E-R | BUR

n.94 del 10.04.2013 periodico (Parte Seconda)

XHTML preview

Documento programmatico sulla sicurezza dell'Assemblea legislativa della Regione Emilia-Romagna - aggiornamento anno 2013

L'UFFICIO DI PRESIDENZA 

Visto il DLgs. n. 196 del 30 giugno 2003 “Codice in materia di protezione dei dati personali”, di seguito denominato Codice; 

Richiamati; in particolare, i seguenti articoli del Codice:

- art. 31, in base al quale i trattamenti di dati personali possono essere effettuati soltanto se sono adottate misure idonee e preventive in modo da ridurre al minimo rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta;

- art. 33 che obbliga i titolari del trattamento, nel quadro dei più generali obblighi di sicurezza di cui all’art. 31, ad adottare le misure minime volte ad assicurare un livello minimo di protezione dei dati personali;

- artt. 34 e 35 che indicano le misure minime di sicurezza necessarie affinché sia consentito il trattamento di dati personali sia con strumenti elettronici sia senza l’ausilio di strumenti elettronici; 

Richiamato l’Allegato B “Disciplinare tecnico in materia di misure minime di sicurezza” del Codice stesso; 

Visto l’art. 45 del D.L. 9 febbraio 2012, n. 5 “Disposizioni urgenti in materia di semplificazione e di sviluppo”, convertito in L. 4 aprile 2012, n. 35, che abroga la lettera g) del comma 1 e i paragrafi da 19 a 19.8 e il paragrafo 26 dell’allegato B del Codice; 

Preso atto che l’art. 45 del D.L. n. 5/2012 abroga: 

- la lettera g) del comma 1 dell’art. 34 del Codice e che quindi la redazione di un Documento Programmatico sulla Sicurezza non è più da considerare tra le “misure minime” di sicurezza;

- i paragrafi da 19 a 19.8 e il paragrafo 26 dell’Allegato B del Codice, che specificavano il contenuto del suddetto Documento Programmatico sulla Sicurezza e l’obbligo di riferire della sua adozione nella redazione accompagnatoria del bilancio d’esercizio dell’aggiornamento del Documento Programmatico della sicurezza; 

Considerato peraltro che: 

- sono ancora vigenti le norme che obbligano il Titolare di trattamenti di dati personali ad adottare idonee e preventive misure di sicurezza, come stabilito dall’art. 31 del Codice sopra richiamato e, in particolare, le misure minime contenute nell’art. 34 del Codice, come specificate nell’Allegato B del Codice (ad esclusione dei paragrafi abrogati, vale a dire dal 19 al 19.8 e il 26);

- nell’individuare le misure idonee e preventive, per soddisfare quanto previsto dai più volte richiamati artt. 31 e 34 del Codice, occorre effettuare un’accurata analisi dei rischi in essere e programmare le azioni da attuare per eliminare o diminuire tali rischi; 

- si ritiene opportuno, anche in linea con le scelte adottate in merito dalla Giunta regionale, che la suddetta analisi sia contenuta in un Documento formale di riepilogo e sintesi adottato dal Titolare dei trattamenti di dati personali, da aggiornarsi annualmente; 

Viste le proprie deliberazioni:

- n. 197 del 18/10/2006 avente ad oggetto “Direttiva e Linee guida dell’Assemblea legislativa della Regione Emilia-Romagna in materia di protezione dei dati personali, con particolare riferimento alla ripartizione di competenze tra i soggetti che effettuano il trattamento. - Modifica ed integrazione della deliberazione 45/03 e 1/05”;

- n. 173 del 24 luglio 2007 recante “Parziali modifiche e integrazioni agli indirizzi in ordine alle relazioni organizzative e funzionali tra le Strutture e sull'esercizio delle funzioni dirigenziali approvati con deliberazione 45/03 e in particolare l’Appendice 5 “Trattamento di dati personali con particolare riferimento alla ripartizione di competenze tra i soggetti che effettuano il trattamento”;

- n. 29 del 7/3/2012 “Direttiva e Linee guida dell'Assemblea legislativa della Regione Emilia-Romagna in materia di protezione dei dati personali, con particolare riferimento alla ripartizione di competenze tra i soggetti che effettuano il trattamento. Modifica ed integrazione della deliberazione U.P. n. 197/2006. Modifica ed integrazione della Appendice 5 della deliberazione U.P. n. 173/2007”;

- n. 26 del 15/2/2012 concernente "Aggiornamento dei Responsabili ai sensi del d.lgs. 30 giugno 2003, n. 196 in materia di trattamento dei dati personali. Integrazione anno 2012”;

