Dati di contatto del R.P.D.
Nomina R.P.D. 01/07/2021-30/06/2023
Cosa dice la normativa
Dal sito del GARANTE PER LA PROTEZIONE DEI DATI PERSONALI (https://www.garanteprivacy.it)
Schede di sintesi redatte dall'Ufficio del Garante della Privacy a scopo divulgativo. Per un quadro completo della materia, si rimanda alla legislazione in tema di protezione dei dati personali e ai provvedimenti dell'Autorità.
Principi generali del trattamento di dati personali
Ogni trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’articolo 5 del Regolamento (UE) 2016/679, che qui si ricordano brevemente:
Assicurare la liceità del trattamento di dati personali
Il Regolamento, come già previsto dal Codice in materia di protezione dei dati personali, prevede che ogni trattamento deve trovare fondamento in un’idonea base giuridica. I fondamenti di liceità del trattamento di dati personali sono indicati all’articolo 6 del Regolamento:
- consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.
Per quanto riguarda le “categorie particolari di dati personali” (articolo 9 del Regolamento), il loro trattamento è vietato, in prima battuta, a meno che il titolare possa dimostrare di soddisfare almeno una delle condizioni fissate all’articolo 9, paragrafo 2 del Regolamento, che qui ricordiamo:
Consenso
Quando il trattamento si fonda sul consenso dell’interessato, il titolare deve sempre essere in grado di dimostrare (articolo 7.1 del Regolamento) che l'interessato ha prestato il proprio consenso), che è valido se:
Non è ammesso il consenso tacito o presunto (per esempio, presentando caselle già spuntate su un modulo).
Quando il trattamento riguarda le “categorie particolari di dati personali” (articolo 9 Regolamento) il consenso deve essere “esplicito”; lo stesso vale per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – articolo 22).
Il consenso non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per le categorie particolari di dati di cui all’articolo 9 Regolamento).
Interesse vitale di un terzo
Si può invocare tale base giuridica per il trattamento di dati personali solo se nessuna delle altre condizioni di liceità può trovare applicazione (considerando 46).
Interesse legittimo prevalente di un titolare o di un terzo
Il ricorso a questa base giuridica per il trattamento di dati personali presuppone che il titolare stesso effettui un bilanciamento fra il legittimo interesse suo o del terzo e i diritti e libertà dell’interessato. Dal 25 maggio 2018, dunque, tale bilanciamento non spetta più all’Autorità, in linea di principio. Si tratta di una delle principali espressioni del principio di “responsabilizzazione” introdotto dal Regolamento (UE) 2016/679.
L’interesse legittimo del titolare o del terzo deve risultare prevalente sui diritti e le libertà fondamentali dell’interessato per costituire un valido fondamento di liceità.
Il Regolamento chiarisce espressamente che l’interesse legittimo del titolare non costituisce idonea base giuridica per i trattamenti svolti dalle autorità pubbliche in esecuzione dei rispettivi compiti.
Si ricordi, inoltre, che il legittimo interesse non può essere invocato isolatamente quale base giuridica per il trattamento delle categorie particolari di dati personali (articolo 9, paragrafo 2, del Regolamento).
Trasparenza del trattamento: l’informativa agli interessati
Fatte salve alcune eccezioni, chi intende effettuare un trattamento di dati personali deve fornire all'interessato alcune informazioni anche per metterlo nelle condizioni di esercitare i propri diritti (articoli 15-22 del Regolamento medesimo).
QUANDO
L’informativa (disciplinata nello specifico dagli artt. 13 e 14 del Regolamento) deve essere fornita all’interessato prima di effettuare il trattamento, quindi prima della raccolta dei dati (se raccolti direttamente presso l’interessato: articolo 13 del Regolamento).
Nel caso di dati personali non raccolti direttamente presso l’interessato (articolo 14 del Regolamento), l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato) (diversamente da quanto prevedeva l’articolo 13, comma 4, del Codice).
COSA
I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del Regolamento e, in parte, sono più ampi rispetto al Codice. In particolare, il titolare deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati - Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.). Se i dati non sono raccolti direttamente presso l’interessato (articolo 14 del Regolamento), l’informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento.
In tutti i casi, il titolare deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati.
Il Regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo.
Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.
COME
L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online: articolo 12, paragrafo 1, e considerando 58). Sono comunque ammessi “altri mezzi”, quindi può essere fornita anche in forma orale, ma nel rispetto delle caratteristiche di cui sopra (articolo 12, paragrafo 1).
Il Regolamento ammette l’utilizzo di icone per presentare i contenuti dell’informativa in forma sintetica, ma solo “in combinazione” con l’informativa estesa (articolo 12, paragrafo 7); queste icone in futuro dovranno essere uniformate in tutta l’Ue attraverso l’intervento dalla Commissione europea.
In base al Regolamento, si deve porre particolare attenzione alla formulazione dell’informativa, che deve essere soprattutto comprensibile e trasparente per l’interessato, attraverso l’uso di un linguaggio chiaro e semplice. In particolare, bisogna ricordare che per i minori si devono prevedere informative idonee (anche considerando 58).
Un approccio responsabile al trattamento: Accountability
Il Regolamento pone l’accento sulla “responsabilizzazione” di titolari e responsabili, ossia, sull’ adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento (artt. 23-25, in particolare, e l’intero Capo IV del Regolamento). Dunque, viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel Regolamento.
Il primo fra tali criteri è sintetizzato dall’espressione inglese “data protection by default and by design” (articolo 25), ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del Regolamento e tutelare i diritti degli interessati, tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, secondo quanto previsto dall’articolo 25, paragrafo 1, del Regolamento) e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.
Fondamentali fra tali attività sono quelle connesse al secondo criterio individuato nel Regolamento rispetto alla gestione degli obblighi dei titolari: ossia il rischio inerente al trattamento. Quest’ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati (considerando 75-77); tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione (artt. 35- 36) tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi.
