Protezione dei dati personali, privacy e riservatezza

Wikimedia Italia persegue principi di trasparenza e condivisione. Questa pagina sintetizza le limitazioni imposte dal GDPR e alcune regole di riservatezza.
Non puoi accedere a dati personali o informazioni riservate di Wikimedia Italia senza esplicita autorizzazione scritta.
Non puoi condividere dati personali e informazioni riservate di Wikimedia Italia, salvo che per gli usi consentiti.

Il Regolamento UE 2016/679 (cosiddetto GDPR) e il D. Lgs. 30.06.2003, n. 196, aggiornato al D. Lgs. 10.08.2018, n. 101 regolamentano la protezione e gestione dei dati personali e della privacy.

Dati da proteggere: dati personali e dati personali particolari (ex dati sensibili)

Con dato personale si intende "qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, tramite il nome, dati relativi all'ubicazione, un indirizzo IP o uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale".

Alcuni esempi di dati personali:

nome e cognome
codice fiscale
numero di un documento di identità
numero di telefono
data e luogo di nascita
indirizzo email (anche nome.cognomewikimedia.it è un dato personale)
indirizzo di residenza e/o domicilio
indirizzo IP
correlazione tra nickname e nome reale
sede di lavoro
coordinate bancarie
fotografie
voce
dati sulla posizione geografica
retribuzioni e informazioni legate ad assicurazione e pensione

Sono inoltre definiti dati personali particolari (ex dati sensibili) "i dati personali come l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, dati relativi alla vita sessuale o all'orientamento sessuale della persona", dati genetici, dati biometrici e dati sulla salute, quali:

origine razziale o etnica
opinioni politiche
convinzioni religiose o filosofiche
appartenenza sindacale
dati relativi alla vita sessuale o all'orientamento sessuale della persona
dati genetici
dati biometrici
dati sulla salute, incluso lo stato di gravidanza

Vi sono alcuni documenti ai quali è necessario prestare particolare attenzione. Tra questi:

contratti di lavoro o lettere di incarico
curriculum vitae
buste paga
questionari non anonimizzati
certificati di malattia
corrispondenza privata

Non sono dati personali:

indirizzi email generici (esempio: segreteriawikimedia.it)
dati anonimizzati
dati che si riferiscono a una persona giuridica (es. dati relativi ad associazioni e istituzioni)
documenti prodotti da Wikimedia Italia e dai suoi dipendenti/collaboratori/soci/volontari. Questi documenti potrebbero però contenere dati personali e/o informazioni riservate e prima di essere condivisi per ragioni diverse da quelle strettamente necessarie al funzionamento dell'associazione devono essere anonimizzati o privati dei dati personali e delle informazioni riservate

Informazioni riservate

Sono da considerarsi informazioni riservate anche alcune informazioni che non rientrano nel ventaglio dei dati personali. In particolare, sono informazioni riservate:

password e credenziali di server, caselle email e software utilizzati da Wikimedia Italia
password e credenziali delle utenze di contatto con i fornitori
altre password e credenziali consegnate a una persona che opera per conto di o in collaborazione con Wikimedia Italia
tutte le informazioni divulgate da Wikimedia Italia (o da suoi collaboratori, volontari e fornitori) e identificate al momento della divulgazione, per iscritto o oralmente, come riservate

Non sono da considerarsi informazioni riservate:

tutto il materiale prodotto da Wikimedia Italia e pubblicato con licenze libere o strumenti liberi
le informazioni tecniche relative ai software e strumenti utilizzati da Wikimedia Italia, ad eccezione di quelle classificate come riservate (vedi riquadro a sinistra)
le informazioni già pubblicate nella wikina, ad eccezione di quelle classificabili come dati personali o identificate come riservate

