imagealt

Informativa Privacy

ai sensi dell'articolo 13 Regolamento (UE) 2016/679 ("GDPR")

1.Introduzione

Il Regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, in materia di protezione dei dati personali (GDPR), che ha acquistato piena efficacia il 25 maggio del 2018, è un’evoluzione e non una rivoluzione, rispetto al Codice della Privacy italiano (D.Lgs. 196/2003). Il Regolamento reca, comunque, alcune rilevanti innovazioni in tema di trattamento di dati personali, e sarà applicabile in maniera generalizzata e immediata in tutta l’Unione europea, sostituendo la Direttiva 95/46. 

Il GDPR, essendo un Regolamento, è direttamente applicabile in tutti gli Stati dell’Unione (self executing), senza bisogno di essere implementato da un’apposita norma nazionale (come è accaduto invece per la direttiva 95/46), e ciò nonostante lascia dei “margini di manovra” ai singoli Stati.

In particolare, il Legislatore nazionale potrà, con riguardo ai trattamenti di dati effettuati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento (e dunque per i trattamenti effettuati da soggetti pubblici), mantenere o introdurre norme nazionali al fine di specificare ulteriormente l’applicazione del GDPR.

 

Il 4 settembre 2018 è stato pubblicato il Decreto Legislativo 101/2018 che contiene le disposizioni per l’adeguamento della normativa nazionale al GDPR in materia di protezione dei dati personali.

 

2. Titolare del trattamento (Data Controller)

Il titolare è la persona fisica, giuridica, autorità pubblica, servizio o altro organismo che singolarmente o insieme ad altri soggetti governa finalità e mezzi dell’intero trattamento e che disciplina le attività di raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica, estrazione, consultazione, uso, comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, raffronto o interconnessione, limitazione e, infine, cancellazione o distruzione dei dati  personali. In quanto attore principale nella scena del trattamento dei dati personali è proprio in capo a tale figura che incombono tutta una serie di obblighi e responsabilità finalizzate alla protezione concreta ed efficace dei dati personali.

Il titolare del trattamento non viene designato da nessuno, né la sua qualifica di titolare deve essere formalizzata: la titolarità, in sostanza, discende dal tipo di attività svolte che sono quelle di determinare, singolarmente o insieme ad altri (in caso di contitolarità), le finalità e i mezzi del trattamento dei dati personali (così come previsto dalla definizione di cui all’art. 4 del GDPR).

Nell’ottica del principio di responsabilizzazione (accountability), a esempio, dovrà applicare correttamente le norme in materia di trattamento dei dati personali, oltre a dover individuare le misure adeguate tecniche e organizzative a presidio del corretto trattamento e, profilo non meno rilevante, essere in grado di dimostrare - a posteriori e qualora richiesto dall’Autorità di controllo - il rispetto e la conformità del trattamento dei dati personali di cui abbia la titolarità alla normativa in materia.

In ambito scolastico il Titolare del trattamento è l’Istituto Comprensivo "L. Ten. Mauriello" che manifesta la sua volontà tramite il suo rappresentante legale che è il Dirigente Scolastico dott.ssa Giovanna DE VITA.

3. Il dato personale e il suo trattamento

Nel GDPR è dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato).

 

Cosa si intende per “persona identificabile”?

La persona fisica che può essere identificata, direttamente o indirettamente, con riferimento a dati identificativi, quali il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale e infine, novità introdotta dal GDPR, anche genetica.

 

Che cosa si intende per “trattamento”?

Nel GDPR è “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto”.

Si evince pertanto che la nozione di trattamento è atta a ricomprendere qualsiasi operazione che abbia a oggetto il dato personale, sia essa singola o plurima, effettuata con strumenti informatici o con altri mezzi (ad esempio cartacei).

4. Oggetto e finalità - Base Normativa

1. Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.  

2. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali. 

3. La libera circolazione dei dati personali nell'Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.

 

In Italia, con l’art. 13 della cd. “Legge comunitaria” (L. 25 ottobre 2017, n. 1633) si è delegato il Governo a emanare uno o più decreti legislativi per l’adeguamento e l’armonizzazione della normativa nazionale al DPR. Il 4 settembre 2018 è stato pubblicato il Decreto Legislativo 101/2018 che contiene le disposizioni per l’adeguamento della normativa nazionale al GDPR in materia di protezione dei dati personali.

 

 

4.a Navigazione del Sito

https://www.icmauriello.edu.it/

 

4.b Registrazione al Sito

Non presente

4.c Attività informativa

Il GDPR dedica all’informativa gli articoli 13 e 14, indicando rispettivamente quali informazioni il titolare del trattamento debba fornire qualora i dati siano raccolti presso l’interessato e quali fornire qualora non siano stati ottenuti presso lo stesso.

