REGIONE EMILIA-ROMAGNA - GIUNTA REGIONALE

DELIBERAZIONE DELLA GIUNTA REGIONALE 27 giugno 2005, n. 960

Direttiva in materia di trattamento di dati personali con particolare riferimento alla ripartizione di competenze tra i soggetti che effettuano il trattamento - Modifica ed integrazione delle deliberazioni di Giunta regionale 447/03 e 1878/04

LA GIUNTA DELLA REGIONE EMILIA-ROMAGNA                                          
(omissis)  delibera:                                                            
1. di approvare la Direttiva in materia di trattamento di dati                  
personali di cui all'Allegato A, parte integrante e sostanziale della           
presente deliberazione che va a sostituire l'Allegato 5 della propria           
deliberazione 447/03;                                                           
2. di integrare la propria deliberazione 1878/04 con la disciplina di           
cui al presente atto;                                                           
3. di confermare la designazione nominativa del Responsabile della              
sicurezza e del Coordinatore del diritto di accesso dell'interessato            
ai propri dati personali contenuta nella propria deliberazione                  
1878/04 per la durata dell'incarico dirigenziale attualmente                    
conferito, compresi eventuali rinnovi dello stesso, salvo revoca                
effettuata con proprio successivo atto;                                         
4. di pubblicare la presente deliberazione nel Bollettino Ufficiale             
della Regione Emilia-Romagna.                                                   
ALLEGATO A)                                                                     
Direttiva in materia di trattamento di dati personali con particolare           
riferimento alla ripartizione di competenze tra i soggetti che                  
effettuano il trattamento                                                       
1) Indirizzi generali                                                           
Il Codice detta una complessa disciplina di carattere generale in               
materia di protezione dei dati personali, prevedendo molteplici                 
obblighi ed adempimenti a carico dei soggetti che trattano dati                 
personali, ivi comprese le pubbliche amministrazioni.                           
Occorre pertanto delineare ed articolare le specifiche                          
responsabilita' relative ai suddetti obblighi ed adempimenti,                   
ripartendo compiti e funzioni tra i soggetti competenti tenuto conto            
della specifica organizzazione della Regione.                                   
Il Codice individua tre tipologie di soggetti che effettuano il                 
trattamento di dati personali ed in particolare:                                
a) il titolare: la pubblica amministrazione cui competono, anche                
unitariamente ad altro titolare, le decisioni in ordine alle                    
finalita', alle modalita' del trattamento di dati personali e agli              
altri strumenti utilizzati, ivi compreso il profilo della sicurezza;            
b) il responsabile: la persona fisica, la persona giuridica, la                 
pubblica amministrazione e qualsiasi altro ente, associazione od                
organismo preposti dal titolare al trattamento di dati personali;               
c) gli incaricati: le persone fisiche autorizzate a compiere                    
operazioni di trattamento dal titolare o dal responsabile.                      
Con specifico riferimento alla lettera a), occorre quindi, in primo             
luogo, definire un criterio che delimiti il confine di titolarita'              
della Regione Emilia-Romagna.                                                   
Il criterio di delimitazione e' dato dalla stessa normativa del                 
Codice, che specifica che titolare e' il soggetto cui spettano le               
decisioni in ordine alle modalita' del trattamento dei dati personali           
e agli altri strumenti utilizzati, ivi compreso il profilo della                
sicurezza.                                                                      
Altro criterio sussidiario per verificare la titolarita' o meno in              
capo alla Regione Emilia-Romagna dei trattamenti di dati personali              
effettuati da altri soggetti collegati a vario titolo alla Regione              
stessa e' quello dato dalla attribuzione a tali soggetti, nelle                 
relative leggi istitutive, della qualita' di ente od organo della               
Regione. Non vi e' dubbio, infatti, che i soggetti che sono                     
denominati "enti" sono autonomi titolari dei trattamenti che                    
effettuano nell'ambito delle proprie competenze, mentre per i                   
soggetti denominati "organi" bisogna, di volta in volta, tenere conto           
del dato sostanziale relativo alla presenza o meno di un autonomo               
potere decisionale sulle modalita' dei trattamenti.                             
In base al criterio sopra esposto sono quindi da considerare quali              
autonomi titolari dei trattamenti di dati personali, effettuati                 
nell'ambito delle rispettive competenze, i seguenti soggetti,                   
elencati a titolo meramente esemplificativo:                                    
- l'Agenzia Regionale per le Erogazioni in Agricoltura;                         
- Intercent-ER Agenzia regionale di sviluppo dei mercati telematici;            
- l'Istituto Beni Artistici, Culturali e Naturali;                              
- l'Azienda Regionale per la Navigazione Interna;                               
- l'Autorita' di Bacino del Reno;                                               
- l'Autorita' dei Bacini Regionali Romagnoli;                                   
- l'Autorita' di Bacino interregionale "Marecchia-Conca";                       
- l'Agenzia Regionale per la Prevenzione e l'Ambiente;                          
- i Consorzi Fitosanitari provinciali di Modena, Parma, Piacenza e              
Reggio Emilia;                                                                  
- le Aziende regionali per il Diritto allo studio universitario di              
Bologna, Ferrara, Modena e Reggio Emilia e Parma.                               
