Modello organizzativo privacy per l’INPS:
L’INPS, con la Circolare n. 123 del 18 giugno 2015, ha informato gli interessati circa il modello organizzativo privacy per l’INPS, l’aggiornamento e le nuove disposizioni in attuazione del Codice in materia di protezione dei dati personali (D.Lgs. n. 196/2003).
Al riguardo si legge quanto segue nella Circolare n. 123/2015.
A fronte delle nuove competenze che il legislatore ha attribuito all’INPS negli ultimi anni e in considerazione degli ulteriori trattamenti di dati personali, anche sensibili e giudiziari, acquisiti a seguito delle intervenute integrazioni con altri Enti previdenziali (in particolare, con l’IPOST, ai sensi dell’art. 7, co. 2, del decreto legge 31 maggio 2010, n. 78, convertito con modificazioni in legge 30 luglio 2010, n. 122; con l’INPDAP e l’ENPALS, ai sensi dell’articolo 21 del decreto legge n. 201/2011, convertito in legge n. 214/2011) e del nuovo conseguente modello organizzativo integrato, l’Istituto è chiamato ad aggiornare la propria governance della privacy, ridefinendo l’assetto dei ruoli, delle responsabilità, dei compiti attinenti alla protezione dei dati personali rispetto a quanto era stato delineato con la circolare n. 50 del 2007, emanata alla luce del d. lgs. n. 196/2003, recante il “Codice in materia di protezione dei dati personali” (d’ora in avanti soltanto “Codice”).
Principi generali per il trattamento dei dati personali e regole particolari
In attuazione dei principi dettati dal Codice, l’INPS è tenuto ad assicurare la protezione dei dati personali trattati nell’ambito della propria attività istituzionale. Tali dati, per la maggior parte, sono conferiti direttamente dagli interessati (utenti, dipendenti, fornitori e quanti altri entrino in contatto con l’Istituto) oppure possono essere acquisiti presso terzi nei casi di legge. Al fine predetto, l’INPS adotta tutte le misure tecnologiche, organizzative e logistiche più adeguate a garantire l’effettivo rispetto delle garanzie e dei principi previsti dal Codice, nonché una appropriata copertura dei rischi di perdita dell’integrità, della riservatezza e della disponibilità delle informazioni di cui è in possesso.
Alla luce di quanto sopra, l’Istituto definisce i processi di trattamento dei dati personali in modo che le operazioni materiali di trattamento dei dati (raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione, distruzione) avvengano nel rispetto dei principi generali in materia fissati dal Codice e da altre leggi, i più rilevanti dei quali, sono qui di seguito sinteticamente descritti:
- Il diritto alla protezione dei dati personali
Si tratta di una regola fondamentale, secondo la quale ogni individuo ha il diritto che il trattamento dei suoi dati personali si svolga nel rispetto dei suoi diritti e libertà fondamentali, nonché della sua dignità, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali. Nel rispetto di tali prerogative, pertanto, il trattamento di dati dell’interessato da parte di tutti i soggetti coinvolti deve avvenire con modalità che assicurino un elevato livello di tutela.
- Il principio di finalità
È il principio secondo cui la raccolta dei dati deve essere collegata alla finalità perseguita, che deve essere legittima, determinata e non incompatibile con l’impiego dei dati. In particolare, per espressa previsione del Codice, qualunque trattamento di dati personali da parte di soggetti pubblici è consentito soltanto per lo svolgimento delle funzioni istituzionali.
- Il principio di necessità nel trattamento dei dati
Tale regola impone che le raccolte e i trattamenti di dati siano limitati alle sole informazioni necessarie all’attività, in modo da ridurre al minimo l’utilizzo di dati personali e di dati identificativi; infatti, laddove le stesse finalità possano essere perseguite anche senza l’uso di dati personali, il trattamento deve riguardare solo dati anonimi oppure deve essere posto in essere adottando opportune modalità che permettano di identificare l’interessato solo in caso di necessità.
- Principio di proporzionalità
Tale principio prevede che una volta riscontrata, osservando il principio di necessità, la possibilità di trattare dati personali, occorre altresì verificare, in ogni fase del trattamento, se le singole operazioni siano in concreto pertinenti e non eccedenti le finalità perseguite.
- Il principio di liceità e correttezza
E’ la regola che impone al soggetto che agisce sui dati personali che il trattamento posto in essere sia conforme alla legge e che la raccolta e le altre operazioni avvengano in modo trasparente per l’interessato e non mediante ricorso ad artifizi e raggiri.
- Divieto di utilizzo
Il Codice prevede che i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.
- Il principio di prevenzione a tutela dell’integrità del dato e degli abusi
I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Si rinvia, per il resto delle informazioni, al testo della Circolare n. 123 del 18 giugno 2015 e ai suoi allegati (Allegato n. 1: Istruzioni per i Responsabili Interni e Allegato n. 2: Istruzioni ai sensi del D.Lgs. n. 196/2003 per gli Incaricati del trattamento dei dati personali) pubblicati unitamente al presente articolo.
(Fonte: INPS)