Le presenti Frequently Asked Questions riguardano argomenti di particolare interesse relativi ai trattamenti svolti all’interno del CNR. Ulteriori informazioni possono essere reperite all’interno delle FAQ disponibili sul sito del Garante Privacy.<\/p>\n[\/et_pb_text][\/et_pb_column][\/et_pb_row][\/et_pb_section][et_pb_section fb_built=”1″ admin_label=”Registri” _builder_version=”4.16″ background_enable_image=”off” background_position=”top_left” custom_padding=”40px|0px|0px|0px||” border_width_left=”30px” border_color_left=”gcid-3a6b40e7-1c8f-4c53-842b-84f5571c4c12″ global_colors_info=”{%22gcid-3a6b40e7-1c8f-4c53-842b-84f5571c4c12%22:%91%22border_color_left%22%93}”][et_pb_row _builder_version=”4.16″ _module_preset=”default” global_colors_info=”{}”][et_pb_column type=”4_4″ _builder_version=”4.16″ _module_preset=”default” global_colors_info=”{}”][et_pb_text _builder_version=”4.17.0″ _module_preset=”default” hover_enabled=”0″ global_colors_info=”{}” sticky_enabled=”0″]\n
Quali sono i principali riferimenti regolamentari e i provvedimenti interni del CNR in materia di privacy? In particolare, definisce i seguenti ruoli:<\/p>\n Il Direttore Generale svolge funzioni di coordinamento, fornendo indicazioni di carattere generale ai Responsabili Interni, nomina il Responsabile della Protezione dei Dati e i Corrispondenti del responsabile della protezione dei dati su proposta di quest\u2019ultimo.<\/p>\n Il Provvedimento 27 del 2019 del Presidente del CNR<\/u> stabilisce \u201cCompiti e funzioni dei Responsabili interni CNR in materia di Trattamento dei dati personali\u201d, tra cui quello di nominare, per la propria struttura, un Referente Privacy “quale punto di contatto con il responsabile della protezione dei dati e con la direzione generale per l\u2019applicazione delle disposizioni in materia di protezione dei dati personali e supporto alle attivit\u00e0 di gestione degli adempimenti connessi alla protezione dei dati”.<\/p>\n Di seguito i link ai riferimenti citati: \u00a0<\/strong><\/p>\n Che differenza c\u2019\u00e8 tra Responsabile Interno ex art. 19 bis del Regolamento di Organizzazione e Funzionamento del CNR e Responsabile del trattamento ex art. 28 del Regolamento Generale sulla Protezione dei Dati (Regolamento UE 2016\/679 – GDPR)? Il Responsabile del trattamento ex art. 28 del GDPR \u00e8 un soggetto esterno al quale il Titolare\/Responsabile Interno affida uno o pi\u00f9 trattamenti (in parte o in toto) mediante un formale contratto o atto giuridicamente vincolante. Il Responsabile ex art. 28 agisce unicamente in base alle istruzioni impartite dal Titolare\/Responsabile Interno e non pu\u00f2 ricorrere a sub-responsabili senza previa autorizzazione scritta di quest\u2019ultimo.<\/p>\n <\/p>\n Quali sono gli adempimenti principali del Responsabile Interno ex art. 19bis del CNR? Tra gli adempimenti principali che il Responsabile Interno deve curare direttamente o per tramite dei suoli collaboratori, rientrano:<\/p>\n <\/p>\n Il Responsabile Interno CNR deve compilare il Registro Titolare o il Registro Responsabile? Nel Registro del Responsabile devono essere invece inseriti eventuali trattamenti per i quali finalit\u00e0 e mezzi sono definiti da soggetti esterni al CNR, effettuati dalla struttura sulla base di un contratto di affidamento o di altro atto giuridicamente vincolante (ad esempio, nell\u2019ambito di attivit\u00e0 conto terzi). Se la struttura non effettua trattamenti di questo tipo, il Registro Responsabile non deve essere compilato.