All’esito di questa valutazione di impatto, il titolare:
Principio di “responsabilizzazione” dei titolari e responsabili del trattamento: principali elementi
Rapporti contrattuali fra titolare e responsabile del trattamento
Il Regolamento definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE e, quindi, al Codice privacy italiano.
Tuttavia, il Regolamento (articolo 28) prevede dettagliatamente le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti. Deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’articolo 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti”, quali, in particolare:
Inoltre, il Regolamento prevede obblighi specifici in capo ai responsabili del trattamento, distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare:
Registro dei trattamenti
Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti - ma solo se non effettuano trattamenti a rischio (articolo 30, paragrafo 5) - devono tenere un registro delle operazioni di trattamento, i cui contenuti sono indicati all’articolo 30.
Si tratta di uno strumento fondamentale allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, indispensabile per ogni valutazione e analisi del rischio. I contenuti del registro sono fissati nell’articolo 30. Tuttavia, niente vieta a un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell’ottica della complessiva valutazione di impatto dei trattamenti svolti.
Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
Misure di sicurezza
Il titolare del trattamento, come pure il responsabile del trattamento, è obbligato ad adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio del trattamento (con l’obiettivo di evitare distruzione accidentale o illecita, perdita, modifica, rivelazione, accesso non autorizzato).
Fra tali misure, il Regolamento menziona, in particolare, la pseudonimizzazione e la cifratura dei dati; misure per garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; misure atte a garantire il tempestivo ripristino della disponibilità dei dati; procedure per verificare e valutare regolarmente l'efficacia delle misure di sicurezza adottate.
La lista di cui al paragrafo 1 dell’articolo 32 è una lista aperta e non esaustiva (“tra le altre, se del caso”).
Per questi motivi, non possono sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza poiché tale valutazione è rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati come da articolo 32 del Regolamento.
Vi è, inoltre, la possibilità di utilizzare l’adesione a specifici codici di condotta o a schemi di certificazione per attestare l’adeguatezza delle misure di sicurezza adottate (articolo 32, paragrafo 3).
Notifica di una violazione dei dati personali
A partire dal 25 maggio 2018, tutti i titolari dovranno notificare al Garante le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati (considerando 85). Pertanto, la notifica all’Autorità dell’avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta al titolare.
Se la probabilità di tale rischio è elevata, si dovrà informare della violazione anche gli interessati, sempre “senza ingiustificato ritardo”; fanno eccezione le circostanze indicate al paragrafo 3 dell’articolo 34.
I contenuti della notifica all’Autorità e della comunicazione agli interessati sono indicati, in via non esclusiva, agli articoli 33 e 34 del Regolamento.
Tutti i titolari di trattamento devono in ogni caso documentare le violazioni di dati personali subite, anche se non notificate all’autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e i provvedimenti adottati (articolo 33, paragrafo 5). È bene, dunque, adottare le misure necessarie a documentare eventuali violazioni, anche perché i titolari sono tenuti a fornire tale documentazione, su richiesta, al Garante in caso di accertamenti.
Responsabile della protezione dei dati
La designazione di un “responsabile della protezione dati” (RPD) è finalizzata a facilitare l’attuazione della normativa da parte del titolare/responsabile (articolo 39). Non è un caso, infatti, che fra i compiti del RPD rientrino “la sensibilizzazione e la formazione del personale” e la sorveglianza sullo svolgimento della valutazione di impatto di cui all’articolo 35, oltre alla funzione di punto di contatto per gli interessati e per il Garante rispetto a ogni questione attinente l’applicazione del Regolamento.
La sua designazione è obbligatoria in alcuni casi (articolo 37), e il Regolamento delinea le caratteristiche soggettive e oggettive di questa figura (indipendenza, autorevolezza, competenze manageriali: articoli 38 e 39) in termini che il Gruppo di lavoro “Articolo 29” ha ritenuto opportuno chiarire attraverso alcune linee-guida, disponibili anche sul sito del Garante, e alle quali si rinvia per maggiori delucidazioni unitamente alle relative FAQ (www.garanteprivacy.it/Regolamentoue/rpd).
I diritti degli interessati
I titolari del trattamento devono rispettare le modalità previste per l’esercizio di tutti i diritti da parte degli interessati, stabilite, in via generale, negli artt. 11 e 12 del Regolamento
- In primo luogo, il titolare del trattamento deve agevolare l’esercizio dei diritti da parte dell’interessato, adottando ogni misura (tecnica e organizzativa) a ciò idonea. Benché sia il solo titolare a dover dare riscontro in caso di esercizio dei diritti, il responsabile del trattamento è tenuto a collaborare con il titolare ai fini dell’esercizio di tali diritti (articolo 28, paragrafo 3, lettera e).
- Il titolare ha il diritto di chiedere informazioni necessarie a identificare l’interessato, e quest’ultimo ha il dovere di fornirle, secondo modalità idonee (, in particolare, articolo 11, paragrafo 2 e articolo 12, paragrafo 6).
- Il termine per la risposta all’interessato è, per tutti i diritti (compreso il diritto di accesso), pari a 1 mese, estendibile fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego.
- La risposta fornita all’interessato non deve essere solo “intelligibile”, ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.
- Spetta al titolare valutare la complessità del riscontro all’interessato e stabilire l’ammontare dell’eventuale contributo da chiedere all’interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive - anche ripetitive (articolo12, paragrafo 5) - ovvero se sono chieste più “copie” dei dati personali nel caso del diritto di accesso (articolo 15, paragrafo 3). In quest’ultimo caso il titolare deve tenere conto dei costi amministrativi sostenuti. Il riscontro all’interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità; può essere dato oralmente solo se così richiede l’interessato stesso (articolo 12, paragrafo 1; articolo 15, paragrafo 3).
