DELIBERAZIONE DELLA GIUNTA REGIONALE 27 giugno 2005, n. 960
Direttiva in materia di trattamento di dati personali con particolare riferimento alla ripartizione di competenze tra i soggetti che effettuano il trattamento - Modifica ed integrazione delle deliberazioni di Giunta regionale 447/03 e 1878/04
LA GIUNTA DELLA REGIONE EMILIA-ROMAGNA
(omissis) delibera:
1. di approvare la Direttiva in materia di trattamento di dati
personali di cui all'Allegato A, parte integrante e sostanziale della
presente deliberazione che va a sostituire l'Allegato 5 della propria
deliberazione 447/03;
2. di integrare la propria deliberazione 1878/04 con la disciplina di
cui al presente atto;
3. di confermare la designazione nominativa del Responsabile della
sicurezza e del Coordinatore del diritto di accesso dell'interessato
ai propri dati personali contenuta nella propria deliberazione
1878/04 per la durata dell'incarico dirigenziale attualmente
conferito, compresi eventuali rinnovi dello stesso, salvo revoca
effettuata con proprio successivo atto;
4. di pubblicare la presente deliberazione nel Bollettino Ufficiale
della Regione Emilia-Romagna.
ALLEGATO A)
Direttiva in materia di trattamento di dati personali con particolare
riferimento alla ripartizione di competenze tra i soggetti che
effettuano il trattamento
1) Indirizzi generali
Il Codice detta una complessa disciplina di carattere generale in
materia di protezione dei dati personali, prevedendo molteplici
obblighi ed adempimenti a carico dei soggetti che trattano dati
personali, ivi comprese le pubbliche amministrazioni.
Occorre pertanto delineare ed articolare le specifiche
responsabilita' relative ai suddetti obblighi ed adempimenti,
ripartendo compiti e funzioni tra i soggetti competenti tenuto conto
della specifica organizzazione della Regione.
Il Codice individua tre tipologie di soggetti che effettuano il
trattamento di dati personali ed in particolare:
a) il titolare: la pubblica amministrazione cui competono, anche
unitariamente ad altro titolare, le decisioni in ordine alle
finalita', alle modalita' del trattamento di dati personali e agli
altri strumenti utilizzati, ivi compreso il profilo della sicurezza;
b) il responsabile: la persona fisica, la persona giuridica, la
pubblica amministrazione e qualsiasi altro ente, associazione od
organismo preposti dal titolare al trattamento di dati personali;
c) gli incaricati: le persone fisiche autorizzate a compiere
operazioni di trattamento dal titolare o dal responsabile.
Con specifico riferimento alla lettera a), occorre quindi, in primo
luogo, definire un criterio che delimiti il confine di titolarita'
della Regione Emilia-Romagna.
Il criterio di delimitazione e' dato dalla stessa normativa del
Codice, che specifica che titolare e' il soggetto cui spettano le
decisioni in ordine alle modalita' del trattamento dei dati personali
e agli altri strumenti utilizzati, ivi compreso il profilo della
sicurezza.
Altro criterio sussidiario per verificare la titolarita' o meno in
capo alla Regione Emilia-Romagna dei trattamenti di dati personali
effettuati da altri soggetti collegati a vario titolo alla Regione
stessa e' quello dato dalla attribuzione a tali soggetti, nelle
relative leggi istitutive, della qualita' di ente od organo della
Regione. Non vi e' dubbio, infatti, che i soggetti che sono
denominati "enti" sono autonomi titolari dei trattamenti che
effettuano nell'ambito delle proprie competenze, mentre per i
soggetti denominati "organi" bisogna, di volta in volta, tenere conto
del dato sostanziale relativo alla presenza o meno di un autonomo
potere decisionale sulle modalita' dei trattamenti.
In base al criterio sopra esposto sono quindi da considerare quali
autonomi titolari dei trattamenti di dati personali, effettuati
nell'ambito delle rispettive competenze, i seguenti soggetti,
elencati a titolo meramente esemplificativo:
- l'Agenzia Regionale per le Erogazioni in Agricoltura;
- Intercent-ER Agenzia regionale di sviluppo dei mercati telematici;
- l'Istituto Beni Artistici, Culturali e Naturali;
- l'Azienda Regionale per la Navigazione Interna;
- l'Autorita' di Bacino del Reno;
- l'Autorita' dei Bacini Regionali Romagnoli;
- l'Autorita' di Bacino interregionale "Marecchia-Conca";
- l'Agenzia Regionale per la Prevenzione e l'Ambiente;
- i Consorzi Fitosanitari provinciali di Modena, Parma, Piacenza e
Reggio Emilia;
- le Aziende regionali per il Diritto allo studio universitario di
Bologna, Ferrara, Modena e Reggio Emilia e Parma.
Il presente atto individua le competenze del titolare, designa i
soggetti responsabili del trattamento e definisce i criteri generali
da rispettare nell'individuazione dei soggetti incaricati a compiere
le operazioni di trattamento.
