Autorizzazione al Trattamento dei Dati Personali

Università degli Studi di Pavia

Protezione dei Dati Personali

Privacy policy del sito

Titolare del trattamento

Il Titolare del trattamento è l’Università degli Studi di Pavia nella persona del Magnifico Rettore. Dati di contatto: sede C.so Strada Nuova n. 65, IT-27100 Pavia, PEC amministrazione-centrale@certunipv.it

Responsabile della Protezione dei Dati

Dati di contatto: sede C.so Strada Nuova n.65, IT-27100 Pavia, telefono n. +39 0382/985490, Email privacy@unipv.it

Informative sul trattamento dei dati personali

Specifiche informative sui singoli servizi sono rese disponibili nei casi in cui il contesto lo richieda.

I minorenni, prima di comunicare i dati all’Ateneo, sono pregati di leggere attentamente le informative insieme ai genitori o a chi ne fa le veci.

Principi

I trattamenti sono improntati ai principi previsti dalla normativa in materia di protezione dei dati personali, con particolare riguardo alla liceità , correttezza e trasparenza dei trattamenti, all’utilizzo dei dati per finalità determinate, esplicite, legittime, in modo pertinente rispetto al trattamento, rispettando i principi di minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza, responsabilizzazione.

Finalità del trattamento

I dati sono trattati dall’Università degli Studi di Pavia in qualità di Titolare per l’esecuzione dei propri compiti istituzionali di interesse pubblico o comunque connessi all’esercizio dei propri pubblici poteri, tra cui gli adempimenti richiesti dalla legge ai fini della gestione del rapporto didattico/amministrativo/di lavoro tra Università , studenti, collaboratori e dipendenti.

Conservazione

La determinazione del periodo di conservazione dei dati personali risponde al principio di necessità del trattamento. I termini di conservazione dei dati personali dipendono in generale dalle leggi e dai tempi di conservazione degli atti che li contengono. I dati saranno conservati in conformità alle norme sulla conservazione della documentazione amministrativa.

Categorie di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza in qualità di Responsabili o Incaricati

I dati personali degli utenti potranno essere conosciuti e trattati, nel rispetto della vigente normativa in materia, da personale e da collaboratori dei competenti uffici dell’Università , autorizzati e adeguatamente istruiti dal Titolare o dai fornitori di servizi espressamente nominati come responsabili esterni del trattamento (a norma dell’art. 28 del RGPD) ai quali l’Università affida dei servizi di gestione tecnica-amministrativa di propria competenza in outsourcing. I dati personali potranno essere comunicati, nei casi previsti da disposizioni comunitarie, norme di legge o regolamento.

Resta ferma l’osservanza da parte dell’Università degli Studi di Pavia della vigente normativa in materia di trasparenza e di pubblicazione obbligatoria di dati e documenti.

Diritti degli interessati

Gli interessati hanno il diritto di chiedere al Titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che li riguarda o di opporsi al trattamento (artt. 15 e ss. del Regolamento UE 679/2016). L’apposita istanza è presentata al Titolare, sede C.so Strada Nuova n. 65, IT-27100 Pavia, PEC amministrazione-centrale@certunipv.it anche tramite il Responsabile della Protezione dei dati personali.

Struttura organizzativa interna

L’Ateneo ha adottato una struttura organizzativa volta a garantire una efficace gestione dei dati e un processo di adeguamento alla normativa con la collaborazione di tutta la comunità accademica. Tale organizzazione è basata sulla responsabilizzazione del personale in funzione del ruolo che riveste.

organigramma privacy

Regolamento per il trattamento dei dati sensibili e giudiziari -Art. 4 D. Lgs 196/2003- D.R n. 1061/2006: Regolamento_per_i_dati_sensibil_e_giudiziari

Regolamento per l’utilizzo della risorse informatiche e telefoniche – D.R. n. 383/2010: Regolamento_per_utilizzo_risorse_informatiche_telefoniche

Disciplinare sull’impiego di sistemi di videosorveglianza negli ambienti dell’Università degli Studi di Pavia

Nell’Area Riservata sono presenti indicazioni operative e modelli utili:

1 sezione: Adempimenti previsti dal Regolamento europeo

sottosezioni

Indicazioni procedurali contenente il Modello organizzativo privacy dell’Università degli Studi di Pavia integrato con le indicazioni procedurali.

contenente il Modello organizzativo privacy dell’Università degli Studi di Pavia integrato con le indicazioni procedurali. Clausole privacy contratti contenente il Flowchart per l’applicazione pratica dei concetti di titolare, responsabile e contitolare del trattamento e le clausole standard da adottare.

