DELIBERAZIONE DELL'UFFICIO DI PRESIDENZA DELL'ASSEMBLEA LEGISLATIVA DELLA REGIONE EMILIA-ROMAGNA 18 ottobre 2006, n. 197
Direttiva e Linee guida dell'Assemblea legislativa della Regione Emilia-Romagna in materia di protezione dei dati personali, con particolare riferimento alla ripartizione di competenze tra i soggetti che effettuano il trattamento. Modifica ed integrazione della deliberazione 45/03 e 1/05 (proposta n. 197)
L'UFFICIO DI PRESIDENZA
Visto il DLgs n. 196 del 30 giugno 2003 "Codice in materia di
protezione dei dati personali", di seguito denominato Codice;
viste le proprie deliberazioni:
- n. 45 del 10 marzo 2003 ed in particolare l'Allegato 5 della stessa,
relativo alle "Responsabilita' dirigenziali in materia di trattamento
dei dati personali";
- n. 180 del 5 ottobre 2004 concernente "Designazione dei Responsabili
del trattamento dei dati personali presso il Consiglio regionale, ai
sensi del DLgs n. 196 del 30 giugno 2003";
- n. 1 del 12 gennaio 2005 concernente "Designazione dei soggetti
responsabili in materia di trattamento dei dati personali di cui
all'Allegato 5 della deliberazione dell'Ufficio di Presidenza 45/03,
in particolare del Responsabile del diritto d'accesso e dei soggetti
esterni preposti dal Consiglio regionale al trattamento dati";
considerato:
- che il Codice ha integrato e modificato la normativa in materia di
protezione dei dati personali, cosi' da rendere necessario un
ripensamento in ordine alla definizione e ripartizione delle
competenze e responsabilita' all'interno dell'Assemblea legislativa
della Regione Emilia-Romagna, di seguito chiamata Assemblea
legislativa;
- che la nota pervenuta dalla Conferenza dei Presidenti
dell'Assemblea, dei Consigli regionali e delle Province autonome
(protocollo n. 8409 del 29/5/2006) ha esposto alcuni aspetti della
regolamentazione della privacy per i trattamenti di cui e' titolare il
Consiglio regionale riguardanti in particolare le strutture speciali
di segreteria dei Gruppi assembleari e quelle di supporto agli Organi
di direzione politica;
in specifico nella citata nota si sottolinea che i Gruppi consiliari
"svolgono essenzialmente due tipi di attivita': una, istituzionale,
collegata alle funzioni dei Consiglieri; l'altra politico-partitica,
come proiezioni consiliari dei partiti politici, che non ha rilievo
istituzionale e che non coinvolge il Consiglio, ma che resta
nell'ambito delle attivita' proprie di una associazione privata". Per
il primo tipo di attivita' viene data come indicazione di designare
Responsabili di trattamento dei dati i Capigruppo, quale espressione
della titolarita' del Consiglio oppure il Direttore generale. "Per
l'attivita' politico-partitica i Gruppi consiliari, in quanto
associazioni private, devono applicare autonomamente la disciplina del
Codice prevista per i soggetti privati (cioe' per esempio consenso per
il trattamento dei dati, autorizzazioni del Garante, nomina degli
incaricati per la parte politico-partitica)". "Allo stesso modo dei
Gruppi consiliari si ritiene vadano considerate le strutture speciali
di supporto agli organi di direzione politica (Uffici di Gabinetto,
Segreterie particolari, Segreterie dei Presidenti di Commissione). Si
e' sempre di fronte a strutture che non svolgono una funzione autonoma
nelle procedure in cui si verificano trattamento dei dati, ma che
intervengono in esse esclusivamente come supporto ai Consiglieri". Per
queste strutture speciali "valgono quindi le stesse considerazioni
fatte per i Gruppi" e "una soluzione analoga";
ritenuto, anche al fine di dare organicita' e coerenza
all'applicazione del Codice in relazione ai diversi aspetti relativi
alla designazione dei Responsabili del trattamento dei dati personali,
di sostituire l'Allegato 5 della propria deliberazione 45/03 con
l'Allegato A), parte integrante e sostanziale della presente
deliberazione e di integrare la deliberazione 1/05 con la disciplina
di cui al presente atto:
- individuando come "Responsabile di primo livello del trattamento dei
dati personali" effettuati presso le strutture ordinarie e speciali
(qualora queste ultime svolgano attivita' istituzionale collegata alle
funzioni dei Consiglieri) il Direttore generale, per la durata
dell'incarico dirigenziale attualmente conferito, compresi eventuali
rinnovi dello stesso incarico, salvo revoca effettuata con proprio
successivo atto;
- confermando come "Responsabili di secondo livello del trattamento
dei dati personali" i Responsabili di Servizio per i rispettivi ambiti
di competenza e per la durata degli incarichi dirigenziali attualmente
conferiti, compresi eventuali rinnovi degli stessi incarichi
(individuazione effettuata con deliberazione 180/04);
- confermando la designazione del Direttore generale quale
"Responsabile del diritto d'accesso dell'interessato ai propri dati
personali", per la durata dell'incarico dirigenziale attualmente
conferito, compresi eventuali rinnovi dello stesso incarico, salvo
revoca effettuata con proprio successivo atto (designazione effettuata
con deliberazione 1/05);
- designando quale "Responsabile della sicurezza" il Responsabile del
Servizio "Gestione e Sviluppo" per la durata dell'incarico
dirigenziale attualmente conferito, compresi eventuali rinnovi dello
stesso incarico, salvo revoca effettuata con proprio successivo atto;
valutato, inoltre, che la tutela del patrimonio delle informazioni
riveste importanza strategica per l'Assemblea legislativa, oltre che
essere soggetta a precisi vincoli di legge imposti dal Codice, per cui
si rende necessario attivare Linee guida, contenute nell'Allegato B)
della presente deliberazione, al fine di assicurare maggiore
organicita' e coordinamento all'attivita' delle strutture
dell'Assemblea legislativa, anche attraverso la riprogettazione di
procedure e di prassi, l'aggiornamento del personale e l'adeguamento
di modalita' comportamentali nonche', eventualmente, l'adeguamento dei
programmi informatici e delle relative attrezzature impiegate;
tenuto presente che, una volta approvate le Linee guida, verranno
elaborate indicazioni applicative del Codice, anche attraverso la
predisposizione di un manuale operativo ad hoc e di Disciplinari
tecnici che contribuiranno alla riduzione dei rischi a cui i
trattamenti dei dati personali possono essere sottoposti in quanto
definiranno i corretti comportamenti da tenere;
dato atto del parere di regolarita' amministrativa espresso dal
Direttore generale, dott. Pietro Curzio;
a voti unanimi, delibera:
1) di approvare la "Direttiva in materia di trattamento di dati
personali" di cui all'Allegato A), parte integrante e sostanziale
della presente deliberazione che sostituisce l'Allegato 5 della
deliberazione n. 45 del 10 marzo 2003;
2) di approvare le "Linee guida dell'Assemblea legislativa della
Regione Emilia-Romagna in materia di protezione dei dati personali" di
cui all'Allegato B), parte integrante e sostanziale della presente
deliberazione;
3) di integrare la propria deliberazione n. 1 del 12 gennaio 2005 con
la disciplina di cui al presente atto, confermando la designazione
nominativa del "Responsabile del diritto di accesso dell'interessato
ai propri dati personali" per la durata dell'incarico dirigenziale
attualmente conferito, compresi eventuali rinnovi dello stesso, salvo
revoca effettuata con proprio successivo atto;
4) di individuare come "Responsabile di primo livello del trattamento
dei dati personali" effettuati presso le strutture ordinarie e
speciali (qualora queste ultime svolgano attivita' istituzionale
collegata alle funzioni dei Consiglieri) il Direttore generale, per la
durata dell'incarico dirigenziale attualmente conferito, compresi
eventuali rinnovi dello stesso incarico, salvo revoca effettuata con
proprio successivo atto;
5) di confermare come "Responsabili di secondo livello del trattamento
dei dati personali" i Responsabili di Servizio per i rispettivi ambiti
di competenza e per la durata degli incarichi dirigenziali attualmente
conferiti, compresi eventuali rinnovi degli stessi incarichi
(individuazione effettuata con deliberazione 180/04);
6) di designare quale "Responsabile della sicurezza" il Responsabile
del Servizio Gestione e Sviluppo, per la durata dell'incarico
dirigenziale attualmente conferito, compresi eventuali rinnovi dello
stesso, salvo revoca effettuata con proprio successivo atto;
7) di pubblicare la presente deliberazione nel Bollettino Ufficiale
della Regione Emilia-Romagna.
