Il sistema di gestione delle informazioni e l'approccio olistico della protezione dei dati personali

By Adelmio Genovese

Protezione dei dati personali | Cos'è l'RGPD

Ultima verifica: 26/03/2021

Protezione dei dati ai sensi del regolamento generale sulla protezione dei dati (RGPD)

Protezione dei dati e coronavirus

L'RGPD definisce i requisiti dettagliati per le aziende e le organizzazioni in materia di raccolta, archiviazione e gestione dei dati personali. Valgono sia per le organizzazioni europee che trattano i dati personali dei cittadini nell'UE (In questo caso tutti i paesi dell'UE più Islanda, Liechtenstein e Norvegia.) sia per le organizzazioni esterne all'UE che si rivolgono a persone che vivono nell'UE.

Quando si applica il regolamento generale sulla protezione dei dati (RGPD)?

L'RGPD si applica quando:

l'azienda tratta i dati personali ed ha sede nell'UE, indipendentemente da dove avviene effettivamente il trattamento dei dati

l'azienda ha sede fuori dall'UE ma tratta dati personali relativi all'offerta di beni e servizi a cittadini nell'UE o segue il comportamento di individui nell'UE.

Le aziende che non hanno sede nell'UE e che trattano i dati di cittadini dell'UE devono nominare un rappresentante all'interno dell'UE.

Quando non si applica il regolamento generale sulla protezione dei dati (RGPD)?

L'RGPD non si applica quando:

l'interessato è deceduto

l'interessato è una persona giuridica

il trattamento dei dati viene condotto da una persona che agisce per finalità che esulano dalle sue attività commerciali, imprenditoriali o professionali.

Cosa si intende per dati personali?

Per dati personali si intende qualsiasi informazione che riguardi una persona identificabile o non identificabile, detta anche l' interessato. I dati personali includono informazioni come:

nome e cognome

indirizzo

numero della carta d'identità/del passaporto

reddito

profilo culturale

indirizzo di protocollo Internet (IP)

dati in possesso di un medico o di un ospedale (che identificano in modo univoco una persona a fini sanitari).

Categorie speciali di dati

Non è possibile trattare i dati personali riguardanti:

la razza o l'origine etnica

l'orientamento sessuale

le opinioni politiche

le convinzioni religiose o filosofiche

l'appartenenza sindacale

dati genetici, biometrici o sanitari ad eccezione di casi specifici (ad esempio quando è stato dato un consenso esplicito o quando il trattamento è necessario per ragioni di interesse pubblico rilevanti sulla base del diritto nazionale o dell'UE)

dati personali relativi a condanne penali e reati, a meno che il trattamento non venga autorizzato dal diritto nazionale o dell'UE.

Chi effettua il trattamento dei dati personali?

Durante il trattamento, i dati personali possono essere trasmessi tra varie aziende o organizzazioni diverse. In questo procedimento vi sono due figure principali che gestiscono il trattamento dei dati personali:

il responsabile del trattamento dei dati , che decide la finalità e il modo in cui vengono processati i dati personali

, che decide la finalità e il modo in cui vengono processati i dati personali l' incaricato del trattamento, che detiene e tratta i dati a nome di un responsabile del trattamento dei dati.

Chi controlla come vengono trattati i dati personali all'interno di un'azienda?

Il responsabile della protezione dei dati (RPD), che può essere nominato dall'azienda, è responsabile di monitorare come vengono trattati i dati personali e di informare e avvisare dei loro obblighi i dipendenti che elaborano i dati. Il responsabile della protezione dei dati collabora anche con l'autorità per la protezione dei dati (APD) e funge da punto di contatto tra l'APD e i cittadini.

Quando è necessario nominare un responsabile della protezione dei dati?

Un'azienda deve nominare un responsabile della protezione dei dati se:

regola o controlla sistematicamente gli individui o elabora categorie speciali di dati

il trattamento dei dati è l'attività principale

effettua il trattamento di dati su vasta scala.

Per esempio, se i dati personali vengono trattati per orientare la pubblicità sui motori di ricerca in base al comportamento online delle persone, l'azienda deve avere un responsabile della protezione dei dati (RPD). Se, invece, l'azienda invia materiale di promozione ai clienti una volta all'anno, allora non c'è bisogno di avere un RPD. Allo stesso modo, se un medico raccoglie dati sulla salute dei pazienti, probabilmente non c'è bisogno di un RPD. Ma se vengono trattati dati personali sulla genetica e sulla salute per un ospedale, allora è necessario.

Il responsabile della protezione dei dati può essere un membro del personale dell'organizzazione o può essere nominato esternamente sulla base di un contatto di servizio. Un RPD può essere un individuo o parte di un'organizzazione.

