DELIBERAZIONE DELLA GIUNTA REGIONALE 1 agosto 2005, n. 1264
Linee guida della Giunta della Regione Emilia-Romagna in materia di protezione dei dati personali
LA GIUNTA DELLA REGIONE EMILIA-ROMAGNA:
(omissis) delibera:
a) di approvare l'allegato "Linee guida della Giunta della Regione
Emilia-Romagna in materia di protezione dei dati personali" da
ritenersi parte integrante del presente atto;
b) di disporre che la presente deliberazione sia pubblicata nel
Bollettino Ufficiale della Regione Emilia-Romagna.
ALLEGATO A
Linee guida della Giunta della Regione Emilia-Romagna in materia di
protezione dei dati personali
Art. 1
Finalita' generali
1. Il DLgs 30 giugno 2003, n. 196 "Codice in materia di protezione di
dati personali", di seguito indicato come Codice, impone
comportamenti rispondenti a principi tali da assicurare a chiunque il
diritto alla protezione dei dati personali che lo riguardano.
2. A cio' si aggiunge il progressivo mutamento della societa' verso
modelli di comunicazione sempre piu' integrati ed interconnessi (la
c.d. "societa' dell'informazione"), che rende fondamentale per ogni
organizzazione, ed a maggior ragione per un Ente pubblico, lo
sviluppo di una cultura della protezione delle informazioni e della
tutela dei diritti degli interessati.
3. Le linee guida definite in questo documento hanno come finalita'
il rafforzamento della sicurezza dei sistemi e delle reti di
informazione e lo snellimento delle procedure per l'esercizio dei
diritti degli interessati, nel rispetto dei valori di una societa'
democratica e dell'esigenza della liberta' di informazione nonche'
del rispetto della vita privata delle singole persone.
Art. 2
Processo di gestione della sicurezza
1. L'applicazione ed il mantenimento della sicurezza si attuano
attraverso misure tecniche e misure organizzative che devono essere
recepite dai processi di lavoro per diventarne parte integrante.
2. La costruzione di un adeguato processo di gestione della sicurezza
comprende le seguenti fasi distinte:
a) pianificazione della sicurezza: definizione degli obiettivi di
sicurezza, analisi dei rischi, individuazione delle misure di
sicurezza;
b) implementazione delle misure di sicurezza: messa in opera delle
misure di sicurezza individuate;
c) controlli: verifica dell'efficienza e della corretta applicazione
delle misure di sicurezza adottate;
d) revisioni: attuazione di correzioni ed adeguamenti al sistema di
protezione delle informazioni sulla base dei risultati ottenuti dai
controlli degli aggiornamenti normativi e tecnologici.
3. La scelta delle misure da rendere esecutive e' quindi effettuata a
seguito di un'analisi costi/benefici (analisi dei rischi) e tale
analisi e' costantemente ripetuta nel tempo alla luce dei progressi
tecnologici, dei mutamenti normativi e del riscontro ottenuto dai
controlli sulle misure gia' adottate.
Art. 3
Definizioni di riferimento
1. Ai fini del presente documento, si fa riferimento alle definizioni
contenute nel Titolo I, art. 4 (Definizioni) del Codice.
2. Per finalita' istituzionali, ai sensi dell'art. 18 del Codice, si
intendono:
a) le funzioni attribuite alla Giunta della Regione Emilia-Romagna
dalla legge e/o della normativa comunitaria;
b) le funzioni attribuite dallo Statuto regionale;
c) le funzioni attribuite dai regolamenti;
d) le funzioni attribuite per mezzo di convenzioni, accordi, intese e
mediante gli strumenti di programmazione negoziata previsti dalla
normativa vigente;
e) le attivita' collegate all'accesso e all'erogazione dei servizi
resi dalla Giunta della Regione Emilia-Romagna;
f) le attivita' necessarie per soddisfare finalita' di rilevante
interesse pubblico;
g) le attivita' di studio, ricerca e/o contabili-amministrative;
h) le attivita' volte a soddisfare esigenze informative, operative e
gestionali per il migliore svolgimento dei compiti istituzionali e
del mandato politico-istituzionale.
Art. 4
Ambito di applicazione
1. Le linee guida disciplinano l'attivita' dei dipendenti
appartenenti all'organico della Giunta della Regione Emilia-Romagna
che effettuano trattamenti di dati personali nonche' di tutti coloro
che a vario titolo li effettuano in nome e/o per conto della Giunta
medesima, siano essi responsabili o incaricati.
