Salta al contenuto principale
18 Giugno, 2020

Regolamento interno sul trattamento dei dati

(Approvato con Delibera CP n. 9 del 13/03/2020)

PREAMBOLO
1.Il Regolamento (UE) 2016/679 del Parlamento e del Consiglio del 27 aprile
2016 adotta una nuova disciplina sulla protezione delle persone fisiche con
riguardo al trattamento dei dati personali nonché alla libera circolazione di tali
dati e abroga la direttiva 95 /46/CE.
2. Il Regolamento europeo (GDPR) obbliga le Pubbliche Amministrazioni ad
adeguarsi alle nuove regole in maniera tale da assicurare un livello elevato di
protezione dei dati che riguardano le persone fisiche, equivalente in tutti gli
Stati membri, così da rimuovere gli ostacoli alla circolazione dei dati personali
all'interno dell'Unione.
3. Il regolamento europeo richiama l'articolo 8, paragrafo 1 della Carta dei diritti
fondamentali dell'Unione europea e l'articolo 16, paragrafo 1 del Trattato sul
funzionamento dell'Unione europea, nei quali è stabilito che ogni persona ha
diritto alla protezione dei dati di carattere personale che la riguardano.
4. Per l’attuazione del regolamento U.E. è necessario il diretto coinvolgimento
della P.A. poiché la normativa europea determina, in primis un cambiamento
culturale, ponendo al centro del sistema i cittadini ai quali viene riconosciuto
un livello elevato e uniforme di tutela dei propri dati personali, oltreché un
maggior controllo sull’utilizzo degli stessi, con il riconoscimento di nuovi e più
incisivi diritti a favore di ciascun interessato quali il diritto all’oblio, il diritto
alla portabilità dei dati, il diritto ad essere informato in modo trasparente, leale
e dinamico sui trattamenti effettuati, il diritto ad essere informato sulle
violazioni dei propri dati personali, il diritto di essere avvertiti in caso di
violazioni dei dati personali entro 72 ore, il diritto a dare mandato ad un
organismo apposito per proporre reclamo in caso di violazione dei dati delle
disposizioni di regolamento, nonché il diritto ad ottenere tutela risarcitoria in
caso di violazione del regolamento.
5. il Regolamento, impone una forte responsabilizzazione alle Pubbliche
amministrazioni poiché la protezione dei dati personali diventa un “asset
strategico” delle stesse P. A. ed in quanto tale deve essere valutato prima, già
nel momento di progettazione di nuove procedure, prodotti o servizi, (principi
“privacy by design” e “privacy by default”) e non più un mero adempimento
formale.
6. Il regolamento introducendo il principio di “responsabilizzazione”
(cosiddetta “accountability”), attribuisce ai titolari del trattamento, ovverosia
all'autorità pubblica che determina le finalità e i mezzi del trattamento dei dati
personali, il compito di assicurare, ed essere in grado di comprovare, il rispetto
dei principi applicabili al trattamento dei dati personali (articolo 5 del
regolamento UE).
7. L’applicazione del principio di responsabilizzazione si lega inscindibilmente
al concetto di Privacy by design, ovvero l’individuazione delle concrete misure a
tutela dei dati personali che l’Ente è tenuto a porre in essere oltre alle misure
minime e di carattere generale riconducibili al concetto di “privacy by default”.
8. Il concetto di “accountability” esprime anche l’obbligo di rendicontazione
gravante su ciascuna P.A., la quale è tenuta a dimostrare di avere adottato le
misure di sicurezza adeguate ed efficaci a protezione dei dati degli interessati,
nonché che tali misure sono costantemente riviste ed aggiornate e che le
attività proprie dell’Ente, in particolare i trattamenti svolti sono conformi con i
principi e le disposizioni del Regolamento europeo, in particolare che le misure
adottate a fronte dei rischi che corrono i dati forniti dagli interessati sono
efficaci ed adeguate, ciò premesso, rilevato che:
le norme introdotte dal Regolamento UE 2016/679 si traducono in obblighi
organizzativi, documentali e tecnici che tutti i Titolari del trattamento dei dati
personali devono considerare e tenere presenti e che deve essere effettuata la
valutazione d’impatto dal titolare con l’assistenza del RPD, che è essenziale sia
per la revisione dei processi gestionali interni all’Ente, finalizzata a raggiungere
i più adeguati livelli di sicurezza nel trattamento dei dati personali prescritti
dalla normativa europea e rispondenti alle effettive esigenze, nonché alla
struttura organizzativa e gestionale del titolare del trattamento che in
occasione dell’adozione di nuove misure tecnologiche e di gestione dei dati,
come nel caso di specie, tutto ciò premesso si adotta il qui di seguito
REGOLAMENTO
Art. 1 SCOPO E FINALITÀ
1.Il presente regolamento attua nella Provincia di Pistoia i principi contenuti nel
Regolamento UE 2016/679 in conformità alle norme del D. Lgs.196/2003, come
modificato dal D. Lgs. del 10 agosto 2018 n.101 (Codice Privacy), riordina la
struttura organizzativa, le responsabilità, le misure tecniche, la comunicazione
e la gestione delle diverse tipologie di dati personali, “particolari” e i trattamenti
eseguiti dalla Provincia.
2.Il trattamento dei dati nella Provincia di Pistoia ha base giuridica nelle legge
sia nello svolgimento delle funzioni istituzionali, che nell’esercizio del potere
pubblico attribuito e per tali attività che la Provincia tratta prevalentemente
dati personali comuni, dati “particolari” e giudiziari, nonché ogni altra categoria
di dati così come individuate agli artt. 5; 9; 10 nel Regolamento UE 2016/679 e
nel D.Lgs.196/2003, come modificato dal D. Lgs. del 10 agosto 2018 n.101 artt. 2-
sexies; 2-septies; 2-octies; 59; 60; 75.
4.I dati personali nella Provincia sono trattati in modo lecito, corretto e
trasparente e sono raccolti per le finalità determinate dalla legge e dai
regolamenti che sono esplicite e legittime, e i trattamenti avvengono in modo
non incompatibile con le finalità istituzionali attribuite.
5.I dati sono trattati in modo adeguato, pertinente e limitato a quanto
necessario rispetto alle finalità per le quali sono trattati e di norma secondo il
criterio di «minimizzazione dei dati». Dei dati è costantemente verificata
l’esattezza e, quando è necessario l’aggiornamento. Nel trattamento la
Provincia adotta tutte le misure tecniche adeguate e ragionevoli per cancellare
o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali
sono trattati.
6. La limitazione della conservazione dei dati in Provincia è volta a consentire
l’identificazione degli interessati solo per l’arco di tempo necessario nel quale è
in atto il trattamento che, di norma, non può essere mai superiore alle finalità
per le quali i dati stessi sono trattati.
7. Nel rispetto delle singole leggi di settore che prevedono la conservazione per
periodi diversi per quelli stabiliti è possibile la conservazione dei dati per
periodi più lunghi in relazione alla tipicità dei singoli procedimenti
amministrativi, di legittimo interesse della Provincia a condizione che siano
trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca
scientifica o storica quando necessario, e a garanzia per gli utenti in ragione
delle attività che istituzionalmente sono poste in capo alla Provincia.
Art. 2 Disposizioni generali
1. La Provincia nel trattare i dati osserva la vigente normativa Europea e
Nazionale, i pareri del Garante nazionale, le decisone della Commissione
Europea e del GEPD. Il trattamento dei dati in Provincia è sempre improntato
al rispetto dei diritti e delle libertà fondamentali dell’interessato è per le finalità
di interesse pubblico perseguito dall’Ente.
2. La Provincia adegua la propria organizzazione interna alla normativa sulla
protezione dei dati, in senso verticale con a capo il Presidente, titolare dei dati
dell’Ente. Allo stesso rispondono i dirigenti di struttura semplice e le P.O. che
sono responsabili dei trattamenti di rispettiva competenza delle strutture alle
quali sono preposti. Spetta ai responsabili interni designare singoli dipendenti
al trattamento. Al responsabile alla protezione dei dati spettano compiti di
consulenza, controllo e collaborazione con il Titolare e con i dirigenti per ogni
attività, organizzazione, innovazione e programmazione Provinciale nella quale
sono coinvolti dati personali.
