n. 52 del 28.03.2012 periodico (Parte Seconda)
Direttiva e Linee guida dell’Assemblea legislativa della Regione Emilia-Romagna in materia di protezione dei dati personali, con particolare riferimento alla ripartizione di competenze tra i soggetti che effettuano il trattamento. Modifica ed integrazione della deliberazione U.P. 197/06. Modifica ed integrazione della Appendice 5 della deliberazione U.P. 173/07 (proposta n. 31)
L’UFFICIO DI PRESIDENZA
Visto il DLgs n. 196 del 30 giugno 2003 “Codice in materia di protezione dei dati personali”, di seguito denominato Codice;
Viste le proprie deliberazioni:
- n. 197 del 18 ottobre 2006 recante “Direttiva e Linee guida dell’Assemblea legislativa della Regione Emilia-Romagna in materia di protezione dei dati personali, con particolare riferimento alla ripartizione di competenze tra i soggetti che effettuano il trattamento. Modifica ed integrazione della deliberazione 45/03 e 1/05”;
- n. 173 del 24 luglio 2007 recante “Parziali modifiche e integrazioni agli indirizzi in ordine alle relazioni organizzative e funzionali tra le Strutture e sull’esercizio delle funzioni dirigenziali approvati con deliberazione 45/03”, con riferimento alla Appendice 5 “Direttiva in materia di trattamento di dati personali con particolare riferimento alla ripartizione di competenze tra i soggetti che effettuano il trattamento”;
- n. 43 del 29/3/2011 di modifica ed integrazione della suddetta delibera 197/06 concernente le direttive e linee guida dell’Assemblea legislativa in materia di protezione dei dati personali, con la quale si è ritenuto di ravvisare in capo agli stessi Consiglieri regionali la responsabilità in ordine ai dati ricevuti e detenuti dai singoli Consiglieri a seguito del diritto di accesso di cui all’art. 30 dello Statuto regionale e dell’art. 119 del regolamento interno dell’Assemblea legislativa o comunque ai sensi della Legge 241/90;
- n. 112 del 26 luglio 2011 recante “Istituzione, denominazione e competenze delle strutture organizzative dell'Assemblea legislativa. IV fase di intervento, anno 2011”;
Richiamato il parere della Conferenza dei Presidenti dell’Assemblea, dei Consigli regionali e delle Province autonome (nota protocollo n. 8409 del 29/5/2006) relativo ad alcuni aspetti della regolamentazione della privacy per i trattamenti di cui sono Titolari i Consigli regionali, con particolare riferimento alle strutture speciali di segreteria dei Gruppi assembleari e quelle di supporto agli organi di direzione politica;
Ricordato che nel suddetto parere si sottolinea che i Gruppi consiliari “svolgono essenzialmente due tipi di attività: una, istituzionale, collegata alle funzioni dei Consiglieri; l’altra politico-partitica, come proiezioni consiliari dei partiti politici, che non ha rilievo istituzionale e che non coinvolge il Consiglio, ma che resta nell’ambito delle attività proprie di una associazione privata”.
Per il primo tipo di attività viene data come indicazione di designare Responsabili di trattamento dei dati i Capigruppo, quale espressione della titolarità del Consiglio oppure il Direttore generale, pur sottolineando che questa’ultima soluzione “apparirebbe come un’ingerenza del vertice dell’apparato amministrativo nella politica”.
“Per l’attività politico-partitica i Gruppi consiliari, in quanto associazioni private, devono applicare autonomamente la disciplina del Codice prevista per i soggetti privati (cioè per esempio consenso per il trattamento dei dati, autorizzazioni del Garante, nomina degli incaricati per la parte politico partitica)”.
“Allo stesso modo dei Gruppi consiliari si ritiene vadano considerate le Strutture speciali di supporto agli organi di direzione politica (uffici di gabinetto, segreterie particolari, segreterie dei Presidenti di commissione). Si è sempre di fronte a strutture che non svolgono una funzione autonoma nelle procedure in cui si verificano trattamento dei dati, ma che intervengono in esse esclusivamente come supporto ai Consiglieri.” Per queste strutture speciali “valgono quindi le stesse considerazioni fatte per i Gruppi” e “una soluzione analoga”.
Per l’attività di istituzionale di supporto ai Consiglieri svolta dai Gruppi consiliari e dalle Strutture speciali di supporto agli organi di direzione politica non è necessario identificare procedimenti autonomi di trattamento dati ed elaborare schede di trattamento autonome; tali schede sono inserite nelle schede dei trattamenti di dati personali, riferite alle attività dei consiglieri, contenute nel Regolamento dei dati sensibili e giudiziari (Regolamento regionale n. 2 del 13 febbraio 2006) e previste nel Documento programmatico sulla Sicurezza;
Dato atto che con la sopracitata deliberazione 197/06 l’Ufficio di Presidenza aveva provveduto, tra l’altro, alla designazione del Direttore generale dell’Assemblea legislativa quale Responsabile di primo livello del trattamento dei dati personali effettuati presso le strutture ordinarie e speciali, per quest’ultime limitatamente all’attività istituzionale collegata alle funzioni dei Consiglieri, discostandosi parzialmente dalla soluzione proposta dalla Conferenza dei Presidenti dell’Assemblea, dei Consigli regionali e delle Province autonome, in ragione della allora specifica organizzazione interna della struttura consiliare dell’Assemblea legislativa;
Rilevato che la struttura organizzativa dell’Assemblea legislativa della Regione Emilia-Romagna, di seguito chiamata Assemblea legislativa, ha subito (in particolare a decorrere dal 2007, fino alla recentissima IV fase di riorganizzazione di cui alla citata deliberazione U.P. 112/11) profonde modifiche in ragione dell’evoluzione dei compiti e delle funzioni dell’Assemblea, conseguenti sia al processo di attuazione dello Statuto regionale (Legge regionale 31 marzo 2005, n. 13 - Statuto Regione Emilia-Romagna) che agli indirizzi e alle progettualità indicate dall’Ufficio di Presidenza eletto nella IX legislatura, che all’attuazione di leggi successivamente approvate che individuano nuovi compiti e nuove attività in capo all’Assemblea stessa;
Considerato che tali modifiche dell’assetto organizzativo dell’Assemblea legislativa unite alla evoluzione della normativa in materia di privacy, con adempimenti sempre più stringenti in capo ai Titolari del trattamento, dettati anche dalla maggiore consapevolezza dell’importanza della protezione dei dati personali con l’avvento delle nuove tecnologie che richiedono sempre maggiori sforzi in termini di misure di sicurezza, rendono necessario un ripensamento in ordine alla definizione e ripartizione delle competenze e responsabilità in materia di trattamento di dati personali all’interno dell’Assemblea legislativa;
Ritenuto pertanto opportuno rivedere la ripartizione di competenze tra i soggetti che effettuano il trattamento, recependo integralmente la soluzione proposta Conferenza dei Presidenti dell’Assemblea, dei Consigli regionali e delle Province autonome, in quanto più rispondente all’attuale assetto organizzativo dell’Assemblea legislativa della Regione Emilia-Romagna, secondo la disciplina di cui al presente atto, e precisamente, ai sensi del paragrafo 2, lett. e) dell’Allegato A) della suddetta deliberazione 197/06:
a) designando quale “Responsabile di primo livello del trattamento dei dati personali” effettuati presso le strutture ordinarie della Direzione generale dell’Assemblea legislativa e del trattamento dei dati personali contenuti negli atti di competenza dell’Ufficio di Presidenza, il Direttore generale, per la durata dell’incarico dirigenziale attualmente conferito, compresi eventuali rinnovi dello stesso incarico, salvo revoca effettuata con proprio successivo atto;
b) designando quali “Responsabili dei trattamenti dei dati personali per le strutture speciali di supporto agli organi di direzione politica (limitatamente all’attività istituzionale collegata alle funzioni dei Consiglieri)”, per il rispettivo ambito di competenza:
- il Presidente dell’Assemblea legislativa
- ciascun componente dell’Ufficio di Presidenza
- ciascun Presidente dei Gruppi assembleari
- ciascun Presidente delle Commissioni assembleari,
così come riportato nell’elenco di cui all’ Allegato C) del presente atto, da tenere costantemente aggiornato a cura della struttura di supporto tecnico per l’applicazione del Codice in materia di protezione dei dati personali nell’ambito dell’Assemblea legislativa e da pubblicare sul sito Internet della stessa ai sensi del paragrafo 14, commi 3 e 4 dell’Allegato B) del presente atto;
c) confermando le designazioni effettuate, da ultimo, con propria deliberazione n. 26 del 15/2/2012 e precisamente:
