N. 387
Approvato con deliberazione del Consiglio Comunale in data 10 giugno 2019 (mecc. 2019 01725/049) esecutiva dal 24 giugno 2019.
Articolo 1 - Oggetto
Articolo 2 - Titolare del trattamento
Articolo 3 - Finalità del trattamento
dati personali
Articolo 4 - Designati/e / Autorizzati/e
Articolo 5 - Responsabile esterno/a
Articolo 6 - Responsabile della protezione dati
Articolo 7 - Ufficio / Referenti interni/e /
Gruppo DATA BREACH
Articolo 8 - Sicurezza del trattamento
Articolo 9 - Registro unico delle attività
di trattamento
Articolo 10 - Altri registri
Articolo 11 - Valutazioni d'impatto sulla protezione
dei dati
Articolo 12 - Violazione dei dati personali
Articolo 13 - Particolari categorie di dati
Articolo 14 - Rinvio
1 . Il presente Regolamento ha per oggetto misure procedimentali e regole di dettaglio ai fini della migliore funzionalità ed efficacia dell'attuazione del Regolamento Generale Protezione Dati di seguito indicato con "RGPD" e della normativa interna, relative alla protezione delle persone fisiche con riguardo ai trattamenti dei dati personali, nonché alla libera circolazione di tali dati, da parte del Comune di Torino.
1. Il Comune di Torino, rappresentato ai fini previsti dal RGPD dal Sindaco pro-tempore, è il Titolare del trattamento dei dati personali, raccolti o meno in banche dati, automatizzate o cartacee (di seguito indicato con "Titolare"). Il Sindaco può designare per specifici compiti e funzioni i/le Dirigenti dell'ente con specifico provvedimento.
2. Il Titolare è responsabile del rispetto dei principi applicabili al trattamento di dati personali stabiliti dalla normativa europea: liceità, correttezza e trasparenza; limitazione della finalità; minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza.
3. Il Titolare mette in atto misure tecniche
ed organizzative adeguate per garantire, ed essere in grado di
dimostrare, che il trattamento di dati personali è effettuato
in modo conforme al RGPD.
Le misure sono definite fin dalla fase di progettazione e messe
in atto per applicare in modo efficace i principi di protezione
dei dati e per agevolare l'esercizio dei diritti dell'interessato
stabiliti dalla normativa europea, nonché le comunicazioni
e le informazioni occorrenti per il loro esercizio.
Gli interventi necessari per l'attuazione delle misure sono considerati
nell'ambito della programmazione operativa (DUP), di bilancio
e di Peg, previa apposita analisi preventiva della situazione
in essere, tenuto conto dei costi di attuazione, della natura,
dell'ambito di applicazione, del contesto e delle finalità
del trattamento, come anche dei rischi dallo stesso derivanti,
aventi probabilità e gravità diverse per i diritti
e le libertà delle persone fisiche.
4. Il Titolare adotta misure appropriate per
fornire all'interessato/a:
a) le informazioni indicate dall'articolo 13 RGPD,
qualora i dati personali siano raccolti presso lo/la stesso/a
interessato/a;
b) le informazioni indicate dall'articolo 14 RGPD,
qualora i dati personali non siano stati ottenuti presso lo/la
stesso/a interessato/a.
5. Nel caso in cui un tipo di trattamento, specie se prevede in particolare l'uso di nuove tecnologie, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare deve effettuare una valutazione dell'impatto del trattamento sulla protezione dei dati personali (di seguito indicata con "DPIA") ai sensi della normativa europea, considerati la natura, l'oggetto, il contesto e le finalità del medesimo trattamento, tenuto conto di quanto indicato dal successivo articolo 9.
6. Il Titolare inoltre:
a) designa per specifici compiti e funzioni i/le dirigenti
preposti/e alle strutture in cui si articola l'organizzazione
comunale;
b) nomina il/la Responsabile della protezione dei
dati.