2 - Il titolare - Funzioni
Ai sensi dell'art. 4, comma 1, lettera f) e dell'art. 28 del Codice,
il titolare dei trattamenti di dati personali e' quindi la Regione ai
cui organi spetta, nel rispetto delle relative competenze, l'adozione
degli atti contenenti le scelte di fondo in ordine alle finalita',
alle modalita' del trattamento di dati personali e agli strumenti
utilizzati, ivi compreso il profilo della sicurezza.
Spetta pertanto in particolare alla Giunta regionale:
a) individuare, con apposito atto di proposta di regolamento
all'Assemblea legislativa della Regione Emilia-Romagna, i tipi di
dati e di operazioni relative a dati sensibili e/o giudiziari, in
relazione alle specifiche finalita' perseguite nei singoli casi e nel
rispetto dei principi di cui all'art. 22 del Codice, aggiornando tale
individuazione periodicamente;
b) adottare con proprio atto linee guida in materia di protezione dei
dati personali nella Giunta regionale, al fine di dettare i principi
cui devono attenersi, nello svolgimento della propria attivita',
coloro che trattano dati personali nell'ambito della Giunta
regionale, siano essi responsabili o incaricati del trattamento;
c) adottare con proprio atto, aggiornandolo periodicamente, il
Documento Programmatico per la Sicurezza previsto dall'art. 34,
lettera g) del Codice e riferire della sua adozione nella relazione
accompagnatoria del bilancio di esercizio;
d) designare il Responsabile della sicurezza di cui al successivo
Paragrafo 5, su proposta del Direttore generale competente in materia
di Sistemi informativi e telematica;
e) designare il Coordinatore del diritto di accesso dell'interessato
ai propri dati personali di cui al successivo paragrafo 6, su
proposta del Direttore generale competente in materia di
Organizzazione;
f) designare altri soggetti quali responsabili del trattamento di
dati personali, oltre ai soggetti gia' designati con il presente
atto;
g) vigilare, anche tramite verifiche periodiche, sulla puntuale
osservanza delle vigenti disposizioni in materia di trattamento, ivi
compreso il profilo relativo alla sicurezza, e sul rispetto delle
proprie istruzioni. Tali verifiche saranno effettuate tramite i
responsabili dei trattamenti di cui al paragrafo 3 e il Responsabile
della Sicurezza di cui al paragrafo 5.
Spetta al Presidente della Giunta, quale legale rappresentante
dell'ente, la sottoscrizione degli atti di notifica, delle
comunicazioni e delle richieste al Garante per la protezione dei dati
personali (di seguito indicato come Garante). Tale funzione e'
delegabile ai soggetti designati quali responsabili del trattamento
di dati personali di cui al successivo paragrafo 3.
La funzione relativa alla sottoscrizione del consenso, richiesto da
soggetti privati che trattano i dati della Regione Emilia-Romagna, e'
direttamente attribuita ai soggetti designati quali responsabili del
trattamento di dati personali di cui al paragrafo 3, quale compito
specifico degli stessi, come analiticamente individuato alla lettera
g) del paragrafo 3.1.
3 - I Responsabili del trattamento di dati personali - Designazione e
compiti
Ai sensi dell'art. 4, comma 1, lettera g) e dell'art. 29 del Codice,
il responsabile del trattamento di dati personali e' il soggetto
preposto dal titolare al suddetto trattamento tramite designazione,
specificando analiticamente per iscritto i compiti che gli sono
affidati.
Con il presente atto sono designati quali responsabili del
trattamento di dati personali i seguenti soggetti:
a) il Capo di Gabinetto, per il proprio ambito di competenza e per il
trattamento di dati personali effettuato dalle strutture speciali
della Giunta regionale;
b) i Direttori generali, ciascuno per il proprio ambito di
competenza;
c) i Direttori delle Agenzie ed in particolare: il Direttore
dell'Agenzia Emilia-Romagna Lavoro, il Direttore dell'Agenzia
Sanitaria regionale, il Direttore dell'Agenzia Trasporti pubblici e
il Direttore dell'Agenzia Regionale per il Turismo, ciascuno per i
trattamenti effettuati dall'Agenzia di riferimento.
Relativamente ai trattamenti di dati personali trasversali a piu'
Direzioni si applica il criterio del maggiore ambito decisionale.
Il Capo di Gabinetto e i Direttori generali possono costituire, con
propria determinazione, gruppi di lavoro anche interdirezionali, come
definito dal paragrafo 2.2.1 della propria deliberazione 447/03.
Qualora l'attivita' del gruppo di lavoro comporti anche un
trattamento di dati personali, il Capo di Gabinetto o il Direttore
generale e' responsabile anche di tale trattamento.