Il trattamento dei dati per un'altra azienda

Il responsabile del trattamento dei dati può incaricare un incaricato del trattamento che dia sufficienti garanzie, le quali devono essere incluse in un contratto scritto tra le parti coinvolte. Il contratto deve contenere anche una serie di clausole obbligatorie, ad esempio riguardo al fatto che l'incaricato del trattamento può trattare i dati personali solo quando viene incaricato a farlo dal responsabile del trattamento dei dati.

Il trasferimento di dati fuori dall'UE

Quando i dati personali vengono trasferiti fuori dall'UE (In questo caso tutti i paesi dell'UE più Islanda, Liechtenstein e Norvegia.), la protezione garantita dall'RGPD segue i dati. Questo significa che se i dati vengono esportati all'estero, l'azienda deve assicurare di conformarsi a una delle seguenti misure:

le misure di protezione dei paesi terzi devono essere ritenute adeguate dall'UE

l'azienda adotta le misure necessarie per fornire garanzie adeguate, come ad esempio includendo clausole specifiche nel contratto concordato con il paese terzo importatore dei dati personali

l'azienda effettua il trasferimento sulla base di motivi specifici (deroghe), come il consenso dell'individuo.

Quando è consentito il trattamento dei dati?

Le norme dell'UE per la protezione dei dati prevedono che i dati debbano essere trattati in modo equo e lecito, per una finalità specifica e legittima, e che si debbano trattare solo quelli necessari a raggiungere tale obiettivo. Per il trattamento dei dati personali deve essere rispettata almeno una delle seguenti condizioni:

l'individuo in questione ha dato il suo consenso

i dati personali sono necessari per rispettare un obbligo contrattuale nei confronti dell'individuo

nei confronti dell'individuo i dati personali sono necessari per adempiere un obbligo giuridico

i dati personali sono necessari per proteggere gli interessi vitali dell'individuo

dell'individuo il trattamento dei dati personali viene effettuato per un' attività nell'interesse del pubblico

si agisce nell' interesse legittimo dell'azienda, purché nel trattamento dei dati di un individuo non vi siano gravi ripercussioni sui suoi diritti e sulle sue libertà fondamentali. Il trattamento dei dati personali non è consentito se i diritti dell'individuo prevalgono sugli interessi dell'azienda.

Accettare il trattamento dei dati - il consenso

L'RGPD applica norme rigorose per il trattamento dei dati sulla base di un consenso. L'obiettivo di tali norme è assicurare che l'individuo capisca ciò a cui sta acconsentendo. Ciò significa che il consenso deve essere dato in maniera libera, specifica, informata e inequivocabile tramite una richiesta presentata con un linguaggio chiaro e semplice. Il consenso viene espresso tramite un atto positivo, come spuntare una casella online o firmare un modulo.

Quando si acconsente al trattamento dei dati personali, questi possono essere trattati solo per le finalità per cui è stato dato il consenso. Bisogna garantire anche la possibilità di revocare il proprio consenso.

Fornire informazioni trasparenti

Gli individui devono ricevere informazioni chiare su chi tratta i loro dati personali e perché. Le informazioni minime da includere sono le seguenti:

chi sei

perché effettui il trattamento dei dati personali

qual è la base giuridica

chi riceverà i dati (ove applicabile).

In alcuni casi, le informazioni fornite devono anche includere:

i contatti del responsabile della protezione dei dati (RPD), ove applicabile

qual è l'interesse legittimo perseguito dall'azienda se il trattamento si riferisce a questa base giuridica

le misure adottate per il trasferimento dei dati ad un paese non appartenente all'UE

il periodo di archiviazione dei dati

i diritti dell'individuo alla protezione dei dati (ad esempio il diritto d'accesso, rettifica, cancellazione, limitazione, obiezione, portabilità, ecc.)

come si revoca il consenso (se il consenso è la base giuridica per il trattamento)

la presenza di un obbligo statutario o contrattuale per la fornitura dei dati

informazioni riguardo la logica, la rilevanza e le conseguenze della decisione in caso di processi decisionali automatizzati.

Le informazioni devono essere presentate con un linguaggio chiaro e semplice.

Norme specifiche per i minori

Per raccogliere dati personali sui minori che si basano sul consenso, per esempio legati all'uso di un account sui social media o un account di download, è necessario prima ricevere il consenso dei genitori, ad esempio inviando una notifica a un genitore o a un tutore. L'età in cui una persona è considerata minore varia a seconda del luogo in cui vive, ma è compresa tra i 13 e i 16 anni.