Art. 3 Definizione
1.Ai fini del presente regolamento si intende per: «Provincia»: la Provincia di Pistoia,
nella qualità il titolare del trattamento dei dati personali, le cui funzioni sono
esercitate dai propri organi di governo nell’ambito delle rispettive competenze;
2.«Garante»: l’Autorità di controllo ossia il Garante della Privacy;
3.«RGPD o REG. UE 2016/679»: il Regolamento (UE) 2016/679 del Parlamento europeo
e del Consiglio del 27 aprile 2016 “Regolamento generale sulla protezione dei dati”;
4.«Codice»: il d.lgs. 30 giugno 2003, n. 196 “Codice in materia di protezione di dati
personali”;
5.« C»: i “considerando” del Regolamento (UE) 2016/679;
6.«dato personale»: qualsiasi informazione riguardante una persona fisica identificata
o identificabile. Si considera identificabile la persona fisica che può essere identificata,
direttamente o indirettamente, con particolare riferimento a un identificativo come il
nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo
online o a uno o più elementi caratteristici della sua identità fisica, fisiologica,
genetica, psichica, economica, culturale o sociale; (C26, C27, C30)
7.«dati sensibili»: i dati personali che rivelino l’origine razziale o etnica, le opinioni
politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati
genetici, dati biometrici, dati relativi alla salute o alla vita sessuale o all’orientamento
sessuale della persona; (C51)
8.«dati giudiziari»:i dati personali relativi alle condanne penali e ai reati o a connesse
misure di sicurezza;
9.«dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o
acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o
sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un
campione biologico della persona fisica in questione; (C34)
10.«dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico
relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica
che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o
i dati dattiloscopici; (C51)
11.«dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una
persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano
informazioni relative al suo stato di salute; (C35)
12.«interessato»: la persona fisica titolare dei dati personali oggetto di trattamento;
13.«trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza
l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati
personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la
conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la
comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a
disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la
distruzione;
14.«limitazione di trattamento»: il contrassegno dei dati personali conservati con
l’obiettivo di limitarne il trattamento in futuro; (C67)
15.«profilazione»: qualsiasi forma di trattamento automatizzato di dati personali
consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali
relativi a una persona fisica, in particolare per analizzare o prevedere aspetti
riguardanti il rendimento professionale, la situazione economica, la salute, le
preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli
spostamenti di detta persona fisica; (C24, C30, C71-C72)
16.«pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati
personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di
informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano
conservate separatamente e soggette a misure tecniche e organizzative intese a
garantire che tali dati personali non siano attribuiti a una persona fisica identificata o
identificabile; (C26, C28- C29)
17.«archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri
determinati, indipendentemente dal fatto che tale insieme sia centralizzato,
decentralizzato o ripartito in modo funzionale o geografico; (C15)
18.«titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio
o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi
del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono
determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i
criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto
dell’Unione o degli Stati membri; (C74)
19.«contitolari del trattamento»: due o più titolari del trattamento che determinano
congiuntamente, mediante un accordo interno, le finalità e i mezzi del trattamento;
20.«responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il
servizio o altro organismo che tratta dati personali per conto del titolare del
trattamento;
21.«sub-responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica,
il servizio o altro organismo che tratta dati personali a cui fa ricorso il responsabile del
trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare
del trattamento;
22.«incaricato del trattamento»: chiunque, agendo sotto l’autorità del responsabile del
trattamento o del titolare del trattamento, abbia accesso a dati personali essendo stato
autorizzato al loro trattamento;
23.«responsabile della protezione dei dati »: il dipendente del titolare o del
responsabile del trattamento ovvero la persona fisica o giuridica estranea
all’organizzazione del titolare o del responsabile del trattamento che svolge i compiti
di cui all’art. 39 del REG. UE 2016/679 o ulteriori compiti affidati dal titolare del
trattamento sulla base di un contratto di servizi;
24.«amministratore del sistema»: la figura professionale finalizzata alla gestione e alla
manutenzione di un impianto di elaborazione o di sue componenti, nonché
all’amministrazione di basi di dati, di reti e di apparati di sicurezza e di sistemi
software complessi.
25.«terzo»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro
organismo che non sia l’interessato, il titolare del trattamento, il responsabile del
trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità
diretta del titolare o del responsabile del trattamento;
26.«destinatario»: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro
organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi.
Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali
nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati
membri non sono considerate destinatari; il trattamento di tali dati da parte di dette
autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati
secondo le finalità del trattamento; (C31)
27.«consenso dell’interessato»: qualsiasi manifestazione di volontà libera, specifica,
informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio
assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali
che lo riguardano siano oggetto di trattamento; (C32, C33)
28.«violazione dei dati personali»: la violazione di sicurezza che comporta
accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la
divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o
comunque trattati; (C85)
29.«Unione»: l’Unione Europea;
30.«Stato»: lo Stato italiano.
2.Per le definizioni non riportate nel precedente comma si rinvia all’elenco definizioni
previste dall’art. 4 del RGPD.
Art. 4 Definizione di Dati particolari
1. Ai fini dell’applicazione della normative europea e nazionale a tutela delle
persone fisiche e per le legittime attività di trattamento per dato personale si
intende qualsiasi informazione riguardante una persona fisica identificata o
identificabile (“interessato”); si considera identificabile la persona fisica che può
essere identificata direttamente o indirettamente, con particolare riferimento a
un identificativo come il nome, un numero di identificazione, dati relativi
all’ubicazione, un identificativo online o a uno o più elementi caratteristici della
sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
2. Trattamento è qualsiasi singola operazione, svolta dal personale dipendente
ed onorario della Provincia che ha base giuridica in una legge o regolamento o
nell’esercizio della funzione di diritto pubblico attribuita all’Ente, ovvero
l’insieme delle operazioni, compiute sia attraverso la forma analogica che
digitale e quindi con o senza l’ausilio di processi automatizzati e applicate a
dati personali o insieme di dati personali, come e che consistono nella raccolta,
la registrazione, l’organizzazione, la strutturazione, la conservazione,
l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la
comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di
messa a disposizione, il raffronto o l’interconnessione, la limitazione, la
cancellazione o la distruzione di dati personali trattati in Provincia.
3. La Provincia si conforma al divieto del trattamento dei dati “particolari” di
cui all’art. 9 del GDPR e, in assenza di previsione derogatoria ovvero
dell’espresso consenso dell’interessato, il personale della Provincia si astiene dal
trattare dati “particolari” che direttamente o indirettamente siano idonei a far
rilevare:
• l'origine razziale o etnica dei soggetti i cui dati vengono trattati;
• le loro opinioni politiche;
• le loro convinzioni religiose o filosofiche;
• l'appartenenza sindacale anche per i dipendenti interni;
• i loro dati genetici;
• i loro dati biometrici che identificano la persona fisica,
• dati relativi alla salute;
• alla vita sessuale o all'orientamento sessuale.
