GDPR è l’acronimo di General Data Protection Regulation, Regolamento UE 679/2016 emanato dal Parlamento Europeo il 27 aprile 2016 e relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

L’art. 4, par. 1 del GDPR definisce dato personale come “qualsiasi informazione riguardante una persona fisica identificata o identificabile (c.d. interessato); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

La protezione dei dati personali è un diritto sancito dalla Carta dei diritti fondamentali dell’Unione europea (art. 8) e il rispetto di tale diritto implica la difesa delle persone dai rischi che i propri diritti e libertà possano essere violati a causa di un uso improprio dei dati.

Il Regolamento UE 2016/679 sulla protezione dei dati personali (GDPR) stabilisce quale principio fondante della protezione dati l’accountability (responsabilizzazione), cioè il dovere – da parte di chi tratta i dati personali – di mettere in atto misure adeguate ed efficaci a proteggere i diritti delle persone e di poter sempre dimostrare che l’uso dei dati personali sia conforme alle regole del GDPR.

Il GDPR stabilisce inoltre che ogni trattamento deve prevedere una progettazione delle misure di tutela dei dati personali fin dal principio del trattamento (e non a posteriori) e, in ogni caso, come impostazione predefinita: si parla infatti di privacy by design e privacy by default.

Perché la protezione dei dati personali rispetti tutto questo, il regolamento europeo sancisce i principi che ogni trattamento deve sempre osservare:

• liceità, correttezza e trasparenza: i dati devono essere usati in modo lecito, corretto e trasparente nei confronti dell’interessato. L’informativa sul trattamento dei dati personali è lo strumento che garantisce la trasparenza;
• limitazione della finalità: è possibile raccogliere dati personali solo per scopi precisi e dichiarati attraverso l’informativa e non per altri diversi o ulteriori;
• minimizzazione dei dati: i dati raccolti devono essere limitati a quanto necessario rispetto alle finalità dichiarate nell’informativa, senza mai eccedere in termini di quantità e qualità, anche laddove il fine è quello della ricerca scientifica;
• esattezza: i dati raccolti devono essere corretti, se necessario aggiornati e cancellati quando non più necessari;
• limitazione della conservazione: i dati possono essere conservati in una forma che consenta l’identificazione degli interessati solo per il tempo necessario al conseguimento delle finalità;
• integrità e riservatezza: è necessario garantire sempre la sicurezza dei dati personali, proteggendoli da usi non autorizzati o illeciti e dalla perdita, distruzione o danno accidentale.

L’art. 9, par. 1 del GDPR definisce le “categorie particolari di dati personali” come i dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

Si trattano dati personali quando, nell’ambito di un’attività di consulenza o di ricerca, si raccolgono, archiviano, modificano, comunicano (o altre operazioni simili) dati riferibili a persone fisiche identificate o identificabili. Ad esempio, sono dati personali il nome e cognome, il codice fiscale, l’indirizzo o altri dati relativi all’ubicazione, all’identità fisica, economica, culturale o sociale. La normativa in materia di privacy individua, inoltre, i cosiddetti dati “particolari” che, assieme a quelli relativi a condanne penali o reati, sono sottoposti a una tutela ulteriore. Sono dati particolari, ad esempio, quelli che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, i dati genetici, biometrici relativi alla salute o alla vita sessuale o all’orientamento sessuale, ma anche le immagini, le registrazioni vocali, le informazioni relative al comportamento o agli spostamenti.

Link utili

Normativa polimi

Se il progetto di ricerca prevede l’uso di dati personali, ad esempio tramite interviste o sondaggi a persone fisiche con raccolta di dati personali, foto, audio e video, è necessario:

• descrivere il trattamento attraverso il “Form privacy” dove analizzare anche il livello di rischio del trattamento in termini di possibile impatto su libertà e diritti dell’interessato.
• se il rischio è elevato procedere alla Valutazione degli impatti relativi alla protezione dei dati personali (c.d. DPIA – Data Protection Impact Assessment).
  Procedura di Valutazione d’Impatto

