Privacy & Cookies - TEATRO LA FABBRICA

Vai ai contenuti

Privacy & Cookies

Centro Culturale la Fabbrica

Privacy & Cookies

Decreto Legislativo 30 giugno 2003 n. 196, Codice in materia di protezione dei dati personali
Regolamento Generale sulla Protezione dei Dati – RGPD n. 679/2016
In ottemperanza degli obblighi derivanti dalla normativa nazionale (D. Lgs 196/2003) e comunitaria (Regolamento Europeo per la Protezione dei Dati Personali n. 679/2016, RGPD), l’azienda La Valsesiana impresa funebre fornisce le dovute informazioni in ordine alle finalità e alle modalità di trattamento, raccolta e conservazione dei dati personali e di quelli del defunto per cui si organizza il servizio funebre, nonché l’ambito di comunicazione e diffusione degli stessi, la natura dei dati di cui verremo in possesso e del loro conferimento.
Le finalità del trattamento sono di tipo gestionale in tutte le sue forme: operative, disbrigo pratiche (TULPS), contrattuali, civilistiche, fatturazione, sicurezza sul lavoro (L.81/2008), anagrafica clienti, gestione crediti.
Ai fini dell’indicato trattamento, il titolare potrà venire a conoscenza di categorie particolari di dati personali ai sensi del RGPD, quali quelli idonei a rilevare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti e/o sindacati, associazioni e/o organizzazioni a carattere religioso, filosofico, politico, culturale, lo stato di salute, recapiti telefonici, indirizzi di posta elettronica e dati finanziari.
Il trattamento dei dati potrà consistere nella loro raccolta, registrazione e conservazione e sarà effettuato solo presso l’interessato e solo in forma cartacea e ad opera di soggetti di ciò appositamente incaricati e formati.
I suoi dati e quelli del defunto, oggetto del trattamento, potranno essere in seguito comunicati ai soggetti che svolgono funzioni strettamente connesse o strumentali alla nostra attività, quali strutture sanitarie pubbliche o private, amministrazioni pubbliche, amministrazione finanziaria, autorità di Pubblica Sicurezza, attività di trasporto funebre o altre attività per servizi accessori alla fornitura, società professionali per controllo delle frodi e recupero dei crediti, studi commercialistici e professionali.
I soli dati relativi al testo dell’epigrafe/ringraziamento potranno essere utilizzati per la diffusione cartacea.
I soli dati relativi al testo dell’epigrafe/ringraziamento potranno essere pubblicati sul sito web aziendale: si precisa altresì che all’interno del sito stesso non viene fatto uso di cookies per la trasmissione di informazioni di carattere personale; sono utilizzati solo cookies di sessione e functionality cookies, necessari per l’uso stesso del sito da parte del visitatore (vedi “Privacy & Cookies” su www.teatrolafabbrica.com).
Il conferimento dei dati è per Lei obbligatorio in quanto necessario per lo svolgimento del servizio funebre di cui ci ha dato mandato e per l’assolvimento di obblighi contrattuali, contabili, fiscali, civilistici e di sicurezza sul lavoro.
Pertanto, l’eventuale rifiuto di fornire i dati o la loro comunicazione errata/parziale, ha come conseguenze emergenti l’impossibilità del titolare di garantire la congruità del trattamento stesso ai patti contrattuali per cui esso sia eseguito.
I dati personali saranno conservati per il lasso di tempo strettamente necessario al perseguimento delle specifiche finalità del trattamento per le quali l’utente ha manifestato il suo consenso e per il tempo necessario all’adempimento delle obbligazioni del mandato e, in ogni modo, non oltre 10 anni dal momento della raccolta degli stessi per adempimenti di obblighi normativi e, comunque, non oltre i termini fissati dalla legge per la prescrizione dei diritti.
Lei potrà far valere i propri diritti come espresso dall'art. 7 del Decreto Legislativo n. 196/03
e dagli art. 15, 16, 17, 18, 20, 21 e 22 del regolamento UE 679/2016, rivolgendosi al titolare del trattamento, che è il Comune di Villadossola (Vb) ,CITTA’ DI VILLADOSSOLA
PROVINCIA DEL VERBANO-CUSIO-OSSOLA
Via G. Marconi n. 21 C.A.P. 28844
Tel.: 0324/501400 Fax 0324/575097 C.F. e P.I. 00233410034 , nella figura del suo responsabile, Sig. Toscani Bruno
INFORMATIVA PRIVACY
In ottemperanza degli obblighi derivanti dalla normativa nazionale (D. Lgs 30 giugno 2003 n. 196, Codice in materia di protezione dei dati personali) e comunitaria, (Regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR) e successive modifiche, il presente sito rispetta e tutela la riservatezza dei visitatori e degli utenti, ponendo in essere ogni sforzo possibile e proporzionato per non ledere i diritti degli utenti.
La presente privacy policy si applica esclusivamente alle attività online del presente sito ed è valida per i visitatori/utenti del sito. Non si applica alle informazioni raccolte tramite canali diversi dal presente sito web. Lo scopo dell'informativa privacy è di fornire la massima trasparenza relativamente alle informazioni che il sito raccoglie e come le usa.
Base giuridica del trattamento
Il presente sito tratta i dati in base al consenso. Con l'uso o la consultazione del presente sito i visitatori e gli utenti approvano esplicitamente la presente informativa privacy e acconsentono al trattamento dei loro dati personali in relazione alle modalità e alle finalità di seguito descritte, compreso l'eventuale diffusione a terzi se necessaria per l'erogazione di un servizio.
Il conferimento dei dati e quindi il Consenso alla raccolta e al trattamento dei dati è facoltativo, l'Utente può negare il consenso, e può revocare in qualsiasi momento un consenso già fornito (tramite il link Chi siamo ). Tuttavia negare il consenso può comportare l'impossibilità di erogare alcuni servizi e l'esperienza di navigazione nel sito potrebbe essere compromessa.
A partire dal 25 maggio 2018 (data di entrata in vigore del GDPR), il presente sito tratterà alcuni dei dati in base ai legittimi interessi del titolare del trattamento.
Dati raccolti e finalità
Come tutti i siti web anche il presente sito fa uso di log files nei quali vengono conservate informazioni raccolte in maniera automatizzata durante le visite degli utenti. Le informazioni raccolte potrebbero essere le seguenti:
- indirizzo internet protocol (IP);
- tipo di browser e parametri del dispositivo usato per connettersi al sito;
- nome dell'internet service provider (ISP);
- data e orario di visita;
- pagina web di provenienza del visitatore (referral) e di uscita;
- eventualmente il numero di click.