contenente il Flowchart per l’applicazione pratica dei concetti di titolare, responsabile e contitolare del trattamento e le clausole standard da adottare. Videosorveglianza

Misure di sicurezza

2 sezione: Ricerca scientifica

sottosezioni

Scheda analisi progetto di ricerca e dichiarazione di impegno ricercatori

Modelli informativa e consenso ricerca scientifica

Misure di sicurezza nella ricerca

3 sezione: Modulistica

4 sezione: Rettorali

5 sezione: Didattica a distanza – Diritto d’autore

6 sezione: FAQ

Privacy, guida sintetica per le aziende: ecco cosa fare

Privacy: cosa devono fare le aziende per rispettare le regole previste dal GDPR? Di seguito una guida completa ed aggiornata agli adempimenti per adeguare la propria impresa alla normativa vigente.

Privacy: cosa devono fare le aziende per il rispetto delle regole previste dal GDPR?

“I tuoi dati sono un tesoro da proteggere insieme” è lo slogan adottato dal Garante per la protezione dei dati personali in una delle campagne pubblicitarie susseguitesi a partire dalla piena applicazione del Regolamento (UE) 2016/679 e finalizzate ad accrescere l’importanza della protezione dei dati.

La summenzionata normativa (Regolamento Generale Sulla Protezione Dei Dati – RGPD o GDPR) ha, di fatto, contribuito in maniera significativa a rendere la protezione dei dati personali un perno del nostro ordinamento.

Il suo campo di applicazione estremamente ampio ci consente di affermare che, salvo rare eccezioni, ogni azienda e ogni professionista sia chiamato al rispetto delle disposizioni contenute nel Regolamento stesso e nella normativa nazionale (d.lgs. n. 196/2003, così come modificato dal d.lgs. n. 101/2018).

Tuttavia, passati ormai diversi anni dalla piena efficacia del GDPR, ancora oggi numerose imprese non hanno completato - o, addirittura, intrapreso - il loro percorso di adeguamento nonostante i considerevoli rischi conseguenti in termini di impatto diretto sul business e commissione di illeciti amministrativi e penali (con conseguenti elevate sanzioni).

Nelle righe che seguono si proverà a fornire una sintetica e semplice guida per l’adeguamento di un’impresa al GDPR e alla normativa privacy in generale.

Guida agli adempimenti sulla privacy: l’analisi dell’azienda e l’individuazione delle attività di trattamento

Innanzitutto, ogni azienda, in qualità di Titolare, deve individuare quali sono le attività di trattamento di dati personali effettuati e quali sono le tipologie di dati trattati nell’ambito della propria operatività. Quest’analisi preliminare è fondamentale al fine di individuare la strategia adeguata a garantire la protezione dei dati.

Spesso si crede, erroneamente, di non trattare dati personali e quindi di essere “esentati” dal rispetto della normativa.

Difatti, se con riguardo a studi medici, call center, laboratori analisi, software house il trattamento di dati è connaturato alla natura dell’attività professionale e, quindi, non sussistono dubbi interpretativi, vi sono invece altri soggetti in relazione ai quali può risultare non immediata l’individuazione della portata ed estensione della normativa.

Come comportarsi, infatti, in tutte quelle situazioni meno chiare? Si pensi, ad esempio, all’attività di un artigiano o di un piccolo negozio di alimentari.

Apparentemente tali soggetti non trattano informazioni, ma in realtà è sufficiente che sia conservato un elenco di anagrafiche (clienti, fornitori, etc.) o sia presente anche solo un dipendente per ritrovarsi improvvisamente in possesso di un database di dati personali non indifferente, le cui informazioni dovranno essere trattate nel pieno rispetto del GDPR.

Una volta individuate le attività di trattamento (e quindi i dati personali trattati) sarà necessario analizzarle ponendosi poche e semplici domande:

in che modo raccolgo queste informazioni/dati?

per quale motivo tratto queste informazioni/dati (finalità del trattamento)?

sono legittimato a trattarle?

in che modo le conservo?

per quanto tempo?

Al fine di agevolare tale analisi, si consiglia di:

effettuare una ricognizione dei moduli di raccolta dati , dei contratti e/o dei documenti informativi già in uso;

, dei contratti e/o dei documenti informativi già in uso; verificare, ove necessario in relazione alla finalità perseguita, l’acquisizione dei consensi al trattamento ;

; individuare, anche sulla scorta dei moduli utilizzati, le finalità del trattamento perseguite ;

; censire i propri archivi, digitali e cartacei, nonché tutta la strumentazione utilizzata nelle attività di trattamento dei dati personali (es. computer, tablet, dispositivi removibili);

nelle attività di trattamento dei dati personali (es. computer, tablet, dispositivi removibili); verificare le politiche in uso per la cancellazione dei dati (es. sistema automatizzato di sovrascrittura, distruzione programmata degli archivi cartacei).

