La prima sezione di una corretta informativa riguarda l’indicazione dell’identità e contatti del titolare e dei contatti del Responsabile per la Protezione dei Dati personali. È certamente possibile far precedere tale sezione da una breve e concisa introduzione sul trattamento tendo conto che le finalità verranno descritte in maniera dettagliata in una sezione successiva.

È molto utile fornire, oltre ai recapiti ufficiali del titolare, anche un punto di contatto che potrà corrispondere alla persona (il responsabile scientifico di un progetto o il dirigente di un ufficio nei quali si svolge il trattamento) che più facilmente può rispondere e soddisfare le richieste dell’interessato qualora ne ricorrano le condizioni. L’ordine con cui fornire i contatti potrà quindi essere: titolare, punto di contatto, responsabile per la protezione dati.

Per facilitare l’esercizio dei diritti è importante fornire all’interessato più modalità per contattare il titolare (recapito telefonico, email, PEC) a meno che non si è sicuri che l’interessato abbia la capacità di esercitare i propri diritti tramite strumenti specifici (es. se i dati vengono raccolti tramite form online si può essere ragionevolmente certi che la stessa modalità potrà essere utilizzata per l’esercizio dei diritti).

La sezione dei contatti è l’unica che potrà far uso di una formula ben precisa, per i trattamenti svolti all’interno del Consiglio Nazionale delle Ricerche, e potrebbe essere la seguente:

Il titolare del trattamento dei dati è il Consiglio Nazionale delle Ricerche (CNR) nella sua articolazione organizzativa de…<indicare la struttura in cui si svolge il trattamento (es. …dell’Istituto di Scienze dell’Alimentazione)>, rappresentato da… <indicare il delegato del presidente quale rappresentate legale della struttura>.

Sede legale: Piazzale Aldo Moro, 7 – 00185 Roma, Italia;

Sede operativa: <indicare l’indirizzo della struttura se diverso dalla sede legale>;

Recapiti: <indicare indirizzo di posta elettronica della struttura ed eventualmente recapito telefonico>;

PEC: <indicare, eventualmente ma non necessariamente, l’indirizzo PEC della struttura>.

Punto di contatto del titolare: <indicare identità, email ed eventualmente recapito telefonico del responsabile scientifico o dell’ufficio che esegue il trattamento>.

Il Responsabile per la Protezione Dati può essere contattato ai seguenti recapiti:

email: rpd@cnr.it (a scelta è possibile utilizzare anche dpo@cnr.it)

PEC: rpd@pec.cnr.it

Questa sezione dovrà indicare “le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento” (art. 13, par. 1, lett. c, GDPR). Qui si dovrà quindi spiegare il motivo per cui i dati sono raccolti e trattati e la base o eventualmente le basi giuridiche che autorizzano tale trattamento. La finalità è pertanto legata strettamente ad una o più basi giuridiche, cioè ai presupposti che rendono letto il trattamento. Pertanto il trattamento sarà consentito solo al ricorrere di almeno una delle condizioni indicate all’art. 6 del GDPR. Nel caso di trattamenti di dati particolari (“dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché […] dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona“) sarà anche necessario rientrare in almeno una delle deroghe previste dall’art. 9 del GDPR per trattare tale tipologia di dati.

Sebbene il consenso sia la prima fra le possibili basi giuridiche indicate dall’art. 6, è importante considerare prioritariamente le altre basi di legittimità del trattamento e solo in ultima analisi ricorrere al consenso.

Attenzione: sebbene un trattamento di dati personali non richieda necessariamente il consenso dell’interessato, l’informativa è prevista ogni qual volta sia previsto un trattamento di dati (tranne in particolarissimi casi) e deve pervenire all’interessato prima dell’inizio o nel momento in cui si dà inizio al trattamento.

Inoltre, nel caso di trattamenti di dati particolari per finalità di ricerca scientifica, sarà sempre necessario l’ottenimento del consenso a meno che non si ricada nei casi indicati dagli artt. 110 e 110-bis del Codice Privacy (D. Lgs. 196/2003). A tale riguardo si considerino anche le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica (art. 7, par. 2).