Il presente atto individua le competenze del titolare, designa i                
soggetti responsabili del trattamento e definisce i criteri generali            
da rispettare nell'individuazione dei soggetti incaricati a compiere            
le operazioni di trattamento.                                                   
2 - Il titolare - Funzioni                                                      
Ai sensi dell'art. 4, comma 1, lettera f) e dell'art. 28 del Codice,            
il titolare dei trattamenti di dati personali e' quindi la Regione ai           
cui organi spetta, nel rispetto delle relative competenze, l'adozione           
degli atti contenenti le scelte di fondo in ordine alle finalita',              
alle modalita' del trattamento di dati personali e agli strumenti               
utilizzati, ivi compreso il profilo della sicurezza.                            
Spetta pertanto in particolare alla Giunta regionale:                           
a) individuare, con apposito atto di proposta di regolamento                    
all'Assemblea legislativa della Regione Emilia-Romagna, i tipi di               
dati e di operazioni relative a dati sensibili e/o giudiziari, in               
relazione alle specifiche finalita' perseguite nei singoli casi e nel           
rispetto dei principi di cui all'art. 22 del Codice, aggiornando tale           
individuazione periodicamente;                                                  
b) adottare con proprio atto linee guida in materia di protezione dei           
dati personali nella Giunta regionale, al fine di dettare i principi            
cui devono attenersi, nello svolgimento della propria attivita',                
coloro che trattano dati personali nell'ambito della Giunta                     
regionale, siano essi responsabili o incaricati del trattamento;                
c) adottare con proprio atto, aggiornandolo periodicamente, il                  
Documento Programmatico per la Sicurezza previsto dall'art. 34,                 
lettera g) del Codice e riferire della sua adozione nella relazione             
accompagnatoria del bilancio di esercizio;                                      
d) designare il Responsabile della sicurezza di cui al successivo               
Paragrafo 5, su proposta del Direttore generale competente in materia           
di Sistemi informativi e telematica;                                            
e) designare il Coordinatore del diritto di accesso dell'interessato            
ai propri dati personali di cui al successivo paragrafo 6, su                   
proposta del Direttore generale competente in materia di                        
Organizzazione;                                                                 
f) designare altri soggetti quali responsabili del trattamento di               
dati personali, oltre ai soggetti gia' designati con il presente                
atto;                                                                           
g) vigilare, anche tramite verifiche periodiche, sulla puntuale                 
osservanza delle vigenti disposizioni in materia di trattamento, ivi            
compreso il profilo relativo alla sicurezza, e sul rispetto delle               
proprie istruzioni. Tali verifiche saranno effettuate tramite i                 
responsabili dei trattamenti di cui al paragrafo 3 e il Responsabile            
della Sicurezza di cui al paragrafo 5.                                          
Spetta al Presidente della Giunta, quale legale rappresentante                  
dell'ente, la sottoscrizione degli atti di notifica, delle                      
comunicazioni e delle richieste al Garante per la protezione dei dati           
personali (di seguito indicato come Garante). Tale funzione e'                  
delegabile ai soggetti designati quali responsabili del trattamento             
di dati personali di cui al successivo paragrafo 3.                             
La funzione relativa alla sottoscrizione del consenso, richiesto da             
soggetti privati che trattano i dati della Regione Emilia-Romagna, e'           
direttamente attribuita ai soggetti designati quali responsabili del            
trattamento di dati personali di cui al paragrafo 3, quale compito              
specifico degli stessi, come analiticamente individuato alla lettera            
g) del paragrafo 3.1.                                                           
3 - I Responsabili del trattamento di dati personali - Designazione e           
compiti                                                                         
Ai sensi dell'art. 4, comma 1, lettera g) e dell'art. 29 del Codice,            
il responsabile del trattamento di dati personali e' il soggetto                
preposto dal titolare al suddetto trattamento tramite designazione,             
specificando analiticamente per iscritto i compiti che gli sono                 
affidati.                                                                       
Con il presente atto sono designati quali responsabili del                      
trattamento di dati personali i seguenti soggetti:                              
a) il Capo di Gabinetto, per il proprio ambito di competenza e per il           
trattamento di dati personali effettuato dalle strutture speciali               
della Giunta regionale;                                                         
b) i Direttori generali, ciascuno per il proprio ambito di                      
competenza;                                                                     
c) i Direttori delle Agenzie ed in particolare: il Direttore                    
dell'Agenzia Emilia-Romagna Lavoro, il Direttore dell'Agenzia                   
Sanitaria regionale, il Direttore dell'Agenzia Trasporti pubblici e             
il Direttore dell'Agenzia Regionale per il Turismo, ciascuno per i              
trattamenti effettuati dall'Agenzia di riferimento.                             
Relativamente ai trattamenti di dati personali trasversali a piu'               
Direzioni si applica il criterio del maggiore ambito decisionale.               
Il Capo di Gabinetto e i Direttori generali possono costituire, con             
propria determinazione, gruppi di lavoro anche interdirezionali, come           
definito dal paragrafo 2.2.1 della propria deliberazione 447/03.                
Qualora l'attivita' del gruppo di lavoro comporti anche un                      
trattamento di dati personali, il Capo di Gabinetto o il Direttore              
generale e' responsabile anche di tale trattamento.                             