4. La Provincia è legittimata a trattare i dati “particolari”, di cui al precedente
comma 3, quando ricorre una delle seguenti condizioni:
a) l'interessato ha prestato il proprio consenso esplicito al trattamento dei dati
personali per una o più finalità specifiche in relazione ai compiti pubblici
attribuiti alla Provincia;
b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti
specifici attribuiti all'interessato in materia di diritto del lavoro e della sicurezza
sociale e protezione sociale, sulla base del diritto dell'Unione o Nazionale, fatte
salve le garanzie per i diritti fondamentali e gli interessi dell'interessato;
c)il trattamento è necessario per tutelare un interesse vitale dell'interessato o di
un'altra persona fisica qualora l'interessato si trovi nell'incapacità fisica o
giuridica di prestare il proprio consenso;
d) il trattamento riguarda dati personali resi manifestamente pubblici
dall'interessato quando questi sono reperibili sul web tramite i motori di ricerca
o trasmessi alla Provincia con il Curriculum per la partecipazione a selezioni
pubbliche;
e) il trattamento è necessario per la Provincia, gli interessati o terzi
controinteressati per fare accertare, esercitare o difendere un diritto in sede
giudiziaria;
f) il trattamento è necessario per motivi di interesse pubblico rilevante in
relazione alle attribuzioni alla Provincia derivanti da leggi regolamenti o
disposizioni dirigenziali motivate dal legittimo interesse dell’Ente;
g) il trattamento è necessario in quanto è relativo alla raccolta, esame e
trasmissione di dati raccolti per le finalità nell’ambito dei compiti istituzionali
attribuiti alla Provincia della capacità lavorativa del dipendente, diagnosi,
assistenza;
j) il trattamento è necessario a fini di archiviazione nel pubblico interesse,
storica o a fini statistici.
5. La Provincia tratta i dati in deroga al divieto di cui al co. 4 lett. f) per una o
più delle fattispecie consentite dall’art. 2-sexies del D. Lgs. 196/2003 in
relazione ad una o più finalità consentite per il trattamento dei dati personali
particolari, sulla base di provvedimenti motivati ovvero nell’esercizio di un
potere pubblico o istituzionale o nell’ambito di provvedimenti istruttori che
hanno base giuridica nella legge e nei regolamenti.
Art.5 Finalità del Trattamento
1.I trattamenti dei dati personali sono eseguiti dalla Provincia per le seguenti finalità di
pubblico interesse, stabilite dalle fonti normative che rispettivamente le disciplinano:
a)-l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici
poteri; rientrano in questo ambito i trattamenti dei dati personali compiuti per
l’esercizio delle funzioni amministrative che riguardano la popolazione ed il territorio,
precipuamente nei seguenti settori organici:
a) pianificazione territoriale provinciale di coordinamento, nonché tutela e
valorizzazione dell'ambiente, per gli aspetti di competenza;
b) pianificazione dei servizi di trasporto in ambito provinciale, autorizzazione e
controllo in materia di trasporto privato, in coerenza con la programmazione
regionale, nonché costruzione e gestione delle strade provinciali e regolazione della
circolazione stradale ad esse inerente;
c) programmazione provinciale della rete scolastica, nel rispetto della programmazione
regionale;
d) raccolta ed elaborazione di dati, assistenza tecnico-amministrativa agli enti locali;
e) gestione dell'edilizia scolastica;
f) controllo dei fenomeni discriminatori in ambito occupazionale e promozione delle
pari opportunità sul territorio provinciale.
l’esercizio di ulteriori funzioni amministrative per servizi di competenza statale o
regionale ,trasferite o delegate o comunque affidate alla Provincia in base alla vigente
legislazione;
b)- l’adempimento di un obbligo legale al quale è soggetta la Provincia;
c)- l’esecuzione di un contratto con riguardo ai soggetti interessati;
d)- per specifiche finalità diverse da quelle di cui ai precedenti punti, purché
l’interessato esprima il consenso al trattamento.
Art. 6 Liceità del Trattamento
1.Il trattamento dei dati personali effettuato da questa Provincia è lecito soltanto per lo
svolgimento delle proprie funzioni istituzionali e se:
a)- l’interessato ha espresso il consenso al trattamento dei suoi dati personali per una o
più specifiche finalità: tale condizione si applica alle pubbliche amministrazioni
soltanto allorché le stesse dovessero svolgere trattamenti non attinenti ai propri
compiti istituzionali di interesse pubblico o all’esercizio dei pubblici poteri attribuiti
dal diritto dell’Unione o dello Stato;
b)- il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte
o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso interessato;
c)- il trattamento è necessario per adempiere un obbligo legale al quale è soggetta
questa Provincia; a tal fine lo Stato membro può mantenere o introdurre disposizioni
più specifiche riguardo al trattamento, determinando con maggiore precisione
requisiti specifici per il trattamento e altre misure atte a garantire un trattamento
lecito e corretto anche per le altre specifiche situazioni di trattamento di cui agli
articoli da 85 a 91 del RGPD. (art. 6, prf. 2, RGPD)
d)- il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o
di un’altra persona fisica, se non trova applicazione alcuna delle altre predette
condizioni;
e)- il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o
connesso all’esercizio di pubblici poteri di cui é investita questa Provincia; a tal fine lo
Stato membro può mantenere o introdurre disposizioni più specifiche riguardo al
trattamento, determinando con maggiore precisione requisiti specifici per il
trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per
le altre specifiche situazioni di trattamento di cui agli articoli da 85 a 91 del RGPD. (art.
6, prf. 2, RGPD)
2.La base su cui si fonda il trattamento dei dati di cui alle lettere c) ed e) del comma 1
deve essere stabilita dal diritto dell’Unione o dello Stato.
3.La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda
il trattamento di cui alla lettera e) del comma 1, è necessaria per l’esecuzione di un
compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è
investito il titolare del trattamento. Tale base giuridica potrebbe contenere
disposizioni specifiche per adeguare l’applicazione delle norme del RGPD, tra cui: le
condizioni generali relative alla liceità del trattamento da parte del titolare del
trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui
possono essere comunicati i dati personali e le finalità per cui sono comunicati; le
limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di
trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali
quelle per altre specifiche situazioni di trattamento di cui al capo IX dello stesso
RGPD.
4.Laddove il trattamento per una finalità diversa da quella per la quale i dati personali
sono stati raccolti non sia basato sul consenso dell’interessato o su un atto legislativo
dell’Unione o dello Stato, al fine di verificare se il trattamento per un’altra finalità sia
compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti,
il titolare del trattamento tiene conto, tra l’altro: (C50)
a)- di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità
dell’ulteriore trattamento previsto;
b)- del contesto in cui i dati personali sono stati raccolti, in particolare relativamente
alla relazione tra l’interessato e il titolare del trattamento;
c)- della natura dei dati personali, specialmente se siano trattate categorie particolari
di dati personali ai sensi dell’articolo 9 del RGPD, oppure se siano trattati dati relativi a
condanne penali e a reati ai sensi dell’articolo 10 del RGPD;
d)- delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati;
e)- dell’esistenza di garanzie adeguate, che possono comprendere la cifratura o la
pseudonimizzazione.
Art. 7 Consenso dell’interessato
1.Questa Provincia non deve richiedere agli interessati il consenso per il trattamento
dei loro dati personali allorquando il trattamento dei dati è effettuato nello
svolgimento dei propri compiti istituzionali di interesse pubblico o connesso
all’esercizio di pubblici poteri di cui è investito dal diritto dell’Unione o dello Stato.
2.Nelle fattispecie diverse da quelle di cui al precedente comma 1, qualora il
trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di
dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri
dati personali.
3.Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che
riguarda anche altre questioni, la richiesta di consenso è presentata in modo
chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente
accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di tale
dichiarazione che costituisca una violazione del presente regolamento è vincolante.
4.L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La
revoca del consenso non pregiudica la liceità del trattamento basata sul consenso
prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di
ciò. Il consenso è revocato con la stessa facilità con cui è accordato.
5.Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima
considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la
prestazione di un servizio, sia condizionata alla prestazione del consenso al
trattamento di dati personali non necessario all’esecuzione di tale contratto.
Art. 8 Trattamento Dei Dati Giudiziari
1. Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse
misure di sicurezza sulla base dell’articolo 6, paragrafo 1, del RGPD deve avvenire
soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal
diritto dell’Unione o dello Stato che preveda garanzie appropriate per i diritti e le
libertà degli interessati.
Art. 9 Titolare del trattamento
1. Per i trattamenti di legge e la tutela delle persone fisiche per le finalità istituzionali il
Presidente è il titolare dei dati personali contenuti nelle banche dati automatizzate o
cartacee.