3.1 - Compiti dei responsabili del trattamento di dati personali
I compiti affidati ai responsabili del trattamento sono i seguenti:
a) verificare la legittimita' dei trattamenti di dati personali
effettuati dalla struttura di riferimento, con particolare riguardo
al principio di necessita' di cui all'art. 3 del Codice, sia
relativamente ai trattamenti gia' in essere che ai nuovi
trattamenti;
b) disporre, in conseguenza alla verifica di cui alla lettera a), le
modifiche necessarie al trattamento perche' lo stesso sia conforme
alla normativa vigente ovvero disporre la cessazione di qualsiasi
trattamento effettuato in violazione alla stessa;
c) vigilare, per conto del Titolare, come indicato al paragrafo 2
lett. g), anche tramite verifiche periodiche, sulla puntuale
osservanza delle vigenti disposizioni in materia di trattamento, ivi
compreso il profilo relativo alla sicurezza e sul rispetto delle
proprie istruzioni e segnalando eventuali problemi al responsabile
della sicurezza di cui al paragrafo 5 e, in ultima istanza, al
Titolare;
d) aggiornare periodicamente l'elenco dei trattamenti di dati
personali effettuati dalla struttura di riferimento, anche al fine di
garantire un tempestivo aggiornamento del Documento Programmatico per
la Sicurezza;
e) aggiornare periodicamente, in particolare, l'elenco dei
trattamenti di dati sensibili e/o giudiziari, anche al fine di
aggiornare il relativo regolamento, di cui alla lettera a) del
paragrafo 2;
f) predisporre l'informativa di cui all'art. 13 del Codice e
verificare che siano adottate le modalita' operative necessarie
perche' la stessa sia effettivamente portata a conoscenza degli
interessati;
g) sottoscrivere il consenso richiesto da soggetti privati che
trattano i dati della Regione Emilia-Romagna, qualora non si rientri
nei casi di cui all'art. 24 del Codice;
h) individuare gli incaricati del trattamento dei dati personali e
fornire agli stessi istruzioni per il corretto trattamento dei dati
stessi, sovrintendendo e vigilando sull'attuazione delle istruzioni
impartite; tale individuazione deve essere effettuata secondo quanto
stabilito al paragrafo 7 e quindi, in particolare, le istruzioni
devono quanto meno contenere l'espresso richiamo alle linee guida
regionali per la protezione dei dati personali e ai Disciplinari
tecnici trasversali e/o di settore gia' adottati dal soggetto
competente;
i) predisporre ogni adempimento organizzativo necessario per
garantire agli interessati il diritto di accesso ai propri dati
personali, secondo quanto stabilito dagli artt. 7 e ss. del Codice,
in conformita' a quanto sara' stabilito dal Disciplinare Tecnico per
l'esercizio del diritto di accesso ai propri dati personali e
collaborando con il Coordinatore del diritto di accesso
dell'interessato ai propri dati personali di cui al paragrafo 6;
j) provvedere, anche tramite gli incaricati, a dare riscontro alle
istanze degli interessati per l'esercizio del diritto di accesso, con
le specifiche modalita' che saranno definite nel Disciplinare Tecnico
per l'esercizio del diritto di accesso degli interessati ai propri
dati personali;
k) provvedere direttamente al riscontro nei seguenti casi: qualora
l'istanza dell'interessato sia volta ad ottenere la cancellazione, la
trasformazione in forma anonima o il blocco dei dati trattati in
violazione di legge, secondo quanto previsto dal comma 3, lettera b)
dell'art. 7 del Codice; qualora si tratti di opposizione al
trattamento, secondo quanto previsto dal comma 4 dell'art. 7 del
Codice e qualora occorra prorogare il termine per il riscontro,
previa comunicazione all'interessato nel caso di richiesta di
particolare complessita' o per altro giustificato motivo, secondo
quanto previsto dal comma 3 dell'art. 146 del Codice;
l) disporre l'adozione dei provvedimenti imposti dal Garante quale
misura conseguente all'accoglimento delle richieste degli
interessati;
m) predisporre la documentazione e gli atti necessari per il Garante
nei casi e nei modi previsti dalla legge;
n) comunicare al Coordinatore del diritto di accesso dell'interessato
ai propri dati personali l'individuazione dei responsabili esterni
effettuata secondo quanto stabilito al paragrafo 4;
o) collaborare con il Responsabile della sicurezza e con il
Coordinatore del diritto di accesso dell'interessato ai propri dati
personali;
p) adottare specifici Disciplinari tecnici di settore, anche
congiuntamente con altri Responsabili del trattamento, per stabilire
e dettagliare le modalita' di effettuazione di particolari
trattamenti di dati personali relativi alla propria area di
competenza;
q) individuare, negli atti di costituzione di gruppi di lavoro
comportanti il trattamento di dati personali, i soggetti che
effettuano tali trattamenti quali incaricati, specificando, nello
stesso atto di costituzione, anche le relative istruzioni;
r) garantire al Responsabile della sicurezza i necessari permessi di
accesso ai dati ed ai sistemi per l'effettuazione delle verifiche di
sicurezza a seguito di incidenti (di cui al par. 5 lett. e),
l'individuazione delle misure idonee di sicurezza (di cui al par. 5
lett. f), i controlli e l'attivita' di vigilanza sull'osservanza
delle disposizioni di sicurezza vigenti (di cui al par. 5 lett. g);
s) provvedere direttamente o dare istruzioni al soggetto competente,
affinche' nei contratti con soggetti esterni che comportano
l'adozione di misure minime di sicurezza, sia prevista l'attestazione
di conformita' dell'intervento ai sensi della misura 25 dell'Allegato
B del Codice, e che tale attestazione sia trasmessa al Responsabile
del trattamento e al Responsabile della sicurezza.