3.1 - Compiti dei responsabili del trattamento di dati personali                
I compiti affidati ai responsabili del trattamento sono i seguenti:             
a) verificare la legittimita' dei trattamenti di dati personali                 
effettuati dalla struttura di riferimento, con particolare riguardo             
al principio di necessita' di cui all'art. 3 del Codice, sia                    
relativamente ai trattamenti gia' in essere che ai nuovi                        
trattamenti;                                                                    
b) disporre, in conseguenza alla verifica di cui alla lettera a), le            
modifiche necessarie al trattamento perche' lo stesso sia conforme              
alla normativa vigente ovvero disporre la cessazione di qualsiasi               
trattamento effettuato in violazione alla stessa;                               
c) vigilare, per conto del Titolare, come indicato al paragrafo 2               
lett. g), anche tramite verifiche periodiche, sulla puntuale                    
osservanza delle vigenti disposizioni in materia di trattamento, ivi            
compreso il profilo relativo alla sicurezza e sul rispetto delle                
proprie istruzioni e segnalando eventuali problemi al responsabile              
della sicurezza di cui al paragrafo 5 e, in ultima istanza, al                  
Titolare;                                                                       
d) aggiornare periodicamente l'elenco dei trattamenti di dati                   
personali effettuati dalla struttura di riferimento, anche al fine di           
garantire un tempestivo aggiornamento del Documento Programmatico per           
la Sicurezza;                                                                   
e) aggiornare periodicamente, in particolare, l'elenco dei                      
trattamenti di dati sensibili e/o giudiziari, anche al fine di                  
aggiornare il relativo regolamento, di cui alla lettera a) del                  
paragrafo 2;                                                                    
f) predisporre l'informativa di cui all'art. 13 del Codice e                    
verificare che siano adottate le modalita' operative necessarie                 
perche' la stessa sia effettivamente portata a conoscenza degli                 
interessati;                                                                    
g) sottoscrivere il consenso richiesto da soggetti privati che                  
trattano i dati della Regione Emilia-Romagna, qualora non si rientri            
nei casi di cui all'art. 24 del Codice;                                         
h) individuare gli incaricati del trattamento dei dati personali e              
fornire agli stessi istruzioni per il corretto trattamento dei dati             
stessi, sovrintendendo e vigilando sull'attuazione delle istruzioni             
impartite; tale individuazione deve essere effettuata secondo quanto            
stabilito al paragrafo 7 e quindi, in particolare, le istruzioni                
devono quanto meno contenere l'espresso richiamo alle linee guida               
regionali per la protezione dei dati personali e ai Disciplinari                
tecnici trasversali e/o di settore gia' adottati dal soggetto                   
competente;                                                                     
i) predisporre ogni adempimento organizzativo necessario per                    
garantire agli interessati il diritto di accesso ai propri dati                 
personali, secondo quanto stabilito dagli artt. 7 e ss. del Codice,             
in conformita' a quanto sara' stabilito dal Disciplinare Tecnico per            
l'esercizio del diritto di accesso ai propri dati personali e                   
collaborando con il Coordinatore del diritto di accesso                         
dell'interessato ai propri dati personali di cui al paragrafo 6;                
j) provvedere, anche tramite gli incaricati, a dare riscontro alle              
istanze degli interessati per l'esercizio del diritto di accesso, con           
le specifiche modalita' che saranno definite nel Disciplinare Tecnico           
per l'esercizio del diritto di accesso degli interessati ai propri              
dati personali;                                                                 
k) provvedere direttamente al riscontro nei seguenti casi: qualora              
l'istanza dell'interessato sia volta ad ottenere la cancellazione, la           
trasformazione in forma anonima o il blocco dei dati trattati in                
violazione di legge, secondo quanto previsto dal comma 3, lettera b)            
dell'art. 7 del Codice; qualora si tratti di opposizione al                     
trattamento, secondo quanto previsto dal comma 4 dell'art. 7 del                
Codice e qualora occorra prorogare il termine per il riscontro,                 
previa comunicazione all'interessato nel caso di richiesta di                   
particolare complessita' o per altro giustificato motivo, secondo               
quanto previsto dal comma 3 dell'art. 146 del Codice;                           
l) disporre l'adozione dei provvedimenti imposti dal Garante quale              
misura conseguente all'accoglimento delle richieste degli                       
interessati;                                                                    
m) predisporre la documentazione e gli atti necessari per il Garante            
nei casi e nei modi previsti dalla legge;                                       
n) comunicare al Coordinatore del diritto di accesso dell'interessato           
ai propri dati personali l'individuazione dei responsabili esterni              
effettuata secondo quanto stabilito al paragrafo 4;                             
o) collaborare con il Responsabile della sicurezza e con il                     
Coordinatore del diritto di accesso dell'interessato ai propri dati             
personali;                                                                      
p) adottare specifici Disciplinari tecnici di settore, anche                    
congiuntamente con altri Responsabili del trattamento, per stabilire            
e dettagliare le modalita' di effettuazione di particolari                      
trattamenti di dati personali relativi alla propria area di                     
competenza;                                                                     
q) individuare, negli atti di costituzione di gruppi di lavoro                  
comportanti il trattamento di dati personali, i soggetti che                    
effettuano tali trattamenti quali incaricati, specificando, nello               
stesso atto di costituzione, anche le relative istruzioni;                      
r) garantire al Responsabile della sicurezza i necessari permessi di            
accesso ai dati ed ai sistemi per l'effettuazione delle verifiche di            
sicurezza a seguito di incidenti (di cui al par. 5 lett. e),                    
l'individuazione delle misure idonee di sicurezza (di cui al par. 5             
lett. f), i controlli e l'attivita' di vigilanza sull'osservanza                
delle disposizioni di sicurezza vigenti (di cui al par. 5 lett. g);             
s) provvedere direttamente o dare istruzioni al soggetto competente,            
affinche' nei contratti con soggetti esterni che comportano                     
l'adozione di misure minime di sicurezza, sia prevista l'attestazione           
di conformita' dell'intervento ai sensi della misura 25 dell'Allegato           
B del Codice, e che tale attestazione sia trasmessa al Responsabile             
del trattamento e al Responsabile della sicurezza.                              
