Domande frequenti sulla protezione dei dati personali (FAQ)

Ai sensi dell’articolo 4, paragrafo 1, n.7, del Regolamento (UE) 2016/679, si intende per “titolare del trattamento” la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che determina le finalità e i mezzi del trattamento di dati personali. Il titolare del trattamento è la Regione Autonoma della Sardegna nella persona del Presidente della Regione, suo legale rappresentante pro-tempore. Con le deliberazioni della Giunta Regionale n. 21/8 del 24.04.2018 e n. 51/3 del 16.10.2018 il Presidente della Regione ha delegato i compiti e le funzioni del titolare del trattamento ai direttori generali, ai coordinatori delle unità di progetto e ai responsabili apicali degli uffici, secondo le rispettive competenze e responsabilità. I direttori generali possono esercitare le predette funzioni anche delegandole, a propria volta, ai direttori di servizio secondo le relative competenze e responsabilità.

Il responsabile della protezione dei dati è il soggetto, nominato dal titolare del trattamento, chiamato a svolgere le funzioni e i compiti previsti dagli articoli 37, 38 e 39 del Regolamento (UE) 2016/679. La scheda informativa del Garante per la protezione dei dati personali sul tema è consultabile al seguente link.

Al responsabile della protezione dei dati della Regione Sardegna sono, inoltre, delegate le funzioni di impulso, proposta e raccordo tra le strutture dell’Amministrazione regionale finalizzate all’attuazione dei compiti posti in capo al titolare del trattamento in materia di protezione dei dati personali dal Regolamento e la detenzione del registro delle attività di trattamento.

Ai sensi dell’articolo 4, paragrafo 1, n. 8, del Regolamento (UE) 2016/679, il “responsabile del trattamento” è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. E’ disciplinato dall’articolo 28 del Regolamento. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato.
I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico in forma scritta, che vincola il responsabile del trattamento al titolare del trattamento e regolamenta la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare e del responsabile del trattamento. Con l’atto di designazione, il titolare impartisce le necessarie istruzioni al responsabile del trattamento.
Il modello di designazione dei responsabili del trattamento (art. 28 Regolamento) adottato dalla Regione Sardegna è disponibile nel Registro delle attività del titolare.

I dipendenti o collaboratori preposti al trattamento dei dati personali che agiscono sotto l’autorità diretta del titolare o del responsabile. Il Regolamento (UE) 2016/679 prescrive che chiunque agisca sotto l’autorità del titolare del trattamento e abbia accesso a dati personali non può procedere con il trattamento dei medesimi se non è istruito in tal senso dal titolare. Ai sensi dell’articolo 2-quaterdecies (Attribuzione di funzioni e compiti a soggetti designati) del Codice in materia di protezione dei dati personali, il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità. Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta. Il modello di designazione degli autorizzati al trattamento adottato dalla Regione Sardegna è disponibile nel Registro delle attività del titolare. Il modello compilato può essere generato automaticamente utilizzando l’apposita funzionalità messa a disposizione dal Registro delle attività di trattamento.

I referenti privacy sono dipendenti individuati da ciascuna struttura amministrativa e rappresentano il punto di contatto tra il RPD e le strutture stesse e sono nominati formalmente.

Il referente privacy è il punto di contatto tra il RPD e la struttura di appartenenza in caso di ispezioni da parte dell’Autorità Garante, nella gestione delle istanze degli interessati per l’esercizio dei diritti, per l’eventuale formulazione delle richieste di parere al RPD e nell’esercizio delle attività di sorveglianza svolte in sede dal RPD. All’interno della struttura di appartenenza, il referente privacy rappresenta il primo riferimento per la risoluzione delle problematiche e delle questioni interne in materia di protezione dei dati personali e garantisce al delegato del titolare il necessario supporto nella compilazione e aggiornamento delle schede di trattamento mappate nel Registro delle attività di trattamento. Nel caso di violazione dei dati personali (data breach), deve essere coinvolto nella prima valutazione della violazione, da effettuarsi all’interno della struttura, e costituisce il punto di contatto tra il referente del data breach e il RPD.

In forza dell’articolo 5 del Regolamento (UE) 2016/679, i dati personali devono essere: a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»); b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, del Regolamento, considerato incompatibile con le finalità iniziali («limitazione della finalità»); c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»); d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»); e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal Regolamento a tutela dei diritti e delle libertà dell'interessato («limitazione della conservazione»); f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»). Il titolare del trattamento è tenuto ad applicare tali principi e deve essere in grado di comprovarne il rispetto («responsabilizzazione o accountability»).

Come precisato dalle Linee guida n. 3/2019 sul trattamento dei dati personali attraverso dispositivi video adottate dall’EDPB (European Data Protection Board) il 29 gennaio 2020, la videosorveglianza consiste nella sorveglianza sistematica e automatizzata di uno spazio specifico con mezzi ottici o audiovisivi. Questa attività concreta un trattamento di dati personali se comporta la raccolta e la conservazione di informazioni grafiche o audiovisive sulle persone che entrano nello spazio monitorato, identificabili in base al loro aspetto o ad altri elementi specifici; tuttavia, la normativa in materia di protezione dati non si applica al trattamento di dati che non consentono di identificare le persone, direttamente o indirettamente. Gli interessati devono essere informati ai sensi dell’articolo 13 del Regolamento (UE) 2016/679. Le informazioni più importanti devono essere indicate sul segnale di avvertimento per dare, in modo ben visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto (primo livello), mentre gli ulteriori dettagli obbligatori possono essere forniti con altri mezzi (secondo livello). Si dovrebbe optare per misure di videosorveglianza unicamente se la finalità del trattamento non può ragionevolmente essere raggiunta con altri mezzi meno intrusivi per i diritti e le libertà fondamentali dell’interessato. Per eventuali approfondimenti sul tema, si rinvia alla pagina tematica del Garante per la protezione dei dati personali: https://www.garanteprivacy.it/temi/videosorveglianza