ALLEGATO A)
Direttiva in materia di trattamento di dati personali con particolare
riferimento alla ripartizione di competenze tra i soggetti che
effettuano il trattamento
1. Indirizzi generali
II Codice detta una complessa disciplina di carattere generale in
materia di protezione dei dati personali, prevedendo molteplici
obblighi ed adempimenti a carico dei soggetti che trattano dati
personali, ivi comprese le pubbliche Amministrazioni.
Occorre pertanto delineare ed articolare le specifiche responsabilita'
relative ai suddetti obblighi ed adempimenti, ripartendo compiti e
funzioni tra i soggetti competenti tenuto conto della specifica
organizzazione dell'Assemblea legislativa.
Il Codice individua tre tipologie di soggetti che effettuano il
trattamento di dati personali ed in particolare:
a) il titolare: la pubblica Amministrazione cui competono, anche
unitariamente ad altro titolare, le decisioni in ordine alle
finalita', alle modalita' del trattamento di dati personali e agli
altri strumenti utilizzati, ivi compreso il profilo della sicurezza;
b) il responsabile: la persona fisica, la persona giuridica, la
pubblica Amministrazione e qualsiasi altro ente, associazione od
organismo preposti dal titolare al trattamento di dati personali;
c) gli incaricati: le persone fisiche autorizzate a compiere
operazioni di trattamento dal titolare o dal responsabile.
Il presente atto individua le competenze del titolare, designa i
soggetti Responsabili del trattamento e definisce i criteri generali
da rispettare nell'individuazione dei soggetti incaricati a compiere
le operazioni di trattamento.
2. Il Titolare - Funzioni
Ai sensi dell'art. 4, comma 1, lettera f) e dell'art. 28 del Codice,
il titolare dei trattamenti di dati personali e' l'Assemblea
legislativa ai cui Organi spetta, nel rispetto delle relative
competenze, l'adozione degli atti contenenti le scelte di fondo in
ordine alle finalita', alle modalita' del trattamento di dati
personali e agli strumenti utilizzati, ivi compreso il profilo della
sicurezza.
Spetta pertanto in particolare all'Assemblea legislativa:
A) approvare il regolamento, i tipi di dati e di operazioni relative a
dati sensibili e/o giudiziari, in relazione alle specifiche finalita'
perseguite nei singoli casi e nel rispetto dei principi di cui
all'art. 22 del Codice, aggiornando tale individuazione
periodicamente.
Spetta in particolare all'Ufficio di Presidenza:
a) adottare con proprio atto Linee guida in materia di protezione dei
dati personali nell'Assemblea legislativa, al fine di dettare i
principi cui devono attenersi, nello svolgimento della propria
attivita', coloro che trattano dati personali nell'ambito
dell'Assemblea stessa, siano essi responsabili o incaricati del
trattamento;
b) adottare con proprio atto, aggiornandolo periodicamente, il
Documento programmatico per la sicurezza previsto dall'art. 34,
lettera g) del Codice e riferire della sua adozione nella relazione
accompagnatoria del bilancio di esercizio;
c) designare il Responsabile della sicurezza di cui al successivo
paragrafo 5;
d) designare il Responsabile del diritto di accesso dell'interessato
ai propri dati personali di cui al successivo paragrafo 6;
e) designare altri soggetti quali Responsabili del trattamento di dati
personali, oltre ai soggetti gia' designati con il presente atto;
f) vigilare, anche tramite verifiche periodiche, sulla puntuale
osservanza delle vigenti disposizioni in materia di trattamento, ivi
compreso il profilo relativo alla sicurezza, e sul rispetto delle
proprie istruzioni. Tali verifiche saranno effettuate tramite i
Responsabili dei trattamenti di cui al paragrafo 3 e il Responsabile
della sicurezza di cui al paragrafo 5.
La funzione relativa alla sottoscrizione del consenso, richiesto da
soggetti privati che trattano i dati dell'Assemblea legislativa, e'
direttamente attribuita ai soggetti designati quali Responsabili del
trattamento di dati personali di cui al paragrafo 3, quale compito
specifico degli stessi, come analiticamente individuato alla lettera
g) del paragrafo 3.1.
3. I Responsabili del trattamento di dati personali - Designazione e
compiti
Ai sensi dell'art. 4, comma 1, lettera g) e dell'art. 29 del Codice,
il Responsabile del trattamento di dati personali e' il soggetto
preposto dal Titolare al suddetto trattamento tramite designazione,
specificando analiticamente per iscritto i compiti che gli sono
affidati.
Con il presente atto sono designati:
- il Direttore generale come "Responsabile di primo livello del
trattamento dei dati personali" effettuati presso le strutture
ordinarie e speciali (qualora queste ultime svolgano attivita'
istituzionale collegata alle funzioni dei Consiglieri);
- i Responsabili di Servizio, per i rispettivi ambiti di competenza,
come "Responsabili di secondo livello del trattamento dei dati
personali".
Relativamente ai trattamenti di dati personali trasversali a piu'
Servizi o strutture si applica il criterio del maggiore ambito
decisionale.
Il Direttore generale puo' costituire, con propria determinazione,
gruppi di lavoro anche trasversali a piu' Servizi e qualora
l'attivita' del gruppo di lavoro comporti anche un trattamento di dati
personali, il Direttore generale e' Responsabile anche di tale
trattamento.