Per quanto riguarda le Istituzioni scolastiche le informative accanto alle informazioni già presenti (quali i tipi di dati trattati; i riferimenti del titolare e quelli dell’eventuale rappresentante nel territorio italiano; le finalità e modalità del trattamento; le conseguenze all’eventuale rifiuto di fornire i dati personali;i diritti dell’interessato; l’eventuale responsabile del trattamento e gli eventuali destinatari dei dati personali oggetto di trattamento) devono indicarsi: I dati di contatto del Data Protection Officer; La base giuridica del trattamento; L’indicazione se sia previsto il trasferimento di dati in Paesi extra-UE (e nel caso attraverso quali strumenti); Il periodo di conservazione dei dati (o quantomeno i criteri previsti per stabilire la durata della conservazione); Il diritto di presentare reclamo all’Autorità di controllo (Garante);

 

 

 

 

 

5. Con quale modalità saranno trattati i Suoi dati personali

Il Regolamento generale sulla protezione dei dati (GDPR) delinea i 6 principi della protezione dei dati personali (all’Articolo 5) che le organizzazioni devono rispettare quando raccolgono, trattano e memorizzano i dati personali dei residenti dell’Unione Europea.

Scopriamo insieme i 6 principi e come rispettarli nella pratica.

  1. Liceità, correttezza e trasparenza

Le organizzazioni devono assicurarsi che le loro attività di raccolta dei dati personali degli utenti non infrangano la legge e che non nascondano nulla agli interessati.

Per fare ciò, è necessario mettere a disposizione del pubblico l’informativa sulla privacy, ossia un documento che spiega in maniera chiara, concisa ma completa le finalità della raccolta dei dati e come l’azienda intenda usarli. Per chi non sa da che parte iniziare, esistono dei modelli precompilati personalizzabili.

  1. Limitazione della finalità

Le aziende dovrebbero raccogliere i dati personali solamente per uno scopo preciso, scopo che va indicato in modo chiaro nell’informativa sulla privacy. Inoltre, tali dati vanno tenuti solo per il tempo necessario a completare lo scopo per cui sono stati raccolti.

Per esempio, se un’organizzazione raccoglie dati personali di coloro che intendono partecipare ad uno specifico evento, tali dati non potranno poi essere utilizzati per un’altra finalità.

  1. Minimizzazione dei dati

Le organizzazioni possono elaborare solo i dati personali necessari al raggiungimento della finalità per i quali sono trattati. Per esempio, ricollegandoci all’esempio precedente, se l’azienda ha bisogno di sapere solo nome, cognome e numero di telefono della persona che intende partecipare all’evento, è inutile che chieda anche la data ed il luogo di nascita.

  1. Esattezza

L’accuratezza dei dati personali è parte integrante della loro protezione. Il GDPR afferma che “devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti”. Gli interessati hanno il diritto di chiedere che i propri dati personali inesatti o incompleti vengano cancellati o rettificati (Articoli 16 e 17).

Una volta che il titolare o il responsabile del trattamento ha ricevuto tale richiesta da parte dell’interessato, ha 30 giorni di tempo per eseguirla. Leggi il blog GDPR: come rispondere alle richieste di accesso dei dati personali per maggiori informazioni.

  1. Limitazione della conservazione

Le organizzazioni devono eliminare i dati personali quando non sono più necessari ai propri scopi. Ma quando non sono più necessari? Ciò dipende da azienda ad azienda e da settore a settore. Meglio consultare un professionista legale per rispondere a questa domanda.

  1. Integrità e riservatezza

Il GDPR afferma che i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.

Nonostante ciò, il Regolamento è abbastanza vago sulle misure di sicurezza da implementare. Attualmente, le organizzazioni ricorrono alla crittografia e alla pseudonimizzazione dei dati dove possibile, ma potrebbero scegliere qualsiasi altra opzione disponibile più adatta ai propri scopi. Leggi il blog GDPR: Pseudonimizzazione e cifratura per maggiori informazioni.

6. A quali soggetti potranno essere comunicati i Suoi dati personali e chi può venirne a conoscenza

I dati, anche quelli sensibili, potranno essere comunicati ad altri soggetti pubblici per finalità previste dalla Normativa. I dati relativi agli esiti scolastici degli alunni verranno pubblicati mediante l’affissione all’albo della scuola secondo le vigenti disposizioni in materia.

La comunicazione verso altri soggetti della Pubblica Amministrazione o verso altri soggetti privati che forniscono servizi all’Istituzione scolastica (a titolo di esempio agenzie di viaggio e strutture per uscite didattiche, viaggi d’istruzione o altre attività esterne, società di assicurazione per gestione polizze accese dall’Istituzione scolastica, eventuali ditte fornitrici di altri servizi come mensa, software gestionali, registro elettronico, ecc.) è ammessa solo se prevista dalle vigenti disposizioni, anche in materia di trasparenza e di accesso agli atti.

Altre finalità di comunicazione non previste ai punti precedenti verranno comunicate di volta in volta e sottoposte, se dovuto, al suo esplicito consenso.

7. Trasferimento di dati personali all’esterno dell’Unione Europea

Non previsto.