<\/p>\n <\/p>\n \u00c8 obbligatorio per il Responsabile Interno CNR nominare il Referente Privacy? L\u2019esperienza mostra che il livello di aderenza alla normativa in materia di trattamento di dati personali da parte di una struttura \u00e8 fortemente correlato all\u2019efficacia dell\u2019azione del Referente Privacy.<\/p>\n <\/p>\n Una stessa persona pu\u00f2 essere nominata Referente Privacy per pi\u00f9 di una struttura? \u00a0<\/strong><\/p>\n Come si effettua l\u2019indicazione del Referente Privacy? \u00a0<\/strong><\/p>\n Come si effettua la compilazione dei Registri del Titolare e del Responsabile? I passi da eseguire sono i seguenti:<\/p>\n Se in passato era stata caricata una precedente versione del registro, questa va archiviata mediante l\u2019apposita funzione (pulsante \u201cARCHIVIA\u201d) prima di caricare quella nuova.<\/p>\n <\/p>\n Ogni quanto tempo deve essere aggiornato il Registro dei Trattamenti? In ogni caso, si consiglia la revisione dei registri almeno una volta l\u2019anno.<\/p>\n <\/p>\n Esistono clausole standard che possono essere usate nei contratti di affidamento a Responsabile Esterno ex art. 28 GDPR? Versione italiana<\/em>:<\/p>\n https:\/\/eur-lex.europa.eu\/legal-content\/IT\/TXT\/HTML\/?uri=CELEX%3A32021D0915#d1e181-18-1<\/p>\n Versione inglese<\/em>:<\/p>\n https:\/\/ec.europa.eu\/info\/law\/law-topic\/data-protection\/publications\/standard-contractual-clauses-controllers-and-processors_it<\/p>\n Un ulteriore riferimento utile per la stesura di un contratto di affidamento ai sensi dell’art. 28 del GDPR sono le “Linee guida 07\/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, adottate il 7\/7\/2021 a seguito di consultazione pubblica e accessibili tramite il seguente link:<\/p>\n https:\/\/www.edpb.europa.eu\/system\/files\/2023-10\/edpb_guidelines_202007_controllerprocessor_final_it.pdf)<\/p>\n <\/p>\n \u00c8 sempre necessario raccogliere il consenso al trattamento dei dati personali per finalit\u00e0 di ricerca scientifica? La base giuridica del consenso (art. 6 par. 1 lett. a<\/em> e art. 9, par 2 lett. a<\/em>) pu\u00f2 sempre essere utilizzata nei casi in cui ottenerlo non sia impossibile o non comporti uno sforzo sproporzionato.<\/p>\n Sussistono tuttavia delle condizioni in cui la base giuridica dei trattamenti per attivit\u00e0 di ricerca scientifica pu\u00f2 essere diversa dal consenso. In tali casi, alcuni dei quali esaminati nel seguito, sussiste comunque in capo al titolare l\u2019obbligo di compiere e documentare ogni sforzo per fornire informativa agli interessati e mettere in atto tutte le misure necessarie per tutelarne le libert\u00e0, i diritti e i legittimi interessi. \u00c8 sempre opportuno valutare attentamente questa scelta con il supporto del RPD e metterne agli atti le motivazioni.<\/p>\n Ricerca scientifica in campo medico, biomedico o epidemiologico La legge 56\/2024 ha modificato l\u2019art.\u202f110 del Codice Privacy, eliminando l\u2019obbligo di consultazione preventiva del Garante nei casi in cui non sia possibile informare gli interessati o acquisirne il consenso. In tali situazioni, la nuova disciplina \u2013 integrata dalle garanzie individuate dal Garante (Provv. n.\u202f298\/2024) \u2013 prevede che il titolare effettui e pubblichi una Valutazione di Impatto (DPIA) e ne dia comunicazione al Garante almeno dieci giorni prima dell\u2019avvio del trattamento.