3.1 - Compiti dei Responsabili del trattamento di dati personali
I compiti affidati ai Responsabili del trattamento sono i seguenti:
a) verificare la legittimita' dei trattamenti di dati personali
effettuati dalla struttura di riferimento, con particolare riguardo al
principio di necessita' di cui all'art. 3 del Codice, sia
relativamente ai trattamenti gia' in essere sia ai nuovi trattamenti;
b) disporre, in conseguenza alla verifica di cui alla lettera a), le
modifiche necessarie al trattamento perche' lo stesso sia conforme
alla normativa vigente ovvero disporre la cessazione di qualsiasi
trattamento effettuato in violazione alla stessa;
c) vigilare, per conto del Titolare, come indicato al paragrafo 2,
lett. f), anche tramite verifiche periodiche, sulla puntuale
osservanza delle vigenti disposizioni in materia di trattamento, ivi
compreso il profilo relativo alla sicurezza e sul rispetto delle
proprie istruzioni e segnalando eventuali problemi al Responsabile
della sicurezza di cui al paragrafo 5 e, in ultima istanza, al
Titolare;
d) aggiornare periodicamente l'elenco dei trattamenti di dati
personali effettuati dalla struttura di riferimento, anche al fine di
garantire un tempestivo aggiornamento del Documento programmatico per
la sicurezza;
e) aggiornare periodicamente, in particolare, l'elenco dei trattamenti
di dati sensibili e/o giudiziari, anche al fine di aggiornare il
relativo Regolamento, di cui alla lettera A) del paragrafo 2;
f) predisporre l'informativa di cui all'art. 13 del Codice e
verificare che siano adottate le modalita' operative necessarie
perche' la stessa sia effettivamente portata a conoscenza degli
interessati;
g) sottoscrivere il consenso richiesto da soggetti privati che
trattano i dati dell'Assemblea legislativa, qualora non si rientri nei
casi di cui all'art. 24 del Codice;
h) individuare gli incaricati del trattamento dei dati personali e
fornire agli stessi istruzioni per il corretto trattamento dei dati
stessi, sovrintendendo e vigilando sull'attuazione delle istruzioni
impartite; tale individuazione deve essere effettuata secondo quanto
stabilito al paragrafo 7 e quindi, in particolare, le istruzioni
devono quanto meno contenere l'espresso richiamo alle Linee guida
regionali per la protezione dei dati personali e ai Disciplinari
tecnici che saranno adottati;
i) predisporre ogni adempimento organizzativo necessario per garantire
agli interessati il diritto di accesso ai propri dati personali,
secondo quanto stabilito dagli artt. 7 e ss. del Codice, in
conformita' a quanto sara' stabilito dal Disciplinare tecnico per
l'esercizio del diritto di accesso ai propri dati personali e
collaborando con il Responsabile del diritto di accesso
dell'interessato ai propri dati personali di cui al paragrafo 6;
j) provvedere, anche tramite gli incaricati, a dare riscontro alle
istanze degli interessati per l'esercizio del diritto di accesso, con
le specifiche modalita' che saranno definite nel Disciplinare tecnico
per l'esercizio del diritto di accesso degli interessati ai propri
dati personali;
k) provvedere direttamente al riscontro nei seguenti casi: qualora
l'istanza dell'interessato sia volta ad ottenere la cancellazione, la
trasformazione in forma anonima o il blocco dei dati trattati in
violazione di legge, secondo quanto previsto dal comma 3, lettera b)
dell'art. 7 del Codice; qualora si tratti di opposizione al
trattamento, secondo quanto previsto dal comma 4 dell'art. 7 del
Codice e qualora occorra prorogare il termine per il riscontro, previa
comunicazione all'interessato nel caso di richiesta di particolare
complessita' o per altro giustificato motivo, secondo quanto previsto
dal comma 3 dell'art. 146 del Codice;
l) disporre l'adozione dei provvedimenti imposti dal Garante quale
misura conseguente all'accoglimento delle richieste degli
interessati;
m) predisporre la documentazione e gli atti necessari per il Garante
nei casi e nei modi previsti dalla legge;
n) comunicare al Responsabile del diritto di accesso l'individuazione
dei Responsabili esterni effettuata secondo quanto stabilito al
paragrafo 4;
o) collaborare con il Responsabile della sicurezza e con il
Responsabile del diritto di accesso dell'interessato ai propri dati
personali;
p) adottare specifici Disciplinari tecnici di settore, anche
congiuntamente con altri Responsabili del trattamento, per stabilire e
dettagliare le modalita' di effettuazione di particolari trattamenti
di dati personali relativi alla propria area di competenza;
q) individuare da parte del Direttore generale, negli atti di
costituzione di gruppi di lavoro comportanti il trattamento di dati
personali, i soggetti che effettuano tali trattamenti quali
incaricati, specificando, nello stesso atto di costituzione, anche le
relative istruzioni;
r) garantire al Responsabile della sicurezza i necessari permessi di
accesso ai dati ed ai sistemi per l'effettuazione delle verifiche di
sicurezza a seguito di incidenti, l'individuazione delle misure idonee
di sicurezza (di cui al par. 5 lett. f), i controlli e l'attivita' di
vigilanza sull'osservanza delle disposizioni di sicurezza vigenti (di
cui al par. 5 lett. g);
s) provvedere direttamente o dare istruzioni al soggetto competente,
affinche' nei contratti con soggetti esterni che comportano l'adozione
di misure minime di sicurezza, sia prevista l'attestazione di
conformita' dell'intervento ai sensi della misura 25 dell'Allegato B
del Codice, e che tale attestazione sia trasmessa al Responsabile del
trattamento.
Inoltre al Direttore generale quale "Responsabile di primo livello del
trattamento di dati personali" sono affidati compiti di coordinamento,
raccordo e supervisione sull'attivita' dei "Responsabili di secondo
livello", per quanto riguarda l'applicazione uniforme degli
adempimenti previsti dalla normativa.
3.2 - Compiti delegabili ad altri Dirigenti
L'individuazione dei compiti affidati ai Responsabili del trattamento
di dati personali di cui al paragrafo precedente contiene anche
compiti non ascrivibili a funzioni di direzione, coordinamento
generale e controllo. Pertanto, fermo restando che i suddetti compiti
devono restare di competenza dei Responsabili del trattamento, sono
delegabili, in base ai principi generali relativi all'istituto della
delega, i compiti di cui alle lettere a), b), d), e), h), j) e n) del
paragrafo 3.1.
Tali compiti sono delegabili:
a) ai Dirigenti Responsabili di servizio;
b) ai Dirigenti Professional assegnati alla struttura relativamente ai
trattamenti di diretta responsabilita' della stessa.
Soltanto il soggetto delegante e' comunque Responsabile del
trattamento secondo quanto stabilito dall'art. 29 del Codice.
4. I Responsabili esterni - Designazione, individuazione e compiti
Si ritiene opportuno stabilire che siano designati, di norma, quali
Responsabili del trattamento di dati personali, i soggetti esterni
all'Assemblea legislativa che siano tenuti, a seguito di convenzione,
contratto, verbale di aggiudicazione o provvedimento di nomina, ad
effettuare trattamenti di dati personali per conto del titolare.
Pertanto, qualora occorra affidare un incarico comportante anche
trattamenti di dati personali, la scelta del soggetto deve essere
effettuata valutando anche l'esperienza, la capacita' e
l'affidabilita' in materia di protezione dei dati personali del
soggetto cui affidare l'incarico, affinche' lo stesso soggetto sia in
grado di fornire idonea garanzia del pieno rispetto delle vigenti
disposizioni in materia di trattamento, ivi compreso il profilo della
sicurezza.