- quali “Responsabili di secondo livello del trattamento dei dati personali” i Responsabili di Servizio per i rispettivi ambiti di competenza e per la durata degli incarichi dirigenziali attualmente conferiti, compresi eventuali rinnovi degli stessi incarichi;
- quale “Responsabile del diritto d’accesso dell’interessato ai propri dati personali”, il Direttore generale per la durata dell’incarico dirigenziale attualmente conferito, compresi eventuali rinnovi dello stesso incarico, salvo revoca effettuata con proprio successivo atto
- quale “Responsabile della sicurezza” il Responsabile del Servizio Sistemi informativi - informatici e innovazione, per la durata dell’incarico dirigenziale attualmente conferito, compresi eventuali rinnovi dello stesso incarico, salvo revoca effettuata con proprio successivo atto;
- quale “Responsabile dei dati personali venuti in possesso dai singoli Consiglieri regionali”, a seguito del diritto di accesso di cui all’art. 30 dello Statuto regionale e dell’art. 119 del regolamento interno dell’Assemblea legislativa e comunque ai sensi della legge n. 241 del 1990, lo stesso Consigliere regionale detentore dei relativi atti e/o informazioni;
Ritenuto altresì, al fine di dare organicità e coerenza all’applicazione del Codice in relazione ai diversi aspetti relativi alla designazione dei Responsabili del trattamento dei dati personali, di modificare ed integrare le proprie deliberazioni 197/06 e 173/07, secondo quanto sopra previsto ai punti a) e b) sostituendo rispettivamente l’Allegato A) della deliberazione 197/2006 e l’Appendice 5 della deliberazione 173/07 con il testo dell’Allegato A) “Direttiva in materia di trattamento di dati personali con particolare riferimento alla ripartizione delle competenze tra i soggetti che effettuano il trattamento”, parte integrante e sostanziale della presente deliberazione;
Ritenuto, inoltre per i suddetti fini di coerenza ed organicità di dover adeguare le “Linee guida dell’Assemblea legislativa della Regione Emilia-Romagna in materia di protezione dei dati personali”, contenute nell’Allegato B) della citata deliberazione 197/06, sostituendole con l’Allegato B) della presente deliberazione;
Dato atto del parere di regolarità amministrativa espresso dal Direttore generale, dott. Luigi Benedetti in merito al presente atti, secondo le indicazioni della deliberazione dell’Ufficio di Presidenza n. 173 del 24 luglio 2007 recante “Parziali modifiche e integrazioni agli indirizzi in ordine alle relazioni organizzative funzionali tra Strutture e sull’esercizio delle funzioni dirigenziali approvati con deliberazione 45/03”;
a voti unanimi
delibera:
1. di designare quale “Responsabile di primo livello del trattamento dei dati personali” effettuati presso le strutture ordinarie della Direzione generale dell’Assemblea legislativa e del trattamento dei dati personali contenuti negli atti di competenza dell’Ufficio di Presidenza, il Direttore generale, per la durata dell’incarico dirigenziale attualmente conferito, compresi eventuali rinnovi dello stesso incarico, salvo revoca effettuata con proprio successivo atto;
2. di designare quali “Responsabili dei trattamenti dei dati personali per le strutture speciali di supporto agli organi di direzione politica (limitatamente all’attività istituzionale collegata alle funzioni dei Consiglieri)”, per il rispettivo ambito di competenza:
- il Presidente dell’Assemblea legislativa
- ciascun componente dell’Ufficio di Presidenza
- ciascun Presidente dei Gruppi assembleari
- ciascun Presidente delle Commissioni assembleari,
così come riportato nell’Elenco di cui all’Allegato C) del presente atto, da tenere costantemente aggiornato a cura della struttura di supporto tecnico per l’applicazione del Codice in materia di protezione dei dati personali nell’ambito dell’Assemblea legislativa e da pubblicare sul sito Internet della stessa ai sensi del paragrafo 14 commi 3 e 4 dell’Allegato B) del presente atto;
3. di confermare le designazioni effettuate con propria deliberazione n. 137 del 21/09/2011 e precisamente:
- quali “Responsabili di secondo livello del trattamento dei dati personali” i Responsabili di Servizio per i rispettivi ambiti di competenza e per la durata degli incarichi dirigenziali attualmente conferiti, compresi eventuali rinnovi degli stessi incarichi;
- quale “Responsabile del diritto d’accesso dell’interessato ai propri dati personali”, il Direttore generale per la durata dell’incarico dirigenziale attualmente conferito, compresi eventuali rinnovi dello stesso incarico, salvo revoca effettuata con proprio successivo atto
- quale “Responsabile della sicurezza” il Responsabile del Servizio Sistemi informativi - informatici e Innovazione, per la durata dell’incarico dirigenziale attualmente conferito, compresi eventuali rinnovi dello stesso incarico, salvo revoca effettuata con proprio successivo atto;
- quale “Responsabile dei dati personali venuti in possesso dai singoli Consiglieri regionali”, a seguito del diritto di accesso di cui all’art. 30 dello Statuto regionale e dell’art. 119 del regolamento interno dell’Assemblea legislativa e comunque ai sensi della Legge n. 241 del 1990, lo stesso Consigliere regionale detentore dei relativi atti e/o informazioni;
4. di approvare a recepimento di quanto stabilito nei precedenti punti 1, 2 e 3, la “Direttiva in materia di trattamento di dati personali” di cui all’Allegato A), parte integrante e sostanziale della presente deliberazione che sostituisce l'Allegato A) della deliberazione n. 197/2006 nonché l’Appendice 5 della deliberazione 173/07;
5. di approvare le “Linee guida dell’Assemblea legislativa della Regione Emilia-Romagna in materia di protezione dei dati personali” di cui all’Allegato B), parte integrante e sostanziale della presente deliberazione, che sostituiscono l’Allegato B) della deliberazione 197/06;
6. di individuare l’Area Innovazione e Semplificazione del Servizio Sistemi informativi – informatici e Innovazione, quale struttura di supporto tecnico per l’applicazione del Codice in materia di protezione dei dati personali nell’ambito dell’Assemblea legislativa della Regione Emilia-Romagna, con il compito di effettuare, tra l’altro il censimento annuale dei trattamenti dei dati personali presso le strutture speciali sopra designate, dandone comunicazione all’Ufficio di Presidenza insieme alla designazione degli Incaricati per la presa d’atto ai fini dell’aggiornamento annuale del Documento programmatico sulla Sicurezza, così come previsto dal paragrafo 7 dell’Allegato A) e dal paragrafo 14, comma 2 bis dell’Allegato B) del presente atto ;
7. di pubblicare la presente deliberazione nel Bollettino Ufficiale della Regione Emilia-Romagna.
Allegato A)
Direttiva in materia di trattamento di dati personali con particolare riferimento alla ripartizione di competenze tra i soggetti che effettuano il trattamento
1 - Indirizzi generali
Il Codice detta una complessa disciplina di carattere generale in materia di protezione dei dati personali, prevedendo molteplici obblighi ed adempimenti a carico dei soggetti che trattano dati personali, ivi comprese le pubbliche Amministrazioni.
Occorre pertanto delineare ed articolare le specifiche responsabilità relative ai suddetti obblighi ed adempimenti, ripartendo compiti e funzioni tra i soggetti competenti tenuto conto della specifica organizzazione dell’Assemblea legislativa.
Il Codice individua tre tipologie di soggetti che effettuano il trattamento di dati personali ed in particolare:
a) il titolare: la pubblica Amministrazione cui competono, anche unitariamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli altri strumenti utilizzati, ivi compreso il profilo della sicurezza;
b) il responsabile: la persona fisica, la persona giuridica, la pubblica Amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;
c) gli incaricati: le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile.
Il presente atto individua le competenze del titolare, designa i soggetti Responsabili del trattamento e definisce i criteri generali da rispettare nell’individuazione dei soggetti incaricati a compiere le operazioni di trattamento.
2 - Il Titolare – Funzioni
Ai sensi dell’art. 4, comma 1, lettera f) e dell’art. 28 del Codice, il titolare dei trattamenti di dati personali è l’Assemblea legislativa ai cui organi spetta, nel rispetto delle relative competenze, l’adozione degli atti contenenti le scelte di fondo in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.
Spetta pertanto in particolare all’Assemblea legislativa:
A) approvare il regolamento, i tipi di dati e di operazioni relative a dati sensibili e/o giudiziari, in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei principi di cui all’art. 22 del Codice, aggiornando tale individuazione periodicamente.