2. Le linee guida si applicano sia ai trattamenti effettuati con
l'ausilio di strumenti elettronici sia ai trattamenti effettuati
senza l'ausilio di strumenti elettronici.
Art. 5
Tutela del patrimonio informativo
1. La tutela del patrimonio delle informazioni riveste importanza
strategica per la Giunta della Regione Emilia-Romagna, oltre che
essere soggetta a precisi vincoli di legge imposti dal Codice.
2. La sicurezza delle informazioni e' definita come la salvaguardia
di riservatezza, integrita' e disponibilita' delle stesse.
In particolare:
a) tutelare la riservatezza significa assicurare che le informazioni
siano accessibili solo a coloro che sono autorizzati ad avervi
accesso;
b) tutelare l'integrita' significa salvaguardare l'accuratezza e
completezza delle informazioni e del loro trattamento;
c) tutelare la disponibilita' significa assicurare che gli utenti
autorizzati abbiano accesso, quando richiesto, alle informazioni e ai
beni ad esse associati.
3. Il comportamento dei destinatari di queste linee guida deve
essere improntato alla tutela della sicurezza delle informazioni.
Art. 6
Sensibilizzazione
1. La sicurezza di un sistema e' costituita da tecnologie, procedure
e comportamenti di tutti gli utenti del sistema stesso. Cio' rende
fondamentale la sensibilizzazione di tutti coloro che effettuano
trattamenti di dati personali circa i rischi incombenti sui dati e
circa il corretto utilizzo dei relativi strumenti di protezione
disponibili. Tale sensibilizzazione e' fondamentale per assicurare la
sicurezza dei sistemi e delle reti d'informazione.
2. I sistemi e le reti d'informazione sono sottoposti a rischi
interni ed esterni, quindi e' necessario che tutti sappiano e siano
consapevoli che, a causa dell'interconnettivita' e
dell'interdipendenza tra sistemi, falle in materia di sicurezza su un
componente del sistema possono propagare i loro effetti fino ad
incidere gravemente sull'integrita' dei sistemi, delle reti, delle
banche dati, degli archivi e arrecare danni ad altri.
3. Comportamenti non partecipi, disinformati o indifferenti, possono
ostacolare gravemente la tutela del patrimonio informativo e ledere
il rapporto di fiducia che deve necessariamente intercorrere tra
l'Amministrazione regionale e la societa' civile.
Art. 7
Responsabilita'
1. Tutti coloro che effettuano trattamenti di dati personali devono
essere consapevoli del fatto che la loro azione o inazione puo'
causare danni ad altri o ledere diritti altrui.
2. La societa' dell'informazione dipende da sistemi e da reti
d'informazione locali e globali interconnessi; per questo motivo
tutti coloro che effettuano trattamenti di dati personali, devono
essere consapevoli della propria responsabilita' rispetto alla
sicurezza del sistema nel suo complesso, in funzione del proprio
ruolo e devono adeguare le proprie pratiche, misure e procedure
affinche' siano coerenti con queste linee guida e con il sistema di
protezione delle informazioni adottato dalla Giunta regionale.
3. Coloro che gestiscono, sviluppano, progettano e forniscono
prodotti e servizi nell'ambito dei sistemi informativi, devono agire
in modo da garantire la sicurezza dei sistemi e delle reti, tutelare
la riservatezza dei dati personali e diffondere informazioni utili
per assicurare l'adozione di idonee pratiche di sicurezza.
4. Un comportamento responsabile e' quindi indispensabile e tutti,
per il proprio ambito di competenza, devono adoperarsi per elaborare
e adottare pratiche esemplari e incoraggiare comportamenti che
tengano conto degli imperativi di sicurezza e di tutela dei diritti
altrui.
Art. 8
Risposta agli incidenti di sicurezza
1. I soggetti che effettuano il trattamento devono operare
tempestivamente e in uno spirito di collaborazione per prevenire,
rilevare e rispondere efficacemente agli incidenti di sicurezza nel
minor tempo possibile.
2. A causa dell'interconnettivita' dei sistemi e delle reti
d'informazione, gli impatti causati da un incidente di sicurezza si
diffondono rapidamente ed in modo molto esteso; e' necessario quindi
che i soggetti che effettuano il trattamento, in funzione del proprio
ruolo, reagiscano agli incidenti di sicurezza con prontezza e con
spirito di collaborazione. In particolare tutti devono contribuire
per prevenire gli incidenti di sicurezza e garantire una risposta
adeguata.