Schede di sintesi redatte dall'Ufficio del Garante della Privacy a scopo divulgativo. Per un quadro completo della materia, si rimanda alla legislazione in tema di protezione dei dati personali e ai provvedimenti dell'Autorità.
Principi generali del trattamento di dati personali
Ogni trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’articolo 5 del Regolamento (UE) 2016/679, che qui si ricordano brevemente:
- liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato;
- limitazione della finalità del trattamento, compreso l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati;
- minimizzazione dei dati: ossia, i dati devono essere adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento;
- esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento;
- limitazione della conservazione: ossia, è necessario provvedere alla conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
- integrità e riservatezza: occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento.
Assicurare la liceità del trattamento di dati personali
Il Regolamento, come già previsto dal Codice in materia di protezione dei dati personali, prevede che ogni trattamento deve trovare fondamento in un’idonea base giuridica. I fondamenti di liceità del trattamento di dati personali sono indicati all’articolo 6 del Regolamento:
- consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.
Per quanto riguarda le “categorie particolari di dati personali” (articolo 9 del Regolamento), il loro trattamento è vietato, in prima battuta, a meno che il titolare possa dimostrare di soddisfare almeno una delle condizioni fissate all’articolo 9, paragrafo 2 del Regolamento, che qui ricordiamo:
- l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche;
- il trattamento è effettuato da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali;
- il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato;
- il trattamento è necessario per uno dei seguenti scopi:
- per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale;
- per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso;
- per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
- per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri;
- per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali;
- per motivi di interesse pubblico nel settore della sanità pubblica;
- per il perseguimento di fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.
Consenso
Quando il trattamento si fonda sul consenso dell’interessato, il titolare deve sempre essere in grado di dimostrare (articolo 7.1 del Regolamento) che l'interessato ha prestato il proprio consenso), che è valido se:
- all'interessato è stata resa l'informazione sul trattamento dei dati personali (articoli 13 o 14 del Regolamento);
- è stato espresso dall'interessato liberamente, in modo inequivocabile e, se il trattamento persegue più finalità, specificamente con riguardo a ciascuna di esse. Il consenso deve essere sempre revocabile.
Non è ammesso il consenso tacito o presunto (per esempio, presentando caselle già spuntate su un modulo).
Quando il trattamento riguarda le “categorie particolari di dati personali” (articolo 9 Regolamento) il consenso deve essere “esplicito”; lo stesso vale per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – articolo 22).
Il consenso non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per le categorie particolari di dati di cui all’articolo 9 Regolamento).
Interesse vitale di un terzo
Si può invocare tale base giuridica per il trattamento di dati personali solo se nessuna delle altre condizioni di liceità può trovare applicazione (considerando 46).
Interesse legittimo prevalente di un titolare o di un terzo
Il ricorso a questa base giuridica per il trattamento di dati personali presuppone che il titolare stesso effettui un bilanciamento fra il legittimo interesse suo o del terzo e i diritti e libertà dell’interessato. Dal 25 maggio 2018, dunque, tale bilanciamento non spetta più all’Autorità, in linea di principio. Si tratta di una delle principali espressioni del principio di “responsabilizzazione” introdotto dal Regolamento (UE) 2016/679.
L’interesse legittimo del titolare o del terzo deve risultare prevalente sui diritti e le libertà fondamentali dell’interessato per costituire un valido fondamento di liceità.
Il Regolamento chiarisce espressamente che l’interesse legittimo del titolare non costituisce idonea base giuridica per i trattamenti svolti dalle autorità pubbliche in esecuzione dei rispettivi compiti.
Si ricordi, inoltre, che il legittimo interesse non può essere invocato isolatamente quale base giuridica per il trattamento delle categorie particolari di dati personali (articolo 9, paragrafo 2, del Regolamento).
Trasparenza del trattamento: l’informativa agli interessati
Fatte salve alcune eccezioni, chi intende effettuare un trattamento di dati personali deve fornire all'interessato alcune informazioni anche per metterlo nelle condizioni di esercitare i propri diritti (articoli 15-22 del Regolamento medesimo).
QUANDO
L’informativa (disciplinata nello specifico dagli artt. 13 e 14 del Regolamento) deve essere fornita all’interessato prima di effettuare il trattamento, quindi prima della raccolta dei dati (se raccolti direttamente presso l’interessato: articolo 13 del Regolamento).
Nel caso di dati personali non raccolti direttamente presso l’interessato (articolo 14 del Regolamento), l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato) (diversamente da quanto prevedeva l’articolo 13, comma 4, del Codice).
COSA
I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del Regolamento e, in parte, sono più ampi rispetto al Codice. In particolare, il titolare deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati - Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.). Se i dati non sono raccolti direttamente presso l’interessato (articolo 14 del Regolamento), l’informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento.
In tutti i casi, il titolare deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati.
Il Regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo.
Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.
COME
L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online: articolo 12, paragrafo 1, e considerando 58). Sono comunque ammessi “altri mezzi”, quindi può essere fornita anche in forma orale, ma nel rispetto delle caratteristiche di cui sopra (articolo 12, paragrafo 1).
Il Regolamento ammette l’utilizzo di icone per presentare i contenuti dell’informativa in forma sintetica, ma solo “in combinazione” con l’informativa estesa (articolo 12, paragrafo 7); queste icone in futuro dovranno essere uniformate in tutta l’Ue attraverso l’intervento dalla Commissione europea.
In base al Regolamento, si deve porre particolare attenzione alla formulazione dell’informativa, che deve essere soprattutto comprensibile e trasparente per l’interessato, attraverso l’uso di un linguaggio chiaro e semplice. In particolare, bisogna ricordare che per i minori si devono prevedere informative idonee (anche considerando 58).
Un approccio responsabile al trattamento: Accountability
Il Regolamento pone l’accento sulla “responsabilizzazione” di titolari e responsabili, ossia, sull’ adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento (artt. 23-25, in particolare, e l’intero Capo IV del Regolamento). Dunque, viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel Regolamento.
