Protezione dei dati personali, privacy e riservatezza
Jump to navigation
Jump to search
Il Regolamento UE 2016/679 (cosiddetto GDPR) e il D. Lgs. 30.06.2003, n. 196, aggiornato al D. Lgs. 10.08.2018, n. 101 regolamentano la protezione e gestione dei dati personali e della privacy.
Dati da proteggere: dati personali e dati personali particolari (ex dati sensibili)
Con dato personale si intende "qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, tramite il nome, dati relativi all'ubicazione, un indirizzo IP o uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale".
Alcuni esempi di dati personali:
- nome e cognome
- codice fiscale
- numero di un documento di identità
- numero di telefono
- data e luogo di nascita
- indirizzo email (anche nome.cognomewikimedia.it è un dato personale)
- indirizzo di residenza e/o domicilio
- indirizzo IP
- correlazione tra nickname e nome reale
- sede di lavoro
- coordinate bancarie
- fotografie
- voce
- dati sulla posizione geografica
- retribuzioni e informazioni legate ad assicurazione e pensione
Sono inoltre definiti dati personali particolari (ex dati sensibili) "i dati personali come l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, dati relativi alla vita sessuale o all'orientamento sessuale della persona", dati genetici, dati biometrici e dati sulla salute, quali:
- origine razziale o etnica
- opinioni politiche
- convinzioni religiose o filosofiche
- appartenenza sindacale
- dati relativi alla vita sessuale o all'orientamento sessuale della persona
- dati genetici
- dati biometrici
- dati sulla salute, incluso lo stato di gravidanza
Vi sono alcuni documenti ai quali è necessario prestare particolare attenzione. Tra questi:
- contratti di lavoro o lettere di incarico
- curriculum vitae
- buste paga
- questionari non anonimizzati
- certificati di malattia
- corrispondenza privata
Non sono dati personali:
- indirizzi email generici (esempio: segreteriawikimedia.it)
- dati anonimizzati
- dati che si riferiscono a una persona giuridica (es. dati relativi ad associazioni e istituzioni)
- documenti prodotti da Wikimedia Italia e dai suoi dipendenti/collaboratori/soci/volontari. Questi documenti potrebbero però contenere dati personali e/o informazioni riservate e prima di essere condivisi per ragioni diverse da quelle strettamente necessarie al funzionamento dell'associazione devono essere anonimizzati o privati dei dati personali e delle informazioni riservate
Informazioni riservate
Sono da considerarsi informazioni riservate anche alcune informazioni che non rientrano nel ventaglio dei dati personali. In particolare, sono informazioni riservate:
- password e credenziali di server, caselle email e software utilizzati da Wikimedia Italia
- password e credenziali delle utenze di contatto con i fornitori
- altre password e credenziali consegnate a una persona che opera per conto di o in collaborazione con Wikimedia Italia
- tutte le informazioni divulgate da Wikimedia Italia (o da suoi collaboratori, volontari e fornitori) e identificate al momento della divulgazione, per iscritto o oralmente, come riservate
Non sono da considerarsi informazioni riservate:
- tutto il materiale prodotto da Wikimedia Italia e pubblicato con licenze libere o strumenti liberi
- le informazioni tecniche relative ai software e strumenti utilizzati da Wikimedia Italia, ad eccezione di quelle classificate come riservate (vedi riquadro a sinistra)
- le informazioni già pubblicate nella wikina, ad eccezione di quelle classificabili come dati personali o identificate come riservate
Come ci si deve comportare
- Cosa non posso fare
- accedere ad aree/informazioni a cui non si è autorizzati ad accedere
- trattare i dati personali in assenza di almeno una base giuridica tra quelle previste dal GDPR (ad esempio consenso, trattamento necessario all'esecuzione di un contratto, per adempiere un obbligo legale, per il perseguimento del legittimo interesse del titolare...)