3.2 - Ulteriori compiti affidati ad alcuni responsabili dei                     
trattamenti di dati personali                                                   
Al Direttore generale competente in materia di sistemi informativi e            
telematica spetta, inoltre:                                                     
a) il parere di regolarita' amministrativa relativamente agli atti              
individuati al paragrafo 2 - lettere b), c), e d);                              
b) l'adozione di disciplinari tecnici trasversali, con particolare              
riferimento all'utilizzo, alla sicurezza delle risorse informatiche e           
allo sviluppo delle applicazioni informatiche, da aggiornare                    
periodicamente, ogni qualvolta l'evoluzione tecnica o normativa lo              
renda necessario;                                                               
c) la proposta nominativa del Responsabile della sicurezza di cui al            
paragrafo 5.                                                                    
Al Direttore generale competente in materia di organizzazione                   
spetta:                                                                         
a) il parere di regolarita' amministrativa relativamente agli atti              
individuati al paragrafo 2 - lettere a) ed e);                                  
b) l'adozione del Disciplinare tecnico in materia di esercizio del              
diritto di accesso dell'interessato ai propri dati personali, del               
Disciplinare tecnico in materia di controllo per l'accesso ai locali            
e del Disciplinare tecnico relativo alle modalita' e alle procedure             
per l'effettuazione dei controlli sull'utilizzo delle strumentazioni            
informatiche;                                                                   
c) la proposta nominativa del Coordinatore per l'esercizio del                  
diritto di accesso dell'interessato ai propri dati personali di cui             
al paragrafo 6.                                                                 
3.3 - Compiti delegabili ad altri dirigenti                                     
L'individuazione dei compiti affidati ai responsabili del trattamento           
di dati personali di cui al paragrafo 3.1 contiene anche compiti non            
ascrivibili a funzioni di direzione, coordinamento generale e                   
controllo.                                                                      
Pertanto, fermo restando che i suddetti compiti devono restare di               
competenza dei responsabili del trattamento, sono delegabili, in base           
ai principi generali relativi all'istituto della delega e secondo               
quanto previsto, in particolare, dall'art. 39 della L.R. 43/01, i               
compiti di cui alle lettere a), b), d), e), h), j) e n) del paragrafo           
3.1. Tali compiti sono delegabili:                                              
a) ai dirigenti responsabili di Servizio;                                       
b) ai dirigenti professional assegnati alla Direzione relativamente             
ai trattamenti di diretta responsabilita' della stessa;                         
c) ai dirigenti Coordinatori d'Area, qualora ci fossero ulteriori               
attivita' comportanti trattamenti di dati poste direttamente sotto              
l'area di coordinamento.                                                        
Soltanto il soggetto delegante e' comunque responsabile del                     
trattamento secondo quanto stabilito dall'art. 29 del Codice.                   
4 - I responsabili esterni - Designazione, individuazione e compiti             
Si ritiene opportuno stabilire che siano designati, di norma, quali             
responsabili del trattamento di dati personali, i soggetti esterni              
all'amministrazione che siano tenuti, a seguito di convenzione,                 
contratto, verbale di aggiudicazione o provvedimento di nomina, ad              
effettuare trattamenti di dati personali per conto del titolare.                
Pertanto, qualora occorra affidare un incarico comportante anche                
trattamenti di dati personali, la scelta del soggetto deve essere               
effettuata valutando anche l'esperienza, la capacita' e                         
l'affidabilita' in materia di protezione dei dati personali del                 
soggetto cui affidare l'incarico, affinche' lo stesso soggetto sia in           
grado di fornire idonea garanzia del pieno rispetto delle vigenti               
disposizioni in materia di trattamento, ivi compreso il profilo della           
sicurezza.                                                                      
Per poter operare tale valutazione, occorre quindi specificare che              
l'incarico ricomprende anche la designazione a responsabile del                 
trattamento di dati personali gia' nel bando di gara e nel capitolato           
d'appalto.                                                                      
Tale designazione deve essere effettuata direttamente in convenzione,           
nel contratto, nel verbale di aggiudicazione o nel provvedimento di             
nomina tramite:                                                                 
a) l'indicazione nominativa qualora al trattamento di dati personali            
siano preposte persone fisiche;                                                 
b) l'individuazione della persona giuridica qualora al suddetto                 
trattamento sia preposta una persona giuridica;                                 
c) l'individuazione della pubblica amministrazione o di qualsiasi               
altro ente qualora al trattamento siano preposti rispettivamente una            
pubblica amministrazione o qualsiasi altro ente;                                
d) l'individuazione di una o piu' persone fisiche qualora, nei sopra            
riportati casi di cui alle lettere b) e c), il trattamento di dati              
personali riguardi esclusivamente un settore specifico e limitato               
dell'ente.                                                                      
Qualora siano presenti specifiche e peculiari esigenze, tale                    
individuazione non e' effettuata e quindi i soggetti esterni non sono           
responsabili del trattamento di dati personali, ma titolari o                   
contitolari dello stesso.                                                       
In tal caso, pertanto, si procede alla comunicazione dei dati                   
personali al soggetto esterno secondo le modalita' previste dal                 
Codice, dandone atto in convenzione, nel contratto o nel                        
provvedimento di nomina e, se necessario, stabilendo le modalita' per           
la comunicazione.                                                               
Qualora i soggetti esterni siano persone fisiche ed operino sotto la            
diretta autorita' di un responsabile del trattamento di cui al                  
paragrafo 3, le stesse devono essere individuate quali incaricati del           
trattamento, con le modalita' di cui al paragrafo 7.                            