Il primo fra tali criteri è sintetizzato dall’espressione inglese “data protection by default and by design” (articolo 25), ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del Regolamento e tutelare i diritti degli interessati, tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, secondo quanto previsto dall’articolo 25, paragrafo 1, del Regolamento) e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.
Fondamentali fra tali attività sono quelle connesse al secondo criterio individuato nel Regolamento rispetto alla gestione degli obblighi dei titolari: ossia il rischio inerente al trattamento. Quest’ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati (considerando 75-77); tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione (artt. 35- 36) tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi.
All’esito di questa valutazione di impatto, il titolare:
- potrà decidere se iniziare il trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero, se il rischio risulta ciononostante elevato;
- dovrà consultare l’autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale; l’Autorità avrà quindi il compito di indicare le misure ulteriori eventualmente da implementare a cura del titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell’articolo 58 del Regolamento (dall’ammonimento del titolare fino alla limitazione o al divieto di procedere al trattamento).
- la notifica preventiva dei trattamenti all’autorità di controllo;
- una verifica preliminare da parte del Garante per i trattamenti “a rischio” (anche se potranno esservi alcune eccezioni legate a disposizioni nazionali, previste in particolare dall’articolo 36, paragrafo 5 del Regolamento).
Principio di “responsabilizzazione” dei titolari e responsabili del trattamento: principali elementi
Rapporti contrattuali fra titolare e responsabile del trattamento
Il Regolamento definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE e, quindi, al Codice privacy italiano.
Tuttavia, il Regolamento (articolo 28) prevede dettagliatamente le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti. Deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’articolo 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti”, quali, in particolare:
- la natura, durata e finalità del trattamento o dei trattamenti assegnati
- le categorie di dati oggetto di trattamento
- le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel Regolamento
Inoltre, il Regolamento prevede obblighi specifici in capo ai responsabili del trattamento, distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare:
- la tenuta del registro dei trattamenti svolti (articolo 30, paragrafo 2);
- l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (articolo 32);
- la designazione di un RPD-DPO, nei casi previsti dal Regolamento o dal diritto nazionale (articolo 37).
Registro dei trattamenti
Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti - ma solo se non effettuano trattamenti a rischio (articolo 30, paragrafo 5) - devono tenere un registro delle operazioni di trattamento, i cui contenuti sono indicati all’articolo 30.
Si tratta di uno strumento fondamentale allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, indispensabile per ogni valutazione e analisi del rischio. I contenuti del registro sono fissati nell’articolo 30. Tuttavia, niente vieta a un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell’ottica della complessiva valutazione di impatto dei trattamenti svolti.
Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
Misure di sicurezza
Il titolare del trattamento, come pure il responsabile del trattamento, è obbligato ad adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio del trattamento (con l’obiettivo di evitare distruzione accidentale o illecita, perdita, modifica, rivelazione, accesso non autorizzato).
Fra tali misure, il Regolamento menziona, in particolare, la pseudonimizzazione e la cifratura dei dati; misure per garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; misure atte a garantire il tempestivo ripristino della disponibilità dei dati; procedure per verificare e valutare regolarmente l'efficacia delle misure di sicurezza adottate.
La lista di cui al paragrafo 1 dell’articolo 32 è una lista aperta e non esaustiva (“tra le altre, se del caso”).
Per questi motivi, non possono sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza poiché tale valutazione è rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati come da articolo 32 del Regolamento.
Vi è, inoltre, la possibilità di utilizzare l’adesione a specifici codici di condotta o a schemi di certificazione per attestare l’adeguatezza delle misure di sicurezza adottate (articolo 32, paragrafo 3).
Notifica di una violazione dei dati personali
A partire dal 25 maggio 2018, tutti i titolari dovranno notificare al Garante le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati (considerando 85). Pertanto, la notifica all’Autorità dell’avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta al titolare.
Se la probabilità di tale rischio è elevata, si dovrà informare della violazione anche gli interessati, sempre “senza ingiustificato ritardo”; fanno eccezione le circostanze indicate al paragrafo 3 dell’articolo 34.
I contenuti della notifica all’Autorità e della comunicazione agli interessati sono indicati, in via non esclusiva, agli articoli 33 e 34 del Regolamento.
Tutti i titolari di trattamento devono in ogni caso documentare le violazioni di dati personali subite, anche se non notificate all’autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e i provvedimenti adottati (articolo 33, paragrafo 5). È bene, dunque, adottare le misure necessarie a documentare eventuali violazioni, anche perché i titolari sono tenuti a fornire tale documentazione, su richiesta, al Garante in caso di accertamenti.
Responsabile della protezione dei dati
La designazione di un “responsabile della protezione dati” (RPD) è finalizzata a facilitare l’attuazione della normativa da parte del titolare/responsabile (articolo 39). Non è un caso, infatti, che fra i compiti del RPD rientrino “la sensibilizzazione e la formazione del personale” e la sorveglianza sullo svolgimento della valutazione di impatto di cui all’articolo 35, oltre alla funzione di punto di contatto per gli interessati e per il Garante rispetto a ogni questione attinente l’applicazione del Regolamento.
La sua designazione è obbligatoria in alcuni casi (articolo 37), e il Regolamento delinea le caratteristiche soggettive e oggettive di questa figura (indipendenza, autorevolezza, competenze manageriali: articoli 38 e 39) in termini che il Gruppo di lavoro “Articolo 29” ha ritenuto opportuno chiarire attraverso alcune linee-guida, disponibili anche sul sito del Garante, e alle quali si rinvia per maggiori delucidazioni unitamente alle relative FAQ (www.garanteprivacy.it/Regolamentoue/rpd).