Come ci si deve comportare

Cosa non posso fare

accedere ad aree/informazioni a cui non si è autorizzati ad accedere
trattare i dati personali in assenza di almeno una base giuridica tra quelle previste dal GDPR (ad esempio consenso, trattamento necessario all'esecuzione di un contratto, per adempiere un obbligo legale, per il perseguimento del legittimo interesse del titolare...)
raccogliere e/o trattare dati di persone alle quali non è stata trasmessa l'informativa sul trattamento dei dati personali
condividere dati personali con persone non autorizzate al loro trattamento
inoltrare email contenenti dati personali, salvo che per ragioni necessarie al funzionamento dell'associazione (attenzione: lo stesso indirizzo email è un dato personale)
comunicare password e credenziali di accesso personali
accedere a uno strumento con lo scopo di leggere dati personali e corrispondenza privata
trattare i dati per fini personali o comunque estranei allo svolgimento delle prestazioni lavorative/di volontariato legate a Wikimedia Italia
riprodurre e/o salvare, se non per ragioni strettamente connesse all'esercizio delle proprie mansioni, i dati personali su supporti cartacei/informatici, e/o diffonderli senza il consenso di Wikimedia Italia
cancellare, manipolare, e trasferire all'esterno e/o trasmettere file, documenti, o qualsiasi altra documentazione riservata di proprietà o riconducibile all'Associazione stessa, se non per finalità strettamente attinenti allo svolgimento delle proprie mansioni (siano esse lavorative o volontarie), e ogni dato di Wikimedia Italia, inclusi tutti i dati personali in possesso del Titolare

Cosa posso fare

raccogliere dati personali solo per finalità determinate, esplicite e legittime
trattare esclusivamente i dati personali utili allo svolgimento delle mansioni assegnate (siano esse lavorative o volontarie) e per le finalità strettamente connesse alle assegnate attività
condividere documenti pubblici, prodotti da Wikimedia Italia o da terzi, se questi non contengono dati personali o informazioni riservate (in caso contrario, dati personali e informazioni personali devono essere preventivamente rimossi/oscurati)

Cosa devo fare

assicurarsi di prendere tutte le precauzioni necessarie affinché terzi non possano accedere ai dati personali a cui si ha accesso
segnalare tempestivamente, e comunque entro 24 ore dalla conoscibilità dell'evento, eventuali fughe, perdite, furti e sottrazioni di dati personali (data breach) al referente designato privacy dello staff e al titolare del trattamento
comunicare tempestivamente al referente designato privacy dello staff e al titolare del trattamento eventuale richieste da parte di terzi di revoca del consenso al trattamento dei dati o di esercizio degli altri diritti dell'interessato (richiesta di accesso ai propri dati personali, rettifica, cancellazione, opposizione al trattamento)
conservare i documenti analogici in luoghi sicuri e non accessibili a terzi in luoghi pubblici, privati e domestici
conservare file e documenti elettronici protetti da password complesse o altri sistemi di sicurezza per l'accesso
custodire con la massima diligenza ogni device contenente dati personali e informazioni riservate di Wikimedia Italia
evitare divulgazioni di informazioni in presenza di terzi che non abbiano stretta necessità di venirne a conoscenza
accertarsi con la massima accortezza, anche mediante contatto telefonico, della reale identità dell'interlocutore o del mittente/destinatario delle comunicazioni e dei messaggi contenenti dati personali e/o informazioni riservate
prestare particolare attenzione in caso di condivisione di file, inoltro di email e aggiunta di destinatari alle email: se questi file contengono dati personali e/o informazioni riservate, il destinatario deve essere autorizzato al loro trattamento
alla cessazione dei rapporti con Wikimedia Italia, o a seguito di richiesta da parte di Wikimedia Italia in qualsivoglia momento, restituire immediatamente le informazioni che si trovino in proprio possesso in qualsiasi formato e con qualsiasi modalità analogica o elettronica di conservazione, senza farne copia integrale o parziale
alla cessazione dei rapporti con Wikimedia Italia, o a seguito di richiesta da parte di Wikimedia Italia in qualsivoglia momento, distruggere ogni copia di dati personali e informazioni riservate in mio possesso – ad eccezione di quelle da restituire secondo il punto precedente – salvo disposizioni diverse da parte di Wikimedia Italia
alla cessazione dei rapporti con Wikimedia Italia, o a seguito di richiesta da parte di Wikimedia Italia in qualsivoglia momento, restituire le password e credenziali di accesso ai servizi gestiti per conto di Wikimedia Italia
osservare rigorosamente la normativa vigente in materia di protezione dei dati personali e le indicazioni di Wikimedia Italia attuali e future in materia di privacy e riservatezza

Documenti legati al GDPR

Il GDPR richiede la sottoscrizione di alcuni documenti per chi ricopre determinati ruoli o incarichi all'interno di Wikimedia Italia.