In merito alla legittimazione a trattare i dati, si rammenta che non è necessario acquisire il consenso dell’interessato per ogni finalità perseguita.

Si pensi al trattamento dei dati di un cliente per l’esecuzione della prestazione richiesta: in tal caso, tale trattamento sarà legittimato a monte dalla sussistenza di un contratto tra le parti.

Tale prima fase consentirà all’azienda di avere un quadro complessivo relativo all’“impatto” delle proprie attività in ambito privacy.

Guida agli adempimenti privacy per le aziende. Valutazione dei rischi e implementazione delle misure di sicurezza

Dopo aver raccolto le informazioni suindicate e aver delineato un quadro generale sulle attività di trattamento svolte, un’azienda deve occuparsi di valutare i rischi ad esse collegati e, sulla base di tale valutazione, implementare le misure volte a mitigare tali rischi e garantirne la sicurezza dei dati e delle informazioni raccolte e trattate.

L’obiettivo di questa operazione consiste nel diminuire il rischio che possa verificarsi una perdita, modifica o accesso non autorizzato alle informazioni personali (e non solo) possedute dall’azienda.

Una corretta valutazione del rischio, con conseguente applicazione di idonee misure di sicurezza, consente:

di ridurre possibili sanzioni e/o richieste di risarcimento danni da parte degli Interessati nel caso in cui si verifichi una violazione dei dati personali (cd. Data Breach); di tutelare il proprio patrimonio informativo, elemento che acquista sempre più importanza nella vita di ogni azienda.

Nel predisporre un sistema di protezione delle informazioni è, tuttavia, doveroso ricordare che non sono più previste dalla normativa specifiche misure di sicurezza che possano essere considerate “adeguate” senza una preliminare valutazione.

Il Regolamento Europeo, infatti, al fine di rendere effettiva la tutela e la protezione dei dati personali, accoglie, il principio di privacy by design e il principio di accountability.

Oggi, pertanto, si è chiamati a mettere in atto misure tecniche e organizzative che siano idonee a garantire un livello di sicurezza adeguato al rischio.

Tale cd. adeguatezza viene, quindi, rimessa a una libera valutazione del Titolare, che dovrà adottare le precauzioni ritenute più opportune ed esser pronto, in ogni momento, a motivare le scelte effettuate.

Al fine di adottare misure adeguate, non si può prescindere da una approfondita valutazione dei rischi che tenga conto, in caso di ipotetica violazione dei dati, degli effetti negativi che potrebbero verificarsi sulle libertà e i diritti degli interessati.

All’esito di tale valutazione il Titolare potrà decidere in autonomia se iniziare il trattamento o procedere con un’ulteriore e più specifica analisi (cd Valutazione di Impatto o DPIA), che potrebbe concludersi con il dover consultare l’Autorità Garante per ottenere indicazioni su come gestire il rischio residuale.

Se non è possibile determinare a prescindere misure di sicurezza “adeguate”, è tuttavia possibile individuare alcune buone prassi da applicare in ogni azienda: assicurare un ottimo livello di sicurezza in ambito informatico.

Si consideri, a tal proposito, che in Italia sono in costante aumento gli attacchi cibernetici che mirano ad impossessarsi dei dati di una azienda. Termini come ransomware, phishing, data breach sono, infatti, oramai ben noti a tutti.

Lo scopo, purtroppo, è sempre lo stesso: le informazioni vengono sottratte o criptate affinché il cybercriminale possa guadagnare rivendendole a terzi o costringendo l’azienda a pagare un riscatto per recuperarle.

Un buon antivirus, un firewall, una password complessa e cambiata con regolarità ed una rete informatica efficacemente gestita, per quanto banali, sono ancora i principali baluardi a protezione dei nostri dati riversati in archivi digitali.

È fondamentale, altresì, assicurare la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico.

Poniamo il caso che, nonostante tutti i nostri accorgimenti, il nostro vecchio computer abbia improvvisamente smesso di funzionare o sia stato hackerato: ebbene, la perdita anche temporanea, della disponibilità dei dati costituisce un grave problema per l’azienda.

