Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento Generale sulla Protezione dei Dati), meglio conosciuto come GDPR, è entrato in vigore il 25 maggio 2018.

Il Regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati e insieme al D.lgs. 196/2003 (il cosiddetto Codice della privacy) attualmente vigente, dopo le numerose modifiche, rappresenta oggi il quadro di riferimento normativo per chiunque si appresti a svolgere attività di trattamento di dati personali.

Il GDPR ha introdotto novità e ridefinito alcuni principi già presenti nell’ordinamento tra i quali:

• principio di accountability: la responsabilizzazione dei titolari del trattamento implica una maggiore attenzione ai rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati;
• privacy by default e by design: la necessità di tutelare i dati personali deve avvenire come impostazione predefinita dell’organizzazione (di default) e fin dal disegno o progettazione di prodotti e servizi (design);
• Responsabile della Protezione Dati (RDP): il RDP deve assicurare una gestione corretta dei dati personali nell'organizzazione; è individuato in funzione delle qualità professionali, della conoscenza specialistica della normativa e della prassi in materia di protezione dati;
• registro delle attività di trattamento: il registro contiene i trattamenti dei dati svolti sotto la responsabilità del Titolare. Fra le altre informazioni, devono essere riportate le misure di sicurezza tecniche ed organizzative adottate;
• valutazione d’impatto sulla protezione dei dati: la procedura mira a descrivere un trattamento di dati per valutarne la necessità, la proporzionalità e i relativi rischi, allo scopo di approntare misure idonee ad affrontarli.

Nel rispetto della normativa il Laboratorio europeo di spettroscopie non lineari (LENS), in qualità di Titolare del Trattamento, s’impegna a trattare i dati tenendo conto dei principi di liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità, riservatezza e responsabilizzazione di cui all’art. 5 del Reg. UE 679/2016.

Finalità e basi giuridiche per il trattamento dei dati

Il Laboratorio europeo di spettroscopie non lineari (LENS) effettua i propri trattamenti dei dati personali sulla base delle seguenti condizioni di liceità di cui all’art. 6 del GDPR:

• Trattamenti necessari in esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;
• Trattamenti per adempiere un obbligo legale;
• Trattamenti per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri.

In mancanza di altre condizioni il LENS potrà ricorrere al consenso dell'interessato quale manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato nel rispetto dell’art. 7  del Regolamento UE 679/2016.

Il LENS opererà attività di trattamento dati per le finalità previste nella Legge 30 gennaio 1991, n. 37 istitutiva del Laboratorio e cioè:

1. facilitare la collaborazione scientifica tra i ricercatori europei nel campo delle spettroscopie non lineari;
2. fornire a ricercatori qualificati che ne facciano richiesta la più avanzata strumentazione e le necessarie assistenza tecnica e consulenza scientifica per l'esecuzione delle loro ricerche;
3. programmare e realizzare progetti di ricerca in collaborazione, utilizzando le proprie attrezzature e competenze;
4. condurre ricerche originali per lo sviluppo e l'affinamento di nuove tecniche spettroscopiche;
5. promuovere scambi di idee, esperienze e competenze tecniche a tutti i livelli nelle aree di interesse per il laboratorio;
6. stimolare e realizzare collaborazioni tecniche e scientifiche con Paesi extra-europei.

Altre finalità potranno essere previste in relazione alle attività del LENS sulla base delle disposizioni contrattuali o obblighi di legge.

Diritti degli interessati

Il Laboratorio europeo di spettroscopie non lineari s’impegna a garantire il rispetto dei diritti degli interessati di cui al capo III del GDPR e cioè:

• diritto di essere informati (per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici). Lo strumento con cui si attua tale diritto è l’informativa che deve contenere: 

1. i dati e i contatti del Titolare del trattamento e del Responsabile della protezione dati;
2. finalità e la base giuridica del trattamento;
3. le categorie di dati trattati;
4. la natura del conferimento dei dati;
5. la fonte dei dati;
6. le modalità del trattamento;
7. le categorie di destinatari dei dati e l’eventuale loro trasferimento;
8. il periodo di conservazione dei dati;
9. i diritti degli interessati.

• diritto di accesso. L’Interessato ha il diritto di accedere ai propri dati personali e alle informazioni relative al modo in cui vengono trattati;
• diritto di rettifica. Consiste nella possibilità di chiedere la rettifica dei dati personali trattati nel caso in cui siano errati o incompleti;
• diritto alla cancellazione (diritto all'oblio). Prevede il diritto di chiedere la cancellazione dei dati personali quando questi non risultano più utili per le finalità per le quali sono stati raccolti, in caso di revoca del consenso, quando sono stati trattati in modo illecito o quando è imposta per obbligo di legge la cancellazione a carico del Titolare del Trattamento o quando sono stati raccolti dati personali di minori per inoltrare a quest’ultimi un’offerta di servizi da parte di una società d’informazioni. Il diritto alla cancellazione dei dati personali può essere negato solo nei casi previsti dall’art. 17 del GDPR;
• diritto di limitazione del trattamento. L'interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando:

1. contesta l'esattezza dei dati personali;
2. il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l'utilizzo;
3. il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all'interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria;
4. l'interessato si è opposto al trattamento, in attesa della verifica in merito all'eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell'interessato;

• diritto di portabilità. Consiste nel diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare, senza impedimenti;
• diritto di opposizione. L'interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali essendo il trattamento necessario per l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri di cui è investito il titolare del trattamento, ovvero per i legittimi interessi di un titolare del trattamento o di terzi;
• diritto di revoca del consenso già prestato;
• il diritto di proporre reclamo all’Autorità di controllo o di ricorso giurisdizionale.

Per saperne di più:

Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

Codice in materia di protezione dei dati personali

Garante per la protezione dei dati personali

European Data Protection Board (EDPB)