Servizi on line > Privacy e GDPR: normativa e materiale di approfondimento > Documenti > Documenti > 3. LINEE GUIDA – PROCEDURE > Procedura di Valutazione d’Impatto – DPIA

• predisporre una richiesta di consenso informato e un’informativa sul trattamento dei dati personali ex art. 13 del Regolamento UE 2016/679 (GDPR).
  [Come si redige un’informativa?]
• formalizzare l’eventuale trasferimento dei dati personali a partner o soggetti terzi (accordo di contitolarità, data sharing agreement, nomina a responsabile ex art. 28 GDPR).
  [Quali format utilizzare per gli adempimenti privacy?]
• in caso di trasferimento di dati a paesi extra UE, compilare il Transfer Impact Assessment (TIA)osservare il Regolamento del Politecnico di Milano in materia di trattamento dei dati personali e della sicurezza ICT e le Istruzioni operative per il trattamento dati personali.
  https://www.normativa.polimi.it/privacy-e-sicurezza (https://www.normativa.polimi.it/privacy-e-sicurezza).https://www.normativa.polimi.it/privacy-e-sicurezza (https://www.normativa.polimi.it/privacy-e-sicurezza) [Normativa di ateneo in materia privacy]
• osservare le misure minime di sicurezza informatiche per l’archiviazione e l’uso dei dati personali a garanzia della loro protezione e riservatezza.
  [Quali sono le misure minime di sicurezza da adottare nell’uso dei dispositivi personali e in dotazione?]

Per tutte le ricerche che coinvolgono persone l’Ateneo raccomanda fortemente il preventivo parere del Comitato Etico.

privacy-dastu@polimi.it

Nell’ambito della ricerca, l’informativa sul trattamento dei dati personali deve descrivere quali dati personali sono raccolti, come, perché e da chi sono trattati.

Non è necessario che l’interessato esprima il consenso poiché il GDPR stabilisce che il trattamento dei dati personali è lecito nell’ambito dell’“esecuzione di un compito di interesse pubblico” (art. 6, par. 1, lett. e)

Vai alla FAQ Nell’ambito della ricerca è possibile trattare dati personali? ù

In alcuni casi, tuttavia, è necessario valutare l’opportunità che la raccolta dei dati in ambito di ricerca avvenga con il consenso al trattamento da parte dell’interessato. La raccolta del consenso è raccomandabile, ad esempio, in presenza di categorie particolari o semi-particolari di dati personali.

Vai alla FAQ Cosa fare se un progetto di ricerca prevede sondaggi o

Per la definizione di dato particolare e semi-particolare consulta

VIDIMO4_istruzioni_operative_privacy.pdf

I partecipanti a eventuali sondaggi, interviste, ecc. dovranno sempre acconsentire alla partecipazione al progetto esprimendo il cosiddetto “consenso informato”. Tale consenso si raccoglie predisponendo una scheda illustrativa del progetto.

Il consenso al trattamento dei dati e il consenso informato possono essere espressi tramite firma (moduli cartacei) oppure segno di spunta (form on line).

Si, il Politecnico di Milano e, quindi, tutte le sue strutture quali i Dipartimenti, possono trattare dati personali nell’ambito della ricerca perché è un’istituzione pubblica e l’attività di ricerca rientra tra le sue finalità istituzionali. L’art. 6, par. 1, lett. e) del GDPR stabilisce, infatti, che è lecito trattare dati personali se “il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”.

Si, il Politecnico di Milano e, quindi, tutte le sue strutture quali i Dipartimenti, possono trattare categorie particolari di dati personali nell’ambito della ricerca. L’art. 9, par. 2, lett. j) del GDPR stabilisce, infatti, che è lecito trattare questi dati se “il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