4.1 - Compiti dei responsabili esterni dei trattamenti di dati                  
personali                                                                       
I compiti affidati ai responsabili esterni del trattamento di dati              
personali sono i seguenti:                                                      
a) adempiere all'incarico attribuito adottando idonee e preventive              
misure di sicurezza, con particolare riferimento a quanto stabilito             
dal Codice, dall'Allegato B del Codice, dalle linee guida regionali             
in materia di protezione dei dati personali e dai disciplinari                  
tecnici adottati e richiamati, in tutto o in parte, nello specifico             
incarico;                                                                       
b) predisporre, qualora l'incarico comprenda la raccolta di dati                
personali, l'informativa di cui all'art. 13 del Codice e verificare             
che siano adottate le modalita' operative necessarie perche' la                 
stessa sia effettivamente portata a conoscenza degli interessati;               
c) dare direttamente riscontro oralmente, anche tramite propri                  
incaricati, alle richieste verbali dell'interessato di cui ai commi 1           
e 2 dell'art. 7 del Codice, con le modalita' individuate dal                    
Disciplinare tecnico in materia di esercizio del diritto di accesso             
dell'interessato ai propri dati personali;                                      
d) trasmettere, con la massima tempestivita', le istanze                        
dell'interessato per l'esercizio dei diritti di cui agli artt. 7 e              
ss. del Codice che necessitino di riscontro scritto al responsabile             
del trattamento di cui al paragrafo 3, per consentire allo stesso di            
dare riscontro all'interessato nei termini stabiliti dal Codice;                
trasmettere tali istanze per conoscenza anche al Coordinatore del               
diritto di accesso dell'interessato ai propri dati personali, con le            
modalita' che saranno stabilite dal Disciplinare tecnico per                    
l'esercizio dei diritti di accesso dell'interessato ai propri dati              
personali;                                                                      
e) fornire al responsabile del trattamento di cui al paragrafo 3 la             
massima assistenza, necessaria per soddisfare tali richieste,                   
nell'ambito dell'incarico affidatogli;                                          
f) individuare gli incaricati del trattamento dei dati personali e              
fornire agli stessi istruzioni per il corretto trattamento dei dati,            
sovrintendendo e vigilando sull'attuazione delle istruzioni                     
impartite; tale individuazione deve essere effettuata secondo quanto            
stabilito al paragrafo 7 e quindi, in particolare, le istruzioni                
devono quanto meno contenere l'espresso richiamo alle linee guida               
regionali in materia di protezione dei dati personali e ai                      
Disciplinari tecnici trasversali e/o di settore gia' adottati dal               
soggetto regionale competente;                                                  
g) consentire al Titolare, dandogli piena collaborazione, verifiche             
periodiche, tramite i Responsabili dei trattamenti di cui al                    
paragrafo 3 o il Responsabile della sicurezza di cui al paragrafo 5;            
h) attestare, qualora l'incarico affidato ricomprenda l'adozione di             
misure minime di sicurezza, la conformita' degli interventi alle                
disposizioni di cui alla misura 25 dell'Allegato B del Codice e                 
trasmettere tale attestazione al Responsabile di cui al paragrafo 3 e           
al Responsabile della sicurezza di cui al paragrafo 5.                          
Tali compiti possono essere ulteriormente precisati e, qualora fosse            
necessario, adattati alla natura dello specifico incarico comportante           
il trattamento di dati personali attribuito al soggetto esterno. Le             
specificazioni e/o gli adattamenti devono essere analiticamente                 
stabiliti in convenzione, nel contratto o nel provvedimento di                  
nomina.                                                                         
5 - Il Responsabile della sicurezza                                             
Il Codice impone, in particolare al Titolo V, numerosi obblighi in              
materia di sicurezza dei dati e dei sistemi.                                    
Si reputa opportuno, in ragione sia della complessita' organizzativa            
della Giunta regionale sia della peculiarita' della materia, che                
richiede particolari competenze professionali anche tecniche,                   
designare un soggetto con la specifica responsabilita' di operare per           
la sensibilizzazione, il coordinamento, la vigilanza e l'applicazione           
di tali obblighi, secondo i compiti di seguito definiti.                        
