliance privacy di natura preventiva è una delle chiavi di volta del GDPR.
Il titolare del trattamento deve, dunque, essere in grado di dar prova di avere adottato delle misure - da quelle giuridiche a quelle tecnico-organizzative - volte a garanzia dei dati personali degli interessati.
Il Registro del Trattamento
Il Registro del Trattamento (RdT), previsto e disciplinato all’art. 30 GDPR, è quel documento redatto in forma scritta, cartacea o elettronica, preordinato a registrare tutte le attività trattamentali poste in essere dal Titolare e dal Responsabile del trattamento. Le condizioni minime sono indicate dal citato articolo ed esso rappresenta uno strumento idoneo a verificare il grado di accountability del titolare del trattamento (vedi punto 1.3).
(*) L’elenco contiene i principi di maggiore rilevanza necessari a fornire una spiegazione esemplificativa e non esaustiva.
Il Data Protection Officer
Il Data Protection Officer (DPO), in italiano Responsabile per la protezione dei dati personali, è la figura che deve essere obbligatoriamente designata dal Titolare e dal Responsabile del trattamento, ai sensi dell’art. 37 GDPR, quando:
- le attività trattamentali sono poste in essere da una Pubblica Amministrazione;
- le attività principali del titolare o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- le attività principali del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 GDPR o di dati relativi a condanne penali e a reati di cui all’art. 10 GDPR.
Il DPO deve possedere conoscenze specialistiche e qualità professionali adeguate al ruolo ricoperto; unitamente a queste deve essere dotato di autonomia funzionale, in quanto il titolare o il responsabile devono garantire che il DPO adempia ai propri compiti ed alle proprie funzioni in piena indipendenza, senza ricevere alcuna istruzione.
Venendo ai compiti del Data Protection Officer, questi sono puntualmente individuati dall’art. 39 del GDPR e, nello specifico, deve:
- Informare il titolare o il responsabile e fornire consulenza;
- Sorvegliare l’osservanza del GDPR;
- Fornire se richiesto un parere in merito alla DPIA;
- Cooperare con l'autorità di controllo e fungere da punto di contatto ad es. in caso di consultazione preventiva ex art. 36 GDPR.
Misure di Sicurezza
All’interno del Regolamento è previsto che il Titolare e il Responsabile del Trattamento adottino misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio derivante dal trattamento. L’adozione di dette misure deve essere in grado di assicurare la riservatezza, l'integrità e la disponibilità dei dati trattati.
L’art. 32 del GDPR nell’indicare alcune delle misure di sicurezza utilizzabili al fine di preservare il dato si sofferma sulla pseudonimizzazione e la cifratura del dato:
- La pseudonimizzazione permette di mascherare il dato, sostituendo le informazioni identificative, ossia quelle informazioni idonee a renderlo riconducibile a una persona fisica, con degli indicatori generati mediante algoritmi, ma non solo;
- La cifratura o crittografia, che può essere simmetrica o asimmetrica, è una procedura idonea a rendere il dato indecifrabile, il quale potrà poi essere nuovamente decifrato soltanto da coloro i quali possiedono la chiave di conversione, ossia la combinazione che ha cifrato il dato.
Data Breach
Il Regolamento si poggia su una logica di carattere proattivo, che nella materia della protezione dei dati si esplica nella adozione di procedure idonee a ridurre il rischio e portare il livello di allerta derivante dal trattamento ad un livello accettabile. In questa ottica di prevenzione è prevista una procedura da seguire in caso di violazione dei dati personali; detta procedura prevede che il Titolare del trattamento senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali. Particolare attenzione deve porsi alla tipologia di sinistro privacy intercorso, nonché all’impatto che quest’ultimo è capace di esplicare nei confronti dei diritti e delle libertà degli interessati. In caso di risposta affermativa, il titolare del trattamento dovrà procedere alla comunicazione ai soggetti interessati coinvolti senza ingiustificato ritardo.
Informazioni privacy
Nell’ottica della più totale trasparenza, il Regolamento prevede che l’interessato debba avere la piena consapevolezza delle attività trattamentali effettuate sui propri dati, a tal proposito gli articoli 13 e 14 del GDPR stabiliscono il contenuto minimo delle informazioni da fornire in maniera chiara, intelligibile e facilmente accessibile a quest’ultimo:
- dati di contatto del Titolare e del Responsabile del Trattamento;
- dati di contatto del DPO - RPD;
- base giuridica;
- periodo di conservazione;
- indicazione dei diritti dell’interessato;
- se trasferisce i dati personali in Paesi terzi.