Le suddette informazioni sono trattate in forma automatizzata e raccolte in forma esclusivamente aggregata al fine di verificare il corretto funzionamento del sito, e per motivi di sicurezza (dal 25 maggio 2018 tali informazioni saranno trattate in base ai legittimi interessi del titolare).
A fini di sicurezza (filtri antispam, firewall, rilevazione virus), i dati registrati automaticamente possono eventualmente comprendere anche dati personali come l'indirizzo Ip, che potrebbe essere utilizzato, conformemente alle leggi vigenti in materia, al fine di bloccare tentativi di danneggiamento al sito medesimo o di recare danno ad altri utenti, o comunque attività dannose o costituenti reato. Tali dati non sono mai utilizzati per l'identificazione o la profilazione dell'utente, ma solo a fini di tutela del sito e dei suoi utenti (dal 25 maggio 2018 tali informazioni saranno trattate in base ai legittimi interessi del titolare).
Qualora il sito consenta l'inserimento di commenti, oppure in caso di specifici servizi richiesti dall'utente, il sito rileva automaticamente e registra alcuni dati identificativi dell'utente, compreso l’indirizzo mail. Tali dati si intendono volontariamente forniti dall'utente al momento della richiesta di erogazione del servizio. Inserendo un commento o altra informazione l'utente accetta espressamente l'informativa privacy, e in particolare acconsente che i contenuti inseriti siano liberamente diffusi anche a terzi.
I dati ricevuti verranno utilizzati esclusivamente per l'erogazione del servizio richiesto e per il solo tempo necessario per la fornitura del servizio.
Le informazioni che gli utenti del sito riterranno di rendere pubbliche tramite i servizi e gli strumenti messi a disposizione degli stessi, sono fornite dall'utente consapevolmente e volontariamente, esentando il presente sito da qualsiasi responsabilità in merito ad eventuali violazioni delle leggi. Spetta all'utente verificare di avere i permessi per l'immissione di dati personali di terzi o di contenuti tutelati dalle norme nazionali ed internazionali.
I dati raccolti dal sito durante il suo funzionamento sono utilizzati esclusivamente per le finalità sopra indicate e conservati per il tempo strettamente necessario a svolgere le attività precisate. In ogni caso i dati rilevati dal sito non saranno forniti mai a terzi, per nessuna ragione, a meno che non si tratti di legittima richiesta da parte dell’autorità giudiziaria e nei soli casi previsti dalla legge.

I dati utilizzati a fini di sicurezza (blocco tenttivi di danneggiamento del sito) sono conservati per 7 giorni.
Luogo del trattamento
I dati raccolti dal sito sono trattati presso la sede del Titolare del Trattamento, CITTA’ DI VILLADOSSOLA PROVINCIA DEL VERBANO-CUSIO-OSSOLAVia G. Marconi n. 21 C.A.P. 28844 Tel.: 0324/501400 Fax 0324/575097 C.F. e P.I. 00233410034 e presso il datacenter del web Hosting. Il web hosting (Aruba S.p.A.Via San Clemente, 53 - 24036 Ponte San Pietro (BG) P.IVA 01573850516 - C.F.  04552920482  C.S. € 4.000.000,00 i.v.), che è responsabile del trattamento dei dati, elaborando i dati per conto del titolare, si trova nello Spazio Economico Europeo e agisce in conformità delle norme europee.
Cookie
Definizione di Cookie
Come è d'uso su tutti i siti web, anche questo sito fa uso di cookies, piccoli file di testo che consentono di conservare informazioni sulle preferenze dei visitatori, per migliorare le funzionalità del sito, per semplificarne la navigazione automatizzando le procedure (es. Login, lingua sito) e per l'analisi dell'uso del sito.
I cookie di sessione sono essenziali per poter distinguere tra gli utenti collegati, e sono utili per evitare che una funzionalità richiesta possa essere fornita all'utente sbagliato, nonché per fini di sicurezza per impedire attacchi informatici al sito. I cookie di sessione non contengono dati personali e durano per la sola sessione in corso, cioè fino alla chiusura del browser. Per essi non occorre consenso.
I functionality cookie utilizzati dal sito sono strettamente necessari per l'uso del sito, in particolare sono collegati ad una espressa richiesta di funzionalità da parte dell'utente (come il Login), per i quali non occorre alcun consenso.
Utilizzando il sito il visitatore acconsente espressamente all'uso dei cookies.
Disabilitazione cookie
I cookies sono collegati al browser utilizzato e POSSONO ESSERE DISABILITATI DIRETTAMENTE DAL BROWSER, così rifiutando/revocando il consenso all'uso dei cookies. Occorre tenere presente che la disabilitazione dei cookies potrebbe impedire il corretto utilizzo di alcune funzioni del sito stesso.
Le istruzioni per la disabilitazione dei cookies si trovano alle seguenti pagine web:

Cookies di terze parti
Il presente sito funge anche da intermediario per cookies di terze parti, utilizzati per poter fornire ulteriori servizi e funzionalità ai visitatori e per migliorare l'uso del sito stesso, come i pulsanti per i social, oppure video. Questo sito non ha alcun controllo sui cookie delle terze parti, interamente gestiti dalle terze parti. In conseguenza di ciò le informazioni sull'uso dei detti cookies e sulle finalità degli stessi, nonché sulle modalità per l'eventuale disabilitazione, sono fornite direttamente dalle terze parti alle pagine indicate di seguito.
In particolare il presente sito utilizza cookies delle seguenti terze parti:
- Google Analytics: uno strumento di analisi di Google che attraverso l'uso di cookies (performance cookies), raccoglie dati di navigazione anonimi (IP troncati all'ultimo ottetto) ed esclusivamente aggregati allo scopo di esaminare l'uso del sito da parte degli utenti, compilare report sulle attività nel sito e fornire altre informazioni, compreso il numero dei visitatori e le pagine visitate. Google può anche trasferire queste informazioni a terzi ove ciò sia imposto dalla legge o laddove tali terzi trattino le suddette informazioni per conto di Google. Google non assocerà l'indirizzo Ip a nessun altro dato posseduto da Google. I dati trasmessi a Google sono depositati presso i server di Google negli Stati Uniti.