3.2 - Ulteriori compiti affidati ad alcuni responsabili dei
trattamenti di dati personali
Al Direttore generale competente in materia di sistemi informativi e
telematica spetta, inoltre:
a) il parere di regolarita' amministrativa relativamente agli atti
individuati al paragrafo 2 - lettere b), c), e d);
b) l'adozione di disciplinari tecnici trasversali, con particolare
riferimento all'utilizzo, alla sicurezza delle risorse informatiche e
allo sviluppo delle applicazioni informatiche, da aggiornare
periodicamente, ogni qualvolta l'evoluzione tecnica o normativa lo
renda necessario;
c) la proposta nominativa del Responsabile della sicurezza di cui al
paragrafo 5.
Al Direttore generale competente in materia di organizzazione
spetta:
a) il parere di regolarita' amministrativa relativamente agli atti
individuati al paragrafo 2 - lettere a) ed e);
b) l'adozione del Disciplinare tecnico in materia di esercizio del
diritto di accesso dell'interessato ai propri dati personali, del
Disciplinare tecnico in materia di controllo per l'accesso ai locali
e del Disciplinare tecnico relativo alle modalita' e alle procedure
per l'effettuazione dei controlli sull'utilizzo delle strumentazioni
informatiche;
c) la proposta nominativa del Coordinatore per l'esercizio del
diritto di accesso dell'interessato ai propri dati personali di cui
al paragrafo 6.
3.3 - Compiti delegabili ad altri dirigenti
L'individuazione dei compiti affidati ai responsabili del trattamento
di dati personali di cui al paragrafo 3.1 contiene anche compiti non
ascrivibili a funzioni di direzione, coordinamento generale e
controllo.
Pertanto, fermo restando che i suddetti compiti devono restare di
competenza dei responsabili del trattamento, sono delegabili, in base
ai principi generali relativi all'istituto della delega e secondo
quanto previsto, in particolare, dall'art. 39 della L.R. 43/01, i
compiti di cui alle lettere a), b), d), e), h), j) e n) del paragrafo
3.1. Tali compiti sono delegabili:
a) ai dirigenti responsabili di Servizio;
b) ai dirigenti professional assegnati alla Direzione relativamente
ai trattamenti di diretta responsabilita' della stessa;
c) ai dirigenti Coordinatori d'Area, qualora ci fossero ulteriori
attivita' comportanti trattamenti di dati poste direttamente sotto
l'area di coordinamento.
Soltanto il soggetto delegante e' comunque responsabile del
trattamento secondo quanto stabilito dall'art. 29 del Codice.
4 - I responsabili esterni - Designazione, individuazione e compiti
Si ritiene opportuno stabilire che siano designati, di norma, quali
responsabili del trattamento di dati personali, i soggetti esterni
all'amministrazione che siano tenuti, a seguito di convenzione,
contratto, verbale di aggiudicazione o provvedimento di nomina, ad
effettuare trattamenti di dati personali per conto del titolare.
Pertanto, qualora occorra affidare un incarico comportante anche
trattamenti di dati personali, la scelta del soggetto deve essere
effettuata valutando anche l'esperienza, la capacita' e
l'affidabilita' in materia di protezione dei dati personali del
soggetto cui affidare l'incarico, affinche' lo stesso soggetto sia in
grado di fornire idonea garanzia del pieno rispetto delle vigenti
disposizioni in materia di trattamento, ivi compreso il profilo della
sicurezza.
Per poter operare tale valutazione, occorre quindi specificare che
l'incarico ricomprende anche la designazione a responsabile del
trattamento di dati personali gia' nel bando di gara e nel capitolato
d'appalto.
Tale designazione deve essere effettuata direttamente in convenzione,
nel contratto, nel verbale di aggiudicazione o nel provvedimento di
nomina tramite:
a) l'indicazione nominativa qualora al trattamento di dati personali
siano preposte persone fisiche;
b) l'individuazione della persona giuridica qualora al suddetto
trattamento sia preposta una persona giuridica;
c) l'individuazione della pubblica amministrazione o di qualsiasi
altro ente qualora al trattamento siano preposti rispettivamente una
pubblica amministrazione o qualsiasi altro ente;
d) l'individuazione di una o piu' persone fisiche qualora, nei sopra
riportati casi di cui alle lettere b) e c), il trattamento di dati
personali riguardi esclusivamente un settore specifico e limitato
dell'ente.
