n.255 del 07.10.2015 periodico (Parte Seconda)
Documento Programmatico sulla Sicurezza della Giunta della Regione Emilia-Romagna - Aggiornamento giugno 2015
LA GIUNTA DELLA REGIONE EMILIA-ROMAGNA
Visto il D.Lgs. n. 196 del 30 giugno 2003 “Codice in materia di protezione dei dati personali”, di seguito denominato Codice;
Richiamati in particolare:
- l’art. 31 del Codice, in base al quale i trattamenti di dati personali possono essere effettuati soltanto se sono adottate misure idonee e preventive in modo da ridurre al minimo rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta;
- l’art. 34 del Codice, che prevede l’adozione di misure di sicurezza nei modi previsti dal disciplinare tecnico contenuto nell’allegato B) del Codice stesso, vale a dire l’adozione delle cosiddette “misure minime”;
Richiamato l’Allegato B “Disciplinare tecnico in materia di misure minime di sicurezza” del Codice stesso;
Visto l’art. 45 del D.L. 9 febbraio 2012, n. 5 “Disposizioni urgenti in materia di semplificazione e di sviluppo”, convertito con modificazioni dalla L. 4 aprile 2012, n. 35, che abroga la lettera g) del comma 1 e i paragrafi da 19 a 19.8 e il paragrafo 26 dell’allegato B del Codice;
Preso atto che l’art. 45 del D.L. n. 5/2012 abroga:
- la lettera g) del comma 1 dell’art. 34 del Codice e che quindi la redazione di un Documento Programmatico sulla Sicurezza non è più da considerare tra le “misure minime” di sicurezza;
- i paragrafi da 19 a 19.8 e il paragrafo 26 dell’Allegato B del Codice, che specificavano il contenuto del suddetto Documento Programmatico sulla Sicurezza e l’obbligo di riferire della sua adozione nella redazione accompagnatoria del bilancio d’esercizio dell’aggiornamento del Documento Programmatico della sicurezza;
Considerato peraltro che:
- sono ancora vigenti le norme che obbligano il titolare di trattamenti di dati personali ad adottare idonee e preventive misure di sicurezza, come stabilito dall’art. 31 del Codice sopra richiamato e, in particolare, le misure minime contenute nell’art. 34 del Codice, come specificate nell’Allegato B del Codice (ad esclusione dei paragrafi abrogati, vale a dire dal 19 al 19.8 e il 26);
- nell’individuare le misure idonee e preventive, per soddisfare quanto previsto dai più volte richiamati artt. 31 e 34 del Codice, occorre effettuare un’accurata analisi dei rischi in essere e programmare le azioni da attuare per eliminare o diminuire tali rischi;
- si ritiene opportuno che la suddetta analisi sia contenuta in un Documento formale adottato dal titolare dei trattamenti di dati personali;
Viste le proprie deliberazioni:
- n. 2416 del 29 dicembre 2008 “Indirizzi in ordine alle relazioni organizzative e funzionali tra le strutture e sull'esercizio delle funzioni dirigenziali. adempimenti conseguenti alla delibera 999/2008. Adeguamento e aggiornamento della delibera 450/2007”, che all’Appendice 5 specifica le competenze del titolare dei trattamenti di dati personali e del Responsabile della sicurezza della Giunta;
- n. 1783/2012, che al punto 11 del dispositivo sostituisce la lettera c) del paragrafo 276 della deliberazione n. 2416/2008 con il seguente testo: è competenza della Giunta “adottare con proprio atto, aggiornato periodicamente, il Documento Programmatico per la Sicurezza, in quanto tale documento è da considerare quale idonea misura di sicurezza;
- n. 1264 del 1 agosto 2005 “Linee guida della Giunta della Regione Emilia-Romagna regionale in materia di protezione di dati personali”;
- n. 1007 del 7 luglio 2014 “Documento Programmatico sulla Sicurezza della Giunta della Regione Emilia-Romagna - Aggiornamento giugno 2014“;
Valutata quindi l’opportunità dell’adozione del Documento Programmatico sulla Sicurezza da parte di questa Giunta, da considerare non più una misura minima ma una misura idonea e preventiva da redigere in base all’art 31 del Codice, in quanto (pur in una forma semplificata rispetto alla schema tipo predisposto dal Garante per la protezione dei dati personali quando lo stesso era obbligatorio) tale Documento riporta l’analisi dei rischi e l’individuazione delle misure di sicurezza, sia idonee sia minime, con la tempistica e la verifica della loro concreta attuazione;
Considerato inoltre che il Documento Programmatico sulla Sicurezza:
- descrive in modo preciso ed accurato tutti gli aspetti legati all’organizzazione della sicurezza dell’Ente (l’elenco dei trattamenti effettuati, la distribuzione dei compiti e delle responsabilità, le misure adottate per la protezione degli strumenti informatici, la protezione delle aree e dei locali, ecc), indica le misure che si intendono adottare per aumentarne il livello (analizzando i rischi e definendo le misure per prevenirli o per ridurne l’impatto) e sottolinea quali sono gli obiettivi dell’Ente in materia di tutela dei dati personali;
- contiene informazioni dettagliate su tutti i sistemi informativi della Giunta della Regione Emilia-Romagna, ivi comprese le misure in essere e da adottare per la protezione dei dati personali trattati sia con l’ausilio di strumenti elettronici, sia senza l’ausilio di strumenti elettronici;
Ritenuto quindi:
- che l’accesso al Documento Programmatico sulla Sicurezza da parte di soggetti esterni potrebbe evidentemente mettere in pericolo non solo la sicurezza dell’Ente, ma soprattutto la riservatezza di coloro i cui dati sono oggetto di trattamento da parte dell’Ente;
- che le informazioni contenute in questo atto allegato siano riservate;
Considerato inoltre:
- che il Documento Programmatico sulla Sicurezza è da ritenersi documento a carattere programmatorio, che definisce la politica dell’Ente in materia di sicurezza nel trattamento dei dati personali;
- di mantenere la cadenza annuale del suo aggiornamento, la cui adozione, prima delle abrogazioni citate in premessa, doveva obbligatoriamente essere effettuata entro il 31 marzo di ogni anno;
Informato il Comitato di Direzione;
Dato atto del parere allegato;
Su proposta dell’Assessore ai trasporti, reti infrastrutture materiali e immateriali, programmazione territoriale e agenda digital
A voti unanimi e palesi
delibera:
- di approvare l’allegato “Documento Programmatico sulla Sicurezza della Giunta della Regione Emilia-Romagna - Aggiornamento giugno 2015” e tutti i suoi allegati, considerato parte integrante della presente deliberazione;
- di disporre che le informazioni contenute nell’allegato di cui al punto 1 siano riservate per le motivazioni espresse in parte narrativa che qui si intendono interamente richiamate;
- di disporre che le eventuali istanze relative al diritto di accesso a tale atto siano istruite con particolare attenzione e siano inoltrate per competenza al Responsabile della Sicurezza;
- di pubblicare per estratto la presente deliberazione nel Bollettino Ufficiale della Regione Emilia-Romagna omettendo l’allegato Documento Programmatico sulla Sicurezza e tutti gli allegati in esso contenuti per le motivazioni espresse in parte narrativa che qui si intendono interamente richiamate.