Al Responsabile della sicurezza della Giunta regionale sono affidati            
i seguenti compiti:                                                             
a) curare la redazione e l'aggiornamento del Documento Programmatico            
per la Sicurezza relativamente all'ambito delle sole strutture                  
afferenti alla Giunta regionale avvalendosi anche di professionalita'           
specializzate per l'analisi dei rischi e del Gruppo di progetto                 
"Tutela della privacy";                                                         
b) collaborare con il Titolare per definire linee guida in materia di           
protezione dei dati personali di cui al Paragrafo 2 lett. b);                   
c) curare la redazione dei disciplinari tecnici trasversali adottati            
dal Direttore generale competente in materia di Sistemi informativi e           
Telematica, di cui al paragrafo 3.2 lett. b), promuovendone anche               
l'aggiornamento ogni qualvolta l'evoluzione tecnica o normativa lo              
renda necessario ed esprimere il parere di regolarita' amministrativa           
nei relativi atti di adozione;                                                  
d) curare la redazione del Disciplinare Tecnico relativo alle                   
modalita' e alle procedure per l'effettuazione di controlli                     
sull'utilizzo delle strumentazioni informatiche, adottato dal                   
Direttore generale competente in materia di Organizzazione, di cui al           
paragrafo 3.2 lett. b);                                                         
e) supervisionare, collaborando con i Responsabili del trattamento di           
cui al paragrafo 3, i disciplinari tecnici di settore prima della               
loro adozione per garantire la coerenza con le linee guida in materia           
di protezione dei dati personali di cui al paragrafo 2 lett. b),                
promuovendone l'aggiornamento ogni qualvolta l'evoluzione tecnica o             
normativa lo renda necessario;                                                  
f) attivarsi ogni qualvolta venga avvertito un problema di sicurezza            
per: - verificare il rispetto delle misure minime di sicurezza; -               
individuare, se necessario, altre misure idonee al miglioramento                
della sicurezza dei trattamenti dei dati personali;  - inviare                  
opportuna segnalazione in prima istanza ai Responsabili dei                     
trattamenti e in ultima istanza al Titolare, affinche' pongano in               
essere le misure necessarie per garantire la sicurezza dei dati;                
g) individuare le misure idonee da osservare nell'esecuzione dei                
trattamenti dei dati personali aggiornandole in relazione                       
all'evoluzione della tecnica, della normativa e dell'esperienza,                
segnalando eventuali problemi rilevati in prima istanza ai                      
Responsabili dei trattamenti di dati personali e, in ultima istanza,            
al Titolare;                                                                    
h) vigilare, per conto del Titolare, come indicato al paragrafo 2               
lett. g), anche tramite verifiche periodiche sulla puntuale                     
osservanza delle vigenti disposizioni in materia di trattamento, ivi            
compreso il profilo relativo alla sicurezza e al rispetto delle                 
proprie istruzioni, avvalendosi anche di professionalita' altamente             
specializzate e segnalando eventuali problemi rilevati, in prima                
istanza, ai Responsabili dei  trattamenti di dati personali e, in               
ultima istanza, al Titolare;                                                    
i) promuovere l'istruzione e la formazione, in collaborazione con il            
Servizio preposto, dei Responsabili e degli Incaricati dei                      
trattamenti dei dati personali, con particolare riferimento                     
all'adozione e all'osservanza delle singole misure di sicurezza;                
j) promuovere, in collaborazione con il Servizio preposto e con il              
Coordinatore del diritto di accesso dell'interessato ai propri dati             
personali, la cultura della sicurezza anche attraverso un piano di              
comunicazione e divulgazione all'interno della Giunta regionale;                
k) individuare e promuovere, in collaborazione con il Coordinatore              
del diritto di accesso dell'interessato ai propri dati personali di             
cui al paragrafo 6, le misure idonee a garantire l'esercizio dei                
diritti di cui all'art. 7 del Codice, anche mediante software che               
consentano il facile, agevole e approfondito reperimento di tutti i             
dati personali trattati in forma elettronica nell'ambito della Giunta           
regionale;                                                                      
l) raccogliere e conservare ai fini di eventuali verifiche, le                  
attestazioni di conformita' alle disposizioni della misura 25                   
dell'Allegato B del Codice.                                                     
6 - Il Coordinatore del diritto di accesso dell'interessato ai propri           
dati personali                                                                  
Il Codice, agli artt. 7 e ss., attribuisce agli interessati il potere           
di esercitare, sui propri dati personali, un diritto di accesso,                
relativo sia alla conoscenza dei dati stessi che ad un intervento (ad           
es., di integrazione o cancellazione).                                          
L'art. 10, comma 1, lettera b) del Codice, stabilisce inoltre che il            
titolare e' tenuto ad adottare idonee misure volte, in particolare, a           
semplificare le modalita' e a ridurre i tempi per il riscontro al               
richiedente, anche nell'ambito di uffici o servizi preposti alle                
relazioni con il pubblico.                                                      
Si reputa quindi opportuno, in ragione della complessita'                       
organizzativa della Giunta regionale designare un soggetto con la               
specifica responsabilita' di operare per la sensibilizzazione e il              
coordinamento di tale diritto, denominandolo "Coordinatore del                  
diritto di accesso dell'interessato ai propri dati personali".                  