1. I trattamenti relativi ai dati personali sono
compiuti dal Comune per le seguenti finalità:
a) l'esecuzione di un compito di interesse pubblico
o connesso all'esercizio di pubblici poteri;
b) l'adempimento di un obbligo legale al quale è
soggetto il Comune. La finalità del trattamento è
stabilita dalla fonte normativa che lo disciplina;
c) l'esecuzione di un contratto con soggetti interessati.
2. I trattamenti di particolari categorie di dati sono compiuti, se previsti dal diritto dell'Unione Europea o da disposizione di legge, per motivi di interesse pubblico rilevante, proporzionato alla finalità perseguita, come individuati dalla legge.
3. Con riguardo ai dati relativi a condanne penali o reati, il trattamento è consentito solo se autorizzato da norma di legge.
4. Fuori dai casi previsti dal comma 1, il trattamento è ammesso solo se l'interessato/a presta il proprio consenso.
1. Ai/alle Dirigenti possono essere attributi specifici compiti e funzioni connessi al trattamento dei dati personali esistenti nell'articolazione organizzativa di rispettiva competenza. I/le designati/e garantiscono adeguata conoscenza specialistica.
2. Il/la Designato/a provvede, per il proprio
ambito di competenza, a tutte le attività previste dalla
legge e a tutti i compiti affidati dal Titolare, analiticamente
specificati per iscritto nell'atto di designazione, ed in particolare
provvede:
- alla predisposizione del Registro dei trattamenti;
- all'adozione di idonee misure tecniche e organizzative
adeguate per garantire la sicurezza dei trattamenti;
- alla sensibilizzazione ed alla formazione del personale
che partecipa ai trattamenti ed alle connesse attività
di controllo;
- ad individuare, contrattualizzare e nominare i/le
responsabili di trattamento esterni, nel rispetto delle procedure
di cui alla normativa europea;
- a definire le informative per gli/le interessati/e
che dovranno essere realizzate ed apposte in calce alla modulistica
ovvero ai servizi on line ovvero affisse nei luoghi di ricevimento
del pubblico;
- a determinare, ove necessario, un/una referente
interno/a per le questioni operative relative agli adempimenti
del Regolamento Europeo e delle norme nazionali e locali (ivi
inclusi i regolamenti comunali), nonché per monitorare
l'applicazione corretta delle norme all'interno dell'area di competenza;
il/la referente potrà essere condiviso a livello aggregato
qualora ciò sia compatibile con la complessità e
l'omogeneità dei trattamenti presenti;
- ad interloquire e collaborare con il/la Responsabile
della protezione dati ed ad attuare prescrizioni e raccomandazioni,
ove possibili, emerse in sede di audit interni;
- a predisporre, in accordo con il/la Responsabile
protezione dati, un calendario di audit da svolgere congiuntamente,
nei confronti dei/delle responsabili esterni/e nominati/e, anche
a campione ovvero a rotazione;
- a svolgere, per la parte di competenza, l'analisi
d'impatto nei casi ove essa è obbligatoria o comunque significativa
in ordine alla corretta gestione dei trattamenti, anche dopo avere
consultato il/la Responsabile Protezione dati;
- a svolgere l'attività preliminare a seguito
di ipotesi di perdita di dati (data breach) di cui viene a conoscenza,
informandone anche il gruppo di crisi "data breach"
se già operativo, ed inoltrare la notifica al Garante,
sentito, ove il caso, anche il/la Responsabile Protezione dati;
di dette violazioni dovrà darsi conto in un apposito "registro
delle violazioni", che confluirà in un registro unico
a livello di ente.
