n.89 del 22.04.2015 periodico (Parte Seconda)
Documento programmatico sulla sicurezza dell'Assemblea legislativa della Regione Emilia-Romagna, ai sensi del decreto legislativo 30 giugno 2003, n. 196 - Aggiornamento anno 2015
L’UFFICIO DI PRESIDENZA
Visto il D.Lgs. n. 196 del 30 giugno 2003 “Codice in materia di protezione dei dati personali”, di seguito denominato Codice;
Richiamati in particolare, i seguenti articoli del Codice:
- art. 31, in base al quale i trattamenti di dati personali possono essere effettuati soltanto se sono adottate misure idonee e preventive in modo da ridurre al minimo rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta;
- art. 33 che obbliga i titolari del trattamento, nel quadro dei più generali obblighi di sicurezza di cui all’art. 31, ad adottare le misure minime volte ad assicurare un livello minimo di protezione dei dati personali;
- artt. 34 e 35 che indicano le misure minime di sicurezza necessarie affinché sia consentito il trattamento di dati personali sia con strumenti elettronici sia senza l’ausilio di strumenti elettronici;
Richiamato l’Allegato B “Disciplinare tecnico in materia di misure minime di sicurezza” del Codice stesso;
Visto l’art. 45 del D. L. 9 febbraio 2012, n. 5 “Disposizioni urgenti in materia di semplificazione e di sviluppo”, convertito in L. 4 aprile 2012, n. 35, che abroga la lettera g) del comma 1 e i paragrafi da 19 a 19.8 e il paragrafo 26 dell’allegato B del Codice;
Preso atto che l’art. 45 del D.L. n. 5/2012 abroga:
- la lettera g) del comma 1 dell’art. 34 del Codice e che quindi la redazione di un Documento Programmatico sulla Sicurezza non è più da considerare tra le “misure minime” di sicurezza;
- i paragrafi da 19 a 19.8 e il paragrafo 26 dell’Allegato B del Codice, che specificavano il contenuto del suddetto Documento Programmatico sulla Sicurezza e l’obbligo di riferire della sua adozione nella redazione accompagnatoria del bilancio d’esercizio dell’aggiornamento del Documento Programmatico della sicurezza;
Considerato peraltro che:
- sono ancora vigenti le norme che obbligano il Titolare di trattamenti di dati personali ad adottare idonee e preventive misure di sicurezza, come stabilito dall’art. 31 del Codice sopra richiamato e, in particolare, le misure minime contenute nell’art. 34 del Codice, come specificate nell’Allegato B del Codice (ad esclusione dei paragrafi abrogati, vale a dire dal 19 al 19.8 e il 26);
- nell’individuare le misure idonee e preventive, per soddisfare quanto previsto dai più volte richiamati artt. 31 e 34 del Codice, occorre effettuare un’accurata analisi dei rischi in essere e programmare le azioni da attuare per eliminare o diminuire tali rischi;
- si ritiene opportuno, anche in linea con le scelte adottate in merito dalla Giunta regionale, che la suddetta analisi sia contenuta in un Documento formale di riepilogo, sintesi e programmazione adottato dal Titolare dei trattamenti di dati personali, da aggiornarsi annualmente;
Viste le proprie deliberazioni:
- n. 29 del 7/3/2012 “Direttiva e Linee guida dell'Assemblea legislativa della Regione Emilia-Romagna in materia di protezione dei dati personali, con particolare riferimento alla ripartizione di competenze tra i soggetti che effettuano il trattamento. Modifica ed integrazione della deliberazione U.P. n.197/2006. Modifica ed integrazione della Appendice 5 della deliberazione U.P. n. 173/2007”;
- n. 67 del 15 luglio 2014 recante “Indirizzi in ordine alle relazioni organizzative e funzionali tra i Servizi della Direzione Generale Assemblea legislativa e sull’esercizio delle funzioni dirigenziali. Modifiche alla delibera 173/2007”
- n. 94 del 17 settembre 2014 concernente "Aggiornamento dei Responsabili ai sensi del d.lgs. 30 giugno 2003, n. 196 Codice in materia di trattamento dei dati personali. Integrazione anno 2014”;
- n. 26 del 25 marzo 2014 “Documento programmatico sulla sicurezza dell'Assemblea legislativa della Regione Emilia-Romagna, ai sensi del decreto legislativo 30 giugno 2003, n. 196 - Aggiornamento anno 2014”;
Richiamate altresì le deliberazioni:
- n. 148 del 23 ottobre 2013 “Istituzione, denominazione e competenze delle strutture organizzative dell'Assemblea legislativa. 5ª fase di intervento 2013”, che, a partire dal 1 gennaio 2014, ha ridefinito l’articolazione delle strutture ordinarie dell’Assemblea legislativa e rimodulato organizzativamente la struttura del Gabinetto di Presidenza in 3 aree distinte (Segreteria di Presidenza, Relazioni Esterne, Servizio Informazione e comunicazione istituzionale);