<\/p>\n Quindi, le condizioni per ricorrere al succitato art. 110 sono:<\/p>\n \u00c8 allo stato attuale oggetto di pareri discordanti se, in base alla nuova versione dell\u2019art. 110 del dlgs 196\/2003[1]<\/a>, trovi ancora applicazione quanto previsto dal provvedimento n. 146 del 2019 del Garante per la Protezione dei Dati Personali, che al par. 4.5, che recita:<\/p>\n \u201cIl consenso al trattamento dei dati genetici<\/strong> \u00e8 necessario per:<\/p>\n[\u2026]\n In attesa della definizione di una posizione chiara e definitiva delle autorit\u00e0 competenti e della emanazione delle annunciate nuove regole deontologiche, \u00e8 possibile in questi casi contattare l\u2019RPD per analizzare il caso specifico e valutare l\u2019ipotesi di inviare una comunicazione al Garante con ragionevole anticipo rispetto all\u2019avvio del trattamento.<\/p>\n [1]<\/a> Derivante dall\u2019approvazione del\u00a0 DDL n. 1110 di conversione in legge, con modificazioni, del D.L. n. 19\/2024, recante ulteriori disposizioni urgenti per l\u2019attuazione del piano nazionale di ripresa e resilienza (PNRR).<\/p>\n Ricorso all\u2019art. 6 par. 1 lett. e) e\/o all\u2019art. 9 par. 2 lett. g) GDPR L’utilizzo dell’interesse pubblico come base giuridica per il trattamento dei dati personali nell’ambito della ricerca scientifica \u00e8 in linea di principio possibile, ma deve essere adeguatamente giustificato e conforme a specifiche condizioni.<\/p>\n Innanzitutto, l\u2019interesse pubblico deve essere riconosciuto da una autorit\u00e0 pubblica competente. Deve esistere quindi, ad esempio, una fonte normativa che riconosce esplicitamente questo interesse pubblico oppure una linea guida, un parere o un provvedimento del Garante in merito.<\/p>\n Ad esempio, per la ricerca in campo statistico, escludendo il caso dei dati genetici, \u00e8 possibile trattare i dati personali senza il consenso dell\u2019interessato se l\u2019attivit\u00e0 rientra nel Piano Statistico Nazionale.<\/p>\n Deve essere inoltre documentato il fatto che il trattamento in oggetto rientri chiaramente nell\u2019interesse pubblico invocato e che la medesima finalit\u00e0 non possa essere perseguita in altro modo.<\/p>\n Deve essere effettuata una valutazione del rischio e, se necessario, una valutazione di impatto e devono essere adottate tutte le adeguate misure tecniche e organizzative a salvaguardia dei diritti e delle libert\u00e0 dell\u2019interessato.<\/p>\n Qualora la ricerca comporti il trattamento di dati particolari (cd. sensibili), \u00e8 necessario individuare una base giuridica idonea ai sensi dell\u2019art. 9 GDPR. Se la ricerca non pu\u00f2 basarsi sul consenso, occorre verificare che ricorrano i presupposti previsti dall\u2019art. 110 del D.Lgs. 196\/2003 oppure che sia applicabile un\u2019altra base giuridica appropriata. Questa valutazione \u00e8 essenziale per assicurare la conformit\u00e0 al GDPR e la tutela dei diritti degli interessati.<\/p>\n Si sottolinea che l\u2019interessato ha il diritto di revocare il consenso in qualsiasi momento. Se il consenso viene revocato e la base giuridica per il trattamento dei dati personali era proprio il consenso, non sar\u00e0 pi\u00f9 possibile estrarre ulteriori informazioni dai dati raccolti. Tuttavia, le informazioni gi\u00e0 estratte rimarranno valide per non alterare i risultati della ricerca.<\/p>\n Per quanto riguarda la modalit\u00e0 di raccolta del consenso, \u00e8 buona prassi ottenerlo per iscritto e conservarlo agli atti insieme alla documentazione del progetto.<\/p>\n <\/p>\n \u00c8 sempre dovuta all\u2019interessato l\u2019informativa nel caso di riuso di dati personali non conferiti direttamente dall\u2019interessato al CNR? Tuttavia, lo stesso art. 14 al par. 5 del GDPR stabilisce che l’obbligo di informare l’interessato non si applica nelle seguenti situazioni:<\/p>\n Nel caso in cui si applica la deroga all\u2019obbligo di informativa, il titolare del trattamento deve comunque adottare misure appropriate per proteggere i diritti degli interessati, come ad esempio, pubblicare l\u2019informativa tramite canali accessibili a tutti gli interessati, quali siti web, luoghi di affissione pubblici, mailing list, etc.