n.82 del 04.04.2018 periodico (Parte Seconda)
Documento Programmatico sulla Sicurezza dell'Assemblea legislativa della Regione Emilia-Romagna - aggiornamento anno 2018
L’UFFICIO DI PRESIDENZA
Visto il d.lgs. n. 196 del 30 giugno 2003 “Codice in materia di protezione dei dati personali”, di seguito denominato Codice;
Visto il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”, di seguito “Regolamento”;
Precisato che il Regolamento, entrato in vigore 24 maggio 2016, si applicherà dal 25 maggio 2018 e per questa data l’Ente deve adeguare il proprio ordinamento alle nuove disposizioni;
Vista la deliberazione dell’Ufficio di Presidenza n. 29 del 7 marzo 2012 “Direttiva e Linee guida dell'Assemblea legislativa della Regione Emilia-Romagna in materia di protezione dei dati personali, con particolare riferimento alla ripartizione di competenze tra i soggetti che effettuano il trattamento. Modifica ed integrazione della deliberazione U.P. n.197/2006. Modifica ed integrazione della Appendice 5 della deliberazione U.P. n. 173/2007”;
Richiamata la propria deliberazione n. 18 del 30 gennaio 2018 con cui l’Assemblea legislativa, in linea con la Giunta regionale, ha provveduto ai primi adeguamenti al Regolamento (UE) 2016/679 ed in particolare:
- ha designato il Responsabile della protezione dati (o Data Protection Officer - DPO), ai sensi degli artt. 37-39 del Regolamento;
- ha previsto di approvare, con cadenza annuale, il Documento Programmatico sulla Sicurezza dell’Assemblea legislativa, quale compendio delle misure tecniche ed organizzative adeguate ai sensi del Regolamento (UE) 2016/679;
- ha disposto, dalla data della sua approvazione, la cessazione della validità della delibera UP n. 29/2012, stabilendo che, fino all’adozione dell’atto di modifica, continueranno ad applicarsi le disposizioni di quest’ultima atte a consentire la gestione delle procedure per l’applicazione delle misure e l’adempimento degli obblighi previsti dalla normativa;
- ha dato atto della conseguente cessazione dell’incarico di Responsabile della Sicurezza, istituito dalla stessa delibera UP n. 29/2012 ed attribuito alla Responsabile del Servizio Funzionamento e gestione, dott.ssa Elena Roversi, con la deliberazione UP n. 18 del 9 marzo 2016, successivamente aggiornata dalle delibere UP n. 47 del 8 giugno 2016 e n. 5 del 25 gennaio 2017;
- ha previsto, all’Allegato 2, la redazione e l’aggiornamento annuale del Documento Programmatico per la Sicurezza tra i compiti che, nelle more della più puntuale ridefinizione di funzioni e responsabilità relative al suddetto cessato incarico, afferiscono al Responsabile del Servizio Funzionamento e gestione, quale responsabile del sistema di gestione della sicurezza delle informazioni e dei dati;
Premesso che:
- Il decreto legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali” (di seguito “Codice”) prevede, all’art. 33, che il Titolare del trattamento è tenuto ad adottare le misure minime di sicurezza, volte ad assicurare un livello minimo di protezione dei dati personali, di cui ai successivi articoli 34 e 35 nonché all’allegato B) “Disciplinare tecnico in materia di misure minime di sicurezza”;
- a seguito dell’abrogazione della lettera g) del comma 1 dell’articolo 34 nonché dei paragrafi da 19 a 19.8 e 26 dell’allegato B) del Codice da parte dell’art. 45 del D.L. 9 febbraio 2012, n. 5 “Disposizioni urgenti in materia di semplificazione e di sviluppo”, come convertito, l’obbligo di tenuta di un aggiornato Documento Programmatico sulla Sicurezza (di seguito “DPS”) quale misura minima di sicurezza in caso di trattamenti di dati personali effettuati con strumenti elettronici è stato eliminato;
Dato atto che, dopo la suddetta semplificazione, l’Assemblea legislativa, quale Titolare del trattamento dei dati personali, conformemente alla Giunta regionale, ha continuato ad approvare l’aggiornamento annuale del DPS, quale misura idonea di sicurezza ai sensi dell’art. 31 del Codice, presentandosi esso come formale documento ricognitivo e programmatorio di tutte le misure di sicurezza, minime ed idonee, e più in generale dell’attività dell’Ente in materia di protezione e sicurezza dei dati personali;
Richiamato, in particolare, l’art. 24, comma 1, del suddetto Regolamento che prevede che tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il Titolare del trattamento, mette in atto misure tecniche ed organizzative - da riesaminare ed aggiornare qualora necessario - per garantire ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento stesso;
Richiamate altresì le proprie deliberazioni:
- n. 102 del 2 dicembre 2015 recante "Linee di indirizzo in materia di organizzazione e gestione del personale della Direzione generale - Assemblea legislativa";
- n. 103 del 2 dicembre 2015 recante “Istituzione, denominazione e competenze di strutture organizzative di livello dirigenziale e professional della Direzione generale Assemblea legislativa: 1ª fase di riorganizzazione";
- n. 197 del 16 dicembre 2015 recante "Trasferimento in capo all'Assemblea legislativa delle risorse umane, finanziarie e strumentali attribuite alla Consulta degli Emiliano-romagnoli nel mondo ai sensi dell'art. 4, comma 3, della l.r. 5/2015. Modifica della dotazione organica, della declaratoria del servizio documentazione Europa cittadinanza attiva e definizione del nuovo tetto di spesa del personale delle strutture ordinarie dell'Assemblea legislativa";
- n. 13 del 09 febbraio 2016 recante "Istituzione, denominazione e competenze delle strutture organizzative di livello dirigenziale e professional della Direzione generale - Assemblea legislativa: modifiche all'allegato A) della deliberazione Up 103/2015;
- n. 11 del 28 gennaio 2016 che ha conferito efficacia alla determinazione del direttore generale n. 72 del 28/01/2016 recante “Attribuzione incarichi dirigenziali presso la Direzione generale –Assemblea legislativa (1 ª fase di riorganizzazione)”;
- n. 31 del 21 aprile 2016 recante “Indirizzi in ordine alle relazioni organizzative e funzionali tra i Servizi della Direzione Generale Assemblea legislativa e sull’esercizio delle funzioni dirigenziali. Modifiche alla delibera 67/2014”;
- n. 5 del 25 gennaio 2017 "Aggiornamento dei Responsabili ai sensi del d.lgs. 30 giugno 2003, n. 196 (Codice in materia di trattamento dei dati personali). Anno 2017”.