3. I/le dipendenti del Comune, sono autorizzati/e
dal Designato/a competente al trattamento dei dati riferiti alla
struttura di riferimento come individuati/e nel rispettivo registro
dei trattamenti, con il quale sono tassativamente disciplinati:
- la materia trattata, la durata, la natura
e la finalità del trattamento o dei trattamenti assegnati;
- il tipo di dati personali oggetto di trattamento
e le categorie di interessati/e;
- gli obblighi ed i diritti del/della Titolare
del trattamento;
- le misure di sicurezza in rapporto ai rischi.
Ai/alle dipendenti autorizzati/e verranno fornite specifiche istruzioni.
1. Il/la Designato/a può avvalersi, per
il trattamento di dati, anche particolari, di soggetti pubblici
o privati che, in qualità di responsabili esterni/e del
trattamento, forniscano le garanzie di cui al comma 1 dell'articolo
4, stipulando atti giuridici in forma scritta, che specificano
la finalità perseguita, la tipologia dei dati, la durata
del trattamento, gli obblighi e i diritti del/della responsabile
del trattamento e le modalità di trattamento.
Gli atti che disciplinano il rapporto tra il/la Designato/a ed
il/la responsabile esterno/a del trattamento devono in particolare
contenere quanto previsto dalla normativa europea.
2. Il/la Responsabile esterno/a del trattamento non ricorre ad altro/a responsabile senza previa autorizzazione scritta, specifica o generale, del designato/a del trattamento, contenuta nell'atto di nomina, e comunque nel rispetto degli obblighi contrattuali che lo/la legano al/alla Designato/a. In caso di autorizzazione scritta generale, il/la responsabile esterno/a informa in ogni caso il/la designato/a della nomina o sostituzione di sub-responsabili dando così al/alla designato/a l'opportunità di opporvisi. Nei confronti del/della Designato/a risponde sempre e comunque il/la responsabile primario/a per le inadempienze o le violazioni causate dall'attività dei/delle sub-responsabili, anche ai fini del risarcimento degli eventuali danni causati dal trattamento, salvo che dimostri che l'evento dannoso non gli è in alcun modo imputabile o che ha vigilato in modo adeguato sull'operato del/della sub-responsabile. Le operazioni di trattamento possono essere effettuate solo da incaricati/e autorizzati/e che operano sotto la diretta autorità del/della Responsabile esterno/a attenendosi alle istruzioni loro impartite per iscritto che individuano specificatamente l'ambito del trattamento consentito.
1. Il/La Responsabile della protezione dei dati
(in seguito indicato con "RPD") è individuato/a
nella figura unica di un/una dipendente di ruolo del Comune ovvero
in un soggetto esterno scelto tramite procedura ad evidenza pubblica.
L'atto di designazione determinerà la durata dell'incarico.
Il/La RPD è incaricato/a dei seguenti compiti:
a) informare e fornire consulenza al Titolare ed ai/alle
designati/e nonché ai/alle dipendenti che eseguono il trattamento
in merito agli obblighi derivanti dal RGPD e dalle altre normative
relative alla protezione dei dati. In tal senso il/la RPD può
indicare al Titolare e/o ai/alle designati/e i settori funzionali
ai quali riservare un audit interno o esterno in tema di protezione
dei dati, le attività di formazione interna per il personale
che tratta dati personali, e a quali trattamenti dedicare maggiori
risorse e tempo in relazione al rischio riscontrato;
b) sorvegliare l'osservanza del RGPD e delle altre
normative relative alla protezione dei dati, fermo restando le
responsabilità del Titolare e del/della designato/a. Fanno
parte di questi compiti la raccolta di informazioni per individuare
i trattamenti svolti, l'analisi e la verifica dei trattamenti
in termini di loro conformità, l'attività di informazione,
consulenza e indirizzo nei confronti del Titolare e del/della
Responsabile del trattamento;
c) sorvegliare sulle attribuzioni delle responsabilità,
sulle attività di sensibilizzazione, formazione e controllo
poste in essere dal Titolare e dal/dalla Designato/a;
d) fornire, se richiesto, un parere in merito alla
valutazione di impatto sulla protezione dei dati (DPIA) e sorvegliarne
lo svolgimento. Il/la designato/a, in particolare, si consulta
con il/la RPD in merito a condurre o meno la valutazione; quale
metodologia adottare nel condurla; condurre la valutazione con
le risorse interne ovvero esternalizzandola; quali salvaguardie
applicare, comprese misure tecniche e organizzative, per attenuare
i rischi delle persone interessate; se la valutazione sia stata
condotta correttamente o meno e se le conclusioni raggiunte (procedere
o meno con il trattamento, e quali salvaguardie applicare) siano
conformi al RGPD;
e) cooperare con il Garante per la protezione dei
dati personali e fungere da punto di contatto per detta Autorità
per questioni connesse al trattamento, tra cui la consultazione
preventiva prevista dalla normativa europea, ed effettuare, se
del caso, consultazioni relativamente a ogni altra questione.
