Pensando di fare cosa utile, riportiamo in questa pagina le domande che abbiamo ricevuto con le relative risposte.
Privacy Policy per i server web
In questo sito è disponibile un documento esplicativo: Template della privacy policy per i siti web INFN
Se in una Struttura sono presenti più di un server web, con differenti amministratori, ognuno deve pubblicare la sua informativa sulla privacy?
Ogni server web deve mostrare la sua privacy policy, che deve essere accessibile da ogni pagina. Poi, ovviamente, se tutti hanno le stesse caratteristiche, la pagina può essere la stessa.
Se sullo stesso server web sono definiti più Virtual Host che seguono le medesime regole, l’informativa sulla privacy può elencarli tutti?
Sì, il primo paragrafo nel modello suggerito contiene l’elenco degli indirizzi cui la privacy policy si riferisce. Ovviamente vale sempre la regola che la policy deve essere accessibile da tutte le pagine dei server
Se l’accesso a parti del sito viene autorizzato previa autenticazione AAI, e quindi vengono utilizzati cookie di sessione, che non sono citati nel documento esplicativo, in quale caso si ricade?
I cookie di sessione, nel documento di sopra, vengono chiamati “tecnici”.
Facendo riferimento al vostro documento e in particolare alla tabella finale, noi abbiamo cookie e widget che interagiscono con i social, ma non utilizzati da noi per definire profilo o personalità utente. Dobbiamo fare notifica al Garante?
Se la profilazione non viene fatta da voi, ma dalla terza parte (p.e. Facebook) non è richiesta la notifica al Garante: si tratta di una “profilazione terze parti”.
Nel caso si utilizzino cookie di profilazione, è necessario indicare il motivo della loro presenza sul banner informativo con cui si richiede l’approvazione dell’utente?
Non c’è bisogno di indicare il perché nell’informativa breve. Piuttosto bisogna specificare se il sito utilizza cookie di profilazione di terze parti: non è sufficiente il messaggio generico “utilizza cookie e tecnologie simili”.
Si ricorda che la navigazione nel sito deve essere bloccata fino a che non venga dato il consenso.
In alcune pagine web, come ad esempio gli elenchi telefonici, sono pubblicati nomi, numeri di telefono, numeri di stanza, indirizzi di posta elettronica e altre informazioni più specifiche. E’ legittimo?
La presenza di elenchi telefonici pubblici nei siti web delle sedi con nomi e cognomi, indirizzo di posta elettronica, numero di telefono, eventualmente l’indicazione della responsabilità di un servizio o simili, riteniamo sia funzionale allo svolgimento delle attività dell’Ente. Per la pubblicazione di questi dati, che rientrano nella categoria di quelli trattati nell’interesse del Titolare, non è quindi necessario il consenso degli interessati. Diverso è il caso della pubblicazione di informazioni ulteriori. Nel rispetto dei principi di minimizzazione, necessità e pertinenza non crediamo sia opportuno pubblicare anche altri particolari, quali, ad esempio, il numero della stanza, il genere o addirittura la tipologia del rapporto di lavoro, la mobilità e i turni.
Quanto sopra riguarda la pubblicazione, cioè l’esposizione a chiunque dei dati. Se poi si ritiene che ci siano altre informazioni che possano risultare utili internamente, suggeriamo di inserirle proteggendole con i meccanismi INFN-AAI o equivalenti.
Designazione degli autorizzati al trattamento
In questo sito sono presenti due documenti al riguardo: Modulo per la designazione degli autorizzati al trattamento dei dati personali e Norme per il trattamento dei dati personali nell’INFN
I componenti delle squadre GEPS (Gestione Emergenze e Pronto Soccorso) hanno accesso agli elenchi del personale (nome, cognome, ruolo, telefono e ufficio): devono essere autorizzati al trattamento dei dati personali?
Se i componenti le squadre GEPS non sono tenuti, in ragione di tale incarico, a conoscere dati personali di chi opera nella Struttura, salvo l’accesso all’elenco telefonico, non dovranno essere autorizzati al trattamento di dati per questa specifica attività (ambito di trattamento). Se invece il Piano di Emergenza della Struttura prevede che gli addetti GEPS siano informati dell’elenco del personale presente in sede con, magari, l’indicazione di coloro che sono portatori di particolari patologie, allora dovranno essere autorizzati al trattamento dei dati personali.