Art. 9
Diritto di accesso
dell'interessato ai propri dati personali
1. I soggetti che effettuano il trattamento dei dati personali devono
operare tempestivamente e in uno spirito di collaborazione per
garantire all'interessato un accesso agevole, certo e semplificato ai
propri dati personali e per favorire la corretta gestione delle
istanze dell'interessato per un riscontro chiaro ed esauriente nel
minor tempo possibile.
2. Il diritto dell'interessato di tutelare i propri dati personali e
l'imposizione di regole di comportamento a tutti coloro che
effettuano operazioni sui medesimi, danno concreta attuazione ai
principi di eguaglianza e dignita' sociale della persona.
3. Le regole tecniche in materia di diritto di accesso
dell'interessato ai propri dati personali sono definite ai sensi
dell'articolo 16 delle presenti linee guida.
Art. 10
Trasparenza amministrativa
e diritto d'accesso ai documenti amministrativi
1. La tutela della privacy e dei diritti dell'interessato, cosi' come
la sicurezza dei sistemi e delle reti d'informazione, devono essere
compatibili con i valori fondamentali di una societa' democratica e,
in particolare, con il principio di trasparenza dell'attivita'
amministrativa.
2. La Regione Emilia-Romagna, al fine di agevolare l'attuazione del
principio di trasparenza, provvede alla diffusione, oltre che nel
Bollettino Ufficiale, tramite le proprie reti telematiche,
dell'elenco e dei testi dei propri atti amministrativi di natura
generale.
3. Gli atti amministrativi devono essere redatti dai destinatari di
queste linee guida riportando direttamente nell'oggetto e nel testo
soltanto i dati personali strettamente necessari alla finalita'
dell'atto.
4. In particolare gli atti che devono essere pubblicati nel
Bollettino Ufficiale della Regione, o sottoposti ad altre forme di
pubblicita' previste da legge o regolamento, non devono riportare
nell'oggetto e nel testo dati sensibili e/o giudiziari se non nei
casi previsti da espressa disposizione di legge. Non devono in nessun
caso essere riportati direttamente dati idonei a rivelare lo stato di
salute di persone identificate o identificabili. Nel caso in cui i
suddetti dati siano indispensabili per la finalita' dell'atto, nella
pubblicizzazione devono essere adottate opportune misure che evitino
l'associazione, anche indiretta, all'interessato, ad esempio tramite
l'impiego di diciture generiche o codici alfanumerici.
5. Quanto previsto dal precedente capoverso deve essere applicato
anche nel caso di diffusione attraverso le bacheche, comprese quelle
telematiche.
6. La Giunta della Regione Emilia-Romagna puo' pubblicare sul proprio
sito Internet, al fine di agevolare la comunicazione con il pubblico,
i numeri telefonici e l'indirizzo e-mail istituzionale delle proprie
strutture o dei dipendenti che operano presso le stesse. Essi possono
essere utilizzati soltanto per fini inerenti alle attivita'
istituzionali della Giunta della Regione Emilia-Romagna. In
particolare, non possono essere utilizzati per finalita'
pubblicitarie o commerciali. Di questa limitazione all'utilizzo da
parte dei terzi e' riportato avviso nel sito web della Giunta della
Regione Emilia-Romagna.
7. In materia di diritto di accesso ai documenti amministrativi, il
principio di trasparenza puo' prevalere sulla tutela della
riservatezza, consentendo al legittimo titolare del diritto di
accedere anche ai documenti contenenti dati personali di terzi la cui
conoscenza e' necessaria per la cura o la difesa dei suoi interessi
giuridici.
8. Nel caso di istanza d'accesso a documenti amministrativi
contenenti dati sensibili e giudiziari, l'esercizio del diritto e'
concesso tuttavia nei limiti strettamente indispensabili. Peraltro,
quando i documenti contengono dati idonei a rivelare lo stato di
salute e la vita sessuale di terzi, l'accesso e' consentito soltanto
se strumentale alla tutela di un diritto della personalita' o altro
diritto o liberta' fondamentale e inviolabile o, comunque, a tutela
di una situazione giuridica di rango almeno pari ai diritti
dell'interessato.
Art. 11
Uso delle strumentazioni informatiche
1. Le strumentazioni informatiche che la Giunta della Regione
Emilia-Romagna mette a disposizione devono essere utilizzate in modo
strettamente pertinente allo svolgimento dell'attivita' lavorativa,
secondo un utilizzo appropriato, efficiente, corretto e razionale.