2. Il Presidente determina le finalità e i mezzi del trattamento, predispone le line di
Policy Privacy della Provincia, promuove la redazione degli atti necessari per
l’adozione, da parte del Consiglio provinciale, del regolamento interno
privacy,predisposto dal DPO.
3. Il Presidente spetta inoltre il compito di:
a. Adottare, sentito i responsabili al trattamento della struttura interessata ed il DPO,
le misure tecniche ed organizzative adeguate volte a garantire un livello di sicurezza al
rischio del trattamento dei dati in Provincia.
b. Tenere e implementare, anche per mezzo di uno o più dipendenti interni il registro
dei trattamenti.
c. Vigilare, anche attraverso il Responsabile incaricato, sul registro delle attività di
trattamento in capo ad ogni struttura dell’Ente.
d. Attestare, se richiesto dal Garante o dall’A.G., che i trattamenti sono conformi ai
principi e alle disposizioni di legge del Regolamento UE e delle prescrizioni del
Garante.
e. Monitorare periodicamente, mediante gli amministratori di Sistema, l’efficacia delle
misure di sicurezza tecniche e fisiche adottate in Provincia sentito il parere del DPO.
f. Mettere il registro dei trattamenti a disposizione dell’autorità Garante facendosi
supportare all’uopo anche uno o più dei responsabili designati.
g. Nominare i responsabili del trattamento, attribuendo agli stessi la facoltà di
nominare sub-responsabili e di designare dipendenti della singola struttura al
trattamento sulla base degli atti predisposti dal DPO.
h. Stipulare contratti di nomina di responsabili esterni per i servizi dell’Ente
esternalizzati, aggiudicati, affidati, sentito il parere del DPO.
i. Sottoscrive i contratti di contitolarità sentito il DPO.
j. Stipula protocolli d’intesa con Enti, Procure, Tribunali, Corti, Polizia di Stato e arma
dei Carabinieri, Guardia di Finanza per ogni attività che comporta scambio di dati
personali e accesso a banche dati dell’Ente in relazione ai compiti ispettivi e di
controllo ambientale attribuito per legge.
k. Organizzare ogni altra attività e attribuire compiti e funzioni in materia di
protezione dei dati personali.
l. Nomina, ai sensi dell'art. 7, comma 6, D.lgs. 165/2001, nel rispetto delle previsioni del
GDPR e tenuto conto delle specifiche competenze e della pregressa esperienza, il
Responsabile della protezione dati individua le risorse umane e finanziarie necessarie
nonché la struttura per le attività del RPD.
m. Adotta il Piano della sicurezza del patrimonio informativo, le politiche di sicurezza,
le metodologie di analisi del rischio privacy e di valutazione di impatto, le linee guida
per l’utilizzo dei dispositivi fissi e mobili.
n. Presiede il Gruppo di lavoro per la gestione delle violazioni di dati personali (Data
Breach) composto dai responsabili incaricati, l’Amministratore di Sistema, il RPD.
o. Ogni altra questione ad esso demandata dallo Statuto, dalla legge o dai regolamenti
in materia di protezione dei dati personali dei dirigenti delle strutture amministrative.
p. predispone sentito il RPD i modelli facsimile di lettera di autorizzazione al
trattamento dei dati personali e di affidamento della custodia di particolari archivi,
chiavi o credenziali di autenticazione e impartisce le relative istruzioni ai soggetti
autorizzati al trattamento di dati personali.
q. Autorizzare i dirigenti delle strutture amministrative dell’Ente ai trattamenti di dati
personali nell’ambito delle funzioni istituzionali svolte e di attribuire agli stessi,
compresa l’individuazione dei dipendenti, dei tirocinanti e degli altri soggetti da
autorizzare al trattamento dei dati personali, necessari per lo svolgimento delle
rispettive mansioni, mediante trasmissione di apposita lettera di autorizzazione e delle
istruzioni.
Art. 10 Contitolari del Trattamento
1. Nel caso di esercizio associato di funzioni e servizi, nonché per i compiti la cui
gestione è affidata alla Provincia da enti ed organismi statali o regionali, allorché due o
più titolari determinano congiuntamente e in modo trasparente, mediante accordo
interno, le finalità ed i mezzi del trattamento, si realizza la contitolarità di cui all’art.
26 RGPD.
2.L’accordo definisce le responsabilità di ciascun titolare in merito all’osservanza degli
obblighi derivanti dal RGPD, con particolare riferimento all’esercizio dei diritti
dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli
artt. 13 e 14 del RGPD, fermo restando eventualmente quanto stabilito dalla normativa
europea o statale specificatamente applicabile. Tale accordo può individuare un punto
di contatto Provincia per gli interessati.
Art. 11 Registro delle attività di trattamento
1. Il Presidente tiene, sotto la propria responsabilità, il Registro delle attività di
Trattamento la cui compilazione e implementazione può assegnare a un
dirigente interno, o ad uno o più dipendenti.
2. Sono sub-responsabili per ogni struttura i dirigenti che sono tenuti
all’implementazione del registro dei trattamenti della struttura, con la facoltà di
designate dipendenti alla tenuta del registro stesso della struttura.
3. Il Registro del titolare, è redatto in forma scritta, anche in formato
elettronico, ed è unico per tutto l’Ente, ed è messo a disposizione, a richiesta,
dell’Autorità Garante per la Privacy, per ispezioni e controlli ai fini della
correttezza nella gestione e trattamento dei dati personali.
4. Il Registro ha una funzione descrittiva e dovrà essere implementato da ogni
struttura dirigenziale. Sarà tenuto nelle forme e con le modalità sentito il
Responsabile alla Protezione dei dati, e contiene, le informazioni previste
dall’art. 30 del Regolamento UE e le altere specifiche relative ai trattamenti in
capo alla Provincia.
Art. 12 Responsabile del trattamento
1. I Responsabili del trattamento sono individuati tra i dirigenti e le Posizioni
Organizzative (P.O.) o i dipendenti dell’Ente e sono nominati con atto giuridico
vincolante dal titolare. La mancata accettazione della nomina costituisce
illecito contrattuale con le conseguenze di legge ove non sia possibile attribuire
mansioni che non comportano trattamento di dati personali.
2. Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle
finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse
per i diritti e le libertà delle persone fisiche, il responsabile del trattamento
della struttura, sentito il RPD, consiglia al titolare di mettere in atto misure
tecniche e organizzative adeguate.
3. Il responsabile adempie agli obblighi di trasparenza e vigilanza, prescritti dal
titolare nell’atto giuridico di nomina mettendo a disposizione del titolare tutte
le informazioni necessarie per dimostrare il rispetto degli obblighi imposti
dall’art. 28 del Regolamento, ed è obbligato a tenere il registro dei trattamenti
svolti della struttura al quale è preposto (ex art. 30, paragrafo 2, GDPR).
4.Il responsabile ai trattamenti ha l'obbligo di garantire la sicurezza dei dati, di
adottare misure adeguate al rischio (art. 32 GDPR) incluse le misure di privacy
by design e by default e garantire la riservatezza dei dati ed è tenuto ad
informare il titolare delle violazioni avvenute e provvedere alla cancellazione
dei dati alla fine del trattamento.
5. Il responsabile del trattamento ha l’obbligo di coadiuvare il titolare
nell’adozione delle misure tecniche e organizzative imposte dai processi di
innovazione tecnologica, tenendo conto dello stato dell'arte e dei costi di
attuazione, nonché della natura, del campo di applicazione, del contesto e delle
finalità del trattamento, come anche del rischio di varia probabilità e gravità
per i diritti e le libertà delle persone fisiche.