Per poter operare tale valutazione, occorre quindi specificare che
l'incarico ricomprende anche la designazione a Responsabile del
trattamento di dati personali gia' nel bando di gara e nel capitolato
d'appalto.
Tale designazione deve essere effettuata direttamente in convenzione,
nel contratto, nel verbale di aggiudicazione o nel provvedimento di
nomina tramite:
a) l'indicazione nominativa qualora al trattamento di dati personali
siano preposte persone fisiche;
b) l'individuazione della persona giuridica qualora al suddetto
trattamento sia preposta una persona giuridica;
c) l'individuazione della pubblica Amministrazione o di qualsiasi
altro ente qualora al trattamento siano preposti rispettivamente una
pubblica Amministrazione o qualsiasi altro ente;
d) l'individuazione di una o piu' persone fisiche qualora, nei sopra
riportati casi di cui alle lettere b) e c), il trattamento di dati
personali riguardi esclusivamente un settore specifico e limitato
dell'ente.
Qualora siano presenti specifiche e peculiari esigenze, tale
individuazione non e' effettuata e quindi i soggetti esterni non sono
Responsabili del trattamento di dati personali, ma titolari o
contitolari dello stesso.
In tal caso, pertanto, si procede alla comunicazione dei dati
personali al soggetto esterno secondo le modalita' previste dal
Codice, dandone atto in convenzione, nel contratto o nel provvedimento
di nomina e, se necessario, stabilendo le modalita' per la
comunicazione.
Qualora i soggetti esterni siano persone fisiche ed operino sotto la
diretta autorita' di un Responsabile del trattamento di cui al
paragrafo 3, le stesse devono essere individuate quali incaricati del
trattamento, con le modalita' di cui al paragrafo 7.
4.1 - Compiti dei Responsabili esterni dei trattamenti di dati
personali
I compiti affidati ai Responsabili esterni del trattamento di dati
personali sono i seguenti:
a) adempiere all'incarico attribuito adottando idonee e preventive
misure di sicurezza, con particolare riferimento a quanto stabilito
dal Codice, dall'Allegato B) del Codice, dalle Linee guida regionali
in materia di protezione dei dati personali e dai Disciplinari tecnici
adottati e richiamati, in tutto o in parte, nello specifico incarico;
b) predisporre, qualora l'incarico comprenda la raccolta di dati
personali, l'informativa di cui all'art. 13 del Codice e verificare
che siano adottate le modalita' operative necessarie perche' la stessa
sia effettivamente portata a conoscenza degli interessati;
c) dare direttamente riscontro oralmente, anche tramite propri
incaricati, alle richieste verbali dell'interessato di cui ai commi 1
e 2 dell'art. 7 del Codice, con le modalita' che saranno individuate
dal Disciplinare tecnico in materia di esercizio del diritto di
accesso dell'interessato ai propri dati personali;
d) trasmettere, con la massima tempestivita', le istanze
dell'interessato per l'esercizio dei diritti di cui agli artt. 7 e ss.
del Codice che necessitino di riscontro scritto al Responsabile del
trattamento di cui al paragrafo 3, per consentire allo stesso di dare
riscontro all'interessato nei termini stabiliti dal Codice;
trasmettere tali istanze per conoscenza anche al Responsabile del
diritto di accesso dell'interessato ai propri dati personali, con le
modalita' che saranno stabilite dal Disciplinare tecnico per
l'esercizio dei diritti di accesso dell'interessato ai propri dati
personali;
e) fornire al Responsabile del trattamento di cui al paragrafo 3 la
massima assistenza, necessaria per soddisfare tali richieste,
nell'ambito dell'incarico affidatogli;
f) individuare gli incaricati del trattamento dei dati personali e
fornire agli stessi istruzioni per il corretto trattamento dei dati,
sovrintendendo e vigilando sull'attuazione delle istruzioni impartite;
tale individuazione deve essere effettuata secondo quanto stabilito al
paragrafo 7 e quindi, in particolare, le istruzioni devono quanto meno
contenere l'espresso richiamo alle Linee guida regionali in materia di
protezione dei dati personali e ai Disciplinari tecnici trasversali
e/o di settore gia' adottati dal soggetto regionale competente;
g) consentire al Titolare, dandogli piena collaborazione, verifiche
periodiche, tramite i Responsabili dei trattamenti di cui al paragrafo
3;
h) attestare, qualora l'incarico affidato ricomprenda l'adozione di
misure minime di sicurezza, la conformita' degli interventi alle
disposizioni di cui alla misura 25 dell'Allegato B) del Codice e
trasmettere tale attestazione al Responsabile di cui al paragrafo 3.
Tali compiti possono essere ulteriormente precisati e, qualora fosse
necessario, adattati alla natura dello specifico incarico comportante
il trattamento di dati personali attribuito al soggetto esterno. Le
specificazioni e/o gli adattamenti devono essere analiticamente
stabiliti in convenzione, nel contratto o nel provvedimento di
nomina.
5. Il Responsabile della sicurezza
Il Codice impone, in particolare al Titolo V, numerosi obblighi in
materia di sicurezza dei dati e dei sistemi.
Si reputa opportuno, in ragione sia della complessita' organizzativa
dell'Assemblea legislativa sia della peculiarita' della materia, che
richiede particolari competenze professionali anche tecniche,
designare un soggetto con la specifica responsabilita' di operare per
la sensibilizzazione, il coordinamento, la vigilanza e l'applicazione
di tali obblighi, secondo i compiti di seguito definiti.
Al Responsabile della sicurezza sono affidati i seguenti compiti:
a) collaborare alla redazione e all'aggiornamento del Documento
programmatico per la sicurezza avvalendosi anche di professionalita'
specializzate per l'analisi dei rischi;
b) collaborare con il Titolare per definire Linee guida in materia di
protezione dei dati personali di cui al paragrafo 2, lett. a);
c) curare la redazione dei Disciplinari tecnici trasversali che
saranno adottati dal Direttore generale, promuovendone anche
l'aggiornamento ogni qualvolta l'evoluzione tecnica o normativa lo
renda necessario;
d) collaborare alla redazione del Disciplinare tecnico relativo alle
modalita' e alle procedure per l'effettuazione di controlli
sull'utilizzo delle strumentazioni informatiche, che sara' adottato
dal Direttore generale;
e) supervisionare, collaborando con i Responsabili del trattamento di
cui al paragrafo 3, i Disciplinari tecnici di settore prima della loro
adozione per garantire la coerenza con le Linee guida in materia di
protezione dei dati personali di cui al paragrafo 2, lett. a),
promuovendone l'aggiornamento ogni qualvolta l'evoluzione tecnica o
normativa lo renda necessario;
f) attivarsi ogni qualvolta venga avvertito un problema di sicurezza
per:
- verificare il rispetto delle misure minime di sicurezza;
- individuare, se necessario, altre misure idonee al miglioramento
della sicurezza dei trattamenti dei dati personali;
- inviare opportuna segnalazione in prima istanza ai Responsabili dei
trattamenti e in ultima istanza al Titolare, affinche' pongano in
essere le misure necessarie per garantire la sicurezza dei dati;
g) individuare le misure idonee da osservare nell'esecuzione dei
trattamenti dei dati personali aggiornandole in relazione
all'evoluzione della tecnica, della normativa e dell'esperienza,
segnalando eventuali problemi rilevati in prima istanza ai
Responsabili dei trattamenti di dati personali e, in ultima istanza,
al Titolare;
h) vigilare, per conto del Titolare, come indicato al paragrafo 2,
lett. f), anche tramite verifiche periodiche sulla puntuale osservanza
delle vigenti disposizioni in materia di trattamento, ivi compreso il
profilo relativo alla sicurezza e al rispetto delle proprie
istruzioni, avvalendosi anche di professionalita' altamente
specializzate e segnalando eventuali problemi rilevati, in prima
istanza, ai Responsabili dei trattamenti di dati personali e, in
ultima istanza, al Titolare;
i) promuovere l'istruzione e la formazione, in collaborazione con il
Servizio preposto, dei Responsabili e degli incaricati dei trattamenti
dei dati personali, con particolare riferimento all'adozione e
all'osservanza delle singole misure di sicurezza;
j) promuovere, in collaborazione con il Responsabile del diritto di
accesso dell'interessato ai propri dati personali, la cultura della
sicurezza anche attraverso un piano di comunicazione e divulgazione
all'interno dell'Assemblea;
k) individuare e promuovere, in collaborazione con il Responsabile del
diritto di accesso dell'interessato ai propri dati personali di cui al
paragrafo 6, le misure idonee a garantire l'esercizio dei diritti di
cui all'art. 7 del Codice, anche mediante software che consentano il
facile, agevole e approfondito reperimento di tutti i dati personali
trattati in forma elettronica nell'ambito dell'Assemblea legislativa;
l) raccogliere e conservare ai fini di eventuali verifiche, le
attestazioni di conformita' alle disposizioni della misura 25
dell'Allegato B) del Codice.
