In questa sezione potrai trovare quali siano i principali riferimenti normativi da tenere in considerazione, i concetti principali in tema di protezione dei dati personali e \u200ble informazioni necessarie per capire come il Consiglio Nazionale delle Ricerche si \u00e8 organizzato in materia di trattamento dei dati personali.<\/p>\n[\/et_pb_text][\/et_pb_column][et_pb_column type=”1_2″ _builder_version=”4.16″ custom_padding=”|||” global_colors_info=”{}” custom_padding__hover=”|||”][\/et_pb_column][\/et_pb_row][\/et_pb_section][et_pb_section fb_built=”1″ specialty=”on” _builder_version=”4.16″ _module_preset=”default” custom_padding=”19px|||||” border_width_left=”30px” border_color_left=”gcid-e2820a94-1f8e-477c-8dd4-6397563ffcfa” global_colors_info=”{%22gcid-e2820a94-1f8e-477c-8dd4-6397563ffcfa%22:%91%22border_color_left%22%93}”][et_pb_column type=”3_4″ specialty_columns=”3″ _builder_version=”4.16″ custom_padding=”|||” global_colors_info=”{}” custom_padding__hover=”|||”][et_pb_row_inner _builder_version=”4.16″ _module_preset=”default” collapsed=”off” global_colors_info=”{}”][et_pb_column_inner saved_specialty_column_type=”3_4″ _builder_version=”4.16″ _module_preset=”default” global_colors_info=”{}”][et_pb_text admin_label=”Sez. normativa” _builder_version=”4.16″ _module_preset=”default” custom_margin=”||-2px|||” global_colors_info=”{}”]\n
Con la denominazione di Regolamento Generale sulla Protezione dei Dati (RGPD) o, pi\u00f9 frequentemente, General Data Protection Regulation (GDPR), ci si riferisce al “Regolamento (UE) 2016\/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonch\u00e9 alla libera circolazione di tali dati e che abroga la direttiva 95\/46\/CE”<\/a>.<\/p>\n Il Regolamento<\/strong> costituisce l\u2019evoluzione naturale della prima normativa del parlamento europeo, focalizzata sul trattamento dei dati personali, ovvero la Direttiva<\/strong> 46 del 24 Ottobre 1995 (Direttiva 95\/46\/CE<\/a>).<\/p>\n \u00c8 importante sottolineare come “il regolamento \u00e8 un atto normativo avente portata generale, obbligatorio in tutti i suoi elementi e direttamente applicabile negli ordinamenti degli Stati membri<\/strong> (art. 288, par. 2 del Trattato sul funzionamento dell\u2019UE). La portata generale si estrinseca nel fatto che il regolamento (a differenza delle decisioni) non \u00e8 indirizzato a specifici destinatari, bens\u00ec a una o pi\u00f9 categorie di destinatari astrattamente determinate. Le norme contenute nei regolamenti sono obbligatorie in tutti gli elementi e, quindi, disciplinano direttamente la materia a cui si applicano. L\u2019effetto diretto immediato dei regolamenti comporta che essi non richiedono (a differenza delle direttive) l\u2019adozione di provvedimenti nazionali di attuazione da parte degli Stati membri, ma si applicano immediatamente in tali ordinamenti e sono efficaci nei confronti sia degli Stati che degli individui, senza necessit\u00e0 di ulteriori atti”<\/em>\u00a0(fonte Enciclopedia Treccani<\/a>).<\/p>\n Il Regolamento “[…] stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonch\u00e9 norme relative alla libera circolazione di tali dati<\/em>” (art. 1, par. 1) ed ha l’obiettivo di\u00a0proteggere “[…] i diritti e le liberta\u0300 fondamentali delle persone fisiche<\/strong>, in particolare il diritto alla protezione dei dati personali<\/em>” (art. 1, par. 2).<\/p>\n Con i primi due articoli il Regolamento chiarisce immediatamente cosa si intenda con “proteggere i dati personali” poich\u00e9 questo si traduce nella protezione dei diritti e delle libert\u00e0 fondamentali di un individuo<\/strong>. \u00c8 semplice, anche se non immediato, comprendere come la diffusione di un dato personale possa in effetti compromettere la libert\u00e0 di una persona (ad esempio la libert\u00e0 di poter frequentare un luogo pubblico, senza subire discriminazioni derivanti dalla rivelazione di informazioni riservate) o un suo diritto (ad esempio di accedere ad una posizione lavorativa senza condizionamenti derivanti da orientamenti politici o sessuali o di altro genere).