Spetta in particolare all’Ufficio di Presidenza:
a) adottare con proprio atto Linee guida in materia di protezione dei dati personali nell’Assemblea legislativa, al fine di dettare i principi cui devono attenersi, nello svolgimento della propria attività, coloro che trattano dati personali nell’ambito dell’Assemblea stessa, siano essi responsabili o incaricati del trattamento;
b) adottare con proprio atto, aggiornandolo periodicamente, il Documento Programmatico per la Sicurezza previsto dall’art. 34, lettera g) del Codice e riferire della sua adozione nella relazione accompagnatoria del bilancio di esercizio;
c) designare il Responsabile della sicurezza di cui al successivo Paragrafo 5;
d) designare il Responsabile del diritto di accesso dell’interessato ai propri dati personali di cui al successivo Paragrafo 6;
e) designare altri soggetti quali Responsabili del trattamento di dati personali, oltre ai soggetti già designati con il presente atto;
f) vigilare, anche tramite verifiche periodiche, sulla puntuale osservanza delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza, e sul rispetto delle proprie istruzioni. Tali verifiche saranno effettuate tramite i Responsabili dei trattamenti di cui ai Paragrafo 3 e 3 bis e il Responsabile della sicurezza di cui al Paragrafo 5.
La funzione relativa alla sottoscrizione del consenso, richiesto da soggetti privati che trattano i dati dell’Assemblea legislativa, è direttamente attribuita ai soggetti designati quali Responsabili del trattamento di dati personali di cui al Paragrafo 3, quale compito specifico degli stessi, come analiticamente individuato alla lettera g) del Paragrafo 3.1.
3 - I Responsabili del trattamento di dati personali – Designazione e compiti
Ai sensi dell’art. 4, comma 1, lettera g) e dell’art. 29 del Codice, il responsabile del trattamento di dati personali è il soggetto preposto dal Titolare al suddetto trattamento tramite designazione, specificando analiticamente per iscritto i compiti che gli sono affidati.
Con il presente atto sono designati:
- il Direttore generale come “Responsabile di primo livello del trattamento dei dati personali” effettuati presso le strutture ordinarie della Direzione generale dell’Assemblea legislativa e del trattamento dei dati personali contenuti negli atti di competenza dell’Ufficio di Presidenza;
- i Responsabili di Servizio, per i rispettivi ambiti di competenza, come “Responsabili di secondo livello del trattamento dei dati personali”;
Relativamente ai trattamenti di dati personali trasversali a più Servizi o strutture si applica il criterio del maggiore ambito decisionale.
Il Direttore generale può costituire, con propria determinazione, gruppi di lavoro anche trasversali a più servizi e qualora l’attività del gruppo di lavoro comporti anche un trattamento di dati personali, il Direttore generale è responsabile anche di tale trattamento.
3.1 - Compiti dei Responsabili del trattamento di dati personali
I compiti affidati ai Responsabili del trattamento sono i seguenti:
a) verificare la legittimità dei trattamenti di dati personali effettuati dalla struttura di riferimento, con particolare riguardo al principio di necessità di cui all’art. 3 del Codice, sia relativamente ai trattamenti già in essere sia ai nuovi trattamenti;
b) disporre, in conseguenza alla verifica di cui alla lettera a), le modifiche necessarie al trattamento perché lo stesso sia conforme alla normativa vigente ovvero disporre la cessazione di qualsiasi trattamento effettuato in violazione alla stessa;
c) vigilare, per conto del Titolare, come indicato al Paragrafo 2, lett. f), anche tramite verifiche periodiche, sulla puntuale osservanza delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza e sul rispetto delle proprie istruzioni e segnalando eventuali problemi al Responsabile della sicurezza di cui al Paragrafo 5 e, in ultima istanza, al Titolare;
d) aggiornare periodicamente l’elenco dei trattamenti di dati personali effettuati dalla struttura di riferimento, anche al fine di garantire un tempestivo aggiornamento del Documento Programmatico per la Sicurezza;
e) aggiornare periodicamente, in particolare, l’elenco dei trattamenti di dati sensibili e/o giudiziari, anche al fine di aggiornare il relativo Regolamento, di cui alla lettera A) del Paragrafo 2;
f) predisporre l’informativa di cui all’art. 13 del Codice e verificare che siano adottate le modalità operative necessarie perché la stessa sia effettivamente portata a conoscenza degli interessati;
g) sottoscrivere il consenso richiesto da soggetti privati che trattano i dati dell’Assemblea legislativa, qualora non si rientri nei casi di cui all’art. 24 del Codice;
h) individuare gli incaricati del trattamento dei dati personali e fornire agli stessi istruzioni per il corretto trattamento dei dati stessi, sovrintendendo e vigilando sull’attuazione delle istruzioni impartite; tale individuazione deve essere effettuata secondo quanto stabilito al Paragrafo 7 e quindi, in particolare, le istruzioni devono quanto meno contenere l’espresso richiamo alle Linee guida regionali per la protezione dei dati personali e ai Disciplinari tecnici che saranno adottati;
i) predisporre ogni adempimento organizzativo necessario per garantire agli interessati il diritto di accesso ai propri dati personali, secondo quanto stabilito dagli artt. 7 e ss. del Codice, in conformità a quanto sarà stabilito dal Disciplinare tecnico per l’esercizio del diritto di accesso ai propri dati personali e collaborando con il Responsabile del diritto di accesso dell’interessato ai propri dati personali di cui al Paragrafo 6;
j) provvedere, anche tramite gli incaricati, a dare riscontro alle istanze degli interessati per l’esercizio del diritto di accesso, con le specifiche modalità che saranno definite nel Disciplinare tecnico per l’esercizio del diritto di accesso degli interessati ai propri dati personali;
k) provvedere direttamente al riscontro nei seguenti casi: qualora l’istanza dell’interessato sia volta ad ottenere la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, secondo quanto previsto dal comma 3, lettera b) dell’art. 7 del Codice; qualora si tratti di opposizione al trattamento, secondo quanto previsto dal comma 4 dell’art. 7 del Codice e qualora occorra prorogare il termine per il riscontro, previa comunicazione all’interessato nel caso di richiesta di particolare complessità o per altro giustificato motivo, secondo quanto previsto dal comma 3 dell’art. 146 del Codice;
l) disporre l’adozione dei provvedimenti imposti dal Garante quale misura conseguente all’accoglimento delle richieste degli interessati;
m) predisporre la documentazione e gli atti necessari per il Garante nei casi e nei modi previsti dalla legge;
n) comunicare al Responsabile del diritto di accesso l’individuazione dei Responsabili esterni effettuata secondo quanto stabilito al Paragrafo 4;
o) collaborare con il Responsabile della sicurezza e con il Responsabile del diritto di accesso dell’interessato ai propri dati personali;
p) adottare specifici Disciplinari tecnici di settore, anche congiuntamente con altri Responsabili del trattamento, per stabilire e dettagliare le modalità di effettuazione di particolari trattamenti di dati personali relativi alla propria area di competenza;
q) individuare da parte del Direttore generale, negli atti di costituzione di gruppi di lavoro comportanti il trattamento di dati personali, i soggetti che effettuano tali trattamenti quali incaricati, specificando, nello stesso atto di costituzione, anche le relative istruzioni;
r) garantire al Responsabile della sicurezza i necessari permessi di accesso ai dati ed ai sistemi per l'effettuazione delle verifiche di sicurezza a seguito di incidenti, l'individuazione delle misure idonee di sicurezza (di cui al Par. 5, lett. f), i controlli e l'attività di vigilanza sull'osservanza delle disposizioni di sicurezza vigenti (di cui al Par. 5, lett. g);
s) provvedere direttamente o dare istruzioni al soggetto competente, affinché nei contratti con soggetti esterni che comportano l’adozione di misure minime di sicurezza, sia prevista l’attestazione di conformità dell’intervento ai sensi della misura 25 dell’Allegato B del Codice, e che tale attestazione sia trasmessa al Responsabile del trattamento.
Inoltre al Direttore generale quale “Responsabile di primo livello del trattamento di dati personali” sono affidati compiti di coordinamento, raccordo e supervisione sull’attività dei “Responsabili di secondo livello”, per quanto riguarda l’applicazione uniforme degli adempimenti previsti dalla normativa.
3.2 - Compiti delegabili ad altri dirigenti
L’individuazione dei compiti affidati ai Responsabili del trattamento di dati personali di cui al Paragrafo precedente contiene anche compiti non ascrivibili a funzioni di direzione, coordinamento generale e controllo.
Pertanto, fermo restando che i suddetti compiti devono restare di competenza dei Responsabili del trattamento, sono delegabili, in base ai principi generali relativi all’istituto della delega, i compiti di cui alle lettere a), b), d), e), h), j) e n) del paragrafo 3.1. Tali compiti sono delegabili:
a) ai dirigenti responsabili di servizio;
b) ai dirigenti professional assegnati alla struttura relativamente ai trattamenti di diretta responsabilità della stessa.
Soltanto il soggetto delegante è comunque Responsabile del trattamento secondo quanto stabilito dall’art. 29 del Codice.