Il diritto all'accesso e alla portabilità dei dati

Bisogna garantire gratuitamente agli individui il diritto all'accesso ai propri dati personali. Quando si riceve una simile richiesta è necessario:

far loro sapere se si stanno trattando i loro dati personali

dare informazioni sul trattamento (la finalità del trattamento, le categorie di dati personali in questione, i destinatari dei dati, ecc.)

fornire una copia dei dati personali che vengono trattati (in un formato accessibile).

Quando il trattamento si basa sul consenso o su un contratto, l'individuo può anche chiedere la restituzione dei propri dati personali o la loro trasmissione ad un'altra azienda. È quello che si chiama portabilità dei dati. I dati devono essere forniti in un formato di uso comune ed elettronico.

Il diritto di rettifica e obiezione

Se un individuo crede che i propri dati personali siano errati, incompleti o inesatti, ha il diritto di chiederne la rettifica o il completamento senza indebito ritardo.

Nel caso in cui i dati personali condivisi siano stati modificati o cancellati, è necessario avvisare tutti i destinatari dei dati. Se i dati personali condivisi sono errati, può essere necessario informare chiunque abbia notato l'errore (a meno che non si ritenga che ciò comporti uno sforzo sproporzionato).

Un individuo può opporsi in qualsiasi momento al trattamento dei propri dati personali per un uso particolare se l'azienda li tratta sulla base di un interesse giuridico proprio o per un'attività di interesse pubblico. L'azienda non deve più trattare i dati personali a meno che l'interesse legittimo non prevalga sull'interesse del singolo.

Allo stesso tempo, un individuo può chiedere di limitare il trattamento dei propri dati personali mentre viene stabilito se l'interesse giuridico prevale su quello del singolo. Tuttavia, nel caso di pubblicità diretta, non è più possibile trattare i dati personali se ciò viene richiesto dall'individuo in questione.

Diritto alla cancellazione (diritto all'oblio)

In alcune circostanze un individuo può chiedere al responsabile del trattamento dei dati di cancellare i propri dati personali, per esempio se questi non sono più necessari per soddisfare la finalità del trattamento. Tuttavia, l'azienda non è obbligata a farlo se:

il trattamento serve per rispettare la libertà di espressione e di informazione

è necessario conservare i dati personali per adempiere un obbligo giuridico

vi sono altre ragioni di interesse pubblico per la conservazione dei dati, come ai fini della sanità pubblica o di ricerca scientifica o storica

è necessario conservare i dati personali per intraprendere un'azione legale.

I processi decisionali automatizzati e la profilazione

Gli individui hanno il diritto di non essere soggetti a una decisione basata esclusivamente sul trattamento automatizzato. Tuttavia vi sono alcune eccezioni alla regola, ad esempio se le persone hanno dato il consenso esplicito alla decisione automatizzata. Ad eccezione di quando la decisione automatizzata è prevista dalla legge, l'azienda deve:

informare l'individuo del processo decisionale automatizzato

garantire all'individuo il diritto che la decisione automatizzata venga rivista da una persona

garantire all'individuo la possibilità di contestare la decisione automatizzata.

Per esempio, se una banca automatizza la decisione che riguarda la concessione o meno di un prestito a una determinata persona, quest'ultima deve essere informata della decisione automatizzata e deve avere la possibilità di contestarla e di richiedere un intervento umano.

Violazioni dei dati: garantire una notifica adeguata

Una violazione dei dati avviene quando i dati personali di cui si è responsabili sono divulgati, in maniera accidentale o illegale, a destinatari non autorizzati, oppure sono resi momentaneamente non disponibili o modificati.

Se avviene una violazione dei dati che rappresenta un rischio per i diritti e le libertà fondamentali, è necessario avvisare l'autorità di protezione dei dati entro 72 ore da quando si viene a conoscenza di tale violazione.

A seconda del fatto che la violazione dei dati rappresenti o meno un alto rischio per le persone coinvolte, l'azienda potrebbe dover anche informare tutti gli individui in questione.

Rispondere alle richieste

Se l'azienda riceve una richiesta da un individuo che vuole esercitare i propri diritti, bisogna rispondere a tale richiesta senza indebito ritardo e in ogni caso entro 1 mese dalla ricezione. Il tempo di risposta può essere esteso a 2 mesi per richieste complesse o multiple, purché il cittadino venga informato dell'estensione. Le richieste vengono gestite gratuitamente.

Se una richiesta viene rifiutata bisogna informare l'individuo in merito alle ragioni del rifiuto e del suo diritto di presentare un reclamo all'autorità di protezione dei dati.

Valutazioni d'impatto

È obbligatorio condurre una valutazione d'impatto sulla protezione dei dati (DPIA) ogni volta che un trattamento previsto potrebbe rappresentare un serio rischio per i diritti e le libertà dei cittadini, ad esempio quando vengono utilizzate nuove tecnologie.