Al Coordinatore del diritto di accesso dell'interessato ai propri               
dati personali della Giunta regionale, sono affidati i seguenti                 
compiti:                                                                        
a) promuovere il coordinamento e la sensibilizzazione dei                       
Responsabili e degli incaricati del trattamento dei dati, sia in via            
generale e preventiva che su singola richiesta, sui diritti di cui              
all'art. 7 e ss. del Codice, sul loro contenuto, sulla loro                     
applicazione e sulle modalita' di ottemperanza alle richieste                   
dell'interessato;                                                               
b) collaborare con il Titolare per definire linee guida in materia di           
protezione dei dati personali di cui al Paragrafo 2 lett. b),                   
relativamente al diritto di accesso agli stessi dati da parte                   
dell'interessato;                                                               
c) curare la redazione del Disciplinare tecnico trasversale per                 
l'esercizio del diritto di accesso dell'interessato ai propri dati              
personali, di cui al Paragrafo 3.2, promuovendone anche                         
l'aggiornamento ogni qualvolta l'evoluzione organizzativa o normativa           
lo renda necessario ed esprimere il parere di regolarita'                       
amministrativa nel relativo atto di adozione;                                   
d) supervisionare, collaborando con i Direttori generali di                     
riferimento, i Disciplinari tecnici di settore prima della loro                 
adozione per garantire la coerenza con le linee guida in materia di             
protezione dei dati personali relativamente al diritto di accesso a             
tali dati di cui al paragrafo 2 lett. b), promuovendone                         
l'aggiornamento ogni qualvolta l'evoluzione organizzativa o normativa           
lo renda necessario;                                                            
e) collaborare con i singoli interessati, anche fornendo istruzioni             
sul contenuto dei diritti di cui all'art. 7 del Codice e sulla                  
procedura per il loro esercizio, alla redazione e compilazione delle            
istanze per l'esercizio dei diritti medesimi;                                   
f) smistare le singole istanze verso i Responsabili del trattamento,            
responsabili anche del riscontro e competenti ad ottemperare alle               
medesime istanze;                                                               
g) vigilare, per conto del Titolare, come indicato al paragrafo 2               
lett. g), sul puntuale e corretto invio del riscontro, segnalando               
eventuali problemi rilevati, in prima istanza, ai Responsabili dei              
trattamenti di dati personali e, in ultima istanza, al Titolare;                
h) proporre l'adozione delle singole misure ritenute opportune per              
agevolare l'accesso ai dati personali da parte dell'interessato,                
coordinandosi con i responsabili del trattamento e proporre le misure           
opportune per semplificare le modalita' di accesso e per ridurre i              
tempi di attesa, indicandole, laddove necessario, ai responsabili del           
trattamento e al Responsabile della sicurezza;                                  
i) curare la pubblicazione e il relativo aggiornamento dell'elenco              
dei responsabili esterni di cui al Paragrafo 4, in base alle                    
comunicazioni effettuate dai responsabili del trattamento di cui alla           
lettera n) del paragrafo 3.1;                                                   
j) individuare e promuovere, in collaborazione con il responsabile              
della sicurezza di cui al paragrafo 5, le misure idonee a garantire             
l'esercizio dei diritti di cui all'art. 7 del Codice, anche mediante            
software che consentano il facile, agevole e approfondito reperimento           
di tutti i dati personali trattati in forma elettronica nell'ambito             
della Giunta regionale;                                                         
k) promuovere l'istruzione e la formazione, in collaborazione con il            
Servizio preposto, dei responsabili e degli Incaricati dei                      
trattamenti dei dati personali, con particolare riferimento                     
all'osservanza delle procedure da adottare per favorire l'esercizio             
del diritto di accesso degli interessati ai propri dati personali;              
l) promuovere, in collaborazione con il Servizio preposto e con il              
Responsabile della sicurezza, la cultura sui diritti                            
dell'interessato, anche attraverso un piano di comunicazione e                  
divulgazione all'interno dell'Ente;                                             
m) proporre l'adozione di ogni altro provvedimento e adempimento                
necessario per la corretta applicazione dell'art. 7 e ss. del                   
Codice.                                                                         
7 - Gli incaricati - Criteri generali per l'individuazione delle                
persone fisiche e per le istruzioni da impartire alle stesse                    
L'art. 4, lettera h) e l'art. 30 del Codice stabiliscono che il                 
titolare o il responsabile devono designare, quale incaricati del               
trattamento di dati personali, le persone fisiche che effettuano le             
operazioni di trattamento, operando sotto la loro diretta autorita'.            
Devono pertanto essere designati quali incaricati, qualora effettuino           
operazioni di trattamento, non soltanto i dipendenti a tempo                    
indeterminato o determinato, ma anche gli altri soggetti che, ad                
altro titolo, operano sotto la diretta autorita' del Titolare di cui            
ai paragrafi 1 e 2 o del Responsabile del trattamento di cui ai                 
paragrafi 3 e 4, quali, ad esempio, i lavoratori con contratto di               
somministrazione di lavoro a tempo determinato e, di norma, i                   
collaboratori a progetto. In quest'ultimo caso la designazione deve             
essere contenuta anche nel contratto individuale.                               
Il Codice specifica inoltre che la designazione:                                
a) deve essere effettuata per iscritto, individuando puntualmente               
l'ambito del trattamento consentito;                                            
b) e' considerata quale designazione anche la documentata                       
preposizione della persona fisica ad una unita' organizzativa per la            
quale e' individuato, per iscritto, l'ambito del trattamento                    
consentito agli addetti all'unita' medesima.                                    