3 bis - I Responsabili dei trattamenti dei dati personali per le strutture speciali di supporto agli organi di direzione politica - Designazione e compiti
Con il presente atto sono designati “Responsabili dei trattamenti dei dati personali per le strutture speciali di supporto agli organi di direzione politica, limitatamente all’attività istituzionale collegata alle funzioni dei Consiglieri”, per il rispettivo ambito di competenza:
- il Presidente dell’Assemblea legislativa
- ciascun componente dell’Ufficio di Presidenza
- ciascun Presidente dei Gruppi assembleari
- ciascun Presidente delle Commissioni assembleari.
L’elenco nominativo di tali Responsabili è da tenere costantemente aggiornato a cura della “Struttura di supporto tecnico per l’applicazione del Codice in materia di protezione dei dati personali” nell’ambito dell’Assemblea legislativa e da pubblicare sul sito web della stessa ai sensi dell’ art. 14, Allegato B) del presente atto.
I compiti affidati ai “Responsabili dei trattamenti dei dati personali per le strutture speciali di supporto agli organi di direzione politica ”sono i seguenti:
a) procedere al trattamento secondo le finalità e modalità indicate dalle vigenti disposizioni in materia di protezione di dati personali, ivi compreso il profilo relativo alla sicurezza dei dati;
b) verificare la legittimità dei trattamenti di dati personali effettuati dalla struttura di riferimento, con particolare riguardo al principio di necessità di cui all’art. 3 del Codice;
c) disporre, in conseguenza alla verifica di cui alla lettera b), le modifiche necessarie al trattamento perché lo stesso sia conforme alla normativa vigente ovvero disporre la cessazione di qualsiasi trattamento effettuato in violazione alla stessa;
d) vigilare, per conto del Titolare, come indicato al Paragrafo 2, lett. f), anche tramite verifiche periodiche, sulla puntuale osservanza delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza e sul rispetto delle proprie istruzioni e segnalando eventuali problemi al Responsabile della sicurezza di cui al Paragrafo 5 e, in ultima istanza, al Titolare;
e) aggiornare periodicamente, con l’ausilio della struttura di supporto tecnico per l’applicazione del Codice in materia di trattamento di dati personali, l’elenco dei trattamenti di dati personali effettuati dalla struttura di riferimento, anche al fine di garantire un tempestivo aggiornamento del Documento Programmatico per la Sicurezza;
f) individuare gli incaricati del trattamento dei dati personali e fornire agli stessi istruzioni per il corretto trattamento dei dati stessi, sovrintendendo e vigilando sull’attuazione delle istruzioni impartite; tale individuazione deve essere effettuata secondo quanto stabilito al Paragrafo 7 e quindi, in particolare, le istruzioni devono quanto meno contenere l’espresso richiamo alle Linee guida regionali per la protezione dei dati personali e ai Disciplinari tecnici che saranno adottati;
g) garantire agli interessati il diritto di accesso ai propri dati personali, secondo quanto stabilito dagli artt. 7 e ss. del Codice, in conformità a quanto sarà stabilito dal Disciplinare tecnico per l’esercizio del diritto di accesso ai propri dati personali e collaborando con il Responsabile del diritto di accesso dell’interessato ai propri dati personali di cui al Paragrafo 6;
h) provvedere, anche tramite gli incaricati, a dare riscontro alle istanze degli interessati per l’esercizio del diritto di accesso, con le specifiche modalità che saranno definite nel Disciplinare tecnico per l’esercizio del diritto di accesso degli interessati ai propri dati personali;
i) provvedere direttamente al riscontro nei seguenti casi: qualora l’istanza dell’interessato sia volta ad ottenere la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, secondo quanto previsto dal comma 3, lettera b) dell’art. 7 del Codice; qualora si tratti di opposizione al trattamento, secondo quanto previsto dal comma 4 dell’art. 7 del Codice e qualora occorra prorogare il termine per il riscontro, previa comunicazione all’interessato nel caso di richiesta di particolare complessità o per altro giustificato motivo, secondo quanto previsto dal comma 3 dell’art. 146 del Codice;
l) disporre l’adozione dei provvedimenti imposti dal Garante quale misura conseguente all’accoglimento delle richieste degli interessati;
m) collaborare con il Responsabile della sicurezza e con il Responsabile del diritto di accesso dell’interessato ai propri dati personali, potendosi anche avvalere della consulenza della struttura di supporto tecnico per l’applicazione del Codice in materia di protezione dei dati personali nei casi di cui alle lettere a), b), c), e), f), g), h), i);
n) garantire al Responsabile della sicurezza i necessari permessi di accesso ai dati ed ai sistemi per l'effettuazione delle verifiche di sicurezza a seguito di incidenti, l'individuazione delle misure idonee di sicurezza (di cui al Par. 5, lett. f), i controlli e l'attività di vigilanza sull'osservanza delle disposizioni di sicurezza vigenti (di cui al Par. 5, lett. g).
3 ter - I Responsabili dei dati personali venuti in possesso dai singoli Consiglieri regionali, a seguito del diritto di accesso di cui all’art. 30 dello Statuto regionale e dell’art. 119 del regolamento interno dell’Assemblea legislativa e comunque ai sensi della Legge n. 241 del 1990 - Designazione
Con il presente atto è designato il singolo Consigliere detentore dei relativi atti e/o informazioni come “Responsabile dei dati personali venuti in possesso dai singoli Consiglieri regionali”, a seguito del diritto di accesso di cui all’art. 30 dello Statuto regionale e dell’art. 119 del regolamento interno dell’Assemblea legislativa e comunque ai sensi della Legge n. 241 del 1990.
4 - I Responsabili esterni – Designazione, individuazione e compiti
Si ritiene opportuno stabilire che siano designati, di norma, quali Responsabili del trattamento di dati personali, i soggetti esterni all’Assemblea legislativa che siano tenuti, a seguito di convenzione, contratto, verbale di aggiudicazione o provvedimento di nomina, ad effettuare trattamenti di dati personali per conto del titolare.
Pertanto, qualora occorra affidare un incarico comportante anche trattamenti di dati personali, la scelta del soggetto deve essere effettuata valutando anche l’esperienza, la capacità e l’affidabilità in materia di protezione dei dati personali del soggetto cui affidare l’incarico, affinché lo stesso soggetto sia in grado di fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo della sicurezza.
Per poter operare tale valutazione, occorre quindi specificare che l’incarico ricomprende anche la designazione a Responsabile del trattamento di dati personali già nel bando di gara e nel capitolato d’appalto.
Tale designazione deve essere effettuata direttamente in convenzione, nel contratto, nel verbale di aggiudicazione o nel provvedimento di nomina tramite:
a) l’indicazione nominativa qualora al trattamento di dati personali siano preposte persone fisiche;
b) l’individuazione della persona giuridica qualora al suddetto trattamento sia preposta una persona giuridica;
c) l’individuazione della pubblica Amministrazione o di qualsiasi altro ente qualora al trattamento siano preposti rispettivamente una pubblica Amministrazione o qualsiasi altro ente;
d) l’individuazione di una o più persone fisiche qualora, nei sopra riportati casi di cui alle lettere b) e c), il trattamento di dati personali riguardi esclusivamente un settore specifico e limitato dell’ente.
Qualora siano presenti specifiche e peculiari esigenze, tale individuazione non è effettuata e quindi i soggetti esterni non sono Responsabili del trattamento di dati personali, ma titolari o contitolari dello stesso.
In tal caso, pertanto, si procede alla comunicazione dei dati personali al soggetto esterno secondo le modalità previste dal Codice, dandone atto in convenzione, nel contratto o nel provvedimento di nomina e, se necessario, stabilendo le modalità per la comunicazione.
Qualora i soggetti esterni siano persone fisiche ed operino sotto la diretta autorità di un responsabile del trattamento di cui al Paragrafo 3, le stesse devono essere individuate quali incaricati del trattamento, con le modalità di cui al Paragrafo 7.