<\/p>\n \u00a0<\/strong><\/p>\n \u00c8 possibile riutilizzare i dati personali raccolti per una ricerca scientifica per ulteriori ricerche scientifiche? In particolare, deve essere resa informativa agli interessati in merito al nuovo trattamento e deve essere ottenuto un nuovo consenso specifico, a meno che non si rientri nelle deroghe previste dal GDPR e dalla normativa nazionale (vedi domande precedenti).<\/p>\n Il nuovo trattamento deve essere inserito nel registro dei trattamenti e, se necessario, deve essere condotta una valutazione di impatto.<\/p>\n Devono essere adottate misure a tutela dei diritti e delle libert\u00e0 dell\u2019interessato quali, ad esempio, le misure di sicurezza indicate all\u2019art. 32 del GDPR.<\/p>\n <\/p>\n Un\u2019Amministrazione Pubblica che deve trattare dati personali per un interesse pubblico rilevante (es. attivit\u00e0 di ricerca scientifica) pu\u00f2 acquisirli da un\u2019altra Amministrazione Pubblica che li tratta per un diverso interesse pubblico rilevante o nell\u2019esercizio di un pubblico potere? Resta fermo l\u2019obbligo di inviare al Garante apposita preventiva comunicazione.<\/p>\n Vista la delicatezza del ricorso da questo presupposto normativo e all\u2019obbligo di comunicazione al Garante, \u00e8 sempre necessario consultare preliminarmente il Responsabile per la Protezione dei Dati.<\/p>\n L\u2019attivit\u00e0 di ricerca pu\u00f2 costituire un compito di interesse pubblico rilevante, se prevista da una norma Europea o Nazionale.<\/p>\n <\/p>\n Nell\u2019ambito della rendicontazione di un progetto, possono essere trattati e\/o trasmessi al soggetto finanziatore i cedolini dei dipendenti che partecipano al progetto? Inoltre, nel trattamento del cedolino, deve essere rispettato il principio di minimizzazione dei dati sancito dal GDPR. Pertanto, il titolare del trattamento proceder\u00e0 all\u2019oscuramento di tutti i dati non necessari ai fini della rendicontazione, ma presenti sul cedolino stesso (es. benefici assistenziali, pignoramenti, cessione del quinto, sanzioni disciplinari, ritenute sindacali, etc.).<\/p>\n <\/p>\n Cosa sono i codici di deontologia e le regole deontologiche? In particolare, i codici di deontologia<\/strong> sono insiemi di indicazioni elaborate da associazioni professionali, enti di categoria o altri organismi rappresentativi di specifici settori, ai quali i singoli o le organizzazioni decidono liberamente di attenersi. Sebbene l\u2019adesione ai codici di condotta sia un atto volontario, \u00e8 spesso fortemente consigliata e pu\u00f2 essere posta come condizione necessaria per partecipare ad una associazione o ad una specifica attivit\u00e0.<\/p>\n Le regole deontologiche<\/strong> sono specifiche linee guida emanate per settori particolari da soggetti competenti per materia (es. enti regolatori o organismi di controllo), alle quali i singoli o le organizzazioni devono attenersi.<\/p>\n Importanti riferimenti in ambito di ricerca scientifica sono le \u201cRegole deontologiche per trattamenti a fini statistici o di ricerca scientifica ai sensi degli artt. 2-quater e 106 del Codice – 9 maggio 2024\u201d (https:\/\/ https:\/\/www.garanteprivacy.it\/home\/docweb\/-\/docweb-display\/docweb\/10016146<\/a>) e il \u201cData Protection Code of Conduct for Research\u201d (https:\/\/ec.europa.eu\/info\/funding-tenders\/opportunities\/docs\/2021-2027\/horizon\/guidance\/ethics-and-data-protection_he_en.pdf<\/a>). Regole, linee guida e codici pi\u00f9 specifici possono essere disponibili per particolari tipo di ricerca o di dati.