- n. 48 del 27/3/2012 “Documento programmatico sulla sicurezza dell'Assemblea legislativa della regione Emilia-Romagna, ai sensi del decreto legislativo 30 giugno 2003, n. 196 - Aggiornamento anno 2012”; 

Valutato quindi che sia opportuno adottare un Documento Programmatico sulla Sicurezza, da considerare non più una misura minima ma una misura idonea e preventiva da redigere in base all’art 31 del Codice, in quanto (pur in una forma semplificata rispetto alla schema tipo predisposto dal Garante per la protezione dei dati personali quando lo stesso era obbligatorio) tale Documento riporta l’analisi dei rischi e l’individuazione delle misure di sicurezza, sia idonee sia minime, con la tempistica e la verifica della loro concreta attuazione; 

Considerato inoltre che il Documento Programmatico sulla Sicurezza:

- descrive in modo preciso ed accurato tutti gli aspetti legati all’organizzazione della sicurezza dell’Assemblea legislativa (l’elenco dei trattamenti effettuati, la distribuzione dei compiti e delle responsabilità, le misure adottate per la protezione degli strumenti informatici, la protezione delle aree e dei locali, ecc), indica le misure che si intendono adottare per aumentarne il livello (analizzando i rischi e definendo le misure per prevenirli o per ridurne l’impatto) e sottolinea quali sono gli obiettivi dell’Ente in materia di tutela dei dati personali; 

- contiene informazioni dettagliate su tutti i sistemi informativi della Assemblea legislativa della Regione Emilia-Romagna, ivi comprese le misure in essere e da adottare per la protezione dei dati personali trattati sia con l’ausilio di strumenti elettronici, sia senza l’ausilio di strumenti elettronici; 

Ritenuto quindi:

- che l’accesso al Documento Programmatico sulla Sicurezza da parte di soggetti esterni potrebbe evidentemente mettere in pericolo non solo la sicurezza dell’Ente, ma soprattutto la riservatezza di coloro i cui dati sono oggetto di trattamento da parte dell’Ente stesso;

- che le informazioni contenute in tale Documento siano riservate; 

Considerato inoltre: 

- che il Documento Programmatico sulla Sicurezza è da ritenersi anche documento a carattere programmatorio, che definisce la politica dell’Assemblea legislativa in materia di sicurezza nel trattamento dei dati personali;

- di mantenere la cadenza annuale del suo aggiornamento, la cui adozione, prima delle abrogazioni citate in premessa, doveva obbligatoriamente essere effettuata entro il 31 marzo di ogni anno; 

Presa visione del “Documento Programmatico sulla Sicurezza della Assemblea legislativa della Regione Emilia-Romagna - Anno 2013”, comprensivo dei suoi allegati, conservato agli atti in formato digitale al n. 13294 del 25/3/2012 del Protocollo Generale a firma del Responsabile della Sicurezza, dott. Cristiano Annovi; 

Dato atto del parere di regolarità amministrativa allegato, espresso dal Direttore generale, dott. Luigi Benedetti ai sensi della deliberazione dell’Ufficio di Presidenza n. 173 del 24 luglio 2007 recante “Parziali modifiche e integrazioni agli indirizzi in ordine alle relazioni organizzative e funzionali tra le Strutture e sull’esercizio delle funzioni dirigenziali approvati con deliberazione 45/03; 

a voti unanimi

delibera: 

1. di approvare il “Documento Programmatico sulla Sicurezza della Assemblea legislativa della Regione Emilia-Romagna - Anno 2013”, comprensivo di tutti i suoi allegati, il cui originale è conservato agli atti in formato digitale al n. 13294 del 25/03/2013 del Protocollo Generale a firma del Responsabile della Sicurezza, dott. Cristiano Annovi; 

2. di disporre che le informazioni contenute nel Documento di cui al punto 1 siano riservate per le motivazioni espresse in parte narrativa che qui si intendono interamente richiamate; 

3. di disporre che le eventuali istanze relative al diritto di accesso a tale Documento siano istruite con particolare attenzione e siano inoltrate per competenza al Responsabile della Sicurezza; 

4. di darne la massima diffusione ai Responsabili interni del trattamento affinché questi provvedano a definire, nel rispetto del Documento programmatico, soluzioni operative per l’applicazione delle misure di sicurezza, con particolare attenzione alle eventuali specificità o complessità strutturali dell’articolazione organizzativa cui sono preposti; 

5. di pubblicare la presente deliberazione nel Bollettino Ufficiale della Regione Emilia-Romagna.

Regione Emilia-Romagna (CF 800.625.903.79) - Viale Aldo Moro 52, 40127 Bologna - Centralino: 051.5271

Ufficio Relazioni con il Pubblico: Numero Verde URP: 800 66.22.00, urp@regione.emilia-romagna.it, urp@postacert.regione.emilia-romagna.it