Anche in questo caso, una soluzione semplice e alla portata di ogni azienda è disponibile: un backup dei dati, se effettuato con regolarità e su dispositivi sicuri, è uno strumento “salvavita”.

Tali accorgimenti devono sempre essere accompagnati da una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative adottate.

Tutela protezione dati aziendali: implementare le misure organizzative

Un rimedio che si dimostra sempre decisamente efficace è quello volto a rafforzare le misure di sicurezza organizzative per consentire una gestione delle attività ordinata e consapevole, che miri a semplificare l’attività e a rendere tutti i soggetti coinvolti partecipi.

Ciò si può tradurre nella previsione di specifiche procedure che consentano di rappresentarsi ex ante le attività da svolgere in ogni evenienza come, ad esempio, in caso di violazione delle informazioni, di gestione delle richieste degli interessati ovvero per disciplinare l’utilizzo degli strumenti informatici.

Si tratta di un passaggio fondamentale per garantire a un’azienda di dotarsi di una corretta impostazione “a monte” del trattamento dei dati che persista per tutta la durata del trattamento.

Da non dimenticare, infine, tra le misure organizzative, la formazione del personale.

Infatti, tutte le misure di sicurezza che un’azienda può adottare risulteranno inefficaci se chi agisce al suo interno (e concretamente tratta dati personali) non è stato adeguatamente formato e istruito: investire nella formazione e aggiornamento dei propri dipendenti/collaboratori è, oggi, un’attività imprescindibile.

Nomina, ove necessario, di un Responsabile per la protezione dei dati (DPO o RPD)

Il Responsabile della protezione dei dati (RPD) o Data Protection Officer (DPO) è una figura a cui il legislatore affida un ruolo determinante, mediante la previsione di specifici compiti e poteri tra cui la sensibilizzazione e formazione del personale, l’attività di consulenza resa nei confronti del Titolare, nonché la sorveglianza sull’osservanza del GDPR.

La sua designazione, regolata dall’art. 37 del GDPR, è tuttavia obbligatoria solo in alcune circostanze:

a) il trattamento deve essere effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) le attività principali del titolare del trattamento o del responsabile del trattamento devono consistere in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

c) le attività principali del titolare del trattamento o del responsabile del trattamento devono consistere nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10 del GDPR.

Tali elementi solitamente emergono sempre a seguito della prima analisi che l’azienda è chiamata a effettuare. Sarà pertanto compito del Titolare valutare la necessità o opportunità di nominare un Responsabile della Protezione dei dati.

Predisposizione della c.d. Informativa Privacy per gli interessati

Dopo aver individuato i dati personali trattati e aver impostato una corretta politica di raccolta e conservazione, l’azienda dovrà quindi preoccuparsi di garantire agli interessati la possibilità di esercitare tutti i diritti previsti dal GDPR.

Tra questi, il primo è senza dubbio il diritto dell’Interessato a essere informato.

L’azienda, difatti, è tenuta a fornire all’interessato una serie di informazioni tra cui, principalmente:

l’identità e i dati di contatto di chi tratterà le sue informazioni (il cd. Titolare del trattamento);

i dati di contatto del Responsabile della protezione dei dati (ove presente);

le finalità del trattamento e la corrispondente base giuridica;

eventuali destinatari o categorie di destinatari a cui potranno essere comunicati i dati personali;

il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

i diritti dell’interessato e i canali per il loro esercizio, nonché in diritto di porre reclamo all’Autorità Garante;

l’eventuale obbligatorietà del conferimento dei dati personali nonché le possibili conseguenze del mancato conferimento.

I documenti informativi dovranno essere sempre specifici e personalizzati in relazione al loro destinatario (c.d. Interessato): le informazioni contenute nel documento destinato ai clienti non potranno, quindi, essere le stesse inserite nel documento destinato ai dipendenti.

Altresì, è possibile prevedere informative specifiche per attività di trattamento. Si pensi alle informative che devono essere prodotte, ad esempio, nel caso in cui sia presente in azienda un impianto di videosorveglianza.

L’onere di fornire la cd. “Informativa Privacy” non deve essere assolutamente sottovalutata dalle aziende, poiché un’informativa poco leggibile e confusionaria potrebbe provocare un doppio effetto nefasto: una reazione di sfiducia e di sospetto da parte dell’Utenza, nonché un (probabile) intervento sanzionatorio da parte dell’Autorità Garante.

Quali sono, quindi, le caratteristiche che un’informativa deve rispettare per non esporre l’azienda al rischio di sanzioni o di contestazioni?