In breve, questa sezione dovrà indicare le finalità (o obiettivi) del trattamento e le relative base giuridiche che lo autorizzano.

Legittimo interesse del titolare

È importante notare che per il CNR, in quanto pubblica amministrazione, non è possibile ricorrere al legittimo interesse per giustificare i trattamenti svolti nell’esecuzione dei propri compiti. I compiti svolti dal CNR, come per ogni altra pubblica amministrazione, sono giustificati da una specifica normativa e saranno pertanto condotti sulla base di un obbligo di legge (art. 6, par. 1.c) o nel pubblico interesse (art. 6, par. 1.e).

Tuttavia si potrebbe ricorrere al legittimo interesse (ma potrebbe essere anche in questo caso un interesse pubblico) per quei trattamenti non strettamente legati ai propri compiti istituzionali ma condotti, “in misura strettamente necessaria e proporzionata”, per prevenire frodi o per garantire la sicurezza della rete e dei dati dei sistemi informatici dell’ente o di tutela delle proprie strutture (es. videosorveglianza, si vedano al riguardo i considerando 47 e 49 del GDPR).

Questa sezione si rende necessaria solo quando, ai sensi dell’art. 14, i dati sono ottenuti da terzi. Ancora di più in questo caso l’interessato deve avere consapevolezza dell’utilizzo dei propri dati in un trattamento e, non avendo fornito direttamente i propri dati al titolare, deve essere informato su quali dati il titolare abbia ottenuto e da chi.

Il titolare dovrà anche informare l’interessato nel caso in cui i dati ottenuti siano accessibili pubblicamente.

Una delle informazioni più importanti da fornire all’interessato riguarda la durata del trattamento ed il periodo di conservazione dei dati. Come specificato nell’introduzione, la conservazione è una delle fasi del trattamento, pertanto la durata dello stesso dovrà considerare anche questa fase. Gli artt. 13 e 14 richiedono che all’interessato sia indicato “il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo”, di conseguenza l’interessato deve poter disporre di una indicazione certa ed esplicita sul tempo in cui i propri dati saranno conservati o quantomeno di un criterio con cui poter calcolare tale data (es. “i dati saranno trattati per un mese oltre la conclusione del rapporto allo scopo di…“).

La documentazione prodotta o trattata dal CNR è soggetta al Piano di Conservazione e Massimario di scarto previsto per l’Ente, come indicato dalla circolare 4/2022, tramite cui è possibile ricavare i tempi di conservazione richiesti per specifici documenti contenenti dati personali.

Per finalità di ricerca scientifica è consentito, dall’art. 5, par. 1, lett. e, trattare i dati personali per periodi più lunghi rispetto al tempo necessario per il raggiungimento delle finalità, posto che “La ricerca [sia] effettuata sulla base di un progetto redatto conformemente agli standard metodologici del pertinente settore disciplinare, anche al fine di documentare che il trattamento sia effettuato per idonei ed effettivi scopi statistici o scientifici” (art. 3 delle “Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 – 19 dicembre 2018″).

Tuttavia gli art. 13 e 14 non prevedono una deroga, anche per tali finalità, rispetto alle indicazioni da fornire all’interessato. In altre parole, sebbene sia possibile fruire della deroga è allo stesso tempo necessario motivare e documentare le ragioni di tale necessità.

L’interessato deve essere informato relativamente agli “eventuali destinatari o le eventuali categorie di destinatari dei dati dati personali“. È quindi opportuno che siano indicati i soggetti autorizzati (anche per categorie) interni all’organizzazione così come eventuali soggetti esterni (es. Responsabili a cui è affidato tutto o parte del trattamento o altri titolari a cui i dati devono essere comunicati a causa di obblighi di legge).

Il GDPR si applica a tutti i trattamenti svolti sul territorio dell’Unione Europea o per i trattamenti svolti al di fuori dell’Unione ma che riguardano cittadini Europei. In quest’ultimo caso l’applicazione del GDPR può presentare delle difficoltà, è pertanto necessario che all’interessato sia comunicata l’eventuale intenzione del titolare di trasferire i dati in un paese terzo rispetto all’Unione Europea o ad un organizzazione internazionale non soggetta al GDPR.