4.1 - Compiti dei Responsabili esterni dei trattamenti di dati personali
I compiti affidati ai Responsabili esterni del trattamento di dati personali sono i seguenti:
a) adempiere all’incarico attribuito adottando idonee e preventive misure di sicurezza, con particolare riferimento a quanto stabilito dal Codice, dall’Allegato B del Codice, dalle Linee guida regionali in materia di protezione dei dati personali e dai Disciplinari tecnici adottati e richiamati, in tutto o in parte, nello specifico incarico;
b) predisporre, qualora l’incarico comprenda la raccolta di dati personali, l’informativa di cui all’art. 13 del Codice e verificare che siano adottate le modalità operative necessarie perché la stessa sia effettivamente portata a conoscenza degli interessati;
c) dare direttamente riscontro oralmente, anche tramite propri incaricati, alle richieste verbali dell’interessato di cui ai commi 1 e 2 dell’art. 7 del Codice, con le modalità che saranno individuate dal Disciplinare tecnico in materia di esercizio del diritto di accesso dell’interessato ai propri dati personali;
d) trasmettere, con la massima tempestività, le istanze dell’interessato per l’esercizio dei diritti di cui agli artt. 7 e ss. del Codice che necessitino di riscontro scritto al responsabile del trattamento di cui al Paragrafo 3, per consentire allo stesso di dare riscontro all’interessato nei termini stabiliti dal Codice; trasmettere tali istanze per conoscenza anche al Responsabile del diritto di accesso dell’interessato ai propri dati personali, con le modalità che saranno stabilite dal Disciplinare tecnico per l’esercizio dei diritti di accesso dell’interessato ai propri dati personali;
e) fornire al Responsabile del trattamento di cui al Paragrafo 3 la massima assistenza, necessaria per soddisfare tali richieste, nell’ambito dell’incarico affidatogli;
f) individuare gli incaricati del trattamento dei dati personali e fornire agli stessi istruzioni per il corretto trattamento dei dati, sovrintendendo e vigilando sull’attuazione delle istruzioni impartite; tale individuazione deve essere effettuata secondo quanto stabilito al Paragrafo 7 e quindi, in particolare, le istruzioni devono quanto meno contenere l’espresso richiamo alle Linee guida regionali in materia di protezione dei dati personali e ai Disciplinari tecnici trasversali e/o di settore già adottati dal soggetto regionale competente;
g) consentire al Titolare, dandogli piena collaborazione, verifiche periodiche, tramite i Responsabili dei trattamenti di cui al Paragrafo 3;
h) attestare, qualora l’incarico affidato ricomprenda l’adozione di misure minime di sicurezza, la conformità degli interventi alle disposizioni di cui alla misura 25 dell’Allegato B del Codice e trasmettere tale attestazione al Responsabile di cui al Paragrafo 3.
Tali compiti possono essere ulteriormente precisati e, qualora fosse necessario, adattati alla natura dello specifico incarico comportante il trattamento di dati personali attribuito al soggetto esterno. Le specificazioni e/o gli adattamenti devono essere analiticamente stabiliti in convenzione, nel contratto o nel provvedimento di nomina.
5 - Il Responsabile della sicurezza
Il Codice impone, in particolare al Titolo V, numerosi obblighi in materia di sicurezza dei dati e dei sistemi.
Si reputa opportuno, in ragione sia della complessità organizzativa dell’Assemblea legislativa sia della peculiarità della materia, che richiede particolari competenze professionali anche tecniche, designare un soggetto con la specifica responsabilità di operare per la sensibilizzazione, il coordinamento, la vigilanza e l’applicazione di tali obblighi, secondo i compiti di seguito definiti.
Al Responsabile della sicurezza sono affidati i seguenti compiti:
a) collaborare alla redazione e all’aggiornamento del Documento Programmatico per la Sicurezza avvalendosi anche di professionalità specializzate per l’analisi dei rischi;
b) collaborare con il Titolare per definire Linee guida in materia di protezione dei dati personali di cui al Paragrafo 2, lett. a);
c) curare la redazione dei Disciplinari tecnici trasversali che saranno adottati dal Direttore generale, promuovendone anche l’aggiornamento ogni qualvolta l’evoluzione tecnica o normativa lo renda necessario;
d) collaborare alla redazione del Disciplinare tecnico relativo alle modalità e alle procedure per l’effettuazione di controlli sull’utilizzo delle strumentazioni informatiche, che sarà adottato dal Direttore generale;
e) supervisionare, collaborando con i Responsabili del trattamento di cui al Paragrafo 3, i Disciplinari tecnici di settore prima della loro adozione per garantire la coerenza con le Linee guida in materia di protezione dei dati personali di cui al Paragrafo 2, lett. a), promuovendone l’aggiornamento ogni qualvolta l’evoluzione tecnica o normativa lo renda necessario;
f) attivarsi ogni qualvolta venga avvertito un problema di sicurezza per:
- verificare il rispetto delle misure minime di sicurezza;
- individuare, se necessario, altre misure idonee al miglioramento della sicurezza dei trattamenti dei dati personali;
- inviare opportuna segnalazione in prima istanza ai Responsabili dei trattamenti e in ultima istanza al Titolare, affinché pongano in essere le misure necessarie per garantire la sicurezza dei dati;
g) individuare le misure idonee da osservare nell’esecuzione dei trattamenti dei dati personali aggiornandole in relazione all’evoluzione della tecnica, della normativa e dell’esperienza, segnalando eventuali problemi rilevati in prima istanza ai Responsabili dei trattamenti di dati personali e, in ultima istanza, al Titolare;
h) vigilare, per conto del Titolare, come indicato al Paragrafo 2, lett. f), anche tramite verifiche periodiche sulla puntuale osservanza delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza e al rispetto delle proprie istruzioni, avvalendosi anche di professionalità altamente specializzate e segnalando eventuali problemi rilevati, in prima istanza, ai Responsabili dei trattamenti di dati personali e, in ultima istanza, al Titolare;
i) promuovere l’istruzione e la formazione, in collaborazione con il Servizio preposto, dei Responsabili e degli Incaricati dei trattamenti dei dati personali, con particolare riferimento all’adozione e all’osservanza delle singole misure di sicurezza;
j) promuovere, in collaborazione con il Responsabile del diritto di accesso dell’interessato ai propri dati personali, la cultura della sicurezza anche attraverso un piano di comunicazione e divulgazione all’interno dell’Assemblea;
k) individuare e promuovere, in collaborazione con il Responsabile del diritto di accesso dell’interessato ai propri dati personali di cui al Paragrafo 6, le misure idonee a garantire l’esercizio dei diritti di cui all’art. 7 del Codice, anche mediante software che consentano il facile, agevole e approfondito reperimento di tutti i dati personali trattati in forma elettronica nell’ambito dell’Assemblea legislativa;
l) raccogliere e conservare ai fini di eventuali verifiche, le attestazioni di conformità alle disposizioni della misura 25 dell’Allegato B del Codice.
6 - Il Responsabile del diritto di accesso dell’interessato ai propri dati personali
Il Codice, agli artt. 7 e ss., attribuisce agli interessati il potere di esercitare, sui propri dati personali, un diritto di accesso, relativo sia alla conoscenza dei dati stessi sia ad un intervento ad es. di integrazione o cancellazione.
L’art. 10, comma 1, lettera b) del Codice, stabilisce inoltre che il Titolare è tenuto ad adottare idonee misure volte, in particolare, a semplificare le modalità e a ridurre i tempi per il riscontro al richiedente, anche nell’ambito di uffici o servizi preposti alle relazioni con il pubblico.
Si reputa quindi opportuno, in ragione della complessità organizzativa dell’Assemblea legislativa designare un soggetto con la specifica responsabilità di operare per la sensibilizzazione e il coordinamento di tale diritto, denominandolo “Responsabile del diritto di accesso dell’interessato ai propri dati personali”.