Un’informativa corretta deve essere chiara, concisa, precisa e trasparente.

Sono quindi da scartare le informative ridondanti, di difficile interpretazione e soprattutto i blasonati modelli “sicuri”, universali e standardizzati: tali soluzioni, offrendo solo una sicurezza illusoria, rischiano di rivelarsi un pericoloso boomerang per le aziende.

In questo caso la quantità di informazioni contenute nel documento non è quasi mai sinonimo di qualità e lo dimostra lo stesso approccio che molte grandi società stanno adottando con comunicazioni privacy sempre più smart e focalizzate nel fornire, almeno ad un primo impatto, poche e precise informazioni (servendosi anche di iconografie).

Tali accorgimenti valgono anche per la cd. Privacy Policy, che altro non è che un’informativa specifica per i dati personali trattati dalle aziende per mezzo del loro sito web.

Sempre in tema di diritti, dopo aver correttamente informato l’interessato, l’azienda è tenuta ad agevolare l’esercizio dei diritti previsti dal GDPR, tra cui il diritto di Accesso, di Rettifica e di Cancellazione.

Tali diritti – per la cui analisi si rinvia alla normativa e in particolare agli artt. 15, 16 e 17 del Regolamento UE 2016/679 – costituiscono un importantissimo strumento di tutela, consentendo all’interessato di incidere e recuperare il controllo sui propri dati in qualsiasi momento.

Al fine di rendere attuale e concreto l’esercizio di tali diritti, il Garante per la Protezione dei Dati Personali ha, del resto, avviato una rilevante campagna di sensibilizzazione proprio in questo settore offrendo, altresì, strumenti per l’effettivo esercizio di tali diritti (modelli editabili, tool di autovalutazione per Valutazione di Impatto e Data Breach).

A tal proposito, dal 15 marzo 2021, è on line una piattaforma digitale gratuita (accessibile dal sito che permette agli interessati e ai titolari di rendere più semplice, rispettivamente, l’esercizio dei summenzionati diritti e il riscontro alle richieste/reclami degli interessati.

Mediante questo strumento, per gli interessati sarà possibile precisare le richieste che si intendono formulare ai Titolari del trattamento dei propri dati (es. chiamate commerciali su prodotti che non ci interessano o sms o e-mail da società da cui non abbiamo mai effettuato acquisti) e, nel caso non si sia soddisfatti del riscontro ricevuto, inoltrare un reclamo al Garante.

Anche i Titolari del trattamento potranno giovare di questo strumento, nel caso in cui preferiscano addivenire a una composizione bonaria della controversia. Infatti, è a loro dedicata un’apposita sezione che consentirà di gestire adeguatamente le richieste e/o reclami ricevute dagli interessati senza ricorrere al Garante.

Guida alla normativa privacy per le aziende. Individuazione dei ruoli e disciplina dei rapporti con i soggetti coinvolti

Uno dei passaggi fondamentali nella valutazione e attenuazione dei rischi connessi alle operazioni di trattamento consiste, senza ombra di dubbio, nell’individuazione di tutti quei soggetti, interni o esterni alla realtà aziendale, che effettueranno (ed effettuano) trattamenti di dati personali per conto del Titolare.

Infatti, anche il miglior modello organizzativo privacy è destinato a fallire se il Titolare non ha sotto controllo i soggetti che entreranno in contatto con le sue informazioni.

Nel caso in cui questi soggetti siano “interni” all’azienda – come, ad esempio, i dipendenti – si parlerà di soggetti autorizzati al trattamento (incaricati, come nell’accezione utilizzata ante GDPR).

Nel caso in cui l’azienda si affidi per alcune operazioni di trattamento a consulenti esterni (come spesso avviene, ad esempio, nei confronti del consulente del lavoro, dei fornitori di servizi informatici, etc.), tali soggetti dovranno essere individuati quali Responsabili del trattamento (come disciplinato dall’art. 28 del GDPR).

Entrambe queste figure, Autorizzati e Responsabili, devono essere correttamente individuate e responsabilizzate mediante un idoneo atto giuridico (c.d. “nomina”).

È buona prassi tenere sempre sotto controllo non solo le nomine ai Responsabili inoltrate dalla nostra azienda, ma anche quelle ricevute. Una nomina a Responsabile Esterno, infatti, se ignorata o firmata frettolosamente, può produrre conseguenze rilevanti sotto il profilo giuridico.

Redazione del Registro delle attività di trattamento

Il Registro delle attività di trattamento è un documento contenente le principali informazioni sulle operazioni di trattamento svolte in azienda.