L'alto rischio è presente quando:

vengono usati trattamenti automatizzati o meccanismi di profilazione per valutare gli individui

uno spazio accessibile al pubblico viene monitorato su larga scala (ad es. sistemi di videosorveglianza)

vengono trattate su larga scala categorie speciali di dati (ad esempio dati sanitari) o dati personali relativi a condanne penali e reati.

Nota: l'autorità di protezione dei dati potrebbe considerare ad alto rischio anche altre categorie di trattamento dei dati.

Se le misure indicate nel DPIA non eliminano tutti i rischi elevati individuati, l'autorità di protezione dei dati deve essere consultata prima che tali dati vengano trattati.

Costituire un registro

L'azienda deve dimostrare di agire conformemente al regolamento generale sulla protezione dei dati e soddisfare tutti gli obblighi applicabili, in particolare su richiesta o ispezione dell'autorità di protezione dei dati.

Una possibilità è tenere registri dettagliati, ad esempio riguardo a:

il nome e i contatti dell'azienda coinvolta nel trattamento dei dati

le ragioni del trattamento dei dati

la descrizione delle categorie di individui che forniscono i dati personali

le categorie delle organizzazioni che ricevono i dati personali

il trasferimento di dati personali in un altro paese o organizzazione

il periodo di archiviazione dei dati personali

la descrizione delle misure di sicurezza usate nel trattamento dei dati personali.

L'azienda deve anche avere delle procedure e linee guida scritte che vanno aggiornate regolarmente e rese note ai dipendenti.

Attenzione Se si tratta di una PMIen o di un'azienda più piccola, non è necessario tenere dei registri sulle attività di trattamento dei dati purché: non vengano svolte di frequente

non ledano i diritti e le libertà degli individui coinvolti

non riguardino dati sensibili o informazioni sui casellari giudiziari.

Protezione dei dati fin dalla progettazione e per impostazione predefinita

La protezione dei dati fin dalla progettazione prevede che l'azienda debba tenere in considerazione la protezione dei dati fin dalle prime fasi di pianificazione di un nuovo metodo di trattamento dei dati. Conformemente a questo principio, il responsabile del trattamento deve adottare tutte le misure tecniche ed organizzative per attuare i principi di protezione dei dati e tutelare i diritti degli individui. Le misure potrebbero includere, per esempio, l'uso della pseudonimizzazione.

La protezione dei dati per impostazione predefinita prevede che l'azienda debba sempre adottare come impostazioni predefinite quelle che tutelano maggiormente la privacy. Per esempio, se vi sono due possibili impostazioni della privacy e una delle due fa sì che terzi non possano accedere ai dati personali, questa è quella che bisognerebbe usare come impostazione predefinita.

Infrazioni delle norme e sanzioni

Il mancato rispetto del regolamento generale sulla protezione dei dati può comportare multe fino a 20 milioni di euro o al 4% del fatturato globale dell'azienda per determinate violazioni. L'autorità di protezione dei dati potrebbe imporre delle azioni correttive supplementari, come ad esempio obbligare a non effettuare più il trattamento dei dati.

Informativa sul trattamento dei dati personali

Informativa sul trattamento dei dati personali

Articoli 12 e ss. del Regolamento (UE) 2016/679 (GDPR)

I dati personali raccolti da www.gestioneconsapevole.it sono trattati nel rispetto del Regolamento (UE) 2016/679 (Regolamento generale sulla protezione dei dati, di seguito GDPR). In particolare, la tutela dei dati personali delle persone fisiche è improntata ai principi di correttezza, liceità e trasparenza, nonché di tutela della riservatezza e dei diritti dell’interessato stesso.

Titolare e Responsabile del trattamento dati

Titolare del Trattamento dati (di seguito, il Titolare) è il Laboratorio Congiunto Un Altro Modo del Dipartimento di Scienze Giuridiche – Università degli Studi di Firenze, Via delle Pandette, 32, 50127 Firenze (FI) – Codice fiscale: 01279680480. Indirizzo e-mail del Titolare, con specifico riferimento al progetto Ge.Co:

Responsabile del trattamento ai sensi dell’art. 28 GDPR (di seguito, il Responsabile) è la Prof.ssa Paola Lucarelli: paola.lucarelli@unifi.it; 055 2759210.

Si informa che, la nostra organizzazione ai sensi dell’art. 4 comma 1 punto 17 GDPR non ricorrendo alcuna circostanza prevista dal predetto Regolamento, che richieda tale nomina non ha nominato alcun Rappresentante stabilito nel territorio dello Stato ai fini dell’applicazione della disciplina sul trattamento dei dati personali.