In base a specifico accordo con Google, che è designato quale responsabile del trattamento dei dati, questi si impegna a trattare i dati in base alle richieste del Titolare (vedi in fondo all'informativa), impartite tramite le impostazioni del software. In base a tali impostazioni le opzioni pubblicitarie e di condivisione dei dati sono disattive.
Ulteriori informazioni sui cookies di Google Analytics si trovano alla pagina Google Analytics Cookie Usage on Websites.
L'utente può disabilitare in modo selettivo la raccolta di dati da parte di Google Analytics installando sul proprio browser l'apposito componente fornito da Google (opt out).
- Youtube: una piattaforma di proprietà di Google, per la condivisione di video, che utilizza cookie per raccogliere informazioni degli utenti e dei dispositivi di navigazione. I video presenti nel sito non veicolano cookie all'accesso della pagina, essendo stata impostata l'opzione "privacy avanzata (no cookie)" in base alla quale YouTube non memorizza le informazioni sui visitatori a meno che essi non riproducano volontariamente il video.
cookie: test_cookie .doubleclick.net non è un cookie permanente, ma è utilizzato per verificare se il browser dell'utente supporta i cookie.
Per ulteriori informazioni sull'uso dei dati e sul loro trattamento da parte di Google si raccomanda di prendere visione delle informazioni all'apposita pagina predisposta da Google, e alla pagina sulle Modalità di utilizzo dei dati da parte di Google quando si utilizzano siti o app dei partner.
Plugin Social Network
Il presente sito incorpora anche plugin e/o bottoni per i social network, al fine di consentire una facile condivisione dei contenuti sui vostri social network preferiti. Tali plugin sono programmati in modo da non impostare alcun cookie all'accesso della pagina, per salvaguardare la privacy degli utenti. Eventualmente i cookie vengono impostati, se così previsto dai social network, solo quando l'utente fa effettivo e volontario uso del plugin. Si tenga presente che se l'utente naviga essendo loggato nel social network allora ha già acconsentito all'uso dei cookie veicolati tramite questo sito al momento dell'iscrizione al social network.
La raccolta e l'uso delle informazioni ottenute a mezzo del plugin sono regolati dalle rispettive informative privacy dei social network, alle quali si prega di fare riferimento.
Trasferimento di dati in paesi extra UE
Il presente sito potrebbe condividere alcuni dei dati raccolti con servizi localizzati al di fuori dell'area dell'Unione Europea. In particolare con Google, Facebook e Microsoft (LinkedIn) tramite i social plugin e il servizio di Google Analytics. Il trasferimento è autorizzato in base a specifiche decisioni dell'Unione Europea e del Garante per la tutela dei dati personali, in particolare la decisione 1250/2016 (Privacy Shield - qui la pagina informativa del Garante italiano), per cui non occorre ulteriore consenso. Le aziende sopra menzionate garantiscono la propria adesione al Privacy Shield.
Misure di sicurezza
Il presente sito tratta i dati degli utenti in maniera lecita e corretta, adottando le opportune misure di sicurezza volte ad impedire accessi non autorizzati, divulgazione, modifica o distruzione non autorizzata dei dati. Il trattamento viene effettuato mediante strumenti informatici e/o telematici, con modalità organizzative e con logiche strettamente correlate alle finalità indicate. Oltre al titolare, in alcuni casi, potrebbero avere accesso ai dati categorie di incaricati coinvolti nell’organizzazione del sito (personale amministrativo, commerciale, marketing, legali, amministratori di sistema) ovvero soggetti esterni (come fornitori di servizi tecnici terzi, corrieri postali, hosting provider, società informatiche, agenzie di comunicazione).
Diritti dell'utente
Ai sensi del Regolamento europeo 679/2016 (GDPR) e della normativa nazionale, l'Utente può, secondo le modalità e nei limiti previsti dalla vigente normativa, esercitare i deguenti diritti:
- richiedere la conferma dell'esistenza di dati personali che lo riguardano (diritto di accesso);
- conoscerne l'origine;
- riceverne comunicazione intelligibile;
- avere informazioni circa la logica, le modalità e le finalità del trattamento;
- richiederne l'aggiornamento, la rettifica, l'integrazione, la cancellazione, la trasformazione in forma anonima, il blocco dei dati trattati in violazione di legge, ivi compresi quelli non più necessari al perseguimento degli scopi per i quali sono stati raccolti;
- nei casi di trattamento basato su consenso, ricevere al solo costo dell’eventuale supporto, i suoi dati forniti al titolare, in forma strutturata e leggibile da un elaboratore di dati e in un formato comunemente usato da un dispositivo elettronico;
- il diritto di presentare un reclamo all’Autorità di controllo (Garante Privacy – link alla pagina del Garante);
- nonché, più in generale, esercitare tutti i diritti che gli sono riconosciuti dalle vigenti disposizioni di legge.
Le richieste vanno rivolte al Titolare del trattamento.
Nel caso in cui i dati siano trattati in base ai legittimi interessi sono comunque garantiti i diritti degli interessati al trattamento (tranne il diritto alla portabilità che non è previsto dalle norme), in particolare il diritto di opposizione al trattamento che può essere esercitato inviando una richiesta al titolare del trattamento.
Titolare del trattamento
Titolare del trattamento ai sensi delle leggi vigenti è CITTA’ DI VILLADOSSOLA PROVINCIA DEL VERBANO-CUSIO-OSSOLA
Via G. Marconi n. 21 C.A.P. 28844 Tel.: 0324/501400 Fax 0324/575097 C.F. e P.I. 00233410034, contattabile tramite la sezione Chi siamo
Responsabile del Trattamento
Il web hosting (Aruba S.p.A.Via San Clemente, 53 - 24036 Ponte San Pietro (BG) P.IVA 01573850516 - C.F.  04552920482  C.S. € 4.000.000,00 i.v.), è nominato responsabile del trattamento, elaborando i dati per conto del titolare. Aruba S.p.A. si trova nello Spazio Economico Europeo e agisce in conformità delle norme europee (policy privacy di Aruba).
Google è nominato responsabile del trattamento, elaborando dati per conto del titolare (Google Analytics).