I cookie sono piccoli file di testo che i siti web visitati dagli utenti ovvero siti o web server diversi (cd. “terze parti”) posizionano ed archiviano all’interno dei dispositivi terminali usati per la consultazione (computer, smartphone, tablet, smart TV, ecc.) per essere memorizzati e poi ritrasmessi agli stessi siti che li hanno generati in occasione della visita successiva. Le informazioni codificate nei cookie possono includere dati personali, come un indirizzo IP, un nome utente, un identificativo univoco o un indirizzo e-mail. Il 10 giugno 2021 il Garante per la protezione dei dati personali ha approvato le nuove Linee guida in materia di Cookie e altri strumenti di tracciamento, operative dal 9 gennaio 2022. Per l’utilizzo di cookie tecnici, il titolare del trattamento è assoggettato al solo obbligo di fornire specifica informativa; i cookie e gli altri strumenti di tracciamento per finalità diverse da quelle tecniche possono, invece, essere utilizzati esclusivamente previa acquisizione del consenso, comunque informato, del contraente o utente. L’EDPB (European Data Protection Board) ha, inoltre, chiarito (Linee guida n. 5/2020, del 4 maggio 2020) che il semplice scrolling del cursore di pagina non è mai idoneo, di per sé, alla raccolta, da parte del titolare del trattamento, di un idoneo consenso all’installazione e all’utilizzo di cookie di profilazione ovvero di altri strumenti di tracciamento. Per gli approfondimenti sul tema, si rinvia alla pagina tematica del Garante per la protezione dei dati personali raggiungibile dal seguente link.

I trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo (SEE, ossia UE + Norvegia, Liechtenstein, Islanda) o verso un’organizzazione internazionale sono consentiti nel rispetto delle condizioni stabilite negli articoli 45 e seguenti del Regolamento (UE) 2016/679 al fine di assicurare che il livello di protezione delle persone fisiche garantito dal Regolamento non venga pregiudicato con il trasferimento dei dati. Ai sensi dell’articolo 45 del Regolamento, il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale è ammesso se la Commissione europea ha deciso che il paese terzo o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche. In assenza di tale decisione di adeguatezza, in forza dell’articolo 46 del Regolamento il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo o un’organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. Al riguardo, possono costituire garanzie adeguate:

1. senza necessità di autorizzazione da parte del Garante:

• gli strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici;
• le norme vincolanti d’impresa;
• le clausole tipo;
• i codici di condotta;
• i meccanismi di certificazione;

2. previa autorizzazione del Garante:

• le clausole contrattuali ad hoc;
• gli accordi amministrativi tra autorità o organismi pubblici.

In mancanza di una decisione di adeguatezza ai sensi dell'articolo 45 o di garanzie adeguate ai sensi dell’articolo 46, comprese le norme vincolanti d'impresa, è ammesso il trasferimento o un complesso di trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale soltanto se si verifica una delle deroghe previste dall’articolo 49 del Regolamento. Si rinvia, in proposito, alle Linee guida 2/2018 sulle deroghe di cui all’articolo 49 del Regolamento 2016/679, adottate dall’EDPB (European Data Protection Board) il 25 maggio 2018 consultabili al seguente link.

Ai sensi dell’articolo 30 del Regolamento (UE) 2016/679, ogni titolare del trattamento tiene un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni: a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; b) le finalità del trattamento; c) una descrizione delle categorie di interessati e delle categorie di dati personali; d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l’identificazione del paese terzo o dell'organizzazione internazionale e la documentazione delle garanzie adeguate; f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate.

All’interno dell’Amministrazione regionale, è stato delegato ai direttori generali, ai coordinatori delle unità di progetto e ai responsabili apicali degli uffici, compresi quelli di Gabinetto, il compito della corretta compilazione e del costante aggiornamento e revisione del registro delle attività per assicurare, per gli aspetti di competenza. Ogni struttura individuerà autonomamente i dipendenti preposti alla compilazione. La detenzione, gestione e sviluppo del registro del titolare del trattamento Regione Autonoma della Sardegna è stata affidata all’ufficio del RPD. Per facilitare e uniformare la tenuta del Registro, l’Amministrazione ha realizzato un apposito applicativo informatico, al quale si accede tramite l’indirizzo di posta elettronica aziendale, che viene utilizzato dal sistema per inviare una email contenente una password monouso (One Time Password - OTP) della validità di 10 minuti; facendo click sul link ricevuto tramite e-mail, si accede direttamente alla pagina principale dell’applicativo. La gestione delle utenze applicative sul Registro compete al referente privacy per la struttura di appartenenza.

A norma dell’articolo 26 del Regolamento (UE) 2016/679, quando due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Entrambi i contitolari del trattamento hanno, quindi, potere decisionale in ordine alle finalità e ai mezzi del trattamento. Invece, quando il terzo effettua il trattamento per conto del titolare, non avendo alcun potere decisionale sulle finalità e sui mezzi del trattamento, agisce in qualità di responsabile del trattamento (articolo 28 del Regolamento); il responsabile del trattamento tratta i dati sulla base di precise e documentate istruzioni del titolare.
Con apposito accordo scritto (c.d. accordo di contitolarità), i contitolari del trattamento determinano in modo chiaro e trasparente i rispettivi ruoli e responsabilità in merito all’osservanza degli obblighi derivanti dal Regolamento (UE) 2016/679 con riferimento a tutte le fasi del trattamento, con particolare riguardo all’esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione agli interessati delle informazioni di cui agli articoli 13 e 14 del Regolamento.