I diritti degli interessati
I titolari del trattamento devono rispettare le modalità previste per l’esercizio di tutti i diritti da parte degli interessati, stabilite, in via generale, negli artt. 11 e 12 del Regolamento
- In primo luogo, il titolare del trattamento deve agevolare l’esercizio dei diritti da parte dell’interessato, adottando ogni misura (tecnica e organizzativa) a ciò idonea. Benché sia il solo titolare a dover dare riscontro in caso di esercizio dei diritti, il responsabile del trattamento è tenuto a collaborare con il titolare ai fini dell’esercizio di tali diritti (articolo 28, paragrafo 3, lettera e).
- Il titolare ha il diritto di chiedere informazioni necessarie a identificare l’interessato, e quest’ultimo ha il dovere di fornirle, secondo modalità idonee (, in particolare, articolo 11, paragrafo 2 e articolo 12, paragrafo 6).
- Il termine per la risposta all’interessato è, per tutti i diritti (compreso il diritto di accesso), pari a 1 mese, estendibile fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego.
- La risposta fornita all’interessato non deve essere solo “intelligibile”, ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.
- Spetta al titolare valutare la complessità del riscontro all’interessato e stabilire l’ammontare dell’eventuale contributo da chiedere all’interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive - anche ripetitive (articolo12, paragrafo 5) - ovvero se sono chieste più “copie” dei dati personali nel caso del diritto di accesso (articolo 15, paragrafo 3). In quest’ultimo caso il titolare deve tenere conto dei costi amministrativi sostenuti. Il riscontro all’interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità; può essere dato oralmente solo se così richiede l’interessato stesso (articolo 12, paragrafo 1; articolo 15, paragrafo 3).
Privacy Policy
del Comune di San Giorgio del Sannio
Informativa ai sensi degli art. 13-14 del GDPR (General Data Protection Regulation) 2016/679 e della normativa nazionale
Chi tratta i miei dati?
Il Comune di San Giorgio del Sannio, in qualità di titolare (con sede Piazza Municipio 1 - P.IVA 80001390626; pec: protocollosgs@pec.cstsannio.it; Centralino: 0824.334911), tratterà i dati personali conferiti con modalità prevalentemente informatiche e telematiche, per le finalità previste dal Regolamento (UE) 2016/679 (RGPD), in particolare per l'esecuzione dei propri compiti di interesse pubblico o comunque connessi all'esercizio dei propri pubblici poteri, ivi incluse le finalità di archiviazione, di ricerca storica e di analisi per scopi statistici.
Ho l'obbligo di fornire i dati?
Il conferimento dei dati o altro elemento distintivo dei vari servizi comunali è obbligatorio e il loro mancato inserimento non consente di procedere con l'elaborazione dell'istanza e/o la fornitura del servizio. Per contro, il rilascio dei dati presenti nei campi non contrassegnati da asterisco, pur potendo risultare utile per agevolare la gestione della procedura e la fornitura del servizio, è facoltativo e la loro mancata indicazione non pregiudica il completamento della procedura stessa. Il Comune di San Giorgio del Sannio gestisce numerosi servizi, con varie modalità e per ognuno di essi variano la tipologia dei dati richiesti e le finalità di raccolta.
Per quanto sono trattati i miei dati?
I dati saranno trattati per tutto il tempo necessario all'erogazione della prestazione o del servizio e, successivamente alla conclusione del procedimento o del servizio erogato, i dati saranno conservati in conformità alle norme sulla conservazione della documentazione amministrativa.
A chi vengono inviati i miei dati?
I dati saranno comunicati a terzi e diffusi nei soli casi previsti dalla vigente normativa generale o di settore ed indicati nell'informativa dettagliata di ogni servizio.
Che diritti ho sui miei dati?
Lei potrà, in qualsiasi momento, esercitare i diritti:
Informativa ai sensi degli art. 13-14 del GDPR (General Data Protection Regulation) 2016/679 e della normativa nazionale
Chi tratta i miei dati?
Il Comune di San Giorgio del Sannio, in qualità di titolare (con sede Piazza Municipio 1 - P.IVA 80001390626; pec: protocollosgs@pec.cstsannio.it; Centralino: 0824.334911), tratterà i dati personali conferiti con modalità prevalentemente informatiche e telematiche, per le finalità previste dal Regolamento (UE) 2016/679 (RGPD), in particolare per l'esecuzione dei propri compiti di interesse pubblico o comunque connessi all'esercizio dei propri pubblici poteri, ivi incluse le finalità di archiviazione, di ricerca storica e di analisi per scopi statistici.
Ho l'obbligo di fornire i dati?
Il conferimento dei dati o altro elemento distintivo dei vari servizi comunali è obbligatorio e il loro mancato inserimento non consente di procedere con l'elaborazione dell'istanza e/o la fornitura del servizio. Per contro, il rilascio dei dati presenti nei campi non contrassegnati da asterisco, pur potendo risultare utile per agevolare la gestione della procedura e la fornitura del servizio, è facoltativo e la loro mancata indicazione non pregiudica il completamento della procedura stessa. Il Comune di San Giorgio del Sannio gestisce numerosi servizi, con varie modalità e per ognuno di essi variano la tipologia dei dati richiesti e le finalità di raccolta.
Per quanto sono trattati i miei dati?
I dati saranno trattati per tutto il tempo necessario all'erogazione della prestazione o del servizio e, successivamente alla conclusione del procedimento o del servizio erogato, i dati saranno conservati in conformità alle norme sulla conservazione della documentazione amministrativa.
A chi vengono inviati i miei dati?
I dati saranno comunicati a terzi e diffusi nei soli casi previsti dalla vigente normativa generale o di settore ed indicati nell'informativa dettagliata di ogni servizio.
Che diritti ho sui miei dati?