- raccogliere e/o trattare dati di persone alle quali non è stata trasmessa l'informativa sul trattamento dei dati personali
- condividere dati personali con persone non autorizzate al loro trattamento
- inoltrare email contenenti dati personali, salvo che per ragioni necessarie al funzionamento dell'associazione (attenzione: lo stesso indirizzo email è un dato personale)
- comunicare password e credenziali di accesso personali
- accedere a uno strumento con lo scopo di leggere dati personali e corrispondenza privata
- trattare i dati per fini personali o comunque estranei allo svolgimento delle prestazioni lavorative/di volontariato legate a Wikimedia Italia
- riprodurre e/o salvare, se non per ragioni strettamente connesse all'esercizio delle proprie mansioni, i dati personali su supporti cartacei/informatici, e/o diffonderli senza il consenso di Wikimedia Italia
- cancellare, manipolare, e trasferire all'esterno e/o trasmettere file, documenti, o qualsiasi altra documentazione riservata di proprietà o riconducibile all'Associazione stessa, se non per finalità strettamente attinenti allo svolgimento delle proprie mansioni (siano esse lavorative o volontarie), e ogni dato di Wikimedia Italia, inclusi tutti i dati personali in possesso del Titolare
- Cosa posso fare
- raccogliere dati personali solo per finalità determinate, esplicite e legittime
- trattare esclusivamente i dati personali utili allo svolgimento delle mansioni assegnate (siano esse lavorative o volontarie) e per le finalità strettamente connesse alle assegnate attività
- condividere documenti pubblici, prodotti da Wikimedia Italia o da terzi, se questi non contengono dati personali o informazioni riservate (in caso contrario, dati personali e informazioni personali devono essere preventivamente rimossi/oscurati)
- Cosa devo fare
- assicurarsi di prendere tutte le precauzioni necessarie affinché terzi non possano accedere ai dati personali a cui si ha accesso
- segnalare tempestivamente, e comunque entro 24 ore dalla conoscibilità dell'evento, eventuali fughe, perdite, furti e sottrazioni di dati personali (data breach) al referente designato privacy dello staff e al titolare del trattamento
- comunicare tempestivamente al referente designato privacy dello staff e al titolare del trattamento eventuale richieste da parte di terzi di revoca del consenso al trattamento dei dati o di esercizio degli altri diritti dell'interessato (richiesta di accesso ai propri dati personali, rettifica, cancellazione, opposizione al trattamento)
- conservare i documenti analogici in luoghi sicuri e non accessibili a terzi in luoghi pubblici, privati e domestici
- conservare file e documenti elettronici protetti da password complesse o altri sistemi di sicurezza per l'accesso
- custodire con la massima diligenza ogni device contenente dati personali e informazioni riservate di Wikimedia Italia
- evitare divulgazioni di informazioni in presenza di terzi che non abbiano stretta necessità di venirne a conoscenza
- accertarsi con la massima accortezza, anche mediante contatto telefonico, della reale identità dell'interlocutore o del mittente/destinatario delle comunicazioni e dei messaggi contenenti dati personali e/o informazioni riservate
- prestare particolare attenzione in caso di condivisione di file, inoltro di email e aggiunta di destinatari alle email: se questi file contengono dati personali e/o informazioni riservate, il destinatario deve essere autorizzato al loro trattamento
- alla cessazione dei rapporti con Wikimedia Italia, o a seguito di richiesta da parte di Wikimedia Italia in qualsivoglia momento, restituire immediatamente le informazioni che si trovino in proprio possesso in qualsiasi formato e con qualsiasi modalità analogica o elettronica di conservazione, senza farne copia integrale o parziale
- alla cessazione dei rapporti con Wikimedia Italia, o a seguito di richiesta da parte di Wikimedia Italia in qualsivoglia momento, distruggere ogni copia di dati personali e informazioni riservate in mio possesso – ad eccezione di quelle da restituire secondo il punto precedente – salvo disposizioni diverse da parte di Wikimedia Italia
- alla cessazione dei rapporti con Wikimedia Italia, o a seguito di richiesta da parte di Wikimedia Italia in qualsivoglia momento, restituire le password e credenziali di accesso ai servizi gestiti per conto di Wikimedia Italia
- osservare rigorosamente la normativa vigente in materia di protezione dei dati personali e le indicazioni di Wikimedia Italia attuali e future in materia di privacy e riservatezza
Documenti legati al GDPR
Il GDPR richiede la sottoscrizione di alcuni documenti per chi ricopre determinati ruoli o incarichi all'interno di Wikimedia Italia.