A tale Responsabile sono affidati i seguenti compiti:
a) promuovere il coordinamento e la sensibilizzazione dei Responsabili e degli incaricati del trattamento dei dati, sia in via generale e preventiva sia su singola richiesta, sui diritti di cui all’art. 7 e ss. del Codice, sul loro contenuto, sulla loro applicazione e sulle modalità di ottemperanza alle richieste dell’interessato;
b) collaborare con il Titolare per definire Linee guida in materia di protezione dei dati personali di cui al Paragrafo 2, lett. a), relativamente al diritto di accesso agli stessi dati da parte dell’interessato;
c) supervisionare la redazione del Disciplinare tecnico trasversale per l’esercizio del diritto di accesso dell’interessato ai propri dati personali promuovendone anche l’aggiornamento ogni qualvolta l’evoluzione organizzativa o normativa lo renda necessario ed esprimere il parere di regolarità amministrativa nel relativo atto di adozione;
d) supervisionare i Disciplinari tecnici di settore prima della loro adozione per garantire la coerenza con le Linee guida in materia di protezione dei dati personali relativamente al diritto di accesso a tali dati di cui al Paragrafo 2, lett. a), promuovendone l’aggiornamento ogni qualvolta l’evoluzione organizzativa o normativa lo renda necessario;
e) collaborare con i singoli interessati, anche fornendo istruzioni sul contenuto dei diritti di cui all’art. 7 del Codice e sulla procedura per il loro esercizio, alla redazione e compilazione delle istanze per l’esercizio dei diritti medesimi;
f) smistare le singole istanze verso i Responsabili del trattamento, responsabili anche del riscontro e competenti ad ottemperare alle medesime istanze;
g) vigilare, per conto del Titolare, come indicato al Paragrafo 2, lett. f), sul puntuale e corretto invio del riscontro, segnalando eventuali problemi rilevati, in prima istanza, ai Responsabili dei trattamenti di dati personali e, in ultima istanza, al Titolare;
h) proporre l’adozione delle singole misure ritenute opportune per agevolare l’accesso ai dati personali da parte dell’interessato, coordinandosi con i Responsabili del trattamento e proporre le misure opportune per semplificare le modalità di accesso e per ridurre i tempi di attesa, indicandole, laddove necessario, ai Responsabili del trattamento;
i) curare la pubblicazione e il relativo aggiornamento dell’elenco dei Responsabili esterni di cui al Paragrafo 4, in base alle comunicazioni effettuate dai Responsabili del trattamento di cui alla lettera n) del Paragrafo 3.1;
j) individuare e promuovere, in collaborazione con il Responsabile della sicurezza di cui al Paragrafo 5, le misure idonee a garantire l’esercizio dei diritti di cui all’art. 7 del Codice, anche mediante software che consentano il facile, agevole e approfondito reperimento di tutti i dati personali trattati in forma elettronica nell’ambito dell’Assemblea legislativa;
k) promuovere l’istruzione e la formazione, in collaborazione con il Servizio preposto, dei Responsabili e degli Incaricati dei trattamenti dei dati personali, con particolare riferimento all’osservanza delle procedure da adottare per favorire l’esercizio del diritto di accesso degli interessati ai propri dati personali;
l) promuovere, in collaborazione con il Servizio preposto e con il Responsabile della sicurezza, la cultura sui diritti dell’interessato, anche attraverso un piano di comunicazione e divulgazione all’interno dell’Ente;
m) proporre l’adozione di ogni altro provvedimento e adempimento necessario per la corretta applicazione dell’art. 7 e ss. del Codice.
7 - Gli incaricati – Criteri generali per l’individuazione delle persone fisiche e per le istruzioni da impartire alle stesse
L’art. 4, lettera h) e l’art. 30 del Codice stabiliscono che il Titolare o il Responsabile devono designare, quale incaricati del trattamento di dati personali, le persone fisiche che effettuano le operazioni di trattamento, operando sotto la loro diretta autorità.
Devono pertanto essere designati quali incaricati, qualora effettuino operazioni di trattamento, non soltanto i dipendenti a tempo indeterminato o determinato, ma anche gli altri soggetti che, ad altro titolo, operano sotto la diretta autorità del Titolare di cui al Paragrafo 2 o del Responsabile del trattamento di cui ai Paragrafi 3, 3bis e 4, quali, ad esempio, i lavoratori con contratto di somministrazione di lavoro a tempo determinato e, di norma, i collaboratori a progetto. In quest’ultimo caso la designazione deve essere contenuta anche nel contratto individuale.
Il Codice specifica inoltre che la designazione:
a) deve essere effettuata per iscritto, individuando puntualmente l’ambito del trattamento consentito;
b) è considerata quale designazione anche la documentata preposizione della persona fisica ad una unità organizzativa per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima.
I Responsabili del trattamento di cui ai Paragrafi 3, 3bis e 4, ovvero i soggetti a cui questo compito è stato delegato, devono pertanto designare per iscritto i soggetti autorizzati ad effettuare le operazioni di trattamento. La designazione deve essere aggiornata almeno annualmente.
Nel periodo intercorrente tra una designazione ed il successivo aggiornamento gli incaricati sono comunque autorizzati ad effettuare le operazioni direttamente conseguenti, strumentali e strettamente necessarie allo svolgimento della propria attività lavorativa, sia nel caso in cui siano agli stessi attribuiti nuovi compiti, previsti per adempiere a finalità istituzionali, che comportino trattamenti di dati personali, sia nel caso in cui, a qualunque titolo, siano reclutate altre persone fisiche che compiano trattamenti di dati personali quali incaricati. E’ comunque necessario che ad ogni nuovo incaricato sia data conoscenza delle Linee guida in materia di protezione dei dati personali e dei Disciplinari tecnici relativi allo svolgimento della propria attività lavorativa, come stabilito al Paragrafo 7.2.
I Responsabili del trattamento di cui al Paragrafo 3 effettuano la designazione scritta adottando una specifica determinazione.
I Responsabili del trattamento di cui al Paragrafo 3 bis, effettuano la designazione scritta con specifica lettera, sulla base di un fac-simile predisposto a cura dalla struttura di supporto tecnico per l’applicazione del Codice in materia di trattamento di dati personali.
Tale designazione deve essere comunicata all’Ufficio di Presidenza in tempo utile per la presa d’atto ai fini dell’aggiornamento annuale del Documento Programmatico sulla Sicurezza da parte dell’Ufficio di Presidenza medesimo.
7.1 - Criteri per l’individuazione degli incaricati
Tenuto conto della diversità di ampiezza delle strutture di riferimento dei trattamenti sia relativamente al numero di soggetti che vi operano in qualità di incaricati, sia del numero di trattamenti di dati personali di competenza della struttura stessa, si stabiliscono diverse modalità con le quali i soggetti competenti – con particolare riferimento ai soggetti di cui al Paragrafo 3 - possono effettuare tale designazione.
I suddetti soggetti possono effettuare la designazione:
a) prendendo a riferimento l’intera struttura di propria competenza (es. Direzione generale, Servizio , ecc.), soprattutto qualora la stessa sia di dimensioni ridotte per numero di incaricati e di trattamenti;
b) suddividendo la struttura di competenza in unità organizzative di minori dimensioni (quali le Posizioni Dirigenziali Professional, le Posizioni Organizzative o le Alte Professionalità).
Per ciascuna struttura di competenza o unità organizzativa di minori dimensioni devono essere individuati puntualmente i trattamenti effettuati dalla stessa, anche tramite riferimento all’elenco dei trattamenti di cui al Paragrafo 3.1, lettera d).
Gli incaricati sono quindi designati:
a) tramite individuazione nominativa (nome e cognome) delle persone fisiche. In questo caso occorre specificare, per ciascun nominativo, i trattamenti che lo stesso è autorizzato ad effettuare;
b) tramite rinvio alla posizione lavorativa (standard e/o concreta del singolo dipendente), contenuta nell’apposito Repertorio, di ciascuno o di alcuni dei dipendenti assegnati a quella determinata struttura o unità organizzativa, qualora nelle suddette posizioni lavorative siano già sufficientemente specificati i trattamenti effettuati (e ciò con particolare riferimento alle specifiche assegnazioni contenute nelle posizioni lavorative concrete dei singoli dipendenti);
c) tramite assegnazione funzionale della persona fisica all’unità organizzativa di minori dimensioni, qualora la persona fisica effettui tutti i trattamenti individuati puntualmente per tale unità.
7.2 - Istruzioni da impartire agli incaricati
La designazione scritta deve inoltre contenere le istruzioni impartite agli incaricati del trattamento.
Tali istruzioni, oltre a riguardare eventuali aspetti di dettaglio da diversificare in relazione alle specificità dei singoli trattamenti, devono quanto meno contenere un espresso richiamo alle Linee guida per la protezione dei dati personali e ai Disciplinari tecnici.
Le suddette Linee guida e i Disciplinari tecnici devono essere portati a conoscenza di tutti gli incaricati, con le modalità organizzative ritenute più idonee. Le modalità devono comunque essere tali da garantire la ricezione delle istruzioni da parte di ogni incaricato di trattamento di dati personali.
7.3 - Individuazione dei dirigenti Responsabili di Servizio quali incaricati di trattamenti di dati personali
I dirigenti Responsabili di Servizio sono incaricati dei trattamenti di dati relativamente a tutte le operazioni necessarie per:
a) la gestione del personale assegnato;
b) lo svolgimento delle funzioni formalmente attribuite alla struttura di competenza.
Le istruzioni per l’effettuazione dei trattamenti di dati personali conseguenti e strumentali alle sopra riportate lettere a) e b) sono le seguenti:
- devono essere effettuate soltanto le operazioni strettamente necessarie all’espletamento delle proprie funzioni;
- deve essere in ogni caso verificata la legittimità e la correttezza dei trattamenti effettuati, con particolare riferimento agli artt. 11, 13 e 18 e ss. del Codice;
- devono essere scrupolosamente seguite le procedure e le modalità comportamentali stabilite dalle Linee guida in materia di protezione dei dati personali e dai Disciplinari tecnici previsti dal presente atto.
Allegato B)
Linee guida dell’Assemblea legislativa della Regione Emilia-Romagna in materia di protezione dei dati personali
Art. 1
Finalità generali
1. Il decreto legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione di dati personali”, di seguito indicato come Codice, impone comportamenti rispondenti a principi tali da assicurare a chiunque il diritto alla protezione dei dati personali che lo riguardano.