Aggiornamenti
La presente privacy policy è aggiornata alla data del 20 Maggio 2018

CITTA’ DI VILLADOSSOLA
PROVINCIA DEL VERBANO-CUSIO-OSSOLA
Via G. Marconi n. 21 C.A.P. 28844
Tel.: 0324/501400 Fax 0324/575097 C.F. e P.I. 00233410034
Regolamento Comunale per l’attuazione del
Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con
riguardo al trattamento dei dati personali
Art. 1 – Oggetto
Art. 2 - Titolare del trattamento
Art. 3 - Finalità del trattamento
Art. 4 - Responsabile del trattamento
Art. 5 - Responsabile della protezione dati
Art. 6 - Sicurezza del trattamento
Art. 7 - Registro delle attività di trattamento
Art. 8 - Registro delle categorie di attività trattate
Art. 9 - Valutazione d’impatto sulla protezione dei dati
Art. 10 - Violazione dei dati personali
Art. 11 - Rinvio
Art. 1
Oggetto
1. Il presente Regolamento ha per oggetto misure procedimentali e regole di dettaglio finalizzate
alla migliore funzionalità ed efficacia dell’attuazione, nel Comune di Villadossola, del Regolamento
europeo (Regolamento Generale Protezione Dati del 27 aprile 2016 n. 679 del Parlamento
Europeo e del Consiglio, di seguito indicato con “GDPR”, “General Data Protection Regulation”),
relativo alla protezione delle persone fisiche con riguardo al trattamento ed alla libera circolazione
dei dati personali.
Art. 2
Titolare del trattamento
1. Il Comune di Villadossola, rappresentato ai fini previsti dal GDPR dal Sindaco pro tempore, è il
Titolare del trattamento (di seguito indicato con “Titolare”) dei dati personali, raccolti o meno in
archivi, automatizzati o cartacei, come definiti dall’art. 4, paragrafo 1, n. 6 GDPR. Il Sindaco può
delegare alcune funzioni a Dirigente/Responsabile P.O. in possesso di adeguate competenze,
quale persona autorizzata al trattamento dati.
2. Il Titolare è responsabile del rispetto dei principi applicabili al trattamento di dati personali
stabiliti dall’art. 5 GDPR: liceità, correttezza e trasparenza; limitazione della finalità;
minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza.
3. Il Titolare mette in atto misure tecniche ed organizzative adeguate per garantire, ed essere in
grado di dimostrare, che il trattamento di dati personali è effettuato in modo conforme al GDPR
(art. 24 GDPR). Le misure sono definite fin dalla fase di progettazione e messe in atto per
applicare in modo efficace i principi di protezione dei dati e per agevolare l’esercizio dei diritti
dell’interessato stabiliti dagli articoli 15-22 GDPR, nonché le comunicazioni e le informazioni
occorrenti per il loro esercizio. Gli interventi necessari per l’attuazione delle misure sono
considerati nell’ambito della programmazione operativa (DUP), di bilancio e di Peg, previa
apposita analisi preventiva della situazione in essere, tenuto conto dei costi di attuazione, della
natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei
rischi dallo stesso derivanti, aventi probabilità e gravità diverse per i diritti e le libertà delle persone
fisiche.
4. Il Titolare adotta misure appropriate per fornire all’interessato, ovverosia la persona fisica
identificata o identificabile, le seguenti informazioni:
a) le informazioni indicate dall’art. 13 GDPR, qualora i dati personali siano raccolti presso lo
stesso interessato;
b) le informazioni indicate dall’art. 14 GDPR, qualora i dati personali non siano stati ottenuti
presso lo stesso interessato.
5. Nel caso in cui un tipo di trattamento, specie se prevede l’uso di nuove tecnologie, possa
presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare deve effettuare
una valutazione dell’impatto del trattamento sulla protezione dei dati personali (di seguito indicata
con “DPIA”, “Data Protection Impact Assessment”), ai sensi dell’art. 35 GDPR, considerando la
natura, l’oggetto, il contesto e le finalità del medesimo trattamento, tenuto conto di quanto indicato
dal successivo art. 9.
6. Il Titolare, inoltre, provvede a:
a) Designare le persone autorizzate al trattamento dei dati con deleghe speciali nelle persone dei
Dirigenti/Responsabili P.O. e dei Funzionari delle singole strutture in cui si articola l’organizzazione
comunale, che sono preposti al trattamento dei dati contenuti negli archivi esistenti nelle
articolazioni organizzative di loro competenza. Per il trattamento di dati, il Titolare può avvalersi
anche di soggetti pubblici o privati;
b) Nominare il Responsabile della protezione dei dati;
c) Nominare, quale Responsabile del trattamento, la persona fisiche o giuridica, l’autorità pubblica,
il servizio o un altro organismo affidatari di attività e servizi per conto dell’Amministrazione
comunale, relativamente alle banche dati gestite da soggetti esterni al Comune, in virtù di
convenzioni, di contratti, o di incarichi professionali, o di altri strumenti giuridici consentiti dalla
legge, per la realizzazione di attività connesse alle attività istituzionali.
7. Nel caso di esercizio associato di funzioni e servizi, nonché per i compiti la cui gestione è
affidata al Comune da enti ed organismi statali o regionali, allorché due o più titolari determinano
congiuntamente, mediante accordo, le finalità ed i mezzi del trattamento, si realizza la contitolarità
di cui all’art. 26 GDPR. L’accordo definisce le responsabilità di ciascuno in merito all’osservanza
degli obblighi in tema di privacy, con particolare riferimento all’esercizio dei diritti dell’interessato
ed alle rispettive funzioni di comunicazione delle informazioni di cui agli artt. 13 e 14 GDPR, fermo
restando eventualmente quanto stabilito dalla normativa specificatamente applicabile; l’accordo
può individuare un punto di contatto comune per gli interessati.
Il Comune favorisce l’adesione ai codici di condotta elaborati dalle associazioni e dagli organismi
di categoria rappresentativi, ovvero a meccanismi di certificazione della protezione dei dati
approvati, per contribuire alla corretta applicazione del GDPR e per dimostrarne il concreto rispetto
da parte del Titolare.
Art. 3
Finalità del trattamento
1. I trattamenti sono leciti ai sensi dell’art. 6 GDPR e sono compiuti dal Comune, per le seguenti
finalità:
a) L’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri.
Rientrano in questo ambito i trattamenti compiuti per:
- l’esercizio delle funzioni amministrative che riguardano la popolazione ed il territorio,
precipuamente nei settori organici dei servizi alla persona ed alla comunità, dell’assetto ed
utilizzazione del territorio e dello sviluppo economico;
- la gestione dei servizi elettorali, di stato civile, di anagrafe, di leva militare e di statistica;
- l’esercizio di ulteriori funzioni amministrative per servizi di competenza statale, affidate al
Comune in base alla vigente legislazione.
