E-R | BUR

n.113 del 20.04.2016 periodico (Parte Seconda)

XHTML preview

Documento programmatico sulla sicurezza dell'Assemblea legislativa della Regione Emilia-Romagna, ai sensi del Decreto legislativo 30 giugno 2003, n. 196 - aggiornamento anno 2016

L’UFFICIO DI PRESIDENZA

Visto il D.Lgs. n. 196 del 30 giugno 2003 “Codice in materia di protezione dei dati personali”, di seguito denominato Codice; 

Richiamati in particolare, i seguenti articoli del Codice: 

- art. 31, in base al quale i trattamenti di dati personali possono essere effettuati soltanto se sono adottate misure idonee e preventive in modo da ridurre al minimo rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta;

- art. 33, che obbliga i titolari del trattamento, nel quadro dei più generali obblighi di sicurezza di cui all’art. 31, ad adottare le misure minime volte ad assicurare un livello minimo di protezione dei dati personali;

- artt. 34 e 35, che indicano le misure minime di sicurezza necessarie affinché sia consentito il trattamento di dati personali sia con strumenti elettronici sia senza l’ausilio di strumenti elettronici; 

Richiamato l’Allegato B “Disciplinare tecnico in materia di misure minime di sicurezza” del Codice stesso; 

Visto l’art. 45 del D.L. 9 febbraio 2012, n. 5 “Disposizioni urgenti in materia di semplificazione e di sviluppo”, convertito in L. 4 aprile 2012, n. 35, che abroga la lettera g) del comma 1 e i paragrafi da 19 a 19.8 e il paragrafo 26 dell’allegato B del Codice; 

Preso atto che l’art. 45 del D.L. n. 5/2012 abroga: 

- la lettera g) del comma 1 dell’art. 34 del Codice e che quindi la redazione di un Documento Programmatico sulla Sicurezza non è più da considerare tra le “misure minime” di sicurezza; 

- i paragrafi da 19 a 19.8 e il paragrafo 26 dell’Allegato B del Codice, che specificavano il contenuto del suddetto Documento Programmatico sulla Sicurezza e l’obbligo di riferire della sua adozione nella redazione accompagnatoria del bilancio d’esercizio dell’aggiornamento del Documento Programmatico della sicurezza; 

Considerato peraltro che: 

- sono ancora vigenti le norme che obbligano il Titolare di trattamenti di dati personali ad adottare idonee e preventive misure di sicurezza, come stabilito dall’art. 31 del Codice sopra richiamato e, in particolare, le misure minime contenute nell’art. 34 del Codice, come specificate nell’Allegato B del Codice (ad esclusione dei paragrafi abrogati, vale a dire dal 19 al 19.8 e il 26); 

- nell’ individuare le misure idonee e preventive, per soddisfare quanto previsto dai più volte richiamati artt. 31 e 34 del Codice, occorre effettuare un’accurata analisi dei rischi in essere e programmare le azioni da attuare per eliminare o diminuire tali rischi; 

- si ritiene opportuno, anche in linea con le scelte adottate in merito dalla Giunta regionale, che la suddetta analisi sia contenuta in un Documento formale di riepilogo, sintesi e programmazione adottato dal Titolare dei trattamenti di dati personali, da aggiornarsi annualmente; 

Viste le proprie deliberazioni: 

- n. 29 del 7/3/2012 recante “Direttiva e Linee guida dell'Assemblea legislativa della Regione Emilia-Romagna in materia di protezione dei dati personali, con particolare riferimento alla ripartizione di competenze tra i soggetti che effettuano il trattamento. Modifica ed integrazione della deliberazione U.P. n.197/2006. Modifica ed integrazione della Appendice 5 della deliberazione U.P. n. 173/2007”; 

- n. 67 del 15 luglio 2014 recante “Indirizzi in ordine alle relazioni organizzative e funzionali tra i Servizi della Direzione Generale Assemblea legislativa e sull’esercizio delle funzioni dirigenziali. Modifiche alla delibera 173/2007”; 

- n. 15 del 17 febbraio 2015 recante "Aggiornamento dei Responsabili ai sensi del d.lgs. 30 giugno 2003, n. 196 Codice in materia di trattamento dei dati personali. Anno 2015”; 

- n. 35 del 31 marzo 2015 “Documento programmatico sulla sicurezza dell'Assemblea legislativa della Regione Emilia-Romagna, ai sensi del decreto legislativo 30 giugno 2003, n. 196 - Aggiornamento anno 2015”; 

Richiamate altresì le deliberazioni: 

- n. 102 del 2 dicembre 2015 recante "Linee di indirizzo in materia di organizzazione e gestione del personale della Direzione generale - Assemblea legislativa"; 

- n. 103 del 2 dicembre 2015 recante “Istituzione, denominazione e competenze di strutture organizzative di livello dirigenziale e professional della Direzione generale Assemblea legislativa: 1ª fase di riorganizzazione"; 