2. A ciò si aggiunge il progressivo mutamento della società verso modelli di comunicazione sempre più integrati ed interconnessi (la c.d. “società dell’informazione”), che rende fondamentale per ogni organizzazione, ed a maggior ragione per un ente pubblico, lo sviluppo di una cultura della protezione delle informazioni e della tutela dei diritti degli interessati.
3. Le linee guida definite in questo documento hanno come finalità il rafforzamento della sicurezza dei sistemi e delle reti di informazione e lo snellimento delle procedure per l’esercizio dei diritti degli interessati, nel rispetto dei valori di una società democratica e dell’esigenza della libertà di informazione nonché del rispetto della vita privata delle singole persone.
Art. 2
Processo di gestione della sicurezza
1. L’applicazione ed il mantenimento della sicurezza si attuano attraverso misure tecniche e misure organizzative che devono essere recepite dai processi di lavoro per diventarne parte integrante.
2. La costruzione di un adeguato processo di gestione della sicurezza comprende le seguenti fasi distinte:
a) pianificazione della sicurezza: definizione degli obiettivi di sicurezza, analisi dei rischi, individuazione delle misure di sicurezza;
b) implementazione delle misure di sicurezza: messa in opera delle misure di sicurezza individuate;
c) controlli: verifica dell’efficienza e della corretta applicazione delle misure di sicurezza adottate;
d) revisioni: attuazione di correzioni ed adeguamenti al sistema di protezione delle informazioni sulla base dei risultati ottenuti dai controlli degli aggiornamenti normativi e tecnologici.
3. La scelta delle misure da rendere esecutive è quindi effettuata a seguito di un’analisi costi/benefici (analisi dei rischi) e tale analisi è costantemente ripetuta nel tempo alla luce dei progressi tecnologici, dei mutamenti normativi e del riscontro ottenuto dai controlli sulle misure già adottate.
Art. 3
Ambito di applicazione
1. Le Linee guida disciplinano l’attività dei dipendenti appartenenti all’organico dell’Assemblea legislativa della Regione Emilia-Romagna che effettuano trattamenti di dati personali nonché di tutti coloro che a vario titolo li effettuano in nome e/o per conto dell’Assemblea medesima, siano essi Responsabili o incaricati.
2. Le Linee guida si applicano sia ai trattamenti effettuati con l’ausilio di strumenti elettronici sia ai trattamenti effettuati senza l’ausilio di strumenti elettronici.
Art. 4
Tutela del patrimonio informativo
1. La tutela del patrimonio delle informazioni riveste importanza strategica per l’Assemblea legislativa ed è soggetta a precisi vincoli di legge imposti dal Codice.
2. La sicurezza delle informazioni è definita come la salvaguardia di riservatezza, integrità e disponibilità delle stesse. In particolare:
a) tutelare la riservatezza significa assicurare che le informazioni siano accessibili solo a coloro che sono autorizzati ad avervi accesso;
b) tutelare l’integrità significa salvaguardare l’accuratezza e completezza delle informazioni e del loro trattamento;
c) tutelare la disponibilità significa assicurare che gli utenti autorizzati abbiano accesso, quando richiesto, alle informazioni e ai beni ad esse associati.
3. Il comportamento dei destinatari di queste Linee guida deve essere improntato alla tutela della sicurezza delle informazioni.
Art. 5
Sensibilizzazione
1. La sicurezza di un sistema è costituita da tecnologie, procedure e comportamenti di tutti gli utenti del sistema stesso. Ciò rende fondamentale la sensibilizzazione di tutti coloro che effettuano trattamenti di dati personali circa i rischi incombenti sui dati e circa il corretto utilizzo dei relativi strumenti di protezione disponibili. Tale sensibilizzazione è fondamentale per assicurare la sicurezza dei sistemi e delle reti d'informazione.
2. I sistemi e le reti d'informazione sono sottoposti a rischi interni ed esterni, quindi è necessario che tutti sappiano e siano consapevoli che, a causa dell’interconnettività e dell’interdipendenza tra sistemi, falle in materia di sicurezza su un componente del sistema possono propagare i loro effetti fino ad incidere gravemente sull'integrità dei sistemi, delle reti, delle banche dati, degli archivi e arrecare danni ad altri.
3. Comportamenti non partecipi, disinformati o indifferenti, possono ostacolare gravemente la tutela del patrimonio informativo e ledere il rapporto di fiducia che deve necessariamente intercorrere tra l’amministrazione regionale e la società civile.
Art. 6
Responsabilità
1. Tutti coloro che effettuano trattamenti di dati personali devono essere consapevoli del fatto che la loro azione o inazione può causare danni ad altri oppure ledere diritti altrui.
2. La società dell’informazione dipende da sistemi e da reti d’informazione locali e globali interconnessi; per questo motivo tutti coloro che effettuano trattamenti di dati personali, devono essere consapevoli della propria responsabilità rispetto alla sicurezza del sistema nel suo complesso, in funzione del proprio ruolo e devono adeguare le proprie pratiche, misure e procedure affinché siano coerenti con queste Linee guida e con il sistema di protezione delle informazioni adottato dall’Assemblea legislativa .
3. Coloro che gestiscono, sviluppano, progettano e forniscono prodotti e servizi nell’ambito dei sistemi informativi, devono agire in modo da garantire la sicurezza dei sistemi e delle reti, tutelare la riservatezza dei dati personali e diffondere informazioni utili per assicurare l’adozione di idonee pratiche di sicurezza.
4. Un comportamento responsabile è quindi indispensabile e tutti, per il proprio ambito di competenza, devono adoperarsi per elaborare e adottare pratiche esemplari e incoraggiare comportamenti che tengano conto degli imperativi di sicurezza e di tutela dei diritti altrui.
Art. 7
Risposta agli incidenti di sicurezza
1. I soggetti che effettuano il trattamento devono operare tempestivamente e in uno spirito di collaborazione per prevenire, rilevare e rispondere efficacemente agli incidenti di sicurezza nel minor tempo possibile.
2. A causa dell'interconnettività dei sistemi e delle reti d’informazione, gli impatti causati da un incidente di sicurezza si diffondono rapidamente ed in modo molto esteso; è necessario quindi che i soggetti che effettuano il trattamento, in funzione del proprio ruolo, reagiscano agli incidenti di sicurezza con prontezza e con spirito di collaborazione. In particolare tutti devono contribuire per prevenire gli incidenti di sicurezza e garantire una risposta adeguata.
Art. 8
Diritto di accesso dell’interessato ai propri dati personali
1. I soggetti che effettuano il trattamento dei dati personali devono operare tempestivamente e in uno spirito di collaborazione per garantire all’interessato un accesso agevole, certo e semplificato ai propri dati personali e per favorire la corretta gestione delle istanze dell’interessato per un riscontro chiaro ed esauriente nel minor tempo possibile.
2. Il diritto dell’interessato di tutelare i propri dati personali e l’imposizione di regole di comportamento a tutti coloro che effettuano operazioni sui medesimi, danno concreta attuazione ai principi di eguaglianza e dignità sociale della persona.
3. Le regole tecniche in materia di diritto di accesso dell'interessato ai propri dati personali sono definite ai sensi dell’articolo 16 delle presenti Linee guida.
Art. 9
Trasparenza amministrativa e diritto d’accesso ai documenti amministrativi
1. La tutela della privacy e dei diritti dell’interessato, così come la sicurezza dei sistemi e delle reti d'informazione, devono essere compatibili con i valori fondamentali di una società democratica e, in particolare, con il principio di trasparenza dell'attività amministrativa.
2. L’Assemblea legislativa, al fine di agevolare l’attuazione del principio di trasparenza, provvede alla diffusione, oltre che nel Bollettino Ufficiale, tramite le proprie reti telematiche, dell'elenco e dei testi dei propri atti amministrativi di natura generale.
3. Gli atti amministrativi devono essere redatti dai destinatari di queste Linee guida riportando direttamente nell’oggetto e nel testo soltanto i dati personali strettamente necessari alla finalità dell’atto.
4. In particolare gli atti che devono essere pubblicati nel Bollettino Ufficiale della Regione, o sottoposti ad altre forme di pubblicità previste da legge o regolamento, non devono riportare nell’oggetto e nel testo dati sensibili e/o giudiziari se non nei casi previsti da espressa disposizione di legge. Non devono in nessun caso essere riportati direttamente dati idonei a rivelare lo stato di salute di persone identificate o identificabili. Nel caso in cui i suddetti dati siano indispensabili per la finalità dell’atto, nella pubblicizzazione devono essere adottate opportune misure che evitino l’associazione, anche indiretta, all’interessato, ad esempio tramite l’impiego di diciture generiche o codici alfanumerici.