Informativa privacy, per informare l'interessato sul trattamento dei suoi dati personali da parte di Wikimedia Italia. Questo documento si rivolge all' “Interessato”, per fornire informazioni in merito al trattamento dei suoi dati personali e ai diritti esercitabili, in un linguaggio “semplice e chiaro”.
Accordo di riservatezza, stipulato al fine di garantire che le informazioni fornite da Wikimedia Italia, come ad esempio dati personali di terzi trattati da Wikimedia Italia, rimangano riservate e non vengano divulgate a terze parti.
Autorizzazione al trattamento dei dati personali, stipulato al fine di dare autorizzazione al trattamento dei dati personali di terzi, secondo i termini e le mansioni previsti dal ruolo nell'organizzazione.
È poi stato stilato un disciplinare di gestione della sicurezza delle informazioni (disciplinare tecnico) che delinea le misure di sicurezza, organizzative, fisiche e logiche definite da Wikimedia Italia per assicurare che il trattamento dei dati personali acquisiti nell'ambito delle attività dell'associazione siano gestiti nel rispetto degli obblighi previsti dalla regolamentazione europea e dalle leggi nazionali vigenti.
Terminologia
- Anonimizzazione: trasformazione irreversibile dei dati personali che fa sì che le persone fisiche interessate non possano essere più identificate o identificabili
- Consenso dell'interessato: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato con la quale manifesta l’assenso al trattamento dei dati personali
- Data breach: violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati
- Dati biometrici: dati personali relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono, o confermano, l'identificazione univoca
- Dati genetici: dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute della stessa
- Dati personali: qualsiasi informazione riguardante una persona fisica identificata o identificabile
- Dati particolari: dati "sensibili", cioè che rivelano l'origine razziale o etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l'appartenenza sindacale oppure informazioni relative alla salute o alla vita sessuale
- Dati sanitari: dati che rivelano lo stato di salute fisica o mentale di un individuo
- Destinatario: persona fisica o giuridica, autorità pubblica, servizio o altro organismo che riceve comunicazione di dati personali
- GDPR: Regolamento generale sulla protezione dei dati; Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati
- Informativa: documento con il quale il titolare del trattamento informa i destinatari e tutti i potenziali interessati sulla modalità del trattamento dei dati e sull'applicazione di quanto previsto dalla normativa vigente in materia di privacy, sulle procedure attuate dall’ente titolare dei dati, sulla loro protezione e sicurezza e sulla finalità degli stessi
- Interessato: persona fisica che può essere identificata, direttamente o indirettamente, in particolare con riferimento a un identificatore come il nome, il numero di identificazione, ecc.
- Responsabile del trattamento: persona fisica o giuridica, autorità pubblica, servizio o altro organismo che tratta dati personali per conto del titolare del trattamento
- Revoca del consenso: diritto dell'interessato a revocare il consenso prestato al trattamento dei propri dati personali. Si può attuare in qualsiasi momento e non pregiudica la liceità del trattamento basata sul consenso prima della revoca
- Titolare del trattamento (o semplicemente Titolare): persona fisica o giuridica o altro organismo responsabile del trattamento dei dati personali e che ne determina le finalità e i mezzi. Wikimedia Italia è il titolare del trattamento
- Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione
Contatti
Per qualsiasi dubbio in materia GDPR è possibile contattare i referenti all'indirizzo email segreteria@wikimedia.it.
Inoltre l’Interessato può esercitare i propri diritti rivolgendosi al Titolare Wikimedia Italia all'indirizzo e-mail segreteria@wikimedia.it oppure mediante lettera raccomandata a.r. da indirizzare alla sede legale dell’Associazione.