Informativa privacy, per informare l'interessato sul trattamento dei suoi dati personali da parte di Wikimedia Italia. Questo documento si rivolge all' “Interessato”, per fornire informazioni in merito al trattamento dei suoi dati personali e ai diritti esercitabili, in un linguaggio “semplice e chiaro”.

Accordo di riservatezza, stipulato al fine di garantire che le informazioni fornite da Wikimedia Italia, come ad esempio dati personali di terzi trattati da Wikimedia Italia, rimangano riservate e non vengano divulgate a terze parti.

Autorizzazione al trattamento dei dati personali, stipulato al fine di dare autorizzazione al trattamento dei dati personali di terzi, secondo i termini e le mansioni previsti dal ruolo nell'organizzazione.

È poi stato stilato un disciplinare di gestione della sicurezza delle informazioni (disciplinare tecnico) che delinea le misure di sicurezza, organizzative, fisiche e logiche definite da Wikimedia Italia per assicurare che il trattamento dei dati personali acquisiti nell'ambito delle attività dell'associazione siano gestiti nel rispetto degli obblighi previsti dalla regolamentazione europea e dalle leggi nazionali vigenti.

Terminologia

Anonimizzazione: trasformazione irreversibile dei dati personali che fa sì che le persone fisiche interessate non possano essere più identificate o identificabili
Consenso dell'interessato: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato con la quale manifesta l’assenso al trattamento dei dati personali
Data breach: violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati
Dati biometrici: dati personali relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono, o confermano, l'identificazione univoca
Dati genetici: dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute della stessa
Dati personali: qualsiasi informazione riguardante una persona fisica identificata o identificabile
Dati particolari: dati "sensibili", cioè che rivelano l'origine razziale o etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l'appartenenza sindacale oppure informazioni relative alla salute o alla vita sessuale
Dati sanitari: dati che rivelano lo stato di salute fisica o mentale di un individuo
Destinatario: persona fisica o giuridica, autorità pubblica, servizio o altro organismo che riceve comunicazione di dati personali
GDPR: Regolamento generale sulla protezione dei dati; Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati
Informativa: documento con il quale il titolare del trattamento informa i destinatari e tutti i potenziali interessati sulla modalità del trattamento dei dati e sull'applicazione di quanto previsto dalla normativa vigente in materia di privacy, sulle procedure attuate dall’ente titolare dei dati, sulla loro protezione e sicurezza e sulla finalità degli stessi
Interessato: persona fisica che può essere identificata, direttamente o indirettamente, in particolare con riferimento a un identificatore come il nome, il numero di identificazione, ecc.
Responsabile del trattamento: persona fisica o giuridica, autorità pubblica, servizio o altro organismo che tratta dati personali per conto del titolare del trattamento
Revoca del consenso: diritto dell'interessato a revocare il consenso prestato al trattamento dei propri dati personali. Si può attuare in qualsiasi momento e non pregiudica la liceità del trattamento basata sul consenso prima della revoca
Titolare del trattamento (o semplicemente Titolare): persona fisica o giuridica o altro organismo responsabile del trattamento dei dati personali e che ne determina le finalità e i mezzi. Wikimedia Italia è il titolare del trattamento
Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione

Contatti

Per qualsiasi dubbio in materia GDPR è possibile contattare i referenti all'indirizzo email segreteria@wikimedia.it.

Inoltre l’Interessato può esercitare i propri diritti rivolgendosi al Titolare Wikimedia Italia all'indirizzo e-mail segreteria@wikimedia.it oppure mediante lettera raccomandata a.r. da indirizzare alla sede legale dell’Associazione.