È uno dei primi documenti che viene richiesto in caso di ispezione, nonché un valido supporto per l’analisi e il controllo dei propri trattamenti.

L’obbligo di tenuta del Registro è stato spesso sottovalutato dalle aziende, anche perché si è diffusa l’errata convinzione che “chi ha meno di 250 dipendenti non è tenuto ad adempiere a quest’obbligo”.

In realtà, sebbene l’art. 30, par. 5 del GDPR specifichi che: “Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti […]”, questa esenzione non si applica se:

il Titolare effettua trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;

il Titolare effettua trattamenti non occasionali;

il Titolare effettua trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 GDPR, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 GDPR.

Di conseguenza qualunque esercizio commerciale o artigiano con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che tratti dati sanitari dei clienti (es. estetisti, ottici, odontotecnici, tatuatori) è tenuto alla redazione e conservazione del Registro.

L’Autorità Garante, nella sua opera di sensibilizzazione e facilitazione degli adempimenti privacy, ha messo a disposizione un modello di registro “semplificato” per le PMI, con istruzioni particolareggiate per un suo corretto utilizzo.

Normativa privacy e obblighi per le aziende: in conclusione

Un’azienda deve aver ben chiaro un concetto fondamentale, per adeguarsi ai dettami del Regolamento (UE) 2016/679: produrre semplicemente carta non è sufficiente.

Tutta la (voluminosa) documentazione oggi richiesta non è altro che il prodotto dei molteplici passaggi di analisi, pianificazione e controllo che devono essere periodicamente effettuati.

L’adeguamento al GDPR è un processo continuo, dinamico, e non deve esser visto come un unico adempimento. È richiesto un costante monitoraggio e adeguamento delle misure di sicurezza adottate, che possono variare a seconda dell’evolversi delle minacce (anche cibernetiche) e dell’attività svolta dall’azienda.

Tutto ciò non deve intimorire od ostacolare un’impresa dall’intraprendere un percorso di adeguamento ma, al contrario, deve servire per comprendere il giusto approccio da adottare: meno forma e più sostanza.

La corretta gestione degli adempimenti previsti dalla normativa privacy non deve essere considerata come l’ennesima inutile imposizione ma, al contrario, come l’opportunità di tutelare una delle risorse più preziose che l’azienda possegga: i dati.

Autorizzazione al Trattamento dei Dati Personali

Quale dicitura bisogna inserire nel cv per dare l’Autorizzazione al Trattamento dei Dati Personali? E’ obbligatorio inserirla? Cosa è cambiato lo scorso anno e come deve essere fatta nel 2022?

Facciamo chiarezza su questo argomento e vi forniamo tutte le informazioni utili e aggiornate su cosa cambia per l’Autorizzazione al Trattamento dei Dati Personali tenendo in considerazione l’introduzione del GDPR – Regolamento Generale sulla Protezione Dati e del D.Lgs. 101/2018.

SIGNIFICATO

Inserire l’Autorizzazione al Trattamento dei Dati Personali nel proprio Curriculum Vitae significa autorizzare chi riceve il CV (il datore di lavoro, i responsabili Risorse Umane e simili) al trattamento dei dati coperti e tutelati dalla legge sulla Privacy italiana e dal GDPR – Regolamento Generale sulla Protezione Dati, in vigore in tutti i paesi dell’Unione Europea dal 25 maggio 2018 (in inglese General Data Protection Regulation, ufficialmente regolamento UE n. 2016/679).

In sostanza si dà il proprio consenso perchè le informazioni fornite possano essere usate per le sole finalità previste dalla normativa di riferimento. Grazie a questa autorizzazione il datore di lavoro può usare i dati presenti nel cv (es. nome, cognome, email, contatto telefonico ecc.) per procedere con le fasi successive della selezione oppure può conservarli in vista di future ricerche di lavoro.

QUALE DICITURA INSERIRE NEL CV NEL 2022?

Tenendo conto della nuova normativa, se scegliete di autorizzare il trattamento dei dati personali nel CV sono disponibili diverse diciture, che hanno tutte lo stesso significato.

Dunque cosa si scrive a fine curriculum? Potete scegliere, ad esempio, tra una di queste:

1 – Autorizzo il trattamento dei miei dati personali presenti nel curriculum vitae ai sensi del Decreto Legislativo 30 giugno 2003, n. 196 e del GDPR (Regolamento UE 2016/679).

2 – Autorizzo il trattamento dei miei dati personali presenti nel cv ai sensi del Decreto Legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali” e dell’art. 13 del GDPR (Regolamento UE 2016/679).