<\/p>\n Ai fini dell\u2019accountability, per dimostrare e garantire maggiormente un effettivo rispetto di regole e codici:<\/p>\n <\/p>\n Quando il trattamento di dati personali coinvolge interessati stranieri, vengono meno le prerogative in tema di protezione dei dati personali? <\/p>\n Cosa si intende per trasparenza online della P.A.? <\/p>\n Quali sono gli obblighi di pubblicazione per finalit\u00e0 di trasparenza? L\u2019obiettivo di questi obblighi \u00e8 garantire la trasparenza dell\u2019azione amministrativa e favorire il controllo diffuso da parte dei cittadini.<\/p>\n <\/p>\n L\u2019Amministrazione pu\u00f2 pubblicare qualunque dato e informazione personale per finalit\u00e0 di trasparenza? <\/p>\n Quali sono i limiti agli obblighi di pubblicazione online di atti e documenti contenenti dati personali? <\/p>\n Quali precauzioni si devono prendere quando si pubblicano online dati personali a fini di trasparenza? Nell\u2019adempimento ad obblighi di trasparenza \u00e8 necessario porre particolare attenzione alle seguenti categorie di dati, applicando l\u2019oscuramento laddove la pubblicazione non sia prevista da una specifica norma di legge:<\/p>\n Tutti i dati personali non necessari devono essere oscurati in modo effettivo ed irreversibile. Nel caso di documenti in formato PDF, pu\u00f2 non essere sufficiente apporre, tramite uno strumento di editing, una banda nera o di altro colore sul dato che si desidera oscurare. Il testo in questione, infatti, potrebbe rimanere all\u2019interno del file pdf anche se non visibile e potrebbe esserne quindi estratto. Per ovviare a questo problema, dopo aver apposto la banda sul\/sui dato\/i personale\/i non necessario\/i, \u00e8 possibile trasformare il file pdf in uno o pi\u00f9 file immagine (un file per ogni pagina, in formati quali jpeg, bmp, tiff o gif) e poi riconvertire il\/i file immagine in un unico file pdf, usando le opzioni di stampa PDF di Windows o MacOS e, nel caso di pi\u00f9 file immagine, quelle di unione di pi\u00f9 file in un unico pdf fornite da Acrobat o altro software analogo.<\/p>\n Un altro metodo \u00e8 quello di stampare il documento su carta, oscurare i dati non necessari ed effettuare una scansione salvando in formato pdf.<\/p>\n <\/p>\n
<\/strong>Il principale riferimento regolamentare interno del CNR in materia di privacy \u00e8 l’art. 19-bis del Regolamento di Organizzazione e Funzionamento (ROF)<\/u>, che stabilisce compiti e funzioni all\u2019interno dell\u2019Ente in materia di privacy.<\/p>\n\n
ROF: https:\/\/www.cnr.it\/sites\/default\/files\/public\/media\/doc_istituzionali\/Cnr_ROF_decreto_12_03_2019.pdf<\/a>
Provv. del Presidente 27\/2019: https:\/\/www.urp.cnr.it\/copertine\/ente\/ente_normativa\/ordinamento\/2019\/027.pdf<\/a><\/p>\n
<\/strong>Il Responsabile interno ex art. 19 bis del ROF svolge i compiti del Titolare CNR per quanto attiene ai trattamenti effettuati all\u2019interno della struttura che coordina. In quanto tale, decide finalit\u00e0 e mezzi di tali trattamenti.<\/p>\nAdempimenti del Responsabile Interno CNR<\/h2>\n
<\/strong>Il Responsabile Interno ex art. 19 bis del ROF svolge compiti e funzioni del Titolare per quanto attiene ai trattamenti effettuati all\u2019interno della Struttura che coordina.<\/p>\n\n
<\/strong>Il Responsabile Interno deve sicuramente compilare il Registro Titolare per tutti i trattamenti che la sua struttura effettua nell\u2019adempimento dei suoi compiti istituzionali e per i quali decide finalit\u00e0 e mezzi.<\/p>\n