Dati raccolti

Fra i Dati Personali raccolti da questo sito web, in modo autonomo o tramite terze parti, ci sono: cookie; dati di utilizzo; dati comuni. In particolare, i dati comuni sono: nome, cognome, e-mail, indirizzo, numero di telefono cellulare.

Potranno essere richieste, anche solo parzialmente, informazioni ulteriori quali: dati anagrafici, codice fiscale, partita iva, denominazione, sede legale, residenza e domicilio e dati di contatto; dati relativi al rapporto contrattuale; dati di tipo contabile; dati relativi a Suoi dipendenti e/o collaboratori, informazioni sulla attività d’impresa esercitata dell’ente da rappresentato dall’Utente; e più in generale ogni altro dato funzionale a definire il rapporto con la nostra struttura e a rendere efficace la collaborazione e la resa del servizio. Il conferimento di dati ulteriori, se richiesto, è facoltativo ed avverrà previa specifica prestazione del consenso. L’eventuale rifiuto dell’Utente a fornire tali dati, tuttavia, potrà determinare minor efficienza della nostra struttura nell’esercizio dei servizi.

I dati sono forniti direttamente dagli utenti, su base volontaria. La raccolta dei dati è funzionale al miglior esercizio dei servizi offerti e delle attività esercitate dall’organizzazione in relazione al progetto GE.CO Gestione Consapevole, inclusa la fase di monitoraggio e le connesse attività di ricerca scientifica.

Finalità

I Dati dell’Utente sono raccolti per consentire al Titolare di fornire i propri Servizi, così come per le seguenti finalità: Contattare l’Utente, Statistica, Sisualizzazione di contenuti da piattaforme esterne, Servizi di piattaforma e hosting e Interazione con social network e piattaforme esterne, newsletter, commento dei contenuti.

Per gli utenti con accesso all’area riservata, memorizziamo anche le informazioni personali che forniscono nel loro profilo utente. I dati degli Utenti saranno trattati esclusivamente per finalità direttamente associate alla richiesta di servizio, tra le quali rientrano anche l’attività di monitoraggio durante il servizio e successivamente alla sua conclusione.

I dati raccolti potranno inoltre essere utilizzati, in forma anonima e in modo aggregato, ai fini di ricerca scientifica.

Tempi di conservazione dei dati

I dati raccolti saranno conservati per tutta la durata del rapporto o collaborazione con l’organizzazione e per 10 anni dalla data di cessazione del rapporto, con rinnovo tacito per ulteriori 10 anni, salvo revoca del consenso.

Modalità di registrazione, trattamento e luogo di conservazione dei dati

Ai sensi e per gli effetti degli artt. 12 e ss. GDPR, i dati personali comunicati dagli Utenti saranno registrati, trattati e conservati presso gli archivi cartacei ed elettronici del Titolare in ottemperanza delle misure tecniche e organizzative adeguate di cui all’art. 32 GDPR.

Il trattamento dei dati personali dell’Utente può consistere in qualunque operazione o complesso di operazioni tra quelle indicate all’art. 4, comma 1, punto 2 GDPR. Il trattamento dei dati avverrà, direttamente e/o tramite terzi delegati, sia manualmente mediante supporti cartacei, sia mediante l’ausilio di mezzi informatici o strumenti elettronici con modalità organizzative e con logiche strettamente correlate alle finalità indicate. I dati, ai fini della corretta gestione del rapporto e dell’assolvimento degli obblighi di legge, potranno essere inseriti nella documentazione interna propria del Titolare e se necessario anche nelle scritture e nei registri obbligatori per legge.

Oltre al Titolare e al Responsabile, potranno accedere ai dati personali degli Utenti le seguenti categorie di soggetti : componenti del team GE.CO. e professionisti coinvolti nell’espletamento del servizio richiesto; personale, borsisti, assegnisti di ricerca, ricercatori e professori dell’Università degli Studi di Firenze; impresa tecnologica Extra Cube (suoi amministratori e/o dipendenti e collaboratori) impegnata nell’implementazione della piattaforma tecnologica; soggetti esterni (es. creditori, partner commerciali, dipendenti, consulenti e professionisti) ove venga richiesto il tavolo di facilitazione; studenti delle cliniche legali e dei laboratori; altri soggetti terzi se necessario e strettamente funzionale all’espletamento delle attività del servizio GE.CO Gestione Consapevole. A tali soggetti sarà imposto il rispetto della riservatezza, vietando l’utilizzo dei dati per finalità diverse da quelle strettamente connesse all’espletamento del servizio, alla relativa attività di monitoraggio e alle connesse attività di ricerca scientifica.

I dati degli Utenti non saranno comunicati a terzi per loro finalità di marketing, né venduti a terzi .

I dati personali non saranno indiscriminatamente diffusi o comunicati a soggetti indeterminati, né in modo attivo, né mediante messa a disposizione o consultazione.