Lei potrà, in qualsiasi momento, esercitare i diritti:
- di richiedere maggiori informazioni in relazione ai contenuti della presente informativa
- di accesso ai dati personali;
- di ottenere la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano (nei casi previsti dalla normativa);
- di opporsi al trattamento (nei casi previsti dalla normativa);
- alla portabilità dei dati (nei casi previsti dalla normativa);
- di revocare il consenso, ove previsto; la revoca del consenso non pregiudica la liceità del trattamento basata sul consenso conferito prima della revoca;
- di proporre reclamo all'autorità di controllo (Garante Privacy);
- di dare mandato a un organismo, un'organizzazione o un'associazione senza scopo di lucro per l'esercizio dei suoi diritti;
- di richiedere il risarcimento dei danni conseguenti alla violazione della normativa.
A chi mi posso rivolgere?
Potrà inoltre contattare il Data Protection Officer - Responsabile della protezione dei dati Ing. Carmine Basco; tel. 0824.312780; email: dpo@cstsannio.it; pec: protocollosgs@cstsannio.it Gli interessati, ricorrendone i presupposti, hanno, altresì, il diritto di proporre reclamo al Garante quale autorità di controllo secondo le procedure previste.
Potrà inoltre contattare il Data Protection Officer - Responsabile della protezione dei dati Ing. Carmine Basco; tel. 0824.312780; email: dpo@cstsannio.it; pec: protocollosgs@cstsannio.it Gli interessati, ricorrendone i presupposti, hanno, altresì, il diritto di proporre reclamo al Garante quale autorità di controllo secondo le procedure previste.
Informative sul trattamento dei dati
Informativa con finalità istituzionali ex art. 13 e 14 per dipendenti
Informativa ex art 13-e 14 specifica per i consiglieri comunali
Informativa ex art 13-specifica per l'accesso agli atti amministrativo
Informativa ex art 13-specifica per l'accesso agli atti civico generalizzato
Informativa ex art 13-e 14 specifica per il commercio e SUAP
Informativa con finalità istituzionali ex art 13 1
Informativa Polizia Locale
Informativa Polizia Locale (sicurezza e prevenzione)
Informativa ex art 13-e 14 specifica per i consiglieri comunali
Informativa ex art 13-specifica per l'accesso agli atti amministrativo
Informativa ex art 13-specifica per l'accesso agli atti civico generalizzato
Informativa ex art 13-e 14 specifica per il commercio e SUAP
Informativa con finalità istituzionali ex art 13 1
Informativa Polizia Locale
Informativa Polizia Locale (sicurezza e prevenzione)
Organizzazione Privacy del Comune di San Giorgio del Sannio
Informazioni sul trattamento dati personali (sito web)
Informativa sulla privacy ai sensi dell’art. 13 del Regolamento UE 2016/679 (GDPR) e delle ulteriori normative vigenti
Secondo la normativa indicata, tale trattamento sarà improntato ai principi di correttezza, liceità, trasparenza e di tutela della riservatezza e dei diritti degli Utenti.
1. “TITOLARE” DEL TRATTAMENTO
Il Titolare del Trattamento è Comune di San Giorgio del Sannio, con sede in San Giorgio del Sannio (BN), in persona del sindaco pro tempore Ing. Angelo Ciampi.
2. “D.P.O.” (Data Protection Officer - Responsabile della protezione dei dati)
D.P.O.: Il Responsabile della protezione dati è l'Ing. Carmine Basco, Dati di contatto : tel. 0824.312780; email: dpo@cstsannio.it; pec: protocollosgs@cstsannio.it
3. CATEGORIE E ORIGINE DEI DATI TRATTATI
Tutti i dati personali forniti attraverso il presente software saranno trattati in modo lecito, corretto e trasparente al fine di fornire i servizi richiesti nonché di rispondere alle comunicazioni ed alle domande degli Utenti.
Dati di navigazione
I sistemi informatici e le procedure software preposte al funzionamento di questo sito web acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell'uso dei protocolli di comunicazione di Internet.
Tra i dati raccolti sono comprese informazioni relative agli accessi, quali gli indirizzi IP ed i nomi di dominio dei computer utilizzati dagli utenti che si connettono al sito, nonché altri parametri riguardanti l’ambiente informatico utilizzato dagli utenti. Tali dati saranno trattati per il tempo strettamente necessario onde soddisfare le finalità di cui alla presente informativa.
Dati forniti volontariamente dall’utente
L'invio facoltativo, esplicito e volontario di posta elettronica agli indirizzi indicati su questo sito o l'utilizzo di aree riservate e la compilazione di moduli web, comporta la successiva acquisizione ed elaborazione dei dati necessari per offrire il servizio richiesto e/o rispondere alle richieste, nonché degli eventuali altri dati personali inseriti.
Specifiche informative potranno essere riportate o visualizzate nelle pagine del sito predisposte per particolari servizi a richiesta.
Ove l'accesso a particolari servizi sia subordinato alla registrazione previa comunicazione di dati personali, valgono le seguenti disposizioni generali:
4. FINALITÀ, BASE GIURIDICA E MODALITÀ DEL TRATTAMENTO
I dati personali sono trattati esclusivamente per le finalità che rientrano nei compiti istituzionali dell'Amministrazione o per gli adempimenti previsti da norme di legge o di regolamento.
Nell'ambito di tali finalità, il trattamento può riguardare i dati necessari per la gestione dei rapporti con il Comune di San Giorgio del Sannio, compresi i dati forniti al momento della registrazione o fruizione di servizi online.
I dati personali sono trattati con strumenti automatizzati per il tempo strettamente necessario a conseguire gli scopi per cui sono raccolti.
I dati personali raccolti verranno trattati in base al consenso prestato dall’Utente e/o in forza di previsione di legge per motivi di interesse pubblico rilevante sulla base del diritto nazionale o dell’Unione.
5. DESTINATARI
I dati verranno trattati ad uso esclusivo del Comune di San Giorgio del Sannio da parte di soggetti interni e potranno essere portati a conoscenza di soggetti esterni operanti in qualità di addetti alla gestione o manutenzione di strumenti elettronici oppure di altri soggetti esterni laddove la comunicazione sia prevista da norma di legge o di regolamento oppure sia necessaria per lo svolgimento di compiti e finalità istituzionali.