La finalità del trattamento è stabilita dalla fonte normativa che lo disciplina.
b) L’adempimento di un obbligo legale al quale è soggetto il Comune. La finalità del trattamento è
stabilita dalla fonte normativa che lo disciplina.
c) L’esecuzione di un contratto con soggetti interessati.
d) Specifiche finalità diverse da quelle di cui ai precedenti punti, purché l’interessato esprima il
consenso al trattamento.
Art. 4
Responsabile del trattamento
1. Il Titolare può avvalersi, per il trattamento di dati, anche particolari ai sensi dell’art. 9 GDPR, di
persone fisiche o giuridiche, autorità pubbliche, servizi o altri organismi, che, in qualità di
Responsabili del trattamento (art. 28 GDPR), forniscano garanzie sufficienti in termini di
conoscenza specialistica, esperienza, capacità ed affidabilità, per mettere in atto le misure
tecniche e organizzative di cui all’art. 6 rivolte a garantire che i trattamenti siano effettuati in
conformità al GDPR, stipulando atti giuridici in forma scritta, che specificano la finalità perseguita,
la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento
e le modalità di trattamento.
2. Gli atti che disciplinano il rapporto tra il Titolare ed il Responsabile del trattamento devono in
particolare contenere quanto previsto dall’art. 28, paragrafo 3, GDPR; tali atti possono anche
basarsi su clausole contrattuali tipo adottate dal Garante per la protezione dei dati personali,
oppure dalla Commissione europea.
3. È consentita, ex art. 28, paragrafi 2 e 4 GDPR, la nomina di sub-responsabili da parte di
ciascun Responsabile del trattamento per specifiche attività di trattamento, nel rispetto degli stessi
obblighi contrattuali, ex art. 28, paragrafo 3 GDPR, che legano il Titolare ed il Responsabile
primario, previa autorizzazione scritta, specifica o generale del Titolare stesso.
Il Responsabile risponde, anche dinanzi al Titolare, dell’operato del sub-responsabile anche ai fini
del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l’evento dannoso
non gli è in alcun modo imputabile e che ha vigilato adeguatamente sull’operato del subresponsabile.
4. Il Responsabile del trattamento garantisce che chiunque agisca sotto la sua autorità ed abbia
accesso a dati personali sia in possesso di apposita formazione ed istruzione e si sia impegnato
alla riservatezza od abbia un adeguato obbligo legale di riservatezza (art. 29 GDPR).
5. Il Responsabile del trattamento dei dati provvede, per il proprio ambito di competenza, a tutte le
attività previste dalla legge e a tutti i compiti affidatigli dal Titolare, analiticamente specificati per
iscritto nell’atto di designazione, ed in particolare provvede:
- alla tenuta del registro delle categorie di attività di trattamento svolte per conto del Titolare (art.
30, paragrafo 2, GDPR);
- all’adozione di idonee misure tecniche e organizzative adeguate per garantire la sicurezza dei
trattamenti (art. 32 GDPR);
- all’istruzione e alla formazione del personale che partecipa ai trattamenti ed alle connesse
attività di controllo (art. 29 GDPR);
- alla designazione del Responsabile per la Protezione dei Dati (DPO), qualora sia necessario ai
sensi dell’art. 37 GDPR;
- ad assistere il Titolare nella “DPIA”, fornendo allo stesso ogni informazione di cui è in possesso
(artt. 35-36 GDPR);
- ad informare il Titolare, senza ingiustificato ritardo, della conoscenza di casi di violazione dei
dati personali (cd. “data breach”), per la successiva notifica della violazione al Garante Privacy,
nel caso in cui il Titolare stesso ritenga probabile che dalla violazione dei dati possano derivare
rischi per i diritti e le libertà degli interessati (art. 33 GDPR).
Art. 5
Responsabile della protezione dati
1. Il Responsabile della protezione dei dati (in seguito indicato con “DPO” Data Protection Officer),
ai sensi dell’art. 37 GDPR, è designato, con apposito atto, in funzione delle qualità professionali
ed, in particolare, della conoscenza specialistica della normativa e delle prassi in materia di
protezione dei dati personali.
2. Il DPO è incaricato dei seguenti compiti ex art. 39 GDPR:
a) informare e fornire consulenza al Titolare e/o al Responsabile del trattamento, nonché ai
dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR e dalle altre
normative relative alla protezione dei dati. In tal senso, il DPO può indicare al Titolare e/o al
Responsabile del trattamento:
- i settori funzionali ai quali riservare un audit interno o esterno in tema di protezione dei dati,
- le attività di formazione interna per i dipendenti che trattano dati personali,
- i trattamenti ai quali dedicare maggiori risorse e tempo in relazione al rischio riscontrato;
b) sorvegliare l’osservanza del GDPR e delle altre normative relative alla protezione dei dati,
ferme restando le responsabilità del Titolare e del Responsabile del trattamento. Fanno parte di
questi compiti, la raccolta di informazioni per individuare i trattamenti svolti: l’analisi e la verifica dei
trattamenti in termini di loro conformità, l’attività di informazione, consulenza e indirizzo nei
confronti del Titolare e del Responsabile del trattamento;
c) sorvegliare sulle attribuzioni delle responsabilità, sulle attività di sensibilizzazione, formazione e
controllo poste in essere dal Titolare e dal Responsabile del trattamento;
d) fornire, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati
(DPIA) e sorvegliarne lo svolgimento. Il Titolare, in particolare, si consulta con il DPO sulle
seguenti questioni:
- se condurre o meno una DPIA;
- quale metodologia adottare nel condurre una DPIA;
- se condurre la DPIA con le risorse interne ovvero esternalizzandola;
- quali salvaguardie applicare, comprese misure tecniche e organizzative, per attenuare i rischi
delle persone interessate;
- se la DPIA sia stata condotta correttamente o meno,
- se le conclusioni raggiunte (procedere o meno con il trattamento e quali salvaguardie applicare)
siano conformi al GDPR;
e) cooperare con il Garante per la protezione dei dati personali e fungere da punto di contatto per
detta Autorità per questioni connesse al trattamento, tra cui la consultazione preventiva di cui
all’art. 36 GDPR, ed effettuare, se del caso, consultazioni relativamente a ogni altra questione. A
tali fini, il nominativo del DPO è comunicato dal Titolare e/o dal Responsabile del trattamento al
Garante;
f) altri compiti e funzioni, a condizione che il Titolare o il Responsabile del trattamento si siano
assicurati che non venga dato adito a un conflitto di interessi. L’assenza di conflitti di interessi è
strettamente connessa agli obblighi di indipendenza del DPO.