2. Con specifico riferimento agli strumenti informatici e telematici,
alla posta elettronica e a Internet, i destinatari delle presenti
linee guida sono tenuti in particolare a:
a) utilizzare tali beni per motivi non attinenti all'attivita'
lavorativa soltanto in casi di urgenza e comunque non in modo
ripetuto o per periodi di tempo prolungati;
b) utilizzare la posta elettronica e Internet nel rispetto del
principio di riservatezza, per le specifiche finalita' della propria
attivita' e rispettando le esigenze di funzionalita' della rete e
quelle di semplificazione dei processi lavorativi;
c) non appesantire il traffico della rete con operazioni
particolarmente lunghe e complesse quando cio' non sia necessario
allo svolgimento dell'attivita' lavorativa.
3. Le regole tecniche in materia di utilizzo delle strumentazioni
informatiche sono definite ai sensi dell'articolo 16 delle presenti
linee guida.
Art. 12
Segnalazione delle violazioni
1. Le violazioni di sicurezza interna o gli eventi che possono
portare a credere che vi sia stata un'elusione delle misure di
sicurezza previste per un determinato trattamento, devono essere
tempestivamente segnalate secondo le modalita' e le regole tecniche
definite ai sensi dell'articolo 16 delle presenti linee guida.
Art. 13
Controlli di sicurezza
1. La Giunta della Regione Emilia-Romagna si riserva la facolta' di
effettuare i controlli ritenuti opportuni per la verifica della
corretta applicazione e dell'efficienza delle misure di sicurezza
adottate per la protezione dei dati personali.
2. Tali controlli possono essere effettuati esclusivamente da
personale debitamente autorizzato secondo modalita' dipendenti dal
valore dei dati trattati e dai rischi di sicurezza che incombono su
di essi.
3. In ogni caso, le modalita' dei controlli devono essere
preventivamente comunicate ed illustrate a chi effettua trattamenti
di dati personali nei modi previsti dall'art. 16.
Art. 14
Sanzioni
1. La violazione di comportamenti prescritti nelle presenti linee
guida puo' comportare l'applicazione di una sanzione disciplinare se
la fattispecie integra gli estremi di una infrazione prevista dai
Contratti Collettivi o determinare una responsabilita' dirigenziale,
ferma restando anche una possibile responsabilita' penale, civile o
amministrativa-contabile.
Art. 15
Registro informatico dei trattamenti dei dati personali
ed Elenco dei responsabili del trattamento
1. Si istituisce il Registro informatico dei trattamenti dei dati
personali per censire i trattamenti effettuati nell'ambito delle
strutture afferenti alla Giunta regionale e le relative banche dati.
Tale Registro costituisce il supporto necessario alla redazione e
all'aggiornamento annuale del Documento Programmatico per la
Sicurezza. E' fatto obbligo ai responsabili del trattamento, di cui
al paragrafo 3 della deliberazione n. 960 del 27/6/2005, di
provvedere all'aggiornamento del Registro con cadenza almeno annuale.
Tali responsabili possono individuare uno o piu' addetti incaricati
del censimento e dell'aggiornamento dei trattamenti di competenza.
2. La supervisione del Registro e degli aggiornamenti effettuati,
nonche' l'estrazione dei dati in forma omogenea per il loro utilizzo
nell'aggiornamento annuale del Documento Programmatico per la
Sicurezza compete al Responsabile della sicurezza.
3. L'Elenco dei responsabili interni ed esterni, al fine di renderlo
conoscibile in modo agevole e chiaro agli interessati, come stabilito
dal Codice, e' pubblicato sul sito ufficiale regionale a cura del
Coordinatore del diritto di accesso dell'interessato ai propri dati
personali.
4. L'Elenco deve essere tempestivamente aggiornato. Al fine di
consentire un puntuale aggiornamento, gli atti e i documenti di
nomina e di individuazione dei responsabili interni ed esterni devono
essere resi noti al Coordinatore del diritto di accesso
dell'interessato ai propri dati personali.
5. In sede di aggiornamento del Registro informatico dei trattamenti,
il Coordinatore del diritto di accesso dell'interessato ai propri
dati personali, in accordo con il Responsabile della sicurezza,
verifica la corrispondenza tra l'Elenco ed il Registro.
Art. 16
Disciplinari tecnici
1. L'applicazione pratica dei principi contenuti in queste linee
guida e' definita attraverso appositi disciplinari tecnici secondo
quanto stabilito dal paragrafo 3 della deliberazione 960 del
27/6/2005.
2. I disciplinari tecnici contengono specifiche indicazioni
comportamentali e/o procedurali rivolte principalmente ai
responsabili e agli incaricati dei trattamenti di dati personali
nonche' agli altri soggetti che, nello svolgimento della propria
attivita', possono ostacolare il raggiungimento delle finalita' di
cui all'art.1 delle presenti linee guida.