Ritenuto dunque:
- di approvare l’aggiornamento annuale del Documento Programmatico sulla Sicurezza dell’Assemblea legislativa, a firma della Responsabile del Servizio Funzionamento e gestione, quale compendio delle misure tecniche ed organizzative adeguate ai sensi del Regolamento UE 2016/679, come previsto con la precedente deliberazione di Ufficio di Presidenza n. 18 del 30 gennaio 2018;
- di mantenere, per l’adozione del suddetto aggiornamento annuale, il termine del 31 marzo, vigente prima delle abrogazioni citate in premessa;
Valutato che il DPS, riportando l’analisi dei rischi e l’individuazione di tutte le misure di sicurezza, minime ed idonee, con la tempistica e la verifica della loro concreta attuazione, costituisce altresì misura idonea e preventiva di sicurezza ai sensi dell’art. 31 del d.lgs. n. 106/2003, configurandosi come il documento formale di ricognizione e programmazione di tutte le misure e più in generale dell’attività dell’Ente in materia di protezione e sicurezza dei dati personali;
Considerato inoltre che il suddetto Documento:
- descrive in modo preciso ed accurato tutti gli aspetti legati all’organizzazione della sicurezza dell’Assemblea legislativa (l’elenco dei trattamenti effettuati, la distribuzione dei compiti e delle responsabilità, le misure adottate per la protezione degli strumenti informatici, la protezione delle aree e dei locali, ecc), indica le misure che si intendono adottare per aumentarne il livello (analizzando i rischi e definendo le misure per prevenirli o per ridurne l’impatto) e sottolinea quali sono gli obiettivi dell’Ente in materia di tutela dei dati personali;
- contiene informazioni dettagliate su tutti i sistemi informativi della Assemblea legislativa della Regione Emilia-Romagna, ivi comprese le misure in essere e da adottare per la protezione dei dati personali trattati sia con l’ausilio di strumenti elettronici, sia senza l’ausilio di strumenti elettronici;
Ritenuto quindi:
- che l’accesso al Documento Programmatico sulla Sicurezza da parte di soggetti esterni potrebbe evidentemente mettere in pericolo non solo la sicurezza dell’Ente, ma soprattutto la riservatezza di coloro i cui dati sono oggetto di trattamento da parte dell’Ente stesso;
- che le informazioni contenute in tale Documento siano riservate;
Presa visione del “Documento Programmatico sulla Sicurezza dell’Assemblea legislativa della Regione Emilia-Romagna – Aggiornamento anno 2018”, comprensivo dei suoi allegati, conservato agli atti del Protocollo in formato digitale al n. NP/2018/599 del 20/3/2018 a firma della Responsabile del Servizio Funzionamento e gestione, dott.ssa Elena Roversi;
Attestato che la Responsabile del Servizio Funzionamento e gestione, responsabile del procedimento, non si trova in situazione di conflitto, anche potenziale, di interesse;
Visti i pareri allegati,
A voti unanimi
delibera:
1. di approvare il “Documento Programmatico sulla Sicurezza dell’Assemblea legislativa della Regione Emilia-Romagna – Aggiornamento anno 2018”, comprensivo di tutti i suoi allegati, il cui originale è conservato agli atti del Protocollo in formato digitale al n. NP/2018/599 del 20/3/2018 a firma della Responsabile del Servizio Funzionamento e gestione, dott.ssa Elena Roversi;
2. di disporre che le informazioni contenute nel Documento di cui al punto 1 siano riservate per le motivazioni espresse in parte narrativa che qui si intendono interamente richiamate;
3. di dare massima diffusione di tale Documento ai Responsabili interni del trattamento, affinché questi provvedano a definire, nel rispetto dei suoi contenuti, soluzioni operative per l’applicazione delle misure di sicurezza, con particolare attenzione alle eventuali specificità o complessità strutturali dell’articolazione organizzativa cui sono preposti;
4. di pubblicare la presente deliberazione nel Bollettino Ufficiale della Regione Emilia-Romagna.