3. Il Titolare ed il Responsabile del trattamento assicurano che il DPO sia tempestivamente e
adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali. A tal fine:
- il DPO è invitato a partecipare alle riunioni di coordinamento dei Dirigenti/Responsabili P.O. che
abbiano per oggetto questioni inerenti alla protezione dei dati personali;
- il DPO deve disporre tempestivamente di tutte le informazioni pertinenti alle decisioni che
impattano sulla protezione dei dati, in modo da poter rendere una consulenza idonea, scritta od
orale;
- il parere del DPO sulle decisioni che impattano sulla protezione dei dati è obbligatorio, ma non
vincolante. Nel caso in cui la decisione assunta dal Titolare determini condotte difformi da quelle
raccomandate dal DPO, è necessario che essa sia specificamente motivata;
- il DPO deve essere consultato tempestivamente qualora si verifichi una violazione dei dati o un
altro incidente.
3. Nello svolgimento dei compiti affidatigli, il DPO deve debitamente considerare i rischi inerenti al
trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del
medesimo. In tal senso il DPO:
a) procede ad una mappatura delle aree di attività, valutandone il grado di rischio in termini di
protezione dei dati;
b) definisce un ordine di priorità nell’attività da svolgere - ovverosia un piano annuale di attività -
incentrandola sulle aree di attività che presentano maggiori rischi in termini di protezione dei dati,
da comunicare al Titolare ed al Responsabile del trattamento.
4. Il DPO dispone di autonomia e risorse sufficienti a svolgere in modo efficace i compiti attribuiti,
tenuto conto delle dimensioni organizzative e delle capacità di bilancio dell’Ente.
5. La figura di DPO è incompatibile con chi determina le finalità od i mezzi del trattamento.
6. Il Titolare ed il Responsabile del trattamento forniscono al DPO le risorse necessarie per
assolvere i compiti attribuiti e per accedere ai dati personali ed ai trattamenti. In particolare, è
assicurato al DPO:
- supporto attivo per lo svolgimento dei compiti, da parte dei Dirigenti/Responsabili P.O. e della
Giunta comunale, anche considerando l’attuazione delle attività necessarie per la protezione dati
nell’ambito della programmazione operativa (DUP), di bilancio, di Peg e di Piano della
performance;
- tempo sufficiente per l’espletamento dei suoi compiti;
- supporto adeguato in termini di risorse finanziarie, infrastrutture (sede, attrezzature,
strumentazione) e, ove opportuno, personale, ufficio o gruppo di lavoro DPO (formato dal DPO
stesso e dal rispettivo personale);
- comunicazione ufficiale della nomina a tutto il personale, in modo da garantire che la sua
presenza e le sue funzioni siano note all’interno dell’Ente;
- accesso garantito ai settori funzionali dell’Ente, così da fornirgli supporto, informazioni e input
essenziali.
7. Il DPO opera in posizione di autonomia nello svolgimento dei compiti attribuitigli; in particolare,
non deve ricevere istruzioni sulla loro attuazione, né sull’interpretazione e risoluzione di una
specifica questione attinente alla normativa sulla protezione dei dati.
Il DPO non può essere rimosso o penalizzato dal Titolare e dal Responsabile del trattamento per
l’adempimento dei propri compiti.
Ferma restando l’indipendenza nello svolgimento di detti compiti, il DPO riferisce direttamente al
Titolare (Sindaco o suo delegato).
Nel caso in cui siano rilevate dal DPO, o sottoposte alla sua attenzione, decisioni incompatibili con
il GDPR e con le indicazioni fornite dal medesimo, è tenuto a manifestare il proprio dissenso,
comunicandolo al Titolare ed al Responsabile del trattamento.
Art. 6
Sicurezza del trattamento
1. Il Comune di Villadossola mette in atto misure tecniche ed organizzative adeguate per garantire
un livello di sicurezza adeguato al rischio tenendo conto dello stato dell’arte e dei costi di
attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del
trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle
persone fisiche.
2. Le misure tecniche ed organizzative di sicurezza da mettere in atto per ridurre i rischi del
trattamento ricomprendono ai sensi dell’art. 32 GDPR: la pseudonimizzazione; la minimizzazione;
la cifratura dei dati personali; la capacità di assicurare la continua riservatezza, integrità,
disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; la capacità di
ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e
organizzative al fine di garantire la sicurezza del trattamento.
3. Costituiscono misure tecniche ed organizzative che possono essere adottate:
- sistemi di autenticazione; sistemi di autorizzazione; sistemi di protezione (antivirus; firewall;
antintrusione; altro);
- misure antincendio; sistemi di rilevazione di intrusione; sistemi di sorveglianza; sistemi di
protezione con videosorveglianza; registrazione accessi; porte, armadi e contenitori dotati di
serrature e ignifughi; sistemi di copiatura e conservazione di archivi elettronici; altre misure per
ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o
tecnico.
4. Il Comune di Villadossola si obbliga ad impartire adeguate istruzioni sul rispetto delle predette
misure a chiunque agisca per suo conto ed abbia accesso a dati personali.
I nominativi ed i dati di contatto del Titolare e del Responsabile della protezione dati sono
pubblicati sul sito istituzionale del Comune, nella sezione Amministrazione trasparente e nella
sezione “privacy”.
Fino alla eventuale futura modifica/sostituzione/abrogazione del D.Lgs. 196/2003, restano in vigore
le misure di sicurezza attualmente previste per i trattamenti di dati sensibili per finalità di rilevante
interesse pubblico nel rispetto degli specifici regolamenti attuativi (ex artt. 20 e 22, D.Lgs. n.
193/2006).
Art. 7
Registro delle attività di trattamento
1. Il Registro delle attività di trattamento svolte dal Titolare del trattamento reca, ai sensi dell’art.
30 GDPR, almeno le seguenti informazioni:
a) il nome ed i dati di contatto del Comune, eventualmente del Contitolare del trattamento, del
DPO;
b) le finalità del trattamento;
c) la sintetica descrizione delle categorie di interessati, nonché le categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
e) l’eventuale trasferimento di dati personali verso un paese terzo od una organizzazione
internazionale;
f) ove stabiliti, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) il richiamo alle misure di sicurezza tecniche ed organizzative del trattamento adottate, come da
precedente art.6.
3. Il Registro è tenuto dal Titolare, ovvero dal soggetto dallo stesso delegato ai sensi del
precedente art. 2, presso gli uffici della struttura organizzativa del Comune, in forma
telematica/cartacea; nello stesso Registro, possono essere inserite ulteriori informazioni tenuto
conto delle dimensioni organizzative dell’Ente.