Il Titolare adotta le opportune misure di sicurezza volte ad impedire l’accesso, la divulgazione, la modifica o la distruzione non autorizzate dei Dati Personali.

I Dati sono trattati presso le sedi operative del Titolare ed in ogni altro luogo in cui le parti coinvolte nel trattamento siano localizzate.

I Dati Personali dell’Utente potrebbero essere trasferiti in un paese diverso da quello in cui l’Utente si trova. Per ottenere ulteriori informazioni sul luogo del trattamento l’Utente può fare riferimento alla sezione “Trasferimento di dati personali all’estero”.

Fiducia e riservatezza

Lo scrivente considera preziosa la fiducia dimostrata dagli interessati che avranno acconsentito al trattamento dei loro dati personali e per ciò si impegna a non vendere, noleggiare o affittare le informazioni personali ad altri.

Comunicazione dei dati

I dati potranno essere comunicati a Organismi di vigilanza, Autorità giudiziarie ed altri soggetti terzi ai quali la comunicazione sia obbligatoria in forza di legge, ivi incluso l’ambito di prevenzione/repressione di qualsiasi attività illecita connessa all’accesso al sito.

Attività eventualmente affidate all’esterno

Il Titolare del trattamento, nello svolgimento della propria attività, potrà richiedere occasionalmente ad altri operatori il compimento per suo conto di determinati servizi, quali ad esempio servizi elaborativi dei dati; prestazioni necessarie all’esecuzione delle operazioni o dei servizi richiesti; spedizioni e consegne; registrazioni contabili; attività amministrative. A questi operatori verranno fornite esclusivamente informazioni necessarie alla fornitura dei servizi commissionati e verrà loro imposto il rispetto della riservatezza, vietando l’utilizzo dei dati forniti per uno scopo diverso da quello concordato.

Trasferimento di dati personali all’estero

I dati degli Utenti sono trattati in Italia. La gestione e la conservazione dei dati personali avverrà su server ubicati in Europa di società terze e nominate quali Responsabili del trattamento.È fatta salva la possibilità di affidare a terzi servizi specifici e strumentali all’espletamento dell’attività del progetto GE.CO Gestione Consapevole.

Tuttavia, qualora in costanza di rapporto i dati siano trattati in uno stato non appartenente all’UE, saranno garantiti agli Utenti i diritti attribuiti dalla normativa comunitaria e ne verrà data loro tempestiva comunicazione.

Diritti garantiti e tutela

L’Utente che ha accesso all’area riservata del sito, può richiedere di ricevere un file esportato dal sito con i propri dati personali detenuti, compresi i dati forniti dall’Utente stesso. L’Utente può richiedere la cancellazione di tutti i dati personali che lo riguardano. Questo non include i dati che il Responsabile è obbligato a conservare per scopi amministrativi, legali o di sicurezza.

L’Utente ha il diritto in qualunque momento di conoscere l’origine dei dati, di verificarne l’esattezza o chiederne l’integrazione, la cancellazione, l’aggiornamento, la rettifica, la trasformazione in forma anonima o il blocco dei Dati Personali trattati in violazione di legge, nonché di opporsi in ogni caso, per motivi legittimi, al loro trattamento. Le richieste vanno rivolte al Titolare del Trattamento.

Ai sensi dell’art. 15 GDPR l’Utente ha diritto di ottenere la conferma dell’esistenza o meno del trattamento dei propri dati personali e del loro contenuto. L’esercizio dei diritti è subordinato all’accertamento dell’identità dell’interessato, mediante consegna del documento di identità, che non verrà conservato dalla scrivente, ma solo consultato al fine della verifica della legittimità della richiesta.

Gli Utenti hanno diritto di accedere ai dati personali e alle seguenti informazioni:

a) le finalità del trattamento;

b) le categorie di dati personali oggetto di trattamento;

c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;

d) periodo di conservazione dei dati personali previsto;

e) qualora i dati non siano raccolti presso l’interessato, le informazioni disponibili sulla loro origine;

f) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, GDPR e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato

Qualora i dati siano trasferiti ad un paese terzo o ad una organizzazione internazionale l’Utente ha diritto di essere informato sull’esistenza di garanzie adeguate ai sensi dell’art. 46 GDPR.

L’Utente ha diritto di chiedere al titolare del trattamento la rettifica o la cancellazione, anche parziale, dei dati personali o la limitazione del trattamento dei dati personali che la riguardano o di opporsi, in tutto o in parte, al loro trattamento.