<\/strong>S\u00ec. Il Referente Privacy \u00e8 una figura centrale nella gestione degli adempimenti normativi. Funge da punto di riferimento all\u2019interno della struttura e da tramite verso il RPD.<\/p>\n
<\/strong>S\u00ec. Ovviamente ciascuno dei Responsabili Interni delle strutture interessate dovr\u00e0 predisporre e firmare un apposito provvedimento, valutando adeguatamente le competenze del soggetto e l\u2019effettiva possibilit\u00e0 di svolgere i compiti assegnati, anche in relazione agli altri carichi di lavoro.<\/p>\n
<\/strong>La nomina del Referente Privacy deve essere effettuata mediante apposito provvedimento, che deve poi essere caricato nell\u2019apposita sezione della Intranet CNR (https:\/\/intranet.cnr.it<\/a>, sezione \u201cStrutture Centrali\u00e0 Gestione Strutture Centrali\u00e0Trattamento Dati Personali\u00e0Referente Tratt. Dati Pers.\u201d).<\/p>\n
<\/strong>Allo stato attuale la compilazione dei registri del Titolare e del Responsabile deve essere effettuata tramite la Intranet CNR (https:\/\/intranet.cnr.it<\/a>, sezione \u201cStrutture Centrali\u00e0 Gestione Strutture Centrali\u00e0Trattamento Dati Personali\u00e0Registro del Titolare\u201d e \u201cStrutture Centrali\u00e0 Gestione Strutture Centrali\u00e0Trattamento Dati Personali\u00e0Registro del Responsabile\u201d)<\/p>\n\n
<\/strong>Il Registro dei Trattamenti deve essere aggiornato nei seguenti casi:<\/p>\n\n
Responsabile del Trattamento ex art. 28 GDPR<\/h2>\n
<\/strong>S\u00ec. La Commissione europea, tramite la Decisione di Esecuzione (UE) 2021\/915, ha emanato clausole standard reperibili tramite i seguenti link:<\/p>\nRicerca scientifica e privacy<\/h2>\n
<\/strong>Affinch\u00e9 un trattamento di dati personali sia legittimo devono sussistere una o pi\u00f9 condizioni previste dagli articoli del GDPR n. 6 (dati comuni), 9 (dati particolari) e 10 (dati giudiziari).<\/p>\n
<\/u><\/em>L\u2019art. 110 del Dlgs 196\/2003 al paragrafo 1 prevede che \u201cIl consenso dell’interessato per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico<\/strong>, non \u00e8 necessario quando la ricerca \u00e8 effettuata in base a disposizioni di legge o di regolamento o al diritto dell’Unione europea in conformit\u00e0 all’articolo 9, paragrafo 2, lettera j), del Regolamento, ivi incluso il caso in cui la ricerca rientra in un programma di ricerca biomedica o sanitaria previsto ai sensi dell’articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502, ed \u00e8 condotta e resa pubblica una valutazione d’impatto ai sensi degli articoli 35 e 36 del Regolamento. Il consenso non \u00e8 inoltre necessario quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalit\u00e0 della ricerca. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libert\u00e0 e i legittimi interessi dell’interessato, il programma di ricerca \u00e8 oggetto di motivato parere favorevole del competente comitato etico a livello territoriale per la ricerca medica, biomedica ed epidemiologica [\u2026]\u201d<\/p>\n\n
\n
\n
<\/u><\/em>Questi articoli prevedono che sia possibile il trattamento di dati personali comuni (art. 6) e particolari (art. 9) se \u201cil trattamento \u00e8 necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui \u00e8 investito il titolare del trattamento\u201d.<\/p>\n
<\/strong>Il GDPR, all\u2019art. 14, prevede che l\u2019informativa sia resa entro un termine ragionevole anche nel caso in cui i dati non siano stati ottenuti presso l\u2019interessato, al massimo entro un mese dalla raccolta dei dati, oppure al momento della prima comunicazione all’interessato, o al momento della prima comunicazione dei dati a terzi.<\/p>\n\n