Inoltre, in ossequio al principio di stratificazione le informazioni privacy possono essere fornite con modalità alternative e in modo più funzionale possibile rispetto alle finalità e all’utenza destinataria. Dunque, risultano ammissibili e idonee anche informazioni privacy sotto forma grafica, audio, video purché le stesse rispettino i principi sanciti dalla normativa e richiamate dal Garante per la Protezione dei Dati Personali.
informazioni privacy ai fini della verifica della certificazione verde “Green Pass”
L’Istituto Superiore di Sanità, con sede legale in Viale Regina Elena n. 299 – 00161 Roma, C.F. 80211730587 – Partita I.V.A. 03657731000 (di seguito “ISS”) in qualità di Titolare del trattamento informa, ai sensi degli artt. 13 e 14 del Regolamento UE n. 679/2016 (in seguito “GDPR”) e del Codice Privacy D. Lgs. 196/2003, così come novellato dal D. Lgs. 101/2018, che i dati personali saranno trattati con le modalità e per le finalità seguenti:
1. Finalità e base giuridica del trattamento
I dati sono trattati dall’ISS in qualità di Titolare del trattamento, per finalità di contenimento del contagio da Covid-19 tramite verifica della certificazione verde “Green Pass” per l’accesso presso la struttura ISS.
La base giuridica del trattamento dei dati personali di cui al punto n. 2 delle seguenti informazioni privacy si rinviene nell’obbligo di legge ai sensi dell’art. 6, par. 1, lett. C) GDPR sulla base di quanto previsto dal D.L. n. 52/2021, convertito con modificazioni dalla Legge n. 87/2021 e dal DPCM 17 giugno 2021.
2. Categorie di dati personali
Per le finalità di cui al punto n. 1 saranno trattate le seguenti categorie di dati personali:
- dati anagrafici
- dati relativi alla validità della certificazione mediante il sistema di rilevamento a colori dell’App “Verifica C-19” (Colore rosso: invalida; colore verde: valida)
3. Modalità di trattamento
Il trattamento dei dati personali è realizzato per mezzo delle operazioni indicate all’art. 4, par. 1, n. 2 GDPR e più precisamente: raccolta e consultazione.
I dati sono trattati dai Titolare solo con modalità, strumenti e procedure informatiche, strettamente necessarie per realizzare le finalità descritte al punto n. 1.
Il Titolare del trattamento procederà esclusivamente alla visualizzazione del nominativo associato alla certificazione, non procedendo ad altre attività trattamentali quali registrazione o conservazione.
Il personale interno dell’ISS, incaricato con apposito atto formale del Datore di Lavoro, provvederà alla predisposizione di controlli, attraverso sistemi informatizzati, localizzati nei diversi ingressi del comprensorio, e permetterà l’accesso alla struttura solo previo controllo del Green Pass tramite l’applicazione “Verifica C-19”, strumento funzionale alla verifica della certificazione tramite QR Code come da previsioni di legge. L’applicazione permetterà ai soggetti preposti di controllare la validità del Green Pass tramite un segnale a colori (rosso quando invalida, verde quando valida) e il solo nominativo dell’interessato sottoposto alla verifica.
Saranno inoltre effettuati controlli a campione dai direttori di Struttura e dall’RSPP, anch’essi formalmente incaricati, in modo da sopperire all’eventuale possibile malfunzionamento di uno dei sistemi utilizzati.
Il Titolare predispone inoltre misure di sicurezza fisiche, tecniche e organizzative ai sensi dell’art. 32 GDPR per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati (Data Breach).
4. Periodo di conservazione
L’ISS non conserverà alcun dato personale degli interessati, poiché procederà esclusivamente alla consultazione dei soli dati anagrafici e del segnale a colori al fine di valutare l’accesso presso la struttura di riferimento.
Per ulteriori informazioni sui dati trattati nell’ambito dell’utilizzo dell’App "Verifica C-19", si rimanda alle specifiche dell’app consultabili presso il sito della piattaforma Digital Green Certificate (DGC) del Ministero della Salute.
5. Accesso e comunicazione dei dati personali
I dati potranno essere accessibili per le finalità di cui al punto n. 1 da tutti i soggetti coinvolti nell’ambito del controllo degli accessi presso l’ISS; nonché ad altri Enti, Organismi, Autorità verso i quali il Titolare del trattamento ha un obbligo di comunicazione previsto dalla legge e/o per le medesime finalità e base giuridica di cui al punto n. 1.
6. Diritti dell’interessato
L’interessato dispone dei diritti di cui agli art. 15, 16 e 18 GDPR, più precisamente
- (i) diritto di accesso
- (ii) diritto di rettifica
- (iii) diritto di limitazione di trattamento, nonché
- (iv) il diritto di proporre reclamo all’Autorità Garante (art. 77 GDPR e art. 141 Codice Privacy, così come novellato dal D. Lgs. n. 101/2018).
7. Modalità di esercizio dei diritti
Il soggetto interessato potrà in qualsiasi momento esercitare i diritti inviando apposita comunicazione all’indirizzo PEC del titolare del trattamento, ISS – Istituto Superiore di Sanità, con sede legale in Viale Regina Elena n. 299, 00161 Roma RM: protocollo.centrale@pec.iss.it.
8. Identità e dati di contatto
TITOLARE DEL TRATTAMENTO – ISS – ISTITUTO SUPERIORE DI SANITÀ
In persona del Presidente: Professor Silvio Brusaferro
E-mail: presidenza@iss.it
PEC: protocollo.centrale@pec.iss.it
Tel.: 06 4990 1
DATA PROTECTION OFFICER (DPO) – SCUDO PRIVACY S.r.l.
Nella persona del Dott. Carlo Villanacci
E-mail: responsabile.protezionedati@iss.it
PEC: scudoprivacy@legalmail.it