3 – Autorizzo il trattamento dei dati personali contenuti nel mio curriculum vitae in base all’art. 13 GDPR 679/16.

4 – Autorizzo il trattamento dei miei dati personali ai sensi del Dlgs 196 del 30 giugno 2003 e dell’art. 13 GDPR (Regolamento UE 2016/679) ai fini della ricerca e selezione del personale.

E’ facoltativo precisare che l’autorizzazione al trattamento dei dati viene rilasciata ai sensi dell’articolo 13 del GDPR e che è valida per le sole finalità connesse alle attività di selezione del personale.

Sottolineiamo che l’articolo 13 del Dlgs 196 del 30 giugno 2003 non va più citato, in quanto è stato abrogato dal Decreto Legislativo 10 agosto 2018, n. 101. Il nuovo Decreto, infatti, ha adeguato la normativa nazionale alle disposizioni del regolamento (UE) 2016/679.

AUTORIZZAZIONE AL TRATTAMENTO DEI DATI CV EUROPASS

Per il modello Europass del Curriculum Vitae, che può essere compilato online attraverso il portale web dedicato, predisposto dal Centro europeo per lo sviluppo della formazione professionale (CEDEFOP), ogni candidato può decidere se e quale autorizzazione fornire.

Per ulteriori informazioni sul CV Europass potete visitare questa pagina.

COSA CAMBIA NEL 2022 A LIVELLO NORMATIVO

A partire dal 19 settembre 2018 in Italia è entrato in vigore il D.Lgs. 101/2018, che modifica le norme relative al trattamento dei dati personali e, dunque, anche all’Autorizzazione al trattamento dei dati personali nel CV. Il provvedimento ha lo scopo di adeguare la normativa italiana al GDPR – Regolamento Generale sulla Protezione Dati, entrato in vigore in tutta l’UE dal 25 Maggio 2018.

Cosa cambia con l’entrata in vigore del D.Lgs. 101/2018? Il Decreto Legislativo 10 agosto 2018, n. 101 ha stabilito che il consenso al trattamento dei dati personali presenti nel CV non è dovuto. Questo significa che in base alla nuova normativa sulla privacy, non è più necessario includere il consenso al trattamento dei dati nel Curriculum Vitae. Ciascun candidato può scegliere liberamente di inserirlo o meno.

Cosa succede se non si inserisce l’autorizzazione? L’art. 9, comma 1 c), del Decreto Legislativo 101 / 2018 stabilisce che, nel caso della ricezione di Curriculum spontaneamente trasmessi al fine della instaurazione di un rapporto di lavoro, le informazioni di cui all’articolo 13 del D.Lgs. 196/2003, ovvero quelle che riguardano le modalità in cui saranno trattati i dati del candidato, devono essere fornite dal datore di lavoro al momento del primo contatto utile, successivo all’invio del CV. Questo significa che se il datore di lavoro riceve un CV privo di autorizzazione, dovrà richiedere al candidato l’autorizzazione fornendo tutti i dettagli sulle modalità di utilizzo dei dati. Solo dopo aver ricevuto questo consenso potrà utilizzarli.

INFORMATIVA TRATTAMENTO DATI DATORE DI LAVORO

Quali informazioni deve fornire il datore di lavoro al candidato in merito a come saranno trattati i suoi dati? In base all’articolo 13 del D.Lgs. 196/2003 la persona presso la quale sono raccolti i dati deve ricevere le seguenti informazioni:

finalità e modalità di trattamento dei dati;

e di dei dati; natura obbligatoria o facoltativa del loro conferimento;

o del loro conferimento; conseguenze di un eventuale rifiuto di rispondere;

di un eventuale di rispondere; a chi saranno comunicati i dati o chi potrà venirne a conoscenza, e l’ambito di diffusione degli stessi;

i dati o chi potrà venirne a conoscenza, e l’ambito di diffusione degli stessi; diritto di accesso ai dati personali e altri diritti previsti dall’art. 7 del D.Lgs. 196/2003;

ai dati personali e previsti dall’art. 7 del D.Lgs. 196/2003; estremi identificativi del titolare e di eventuali responsabili o incaricati designati al trattamento dati.

PERCHÈ È UTILE DARE L’AUTORIZZAZIONE AL TRATTAMENTO DEI DATI?

Pur non essendo obbligatorio inserire l’autorizzazione al trattamento dei dati nel CV, è utile farlo perché si permette immediatamente al datore di lavoro di usare i propri dati personali per essere contattati per un colloquio oppure di conservarli per future selezioni.