6. Il Responsabile del diritto di accesso dell'interessato ai propri
dati personali
Il Codice, agli artt. 7 e ss., attribuisce agli interessati il potere
di esercitare, sui propri dati personali, un diritto di accesso,
relativo sia alla conoscenza dei dati stessi sia ad un intervento ad
es. di integrazione o cancellazione.
L'art. 10, comma 1, lettera b) del Codice, stabilisce inoltre che il
Titolare e' tenuto ad adottare idonee misure volte, in particolare, a
semplificare le modalita' e a ridurre i tempi per il riscontro al
richiedente, anche nell'ambito di uffici o servizi preposti alle
relazioni con il pubblico.
Si reputa quindi opportuno, in ragione della complessita'
organizzativa dell'Assemblea legislativa designare un soggetto con la
specifica responsabilita' di operare per la sensibilizzazione e il
coordinamento di tale diritto, denominandolo "Responsabile del diritto
di accesso dell'interessato ai propri dati personali".
A tale Responsabile sono affidati i seguenti compiti:
a) promuovere il coordinamento e la sensibilizzazione dei Responsabili
e degli incaricati del trattamento dei dati, sia in via generale e
preventiva sia su singola richiesta, sui diritti di cui all'art. 7 e
ss. del Codice, sul loro contenuto, sulla loro applicazione e sulle
modalita' di ottemperanza alle richieste dell'interessato;
b) collaborare con il Titolare per definire Linee guida in materia di
protezione dei dati personali di cui al paragrafo 2, lett. a),
relativamente al diritto di accesso agli stessi dati da parte
dell'interessato;
c) supervisionare la redazione del Disciplinare tecnico trasversale
per l'esercizio del diritto di accesso dell'interessato ai propri dati
personali promuovendone anche l'aggiornamento ogni qualvolta
l'evoluzione organizzativa o normativa lo renda necessario ed
esprimere il parere di regolarita' amministrativa nel relativo atto di
adozione;
d) supervisionare i Disciplinari tecnici di settore prima della loro
adozione per garantire la coerenza con le Linee guida in materia di
protezione dei dati personali relativamente al diritto di accesso a
tali dati di cui al paragrafo 2, lett. a), promuovendone
l'aggiornamento ogni qualvolta l'evoluzione organizzativa o normativa
lo renda necessario;
e) collaborare con i singoli interessati, anche fornendo istruzioni
sul contenuto dei diritti di cui all'art. 7 del Codice e sulla
procedura per il loro esercizio, alla redazione e compilazione delle
istanze per l'esercizio dei diritti medesimi;
f) smistare le singole istanze verso i Responsabili del trattamento,
responsabili anche del riscontro e competenti ad ottemperare alle
medesime istanze;
g) vigilare, per conto del Titolare, come indicato al paragrafo 2
lett. f), sul puntuale e corretto invio del riscontro, segnalando
eventuali problemi rilevati, in prima istanza, ai Responsabili dei
trattamenti di dati personali e, in ultima istanza, al Titolare;
h) proporre l'adozione delle singole misure ritenute opportune per
agevolare l'accesso ai dati personali da parte dell'interessato,
coordinandosi con i Responsabili del trattamento e proporre le misure
opportune per semplificare le modalita' di accesso e per ridurre i
tempi di attesa, indicandole, laddove necessario, ai Responsabili del
trattamento;
i) curare la pubblicazione e il relativo aggiornamento dell'elenco dei
Responsabili esterni di cui al paragrafo 4, in base alle comunicazioni
effettuate dai Responsabili del trattamento di cui alla lettera n) del
paragrafo 3.1;
j) individuare e promuovere, in collaborazione con il Responsabile
della sicurezza di cui al paragrafo 5, le misure idonee a garantire
l'esercizio dei diritti di cui all'art. 7 del Codice, anche mediante
software che consentano il facile, agevole e approfondito reperimento
di tutti i dati personali trattati in forma elettronica nell'ambito
dell'Assemblea legislativa;
k) promuovere l'istruzione e la formazione, in collaborazione con il
Servizio preposto, dei Responsabili e degli incaricati dei trattamenti
dei dati personali, con particolare riferimento all'osservanza delle
procedure da adottare per favorire l'esercizio del diritto di accesso
degli interessati ai propri dati personali;
l) promuovere, in collaborazione con il Servizio preposto e con il
Responsabile della sicurezza, la cultura sui diritti dell'interessato,
anche attraverso un piano di comunicazione e divulgazione all'interno
dell'Ente;
m) proporre l'adozione di ogni altro provvedimento e adempimento
necessario per la corretta applicazione dell'art. 7 e ss. del Codice.
7. Gli incaricati - Criteri generali per l'individuazione delle
persone fisiche e per le istruzioni da impartire alle stesse
L'art. 4, lettera h) e l'art. 30 del Codice stabiliscono che il
Titolare o il Responsabile devono designare, quale incaricati del
trattamento di dati personali, le persone fisiche che effettuano le
operazioni di trattamento, operando sotto la loro diretta autorita'.
Devono pertanto essere designati quali incaricati, qualora effettuino
operazioni di trattamento, non soltanto i dipendenti a tempo
indeterminato o determinato, ma anche gli altri soggetti che, ad altro
titolo, operano sotto la diretta autorita' del Titolare di cui al
paragrafo 2 o del Responsabile del trattamento di cui ai paragrafi 3 e
4, quali, ad esempio, i lavoratori con contratto di somministrazione
di lavoro a tempo determinato e, di norma, i collaboratori a progetto.