Qualora siano presenti specifiche e peculiari esigenze, tale
individuazione non e' effettuata e quindi i soggetti esterni non sono
responsabili del trattamento di dati personali, ma titolari o
contitolari dello stesso.
In tal caso, pertanto, si procede alla comunicazione dei dati
personali al soggetto esterno secondo le modalita' previste dal
Codice, dandone atto in convenzione, nel contratto o nel
provvedimento di nomina e, se necessario, stabilendo le modalita' per
la comunicazione.
Qualora i soggetti esterni siano persone fisiche ed operino sotto la
diretta autorita' di un responsabile del trattamento di cui al
paragrafo 3, le stesse devono essere individuate quali incaricati del
trattamento, con le modalita' di cui al paragrafo 7.
4.1 - Compiti dei responsabili esterni dei trattamenti di dati
personali
I compiti affidati ai responsabili esterni del trattamento di dati
personali sono i seguenti:
a) adempiere all'incarico attribuito adottando idonee e preventive
misure di sicurezza, con particolare riferimento a quanto stabilito
dal Codice, dall'Allegato B del Codice, dalle linee guida regionali
in materia di protezione dei dati personali e dai disciplinari
tecnici adottati e richiamati, in tutto o in parte, nello specifico
incarico;
b) predisporre, qualora l'incarico comprenda la raccolta di dati
personali, l'informativa di cui all'art. 13 del Codice e verificare
che siano adottate le modalita' operative necessarie perche' la
stessa sia effettivamente portata a conoscenza degli interessati;
c) dare direttamente riscontro oralmente, anche tramite propri
incaricati, alle richieste verbali dell'interessato di cui ai commi 1
e 2 dell'art. 7 del Codice, con le modalita' individuate dal
Disciplinare tecnico in materia di esercizio del diritto di accesso
dell'interessato ai propri dati personali;
d) trasmettere, con la massima tempestivita', le istanze
dell'interessato per l'esercizio dei diritti di cui agli artt. 7 e
ss. del Codice che necessitino di riscontro scritto al responsabile
del trattamento di cui al paragrafo 3, per consentire allo stesso di
dare riscontro all'interessato nei termini stabiliti dal Codice;
trasmettere tali istanze per conoscenza anche al Coordinatore del
diritto di accesso dell'interessato ai propri dati personali, con le
modalita' che saranno stabilite dal Disciplinare tecnico per
l'esercizio dei diritti di accesso dell'interessato ai propri dati
personali;
e) fornire al responsabile del trattamento di cui al paragrafo 3 la
massima assistenza, necessaria per soddisfare tali richieste,
nell'ambito dell'incarico affidatogli;
f) individuare gli incaricati del trattamento dei dati personali e
fornire agli stessi istruzioni per il corretto trattamento dei dati,
sovrintendendo e vigilando sull'attuazione delle istruzioni
impartite; tale individuazione deve essere effettuata secondo quanto
stabilito al paragrafo 7 e quindi, in particolare, le istruzioni
devono quanto meno contenere l'espresso richiamo alle linee guida
regionali in materia di protezione dei dati personali e ai
Disciplinari tecnici trasversali e/o di settore gia' adottati dal
soggetto regionale competente;
g) consentire al Titolare, dandogli piena collaborazione, verifiche
periodiche, tramite i Responsabili dei trattamenti di cui al
paragrafo 3 o il Responsabile della sicurezza di cui al paragrafo 5;
h) attestare, qualora l'incarico affidato ricomprenda l'adozione di
misure minime di sicurezza, la conformita' degli interventi alle
disposizioni di cui alla misura 25 dell'Allegato B del Codice e
trasmettere tale attestazione al Responsabile di cui al paragrafo 3 e
al Responsabile della sicurezza di cui al paragrafo 5.
Tali compiti possono essere ulteriormente precisati e, qualora fosse
necessario, adattati alla natura dello specifico incarico comportante
il trattamento di dati personali attribuito al soggetto esterno. Le
specificazioni e/o gli adattamenti devono essere analiticamente
stabiliti in convenzione, nel contratto o nel provvedimento di
nomina.
5 - Il Responsabile della sicurezza
Il Codice impone, in particolare al Titolo V, numerosi obblighi in
materia di sicurezza dei dati e dei sistemi.
Si reputa opportuno, in ragione sia della complessita' organizzativa
della Giunta regionale sia della peculiarita' della materia, che
richiede particolari competenze professionali anche tecniche,
designare un soggetto con la specifica responsabilita' di operare per
la sensibilizzazione, il coordinamento, la vigilanza e l'applicazione
di tali obblighi, secondo i compiti di seguito definiti.
