Trattamento dei dati personali: responsabilità d'uso

[jambtc]

discussione sul trattamento dei dati personali

[bparretta]

Buonasera a tutti, come discutevo anche in privato, la responsabilità al trattamento dei dati, naturalmente, è da affidare al Comune stesso. L'associazione Napoli Blockchain potrebbe essere considerata come un responsabile esterno a cui affidarne il trattamento. In tal caso naturalmente poi noi dovremmo essere in grado di mettere in piedi tutte le misure di sicurezza al fine di tutelare il dato, considerando l'intero flusso informativo (considerate che non è vero che il garante non si sta interessando, guardate che sta succedendo con l'INPS: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9304360). Quindi proporrei in fase di login, di far flaggare un documento di privacy del Comune, al quale apporterò alcune modifiche specificando la funzione dell'Associazione. Che ne pensate?

[kalman0x]

Penso sia quasi d'obbligo

[bparretta]

Facciamo anche attenzione qui:

Gli utenti possono essere di 3 livelli Admin (gestisce users) Gestore (carica i nominativi degli assegnatari) Volontario (consegna i pacchi)

Chi fa cosa e come?

Dovremmo disegnare tutti i flussi informativi, in modo tale da predisporre la documentazione adeguata...

[bparretta]

L'informativa potrebbe avere questa connotazione, però deve essere sottoposta al DPO del Comune di Napoli ed approvata, prima di essere pubblicata. Ci saranno 2 Flag: 2A (obbligatorio: per adempiere agli obblighi di legge) e 2B (facoltativo: possibili attività di marketing).

Gentile Interessato, di seguito le forniamo alcune informazioni che è necessario portare alla sua conoscenza non solo per ottemperare agli obblighi di legge, ma perché la trasparenza e la correttezza nei confronti della nostra clientela è parte fondamentale della nostra attività. Il Titolare dei trattamenti è il Comune di Napoli, che tratterà i suoi dati sia in modalità cartacea, che digitale e che al fine di tutelarli maggiormente. I suoi dati personali sono raccolti e trattati, sia in modalità cartacea, che digitale (Informativa redatta in ottemperanza del regolamento sulla privacy (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 (GDPR)).