<\/p>\n Di contro, il Regolamento riconosce come la circolazione dei dati, nella societ\u00e0 moderna, sia essenziale per lo sviluppo della stessa<\/strong>, ed infatti con il paragrafo 3 del primo articolo stabilisce che\u00a0“La libera circolazione dei dati personali nell’Unione non pu\u00f2 essere limitata n\u00e9 vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali<\/em>“.<\/p>\n \u00c8 fin troppo inflazionato al giorno d\u2019oggi, il concetto secondo cui i dati rappresentano, per la nostra societ\u00e0, quello che il petrolio ha rappresentato per la societ\u00e0 del secolo scorso (1)<\/span> sebbene, a differenza del petrolio, i dati non si esauriscono. \u00c8 quindi impensabile limitarne la circolazione ed \u00e8 proprio per questo motivo, anzi proprio per favorirla, che sono necessarie delle regole comuni.<\/p>\n La base giuridica su cui la direttiva 95\/46\/CE \u00e8 stata \u201ctrasformata\u201d in Regolamento, con carattere quindi vincolante per tutti gli stati membri, al pari di una norma nazionale, la si trova nella \u201cCarta di Nizza\u201d del 2000, la Carta dei diritti fondamentali dell\u2019Unione Europea, che assume valore giuridico con il Trattato di Lisbona del 2007. L\u2019art. 8 della Carta di Nizza inserisce nuovi diritti per il cittadino e fra questi anche quello alla protezione dei dati personali.<\/p>\n (1) The Economist, \u201cThe world\u2019s most valuable resource is no longer oil, but data\u201d, pubblicato il 6 maggio 2017<\/a><\/em><\/p>\n[\/et_pb_toggle][et_pb_toggle title=”Il Codice Privacy” admin_label=”Codice Privacy” _builder_version=”4.16″ _module_preset=”default” title_font=”Ubuntu|500|||||||” global_colors_info=”{}”]\n In Italia la direttiva 95\/46\/CE \u00e8 stata recepita tramite la Legge 675 del 31 Dicembre 1996, che oltre ad adottare i princ\u00ecpi della direttiva ha istituito anche la figura dell\u2019Autorit\u00e0 Garante per la Protezione dei Dati Personali (GPDP). Successivamente il legislatore italiano ha emanato il decreto legislativo del 30 giugno 2003 n.196, il cosiddetto “Codice Privacy”<\/a>, decreto, tutt\u2019ora vigente, che ha esteso il diritto alla riservatezza al diritto alla protezione dei dati personali, inteso come diritto che ha come oggetto la protezione del dato personale a prescindere dalla tutela della sfera intima della persona e della famiglia, nonche\u0301 della sua immagine sociale.<\/p>\n Il motivo per cui il Codice Privacy sia ancora una norma in vigore, nonostante l’esistenza di un regolamento europeo, deriva dal fatto che, a causa delle differenze fra le rispettive costituzioni e apparati normativi dei diversi stati membri, \u00a0il GDPR non copre completamente tutti i casi in cui vi \u00e8 un trattamento di dati personali, lasciando al legislatore nazionale il compito di adottare norme specifiche.<\/p>\n Le aree in cui il GDPR non entra nel dettaglio riguardano:<\/p>\n Per questo motivo il DL 196\/2003 non \u00e8 stato abolito con l\u2019adozione del GDPR ma con questo \u00e8 stato armonizzato (in gergo \u201cnovellato\u201d) abrogando alcuni articoli in contrasto con il Regolamento o aggiungendone di nuovi, tramite il D. Lgs. 101 del 2018.<\/p>\n Di recente, alcuni articoli sono stati ulteriormente modificati dal decreto-legge 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla legge 3 dicembre 2021, n. 205 e dal decreto-legge 30 settembre 2021, n. 132, convertito, con modificazioni, dalla legge 23 novembre 2021, n. 178.