In quest'ultimo caso la designazione deve essere contenuta anche nel
contratto individuale.
Il Codice specifica inoltre che la designazione:
a) deve essere effettuata per iscritto, individuando puntualmente
l'ambito del trattamento consentito;
b) e' considerata quale designazione anche la documentata preposizione
della persona fisica ad una unita' organizzativa per la quale e'
individuato, per iscritto, l'ambito del trattamento consentito agli
addetti all'unita' medesima.
I Responsabili del trattamento di cui ai paragrafi 3 e 4, ovvero i
soggetti a cui questo compito e' stato delegato, devono pertanto
designare per iscritto i soggetti autorizzati ad effettuare le
operazioni di trattamento. La designazione deve essere aggiornata
almeno annualmente.
Nel periodo intercorrente tra una designazione ed il successivo
aggiornamento gli incaricati sono comunque autorizzati ad effettuare
le operazioni direttamente conseguenti, strumentali e strettamente
necessarie allo svolgimento della propria attivita' lavorativa, sia
nel caso in cui siano agli stessi attribuiti nuovi compiti, previsti
per adempiere a finalita' istituzionali, che comportino trattamenti di
dati personali, sia nel caso in cui, a qualunque titolo, siano
reclutate altre persone fisiche che compiano trattamenti di dati
personali quali incaricati. E' comunque necessario che ad ogni nuovo
incaricato sia data conoscenza delle Linee guida in materia di
protezione dei dati personali e dei Disciplinari tecnici relativi allo
svolgimento della propria attivita' lavorativa, come stabilito al
paragrafo 7.2.
I Responsabili del trattamento di cui al paragrafo 3 effettuano la
designazione scritta adottando una specifica determinazione.
7.1 - Criteri per l'individuazione degli incaricati
Tenuto conto della diversita' di ampiezza delle strutture di
riferimento dei trattamenti sia relativamente al numero di soggetti
che vi operano in qualita' di incaricati, sia del numero di
trattamenti di dati personali di competenza della struttura stessa, si
stabiliscono diverse modalita' con le quali i soggetti competenti -
con particolare riferimento ai soggetti di cui al paragrafo 3 -
possono effettuare tale designazione.
I suddetti soggetti possono effettuare la designazione:
a) prendendo a riferimento l'intera struttura di propria competenza
(es. Direzione generale, Servizio , ecc.), soprattutto qualora la
stessa sia di dimensioni ridotte per numero di incaricati e di
trattamenti;
b) suddividendo la struttura di competenza in unita' organizzative di
minori dimensioni (quali le Posizioni dirigenziali Professional, le
Posizioni organizzative o le Alte professionalita').
Per ciascuna struttura di competenza o unita' organizzativa di minori
dimensioni devono essere individuati puntualmente i trattamenti
effettuati dalla stessa, anche tramite riferimento all'elenco dei
trattamenti di cui al paragrafo 3.1, lettera d).
Gli incaricati sono quindi designati:
a) tramite individuazione nominativa (nome e cognome) delle persone
fisiche. In questo caso occorre specificare, per ciascun nominativo, i
trattamenti che lo stesso e' autorizzato ad effettuare;
b) tramite rinvio alla posizione lavorativa (standard e/o concreta del
singolo dipendente), contenuta nell'apposito Repertorio, di ciascuno o
di alcuni dei dipendenti assegnati a quella determinata struttura o
unita' organizzativa, qualora nelle suddette posizioni lavorative
siano gia' sufficientemente specificati i trattamenti effettuati (e
cio' con particolare riferimento alle specifiche assegnazioni
contenute nelle posizioni lavorative concrete dei singoli
dipendenti);
c) tramite assegnazione funzionale della persona fisica all'unita'
organizzativa di minori dimensioni, qualora la persona fisica effettui
tutti i trattamenti individuati puntualmente per tale unita'.
7.2 - Istruzioni da impartire agli incaricati
La designazione scritta deve inoltre contenere le istruzioni impartite
agli incaricati del trattamento.
Tali istruzioni, oltre a riguardare eventuali aspetti di dettaglio da
diversificare in relazione alle specificita' dei singoli trattamenti,
devono quanto meno contenere un espresso richiamo alle Linee guida per
la protezione dei dati personali e ai Disciplinari tecnici.
Le suddette Linee guida e i Disciplinari tecnici devono essere portati
a conoscenza di tutti gli incaricati, con le modalita' organizzative
ritenute piu' idonee. Le modalita' devono comunque essere tali da
garantire la ricezione delle istruzioni da parte di ogni incaricato di
trattamento di dati personali.
7.3 - Individuazione dei Dirigenti Responsabili di Servizio quali
incaricati di trattamenti di dati personali
I Dirigenti Responsabili di Servizio sono incaricati dei trattamenti
di dati relativamente a tutte le operazioni necessarie per:
a) la gestione del personale assegnato;
b) lo svolgimento delle funzioni formalmente attribuite alla struttura
di competenza.
Le istruzioni per l'effettuazione dei trattamenti di dati personali
conseguenti e strumentali alle sopra riportate lettere a) e b) sono le
seguenti:
- devono essere effettuate soltanto le operazioni strettamente
necessarie all'espletamento delle proprie funzioni;
- deve essere in ogni caso verificata la legittimita' e la correttezza
dei trattamenti effettuati, con particolare riferimento agli artt. 11,
13 e 18 e ss. del Codice;
- devono essere scrupolosamente seguite le procedure e le modalita'
comportamentali stabilite dalle Linee guida in materia di protezione
dei dati personali e dai Disciplinari tecnici previsti dal presente
atto.
ALLEGATO B)
Linee guida dell'Assemblea legislativa della Regione Emilia-Romagna in
materia di protezione dei dati personali
Art. 1
Finalita' generali
1. Il DLgs 30 giugno 2003, n. 196 "Codice in materia di protezione di
dati personali", di seguito indicato come Codice, impone comportamenti
rispondenti a principi tali da assicurare a chiunque il diritto alla
protezione dei dati personali che lo riguardano.
2. A cio' si aggiunge il progressivo mutamento della societa' verso
modelli di comunicazione sempre piu' integrati ed interconnessi (la
c.d. "societa' dell'informazione"), che rende fondamentale per ogni
organizzazione, ed a maggior ragione per un Ente pubblico, lo sviluppo
di una cultura della protezione delle informazioni e della tutela dei
diritti degli interessati.
3. Le Linee guida definite in questo documento hanno come finalita' il
rafforzamento della sicurezza dei sistemi e delle reti di informazione
e lo snellimento delle procedure per l'esercizio dei diritti degli
interessati, nel rispetto dei valori di una societa' democratica e
dell'esigenza della liberta' di informazione nonche' del rispetto
della vita privata delle singole persone.
Art. 2
Processo di gestione della sicurezza
1. L'applicazione ed il mantenimento della sicurezza si attuano
attraverso misure tecniche e misure organizzative che devono essere
recepite dai processi di lavoro per diventarne parte integrante.