6. PERIODO DI CONSERVAZIONE
I dati personali raccolti e trattati secondo la presente Informativa verranno conservati dal Titolare per il periodo necessario per l’erogazione del servizio ed in ogni caso per il tempo necessario all’esecuzione dei compiti istituzionali dell’Amministrazione o per gli adempimenti previsti da norme di legge o regolamento.
7. DIRITTI DELL’INTERESSATO
L’interessato potrà, in qualsiasi momento, esercitare i seguenti diritti:
8. CONFERIMENTO DEI DATI
L’utente è libero di fornire i dati personali riportati nei moduli di richiesta dei vari servizi offerti nel portale.
Il mancato conferimento dei dati eventualmente richiesti in via obbligatoria comporterà l’impossibilità di ottenere il servizio. Ulteriori dati personali potranno essere forniti su base volontaria dall’Utente mediante le richieste inviate al Comune sulla base dei form utilizzati dal software.
Titolare del trattamento dei dati: Comune di San Giorgio del Sannio - Sindaco Angelo Ciampi
PREMESSA
In questa pagina si descrivono le modalità di gestione del software in riferimento al trattamento dei dati personali degli utenti che lo utilizzano. Si tratta di un’informativa che è resa, ai sensi dell’art. 13 del Regolamento UE 2016/679 (G.D.P.R. “General Data Protection Regulation”) e delle ulteriori normative vigenti, a coloro che interagiscono ("Utenti” o “interessati”) con i servizi web Comune di San Giorgio del Sannio accessibili per via telematica a partire dall’indirizzo: https://www.comune.sangiorgiodelsannio.bn.it/ corrispondente alla pagina iniziale del sito ufficiale del Comune di San Giorgio del Sannio. L’informativa non è estendibile a siti web eventualmente consultati dall’utente tramite link.Secondo la normativa indicata, tale trattamento sarà improntato ai principi di correttezza, liceità, trasparenza e di tutela della riservatezza e dei diritti degli Utenti.
1. “TITOLARE” DEL TRATTAMENTO
Il Titolare del Trattamento è Comune di San Giorgio del Sannio, con sede in San Giorgio del Sannio (BN), in persona del sindaco pro tempore Ing. Angelo Ciampi.
2. “D.P.O.” (Data Protection Officer - Responsabile della protezione dei dati)
D.P.O.: Il Responsabile della protezione dati è l'Ing. Carmine Basco, Dati di contatto : tel. 0824.312780; email: dpo@cstsannio.it; pec: protocollosgs@cstsannio.it
3. CATEGORIE E ORIGINE DEI DATI TRATTATI
Tutti i dati personali forniti attraverso il presente software saranno trattati in modo lecito, corretto e trasparente al fine di fornire i servizi richiesti nonché di rispondere alle comunicazioni ed alle domande degli Utenti.
Dati di navigazione
I sistemi informatici e le procedure software preposte al funzionamento di questo sito web acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell'uso dei protocolli di comunicazione di Internet.
Tra i dati raccolti sono comprese informazioni relative agli accessi, quali gli indirizzi IP ed i nomi di dominio dei computer utilizzati dagli utenti che si connettono al sito, nonché altri parametri riguardanti l’ambiente informatico utilizzato dagli utenti. Tali dati saranno trattati per il tempo strettamente necessario onde soddisfare le finalità di cui alla presente informativa.
Dati forniti volontariamente dall’utente
L'invio facoltativo, esplicito e volontario di posta elettronica agli indirizzi indicati su questo sito o l'utilizzo di aree riservate e la compilazione di moduli web, comporta la successiva acquisizione ed elaborazione dei dati necessari per offrire il servizio richiesto e/o rispondere alle richieste, nonché degli eventuali altri dati personali inseriti.
Specifiche informative potranno essere riportate o visualizzate nelle pagine del sito predisposte per particolari servizi a richiesta.
Ove l'accesso a particolari servizi sia subordinato alla registrazione previa comunicazione di dati personali, valgono le seguenti disposizioni generali:
- i dati personali, raccolti e conservati in banche dati, verranno trattati da dipendenti incaricati dal titolare del trattamento, e non saranno oggetto di diffusione o di comunicazione a terzi, se non nei casi previsti dalla legge e con le modalità da questa consentite;
- il soggetto interessato ha facoltà di esercitare i diritti previsti di cui alla presente informativa.
4. FINALITÀ, BASE GIURIDICA E MODALITÀ DEL TRATTAMENTO
I dati personali sono trattati esclusivamente per le finalità che rientrano nei compiti istituzionali dell'Amministrazione o per gli adempimenti previsti da norme di legge o di regolamento.
Nell'ambito di tali finalità, il trattamento può riguardare i dati necessari per la gestione dei rapporti con il Comune di San Giorgio del Sannio, compresi i dati forniti al momento della registrazione o fruizione di servizi online.
I dati personali sono trattati con strumenti automatizzati per il tempo strettamente necessario a conseguire gli scopi per cui sono raccolti.
I dati personali raccolti verranno trattati in base al consenso prestato dall’Utente e/o in forza di previsione di legge per motivi di interesse pubblico rilevante sulla base del diritto nazionale o dell’Unione.
5. DESTINATARI
I dati verranno trattati ad uso esclusivo del Comune di San Giorgio del Sannio da parte di soggetti interni e potranno essere portati a conoscenza di soggetti esterni operanti in qualità di addetti alla gestione o manutenzione di strumenti elettronici oppure di altri soggetti esterni laddove la comunicazione sia prevista da norma di legge o di regolamento oppure sia necessaria per lo svolgimento di compiti e finalità istituzionali.