In tali casi è necessario verificare ed eventualmente comunicare all’interessato, la presenza di una decisione di adeguatezza, cioè di un pronunciamento della Commissione Europea riguardo al fatto che il paese terzo o l’organizzazione internazionale adottino un impianto normativo a tutela dei dati personali adeguato alle richieste del GDPR.

È comunque possibile trasferire dati anche in assenza di decisione di adeguatezza ma utilizzando garanzie adeguate come previsto agli artt. 46 o 47, o all’articolo 49, paragrafo 1, secondo comma. In tal caso è necessario comunicare all’interessato “il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali garanzie o il luogo dove sono state rese disponibili“.

Tale sezione non è necessaria se non sono previsti trasferimenti di dati verso paesi terzi o organizzazioni internazionali. È tuttavia possibile indicare tale eventualità in maniera esplicita.

Questa sezione, che deve essere sempre presente nell’informativa, deve illustrare all’interessato tutti i diritti di cui dispone a propria tutela, in un trattamento di dati personali e che sono indicati dagli artt. 15 e successivi, nel GDPR. In funzione delle specificità e delle basi di legittimità del trattamento non è detto che si dovranno garantire all’interessato tutti i diritti previsti. È importante che nell’informativa siano riportati solo i diritti effettivamente disponibili per l’interessato nell’ottica di rendere più efficaci le informazioni comunicate.

A titolo di esempio non è appropriato garantire il diritto di opposizione al trattamento se il consenso è condizione necessaria per trattare i dati, poiché l’interessato potrà semplicemente revocarlo. Il diritto di opposizione dovrà invece essere sempre garantito quando la base giuridica che autorizza il trattamento non richiede il consenso dell’interessato.

Quando il trattamento è basato esclusivamente sul consenso, una revoca di quest’ultimo, comporta anche la cancellazione dei dati personali dell’interessato. In caso di trattamenti con finalità di ricerca scientifica è possibile una deroga alla cancellazione ma solo “nella misura in cui il diritto […] rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento“. Tale eventualità dovrà essere motivata e dimostrabile.

L’interessato può avere il diritto alla limitazione del trattamento dei propri dati. “Le modalità per limitare il trattamento dei dati personali potrebbero consistere, tra l’altro, nel trasferire temporaneamente i dati selezionati verso un altro sistema di trattamento, nel rendere i dati personali selezionati inaccessibili agli utenti o nel rimuovere temporaneamente i dati pubblicati da un sito web. Negli archivi automatizzati, la limitazione del trattamento dei dati personali dovrebbe in linea di massima essere assicurata mediante dispositivi tecnici in modo tale che i dati personali non siano sottoposti a ulteriori trattamenti e non possano più essere modificati. Il sistema dovrebbe indicare chiaramente che il trattamento dei dati personali è stato limitato” (Considerando 67 del GDPR).

I diritti di accesso e di portabilità sono consentiti qualora non ledano i diritti e le libertà altrui.

In tutti i casi si dovrà informare l’utente riguardo alla possibilità di proporre un reclamo all’autorità di controllo competente, il Garante per la Protezione dei Dati Personali, o di agire in sede giudiziale ai sensi degli artt. 77 e 79 del GDPR.

È importante che l’interessato sia messo a conoscenza che un eventuale rifiuto di comunicare i propri dati personali possa comportare delle conseguenze (ad esempio l’impossibilità di fornire un servizio) o del fatto che la comunicazione sia un obbligo legale o contrattuale.

L’interessato deve essere messo a conoscenza della eventuale presenza di processi decisionali automatizzati, compresa la profilazione, nel trattamento che lo riguarda, e in tal caso avrà anche il diritto di ottenere “informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento“. In tale evenienza l’interessato avrà il diritto, definito dall’art. 22 del GDPR, “di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, […] che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona“.