6.Il responsabile al trattamento indica al titolare, sentito il RPD, alcune misure
di sicurezza utili per ridurre i rischi del trattamento, quali la
pseudonimizzazione e la cifratura dei dati personali, la capacità di assicurare la
continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei
servizi che trattano i dati personali; la capacità di ripristinare tempestivamente
la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico; una
procedura per provare, verificare e valutare regolarmente l’efficacia delle misure
tecniche e organizzative al fine di garantire la sicurezza del trattamento. Il
responsabile può dimostrare di avere adottato garanzie sufficienti anche
attraverso l’adesione a codici deontologici ovvero a schemi di certificazione
privacy.
7. Il responsabile ha l'obbligo, d’intesa con il RPD, di avvisare, assistere e
consigliare il titolare ed è tenuto a consentire e contribuire alle attività di
revisione, comprese le ispezioni e audit, realizzate dal titolare del trattamento,
dovrà avvisare il titolare se ritiene che un'istruzione ricevuta viola qualche
norma in materia di privacy e Cyber Security, dovrà prestare assistenza al
titolare per l'evasione delle richieste degli interessati, dovrà avvisare il titolare
in caso di violazioni dei dati, e assisterlo nella conduzione di una valutazione di
impatto (DPIA).
Art. 13 Sub-responsabili del Trattamento Interni all’ente
1.Il Responsabile può nominare sub-responsabili, da individuarsi, di norma, nel
personale incaricato di posizione organizzativa, affinché lo supportino nell’attuazione
della normativa in materia di trattamento dei dati, e nello svolgimento dei compiti;
2.Il sub-responsabile: opera sotto l’autorità del Responsabile del trattamento,
attenendosi alle istruzioni impartite, con particolare riferimento alla custodia degli atti
e documenti analogici e digitali contenenti dati personali sensibili e giudiziari e alle
relative misure di sicurezza;
tratta i dati personali per lo svolgimento delle funzioni istituzionali della Provincia, in
conformità alle disposizioni per la protezione dei dati previste dal Regolamento
Europeo 2016/679 e dalle disposizioni nazionali e del Regolamento Provinciale vigente
provvede:
-alla raccolta e registrazione per gli scopi inerenti all’attività istituzionale svolta;
- alla verifica in ordine alla pertinenza, completezza e non eccedenza delle finalità per
le quali sono stati raccolti o successivamente trattati, secondo le indicazioni ricevute
dal Responsabile del trattamento;
- alla conservazione, rispettando le misure di sicurezza predisposte al riguardo e vigila
che gli incaricati osservino la normativa in materia di trattamento dei dati.
3. Per ogni operazione di trattamento il sub-responsabile garantisce la massima
riservatezza.
4. Nel caso di allontanamento anche temporaneo dalla propria postazione di lavoro, il
sub responsabile verifica che non vi sia la possibilità per chiunque non sia autorizzato
all’accesso ai dati di accedere alle banche dati e/o dati personali per i quali è in corso
un qualsiasi tipo di trattamento.
5.Le comunicazioni e diffusioni a soggetti diversi dagli interessati devono essere svolte
nel pieno rispetto delle norme che lo disciplinano.
Art. 14 Incaricati del trattamento
1. Il titolare o il responsabile del trattamento possono prevedere, sotto la
propria responsabilità e nell'ambito del proprio assetto organizzativo, che
specifici compiti e funzioni connessi al trattamento di dati personali siano
attribuiti a persone fisiche, espressamente designate, che operano sotto la loro
autorità.
2.Il titolare o il responsabile del trattamento individuano le modalità più
opportune per autorizzare al trattamento dei dati personali le persone che
operano sotto la propria autorità diretta.
3.Incaricati del trattamento sono i soggetti interni alla Provincia – componenti
degli organi di governo e di controllo, dirigenti (ove non designati come
Responsabili) e dipendenti provinciali – che hanno accesso a dati personali
ovvero agiscano sotto l’autorità del titolare del trattamento o dei responsabili
del trattamento.
4.Gli Incaricati del trattamento non possono svolgere operazioni di trattamento
dei dati personali se non istruiti in tal senso dal Responsabile del trattamento.
5.I dipendenti provinciali sono designati Incaricati del trattamento e autorizzati
al trattamento dei dati personali con formale provvedimento del Responsabile
del trattamento competente per la struttura organizzativa in cui sono inseriti
gli stessi dipendenti; in tale provvedimento sono indicati: i procedimenti
amministrativi per lo svolgimento dei quali è indispensabile il trattamento dei
dati personali; le finalità del trattamento; le categorie di dati personali da
trattare; le operazioni di trattamento eseguibili, con particolare riferimento alla
comunicazione e alla diffusione dei dati sensibili e giudiziari; gli eventuali limiti
al trattamento; le misure di sicurezza da adottare da parte degli stessi
Incaricati. Tali indicazioni possono essere formulate anche con rinvio al
registro del trattamento, nella parte relativa ai trattamenti da attribuire. Le
predette designazione e autorizzazione nonché le citate indicazioni del
trattamento possono essere stabilite anche con un atto distinto dal contratto
individuale di lavoro. Tale atto deve essere notificato al dipendente interessato,
il quale non può esimersi dalla sua accettazione e attuazione.
6.I dipendenti possono essere individuati quali Incaricati del trattamento
nominativamente ovvero con riferimento alla categoria di inquadramento o al
profilo professionale o alla collocazione nell’organizzazione del servizio o
dell’ufficio.
7.I dipendenti incaricati del trattamento operano sotto l’autorità dei
Responsabili del trattamento, attenendosi alle istruzioni impartite per iscritto,
con particolare riferimento alla custodia degli atti e documenti analogici e
digitali contenenti dati personali sensibili e giudiziari e alle relative misure di
sicurezza.
8.Agli incaricati compete, in relazione al trattamento dei dati personali
provvedere:
-al trattamento dei dati personali per lo svolgimento delle funzioni istituzionali
della Provincia, in conformità alle disposizioni del RGPD;
-alla raccolta e registrazione per gli scopi inerenti all’attività istituzionale svolta
da ciascuno;
-alla verifica in ordine alla loro pertinenza, completezza e non eccedenza delle
finalità per le quali sono stati raccolti o successivamente trattati, secondo le
indicazioni ricevute dal responsabile del trattamento;
-alla conservazione, rispettando le misure di sicurezza predisposte al riguardo.
9.Per ogni operazione di trattamento è da garantire la massima riservatezza.
Nel caso di allontanamento anche temporaneo dalla propria postazione di
lavoro, l’incaricato verifica che non vi sia possibilità per chiunque non sia
autorizzato all’accesso ai dati di accedere alle banche-dati e/o ai dati personali
per i quali è in corso un qualsiasi tipo di trattamento.
10.Le comunicazioni e le diffusioni a soggetti diversi dagli interessati devono
essere svolte nel pieno rispetto delle norme che le disciplinano.
11.Il flusso di dati, per ragioni di servizio, tra Titolare del trattamento,
Responsabili del trattamento, Sub-responsabili, Incaricati del trattamento,
Amministratore del sistema informatico, il Responsabile della protezione dei
dati, Segretario Generale, componenti degli organi di governo e di controllo
interno non costituisce “comunicazione” in senso tecnico quale operazione di
trattamento; ne consegue che tale flusso non é soggetto ai limiti previsti per
tale operazione di trattamento.
12. Le operazioni di trattamento possono essere effettuate solo da incaricati che
operano sotto la diretta autorità del Titolare o del Responsabile del trattamento
dati e i designati devono attenersi scrupolosamente alle istruzioni impartite.
13. La designazione è effettuata, dal titolare o dal Responsabile, sentito il RPD,
per iscritto e l’atto di designazione deve individuare puntualmente l'ambito del
trattamento consentito. Si considera tale anche la documentata preposizione
della persona fisica ad una unità per la quale è individuato, per iscritto, l'ambito
del trattamento consentito agli addetti all'unità medesima.
Art. 15 Responsabile del trattamento dati informatici e telematici
(D.I.T.)