In particolare, tra i diritti dell’Utente si trovano:

Il diritto di accesso (come sopra definito); Il diritto di limitazione, che è esercitabile non solo in caso di violazione dei presupposti di liceità del trattamento ma anche nel caso in cui chieda la rettifica dei dati o si opponga al trattamento; Il diritto di rettifica; Il diritto di opposizione; Il diritto di cancellazione; Il diritto di revoca del consenso; Il diritto all’oblio: è possibile richiedere la cancellazione dei dati in forma rafforzata ad esempio anche dopo la revoca del consenso al trattamento dei dati personali da parte dell’interessato; Il diritto alla portabilità: non si applica ai trattamenti non automatizzati dunque ad archivi e/o registri cartacei; sono inoltre portabili solo i dati che siano forniti dall’interessato al Titolare e trattati con il consenso di quest’ultimo o sulla base di un contratto stipulato tra egli ed il Titolare.

Modalità di esercizio dei diritti

Per esercitare i diritti di cui alla sezione che precede è possibile rivolersi al Dipartimento esercitando i seguenti riferimenti:

E-mail:

Raccomandata RR all’indirizzo: Laboratorio Un Altro Modo, presso l’Università degli Studi di Firenze, Dipartimento di Scienze Giuridiche. Via delle Pandette, 32, 50127 Firenze.

Gli Utenti possono esercitare i propri diritti in qualsiasi momento.

I termini di risposta dal Titolare a chi voglia far valere un diritto inerente ai propri Dati Personali sono di n. 1 (un) mese estensibile fino a n. 3 (tre) mesi nei casi più complessi, salvo l’obbligo di fornire un riscontro entro un mese dalla richiesta anche in caso di diniego. La risposta dovrà avvenire in forma scritta.

Il Titolare valutata la complessità della richiesta formulata dall’interessato può stabilire l’ammontare dell’eventuale contributo da richiedere all’Utente, ma soltanto se si tratta di richieste manifestamente infondate o eccessive.

Reclamo all’Autorità Garante

Le informazioni circa le condizioni e modalità per proporre reclamo all’Autorità Garante sono disponibili nella sezione dedicata ai reclami del sitoweb www.garante privacy.it [inserire hyperlink], oppure dal sito dell’Autorità di controllo competente per territorio ove diversa da quella italiana.

Il cui modulo per proporre reclamo all’autorità di controllo è scaricabile dal link: www.garanteprivacy.it nella sezione dedicata oppure dal sito dell’Autorità di controllo competente per territorio ove diversa da quella italiana

Regolamentazione dei cookie

Un cookie è un semplice file di testo che viene archiviato sul tuo computer o dispositivo mobile dal server di un sito Web e solo quel server sarà in grado di recuperare o leggere il contenuto di quel cookie. Ogni cookie è unico per il tuo browser web. Conterrà alcune informazioni anonime come un identificativo univoco e il nome del sito e alcune cifre e numeri. Consente a un sito Web di ricordare cose come le tue preferenze o cosa c’è nel carrello.

I cookie possono essere impostati dal sito Web che si sta visitando (“cookie di prime parti”) oppure possono essere impostati da altri siti Web che eseguono contenuti nella pagina visualizzata (“cookie di terze parti”).

Cookie tecnici

I cookie tecnici hanno la funzione di consentire lo sviluppo di alcune attività strettamente correlate al funzionamento di questo spazio online. Sono utilizzati dal proprietario del sito Web e possono essere suddivisi nelle seguenti sottocategorie:

Cookie di navigazione, mediante il quale è possibile salvare le preferenze di navigazione per ottimizzare l’esperienza di navigazione dell’utente;

Cookie analitico, mediante il quale è possibile acquisire informazioni statistiche sulla navigazione degli Utenti. Tali informazioni sono trattate in forma aggregata in forma anonima;

Cookie di funzione, inclusi i cookie di terze parti, utilizzati per attivare funzioni specifiche di questo spazio online e necessarie per fornire un servizio o per migliorarlo.

Questi cookie non richiedono l’installazione e l’utilizzo del consenso dell’utente.

Cookie di sessione

I cookie di sessione vengono utilizzati nei siti Web dynamc (CMS) e memorizzati solo temporaneamente durante una sessione di navigazione e vengono eliminati dal dispositivo dell’utente alla chiusura del browser.

Social network e cookie di terze parti

I social network e i cookie di terze parti sono impostati da un’organizzazione diversa dal proprietario del sito Web che si sta visitando. Ad esempio, il sito Web potrebbe utilizzare una società di analisi di terze parti che imposterà i propri cookie per eseguire questo servizio. Il sito Web che si sta visitando può contenere anche contenuti incorporati, ad esempio Facebook, Twitter o altri, e questi siti possono impostare i propri cookie.

Cookie statistici

Google Analytics con IP anonimo (Google Inc.)