2. La costruzione di un adeguato processo di gestione della sicurezza
comprende le seguenti fasi distinte:
a) pianificazione della sicurezza: definizione degli obiettivi di
sicurezza, analisi dei rischi, individuazione delle misure di
sicurezza;
b) implementazione delle misure di sicurezza: messa in opera delle
misure di sicurezza individuate;
c) controlli: verifica dell'efficienza e della corretta applicazione
delle misure di sicurezza adottate;
d) revisioni: attuazione di correzioni ed adeguamenti al sistema di
protezione delle informazioni sulla base dei risultati ottenuti dai
controlli degli aggiornamenti normativi e tecnologici.
3. La scelta delle misure da rendere esecutive e' quindi effettuata a
seguito di un'analisi costi/benefici (analisi dei rischi) e tale
analisi e' costantemente ripetuta nel tempo alla luce dei progressi
tecnologici, dei mutamenti normativi e del riscontro ottenuto dai
controlli sulle misure gia' adottate.
Art. 3
Ambito di applicazione
1. Le Linee guida disciplinano l'attivita' dei dipendenti appartenenti
all'organico dell'Assemblea legislativa della Regione Emilia-Romagna
che effettuano trattamenti di dati personali nonche' di tutti coloro
che a vario titolo li effettuano in nome e/o per conto dell'Assemblea
medesima, siano essi Responsabili o incaricati.
2. Le Linee guida si applicano sia ai trattamenti effettuati con
l'ausilio di strumenti elettronici sia ai trattamenti effettuati senza
l'ausilio di strumenti elettronici.
Art. 4
Tutela del patrimonio informativo
1. La tutela del patrimonio delle informazioni riveste importanza
strategica per l'Assemblea legislativa ed e' soggetta a precisi
vincoli di legge imposti dal Codice.
2. La sicurezza delle informazioni e' definita come la salvaguardia di
riservatezza, integrita' e disponibilita' delle stesse. In
particolare:
a) tutelare la riservatezza significa assicurare che le informazioni
siano accessibili solo a coloro che sono autorizzati ad avervi
accesso;
b) tutelare l'integrita' significa salvaguardare l'accuratezza e
completezza delle informazioni e del loro trattamento;
c) tutelare la disponibilita' significa assicurare che gli utenti
autorizzati abbiano accesso, quando richiesto, alle informazioni e ai
beni ad esse associati.
3. Il comportamento dei destinatari di queste Linee guida deve essere
improntato alla tutela della sicurezza delle informazioni.
Art. 5
Sensibilizzazione
1. La sicurezza di un sistema e' costituita da tecnologie, procedure e
comportamenti di tutti gli utenti del sistema stesso. Cio' rende
fondamentale la sensibilizzazione di tutti coloro che effettuano
trattamenti di dati personali circa i rischi incombenti sui dati e
circa il corretto utilizzo dei relativi strumenti di protezione
disponibili. Tale sensibilizzazione e' fondamentale per assicurare la
sicurezza dei sistemi e delle reti d'informazione.
2. I sistemi e le reti d'informazione sono sottoposti a rischi interni
ed esterni, quindi e' necessario che tutti sappiano e siano
consapevoli che, a causa dell'interconnettivita' e
dell'interdipendenza tra sistemi, falle in materia di sicurezza su un
componente del sistema possono propagare i loro effetti fino ad
incidere gravemente sull'integrita' dei sistemi, delle reti, delle
banche dati, degli archivi e arrecare danni ad altri.
3. Comportamenti non partecipi, disinformati o indifferenti, possono
ostacolare gravemente la tutela del patrimonio informativo e ledere il
rapporto di fiducia che deve necessariamente intercorrere tra
l'Amministrazione regionale e la societa' civile.
Art. 6
Responsabilita'
1. Tutti coloro che effettuano trattamenti di dati personali devono
essere consapevoli del fatto che la loro azione o inazione puo'
causare danni ad altri oppure ledere diritti altrui.
2. La societa' dell'informazione dipende da sistemi e da reti
d'informazione locali e globali interconnessi; per questo motivo tutti
coloro che effettuano trattamenti di dati personali, devono essere
consapevoli della propria responsabilita' rispetto alla sicurezza del
sistema nel suo complesso, in funzione del proprio ruolo e devono
adeguare le proprie pratiche, misure e procedure affinche' siano
coerenti con queste Linee guida e con il sistema di protezione delle
informazioni adottato dall'Assemblea legislativa.
3. Coloro che gestiscono, sviluppano, progettano e forniscono prodotti
e servizi nell'ambito dei sistemi informativi, devono agire in modo da
garantire la sicurezza dei sistemi e delle reti, tutelare la
riservatezza dei dati personali e diffondere informazioni utili per
assicurare l'adozione di idonee pratiche di sicurezza.
4. Un comportamento responsabile e' quindi indispensabile e tutti, per
il proprio ambito di competenza, devono adoperarsi per elaborare e
adottare pratiche esemplari e incoraggiare comportamenti che tengano
conto degli imperativi di sicurezza e di tutela dei diritti altrui.
Art. 7
Risposta agli incidenti di sicurezza
1. I soggetti che effettuano il trattamento devono operare
tempestivamente e in uno spirito di collaborazione per prevenire,
rilevare e rispondere efficacemente agli incidenti di sicurezza nel
minor tempo possibile.
2. A causa dell'interconnettivita' dei sistemi e delle reti
d'informazione, gli impatti causati da un incidente di sicurezza si
diffondono rapidamente ed in modo molto esteso; e' necessario quindi
che i soggetti che effettuano il trattamento, in funzione del proprio
ruolo, reagiscano agli incidenti di sicurezza con prontezza e con
spirito di collaborazione. In particolare tutti devono contribuire per
prevenire gli incidenti di sicurezza e garantire una risposta
adeguata.
Art. 8
Diritto di accesso
dell'interessato ai propri dati personali
1. I soggetti che effettuano il trattamento dei dati personali devono
operare tempestivamente e in uno spirito di collaborazione per
garantire all'interessato un accesso agevole, certo e semplificato ai
propri dati personali e per favorire la corretta gestione delle
istanze dell'interessato per un riscontro chiaro ed esauriente nel
minor tempo possibile.
2. Il diritto dell'interessato di tutelare i propri dati personali e
l'imposizione di regole di comportamento a tutti coloro che effettuano
operazioni sui medesimi, danno concreta attuazione ai principi di
eguaglianza e dignita' sociale della persona.
3. Le regole tecniche in materia di diritto di accesso
dell'interessato ai propri dati personali sono definite ai sensi
dell'articolo 16 delle presenti Linee guida.
Art. 9
Trasparenza amministrativa e
diritto d'accesso ai documenti amministrativi
1. La tutela della privacy e dei diritti dell'interessato, cosi' come
la sicurezza dei sistemi e delle reti d'informazione, devono essere
compatibili con i valori fondamentali di una societa' democratica e,
in particolare, con il principio di trasparenza dell'attivita'
amministrativa.
2. L'Assemblea legislativa, al fine di agevolare l'attuazione del
principio di trasparenza, provvede alla diffusione, oltre che nel
Bollettino Ufficiale, tramite le proprie reti telematiche, dell'elenco
e dei testi dei propri atti amministrativi di natura generale.
3. Gli atti amministrativi devono essere redatti dai destinatari di
queste Linee guida riportando direttamente nell'oggetto e nel testo
soltanto i dati personali strettamente necessari alla finalita'
dell'atto.