A tali fini il nominativo del/della RPD è comunicato dal
Titolare e/o dal/dalla designato/a al Garante;
f) la tenuta del Registro delle attività di
trattamento, di cui al successivo articolo 9;
g) pianificare, attuare e mantenere un piano di audit,
con previsione della frequenza, dei metodi, della responsabilità,
dei requisiti e delle caratteristiche dei report in collaborazione
con l'Ufficio Qualità dell'Ente;
h) in sede di audit, esprimere rilievi, prescrizioni
e raccomandazioni. Il/La RPD procede al monitoraggio continuo
sulle azioni intraprese fino a che i rilievi siano sanati o le
raccomandazioni implementate. Collabora altresì agli audit
dei/delle responsabili esterni/e;
i) altri compiti e funzioni a condizione che il Titolare
o il/la Designato/a al trattamento si assicurino che tali compiti
e funzioni non diano adito a un conflitto di interessi. L'assenza
di conflitti di interessi è strettamente connessa agli
obblighi di indipendenza del/della RPD;
l) svolgere altresì i compiti di RPD con riguardo
al trattamento dei dati personali da parte delle autorità
competenti a fini di prevenzione, indagine, accertamento e perseguimento
di reati o esecuzione di sanzioni penali, nonché alla libera
circolazione di tali dati.
2. Il Titolare ed il/la Designato/a al trattamento
assicurano che il/la RPD sia tempestivamente e adeguatamente coinvolto/a
in tutte le questioni riguardanti la protezione dei dati personali.
A tal fine:
- il/la RPD è invitato/a a partecipare
alle riunioni di coordinamento Referenti privacy, che abbiano
per oggetto questioni inerenti la protezione dei dati personali;
- il/la RPD deve disporre tempestivamente di
tutte le informazioni pertinenti sulle decisioni che impattano
sulla protezione dei dati, in modo da poter rendere una consulenza
idonea, scritta od orale;
- il parere del/della RPD sulle decisioni che
impattano sulla protezione dei dati è obbligatorio ma non
vincolante. Nel caso in cui la decisione assunta determini condotte
difformi da quelle raccomandate dal/dalla RPD, è necessario
motivare specificamente tale decisione;
- il/la RPD deve essere consultato/a tempestivamente
qualora si verifichi una violazione dei dati (o un altro incidente).
3. Nello svolgimento dei compiti affidatigli
il/la RPD deve debitamente considerare i rischi inerenti al trattamento,
tenuto conto della natura, dell'ambito di applicazione, del contesto
e delle finalità del medesimo. In tal senso il/la RPD:
a) procede ad una mappatura delle aree di attività
valutandone il grado di rischio in termini di protezione dei dati;
b) definisce un ordine di priorità nell'attività
da svolgere - ovvero un piano annuale di attività - incentrandola
sulle aree di attività che presentano maggiori rischi in
termini di protezione dei dati, da comunicare al Titolare ed al/la
Designato/a al trattamento.