Chi vuole essere certo che i propri dati vengano utilizzati solo per le finalità connesse alla selezione e non per altri scopi, può precisare questa scelta nella dicitura (si veda come esempio la terza dicitura indicata sopra).

LE LEGGI DI RIFERIMENTO

Dal punto di vista della Legge ciò che regola la Privacy ed i Dati Personali in Italia è il Decreto Legislativo 196 del 30 giugno 2003 (“Codice della privacy” – Testo unico sulla Privacy della Repubblica italiana), modificato dal Decreto Legislativo 101 del 10 agosto 2018, recante ‘Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche’ alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)’.

Dal 2018, infatti, la protezione dei dati è disciplinata anche a livello europeo dal GDPR 2016/679 – Regolamento Europeo sulla Protezione Dati. Con questo regolamento, la Commissione europea ha voluto rafforzare e rendere più omogenea la protezione dei dati personali dei cittadini dell’Unione europea e dei residenti nell’Unione europea. Il testo è stato adottato il 27 aprile 2016 ed è stato pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016. L’entrata in vigore è avvenuta il 25 maggio 2018, momento a partire dal quale il Regolamento ha iniziato ad avere definitivamente efficacia.

Il D.Lgs. 101/2018, pubblicato sulla GU Serie Generale n.205 del 04 settembre 2018, con entrata in vigore dal 19 settembre, è stato emanato per adeguare il D.Lgs. 196/2003 alle norme UE. Sull’applicazione della normativa vigila l’Autorità Garante per la protezione dei dati personali (Garante Privacy).

COSA SONO I DATI PERSONALI?

I dati personali sono tutte le informazioni che identificano una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, etc. All’interno di questa vasta categoria vi sono:

Dati identificativi : nome, cognome, numeri di telefono, indirizzi e-mail, indirizzo di abitazione. In generale, qualunque informazione che permette l’identificazione diretta di persone fisiche, persone giuridiche, enti o associazioni.

: nome, cognome, numeri di telefono, indirizzi e-mail, indirizzo di abitazione. In generale, qualunque informazione che permette l’identificazione diretta di persone fisiche, persone giuridiche, enti o associazioni. Dati sensibili : quelli che possono rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale;

: quelli che possono rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale; Dati giuridici: quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato.

COSA VUOL DIRE TRATTAMENTO DEI DATI?

Per “trattamento dei dati” personali si intende qualsiasi operazione effettuata, anche senza l’uso di strumenti elettronici, che riguarda: l’utilizzo, la consultazione, la raccolta, la registrazione, l’organizzazione, conservazione, elaborazione, modifica, estrazione, raffronto, selezione, l’interconnessione, il blocco, la diffusione, la comunicazione, la cancellazione di dati, anche se non registrati in una banca dati.

COME VENGONO TRATTATI I DATI PERSONALI?

I dati personali devono essere trattati nel rispetto dei principi stabiliti dall’art. 5 del Regolamento (UE) 2016/679, che elenchiamo brevemente di seguito:

liceità, correttezza e trasparenza nei confronti dell’interessato; limitazione della finalità, che devono essere determinate, esplicite e legittime; minimizzazione dei dati, che devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati; esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione o rettifica di dati inesatti; limitazione della conservazione, ossia per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati i dati o, esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, per periodi più lunghi; integrità e riservatezza dei dati, che devono essere protetti da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

Per il trattamento dati personali vale il principio di responsabilizzazione, ovvero il titolare del trattamento è responsabile del rispetto dei principi di trattamento e dev’essere in grado di dimostrarlo.

DOVE INSERIRE L’AUTORIZZAZIONE?

Generalmente, si consiglia di inserire la frase in calce al Curriculum Vitae, ossia al termine dello stesso, in fondo alla pagina. In questo modo eviterete di interrompere la fluida lettura delle vostre esperienze lavorative e chi legge il CV si concentrerà sul contenuto, senza essere fuorviato dai dettagli burocratici.

Non dimenticate la firma. È sempre bene apporre la propria firma dopo la dichiarazione liberatoria, sia se il Curriculum Vitae è in forma cartacea che digitale. In quest’ultimo caso è possibile firmare il proprio CV e avere la versione pronta da spedire via web in tre step: stampare il CV, firmare e realizzare la scansione del Curriculum firmato. In alternativa è possibile optare per una soluzione più semplice e diretta, la firma digitale.

APPROFONDIMENTI NORMATIVI

Per ulteriori informazioni mettiamo a vostra disposizione i seguenti documenti: