{"id":648,"date":"2022-01-17T17:34:32","date_gmt":"2022-01-17T16:34:32","guid":{"rendered":"https:\/\/www.rpd.cnr.it\/wp\/?page_id=648"},"modified":"2023-04-26T11:34:57","modified_gmt":"2023-04-26T10:34:57","slug":"come-fare-per-avviare-un-trattamento-dati","status":"publish","type":"page","link":"https:\/\/www.rpd.cnr.it\/wp\/?page_id=648","title":{"rendered":"Come fare per avviare un trattamento dati"},"content":{"rendered":"[et_pb_section fb_built=”1″ admin_label=”Header standard” _builder_version=”4.16″ _module_preset=”default” background_color=”gcid-6dd6c585-c6fc-40e1-8894-97baae9ba22b” height=”220px” custom_padding=”12px||11px|||” border_color_top=”gcid-a859e9a6-0409-44bc-85a8-3aef51e34a4a” border_color_right=”gcid-a859e9a6-0409-44bc-85a8-3aef51e34a4a” border_width_left=”30px” border_color_left=”gcid-a859e9a6-0409-44bc-85a8-3aef51e34a4a” global_colors_info=”{%22gcid-6dd6c585-c6fc-40e1-8894-97baae9ba22b%22:%91%22background_color%22%93,%22gcid-a859e9a6-0409-44bc-85a8-3aef51e34a4a%22:%91%22border_color_right%22,%22border_color_left%22,%22border_color_top%22%93}”][et_pb_row column_structure=”1_3,2_3″ _builder_version=”4.16″ _module_preset=”default” height=”210px” custom_margin=”-11px|auto||129px||” custom_padding=”15px||0px||false|false” global_colors_info=”{}”][et_pb_column type=”1_3″ _builder_version=”4.16″ _module_preset=”default” global_colors_info=”{}”][et_pb_image src=”https:\/\/www.rpd.cnr.it\/wp\/wp-content\/uploads\/2021\/08\/Logo_cnr3righe_bianco.png” title_text=”Logo_cnr3righe_bianco” _builder_version=”4.16″ _module_preset=”default” transform_scale=”80%|80%” height=”190px” filter_invert=”91%” global_colors_info=”{}”][\/et_pb_image][\/et_pb_column][et_pb_column type=”2_3″ _builder_version=”4.16″ _module_preset=”default” global_colors_info=”{}”][et_pb_text _builder_version=”4.16″ _module_preset=”default” header_font=”Ubuntu||||||||” header_font_size=”48px” custom_padding=”10px||||false|false” global_colors_info=”{}”]\n

Responsabile<\/h1>\n

Protezione<\/h1>\n

Dati<\/h1>\n[\/et_pb_text][\/et_pb_column][\/et_pb_row][\/et_pb_section][et_pb_section fb_built=”1″ _builder_version=”4.16″ _module_preset=”default” border_width_left=”30px” border_color_left=”gcid-a859e9a6-0409-44bc-85a8-3aef51e34a4a” global_colors_info=”{%22gcid-a859e9a6-0409-44bc-85a8-3aef51e34a4a%22:%91%22border_color_left%22%93}”][et_pb_row _builder_version=”4.16″ _module_preset=”default” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.16″ _module_preset=”default” global_colors_info=”{}”][et_pb_text admin_label=”Title and subhead” _builder_version=”4.16″ text_font=”Ubuntu||||||||” text_text_color=”#FFFFFF” text_font_size=”16px” text_line_height=”1.8em” header_font=”Montserrat|700|||||||” header_text_align=”left” header_text_color=”#FFFFFF” header_font_size=”50px” header_line_height=”1.4em” header_2_font=”||||||||” background_color=”gcid-a859e9a6-0409-44bc-85a8-3aef51e34a4a” text_orientation=”center” background_layout=”dark” max_width=”800px” module_alignment=”left” custom_margin=”0px|0px|0px|0px|false|false” custom_padding=”10px|10px|10px|10px|false|false” header_font_size_tablet=”” header_font_size_phone=”40px” header_font_size_last_edited=”on|desktop” locked=”off” global_colors_info=”{%22gcid-a859e9a6-0409-44bc-85a8-3aef51e34a4a%22:%91%22background_color%22%93}”]\n

Come gestire correttamente un trattamento dati personali all’avvio di una nuova attivit\u00e0 o progetto<\/h2>\n[\/et_pb_text][et_pb_text admin_label=”Title and subhead” _builder_version=”4.17.0″ text_font=”Ubuntu||||||||” text_text_color=”gcid-a859e9a6-0409-44bc-85a8-3aef51e34a4a” text_font_size=”16px” text_line_height=”1.8em” header_font=”Montserrat|700|||||||” header_text_align=”left” header_text_color=”#8F8F8F” header_font_size=”50px” header_line_height=”1.4em” header_2_font=”||||||||” text_orientation=”center” max_width=”800px” module_alignment=”left” custom_padding=”|10px||10px|false|false” header_font_size_tablet=”” header_font_size_phone=”40px” header_font_size_last_edited=”on|desktop” border_width_left=”4px” border_color_left=”gcid-a859e9a6-0409-44bc-85a8-3aef51e34a4a” locked=”off” global_colors_info=”{%22gcid-a859e9a6-0409-44bc-85a8-3aef51e34a4a%22:%91%22text_text_color%22,%22border_color_left%22%93}”]\n

La corretta gestione del trattamento dei dati personali \u00e8 un aspetto strettamente connesso al ciclo di vita di un progetto e\/o di un\u2019attivit\u00e0. Le strutture devono dotarsi di un sistema organizzativo che consenta di rispettare la compliance<\/em> al GDPR gi\u00e0 in fase di progettazione dei trattamenti, pianificando misure di protezione e un\u2019azione di monitoraggio attenta a verificare e documentare nel tempo l\u2019adeguatezza agli obblighi normativi previsti a tutela dei diritti e delle libert\u00e0 degli interessati.<\/p>\n[\/et_pb_text][\/et_pb_column][\/et_pb_row][et_pb_row _builder_version=”4.16″ _module_preset=”default” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.16″ _module_preset=”default” global_colors_info=”{}”][et_pb_text _builder_version=”4.17.0″ _module_preset=”default” text_text_color=”#262626″ header_text_color=”#E02B20″ global_colors_info=”{}”]\n

L\u2019art. 25 del GDPR obbliga i titolari ad operare affinch\u00e9 la protezione dei dati sia integrata nel trattamento dei dati personali fin dalla progettazione e per impostazione predefinita (privacy by design e by default<\/em><\/strong>), il che significa applicare soluzioni che garantiscano che siano trattati solo i dati necessari per le finalit\u00e0 previste e per il periodo strettamente\u00a0 necessario, assicurando un adeguato livello di protezione dei dati personali in relazione al trattamento specifico identificato in fase progettuale.<\/p>\n

Un modello organizzativo orientato alla protezione del dato personale, affronta un nuovo trattamento attraverso i seguenti step operativi:<\/p>\n

    \n
  1. Identificazione del trattamento e responsabilit\u00e0 connesse;<\/li>\n
  2. Analisi del trattamento;<\/li>\n
  3. Messa in atto del trattamento;<\/li>\n
  4. Monitoraggio e documentazione del trattamento.<\/li>\n<\/ol>\n

    Il grafico seguente pu\u00f2 aiutare a comprendere i passi necessari, e chi deve compierli, per avviare un trattamento di dati personali nell’ambito di un’attivit\u00e0 o un progetto svolto nel Consiglio Nazionale delle Ricerche.<\/p>\n[\/et_pb_text][\/et_pb_column][\/et_pb_row][et_pb_row column_structure=”2_3,1_3″ _builder_version=”4.16″ _module_preset=”default” global_colors_info=”{}”][et_pb_column type=”2_3″ _builder_version=”4.16″ _module_preset=”default” global_colors_info=”{}”][et_pb_image src=”https:\/\/www.rpd.cnr.it\/wp\/wp-content\/uploads\/2022\/05\/Flusso-avvio-trattamento-2.png” title_text=”Flusso avvio trattamento” force_fullwidth=”on” _builder_version=”4.17.0″ _module_preset=”default” global_colors_info=”{}”][\/et_pb_image][et_pb_text _builder_version=”4.17.0″ _module_preset=”default” global_colors_info=”{}”]\n

    * Il “Responsabile Interno” non trova alcuna definizione nella normativa corrente. Il “Responsabile del trattamento”, secondo il GDPR (art. 4, par. 8), \u00e8 “la persona fisica o giuridica, l’autorit\u00e0 pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento<\/em>“, ed \u00e8 quindi inteso come una figura terza ed esterna rispetto al titolare (concetto chiarito dalle linee guida 7\/2020 dello EDPB<\/a>). Nel contesto del Consiglio Nazionale delle Ricerche, il “Responsabile Interno\u00a0CNR<\/strong>” \u00e8 “il direttore di dipartimento, il direttore di istituto, il presidente di area territoriale di ricerca, il dirigente di un ufficio dirigenziale o il responsabile di una struttura organizzativa di cui all\u2019articolo 19 comma 3, al quale sono attribuiti ai sensi del comma 1 dell\u2019articolo 2 quaterdecies del decreto legislativo 30 giugno 2003, n. 196 specifici compiti e funzioni del titolare<\/em>” (art. 19-bis, Regolamento di Organizzazione e Funzionamento del Consiglio Nazionale delle Ricerche<\/a>).<\/p>\n

    N.B. Nel grafico non compare la figura del\/la referente per la protezione dei dati personali, di cui ogni struttura del Consiglio Nazionale delle Ricerche deve dotarsi, poich\u00e9 ad esso\/a \u00e8 assegnato il ruolo di supportare i colleghi impegnati in trattamenti di dati personali ed il Responsabile Interno, oltrech\u00e9 rappresentare l’interfaccia naturale fra la struttura ed il Responsabile per la Protezione Dati dell’Ente. Per questo motivo sar\u00e0 coinvolto in tutte le fasi nel flusso sopra rappresentato.<\/p>\n[\/et_pb_text][\/et_pb_column][et_pb_column type=”1_3″ _builder_version=”4.16″ _module_preset=”default” global_colors_info=”{}”][et_pb_accordion _builder_version=”4.17.0″ _module_preset=”default” hover_enabled=”0″ global_colors_info=”{}” sticky_enabled=”0″][et_pb_accordion_item title=”Accordion vuoto – non rimuovere!” open=”on” _builder_version=”4.16″ _module_preset=”default” hover_enabled=”0″ custom_css_main_element=”display: none;” global_colors_info=”{}” sticky_enabled=”0″]\n

    Accordion vuoto – non rimuovere!<\/p>\n[\/et_pb_accordion_item][et_pb_accordion_item title=”1. Individua il\/i trattamento\/i…” open_toggle_text_color=”#000000″ _builder_version=”4.17.0″ _module_preset=”default” hover_enabled=”0″ global_colors_info=”{}” open=”off” sticky_enabled=”0″]\n

    In fase di definizione della proposta progettuale o dell\u2019attivit\u00e0, il Responsabile della stessa deve comprendere il processo di trattamento, contestualizzarlo nella realt\u00e0 in cui opera e considerare gli obiettivi previsti in rapporto all’organizzazione interna, i sistemi informatici utilizzati e i portatori d\u2019interesse. Si tratta di un\u2019analisi preliminare del trattamento che deve porre particolare attenzione a: tipologia di dati personali trattati, eventuali criticit\u00e0, volume dei dati personali trattati, caratteristiche degli interessati ecc.. \u00c8 inoltre necessario descrivere il ciclo di vita del dato, ossia il flusso del processo di trattamento, dalla raccolta, alla conservazione, alla cancellazione o anonimizzazione dei dati personali.<\/p>\n[\/et_pb_accordion_item][et_pb_accordion_item title=”2. Individua titolarit\u00e0 e ruoli…” _builder_version=”4.17.0″ _module_preset=”default” hover_enabled=”0″ global_colors_info=”{}” open=”off” sticky_enabled=”0″]\n

    Individuato il trattamento \u00e8 necessario definire i ruoli dei soggetti coinvolti e stabilire chi opera in qualit\u00e0 di Titolare <\/strong>e chi, eventualmente, in qualit\u00e0\u00a0di Responsabile<\/strong>.<\/p>\n

    Titolare \u00e8 colui che, da solo o con altri, ha potere decisionale su tutto o parte del trattamento. \u00c8 colui che pu\u00f2 rispondere al perch\u00e9 il trattamento si svolge.<\/p>\n

    Un Responsabile agisce sul trattamento per conto del Titolare \u00e8 pu\u00f2 stabilire solo le modalit\u00e0 non essenziali del trattamento.<\/p>\n[\/et_pb_accordion_item][et_pb_accordion_item title=”3. CNR titolare\/contitolare?” _builder_version=”4.17.0″ _module_preset=”default” global_colors_info=”{}” open=”off”]\n

    Una volta definiti i ruoli, qualora la struttura CNR agisca in qualit\u00e0 di titolare o contitolare, dovr\u00e0 procedere con una Valutazione d’Impatto o almeno con una Valutazione del rischio, come indicato nei passaggi successivi. Qualora invece agisca come Responsabile di un trattamento dovr\u00e0 limitarsi a trattare i dati secondo le indicazioni fornite dal titolare del trattamento. Al Responsabile \u00e8 comunque consentito definire in autonomia i mezzi, non essenziali, del trattamento.<\/p>\n[\/et_pb_accordion_item][et_pb_accordion_item title=”4. CNR Contitolare?” _builder_version=”4.17.0″ _module_preset=”default” global_colors_info=”{}” open=”off”]\n

    Pu\u00f2 accadere che la struttura del CNR, che agisce da Titolare, determini le finalit\u00e0 e i mezzi del trattamento insieme ad uno o pi\u00f9 soggetti (caso frequente, ad esempio, nella definizione di proposte progettuali in bandi di ricerca). In tal caso si determina una Contitolarit\u00e0 del trattamento fra pi\u00f9 partner. I diversi Titolari definiscono quindi congiuntamente (complementandosi) le finalit\u00e0 e le modalit\u00e0 (essenziali) del trattamento.<\/p>\n[\/et_pb_accordion_item][et_pb_accordion_item title=”5. Definisce accordo di…” _builder_version=”4.17.0″ _module_preset=”default” global_colors_info=”{}” open=”off”]\n

    In caso di contitolarit\u00e0 l\u2019art. 26 del GDPR prevede che venga redatto un accordo tra contitolari che vincoli le parti ai principi di conformit\u00e0 al GDPR. Oltre a precisare l\u2019oggetto del trattamento, lo scopo, il tipo di dati e le categorie di interessati; l\u2019accordo deve dettagliare le rispettive responsabilit\u00e0<\/em><\/strong> (riferendole al ciclo di vita del dato) nell\u2019adeguamento al GDPR per tutte le fasi del trattamento in contitolarit\u00e0, ossia: utilizzo dei dati, adozione delle misure di sicurezza, predisposizione dell\u2019Informativa<\/a> e gestione delle richieste degli interessati attraverso un punto di contatto, redazione della DPIA, eventuale ricorso a Responsabili esterni, esercizio dei diritti dell\u2019interessato e trasferimento dei dati a Paesi terzi. L\u2019estratto dell\u2019accordo con i punti salienti deve essere messo a disposizione dell\u2019interessato (ad es. pu\u00f2 essere inserito nell\u2019Informativa).<\/p>\n[\/et_pb_accordion_item][et_pb_accordion_item title=”6. Trattamento fra i casi da…” _builder_version=”4.17.0″ _module_preset=”default” hover_enabled=”0″ global_colors_info=”{}” open=”off” sticky_enabled=”0″]\n

    Lo EDPB, nelle Linee Guida relative alla valutazione d\u2019impatto (WP 248 rev. 01<\/a>), individua nove criteri ai fini dell\u2019identificazione dei trattamenti che possono presentare un \u201crischio elevato\u201d, mentre con il provv. 467\/2018 del Garante italiano dell\u201911 ottobre 2018 sono state elencate dodici tipologie di trattamenti per i quali si rende necessaria la DPIA<\/a>.<\/p>\n

    Prima di procedere con una Valutazione del rischio del trattamento \u00e8 quindi opportuno considerare se il trattamento effettuato rientri in uno dei dodici casi previsti dal Garante. In tal caso, infatti, una Valutazione del rischio del trattamento non sar\u00e0, a priori, sufficiente e si proceder\u00e0 direttamente con una Valutazione d’Impatto (che comunque prevede anche la valutazione del rischio). Si faccia attenzione anche al chiarimento interpretativo (nella stessa pagina sopra linkata) in merito ai trattamenti su larga scala.<\/p>\n[\/et_pb_accordion_item][et_pb_accordion_item title=”7. Esegue valutazione del r…” _builder_version=”4.17.0″ _module_preset=”default” global_colors_info=”{}” open=”off”]\n

    Ogni nuovo trattamento di dati personali pu\u00f2 presentare dei rischi per i diritti e le libert\u00e0 degli interessati; per tale ragione, in accordo con gli artt. 24, 25, e 32 del GDPR il titolare (cui ruoli e funzioni, nel CNR, vengono assunti dai Responsabili di struttura) deve sempre effettuare – per il tramite operativo del Responsabile scientifico\/attivit\u00e0 – una\u00a0valutazione\u00a0dei rischi<\/strong> per la protezione dei dati insiti nell\u2019attivit\u00e0 di trattamento. “Nel valutare l’adeguato livello di sicurezza,\u00a0si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione<\/strong>, dalla perdita<\/strong>, dalla modifica<\/strong>, dalla divulgazione non autorizzata<\/strong> o dall’accesso<\/strong>, in modo accidentale<\/strong> o illegale<\/strong>, a dati personali trasmessi, conservati o comunque trattati<\/em>” (art. 32, par. 2).\u00a0Il livello di rischio \u00e8 il prodotto della probabilit\u00e0 che l’evento accada e della gravit\u00e0 che produce (a prescindere dalle misure implementate).<\/p>\n[\/et_pb_accordion_item][et_pb_accordion_item title=”8. Rischio residuo elevato?” _builder_version=”4.17.0″ _module_preset=”default” hover_enabled=”0″ global_colors_info=”{}” open=”off” sticky_enabled=”0″]\n

    Il risultato della valutazione del rischio, condotta dal Responsabile scientifico\/attivit\u00e0, viene valutata dal Responsabile della struttura (che opera da Titolare) al fine di valutare l’adeguatezza delle misure implementate per il trattamento, con il fine di limitare al massimo la possibilit\u00e0 che le minacce si concretizzino. In particolare, se il rischio \u00e8:<\/p>\n