4. La figura del/della RPD è incompatibile
con chi determina le finalità od i mezzi del trattamento;
in particolare, risultano con la stessa incompatibili:
- il/la Responsabile per la prevenzione della
corruzione e per la trasparenza/R.T. (ove diverso);
- il/la Designato/a al trattamento;
- qualunque incarico o funzione che comporti
la determinazione di finalità o mezzi del trattamento.
5. Il Titolare fornisce al RPD le risorse necessarie
per assolvere i compiti attribuiti e per accedere ai dati personali
ed ai trattamenti:
- accesso garantito ai settori funzionali dell'Ente
così da fornirgli supporto, informazioni e input essenziali.
6. Il/la RPD opera in posizione di autonomia
nello svolgimento dei compiti allo stesso attribuiti.
Il/la RPD non può essere rimosso/a o penalizzato/a dal
Titolare e dai/dalle designati/e del trattamento in ragione dell'adempimento
dei propri compiti.
Ferma restando l'indipendenza nello svolgimento di detti compiti,
il/la RPD riferisce direttamente al Titolare od ai/alle designati/e
del trattamento.
Nel caso in cui siano rilevate dal/dalle RPD o sottoposte alla
sua attenzione decisioni incompatibili con il RGPD e con le indicazioni
fornite dallo/a stesso/a RPD, quest'ultimo/a è tenuto/a
a manifestare il proprio dissenso, comunicandolo al Titolare ed
al/la Designato/a del trattamento.
1. Nell'ambito della struttura organizzativa dell'ente, è costituito un ufficio, con il compito di coordinare la gestione operativa degli adempimenti in materia di privacy, anche in relazione alle competenze dei/delle designati/e, nonché di curare gli approfondimenti normativi e verificare l'applicazione del presente regolamento, in collaborazione con i/le referenti privacy di cui al comma 2.
2. Ciascun/ciascuna designato/a può individuare un/una proprio/a referente interno/a per le questioni operative relative agli adempimenti del RGPD e delle norme nazionali e del presente regolamento, nonché per monitorare l'applicazione corretta delle norme all'interno della struttura di riferimento.
3. Viene costituito un Gruppo di lavoro per emergenza DATA BREACH, con obbligo di reperibilità e continuità formato da ufficio privacy, sistema informativo, RPD, soggetto responsabile dei sistemi informatici. Al Gruppo è eventualmente invitato a partecipare il/la responsabile esterno/a del trattamento.
1. Il Comune di Torino e ciascun/a Designato/a mettono in atto misure tecniche ed organizzative idonee a garantire un livello di sicurezza adeguato al rischio tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
2. Le misure tecniche ed organizzative di sicurezza da mettere in atto per ridurre i rischi del trattamento ricomprendono: la pseudonimizzazione; la minimizzazione; la cifratura dei dati personali; la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati in caso di incidente fisico o tecnico; una procedura per provare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
3. Costituiscono misure tecniche ed organizzative
che possono essere adottate dal Servizio cui è preposto
ciascun designato:
- sistemi di autenticazione; sistemi di autorizzazione;
sistemi di protezione (antivirus; firewall; antintrusione; altro);
- misure antincendio; sistemi di rilevazione
di intrusione; sistemi di sorveglianza; sistemi di protezione
con videosorveglianza; registrazione accessi; porte, armadi e
contenitori dotati di serrature e ignifughi; sistemi di copiatura
e conservazione di archivi elettronici; altre misure per ripristinare
tempestivamente la disponibilità e l'accesso dei dati in
caso di incidente fisico o tecnico.
4. La conformità del trattamento dei dati al RGDP (in materia di protezione dei dati personali) è dimostrata attraverso l'adozione delle misure di sicurezza o l'adesione a codici di condotta approvati o ad un meccanismo di certificazione approvato.
5. Il Comune di Torino e ciascun/ciascuna Designato/a si obbligano ad impartire adeguate istruzioni sul rispetto delle predette misure a chiunque agisca per loro conto ed abbia accesso a dati personali.