6. PERIODO DI CONSERVAZIONE
I dati personali raccolti e trattati secondo la presente Informativa verranno conservati dal Titolare per il periodo necessario per l’erogazione del servizio ed in ogni caso per il tempo necessario all’esecuzione dei compiti istituzionali dell’Amministrazione o per gli adempimenti previsti da norme di legge o regolamento.
7. DIRITTI DELL’INTERESSATO
L’interessato potrà, in qualsiasi momento, esercitare i seguenti diritti:
- di accesso ai dati personali;
- di ottenere l’aggiornamento, la rettifica, l’integrazione dei dati incompleti
- di ottenere la cancellazione dei dati, la trasformazione in forma anonima degli stessi o il blocco dei dati trattati in violazione di legge;
- di ottenere l’attestazione che eventuali modiche o cancellazioni sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati, salvo quanto previsto dalla legge;
- di ottenere la limitazione del trattamento;
- di opporsi al trattamento;
- alla portabilità dei dati;
- di revocare il consenso, ove previsto: la revoca del consenso non pregiudica la liceità del trattamento basata sul consenso conferito prima della revoca;
- di proporre reclamo all'autorità di controllo (Garante per la Protezione dei Dati personali).
8. CONFERIMENTO DEI DATI
L’utente è libero di fornire i dati personali riportati nei moduli di richiesta dei vari servizi offerti nel portale.
Il mancato conferimento dei dati eventualmente richiesti in via obbligatoria comporterà l’impossibilità di ottenere il servizio. Ulteriori dati personali potranno essere forniti su base volontaria dall’Utente mediante le richieste inviate al Comune sulla base dei form utilizzati dal software.
Titolare del trattamento dei dati: Comune di San Giorgio del Sannio - Sindaco Angelo Ciampi
Informativa Cookies
Per rendere il nostro sito più facile ed intuitivo facciamo uso dei cookie. I cookie sono piccole porzioni di dati che ci permettono di confrontare i visitatori nuovi e quelli passati e di capire come gli utenti navigano attraverso il nostro sito. Utilizziamo i dati raccolti grazie ai cookie per rendere l'esperienza di navigazione più piacevole e più efficiente in futuro.
I cookie non registrano alcuna informazione personale su un utente e gli eventuali dati identificabili non verranno memorizzati. Se si desidera disabilitare l'uso dei cookie è necessario personalizzare le impostazioni del proprio computer impostando la cancellazione di tutti i cookie o attivando un messaggio di avviso quando i cookie vengono memorizzati. Per procedere senza modificare l'applicazione dei cookie è sufficiente continuare con la navigazione.I tipi di cookie che utilizziamo
Cookie indispensabili
Questi cookie sono essenziali al fine di consentire di spostarsi in tutto il sito ed utilizzare a pieno le sue caratteristiche, come ad esempio accedere alle varie aree protette del sito.
Performance cookieQuesti cookie raccolgono informazioni su come gli utenti utilizzano un sito web, ad esempio, quali sono le pagine più visitate, se si ricevono messaggi di errore da pagine web. Questi cookie non raccolgono informazioni che identificano un visitatore. Tutte le informazioni raccolte tramite cookie sono aggregate e quindi anonime. Vengono utilizzati solo per migliorare il funzionamento di un sito web.
Cookie di funzionalitàI cookie consentono al sito di ricordare le scelte fatte dall'utente e forniscono funzionalità avanzate personalizzate. Questi cookie possono essere utilizzati anche per ricordare le modifiche apportate alla dimensione del testo, font ed altre parti di pagine web che è possibile personalizzare. Le informazioni raccolte da questi tipi di cookie possono essere rese anonime e non in grado di monitorare la vostra attività di navigazione su altri siti web.
Cookie di profilazioneSono quei cookie necessari a creare profili utenti al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall'utente all'interno delle pagine del Sito.
Questo sito non utilizza cookie di profilazione.
Come gestire i cookie sul tuo PCPuoi esaminare le opzioni disponibili per gestire i cookie nel tuo browser. Browser differenti utilizzano modi differenti per disabilitare i cookie, ma si trovano solitamente sotto il menu Strumenti o Opzioni. Puoi anche consultare il menu Aiuto del browser. Oltre alla gestione dei cookie, i browser ti consentono solitamente di controllare file simili ai cookie, come i Local Shared Objects, ad esempio abilitando la modalità privacy del browser.
Google Analytics
Questo sito web utilizza Google Analytics, un servizio di analisi web fornito da Google, Inc. ("Google"). Google Analytics utilizza dei "cookies", che sono file di testo depositati sul Vostro computer per consentire al sito web di analizzare come gli utenti utilizzano il sito. Le informazioni generate dal cookie sull'utilizzo del sito web (compreso il Vostro indirizzo IP anonimo) verranno trasmesse e depositate presso i server di Google negli Stati Uniti. Google utilizzerà queste informazioni allo scopo di esaminare il Vostro utilizzo del sito web, compilare report sulle attività del sito per gli operatori dello stesso e fornire altri servizi relativi alle attività del sito web e all'utilizzo di internet. Google può anche trasferire queste informazioni a terzi ove ciò sia imposto dalla legge o laddove tali terzi trattino le suddette informazioni per conto di Google. Google non assocerà il vostro indirizzo IP a nessun altro dato posseduto da Google. Potete rifiutarvi di usare i cookies selezionando l'impostazione appropriata sul vostro browser, ma si prega di notare che se si fa questo non si può essere in grado di utilizzare tutte le funzionalità di questo sito web. Utilizzando il presente sito web, voi acconsentite al trattamento dei Vostri dati da parte di Google per le modalità ed i fini sopraindicati.
Si può impedire a Google il rilevamento di un cookie che viene generato a causa di e legato al Vostro utilizzo di questo sito web (compreso il Vostro indirizzo IP) e l'elaborazione di tali dati scaricando e installando questo plugin per il browser: http://tools.google.com/dlpage/gaoptout?hl=en