Al Responsabile della sicurezza della Giunta regionale sono affidati
i seguenti compiti:
a) curare la redazione e l'aggiornamento del Documento Programmatico
per la Sicurezza relativamente all'ambito delle sole strutture
afferenti alla Giunta regionale avvalendosi anche di professionalita'
specializzate per l'analisi dei rischi e del Gruppo di progetto
"Tutela della privacy";
b) collaborare con il Titolare per definire linee guida in materia di
protezione dei dati personali di cui al Paragrafo 2 lett. b);
c) curare la redazione dei disciplinari tecnici trasversali adottati
dal Direttore generale competente in materia di Sistemi informativi e
Telematica, di cui al paragrafo 3.2 lett. b), promuovendone anche
l'aggiornamento ogni qualvolta l'evoluzione tecnica o normativa lo
renda necessario ed esprimere il parere di regolarita' amministrativa
nei relativi atti di adozione;
d) curare la redazione del Disciplinare Tecnico relativo alle
modalita' e alle procedure per l'effettuazione di controlli
sull'utilizzo delle strumentazioni informatiche, adottato dal
Direttore generale competente in materia di Organizzazione, di cui al
paragrafo 3.2 lett. b);
e) supervisionare, collaborando con i Responsabili del trattamento di
cui al paragrafo 3, i disciplinari tecnici di settore prima della
loro adozione per garantire la coerenza con le linee guida in materia
di protezione dei dati personali di cui al paragrafo 2 lett. b),
promuovendone l'aggiornamento ogni qualvolta l'evoluzione tecnica o
normativa lo renda necessario;
f) attivarsi ogni qualvolta venga avvertito un problema di sicurezza
per: - verificare il rispetto delle misure minime di sicurezza; -
individuare, se necessario, altre misure idonee al miglioramento
della sicurezza dei trattamenti dei dati personali; - inviare
opportuna segnalazione in prima istanza ai Responsabili dei
trattamenti e in ultima istanza al Titolare, affinche' pongano in
essere le misure necessarie per garantire la sicurezza dei dati;
g) individuare le misure idonee da osservare nell'esecuzione dei
trattamenti dei dati personali aggiornandole in relazione
all'evoluzione della tecnica, della normativa e dell'esperienza,
segnalando eventuali problemi rilevati in prima istanza ai
Responsabili dei trattamenti di dati personali e, in ultima istanza,
al Titolare;
h) vigilare, per conto del Titolare, come indicato al paragrafo 2
lett. g), anche tramite verifiche periodiche sulla puntuale
osservanza delle vigenti disposizioni in materia di trattamento, ivi
compreso il profilo relativo alla sicurezza e al rispetto delle
proprie istruzioni, avvalendosi anche di professionalita' altamente
specializzate e segnalando eventuali problemi rilevati, in prima
istanza, ai Responsabili dei trattamenti di dati personali e, in
ultima istanza, al Titolare;
i) promuovere l'istruzione e la formazione, in collaborazione con il
Servizio preposto, dei Responsabili e degli Incaricati dei
trattamenti dei dati personali, con particolare riferimento
all'adozione e all'osservanza delle singole misure di sicurezza;
j) promuovere, in collaborazione con il Servizio preposto e con il
Coordinatore del diritto di accesso dell'interessato ai propri dati
personali, la cultura della sicurezza anche attraverso un piano di
comunicazione e divulgazione all'interno della Giunta regionale;
k) individuare e promuovere, in collaborazione con il Coordinatore
del diritto di accesso dell'interessato ai propri dati personali di
cui al paragrafo 6, le misure idonee a garantire l'esercizio dei
diritti di cui all'art. 7 del Codice, anche mediante software che
consentano il facile, agevole e approfondito reperimento di tutti i
dati personali trattati in forma elettronica nell'ambito della Giunta
regionale;
l) raccogliere e conservare ai fini di eventuali verifiche, le
attestazioni di conformita' alle disposizioni della misura 25
dell'Allegato B del Codice.
6 - Il Coordinatore del diritto di accesso dell'interessato ai propri
dati personali
Il Codice, agli artt. 7 e ss., attribuisce agli interessati il potere
di esercitare, sui propri dati personali, un diritto di accesso,
relativo sia alla conoscenza dei dati stessi che ad un intervento (ad
es., di integrazione o cancellazione).
L'art. 10, comma 1, lettera b) del Codice, stabilisce inoltre che il
titolare e' tenuto ad adottare idonee misure volte, in particolare, a
semplificare le modalita' e a ridurre i tempi per il riscontro al
richiedente, anche nell'ambito di uffici o servizi preposti alle
relazioni con il pubblico.
Si reputa quindi opportuno, in ragione della complessita'
organizzativa della Giunta regionale designare un soggetto con la
specifica responsabilita' di operare per la sensibilizzazione e il
coordinamento di tale diritto, denominandolo "Coordinatore del
diritto di accesso dell'interessato ai propri dati personali".