- n. 71 del 17 luglio 2014 “Istituzione, denominazione e competenze delle strutture organizzative dell'Assemblea legislativa. 6ª fase di intervento 2014”;
- n. 20 del 17 febbraio 2015 concernente "Aggiornamento dei Responsabili ai sensi del d.lgs. 30 giugno 2003, n. 196 Codice in materia di trattamento dei dati personali. Anno 2015”;
Valutato quindi che sia opportuno adottare un Documento Programmatico sulla Sicurezza, da considerare non più una misura minima ma una misura idonea e preventiva da redigere in base all’art 31 del Codice, in quanto (pur in una forma semplificata rispetto alla schema tipo predisposto dal Garante per la protezione dei dati personali quando lo stesso era obbligatorio) tale Documento riporta l’analisi dei rischi e l’individuazione delle misure di sicurezza, sia idonee sia minime, con la tempistica e la verifica della loro concreta attuazione;
Considerato inoltre che il Documento Programmatico sulla Sicurezza:
- descrive in modo preciso ed accurato tutti gli aspetti legati all’organizzazione della sicurezza dell’Assemblea legislativa (l’elenco dei trattamenti effettuati, la distribuzione dei compiti e delle responsabilità, le misure adottate per la protezione degli strumenti informatici, la protezione delle aree e dei locali, ecc), indica le misure che si intendono adottare per aumentarne il livello (analizzando i rischi e definendo le misure per prevenirli o per ridurne l’impatto) e sottolinea quali sono gli obiettivi dell’Ente in materia di tutela dei dati personali;
- contiene informazioni dettagliate su tutti i sistemi informativi della Assemblea legislativa della Regione Emilia-Romagna, ivi comprese le misure in essere e da adottare per la protezione dei dati personali trattati sia con l’ausilio di strumenti elettronici, sia senza l’ausilio di strumenti elettronici;
Ritenuto quindi:
- che l’accesso al Documento Programmatico sulla Sicurezza da parte di soggetti esterni potrebbe evidentemente mettere in pericolo non solo la sicurezza dell’Ente, ma soprattutto la riservatezza di coloro i cui dati sono oggetto di trattamento da parte dell’Ente stesso;
- che le informazioni contenute in tale Documento siano riservate;
Considerato inoltre:
- che il Documento Programmatico sulla Sicurezza è da ritenersi anche documento a carattere programmatorio, che definisce la politica dell’Assemblea legislativa in materia di sicurezza nel trattamento dei dati personali;
- di mantenere la cadenza annuale del suo aggiornamento, la cui adozione, prima delle abrogazioni citate in premessa, doveva obbligatoriamente essere effettuata entro il 31 marzo di ogni anno;
Presa visione del “Documento Programmatico sulla Sicurezza dell’Assemblea legislativa della Regione Emilia-Romagna - Aggiornamento anno 2015”, comprensivo dei suoi allegati, conservato agli atti del Protocollo in formato digitale al n. NP/2015/673 del 30/3/2015 a firma del Responsabile della Sicurezza, dott. Cristiano Annovi;
Visto il parere di regolarità amministrativa allegato,
A voti unanimi
delibera:
1. di approvare il “Documento Programmatico sulla Sicurezza dell’ Assemblea legislativa della Regione Emilia-Romagna – Aggiornamento anno 2015”, comprensivo di tutti i suoi allegati, il cui originale è conservato agli atti del Protocollo in formato digitale al n. n. NP/2015/673 del 30/03/2015 a firma del Responsabile della Sicurezza, dott. Cristiano Annovi;
2. di disporre che le informazioni contenute nel Documento di cui al punto 1 siano riservate per le motivazioni espresse in parte narrativa che qui si intendono interamente richiamate;
3. di disporre che le eventuali istanze relative al diritto di accesso a tale Documento siano istruite con particolare attenzione e siano inoltrate per competenza al Responsabile della Sicurezza;
4. di darne la massima diffusione ai Responsabili interni del trattamento affinché questi provvedano a definire, nel rispetto del Documento programmatico, soluzioni operative per l’applicazione delle misure di sicurezza, con particolare attenzione alle eventuali specificità o complessità strutturali dell’articolazione organizzativa cui sono preposti;
5. di pubblicare la presente deliberazione nel Bollettino Ufficiale della Regione Emilia-Romagna.