6. I nominativi ed i dati di contatto del Titolare e del/della Responsabile della protezione dati sono pubblicati sul sito istituzionale del Comune, sezione Amministrazione trasparente, oltre che nella sezione "privacy" eventualmente già presente.
1. Il Registro Unico delle attività di trattamento svolte dal Titolare del trattamento è composto dai registri dei/delle singoli/e Designati/e e dai registri relativi alle attività comuni o trasversali.
2. Esso reca almeno le seguenti informazioni:
a) il nome ed i dati di contatto del Comune, del Sindaco
ai sensi del precedente articolo 2, eventualmente del/della Contitolare
del trattamento, del/della RPD;
b) attività e loro descrizione;
c) le finalità del trattamento;
d) base giuridica;
e) la sintetica descrizione delle categorie di interessati,
nonché le categorie di dati personali;
f) le categorie di destinatari a cui i dati personali
sono stati o saranno comunicati;
g) l'eventuale trasferimento di dati personali verso
un paese terzo od una organizzazione internazionale;
h) il periodo di conservazione dei dati personali
oppure, se non è possibile, i criteri utilizzati per determinare
tale periodo;
i) il richiamo alle misure di sicurezza tecniche ed
organizzative del trattamento adottate, come da precedente articolo
6.
3. Il Registro Unico è tenuto dal/dalla RPD in forma telematica/cartacea, nello stesso possono essere inserite ulteriori informazioni tenuto conto delle dimensioni organizzative dell'Ente.
1. Ciascun designato deve formare e detenere
un registro dei/delle responsabili esterni/e nominati/e in relazione
alle attività svolte per conto del Titolare. Il registro
deve contenere almeno:
- il nome e i dati di contatto del/della responsabile
esterno/a del trattamento;
- gli estremi identificativi del contratto di nomina
(o analogo), decorrenza e scadenza, determinazione di affidamento,
della nomina;
- alla scadenza del contratto il registro terrà
traccia dell'avvenuta cancellazione dei dati da parte del/della
Responsabile esterno/a se a suo tempo conferiti, riportando data
ed esito positivo del rientro degli archivi cartacei o digitali;
- il riferimento al registro dei trattamenti per il
quale è stato nominato/a responsabile esterno/a;
- eventuale autorizzazione generale o specifica ed
elencazione dei/delle sotto-responsabili nominati/e.
2. Ciascun/ciascuna designato/a detiene un diario delle attività svolte in tema di protezione dati personali, ivi annotando tutte le richieste di accesso a lui/lei pervenute e relativo esito, riportando i dati identificativi della richiesta, una breve descrizione e le azioni svolte, inclusa l'eventuale motivazione e di diniego totale o parziale. Nello stesso diario annota le attività svolte e le azioni intraprese (formazione, azioni conseguenti ad audit, eccetera) con l'obiettivo di dare conto di tutta l'attività in materia.
1. Nel caso in cui un tipo di trattamento, specie se prevede in particolare l'uso di nuove tecnologie, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare, prima di effettuare il trattamento, deve attuare una valutazione dell'impatto del medesimo trattamento (DPIA) ai sensi della normativa europea, considerati la natura, l'oggetto, il contesto e le finalità dello stesso trattamento. La Valutazione è una procedura che permette di realizzare e dimostrare la conformità alle norme del trattamento di cui trattasi.
2. Ai fini della decisione di effettuare o meno la valutazione si tiene conto degli elenchi delle tipologie di trattamento soggetti o non soggetti a valutazione come redatti e pubblicati dal Garante Privacy ai sensi del RGDP.
3. E' pubblicata sul sito istituzionale dell'Ente, in apposita sezione, una sintesi delle principali risultanze del processo di valutazione ovvero una semplice dichiarazione relativa all'effettuazione della valutazione.