Gli autorizzati al trattamento sono coloro che gestiscono i dati del personale, il servizio RSPP e gli afferenti al Centro di Calcolo? Oppure bisogna includere anche chi gestisce i dati dei fornitori di beni e servizi?
Sono tutti coloro che gestiscono dati personali: interni, come ad esempio i RUP e i commissari di gara e anche soggetti esterni, come ad esempio i prestatori di servizi, che trattano dati per conto dell’INFN
La designazione di un autorizzato al trattamento, in assenza di modifiche di attività, viene fatta una sola volta, o deve essere rinnovata periodicamente?
È sufficiente una sola volta, ovviamente a patto che le attività non cambino, nel qual caso la designazione dovrà essere aggiornata.
Tra gli autorizzati al trattamento devono essere incluse le persone del servizio calcolo?
Sì, devono essere incaricati del trattamento, ma più in generale devono essere seguite le indicazioni richiamate nella circolare INFN AOO_SLC-2016-0000105 del 23/06/2016 a firma del Direttore Generale e riferite al provvedimento del Garante in data 27/11/2008, aggiornato nel giugno 2009, ed ancora valide, reperibili a questo indirizzo.
Un modello per la designazione delle persone autorizzate al trattamento di dati personali è stato trasmesso con nota del Direttore Generale ed è disponibile sul sito del DPO INFN.
Come riempire il campo Ambito di trattamento per un Amministratore di Sistema?
Un possibile suggerimento:
Trattamento di dati personali nell’ambito delle attività informatiche di gestione di server e sistemi di calcolo, storage, rete, apparati e infrastrutture fisici e virtuali, di competenza del Servizio Calcolo e Reti.
L’ambito di trattamento degli incaricati può essere definito anche in modo generico, come, ad esempio, attività di segreteria del Servizio di Radioprotezione, attività dell’uffcio ordini, ecc. ecc.?
Non è necessario specificare ogni singola operazione effettuata: è sufficiente individuare l’ambito organizzativo entro cui si esegue il trattamento, come negli esempi fatti.
Deliberazione n. 14844 del 27 Luglio 2018
La deliberazione è disponibile qui.
Il Direttore della Struttura deve “assicurare il rispetto degli obblighi del GDPR per quanto concerne la sede” (punto 3). Questa è un’affermazione generica concretizzata nei punti seguenti, o prevede altre azioni oltre a quelle esplicitate nei punti seguenti? Al punto 4 si richiede l’attuazione delle misure allegate, che di per sé dovrebbe soddisfare le altre richieste: garantire resilienza, disponibilità e riservatezza dei sistemi esistenti, la capacità di ripristinare la disponibilità dei dati in caso di incidente e l’esecuzione ciclica di procedure di verifica. È corretto ritenere che il punto sia soddisfatto quando si sia ottemperato alle misure allegate?
La deliberazione 14844 contiene un’affermazione generale che deve essere concretizzata nelle singole Strutture: in particolare presso ogni Struttura il Direttore dovrà aver cura che siano attuate almeno le misure contenute nell’Allegato alla delibera stessa, che sono una leggera estensione delle Misure Minime AgID, provvedendo inoltre ad integrarle per assicurare un più elevato livello di sicurezza. Nell’ambito della Responsabilizzazione (Accountability) che il GDPR ha voluto affermare e valorizzare, ciascun Direttore, dovrà valutare, in ragione della tipologia di dati trattati, del contesto, della finalità del trattamento e del rischio cui lo stesso è soggetto nella singola Struttura, quali sono le misure ulteriori misure tecniche ed organizzative da adottare per garantire un adeguato e soddisfacente livello di tutela.
La formazione avverrà tramite corsi organizzati a livello nazionale o deve essere organizzata localmente?
Abbiamo già avviato dei corsi di formazione a livello nazionale (a fine novembre ne abbiamo fatto uno per personale amministrativo a LNF) ed altri saranno organizzati a breve. In ogni caso a tutto il personale che viene autorizzato al trattamento dovranno essere consegnate le nuove “Norme per il trattamento dei dati personali” anch’esse disponibili presso la pagina web del DPO INFN.