4. In particolare gli atti che devono essere pubblicati nel Bollettino
Ufficiale della Regione, o sottoposti ad altre forme di pubblicita'
previste da legge o regolamento, non devono riportare nell'oggetto e
nel testo dati sensibili e/o giudiziari se non nei casi previsti da
espressa disposizione di legge. Non devono in nessun caso essere
riportati direttamente dati idonei a rivelare lo stato di salute di
persone identificate o identificabili. Nel caso in cui i suddetti dati
siano indispensabili per la finalita' dell'atto, nella
pubblicizzazione devono essere adottate opportune misure che evitino
l'associazione, anche indiretta, all'interessato, ad esempio tramite
l'impiego di diciture generiche o codici alfanumerici.
5. Quanto previsto dal precedente capoverso deve essere applicato
anche nel caso di diffusione attraverso le bacheche, comprese quelle
telematiche.
6. L'Assemblea legislativa puo' pubblicare sul proprio sito Internet,
al fine di agevolare la comunicazione con il pubblico, i numeri
telefonici e l'indirizzo e-mail istituzionale delle proprie strutture
o dei dipendenti che operano presso le stesse. Essi possono essere
utilizzati soltanto per fini inerenti alle attivita' istituzionali
dell'Assemblea stessa. In particolare, non possono essere utilizzati
per finalita' pubblicitarie o commerciali. Di questa limitazione
all'utilizzo da parte dei terzi e' riportato avviso nel sito web
dell'Assemblea.
7. In materia di diritto di accesso ai documenti amministrativi, il
principio di trasparenza puo' prevalere sulla tutela della
riservatezza, consentendo al legittimo titolare del diritto di
accedere anche ai documenti contenenti dati personali di terzi la cui
conoscenza e' necessaria per la cura o la difesa dei suoi interessi
giuridici.
8. Nel caso di istanza d'accesso a documenti amministrativi contenenti
dati sensibili e giudiziari, l'esercizio del diritto e' concesso
tuttavia nei limiti strettamente indispensabili. Peraltro, quando i
documenti contengono dati idonei a rivelare lo stato di salute e la
vita sessuale di terzi, l'accesso e' consentito soltanto se
strumentale alla tutela di un diritto della personalita' o altro
diritto o liberta' fondamentale e inviolabile o, comunque, a tutela di
una situazione giuridica di rango almeno pari ai diritti
dell'interessato.
Art. 10
Uso delle strumentazioni informatiche
1. Le strumentazioni informatiche che l'Assemblea legislativa mette a
disposizione devono essere utilizzate in modo strettamente pertinente
allo svolgimento dell'attivita' lavorativa, secondo un utilizzo
appropriato, efficiente, corretto e razionale.
2. Con specifico riferimento agli strumenti informatici e telematici,
alla posta elettronica e a Internet, i destinatari delle presenti
Linee guida sono tenuti in particolare a:
a) utilizzare tali beni per motivi non attinenti all'attivita'
lavorativa soltanto in casi di urgenza e comunque non in modo ripetuto
o per periodi di tempo prolungati;
b) utilizzare la posta elettronica e Internet nel rispetto del
principio di riservatezza, per le specifiche finalita' della propria
attivita' e rispettando le esigenze di funzionalita' della rete e
quelle di semplificazione dei processi lavorativi;
c) non appesantire il traffico della rete con operazioni
particolarmente lunghe e complesse quando cio' non sia necessario allo
svolgimento dell'attivita' lavorativa.
3. Le regole tecniche in materia di utilizzo delle strumentazioni
informatiche sono definite ai sensi dell'articolo 15 delle presenti
Linee guida.
Art. 11
Segnalazione delle violazioni
1. Le violazioni di sicurezza interna o gli eventi che possono portare
a credere che vi sia stata un'elusione delle misure di sicurezza
previste per un determinato trattamento, devono essere tempestivamente
segnalate secondo le modalita' e le regole tecniche definite ai sensi
dell'articolo 15 delle presenti Linee guida.
Art. 12
Controlli di sicurezza
1. L'Assemblea legislativa si riserva la facolta' di effettuare i
controlli ritenuti opportuni per la verifica della corretta
applicazione e dell'efficienza delle misure di sicurezza adottate per
la protezione dei dati personali.
2. Tali controlli possono essere effettuati esclusivamente da
personale debitamente autorizzato secondo modalita' dipendenti dal
valore dei dati trattati e dai rischi di sicurezza che incombono su di
essi.
3. In ogni caso, le modalita' dei controlli devono essere
preventivamente comunicate ed illustrate a chi effettua trattamenti di
dati personali nei modi previsti dall'art. 15 delle presenti Linee
guida.
Art. 13
Sanzioni
1. La violazione di comportamenti prescritti nelle presenti Linee
guida puo' comportare l'applicazione di una sanzione disciplinare se
la fattispecie integra gli estremi di una infrazione prevista dai
Contratti Collettivi o determinare una responsabilita' dirigenziale,
ferma restando anche una possibile responsabilita' penale, civile o
amministrativa-contabile.
Art. 14
Registro informatico dei trattamenti dei dati personali
ed elenco dei Responsabili del trattamento
1. Si istituisce il Registro informatico dei trattamenti dei dati
personali per censire i trattamenti effettuati nell'ambito delle
strutture afferenti all'Assemblea legislativa e le relative banche
dati. Tale Registro costituisce il supporto necessario alla redazione
e all'aggiornamento annuale del Documento programmatico per la
sicurezza. E' fatto obbligo ai Responsabili del trattamento, di cui al
paragrafo 3 dell'Allegato A) del presente atto, di provvedere
all'aggiornamento del Registro con cadenza almeno annuale. Tali
Responsabili possono individuare uno o piu' addetti incaricati del
censimento e dell'aggiornamento dei trattamenti di competenza.
2. La supervisione del Registro e degli aggiornamenti effettuati,
nonche' l'estrazione dei dati in forma omogenea per il loro utilizzo
nell'aggiornamento annuale del Documento programmatico per la
sicurezza compete al Direttore generale, con la collaborazione del
Responsabile della sicurezza.
3. L'elenco dei Responsabili interni ed esterni, al fine di renderlo
conoscibile in modo agevole e chiaro agli interessati, come stabilito
dal Codice, e' pubblicato sul sito ufficiale dell'Assemblea
legislativa a cura del Direttore generale, con la collaborazione del
Responsabile della sicurezza.
4. L'elenco deve essere tempestivamente aggiornato. Al fine di
consentire un puntuale aggiornamento, gli atti e i documenti di nomina
e di individuazione dei Responsabili interni ed esterni devono essere
resi noti al Direttore generale e al Responsabile della sicurezza.
Art. 15
Disciplinari tecnici
1. L'applicazione pratica dei principi contenuti in queste Linee guida
e' definita attraverso appositi Disciplinari tecnici secondo quanto
stabilito dal paragrafo 3 della Direttiva (vedi Allegato A) della
presente deliberazione).
2. I Disciplinari tecnici contengono specifiche indicazioni
comportamentali e/o procedurali rivolte principalmente ai Responsabili
e agli incaricati dei trattamenti di dati personali nonche' agli altri
soggetti che, nello svolgimento della propria attivita', possono
ostacolare il raggiungimento delle finalita' generali di cui all'art.
1 delle presenti Linee guida.