Google Analytics è un servizio di analisi web freemium offerto da Google che tiene traccia e segnala il traffico del sito Web.

Ogni volta che qualcuno visita un sito Web che utilizza Google Analytics, se JavaScript è abilitato nel browser, Google traccia tale visita tramite l’indirizzo IP dell’utente al fine di determinare la posizione geografica approssimativa dell’utente.

Oltre a trasmettere informazioni a un server di Google, il codice di monitoraggio imposta i cookie proprietari (se i cookie sono abilitati nel browser) sul computer di ciascun visitatore. Questi cookie memorizzano informazioni anonime, ad esempio se il visitatore è già stato sul sito (visitatore nuovo o di ritorno), il timestamp della visita corrente e il sito referrer o la campagna che ha indirizzato il visitatore alla pagina (ad es. Motore di ricerca, parole chiave , banner o e-mail).

Dati personali raccolti: cookie e utilizzo dei dati

Luogo del trattamento: USA – Rinuncia alla politica sulla privacy

Come posso controllare i cookie?

Se non desideri ricevere i cookie, puoi modificare il tuo browser in modo che ti avvisi quando vengono inviati i cookie o puoi rifiutare del tutto i cookie. Puoi anche eliminare i cookie che sono già stati impostati.

Se desideri limitare o bloccare i cookie del browser Web impostati sul tuo dispositivo, puoi farlo attraverso le impostazioni del browser; la funzione di aiuto nel tuo browser dovrebbe dirti come. In alternativa, potresti visitare che contiene informazioni complete su come eseguire questa operazione su una vasta gamma di browser desktop.

Il sistema di gestione delle informazioni e l'approccio olistico della protezione dei dati personali

Il Regolamento UE 679/2016 si fonda sul concetto di “responsabilizzazione” (accountability), ossia, sull’adozione da parte dei Titolari e Responsabili del trattamento di comportamenti proattivi tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione della disciplina in materia di protezione dei dati personali. Si tratta di un obiettivo perseguibile a condizione che venga implementato un modello organizzativo che sia espressione di un adeguato sistema di gestione in materia di protezione dei dati personali.

(Nella foto: l'Avv. Marco Soffientini, Data Protection Officer di Federprivacy)

Un sistema di gestione (c.d. management system) è, all’interno di una organizzazione, un insieme di pratiche organizzative (processi) collegati fra loro.

La ISO 9000:2015 definisce il sistema di gestione per la sicurezza delle informazioni (SGSI), noto anche come, information security management system (ISMS) come la parte del sistema di gestione di un'organizzazione che si occupa della sicurezza delle informazioni.

Nell'ambito della sicurezza delle informazioni esistono schemi di certificazione come quello basato sulla ISO/IEC 27001 che rappresenta lo standard internazionale di riferimento per la gestione della sicurezza delle informazioni.

Attraverso questo standard si definisce un processo di gestione dei rischi che coinvolge persone, processi e sistemi IT, fornendo così un approccio olistico alla sicurezza delle informazioni, cioè, che tiene in considerazione non solo una parte specifica, ma l'interezza del sistema.

Inoltre per le organizzazioni impegnate nel rispetto della disciplina sulla protezione dei dati personali la ISO/IEC 27701 fornisce indicazioni per proteggere i dati personali nell'ambito di un sistema di gestione della sicurezza delle informazioni. Essa infatti si basa sui requisiti della ISO/IEC 27001 aiutando in questo modo i titolari del trattamento a gestire i rischi per la “privacy”.

Ne segue, pertanto, che l'implementazione di un sistema di gestione conforme ai suindicati standard aiuterà il titolare del trattamento a provare di aver adottato misure tecniche e organizzative adeguate al rischio.

La stessa Autorità Garante afferma che: attraverso la certificazione, titolari e responsabili del trattamento beneficiano dell'attestazione di una terza parte indipendente allo scopo di dimostrare la conformità delle loro operazioni di trattamento.

In particolare osserva il Garante che per i sistemi di gestione la certificazione consente all’organizzazione o alla persona che si certifica di dimostrare al mercato, la capacità di strutturarsi e gestire le proprie risorse e i propri processi produttivi in modo tale da riconoscere e soddisfare i bisogni dei clienti, inclusi quelli relativi al rispetto dei requisiti cogenti, nonché l’impegno a migliorare continuativamente tale capacità.

In conclusione, ricordiamo che se da un lato l’articolo 42 del Regolamento UE 679/2016 affida agli Stati membri, alle autorità di controllo, al comitato e alla Commissione il compito di incoraggiare l'istituzione di meccanismi di certificazione della protezione dei dati, tesi a dimostrare la conformità dei trattamenti al regolamento, dall’altro non possono ridurre la responsabilità del titolare o del responsabile del trattamento.