Al Coordinatore del diritto di accesso dell'interessato ai propri
dati personali della Giunta regionale, sono affidati i seguenti
compiti:
a) promuovere il coordinamento e la sensibilizzazione dei
Responsabili e degli incaricati del trattamento dei dati, sia in via
generale e preventiva che su singola richiesta, sui diritti di cui
all'art. 7 e ss. del Codice, sul loro contenuto, sulla loro
applicazione e sulle modalita' di ottemperanza alle richieste
dell'interessato;
b) collaborare con il Titolare per definire linee guida in materia di
protezione dei dati personali di cui al Paragrafo 2 lett. b),
relativamente al diritto di accesso agli stessi dati da parte
dell'interessato;
c) curare la redazione del Disciplinare tecnico trasversale per
l'esercizio del diritto di accesso dell'interessato ai propri dati
personali, di cui al Paragrafo 3.2, promuovendone anche
l'aggiornamento ogni qualvolta l'evoluzione organizzativa o normativa
lo renda necessario ed esprimere il parere di regolarita'
amministrativa nel relativo atto di adozione;
d) supervisionare, collaborando con i Direttori generali di
riferimento, i Disciplinari tecnici di settore prima della loro
adozione per garantire la coerenza con le linee guida in materia di
protezione dei dati personali relativamente al diritto di accesso a
tali dati di cui al paragrafo 2 lett. b), promuovendone
l'aggiornamento ogni qualvolta l'evoluzione organizzativa o normativa
lo renda necessario;
e) collaborare con i singoli interessati, anche fornendo istruzioni
sul contenuto dei diritti di cui all'art. 7 del Codice e sulla
procedura per il loro esercizio, alla redazione e compilazione delle
istanze per l'esercizio dei diritti medesimi;
f) smistare le singole istanze verso i Responsabili del trattamento,
responsabili anche del riscontro e competenti ad ottemperare alle
medesime istanze;
g) vigilare, per conto del Titolare, come indicato al paragrafo 2
lett. g), sul puntuale e corretto invio del riscontro, segnalando
eventuali problemi rilevati, in prima istanza, ai Responsabili dei
trattamenti di dati personali e, in ultima istanza, al Titolare;
h) proporre l'adozione delle singole misure ritenute opportune per
agevolare l'accesso ai dati personali da parte dell'interessato,
coordinandosi con i responsabili del trattamento e proporre le misure
opportune per semplificare le modalita' di accesso e per ridurre i
tempi di attesa, indicandole, laddove necessario, ai responsabili del
trattamento e al Responsabile della sicurezza;
i) curare la pubblicazione e il relativo aggiornamento dell'elenco
dei responsabili esterni di cui al Paragrafo 4, in base alle
comunicazioni effettuate dai responsabili del trattamento di cui alla
lettera n) del paragrafo 3.1;
j) individuare e promuovere, in collaborazione con il responsabile
della sicurezza di cui al paragrafo 5, le misure idonee a garantire
l'esercizio dei diritti di cui all'art. 7 del Codice, anche mediante
software che consentano il facile, agevole e approfondito reperimento
di tutti i dati personali trattati in forma elettronica nell'ambito
della Giunta regionale;
k) promuovere l'istruzione e la formazione, in collaborazione con il
Servizio preposto, dei responsabili e degli Incaricati dei
trattamenti dei dati personali, con particolare riferimento
all'osservanza delle procedure da adottare per favorire l'esercizio
del diritto di accesso degli interessati ai propri dati personali;
l) promuovere, in collaborazione con il Servizio preposto e con il
Responsabile della sicurezza, la cultura sui diritti
dell'interessato, anche attraverso un piano di comunicazione e
divulgazione all'interno dell'Ente;
m) proporre l'adozione di ogni altro provvedimento e adempimento
necessario per la corretta applicazione dell'art. 7 e ss. del
Codice.
7 - Gli incaricati - Criteri generali per l'individuazione delle
persone fisiche e per le istruzioni da impartire alle stesse
L'art. 4, lettera h) e l'art. 30 del Codice stabiliscono che il
titolare o il responsabile devono designare, quale incaricati del
trattamento di dati personali, le persone fisiche che effettuano le
operazioni di trattamento, operando sotto la loro diretta autorita'.
Devono pertanto essere designati quali incaricati, qualora effettuino
operazioni di trattamento, non soltanto i dipendenti a tempo
indeterminato o determinato, ma anche gli altri soggetti che, ad
altro titolo, operano sotto la diretta autorita' del Titolare di cui
ai paragrafi 1 e 2 o del Responsabile del trattamento di cui ai
paragrafi 3 e 4, quali, ad esempio, i lavoratori con contratto di
somministrazione di lavoro a tempo determinato e, di norma, i
collaboratori a progetto. In quest'ultimo caso la designazione deve
essere contenuta anche nel contratto individuale.
Il Codice specifica inoltre che la designazione:
a) deve essere effettuata per iscritto, individuando puntualmente
l'ambito del trattamento consentito;
b) e' considerata quale designazione anche la documentata
preposizione della persona fisica ad una unita' organizzativa per la
quale e' individuato, per iscritto, l'ambito del trattamento
consentito agli addetti all'unita' medesima.
I Responsabili del trattamento di cui ai paragrafi 3 e 4, ovvero i
soggetti a cui questo compito e' stato delegato, devono pertanto
designare per iscritto i soggetti autorizzati ad effettuare le
operazioni di trattamento. La designazione deve essere aggiornata
almeno annualmente.