1. Oggetto del trattamento Il Titolare tratta i dati personali, identificativi (ad es.: nome, cognome, codice fiscale, p. iva, e-mail, numero telefonico – in seguito, “dati personali” o anche “dati”) da Lei comunicati in fase di sottoscrizione della presente informativa.
2. Finalità del trattamento I Suoi dati personali sono trattati: A. senza il Suo consenso espresso ex art. 6 lettere b), e) GDPR 2016/679, per le seguenti Finalità: • adempiere agli obblighi previsti dalla legge, dalla normativa comunitaria, da un regolamento o da un ordine dell’Autorità; • Esecuzione del contratto da lei sottoscritto. B. solo previo Suo specifico e distinto consenso ex art. 7 GDPR 2016/679, per le seguenti Finalità: • svolgimento di attività di marketing diretto, quali l’invio – anche tramite e-mail, SMS – di materiale pubblicitario e di comunicazioni aventi contenuto informativo e/o promozionale in relazione a prodotti o servizi forniti e/o promossi dal Titolare o da suoi partner commerciali. • svolgimento di attività di profilazione individuale o aggregata e di ricerche di mercato volte, ad esempio, all’analisi delle abitudini e delle scelte di consumo, all’elaborazione di statistiche sulle stesse o alla valutazione del grado di soddisfacimento rispetto ai prodotti ed ai servizi proposti.
3. Natura del dato Il conferimento dei Suoi dati personali di cui al punto 2 lett. A ha natura obbligatoria, pertanto, l’eventuale rifiuto potrebbe comportare la mancata e/o parziale esecuzione del contratto e/o prosecuzione del rapporto. Il conferimento dei Suoi dati di cui al punto 2 lett. B ha natura facoltativa, pertanto, potrà in ogni momento esercitare i diritti di cui al punto 9 lett. a), b), c), d), e), f), g), h), i).
4. Modalità del trattamento Il trattamento dei Suoi dati personali è realizzato per mezzo delle operazioni indicate all’art. 4, n. 2 GDPR 2016/679 e precisamente: raccolta e registrazione, organizzazione, conservazione, consultazione, cancellazione e distruzione dei dati. Il trattamento dei Suoi dati sarà improntato ai principi di correttezza, liceità e trasparenza e potrà essere effettuato anche attraverso modalità automatizzate atte a memorizzarli, gestirli e trasmetterli ed avverrà mediante strumenti idonei, per quanto di ragione e allo stato della tecnica, a garantire la sicurezza e la riservatezza tramite l’utilizzo di idonee procedure che evitino il rischio di perdita, accesso non autorizzato, uso illecito e diffusione. I Suoi dati personali sono sottoposti a trattamento sia cartaceo che elettronico.
5. Periodo di conservazione dei dati Il Titolare tratterà i dati personali per il tempo necessario per adempiere alle finalità di cui sopra e comunque per l’esecuzione del contratto. Decorso tale termine di conservazione, i dati saranno distrutti o resi anonimi.
6. Accesso ai dati I dati personali trattati dal Titolare non saranno diffusi, ovvero non ne verrà data conoscenza a soggetti indeterminati, in nessuna possibile forma, inclusa quella della loro messa a disposizione o semplice consultazione. Potranno, invece, essere comunicati ai lavoratori che operano alle dipendenze del Titolare e ad alcuni soggetti che con essi collaborano. Infine, potranno essere comunicati ai soggetti legittimati ad accedervi in forza di disposizioni di legge, regolamenti e normative comunitarie. In particolare, sulla base dei ruoli e delle mansioni lavorative espletate, alcuni lavoratori sono stati legittimati a trattare i dati personali, nei limiti delle loro competenze ed in conformità alle istruzioni ad essi impartite dal Titolare. L’accesso ai dati e/o la richiesta di portabilità verranno adempiuti entro il termine massimo di 30 giorni, fatti salvi impedimenti e/o complessità nell’espletamento. Per il rilascio di ulteriori copie dei dati personali oggetto del trattamento verrà addebitato un contributo spese basato sui costi amministrativi sostenuti.
7. Destinatari dei dati Anche senza il Suo espresso consenso ex art. ex art. 6 lett. b) – c) e art. 13 lett. e) GDPR 679/2016, il Titolare potrà comunicare i Suoi dati per le finalità indicate a Organismi di vigilanza, Autorità giudiziarie, nonché a tutti gli altri soggetti, ai quali la comunicazione sia obbligatoria per legge. Nonché i Suoi dati potranno essere trasmessi, a titolo esemplificativo, a • Figure esterne che collaborano con il Comune di Napoli; • Fornitori di servizi (ad es. fornitori di sistemi IT, fornitori di servizi cloud, fornitori di database, consulenti, ecc…). L’elenco aggiornato dei Responsabili del trattamento è disponibile presso la sede legale del Titolare e sarà fornito previa richiesta scritta.
8. Trasferimento dati La gestione e la conservazione dei dati personali avverrà su server ubicati all’interno dell’Unione Europea del Titolare e/o di società terze incaricate e debitamente nominate quali Responsabili del trattamento. Attualmente i server sono situati in Europa. I dati non saranno oggetto di trasferimento al di fuori dell’Unione Europea. Resta in ogni caso inteso che il Titolare, ove si rendesse necessario, avrà facoltà di spostare l’ubicazione dei server in Italia e/o Unione Europea e/o Paesi extra-UE. In tal caso, il Titolare assicura sin d’ora che il trasferimento dei dati extra-UE avverrà in conformità alle disposizioni di legge applicabili.
9. Diritti dell’interessato Nella Sua qualità di interessato, risulta titolare dei diritti di cui all’art. 15 e ss. del GDPR 2016/679 e precisamente il diritto di: a) diritto di chiedere al titolare del trattamento l’accesso ai dati personali (art. 15) ossia, la conferma che sia o meno in corso un trattamento di dati personali che La riguardano e in tal caso, ottenere l’accesso ai dati stessi; b) diritto di chiedere al titolare del trattamento la rettifica (art. 16) ossia, ottenere la rettifica e/o l’integrazione dei dati personali inesatti che La riguardano; c) diritto di chiedere al titolare del trattamento la cancellazione degli stessi (art. 17) ossia, ottenere la cancellazione dei dati che la riguardano senza ingiustificato ritardo; d) diritto di chiedere al titolare del trattamento la limitazione del trattamento che la riguarda (art. 18), ossia ottenere la conferma che il trattamento dei dati personali che La riguardano sia limitato a quanto necessario ai fini della conservazione; e) diritto alla portabilità dei dati (art. 20) ossia, ottenere in un formato strutturato, di uso comune e leggibile, i dati personali che La riguardano; f) diritto di opporsi al loro trattamento (art. 21) ossia, opporsi in qualsiasi momento, per motivi connessi alla Sua situazione particolare, al trattamento dei dati che La riguardano; g) diritto in relazione a processi automatizzati decisionali (art. 22), ossia il diritto a non essere sottoposto ad una decisione basata unicamente su un trattamento automatizzato dei dati senza il Suo consenso esplicito. h) diritto alla cancellazione (art. 17), ossia il diritto di ottenere, nei casi previsti dal Regolamento, la cancellazione dei dati personali che La riguardano; Inoltre, potrà in ogni momento revocare il consenso su cui si basa il trattamento eseguito conformemente all’avvenuto ottenimento del consenso al trattamento; i) diritto di proporre reclamo all’Autorità di controllo (art. 77), ossia diritto di adire l’Autorità nel caso in cui ritenga che il trattamento che La riguarda violi il Regolamento;
10. Violazione dei dati (Data Breach) e notifica al Garante della Privacy e/o comunicazione della violazione all’interessato In caso di violazione dei dati personali – da intendersi quale violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati – in cui il rischio per i diritti e le libertà delle persone sia da considerare probabile e/o elevato, il Titolare del trattamento provvederà alla notifica al Garante della Privacy senza ritardo e comunque entro e non oltre 72 ore dando descrizione della natura della violazione dei dati, ivi compresi il numero delle persone interessate e le categorie di dati interessati.
11. Modalità di esercizio dei diritti Potrà in qualsiasi momento esercitare i diritti di cui sopra inviando attraverso questo link: http://www.comune.napoli.it/flex/cm/pages/ServeBLOB.php/L/IT/IDPagina/35579