1. Per violazione dei dati personali (in seguito "data breach") si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso non autorizzato ai dati personali trasmessi, conservati o comunque trattati dal Comune.
2. Il Titolare / Il/la designato/a, ove ritenga probabile che dalla violazione dei dati possano derivare rischi per i diritti e le libertà degli interessati, informa il gruppo di emergenza di cui all'articolo 7 e provvede alla notifica della violazione al Garante Privacy. La notifica dovrà avvenire entro 72 ore e comunque senza ingiustificato ritardo. Il Designato/Responsabile esterno del trattamento è obbligato ad informare il Titolare, senza ingiustificato ritardo, dopo essere venuto a conoscenza della violazione.
3. I principali rischi per i diritti e le libertà
degli interessati conseguenti ad una violazione, in conformità
al RGPD, sono i seguenti:
- danni fisici, materiali o immateriali alle
persone fisiche;
- perdita del controllo dei dati personali;
- limitazione dei diritti, discriminazione;
- furto o usurpazione d'identità;
- perdite finanziarie, danno economico o sociale;
- decifratura non autorizzata della pseudonimizzazione;
- pregiudizio alla reputazione;
- perdita di riservatezza dei dati personali
protetti da segreto professionale (sanitari, giudiziari).
4. Se il Titolare / il/la designato/a ritiene
che il rischio per i diritti e le libertà degli/delle interessati/e
conseguente alla violazione rilevata è elevato, allora
deve informare questi/e ultimi/e, senza ingiustificato ritardo,
con un linguaggio semplice e chiaro al fine di fare comprendere
loro la natura della violazione dei dati personali verificatesi.
I rischi per i diritti e le libertà degli interessati possono
essere considerati "elevati" quando la violazione può,
a titolo di esempio:
- coinvolgere un rilevante quantitativo di dati
personali e/o di soggetti interessati;
- riguardare categorie particolari di dati personali;
- comprendere dati che possono accrescere ulteriormente
i potenziali rischi (ad esempio dati di localizzazione, finanziari,
relativi alle abitudini e preferenze);
- comportare rischi imminenti e con un'elevata
probabilità di accadimento (ad esempio rischio di perdita
finanziaria in caso di furto di dati relativi a carte di credito);
- impattare su soggetti che possono essere considerati
vulnerabili per le loro condizioni (ad esempio utenti deboli,
minori, soggetti indagati).
5. La notifica deve avere il contenuto minimo previsto dal RGPD, ed anche la comunicazione all'interessato/a deve contenere almeno le informazioni e le misure previste.
6. Il Titolare / Il/la designato/a deve opportunamente documentare le violazioni di dati personali subite, anche se non comunicate alle autorità di controllo, nonché le circostanze ad esse relative, le conseguenze e i provvedimenti adottati o che intende adottare per porvi rimedio. Tale documentazione deve essere conservata con la massima cura e diligenza in quanto può essere richiesta dal Garante Privacy al fine di verificare il rispetto delle disposizioni del RGPD.
1. Le particolari categorie di dati trattati nell'ambito delle attività di pertinenza degli uffici e servizi in cui si articola l'ente sono descritte in apposite schede, allegate ai registri dei Designati/e e nel Registro complessivo dell'ente.
2. Essi sono trattati previa verifica della loro pertinenza, completezza e indispensabilità rispetto alle finalità perseguite nei singoli casi mentre le operazioni di interconnessione, raffronto, comunicazione e diffusione individuate nelle schede sono ammesse soltanto se indispensabili allo svolgimento degli obblighi e compiti di volta in volta indicati, per il perseguimento delle rilevanti finalità di interesse pubblico specificate e nel rispetto dei limiti stabiliti dalle leggi e dai regolamenti.
1. Per tutto quanto non espressamente disciplinato
con le presenti disposizioni, si applicano le disposizioni del
RGPD e tutte le norme vigenti in materia.