I Responsabili del trattamento di cui ai paragrafi 3 e 4, ovvero i              
soggetti a cui questo compito e' stato delegato, devono pertanto                
designare per iscritto i soggetti autorizzati ad effettuare le                  
operazioni di trattamento. La designazione deve essere aggiornata               
almeno annualmente.                                                             
Nel periodo intercorrente tra una designazione ed il successivo                 
aggiornamento gli incaricati sono comunque autorizzati ad effettuare            
le operazioni direttamente conseguenti, strumentali e strettamente              
necessarie allo svolgimento della propria attivita' lavorativa, sia             
nel caso in cui siano agli stessi attribuiti nuovi compiti, previsti            
per adempiere a finalita' istituzionali, che comportino trattamenti             
di dati personali, sia nel caso in cui, a qualunque titolo, siano               
reclutate altre persone fisiche che compiano trattamenti di dati                
personali quali incaricati. E' comunque necessario che ad ogni nuovo            
incaricato sia data conoscenza delle linee guida regionali in materia           
di protezione dei dati personali e dei Disciplinari tecnici relativi            
allo svolgimento della propria attivita' lavorativa, come stabilito             
al paragrafo 7.2.                                                               
I Responsabili del trattamento di cui al paragrafo 3 effettuano la              
designazione scritta adottando una specifica determinazione.                    
7.1 Criteri per l'individuazione degli incaricati                               
Tenuto conto della estrema diversita' di ampiezza delle strutture di            
riferimento dei trattamenti sia relativamente al numero di soggetti             
che vi operano in qualita' di incaricati, sia del numero di                     
trattamenti di dati personali di competenza della struttura stessa,             
si stabiliscono diverse modalita' con le quali i soggetti competenti            
- con particolare riferimento ai soggetti di cui al paragrafo 3 -               
possono effettuare tale designazione.                                           
I suddetti soggetti possono effettuare la designazione:                         
a) prendendo a riferimento l'intera struttura di propria competenza             
(Gabinetto del Presidente, Direzione generale, Agenzia, Servizio,               
ecc.), soprattutto qualora la stessa sia di dimensioni ridotte sia              
per numero di incaricati che di trattamenti;                                    
b) suddividendo la struttura di competenza in unita' organizzative di           
minori dimensioni (quali le Posizioni dirigenziali Professional, le             
Posizioni organizzative o le Alte professionalita').                            
Per ciascuna struttura di competenza o unita' organizzativa di minori           
dimensioni devono essere individuati puntualmente i trattamenti                 
effettuati dalla stessa, anche tramite riferimento all'elenco dei               
trattamenti di cui al paragrafo 3.1, lettera d).                                
Gli incaricati sono quindi designati:                                           
a) tramite individuazione nominativa (nome e cognome) delle persone             
fisiche. In questo caso occorre specificare, per ciascun nominativo,            
i trattamenti che lo stesso e' autorizzato ad effettuare;                       
b) tramite rinvio alla posizione lavorativa (standard e/o concreta              
del singolo dipendente), contenuta nell'apposito Repertorio, di                 
ciascuno o di alcuni dei dipendenti assegnati a quella determinata              
struttura o unita' organizzativa, qualora nelle suddette posizioni              
lavorative siano gia' sufficientemente specificati i trattamenti                
effettuati (e cio' con particolare riferimento alle specifiche                  
assegnazioni contenute nelle posizioni lavorative concrete dei                  
singoli dipendenti);                                                            
c) tramite assegnazione funzionale della persona fisica alla unita'             
organizzativa di minori dimensioni, qualora la persona fisica                   
effettui tutti i trattamenti individuati puntualmente per tale                  
unita'.                                                                         
7.2 Istruzioni da impartire agli incaricati                                     
La designazione scritta deve inoltre contenere le istruzioni                    
impartite agli incaricati del trattamento.                                      
Tali istruzioni, oltre a riguardare eventuali aspetti di dettaglio da           
diversificare in relazione alle specificita' dei singoli trattamenti,           
devono quanto meno contenere un espresso richiamo alle linee guida              
regionali per la protezione dei dati personali e ai Disciplinari                
tecnici di cui al Paragrafo 3.                                                  
Le suddette linee guida e i disciplinari tecnici devono essere                  
portati a conoscenza di tutti gli incaricati, con le modalita'                  
organizzative ritenute piu' idonee. Le modalita' devono comunque                
essere tali da garantire la ricezione delle istruzioni da parte di              
ogni incaricato di trattamento di dati personali.                               
7.3 Individuazione dei dirigenti Responsabili di Servizio quali                 
incaricati di trattamenti di dati personali                                     
I dirigenti Responsabili di Servizio sono incaricati dei trattamenti            
di dati relativamente a tutte le operazioni necessarie per:                     
a) la gestione del personale assegnato;                                         
b) lo svolgimento delle funzioni formalmente attribuite alla                    
struttura di competenza.                                                        
Le istruzioni per l'effettuazione dei trattamenti di dati personali             
conseguenti e strumentali alle sopra riportate lettere a) e b) sono             
le seguenti:                                                                    
- devono essere effettuate soltanto le operazioni strettamente                  
necessarie all'espletamento delle proprie funzioni;                             
- deve essere in ogni caso verificata la legittimita' e la                      
correttezza dei trattamenti effettuati, con particolare riferimento             
agli artt. 11, 13 e 18 e ss. del Codice;                                        
- devono essere scrupolosamente seguite le procedure e le modalita'             
comportamentali stabilite dalle linee guida regionali in materia di             
protezione dei dati personali e dai Disciplinari tecnici previsti dal           
presente atto.                                                                  

Regione Emilia-Romagna (CF 800.625.903.79) - Viale Aldo Moro 52, 40127 Bologna - Centralino: 051.5271

Ufficio Relazioni con il Pubblico: Numero Verde URP: 800 66.22.00, urp@regione.emilia-romagna.it, urp@postacert.regione.emilia-romagna.it