[jambtc]

I volontari che consegnano i pacchi sono in possesso di una lista di consegna con i dati personali che non dovrebbero essere divulgati.

Puoi darmi una formula che posso inserire nella stampa per avvisare il volontario che deve fare attenzione alluso del foglio?

[jambtc]

un primo messaggio sulla homepage potrebbe essere questo:

INFORMATIVA PER GLI UTENTI L'utilizzo delle banche dati può avvenire solo ed esclusivamente per finalità istituzionali e per ragioni strettamente connesse alla propria attività di servizio. L'operatore, procedendo nel collegamento, dichiara di conoscere le vigenti norme a tutela della riservatezza delle informazioni contenute nella banca dati, e di essere pienamente consapevole delle responsabilità connesse all'accesso ai dati illegittimo o non autorizzato o non determinato da ragioni di servizio, e alla comunicazione dei dati o al loro utilizzo indebito.

Ogni operazione effettuata viene memorizzata dal sistema informativo.

Accedendo al sistema l’utente dichiara di aver preso visione dell’informativa generale sul trattamento dei dati personali del dipendente resa ai sensi degli articoli 13 e 14 del Regolamento UE n. 2016/679.

[jambtc]

@bparretta hai sottoposto a felice l'informativa?

[bparretta]

sì Ne ho richiesto la visualizzazione

[bparretta]

I volontari che consegnano i pacchi sono in possesso di una lista di consegna con i dati personali che non dovrebbero essere divulgati.

Puoi darmi una formula che posso inserire nella stampa per avvisare il volontario che deve fare attenzione alluso del foglio?

In questo caso, devono essere nominati dal comune di Napoli come responsabili esterni al trattamento dei dati, per i quali il Comune di Napoli ne risulta il Responsabile dei Dati. Bata questa nomina. Allo stesso tempo, naturalmente, la persona attraverso l'app avrà flaggato sull'app l'informativa che avevo postato qualche messaggio fa. Chi non dovesse usare l'app, naturalmente dovrà firmare la stessa informativa, ma cartacea.