Il Titolare può decidere di tenere un Registro unico dei trattamenti che contiene le informazioni di
cui ai commi precedenti e quelle di cui al successivo art. 8, sostituendo entrambe le tipologie di
registro dagli stessi disciplinati.
Art. 8
Registro delle categorie di attività trattate
1. Il Registro delle categorie di attività trattate dal Comune di Villadossola nel ruolo di
Responsabile del trattamento per conto di un diverso titolare reca le seguenti informazioni:
a) il nome ed i dati di contatto del Responsabile del trattamento, di ogni titolare del trattamento per
conto del quale agisce e del DPO;
b) le categorie di trattamenti effettuati: raccolta, registrazione, organizzazione, strutturazione,
conservazione, adattamento o modifica, estrazione, consultazione, uso, comunicazione, raffronto,
interconnessione, limitazione, cancellazione, distruzione, profilazione, pseudonimizzazione, ogni
altra operazione applicata a dati personali;
c) l’eventuale trasferimento di dati personali verso un paese terzo od una organizzazione
internazionale;
d) il richiamo alle misure di sicurezza tecniche ed organizzative del trattamento adottate, come da
precedente art.6.
Art. 9
Valutazioni d’impatto sulla protezione dei dati
1. Nel caso in cui un tipo di trattamento, specie se prevede l’uso di nuove tecnologie, possa
presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare, prima di
effettuare il trattamento, deve attuare una valutazione dell’impatto del medesimo (DPIA) ai sensi
dell’art. 35 GDPR, considerati la natura, l’oggetto, il contesto e le finalità dello stesso trattamento.
La DPIA è una procedura che permette di realizzare e dimostrare la conformità alle norme del
trattamento di cui trattasi.
2. La DPIA è effettuata in presenza di un rischio elevato per i diritti e le libertà delle persone
fisiche. Fermo restando quanto indicato dall’art. 35, paragrafo 3, GDPR, i criteri in base ai quali
sono evidenziati i trattamenti determinanti un rischio intrinsecamente elevato sono, secondo le
Linee Guida in materia del WP 29 (Gruppo di Lavoro ex articolo 29), i seguenti:
a) trattamenti valutativi o di scoring, compresa la profilazione e attività predittive, concernenti
aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o
gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti
dell’interessato;
b) decisioni automatizzate che producono significativi effetti giuridici o di analoga natura, ossia
trattamenti finalizzati ad assumere decisioni su interessati che producano effetti giuridici sulla
persona fisica ovvero che incidono in modo analogo significativamente su dette persone fisiche;
c) monitoraggio sistematico, ossia trattamenti utilizzati per osservare, monitorare o controllare gli
interessati, compresa la raccolta di dati attraverso reti o la sorveglianza sistematica di un’area
accessibile al pubblico;
d) le categorie di dati personali particolari e giudiziari di cui agli artt. 9 e 10 GDPR, qualora siano
trattate su larga scala, tenendo conto: del numero di soggetti interessati dal trattamento, in termini
numerici o di percentuale rispetto alla popolazione di riferimento; volume dei dati e/o ambito delle
diverse tipologie di dati oggetto di trattamento; durata o persistenza dell’attività di trattamento;
ambito geografico dell’attività di trattamento;
f) combinazione o raffronto di insiemi di dati, secondo modalità che esulano dalle ragionevoli
aspettative dell’interessato;
g) dati relativi a interessati vulnerabili, ossia ogni interessato particolarmente vulnerabile e
meritevole di specifica tutela per il quale si possa identificare una situazione di disequilibrio nel
rapporto con il Titolare del trattamento, come i dipendenti dell’Ente, soggetti con patologie
psichiatriche, richiedenti asilo, pazienti, anziani e minori;
h) utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative;
i) tutti quei trattamenti che, di per sé, impediscono agli interessati di esercitare un diritto o di
avvalersi di un servizio o di un contratto.
Nel caso in cui un trattamento soddisfi almeno due dei criteri sopra indicati, occorre, in via
generale, condurre una DPIA, salvo che il Titolare ritenga motivatamente che non può presentare
un rischio elevato; il Titolare può motivatamente ritenere che per un trattamento che soddisfa solo
uno dei criteri di cui sopra occorra comunque la conduzione di una DPIA.
4. Il Titolare garantisce l’effettuazione della DPIA ed è responsabile della stessa. Il Titolare può
affidare la conduzione materiale della DPIA ad un altro soggetto, interno o esterno al Comune. Il
Titolare deve sempre consultarsi con il DPO, che monitora lo svolgimento della DPIA. La
consultazione dev’essere effettuata anche per assumere la decisione se compiere o meno la
DPIA; tali consultazione e conseguente decisione devono essere documentate nell’ambito della
DPIA. Il responsabile della sicurezza dei sistemi informativi, se nominato, e/o l’ufficio competente
per detti sistemi, forniscono supporto al Titolare per lo svolgimento della DPIA.
5. Il DPO può proporre lo svolgimento di una DPIA in rapporto a uno specifico trattamento,
collaborando al fine di mettere a punto la relativa metodologia, definire la qualità del processo di
valutazione del rischio e l’accettabilità o meno del livello di rischio residuale. Il responsabile della
sicurezza dei sistemi informativi, se nominato, e/o l’ufficio competente per detti sistemi, possono
proporre di condurre una DPIA in relazione a uno specifico trattamento, con riguardo alle esigenze
di sicurezza od operative.
6. La DPIA non è necessaria nei casi seguenti:
- se il trattamento non può comportare un rischio elevato per i diritti e le libertà di persone fisiche ai
sensi dell’art. 35, paragrafo 1, GDPR;
- se la natura, l’ambito, il contesto e le finalità del trattamento sono simili a quelli di un trattamento
per il quale è già stata condotta una DPIA; in questo caso, si possono utilizzare i risultati della
DPIA svolta per l’analogo trattamento;
- se il trattamento è stato sottoposto a verifica da parte del Garante Privacy prima del maggio 2018
in condizioni specifiche che non hanno subito modifiche;
- se un trattamento trova la propria base legale nella vigente legislazione che disciplina lo specifico
trattamento ed è già stata condotta una DPIA all’atto della definizione della base giuridica
suddetta.