1. La responsabilità del trattamento dei dati informatici e telematici è attribuita
al Responsabile dei Sistemi Informativi e Servizi Informatici. Le competenze del
Responsabile riguardano l’attività di controllo e gestione degli impianti di
elaborazione o di sue componenti, di basi di dati, di reti, di apparati di
sicurezza e di sistemi di software complessi (nella misura in cui consentono di
intervenire su dati), l’individuazione e attuazione di tutte le procedure fisiche,
logiche e organizzative per tutelare la sicurezza e la riservatezza nel
trattamento dei dati informatici.
2. Il Responsabile del trattamento dati informatici e telematici designa per
iscritto con provvedimento motivato, un numero limitato, di amministratori di
sistema e di amministratori di macchina, previa individuazione delle
caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il
quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni
in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
3.Il Responsabile del trattamento dati informatici e telematici predispone - per
le parti relative alla sicurezza informatica, ai trattamenti di dati personali con
mezzi elettronici e digitali e allo sviluppo delle applicazioni informatiche -
proposte per il:
a. Piano della sicurezza del patrimonio informativo e della protezione dei dati
personali;
b. Il Piano per la gestione delle violazioni di dati personali di competenza;
c. Il Piano di attuazione delle politiche di sicurezza relative ai trattamenti
informatici/digitali di dati personali, in conformità delle line guida del RDP e
dell’Agenzia per l’Italia Digitale;
d. Un Piano di supporto all’attività delle strutture della Provincia
nell’applicazione delle politiche di sicurezza informatica, anche attraverso
l’identificazione di specifiche soluzioni tecniche e procedurali e
l’individuazione delle misure di protezione adeguate al rischio;
e. Le misure di tenuta della documentazione relativa alle misure di sicurezza
applicate alle infrastrutture e alle applicazioni gestite e degli esiti degli
eventuali controlli di vulnerabilità effettuati, salvo che tale compito sia stato
affidato a un fornitore designato responsabile del trattamento;
f. L’elenco aggiornato e la pubblicazione dell’elenco delle banche dati
informatiche come previsto dal CAD;
g. L’elenco designazione amministratori di sistema e amministratori di singole
postazioni di lavoro nei limiti concordati con il titolare e il RPD in conformità
ai provvedimenti generali del Garante dei dati personali;
h. Le attività previste nel Piano di gestione delle violazioni di dati personali
(Data Breach ) e delle attività necessarie per l’applicazione della metodologia di
analisi dei rischi o per l’eventuale valutazioni di impatto sulla protezione dei
dati, sia sui trattamenti già in corso, sia all’avvio di nuovi trattamenti con
strumenti informatici o dell’utilizzo di nuovo tecnologie, in conformità ai
principi della protezione dei dati fin dalla progettazione (privacy by design) e
della protezione per impostazione predefinita (privacy by default).
4.Il dirigente, ovvero la P.O. o il dipendente dell’Ufficio ICT svolge i compiti e le
funzioni raccordandosi con il RPD con il titolare, o suo delegato, con il
Responsabile per la Transizione al digitale è con gli altri component del Gruppo
di lavoro privacy.
Art. 16 Gruppo di lavoro e referente privacy
1.Il Referente Privacy è un dipendente della Provincia che coadiuva il Titolare
nell’espletamento dei molteplici compiti afferenti la tematica dei dati personali
svolti dall’Ufficio e per il Presidente si interfaccia con il Responsabile per la
Protezione Dati e al quale assicura i mezzi finanziari ed organizzati necessari
per lo svolgimento delle attività, ne condivide l’Agenda delle riunioni alle quali
il RPD deve necessariamente essere presente quando vengono adottati
procedimenti innovativi o innovazione tecnologiche ed organizzative dell’Ente.
2. L’ufficio Privacy è struttura di coordinamento gli adempimenti in materia di
trattamento dei dati personali , propone gli schemi di provvedimento in
materia di protezione dei dati personali preparati dai dirigenti competenti
sentito il RPD.
3. Convoca la riunione del tavolo di lavoro in occasione violazioni di dati
personali, della valutazione d’impatto sulla protezione dei dati, della
consultazione preventiva, nonché delle altre comunicazioni al Garante della
protezione dei dati personali, fatto salvo quanto di competenza del RPD.
4. Ai sensi dell’art. 2-quaterdecies del d.lgs. 196/2003, il referente privacy è il
soggetto competente ad adottare, sentito il RPD:
a. l’elenco dei trattamenti di dati personali rientranti nella titolarità della
Provincia assegnati a ciascun titolare di incarichi dirigenziali, secondo le
competenze assegnate nei provvedimenti organizzativi dall’Ente e in coerenza
con il Registro delle attività di trattamento;
b. le istruzioni per il trattamento dei dati personali, in conformità al Piano della
sicurezza del patrimonio informativo e della protezione dei dati personali, e i
modelli per l’autorizzazione del personale al trattamento dei dati necessari per
lo svolgimento delle attività di ufficio;
c. le procedure per garantire l’esercizio dei diritti degli interessati sulla base
della previsione dei successivi artt. 18, 19, 20;
d. le procedure relative agli amministratori di sistema e i processi di gestione e
progettazione di nuovi servizi o nuovi trattamenti, basati sui principi della
protezione dei dati fin dalla progettazione (privacy by design) e della
protezione per impostazione predefinita (privacy by default);
e. le procedure di designazione dei responsabili del trattamento e gli schemi
degli atti negoziali da proporre al titolare, sentito il RPD e sulla base dei
modelli ed atti dallo stesso proposti;
f. propone al titolare, sentito il RPD le modifiche organizzative, tecnologiche e
di sicurezza che derivano da provvedimenti e delle prescrizioni del Garante per
la protezione dei dati personali,
g. ogni altra informazione che non rientra nella competenza esclusiva del RPD
in merito allo stato di adeguamento della privacy nell’Ente e monitoraggio
dell’attività di formazione e del Gruppo di lavoro interno.
Art. 17 Responsabile della Protezione dei dati
1.Il RPD ha in Provincia un ruolo fondamentale per la promozione della cultura
della protezione dei dati e per l’attuazione del GDPR e dei principi
fondamentali del trattamento; i diritti degli interessati; la protezione dei dati
sin dalla fase di progettazione e per impostazione predefinita; i registri delle
attività di trattamento; la sicurezza dei trattamenti e la notifica e
comunicazione delle violazioni di dati personali; le misure tecniche; la
modulistica la consulenza legale in materia di privacy e protezione dei dati.
2. In ottemperanza all’art. 39 comma 1 del Reg. UE 2016/679 il DPO è incaricato
di:
a. informare e fornire consulenza al titolare del trattamento e ai responsabili
del trattamento, ai dipendenti che eseguono il trattamento in merito agli
obblighi derivanti dall’applicazione della normativa;
b. sorvegliare sull’attuazione in Provincia delle disposizioni del Regolamento
UE sulla protezione dei dati, le disposizioni degli Stati membri relativamente
alla protezione dei dati, delle politiche del titolare in materia di protezione dei
dati personali, la formazione del personale, le attività di controllo;
c. cooperare con l’autorità di controllo, ne è il referente e fungere da punto di
contatto per questioni del trattamento, tra cui la consultazione preventiva di
cui all’art. 36 del Reg. UE 2016/679;
d. vigilare sulla Provincia per le attività alla stessa spettante in materia di
Registro dei trattamenti. Supporta la revisione delle informative e del consenso
per conformarle al GDPR;
e. svolgere attività di consulenza preventiva in materia di protezione dei dati,
monitorare e consigliare le politiche di protezione dei dati adeguate alle
specifiche attività svolte dalla Provincia, esprimere parere sui contratti tra
contitolari e tra titolare e responsabili;
f. fornire supporto al Titolare in ordine alla valutazione d’impatto sulla
protezione dei dati e vigila sullo svolgimento ai sensi dell’articolo 35 del
Regolamento;
g. svolgere le funzioni comunque assegnate dalla normativa vigente e
nell’esecuzione dei compiti il RPD compie una valutazione dei rischi tenuto
conto della natura, dell’ambito di applicazione, del contesto e delle finalità del
medesimo e nella valutazione del “rischio” è titolato a conduce una valutazione
d’impatto sulla protezione dei dati (Data Protection Impact Assessment -
DPIA);
h. gestire i tentativi e le violazioni dei dati personali (Data Breach) e partecipare
alle riunioni del Gruppo di lavoro;
i. monitorare e gestire i reclami sulla base della procedura fissata nel presente
regolamento, partecipare alla redazione dei codici di condotta ed esprime
parere sulle certificazioni.