Nel periodo intercorrente tra una designazione ed il successivo
aggiornamento gli incaricati sono comunque autorizzati ad effettuare
le operazioni direttamente conseguenti, strumentali e strettamente
necessarie allo svolgimento della propria attivita' lavorativa, sia
nel caso in cui siano agli stessi attribuiti nuovi compiti, previsti
per adempiere a finalita' istituzionali, che comportino trattamenti
di dati personali, sia nel caso in cui, a qualunque titolo, siano
reclutate altre persone fisiche che compiano trattamenti di dati
personali quali incaricati. E' comunque necessario che ad ogni nuovo
incaricato sia data conoscenza delle linee guida regionali in materia
di protezione dei dati personali e dei Disciplinari tecnici relativi
allo svolgimento della propria attivita' lavorativa, come stabilito
al paragrafo 7.2.
I Responsabili del trattamento di cui al paragrafo 3 effettuano la
designazione scritta adottando una specifica determinazione.
7.1 Criteri per l'individuazione degli incaricati
Tenuto conto della estrema diversita' di ampiezza delle strutture di
riferimento dei trattamenti sia relativamente al numero di soggetti
che vi operano in qualita' di incaricati, sia del numero di
trattamenti di dati personali di competenza della struttura stessa,
si stabiliscono diverse modalita' con le quali i soggetti competenti
- con particolare riferimento ai soggetti di cui al paragrafo 3 -
possono effettuare tale designazione.
I suddetti soggetti possono effettuare la designazione:
a) prendendo a riferimento l'intera struttura di propria competenza
(Gabinetto del Presidente, Direzione generale, Agenzia, Servizio,
ecc.), soprattutto qualora la stessa sia di dimensioni ridotte sia
per numero di incaricati che di trattamenti;
b) suddividendo la struttura di competenza in unita' organizzative di
minori dimensioni (quali le Posizioni dirigenziali Professional, le
Posizioni organizzative o le Alte professionalita').
Per ciascuna struttura di competenza o unita' organizzativa di minori
dimensioni devono essere individuati puntualmente i trattamenti
effettuati dalla stessa, anche tramite riferimento all'elenco dei
trattamenti di cui al paragrafo 3.1, lettera d).
Gli incaricati sono quindi designati:
a) tramite individuazione nominativa (nome e cognome) delle persone
fisiche. In questo caso occorre specificare, per ciascun nominativo,
i trattamenti che lo stesso e' autorizzato ad effettuare;
b) tramite rinvio alla posizione lavorativa (standard e/o concreta
del singolo dipendente), contenuta nell'apposito Repertorio, di
ciascuno o di alcuni dei dipendenti assegnati a quella determinata
struttura o unita' organizzativa, qualora nelle suddette posizioni
lavorative siano gia' sufficientemente specificati i trattamenti
effettuati (e cio' con particolare riferimento alle specifiche
assegnazioni contenute nelle posizioni lavorative concrete dei
singoli dipendenti);
c) tramite assegnazione funzionale della persona fisica alla unita'
organizzativa di minori dimensioni, qualora la persona fisica
effettui tutti i trattamenti individuati puntualmente per tale
unita'.
7.2 Istruzioni da impartire agli incaricati
La designazione scritta deve inoltre contenere le istruzioni
impartite agli incaricati del trattamento.
Tali istruzioni, oltre a riguardare eventuali aspetti di dettaglio da
diversificare in relazione alle specificita' dei singoli trattamenti,
devono quanto meno contenere un espresso richiamo alle linee guida
regionali per la protezione dei dati personali e ai Disciplinari
tecnici di cui al Paragrafo 3.
Le suddette linee guida e i disciplinari tecnici devono essere
portati a conoscenza di tutti gli incaricati, con le modalita'
organizzative ritenute piu' idonee. Le modalita' devono comunque
essere tali da garantire la ricezione delle istruzioni da parte di
ogni incaricato di trattamento di dati personali.
7.3 Individuazione dei dirigenti Responsabili di Servizio quali
incaricati di trattamenti di dati personali
I dirigenti Responsabili di Servizio sono incaricati dei trattamenti
di dati relativamente a tutte le operazioni necessarie per:
a) la gestione del personale assegnato;
b) lo svolgimento delle funzioni formalmente attribuite alla
struttura di competenza.
Le istruzioni per l'effettuazione dei trattamenti di dati personali
conseguenti e strumentali alle sopra riportate lettere a) e b) sono
le seguenti:
- devono essere effettuate soltanto le operazioni strettamente
necessarie all'espletamento delle proprie funzioni;
- deve essere in ogni caso verificata la legittimita' e la
correttezza dei trattamenti effettuati, con particolare riferimento
agli artt. 11, 13 e 18 e ss. del Codice;
- devono essere scrupolosamente seguite le procedure e le modalita'
comportamentali stabilite dalle linee guida regionali in materia di
protezione dei dati personali e dai Disciplinari tecnici previsti dal
presente atto.