8. Quali diritti Lei ha in qualità di interessato

Articolo 15 

Diritto di accesso dell’interessato

  • L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:
  • a) le finalità del trattamento;
  • b) le categorie di dati personali in questione;
  • c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
  • d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  • e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
  • f) il diritto di proporre reclamo a un’autorità di controllo;
  • g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
  • h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
  • Qualora i dati personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, l’interessato ha il diritto di essere informato dell’esistenza di garanzie adeguate ai sensi dell’articolo 46 relative al trasferimento.3. Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune.4. Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui.

 

 

Articolo 16

 Diritto di rettifica

L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

 

Articolo 17

Diritto alla cancellazione («diritto all’oblio»)

  1. L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
  2. a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
  3. b) l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;
  4. c) l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2;
  5. d) i dati personali sono stati trattati illecitamente;
  6. e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
  7. f) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1.
  8. Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.3. I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario:
  9. a) per l’esercizio del diritto alla libertà di espressione e di informazione;
  10. b) per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  11. c) per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell’articolo 9, paragrafo 2, lettere h) e i), e dell’articolo 9, paragrafo 3;
  12. d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all’articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; o
  13. e) per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

 

Articolo 18

 Diritto di limitazione di trattamento

  1. L’interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:
  2. a) l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali;
  3. b) il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;
  4. c) benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
  5. d) l’interessato si è opposto al trattamento ai sensi dell’articolo 21, paragrafo 1, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.
  6. Se il trattamento è limitato a norma del paragrafo 1, tali dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell’interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell’Unione o di uno Stato membro.3. L’interessato che ha ottenuto la limitazione del trattamento a norma del paragrafo 1 è informato dal titolare del trattamento prima che detta limitazione sia revocata.

 

Articolo 19

 Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento

Il titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate a norma dell’articolo 16, dell’articolo 17, paragrafo 1, e dell’articolo 18, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il titolare del trattamento comunica all’interessato tali destinatari qualora l’interessato lo richieda.

 

Articolo 20

Diritto alla portabilità dei dati

  1. L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora:
  2. a) il trattamento si basi sul consenso ai sensi dell’articolo 6, paragrafo 1, lettera a), o dell’articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell’articolo 6, paragrafo 1, lettera b); e
  3. b) il trattamento sia effettuato con mezzi automatizzati.
  4. Nell’esercitare i propri diritti relativamente alla portabilità dei dati a norma del paragrafo 1, l’interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile.3. L’esercizio del diritto di cui al paragrafo 1 del presente articolo lascia impregiudicato l’articolo 17. Tale diritto non si applica al trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.4. Il diritto di cui al paragrafo 1 non deve ledere i diritti e le libertà altrui.

 

 

Articolo 21

 Diritto di opposizione

  1. L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e) o f), compresa la profilazione sulla base di tali disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.2. Qualora i dati personali siano trattati per finalità di marketing diretto, l’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto.3. Qualora l’interessato si opponga al trattamento per finalità di marketing diretto, i dati personali non sono più oggetto di trattamento per tali finalità.4. Il diritto di cui ai paragrafi 1 e 2 è esplicitamente portato all’attenzione dell’interessato ed è presentato chiaramente e separatamente da qualsiasi altra informazione al più tardi al momento della prima comunicazione con l’interessato.5. Nel contesto dell’utilizzo di servizi della società dell’informazione e fatta salva la direttiva 2002/58/CE, l’interessato può esercitare il proprio diritto di opposizione con mezzi automatizzati che utilizzano specifiche tecniche.
  1. Qualora i dati personali siano trattati a fini di ricerca scientifica o storica o a fini statistici a norma dell’articolo 89, paragrafo 1, l’interessato, per motivi connessi alla sua situazione particolare, ha il diritto di opporsi al trattamento di dati personali che lo riguarda, salvo se il trattamento è necessario per l’esecuzione di un compito di interesse pubblico.

 

 

9. Come può esercitare i Suoi diritti

  • Diritti degli interessati

Gli interessati hanno il diritto:

  • Di ottenere dal Titolare, nei casi previsti, l'accesso ai dati personali (15 GDPR);
  • Di ottenere la rettifica o la cancellazione degli stessi ( 16 e 17 GDPR);
  • Di ottenere la limitazione del trattamento che li riguarda o l’opposizione al trattamento ( 18 e 19 GDPR);
  • Di ottenere il diritto alla portabilità dei dati ( 20 GDPR).

L'apposita istanza è presentata contattando il RPD ai recapiti dell’Istituto o ai contatti sopra riportati.

 

  • Diritto di reclamo

Gli interessati che ritengono che il trattamento dei dati personali a loro riferiti, effettuato attraverso il sito scolastico o altri tipi di piattaforma o modalità, avvenga in violazione di quanto previsto dal GDPR hanno il diritto di proporre reclamo al Garante, come previsto dall'art. 77 del GDPR, o di adire le opportune sedi giudiziarie (art. 79 del GDPR).

 

Contatti dell' I.C. Melito 1 Ten. L Mauriello

PEC: naic8fa00c@pec.istruzione

E-mail: naic8fa00c@istruzione.it

Tel. 081.7113462