- n. 13 del 09 febbraio 2016 recante "Istituzione, denominazione e competenze delle strutture organizzative di livello dirigenziale e professional della Direzione generale - Assemblea legislativa: modifiche all'allegato A) della deliberazione Up 103/2015;

- n. 11 del 28 gennaio 2016 che ha conferito efficacia alla determinazione del direttore generale n. 72 del 28/01/2016 recante “Attribuzione incarichi dirigenziali presso la Direzione generale – Assemblea legislativa (1 ª fase di riorganizzazione)”;

- n. 18 del 09 marzo 2016 concernente "Aggiornamento dei Responsabili ai sensi del d.lgs. 30 giugno 2003, n. 196 Codice in materia di trattamento dei dati personali. Anno 2016”; 

Valutato quindi che sia opportuno adottare un Documento Programmatico sulla Sicurezza, da considerare non più una misura minima ma una misura idonea e preventiva da redigere in base all’art 31 del Codice, in quanto (pur in una forma semplificata rispetto alla schema tipo predisposto dal Garante per la protezione dei dati personali quando lo stesso era obbligatorio) tale Documento riporta l’analisi dei rischi e l’individuazione delle misure di sicurezza, sia idonee sia minime, con la tempistica e la verifica della loro concreta attuazione; 

Considerato inoltre che il Documento Programmatico sulla Sicurezza: 

- descrive in modo preciso ed accurato tutti gli aspetti legati all’organizzazione della sicurezza dell’Assemblea legislativa (l’elenco dei trattamenti effettuati, la distribuzione dei compiti e delle responsabilità, le misure adottate per la protezione degli strumenti informatici, la protezione delle aree e dei locali, ecc), indica le misure che si intendono adottare per aumentarne il livello (analizzando i rischi e definendo le misure per prevenirli o per ridurne l’impatto) e sottolinea quali sono gli obiettivi dell’Ente in materia di tutela dei dati personali; 

- contiene informazioni dettagliate su tutti i sistemi informativi della Assemblea legislativa della Regione Emilia-Romagna, ivi comprese le misure in essere e da adottare per la protezione dei dati personali trattati sia con l’ausilio di strumenti elettronici, sia senza l’ausilio di strumenti elettronici; 

Ritenuto quindi: 

- che l’accesso al Documento Programmatico sulla Sicurezza da parte di soggetti esterni potrebbe evidentemente mettere in pericolo non solo la sicurezza dell’Ente, ma soprattutto la riservatezza di coloro i cui dati sono oggetto di trattamento da parte dell’Ente stesso; 

- che le informazioni contenute in tale Documento siano riservate; 

Considerato inoltre: 

- che il Documento Programmatico sulla Sicurezza è da ritenersi anche documento a carattere programmatorio, che definisce la politica dell’Assemblea legislativa in materia di sicurezza nel trattamento dei dati personali; 

- di mantenere la cadenza annuale del suo aggiornamento, la cui adozione, prima delle abrogazioni citate in premessa, doveva obbligatoriamente essere effettuata entro il 31 marzo di ogni anno; 

Presa visione del “Documento Programmatico sulla Sicurezza dell’Assemblea legislativa della Regione Emilia-Romagna - Aggiornamento anno 2016”, comprensivo dei suoi allegati, conservato agli atti del Protocollo in formato digitale al NP/2016/819 del 31 marzo 2016 a firma della Responsabile della Sicurezza, dott.ssa Elena Roversi; 

Visto il parere di regolarità amministrativa allegato alla presente,

A voti unanimi 

delibera:

1. di approvare il “Documento Programmatico sulla Sicurezza dell’ Assemblea legislativa della Regione Emilia-Romagna - Aggiornamento anno 2016”, comprensivo di tutti i suoi allegati, il cui originale è conservato agli atti del Protocollo in formato digitale al n. NP/2016/819 del 31 marzo 2016 a firma della Responsabile della Sicurezza, dott.ssa Elena Roversi; 

2. di disporre che le informazioni contenute nel Documento di cui al punto 1 siano riservate per le motivazioni espresse in parte narrativa che qui si intendono interamente richiamate;

3. di disporre che le eventuali istanze relative al diritto di accesso a tale Documento siano istruite con particolare attenzione e siano inoltrate per competenza al Responsabile della Sicurezza; 

4. di darne la massima diffusione ai Responsabili interni del trattamento affinché questi provvedano a definire, nel rispetto del Documento programmatico, soluzioni operative per l’applicazione delle misure di sicurezza, con particolare attenzione alle eventuali specificità o complessità strutturali dell’articolazione organizzativa cui sono preposti; 

5. di pubblicare la presente deliberazione nel Bollettino Ufficiale della Regione Emilia-Romagna.

Regione Emilia-Romagna (CF 800.625.903.79) - Viale Aldo Moro 52, 40127 Bologna - Centralino: 051.5271

Ufficio Relazioni con il Pubblico: Numero Verde URP: 800 66.22.00, urp@regione.emilia-romagna.it, urp@postacert.regione.emilia-romagna.it