5. Quanto previsto dal precedente capoverso deve essere applicato anche nel caso di diffusione attraverso le bacheche, comprese quelle telematiche.
6. L’Assemblea legislativa può pubblicare sul proprio sito Internet, al fine di agevolare la comunicazione con il pubblico, i numeri telefonici e l'indirizzo e-mail istituzionale delle proprie strutture o dei dipendenti che operano presso le stesse. Essi possono essere utilizzati soltanto per fini inerenti alle attività istituzionali dell’Assemblea stessa. In particolare, non possono essere utilizzati per finalità pubblicitarie o commerciali. Di questa limitazione all'utilizzo da parte dei terzi è riportato avviso nel sito web dell’Assemblea.
7. In materia di diritto di accesso ai documenti amministrativi, il principio di trasparenza può prevalere sulla tutela della riservatezza, consentendo al legittimo titolare del diritto di accedere anche ai documenti contenenti dati personali di terzi la cui conoscenza è necessaria per la cura o la difesa dei suoi interessi giuridici.
8. Nel caso di istanza d’accesso a documenti amministrativi contenenti dati sensibili e giudiziari, l’esercizio del diritto è concesso tuttavia nei limiti strettamente indispensabili. Peraltro, quando i documenti contengono dati idonei a rivelare lo stato di salute e la vita sessuale di terzi, l’accesso è consentito soltanto se strumentale alla tutela di un diritto della personalità o altro diritto o libertà fondamentale e inviolabile o, comunque, a tutela di una situazione giuridica di rango almeno pari ai diritti dell’interessato.
Art. 10
Uso delle strumentazioni informatiche
1. Le strumentazioni informatiche che l’Assemblea legislativa mette a disposizione devono essere utilizzate in modo strettamente pertinente allo svolgimento dell’attività lavorativa, secondo un utilizzo appropriato, efficiente, corretto e razionale.
2. Con specifico riferimento agli strumenti informatici e telematici, alla posta elettronica e a Internet, i destinatari delle presenti Linee guida sono tenuti in particolare a:
a) utilizzare tali beni per motivi non attinenti all’attività lavorativa soltanto in casi di urgenza e comunque non in modo ripetuto o per periodi di tempo prolungati;
b) utilizzare la posta elettronica e Internet nel rispetto del principio di riservatezza, per le specifiche finalità della propria attività e rispettando le esigenze di funzionalità della rete e quelle di semplificazione dei processi lavorativi;
c) non appesantire il traffico della rete con operazioni particolarmente lunghe e complesse quando ciò non sia necessario allo svolgimento dell’attività lavorativa.
3. Le regole tecniche in materia di utilizzo delle strumentazioni informatiche sono definite ai sensi dell’articolo 15 delle presenti Linee guida.
Art. 11
Segnalazione delle violazioni
1. Le violazioni di sicurezza interna o gli eventi che possono portare a credere che vi sia stata un’elusione delle misure di sicurezza previste per un determinato trattamento, devono essere tempestivamente segnalate secondo le modalità e le regole tecniche definite ai sensi dell’articolo 15 delle presenti Linee guida.
Art. 12
Controlli di sicurezza
1. L’Assemblea legislativa si riserva la facoltà di effettuare i controlli ritenuti opportuni per la verifica della corretta applicazione e dell’efficienza delle misure di sicurezza adottate per la protezione dei dati personali.
2. Tali controlli possono essere effettuati esclusivamente da personale debitamente autorizzato secondo modalità dipendenti dal valore dei dati trattati e dai rischi di sicurezza che incombono su di essi.
3. In ogni caso, le modalità dei controlli devono essere preventivamente comunicate ed illustrate a chi effettua trattamenti di dati personali nei modi previsti dall'art. 15 delle presenti Linee guida.
Art. 13
Sanzioni
1. La violazione di comportamenti prescritti nelle presenti Linee guida può comportare l’applicazione di una sanzione disciplinare se la fattispecie integra gli estremi di una infrazione prevista dai Contratti Collettivi o determinare una responsabilità dirigenziale, ferma restando anche una possibile responsabilità penale, civile o amministrativa-contabile.
Art. 14
Registro informatico dei trattamenti dei dati personali ed Elenco dei Responsabili del trattamento
1. Si istituisce il Registro informatico dei trattamenti dei dati personali per censire i trattamenti effettuati nell’ambito delle strutture afferenti all’Assemblea legislativa e le relative banche dati. Tale Registro costituisce il supporto necessario alla redazione e all'aggiornamento annuale del Documento Programmatico sulla Sicurezza. È fatto obbligo ai Responsabili del trattamento, di cui al paragrafo 3 dell’Allegato A) del presente atto, di provvedere all'aggiornamento del Registro con cadenza almeno annuale. Tali Responsabili possono individuare uno o più addetti incaricati del censimento e dell’aggiornamento dei trattamenti di competenza.
2. La supervisione del Registro e degli aggiornamenti effettuati, nonché l’estrazione dei dati in forma omogenea per il loro utilizzo nell’aggiornamento annuale del Documento Programmatico sulla Sicurezza compete al Direttore generale, con la collaborazione del Responsabile della sicurezza, avvalendosi della struttura di supporto tecnico per l’applicazione del Codice in materia di trattamento dei dati personali dell’Assemblea legislativa.
2bis. Il censimento dei trattamenti effettuati nell’ambito delle strutture speciali di cui al paragrafo 3bis dell’Allegato A) del presente atto, è effettuato con l’ausilio della struttura di supporto tecnico per l’applicazione del Codice in materia di protezione dei dati personali dell’Assemblea legislativa, senza transitare attraverso il Registro informatico di cui al comma 1, confluendo direttamente nel Documento Programmatico sulla Sicurezza.
3. L’Elenco dei Responsabili interni ed esterni, al fine di renderlo conoscibile in modo agevole e chiaro agli interessati, come stabilito dal Codice, è pubblicato sul sito ufficiale dell’Assemblea legislativa a cura al Direttore generale, con la collaborazione del Responsabile della sicurezza, avvalendosi della struttura di supporto tecnico per l’applicazione del Codice in materia di trattamento dei dati personali.
4. L'Elenco deve essere tempestivamente aggiornato. Al fine di consentire un puntuale aggiornamento, gli atti e i documenti di nomina e di individuazione dei Responsabili interni ed esterni devono essere resi noti al Direttore generale, al Responsabile della sicurezza, nonché alla struttura di supporto tecnico per l’applicazione del Codice in materia di trattamento dei dati personali.
Art. 15
Disciplinari tecnici
1. L’applicazione pratica dei principi contenuti in queste Linee guida è definita attraverso appositi Disciplinari tecnici secondo quanto stabilito dal Paragrafo 3 della Direttiva (vedi Allegato A) della presente deliberazione).
2. I Disciplinari tecnici contengono specifiche indicazioni comportamentali e/o procedurali rivolte principalmente ai Responsabili e agli incaricati dei trattamenti di dati personali nonché agli altri soggetti che, nello svolgimento della propria attività, possono ostacolare il raggiungimento delle finalità generali di cui all’art. 1 delle presenti Linee guida.
Allegato C)
Elenco dei Responsabili del trattamento dei dati personali per le strutture speciali di supporto agli organi di direzione politica
Ufficio di Presidenza
- Richetti Matteo - Presidente
- Mandini Sandro - Vice Presidente
- Aimi Enrico - Vice Presidente
- Cevenini Maurizio - Consigliere Segretario
- Corradi Roberto - Consigliere Segretario
- Bartolini Luca - Questore
- Mazzotti Mario - Questore
Presidenti Gruppi assembleari
- Monari Marco - Gruppo Partito Democratico
- Villani Luigi Giuseppe- Gruppo PDL - Popolo della Libertà
- Barbati Liana - Gruppo Italia dei Valori - Lista Di Pietro
- Manfredini Mauro - Gruppo Lega Nord Padania Emilia e Romagna
- Sconciaforni Roberto - Gruppo Federazione della Sinistra
- Defranceschi Andrea - Gruppo Movimento 5 Stelle Beppegrillo.it
- Naldi Gianguido - Gruppo Sinistra Ecologia Libertà - Idee Verdi
- Noè Silvia - Gruppo U.D.C. Unione di Centro
- Riva Matteo - Gruppo Misto
Presidenti delle Commissioni assembleari
- Lombardi Marco - Commissione Bilancio Affari Generali e Istit.li
- Grillini Franco - Commissione Politiche economiche
- Zoffoli Damiano - Commissione Territorio Ambiente Mobilità
- Donini Monica - Commissione Politiche per la salute e Politiche sociali
- Pagani Giuseppe Eugenio - Commissione Turismo Cultura Scuola Formazione Lavoro Sport
- Favia Giovanni - Commissione Statuto e Regolamento
- Mori Roberta - Commissione Pari opportunità tra uomini e donne