- se taluni trattamenti siano già stati oggetto di verifica preliminare da parte del Garante della
Privacy o di un DPO e continuino ad essere condotti con le stesse modalità oggetto di tale verifica;
a questo proposito, occorre tener conto che le autorizzazioni del Garante Privacy basate sulla
direttiva 95/46/CE rimangono in vigore fino a quando non vengono modificate, sostituite od
abrogate.
7. La DPIA è condotta, prima di dar luogo al trattamento, attraverso i seguenti processi:
a) descrizione sistematica del contesto, dei trattamenti previsti, delle finalità del trattamento, dei
dati personali oggetto del trattamento, dei destinatari e del periodo previsto di conservazione dei
dati stessi; una descrizione funzionale del trattamento; descrizione degli strumenti coinvolti nel
trattamento dei dati personali (hardware, software, reti, persone, supporti cartacei o canali di
trasmissione cartacei);
b) valutazione della necessità e proporzionalità dei trattamenti, sulla base:
- delle finalità specifiche, esplicite e legittime;
- della liceità del trattamento;
- dei dati adeguati, pertinenti e limitati a quanto necessario;
- del periodo limitato di conservazione;
- delle informazioni fornite agli interessati;
- del diritto di accesso e portabilità dei dati;
- del diritto di rettifica e cancellazione, di opposizione e limitazione del trattamento;
- dei rapporti con i responsabili del trattamento;
- delle garanzie per i trasferimenti internazionali di dati;
- della consultazione preventiva del Garante privacy;
c) valutazione dei rischi per i diritti e le libertà degli interessati, valutando la particolare probabilità
e gravità dei rischi rilevati. Sono determinati l’origine, la natura, la particolarità e la gravità dei
rischi o, in modo più specifico, di ogni singolo rischio (accesso illegittimo, modifiche indesiderate,
indisponibilità dei dati) dal punto di vista degli interessati;
d) individuazione delle misure previste per affrontare ed attenuare i rischi, assicurare la protezione
dei dati personali e dimostrare la conformità del trattamento con il GDPR, tenuto conto dei diritti e
degli interessi legittimi degli interessati e delle altre persone in questione.
8. Il Titolare può raccogliere le opinioni degli interessati o dei loro rappresentanti, se gli stessi
possono essere preventivamente individuati. La mancata consultazione è specificatamente
motivata, così come la decisione assunta in senso difforme dall’opinione degli interessati.
9. Il Titolare, ai sensi dell’art. 36 GDPR, deve consultare il Garante Privacy prima di procedere al
trattamento, se le risultanze della DPIA condotta indicano l’esistenza di un rischio residuale
elevato. Il Titolare consulta il Garante Privacy anche nei casi in cui la vigente legislazione
stabilisce l’obbligo di consultare e/o ottenere la previa autorizzazione della medesima autorità, per
trattamenti svolti per l’esecuzione di compiti di interesse pubblico, fra cui i trattamenti connessi alla
protezione sociale ed alla sanità pubblica. La DPIA deve essere effettuata - con eventuale riesame
delle valutazioni condotte - anche per i trattamenti in corso che possano presentare un rischio
elevato per i diritti e le libertà delle persone fisiche, nel caso in cui siano intervenute variazioni dei
rischi originari, tenuto conto della natura, dell’ambito, del contesto e delle finalità del medesimo
trattamento.
Art. 10
Violazione dei dati personali
1. Per violazione dei dati personali (in seguito “data breach”), conformemente all’art. 33 GDPR, si
intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la
perdita, la modifica, la divulgazione non autorizzata o l’accesso non autorizzato ai dati personali
trasmessi, conservati o comunque trattati dal Comune.
2. Il Titolare, ove ritenga probabile che dalla violazione dei dati possano derivare rischi per i diritti
e le libertà degli interessati, provvede alla notifica della violazione al Garante Privacy. La notifica
dovrà avvenire senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento
dell’avvenuta conoscenza.
3. Il Responsabile del trattamento è obbligato ad informare il Titolare, senza ingiustificato ritardo,
dopo essere venuto a conoscenza della violazione.
4. I principali rischi per i diritti e le libertà degli interessati conseguenti ad una violazione, in
conformità al considerando 75 del GDPR, sono i seguenti:
- danni fisici, materiali o immateriali alle persone fisiche;
- perdita del controllo dei dati personali;
- limitazione dei diritti, discriminazione;
- furto o usurpazione d’identità;
- perdite finanziarie, danno economico o sociale.
- decifratura non autorizzata della pseudonomizzazione;
- pregiudizio alla reputazione;
- perdita di riservatezza dei dati personali protetti da segreto professionale (sanitari,
giudiziari).
5. Se il Titolare ritiene elevato il rischio per i diritti e le libertà degli interessati derivato dalla
violazione, deve informare questi ultimi, senza ingiustificato ritardo, con un linguaggio semplice e
chiaro, al fine consentire loro la comprensione della natura della violazione dei dati personali
verificatasi. I rischi per i diritti e le libertà degli interessati possono essere considerati “elevati”
quando la violazione può, a titolo esemplificativo:
- coinvolgere un rilevante quantitativo di dati personali e/o di soggetti interessati;
- riguardare categorie particolari di dati personali;
- comprendere dati che possono accrescere ulteriormente i potenziali rischi (ad esempio,
dati di localizzazione, finanziari, relativi alle abitudini e preferenze);
- comportare rischi imminenti e con un’elevata probabilità di accadimento (ad esempio, rischio di
perdita finanziaria in caso di furto di dati relativi a carte di credito);
- impattare su soggetti che possono essere considerati vulnerabili per le loro condizioni (ad
esempio utenti deboli, minori, soggetti indagati).
5. La notifica deve avere il contenuto minimo previsto dall’art. 33 GDPR; la comunicazione
all’interessato deve contenere almeno le informazioni e le misure di cui al citato art. 33 GDPR,
come richiamato dall’art. 34, paragrafo 2, GDPR.
Il Titolare deve opportunamente documentare le violazioni di dati personali subite, anche se non
comunicate alle autorità di controllo, nonché le circostanze ad esse relative, le conseguenze e i
provvedimenti adottati o che intende adottare per porvi rimedio. Tale documentazione deve essere
conservata con la massima cura e diligenza, al fine di essere esibita al Garante Privacy, qualora la
richieda per verificare il rispetto delle disposizioni del GDPR.
Art. 11
Rinvio
Per tutto quanto non espressamente disciplinato con il presente Regolamento Comunale, si
applicano le disposizioni del GDPR e tutte le sue norme attuative emanate ed emanande.

Torna ai contenuti