È necessario individuare che tipo di rapporto esiste tra i soggetti coinvolti

• Autonomi Titolariquando il Politecnico e i partner o i committenti trattano i dati personali per finalità proprie e distinte e con modalità autonome.
• Contitolariquando il Politecnico e i partner o i committenti definiscono insieme finalità e modalità del trattamento. La contitolarità è disciplinata con atto scritto e firmato dalle parti (Accordo di Contitolarità).
• Responsabili del trattamento ex art. 28 del Regolamento UE 679/2016ed eventuali sub-responsabili, quando il Politecnico nomina il partner/committente ad eseguire il trattamento di dati personali per le proprie finalità e secondo le proprie istruzioni, oppure, viceversa, se il Politecnico è nominato dal partner/committente come responsabile al trattamento sulla base delle finalità e secondo le istruzioni del partner/committente (Nomina Responsabile trattamento dati ex art. 28 Regolamento UE 679/2016).
• Autorizzati al trattamentosono tutti coloro che operano direttamente e che devono essere nominati e adeguatamente istruiti dal Titolare (Nomina ad Autorizzato al trattamento dati personali).

Quando si apre una RDA, l’applicativo chiede di specificare compilando l’apposita sezione “privacy” se la fornitura/il servizio oggetto dell’affidamento comporta un trattamento di dati personali. La mancata compilazione della sezione “privacy” non consentirà l’invio della RDA.

In caso di risposta affermativa, è necessario nominare il fornitore/prestatore di servizi quale “Responsabile per il trattamento dei dati ex art. 28” del GDPR. Il Responsabile per il trattamento dei dati è il soggetto esterno all’amministrazione che è tenuto per la natura stessa della fornitura o del servizio a trattare dati personali per conto del Politecnico e la nomina a Responsabile formalizza questa relazione.

Si riportano alcuni esempi di servizi che richiedono un trattamento di dati personali:

• sviluppo e manutenzione di siti web che comportano la gestione di dati personali attraverso il sito stesso
• affidamento di conferenze a istituzioni terze
• sviluppo di piattaforme o applicazioni per la ricerca funzionali all’elaborazione di dati tra cui anche dati personali.

I format per gli adempimenti privacy sono scaricabili collegandosi al Portale Servizi online.

• Modelli di informativa privacy, accordo di contitolarità, data sharing agreement, nomina a responsabile ex art. 28 GDPR, nomina ad amministratore di sistema

Servizi on line > Privacy e GDPR: normativa e materiale di approfondimento > Documenti > 4. MODULISTICA VIGENTE

• Modelli di informativa privacy per attività di ricerca, scheda analisi, workflow di processo per la gestione di aspetti etici e privacy.

Servizi on line > Privacy e GDPR: normativa e materiale di approfondimento > Documenti > Documentazione per attività di ricerca

È un questionario predisposto dall’Ufficio Privacy del Politecnico di Milano per analizzare l’attività prevista nell’ambito di un contratto o progetto di ricerca sotto il profilo del trattamento dei dati personali. Permette di capire se l’attività di consulenza o ricerca prevede l’uso dei dati personali e, in caso affermativo, facilita l’analisi del trattamento.

Link utili

Istruzioni operative per il trattamento dati personali

privacy-dastu@polimi.it

È possibile consultare regolamenti e istruzioni operative alla pagina
Privacy e sicurezza

Altra documentazione utile come procedure, linee guida e format è disponibile nello Share Point del sito del Politecnico accedendo ai
Servizi online > Privacy e GDPR: normativa e materiale di approfondimento > Documenti

Il Regolamento del Politecnico di Milano in materia di trattamento dei dati personali e della sicurezza ICT prevede che l’uso dei sistemi di intelligenza artificiale (IA) sia etico e responsabile. Per assicurare il rispetto di tali principi e delle normative vigenti, l’Ateneo vieta di fornire dati sensibili a sistemi di IA ospitati al di fuori dell’Ateneo (per esempio, password e nomi utente, informazioni di identificazione personale, dati non anonimizzati, dati protetti da diritto d’autore e relativi alla proprietà intellettuale dell’Ateneo): tali dati potrebbero essere visibili e registrati da terze parti, con potenziali rischi per la sicurezza.

In questa sezione è possibile scaricare le raccomandazioni per un uso responsabile degli strumenti di intelligenza artificiale pubblicate in accordo con il Responsabile Protezione Dati di Ateneo.

Raccomandazioni sull’utilizzo di strumenti di intelligenza artificiale
Regolamento del Politecnico di Milano in materia di trattamento dei dati personali e della sicurezza ICT