3. Il conferimento dell’incarico al RPD è fatto con atto del Presidente ai sensi
dell’art. 5 lett. l. del presente regolamento, sulla base dell'art. 7, comma 6, D.lgs.
165/2001, previa procedura selettiva comparativa sul MEPA per i professionisti
abilitati ai servizi specialistici alla P.A., in materia di privacy e protezione dei
dati, tenuto conto dei seguenti requisiti: competenza dei concorrenti sulle base
delle loro pregresse esperienze in materia di privacy e protezione dei dati;
l’avere in corso o avere svolto incarichi, per almeno un biennio, presso almeno
due Provincie o due Città capoluoghi di Provincia; o altre Istituzioni o Agenzie
Pubbliche, avere specifica esperienza in materia di protezione dei dati
certificate sulla base del relativo curriculum professionale.
4. Il nominativo deve essere immediatamente comunicato all’Autorità di
controllo e il RPD entra nelle funzioni con la sottoscrizione del contratto.
Art. 18 Responsabile della Conservazione dei Documenti Informatici
1. Con provvedimento del Presidente è individuato il responsabile alla
conservazione dei documenti informatici, ai sensi dell’art.7 del D.P.C.M.
03.12.2013 “ Regole tecniche in materia di sistema di conservazione ai sensi degli
articoli 20, commi 3 e 5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44, 44-bis e 71,
comma 1, del Codice dell’amministrazione digitale di cui al Decreto Legislativo
n.82 del 2005” e s.m.i
Art. 19 Trattamento dei dati nell’ambito del rapporto di lavoro pubblico
1. Per i trattamenti nell’ambito del rapporto di lavoro pubblico si rinvia all’
art.111 del D. Lgs. 196/2003 che prevede l’adozione di Regole deontologiche che
saranno approvate dal garante ai sensi dell’articolo 2-quater del Codice Privacy,
per i trattamenti dei dati personali effettuato nell’ambito del rapporto di lavoro
per le finalità di cui all’articolo 88 del Regolamento, prevedendosi anche
specifiche modalità per le informazioni da rendere all’interessato.
2. La Provincia come pubblica amministrazione può comunicare ad altre
amministrazioni pubbliche i dati trattati quando la comunicazione dei dati ha
base nella legge o deve essere effettuata in esecuzione di compiti di interesse
pubblico ai sensi dell’art. 2 sexies del D. Lgs. 196/2003 ovvero nell’esercizio del
pubblico potere attribuito e per gli obblighi previsti e volti a tutelare le esigenze
della legislazione fiscale, assistenziale e previdenziale.
3. La comunicazione dei dati a terzi è consentita in forma anonima e ai fini
delle politiche del lavoro e di statistica ricavati dalle informazioni relative a
singoli o a gruppi di lavoratori: come il numero complessivo di ore di lavoro
straordinario prestate o di ore non lavorate nelle varie articolazioni
organizzative, gli importi di trattamenti stipendiali o accessori individuati per
fasce o qualifiche/livelli professionali, le giornate non lavorato per motivi di
salute, o per benefici di legge anche nell'ambito di singole funzioni o unità
organizzative, salvo che anche tale diffusione di dati anonimi sia di pregiudizio
per la libertà e dignità del lavoratore qualora individuabile.
4. Ad esclusione dei casi in cui il contratto collettivo applicabile preveda
espressamente che l'informazione sindacale abbia ad oggetto anche dati
nominativi del personale per verificare la corretta attuazione di taluni atti
organizzativi, l'amministrazione può fornire alle organizzazioni sindacali dati
numerici o aggregati e non anche quelli riferibili ad uno o più lavoratori
individuabili. È il caso, ad esempio, delle informazioni inerenti ai sistemi di
valutazione dell'attività dei dirigenti, alla ripartizione delle ore di straordinario
e alle relative prestazioni, nonché all'erogazione dei trattamenti accessori.
5. L'amministrazione può anche rendere note alle organizzazioni sindacali
informazioni personali relative alle ritenute effettuate a carico dei relativi
iscritti, in conformità alle pertinenti disposizioni del contratto applicabile.
Art. 20 Modalità di comunicazione di dati personali lavoro dipendente
autonomo o onorario
1. Fuori dei casi in cui forme e le modalità di divulgazione di dati personali
siano regolate specificamente da puntuali previsioni di legge o regolamento,
l’Ente deve utilizzare forme di comunicazione individuale con il lavoratore
dipendente o autonomo, il professionista, l’incaricato il nominato o designato
per un attività di lavoro autonomo, onorario o stage, adottando tutte le misure
più opportune per prevenire la conoscibilità ingiustificata di dati personali, in
particolare se sensibili, da parte di soggetti diversi dal destinatario, ancorché
incaricati di talune operazioni di trattamento1
2. La diffusione di dati personali riferiti ai lavoratori può avvenire quando è
prevista espressamente da disposizioni di legge o di regolamento o per
previsione contrattuale, anche mediante l'uso delle tecnologie telematiche2.
Art. 21 Accesso agli atti amministrativi e accesso civico generalizzato
1. Fatto salvo i dati relativi alla salute, vita sessuale e orientamento sessuale,
vietati, ai sensi dell’art. 9 del GDPR e fatto salvo le deroghe previste dallo stesso
Regolamento UE e la deroga del legittimo interesse di cui all’art. 2-sexies del D.
Lgs. 196/2003, l’accesso agli atti del procedimento amministrativo in Provincia è
disciplinato dalla legge 7 agosto 1990, n. 241, e successive modificazioni e dalle
altre disposizioni di legge in materia, nonché dai relativi regolamenti di
attuazione, anche per ciò che concerne i tipi di dati di cui agli articoli 9 e 10 del
regolamento e le operazioni di trattamento eseguibili in esecuzione di una
richiesta di accesso. Nell’Ente i presupposti, le modalità e i limiti per l’esercizio
del diritto di accesso civico restano disciplinati dal decreto legislativo 14 marzo
2013, n. 33 e ss.mm.ii.
1 Esempio, inoltrando le comunicazioni in plico chiuso o spillato; invitando
l'interessato a ritirare personalmente la documentazione presso l'ufficio competente;
ricorrendo a comunicazioni telematiche individuali.
2 Art. 3 D. Lgs 7 marzo 2005, n. 82, recante il "Codice dell'amministrazione digitale" .
2. Il trattamento dei dati vietati di cui al precedente comma è consentito se la
situazione giuridicamente rilevante che si intende tutelare con la richiesta di
accesso ai documenti amministrativi, è di rango almeno pari ai diritti
dell'interessato, ovvero consiste in un diritto della personalità o in un altro
diritto o libertà fondamentale, la valutazione del livello di rango spetta al
responsabile al trattamento della struttura titolare del relativo procedimento.
3. L’Ente valorizza l'utilizzo di reti telematiche per la messa a disposizione di
atti e documenti contenenti dati personali (es. concorsi o a selezioni pubbliche)
nel rispetto dei principi di necessità, pertinenza, minimizzazione e non
eccedenza.
Art. 22 Dati relativi ai concorsi e alle selezioni pubbliche
1. Il trattamento dei dati relativi a concorsi pubblici è consentito presso l’Ente in
conformità del parere del Garante Privacy del 2014. Quando la selezione
contiene parametri, ai fini del posizionamento in graduatoria, che direttamente
o indirettamente siano idonei a recare pregiudizio alla libertà e alla dignità dei
concorrenti i nominativi degli stessi dovranno essere trattati e pubblicati in
forma anonima.