<\/p>\n \n[\/et_pb_toggle][et_pb_toggle title=”Le Regole Deontologiche” admin_label=”Regole Deontologiche” _builder_version=”4.16″ _module_preset=”default” title_font=”Ubuntu|500|||||||” global_colors_info=”{}”]\n Le Regole Deontologiche per i trattamenti di dati personali sono pubblicate come allegato al Codice Privacy. Esse derivano dall’art. 2-quater dello stesso Codice per i trattamenti previsti all’articolo 6, paragrafo 1, lettere c) ed e) del Regolamento (trattamenti necessari per adempiere un obbligo legale al quale \u00e8 soggetto il titolare o\u00a0per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui \u00e8 investito il titolare) e sulla base di quanto prescritto dall’art. 9, paragrafo 4, per cui “Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute<\/em>“.<\/p>\n \u00c8 importante sottolineare che “Il rispetto delle disposizioni contenute nelle regole deontologiche di cui al comma 1 costituisce condizione essenziale per la liceit\u00e0 e la correttezza del trattamento dei dati personali<\/em><\/strong>” (art. 2-quater, par. 4, Codice Privacy).<\/p>\n Nel contesto del CNR le regole deontologiche pi\u00f9 significative sono quelle relative ai\u00a0trattamenti a fini statistici o di ricerca scientifica<\/a>\u00a0ma, considerata la vastit\u00e0 delle discipline su cui il CNR opera, non si pu\u00f2 escludere la possibilit\u00e0 che si possano gestire trattamenti soggetti alle altre regole, ossia trattamenti\u00a0di dati personali nell’esercizio dell’attivit\u00e0 giornalistica,\u00a0trattamenti a fini di archiviazione nel pubblico interesse o per scopi di ricerca storica, o\u00a0a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema statistico nazionale<\/a>.<\/p>\n<\/div>\n<\/div>\n<\/div>\n[\/et_pb_toggle][et_pb_toggle title=”Le prescrizioni del Garante per la Protezione Dati Personali” admin_label=”Prescrizioni Garante” _builder_version=”4.16″ _module_preset=”default” title_font=”Ubuntu|500|||||||” global_colors_info=”{}”]\n Il Garante per la protezione dei dati personali, tramite il Provvedimento 146 del 2019<\/a> ha\u00a0individuato le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell\u2019art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101.<\/p>\n Per il contesto in cui opera il CNR sono di particolare importanza i capitoli 4, \u201cPrescrizioni relative al trattamento dei dati genetici (aut. gen. n. 8\/2016)<\/a>“<\/em> e 5, \u201cPrescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica (aut. gen. n. 9\/2016)<\/em><\/a>\u201d.<\/p>\n Da notare quanto indicato nel decreto: “Salvo che il fatto costituisca reato, le violazioni delle\u00a0prescrizioni contenute nelle autorizzazioni generali di cui al\u00a0presente articolo e nel provvedimento generale di cui al comma 1 sono<\/em>\u00a0soggette alla sanzione amministrativa di cui all’articolo 83,\u00a0paragrafo 5, del Regolamento (UE) 2016\/679<\/em>” (art. 21, par. 5 D. Lgs 101\/2018).<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n[\/et_pb_toggle][et_pb_toggle title=”La Dichiarazione di Helsinki” admin_label=”Dichiarazione Helsinki” _builder_version=”4.16″ _module_preset=”default” title_font=”Ubuntu|500|||||||” global_colors_info=”{}”]\n Sebbene non si possa considerare una norma in senso stretto, nel trattare dati sanitari per fini di ricerca scientifica, non va trascurata la \u201cdichiarazione di Helsinki<\/a>\u201d, nella quale vengono elencati i \u201cPrincipi etici per la ricerca biomedica che coinvolge gli esseri umani<\/em>\u201d. La dichiarazione e\u0300 stata adottata nella 18a Assemblea Generale della World Medical Association (WMA), tenutasi nel giugno del 1964 ad Helsinki in Finlandia ed e\u0300 stata successivamente emendata nelle successive assemblee della WMA34.<\/p>\n In particolare e\u0300 da evidenziare il nono dei principi generali nel quale si asserisce che \u201cE\u0300 dovere dei medici coinvolti nella ricerca biomedica tutelare la vita, la salute, la dignita\u0300, l\u2019integrita\u0300, il diritto all\u2019autodeterminazione, la privacy e la riservatezza dei dati personali<\/strong> dei soggetti coinvolti nella ricerca. La responsabilita\u0300 della loro tutela deve sempre ricadere sul medico o su altri professionisti sanitari e mai sui soggetti coinvolti nella ricerca, nonostante il consenso fornito<\/em>\u201d.<\/p>\n[\/et_pb_toggle][et_pb_text admin_label=”Sez. principali concetti” _builder_version=”4.16″ _module_preset=”default” custom_margin=”||-2px|||” global_colors_info=”{}”]\n Il titolare del trattamento \u00e8 definito come “la persona fisica o giuridica, l’autorit\u00e0 pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalit\u00e0 e i mezzi del trattamento di dati personali<\/em>” (art. 4, par. 7 del GDPR).<\/p>\n Il titolare \u00e8 quindi la figura che definisce il perch\u00e9 un trattamento ha luogo ed ha il potere di decidere le finalit\u00e0 e le modalit\u00e0 dello stesso. \u00c8 per\u00f2 importante sottolineare che in merito alle modalit\u00e0 sono da considerarsi solo quelle essenziali. La definizione dei mezzi non \u00e8 quindi riferita alla semplice scelta degli strumenti di lavoro ma alle caratteristiche del trattamento (es. il campione di soggetti da selezionare, le basi giuridiche che permettono il trattamento, la durata del trattamento ecc.).<\/p>\n[\/et_pb_toggle][et_pb_toggle title=”Contitolarit\u00e0 in un trattamento” admin_label=”Contitolarit\u00e0” _builder_version=”4.16″ _module_preset=”default” title_font=”Ubuntu|500|||||||” global_colors_info=”{}”]\n Quando finalit\u00e0 e modalit\u00e0 sono definite congiuntamente da pi\u00f9 titolari si determina contitolarit\u00e0 nel trattamento.<\/p>\n Il concetto di contitolarit\u00e0 \u00e8 stato spiegato dall\u2019Article 29 Data Protection Working Party (WP29)<\/strong> nel 2010, chiarendo che la contitolarit\u00e0 non \u00e8 sempre equamente distribuita nelle responsabilit\u00e0 e nella definizione delle finalit\u00e0 e modalit\u00e0 del trattamento. L\u2019avverbio \u201ccongiuntamente\u201d deve essere interpretato come \u201cinsieme\u201d o \u201cnon da soli\u201d. Per questo la contitolarit\u00e0 potrebbe essere definita come simmetrica o, molto pi\u00f9 frequentemente, asimmetrica.<\/p>\n Al fine di allocare correttamente le rispettive responsabilit\u00e0, i titolari, ai sensi dell’art. 26 del GDPR, sono tenuti a definire un accordo interno. Ogni titolare di un trattamento di dati personali \u00e8, naturalmente, soggetto agli obblighi previsti dal Regolamento, di conseguenza, ci\u00f2 che occorre definire nell’accordo sono solo quegli aspetti che possono essere causa di ambiguit\u00e0 e confusione nell\u2019interessato. Oltre quindi alle responsabilit\u00e0 delle parti, l’accordo dovr\u00e0 contenere le l’indicazione di chi si far\u00e0 carico di comunicare le informazioni agli interessati (ex art. 13 e 14), un eventuale punto di contatto comune e le modalit\u00e0 di esercizio dei diritti.<\/p>\n Una sintesi dell’accordo dovr\u00e0 essere messa a disposizione degli interessati. I contitolari rispondo in solido nei confronti dell’interessato in caso di danni.<\/p>\n Le stesse linee guida del WP29 sono state riprese, aggiornate e ripubblicate nel luglio 2020 dallo European Data Protection Board (EDPB)<\/strong><\/a>, composto dalle figure di vertice delle autorit\u00e0 di controllo degli stati membri e dal Garante europeo della protezione dei dati.<\/p>\n[\/et_pb_toggle][et_pb_toggle title=”Il Responsabile del trattamento dati ” admin_label=”Responsabile” _builder_version=”4.16″ _module_preset=”default” title_font=”Ubuntu|500|||||||” global_colors_info=”{}”]\n Il responsabile del trattamento \u00e8 “la persona fisica o giuridica, l’autorit\u00e0 pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento<\/em>”\u00a0(art. 4, par. 8 del GDPR). Come definito dalle Linee Guida 7\/2020 dello EDPB<\/a>, “Le due condizioni fondamentali per la qualifica di responsabile del trattamento sono: <\/em><\/p>\n a) essere un soggetto distinto rispetto al titolare del trattamento;<\/em> Un soggetto distinto significa che il titolare del trattamento decide di delegare tutte o parte delle attivit\u00e0 di trattamento a un soggetto esterno. […] Se il titolare del trattamento decide di trattare direttamente i dati utilizzando le proprie risorse interne, ad esempio attraverso il proprio personale, non vi sono responsabili del trattamento”.<\/em><\/p>\n Il rapporto fra titolare e responsabile del trattamento \u00e8 regolato dall’art. 28 del GDPR. In particolare al paragrafo 3 troviamo ci\u00f2 che un accordo per tale scopo dovr\u00e0 contenere.<\/p>\n Nonostante sia prerogativa del titolare definire finalit\u00e0 e mezzi del trattamento, le Linee Guida<\/a>, chiariscono che: “In pratica, se un titolare incarica un responsabile del trattamento di effettuare il trattamento per suo conto, ci\u00f2 significa spesso che il responsabile del trattamento \u00e8 in grado di adottare autonomamente<\/strong> determinate decisioni sulle modalit\u00e0 di effettuazione del trattamento in oggetto. L\u2019EDPB riconosce la sussistenza di un certo margine di manovra affinch\u00e9 anche il responsabile del trattamento possa prendere decisioni in relazione al trattamento.”. <\/em>Per tale ragione si parla di mezzi essenziali e non essenziali<\/strong>. “Mentre i mezzi non essenziali possono essere determinati anche dal responsabile del trattamento, i mezzi essenziali sono determinati necessariamente dal titolare del trattamento. Per \u00abmezzi essenziali\u00bb si intendono i mezzi strettamente legati alla finalit\u00e0 e alla portata del trattamento, tra cui il tipo di dati personali trattati (\u00abquali dati sono trattati?\u00bb), la durata del trattamento (\u00abper quanto tempo sono trattati?\u00bb), le categorie di destinatari (\u00abchi vi ha accesso?\u00bb) e le categorie di interessati (\u00abi dati personali di quali individui sono oggetto di trattamento?\u00bb). Insieme alla finalit\u00e0 del trattamento, i mezzi essenziali sono inoltre strettamente connessi alla liceit\u00e0, necessit\u00e0 e proporzionalit\u00e0 del trattamento stesso. I \u00abmezzi non essenziali\u00bb riguardano aspetti pi\u00f9 pratici legati all\u2019esecuzione del trattamento, quali la scelta di un particolare tipo di hardware o di software o le misure di sicurezza specifiche in merito alle quali pu\u00f2 decidere il responsabile del trattamento<\/em>“.<\/p>\n \u00c8 utile tener conto che la Commissione Europea ha recentemente publicato della “Clausole Contrattuali Tipo” da utilizzarsi nei rapporti Titolare-Responsabile. L’utilizzo di tali clausole \u00e8 quindi consigliato al fine di avere una garanzia sulla correttezza dell’accordo.<\/p>\n[\/et_pb_toggle][et_pb_toggle title=”I principi del GDPR” admin_label=”I principi del GDPR” _builder_version=”4.16″ _module_preset=”default” title_font=”Ubuntu|500|||||||” global_colors_info=”{}”]\n Il GDPR, tramite gli artt. 5, 24 e 25, definisce alcuni importanti principi. Ci\u00f2 su cui il GDPR pone le basi della propria ratio sono i concetti di:<\/p>\n Il principio di responsabilizzazione del titolare, o principio di accountability, esplicitato nell’art. 24 del Regolamento, \u00e8 probabilmente la principale innovazione della norma, insieme al concetto di trasparenza, con cui si sposta l’attenzione dal consenso ottenuto dall’interessato per trattare i suoi dati al controllo (la possibilit\u00e0 di esercitare i propri diritti) che costui deve avere in ogni fase del trattamento.<\/p>\n L’osservanza dei principi sopra descritti non deve essere vista come una norma a cui adeguarsi ma un modus operandi applicato gi\u00e0 in fase di progettazione del trattamento. \u00c8 proprio in questa fase che devono essere progettate e implementate (impostazione predefinita) le misure tecniche e organizzative necessarie per far s\u00ec che i dati raccolti non siano accessibili a chi non ne abbia diritto o non operi nel trattamento per il raggiungimento della finalit\u00e0 dichiarata. Ed \u00e8 quello che viene stabilito da un ulteriore, e non meno importante, principio: di data\u00a0protection by design e by<\/strong> default\u00a0<\/strong>(art. 25).<\/p>\n[\/et_pb_toggle][et_pb_toggle title=”I presupposti del trattamento (le basi giuridiche)” admin_label=”Basi giuridiche” _builder_version=”4.17.0″ _module_preset=”default” title_font=”Ubuntu|500|||||||” global_colors_info=”{}”]\n Fra i princ\u00ecpi del GDPR compare quello di liceit\u00e0<\/em> del trattamento. Un trattamento, quindi, oltre a dover rispettare tutti gli altri princ\u00ecpi descritti all’art. 5 del Regolamento, dovr\u00e0 essere anche lecito. Ed un trattamento \u00e8 lecito quando \u00e8 svolto in almeno una delle condizioni elencate nell’art. 6 del Regolamento. Tali condizioni sono spesso indicate come presupposti o basi giuridiche<\/strong> del trattamento. \u00a0Un trattamento sar\u00e0 quindi lecitamente svolto se:<\/p>\n oppure se\u00a0il trattamento \u00e8 necessario:<\/strong><\/p>\n La finalit\u00e0 \u00e8 pertanto legata strettamente ad una o pi\u00f9 delle suddette basi giuridiche che rendono lecito il trattamento.<\/p>\n Sebbene il consenso sia la prima fra le possibili basi giuridiche indicate dall\u2019art. 6, \u00e8 importante considerare prioritariamente le altre basi di legittimit\u00e0 del trattamento e solo in ultima analisi ricorrere al consenso.<\/p>\n \u00c8 importante notare che per il CNR, in quanto pubblica amministrazione, non \u00e8 possibile ricorrere al legittimo interesse per giustificare i trattamenti svolti nell\u2019esecuzione dei propri compiti. I compiti svolti dal CNR, come per ogni altra pubblica amministrazione, sono giustificati da una specifica normativa e saranno pertanto condotti “per adempiere un obbligo legale<\/em>” (art. 6, par. 1.c, GDPR) o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri”<\/em> (art. 6, par. 1.e, GDPR).<\/p>\n Occorre fare attenzione per\u00f2 perch\u00e9, nel caso di trattamenti di dati particolari<\/strong> (\u201cdati personali che rivelino l\u2019origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l\u2019appartenenza sindacale, nonch\u00e9 [\u2026] dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all\u2019orientamento sessuale della persona<\/em>\u201c), sar\u00e0 anche necessario rientrare in almeno una delle deroghe previste dall\u2019art. 9 del GDPR.<\/p>\n Inoltre, nel caso di trattamenti di dati particolari per finalit\u00e0 di ricerca scientifica, sar\u00e0 sempre necessario l\u2019ottenimento del preventivo consenso e la sua indicazione quale base giuridica. Qualora sia eccessivamente gravoso ottenerlo e la cancellazione dei dati ottenuti senza un valido consenso rischierebbe di compromettere i risultati dell’attivit\u00e0 di ricerca, il consenso non sar\u00e0 necessario a patto che si ricada nei casi e\/o si rispettino i requisiti indicati dagli artt. 110 e\/o 110-bis del Codice Privacy (D. Lgs. 196\/2003).<\/p>\n[\/et_pb_toggle][et_pb_text admin_label=”Sez. Org. interna” _builder_version=”4.16″ _module_preset=”default” custom_margin=”||-2px|||” global_colors_info=”{}”]\n Il Responsabile della Protezione Dati (RPD) o, con la definizione inglese, il Data Protection Officer (DPO), \u00e8 una figura introdotta dal Regolamento Generale sulla Protezione Dati e da questo regolamentata (Capo IV, Sezione 4, artt. 37-39). \u00a0<\/span><\/p>\n In quanto ente di natura pubblica, il CNR rientra tra i soggetti obbligati a nominare un Responsabile per la protezione dei dati<\/a>: l\u2019attuale RPD \u00e8 l’Ing. Roberto Puccinelli.<\/p>\n Il GDPR prevede che il titolare del trattamento o il responsabile del trattamento pubblichi i dati di contatto del Responsabile della Protezione dei Dati e li comunichi all’autorit\u00e0 di controllo (art. 37, par. 7).\u00a0<\/span><\/p>\n Al Responsabile della Protezione Dati, che riferisce al vertice gerarchico del Titolare o del Responsabile, deve essere assicurata piena autonomia nello svolgimento della propria attivit\u00e0 (art. 38, par. 3).<\/p>\n I compiti del Responsabile della Protezione Dati consistono nel:<\/p>\n Gli articoli 13 e 14 del GDPR, che descrivono le informazioni da fornire all’interessato riguardo un trattamento di dati personali che lo riguardano, richiedono che siano indicati anche i contatti del Responsabile della Protezione Dati.<\/p>\n Per il Consiglio Nazionale delle Ricerche, il RPD \u00e8 raggiungibile ai seguenti contatti:<\/p>\n email: rpd@cnr.it<\/strong> oppure dpo@cnr.it<\/strong><\/p>\n PEC: rpd@pec.cnr.it<\/strong><\/p>\n[\/et_pb_toggle][et_pb_toggle title=”I corrispondenti del Responsabile per la Protezione Dati” admin_label=”Corrispondenti” _builder_version=”4.17.0″ _module_preset=”default” title_font=”Ubuntu|500|||||||” global_colors_info=”{}”]\n Nello svolgimento delle sue funzioni, il Responsabile per la Protezione Dati si avvale dei propri Corrispondenti, cio\u00e8 colleghi di elevata professionalit\u00e0, dovendo possedere gli stessi requisiti richiesi per il RPD dall’art. 37 del GDPR e che operano sotto la responsabilit\u00e0 e dipendenza funzionale dal Responsabile per la Protezione Dati.<\/p>\n Il team dei Corrispondenti \u00e8 composto da sette figure, dalle competenze diversificate, associata ad ognuno dei Dipartimenti scientifici dell\u2019Ente, cos\u00ec da poter intervenire su un ampio spettro di questioni legate al trattamento dati.<\/p>\n Il team dei Corrispondenti, con il suo operato, contribuisce a monitorare l\u2019osservanza del GDPR – e di altre disposizioni nazionali o dell\u2019Unione relative alla protezione dei dati – internamente al CNR, e alla sensibilizzazione e formazione del personale dell\u2019Ente in materia di trattamento dei dati.<\/p>\n Nel caso in cui il RPD debba fornire un parere su una Valutazione d’Impatto (DPIA) tale parere \u00e8 elaborato in maniera collegiale con i corrispondenti.<\/p>\n I Corrispondenti in carica sono:<\/p>\n Ing. Roberto Puccinelli (interim) – Scienze del sistema terra e tecnologie per l’ambiente; \u201cIl direttore generale svolge funzioni di coordinamento di tutti gli adempimenti connessi al trattamento dei dati personali per conto del titolare del trattamento fornendo indicazioni di carattere generale ai responsabili interni<\/em>\u201d (art. 19-bis, Regolamento di Organizzazione e Funzionamento del CNR).<\/p>\n Al fine di agevolare l\u2019operativit\u00e0 del Direttore Generale e con lo scopo di distinguere le attivit\u00e0 del titolare da quelle del Responsabile della Protezione Dati (consulenza e controllo) \u00e8 stato costituito un Gruppo di lavoro a supporto del Direttore Generale per lo studio e l\u2019approfondimento delle problematiche di tipo giuridico, tecnico ed organizzativo in materia di trattamento dei dati personali nonch\u00e9 per l\u2019elaborazione degli strumenti e delle procedure in applicazione del Regolamento (UE) 2016\/679 RGPD ed ottenere una gestione efficace ed efficiente dei trattamenti di dati personali presenti all\u2019interno dell\u2019Ente.<\/p>\n Il Gruppo di lavoro, nello svolgimento dei propri compiti, acquisisce, su espressa richiesta del Direttore Generale e per specifiche e definite questioni, la consulenza dell\u2019RPD.<\/p>\n Il Gruppo di lavoro consente quindi al RPD di svolgere al meglio i suoi compiti di vigilanza e controllo garantendo il rispetto della normativa applicabile in materia di trattamento dei dati personali e fornendo adeguata consulenza al titolare.<\/p>\n Il Gruppo di lavoro, costituito nel mese di maggio 2021 con una durata di dodici mesi, \u00e8 stato successivamente prorogato per le successive annualit\u00e0.