<\/strong>Il riutilizzo per ulteriori ricerche scientifiche di dati personali originariamente raccolti per altra attivit\u00e0 di ricerca scientifica \u00e8 consentito. Ci\u00f2 deve ovviamente avvenire nel rispetto della normativa europea e nazionale in materia di trattamento dei dati personali (Regolamento UE 2016\/679 – GDPR, D.lgs. 196\/2003, cos\u00ec come modificato dal D.lgs. 101\/2018).<\/p>\n
<\/strong>Premesso che l\u2019interesse pubblico rilevante deve essere stabilito dal diritto dell’Unione o dal diritto dello Stato membro cui \u00e8 soggetto il Titolare del trattamento, l\u2019art. 2 ter Dlgs 196\/2003 stabilisce che la comunicazione e l\u2019ulteriore trattamento sono consentiti in questo casi, con l\u2019esclusione delle particolari categorie di cui all’articolo 9 del GDPR e di quelli relativi a condanne penali e reati di cui all’articolo 10 del GDPR.<\/p>\n
<\/strong>Se la fonte normativa che istituisce\/regola un determinato tipo di finanziamento\/progetto stabilisce che per la rendicontazione finanziaria \u00e8 necessario produrre i cedolini dei dipendenti che hanno partecipato, il trattamento \u00e8 legittimo anche senza consenso dell\u2019interessato (vedi art. 6 comma 1 lettera b) del GDPR \u201cil trattamento \u00e8 necessario all’esecuzione di un contratto di cui l’interessato \u00e8 parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso\u201d). Rimane, tuttavia, l\u2019obbligo, da parte del titolare del trattamento di fornire l\u2019informativa all\u2019interessato.<\/p>\n
<\/strong>I codici di deontologia e le regole deontologiche stabiliscono standard di comportamento e linee guida etiche per i professionisti e le organizzazioni che trattano dati personali, assicurando che tali trattamenti avvengano in conformit\u00e0 con le normative vigenti e con principi etici condivisi e garantendo tutele adeguate per i diritti e le libert\u00e0 dell\u2019interessato.<\/p>\n\n
<\/strong>La disciplina in tema di protezione dei dati relativi alla persona trova applicazione anche in riferimento a soggetti stranieri, a prescindere dalla loro nazionalit\u00e0 o residenza.<\/p>\nTrasparenza e privacy<\/h2>\n
<\/strong>La trasparenza consiste nel rendere pubblici atti, documenti, informazioni e dati appartenenti a ogni amministrazione. Questo processo \u00e8 reso pi\u00f9 semplice e ampio grazie alla diffusione delle informazioni su Internet, principalmente attraverso la pubblicazione sui siti web istituzionali delle amministrazioni. L\u2019obiettivo principale \u00e8 favorire un controllo diffuso sull\u2019azione amministrativa, sull\u2019utilizzo delle risorse pubbliche e sulle modalit\u00e0 con cui le pubbliche amministrazioni perseguono i propri obiettivi.\u201d<\/p>\n
<\/strong>Gli obblighi di pubblicazione per finalit\u00e0 di trasparenza riguardano l\u2019organizzazione e l\u2019attivit\u00e0 dell\u2019Amministrazione. Questi obblighi sono principalmente previsti dal decreto trasparenza e includono:<\/p>\n\n
<\/strong>No. Vale la regola generale per la quale i soggetti pubblici possono diffondere dati personali solo se ci\u00f2 \u00e8 ammesso da una specifica disposizione di legge o di regolamento.<\/p>\n
<\/strong>Dopo aver accertato l\u2019obbligo di pubblicazione di un atto o di un documento sul sito web istituzionale o su altro canale predisposto per l\u2019adempimento degli obblighi di trasparenza, l\u2019Amministrazione deve verificare che contenga solo i dati personali strettamente necessari e proporzionati alla finalit\u00e0 specifica perseguita.<\/p>\n
<\/strong>Qualunque trattamento deve rispettare i principi di:<\/p>\n\n
\n