Esiste una casistica delle occasioni in cui si debba dare informativa? P. es. ai dipendenti per la stipula del contratto, agli associati per la stipula del contratto, ai fornitori ed in quali casi, alle ditte esterne ed in quali casi…
Nello stesso sito del DPO sono disponibili anche alcuni schemi di informativa da utilizzare nelle circostanze più frequenti (costituzione rapporti di lavoro, associazione e simili, oppure in caso di dati raccolti in occasione di eventi). Per casi specifici o particolari, c’è uno schema che può essere completato secondo la particolare esigenza concreta.
Come deve essere redatto il Registro del trattamento dei dati?
Stiamo elaborando le schede che compongono il Registro dei trattamenti e che contengono la descrizione dei trattamenti effettuati in Amministrazione Centrale. Non appena perfezionata questa fase, renderemo disponibile il Registro alle Strutture in modo da consentir loro l’integrazione con gli ulteriori e diversi trattamenti che in sede locale venissero effettuati, seguendo lo schema già adottato.
Cosa si intende con “valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali”?
La valutazione di Impatto nell’assetto organizzativo in cui sono dei dati personali (DPIA) è un procedimento di valutazione del rischio cui sono assoggettati i dati per accertare che per gli stessi siano adottate adeguate misure di sicurezza. Ne avevamo parlato a Rimini. In ogni caso con unn provvedimento dell’autunno scorso il Garante Privacy ha limitato il ricorso a questa procedura a particolari tipologie di dati (sanitari, biometrici …) quindi per il momento concentriamoci su un adeguato livello di tutela dei dati comuni (che sono quelli maggiormente trattati nell’INFN), ci occuperemo in seguito della DPIA per i dati particolari.
Data breach
Un nostro utente ha abboccato ad un phishing e ha comunicato la sua password. Il suo account di posta è stato poi utlizzato per spedire mail di spam. Non ci risulta che sia stato fatto nessun altro tipo di attività. E’ necessario fare la denuncia al Garante?
Non ci pare che in questo caso si possa ravvisare un rischio ai diritti e alle libertà delle persone, riteniamo quindi che la denuncia al Garante non sia necessaria. E’ comunque necessario che l’evento venga memorizzato nel registro delle violazioni, mantenuto dal DPO. La segnalazione deve essere fatta dal Direttore della struttura coinvolta seguento le istruzioni disponibili sulla pagina Violazione dati personali e relativi modelli
Questioni varie
È lecito l’inoltro automatico di e-mail da indirizzi istituzionali INFN verso servizi commerciali?
Le informazioni veicolate su strumenti informatici dell’INFN sono scambiate per ragioni d’ufficio e quindi, in mancanza di ragioni organizzative imputabili all’Istituto stesso che giustifichino tale comportamento (comunque da comunicare e autorizzare), l’inoltro automatico a terzi, in particolare a gestori commerciali, non dovrebbe essere consentito.
Utilizziamo un software che produce delle statistiche d’uso, accessibili via web, che contengonpo i dati di un anno con i nominativi degli utenti. È ancora possibile? In che termini?
Siamo consapevoli dell’importanza dei log e delle statistiche, sicuramente utili e necessarie per il buon funzionamento del sistema. Quella che non ci sembra opportuna è l’esposizione dei nomi degli utilizzatori, perché non riteniamo sia necessaria per l’adempimento dei compiti istituzionali dell’Ente. Ovviamente non ci sono problemi per l’esposizione dei dati aggregati. Se invece giudicaste importante mostrare i dati del singolo utente, riteniamo che dovrebbero essere anonimizzati.
Per la pubblicazione del nome di un partecipante a un convegno è necessario il suo consenso?
Premesso che la pubblicazione dell’elenco dei partecipanti deve rispondere ad un qualche interesse, se questo è il caso, riteniamo che ci siano due possibili soluzioni:
- limitare la visualizzazione ai soli iscritti (p.e in una pagina ad accesso ristretto o via mail), previa informativa e senza richiedere alcun consenso;
- lasciare l’elenco accessibile a tutti, previa informativa e manifestazione del consenso, in mancanza del quale il nominativo dell’interessato non potrà essere inserito.