<\/p>\n I compiti affidati al Gruppo di lavoro nell\u2019annualit\u00e0 corrente, mediante provvedimento del Direttore Generale del 6\/11\/2024, sono:<\/p>\n Il gruppo \u00e8 raggiungibile all\u2019indirizzo gdl.privacy@cnr.it<\/strong>.<\/p>\n[\/et_pb_toggle][et_pb_toggle title=”I Referenti Privacy” admin_label=”Referenti” _builder_version=”4.16″ _module_preset=”default” title_font=”Ubuntu|500|||||||” global_colors_info=”{}”]\n GDPR e Codice Privacy<\/a><\/p>\n Linee Guida EDPB sui concetti di titolare e di responsabile del trattamento<\/a><\/p>\n Linee Guida del WP29 sul concetto di trasparenza<\/a><\/p>\n Linee Guida EDPB sul consenso<\/a><\/p>\n Linee Guida EDPB su Data Protection by Design e by Default<\/a><\/p>\n Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica<\/a><\/p>\n[\/et_pb_blurb][et_pb_blurb title=”Trova il tuo Referente Privacy” url=”https:\/\/www.rpd.cnr.it\/wp\/?page_id=463″ admin_label=”Blurb cerca referente” _builder_version=”4.17.0″ _module_preset=”default” header_font=”Ubuntu||||||||” header_text_color=”gcid-e2820a94-1f8e-477c-8dd4-6397563ffcfa” global_colors_info=”{%22gcid-e2820a94-1f8e-477c-8dd4-6397563ffcfa%22:%91%22header_text_color%22%93}”]\n Segui questo link <\/a> per trovare il Referente Privacy per la tua struttura.<\/p>\n[\/et_pb_blurb][et_pb_blurb title=”Provvedimenti interni” admin_label=”Blurb Normativa interna” _builder_version=”4.17.0″ _module_preset=”default” header_font=”Ubuntu||||||||” header_text_color=”gcid-e2820a94-1f8e-477c-8dd4-6397563ffcfa” background_color=”#eaeaea” background_enable_image=”off” parallax=”on” custom_margin=”||||false|false” custom_padding=”10px|10px|10px|10px|false|false” border_radii=”on|3px|3px|3px|3px” border_width_all=”1px” border_color_all=”#B3B3B3″ global_colors_info=”{%22gcid-e2820a94-1f8e-477c-8dd4-6397563ffcfa%22:%91%22header_text_color%22%93}”]\n Regolamento di Organizzazione e Funzionamento del Consiglio Nazionale delle Ricerche<\/a><\/p>\n Provvedimento del Presidente n. 27\/2019 su Compiti e funzioni dei Responsabili interni CNR in materia di Trattamento dei dati personali<\/a><\/p>\n Provvedimento di nomina del Responsabile per la Protezione Dati<\/a><\/p>\n Provvedimento n. 117\/2020 di nomina dei Corrispondenti del RPD<\/a><\/p>\n Provvedimento n. 123\/2020 di nomina dei Corrispondenti del RPD<\/a><\/p>\n Provvedimento n. 20\/2022 di nomina dei Corrispondenti del RPD<\/a><\/p>\n\n
Concetti principali<\/h2>\n[\/et_pb_text][et_pb_divider _builder_version=”4.16″ _module_preset=”default” global_colors_info=”{}”][\/et_pb_divider][et_pb_toggle title=”Il titolare del trattamento dati ” admin_label=”Titolare” _builder_version=”4.16″ _module_preset=”default” title_font=”Ubuntu|500|||||||” global_colors_info=”{}”]\n
b) trattare i dati personali per conto del titolare del trattamento.<\/em><\/p>\n\n
\n
\n
Organizzazione Interna<\/h2>\n[\/et_pb_text][et_pb_divider _builder_version=”4.16″ _module_preset=”default” global_colors_info=”{}”][\/et_pb_divider][et_pb_toggle title=”I trattamenti di dati personali al CNR” admin_label=”Organizzazione” _builder_version=”4.16″ _module_preset=”default” title_font=”Ubuntu|500|||||||” global_colors_info=”{}”]\n
\n
Avv. Claudia Greco – Dipartimento Scienze Fisiche e Tecnologie della Materia;
Avv. Gianluca Fasano – Ingegneria, ICT e tecnologie per l’energia e i trasporti;
Dott. Massimiliano Ippoliti – Scienze umane e sociali, patrimonio culturale;
Avv. Laura Milita – Dipartimento di Scienze Bio-Agroalimentari;
Dott. Valerio Giorgio Muzzini – Scienze chimiche e tecnologie dei materiali;
Dott.ssa Elisabetta Vallarino – Scienze Biomediche.<\/p>\n[\/et_pb_toggle][et_pb_toggle title=”Il Gruppo di Lavoro a supporto del Direttore Generale” admin_label=”GdL” _builder_version=”4.17.0″ _module_preset=”default” title_font=”Ubuntu|500|||||||” hover_enabled=”0″ global_colors_info=”{}” sticky_enabled=”0″]\n\n