2. L’Ente, nel rispetto della previsione di cui al precedente co.1, può
lecitamente trattare, in base a specifiche previsioni legislative o regolamentari,
solo i dati personali pertinenti e non eccedenti ai fini del corretto espletamento
della procedura concorsuale e della sua rispondenza ai parametri stabiliti nel
bando e applicando, nella pubblicazione, i principi della minimizzazione e
anonimizzazione dei dati (elenchi nominativi resi anonimi e per codice ai
quali vengano abbinati i risultati di prove intermedie, elenchi degli ammessi
alle prove scritte o orali, punteggi riferiti a singoli argomenti di esame; punteggi
totali ottenuti).
3. Le informazioni di cui all’articolo 13 del Regolamento, nei casi di ricezione dei
curricula spontaneamente trasmessi dagli interessati al fine della instaurazione
di un rapporto di lavoro, vengono fornite al momento del primo contatto utile,
successivo all’invio del curriculum medesimo. Nei limiti delle finalità di cui
all’articolo 6, paragrafo 1, lettera b), del Regolamento UE 679/2016 e il consenso
al trattamento dei dati personali presenti nei curricula non è dovuto e il
curriculum potrà essere pubblicato salvo che, previa resa informativa,
l’interessato autorizzi espressamente la pubblicazione.
Art. 23 Trattamenti basati sul consenso dell’interessato
1. Qualora il trattamento sia basato sul consenso l’Ente deve essere in grado di
dimostrare che l’interessato ha espresso il proprio consenso al trattamento dei
propri dati personali in relazione alla finalità specifica per le quali lo ha reso. Il
consenso può essere dato oralmente o per iscritto, anche attraverso mezzi
elettronici ma deve essere espresso in forma comprensibile chiaro ed
inequivocabile.
2. Quando l'interessato ha prestato il proprio consenso esplicito al trattamento
dei dati personali può essere effettuato solo per la finalità specifica per la quale
è stato reso.
3. Il consenso reso per uno dei trattamenti di cui all’art. 9 del GDPR 679/2016 è
sempre revocabile salvo che il diritto dell'Unione o degli Stati membri disponga
espressamente che l'interessato non possa revocare il consenso reso.
4. L’interessato ha, per i dati diversi di cui all’art. 9 del GDPR, il diritto di
revocare il proprio consenso in qualsiasi momento, la revoca del consenso non
pregiudica la liceità del trattamento basata sul consenso prima della revoca, ma
legittimamente comporta che laddove il servizio non posso essere più reso,
perché il trattamento è essenziale per il servizio reso lo stesso non sarà più reso,
previa idonea informativa all’interessato revocante.
3.Per le pubbliche amministrazioni la base normativa sostituisce il presupposto
del consenso, pertanto i soggetti pubblici non devono, di regola, chiedere il
consenso per il trattamento dei dati personali.
Art. 24 Diritti degli interessati riconosciuti dall’Ente
1.Gli interessati esercitano i loro diritti facendo ricorso alla modulistica
pubblicata sul sito dell’Ente e nel rispetto delle norme previste nel Codice per
l’esercizio dei diritti dell’interessato pure pubblicato sul sito istituzionale
dell’Ente.
2.Il Diritto di accesso dell’interessato ex art. 15 del Regolamento UE 2016/679 si
sostanzia nel diritto dell’interessato di ottenere dal titolare conferma che sia o
meno in corso un trattamento dei propri dati personali e, in tal caso, l’accesso
alle informazioni espressamente previste dall’articolo citato, tra cui a titolo
esemplificativo e non esaustivo le finalità del trattamento, le categorie di dati e
destinatari, il periodo di conservazione, l’esistenza del diritto di cancellazione,
rettifica o limitazione, il diritto di proporre reclamo, tutte le informazioni
disponibili sull’origine dei dati, l’eventuale esistenza di un processo decisionale
automatizzato ai sensi dell’art. 22 del Regolamento, nonché copia dei propri
dati personali.
3. Il Diritto di rettifica ex art. 16 del Regolamento UE si sostanzia nel diritto
dell’interessato di ottenere dal titolare la rettifica e/o l’integrazione dei dati
personali inesatti che lo riguardano, senza ingiustificato ritardo.
4. Il Diritto alla cancellazione “diritto all’oblio” ex art. 17 del Regolamento UE si
sostanzia nel diritto dell’interessato alla cancellazione dei propri dati personali
senza ingiustificato ritardo, se sussiste uno dei motivi espressamente previsti,
tra cui a titolo esemplificativo e non esaustivo il venir meno della necessità del
trattamento rispetto alle finalità, la revoca del consenso su cui si basa il
trattamento, opposizione al trattamento nel caso in cui sia basato su interesse
legittimo non prevalente, trattamento illecito dei dati, cancellazione per
obblighi di legge, dati dei minori trattati in assenza delle condizioni di
applicabilità previsto dall’art. 8 del Regolamento;
5. Il Diritto di limitazione del trattamento, ai sensi dell’art. 18 del Regolamento
UE, si sostanzia nel diritto a limitare il trattamento illecito, la contestazione
dell’esattezza dei dati, l’opposizione dell’interessato e il venir meno del bisogno
trattamento da parte del titolare, i dati dell’interessato devono essere trattati
solo per la conservazione salvo il consenso dello stesso.
6. Il Diritto alla portabilità dei dati ex art. 20 del Regolamento UE conferiscono
all’interessato, nei casi in cui il trattamento si basi sul consenso e sul contratto
e sia effettuato con mezzi automatizzati, potrà richiedere di ricevere i propri
dati personali in formato strutturato, di uso Provinciae leggibile da dispositivo
automatico, e ha diritto di trasmetterli a un altro titolare.
7.Per Diritto di opposizione, ex art. 21 del Regolamento UE, si intende il diritto
dell’interessato di opporsi al trattamento dei propri dati personali, nel caso in
cui il trattamento sia basato su interesse legittimo.
8. Il Diritto di non essere sottoposto a processi decisionale automatizzato, ex
art. 22 del Regolamento UE, si sostanzia per l’interessato a non essere
sottoposto ad una decisione, compresa la profilazione, basata unicamente sul
trattamento automatizzato.
9.Il diritto all’obblio di ogni individuo si sostanzia nel diritto ad essere
dimenticato per fatti che lo riguardano e che in passato sono stati oggetto di
cronaca non più di attualità e rispetto ai quali non vi è un interesse pubblico
attuale.
10. L’Ente al venire meno dello scopo rispetto al quale i dati sono stati raccolti,
l’interessato ha diritto di ottenere dal Titolare la cancellazione dei dati
personali. II Titolare dal trattamento ha l’obbligo di cancellare i dati personali
resi pubblici, con la tecnologia disponibile, chiedendo la cancellazione di
qualsiasi link, copia o riproduzione dei dati medesimi.
Art. 25 Attività di conciliazione pre-reclamo
1. Fatto salvo il diritto di Reclamo al Garante privacy o il ricorso in sede
giurisdizionale, l'interessato che ritenga che il trattamento che lo riguarda violi
i suoi dati personali ha il diritto, ricorrendo alla modulistica e sulla base della
procedura di cui al co.1 dell’art, 17 del presente Regolamento, di richiedere al
Responsabile alla protezione dei dati, con istanza motivata, le ragioni della
ritenuta violazione e che il comportamento ritenuto lesivo sia dismesso da
parte dell’Ente.
2. Il RPD a cui è stata fatta l’istanza informa, prontamente, l’interessato delle
circostanze di fatto e delle questioni diritto, nonché dei provvedimenti adottati
ai fini della richiesta tutela dello stato, dei tempi e dell’esito della stessa,
compresa la possibilità, per il caso di non accoglimento di quanto richiesto
perché in violazione di legge, della facoltà di proporre reclamo al Garante o un
ricorso in sede giurisdizionale.
3. Nell’istanza deve essere indicato specificamente, anche sulla base del modello
appositamente predisposto dall’Ente: l’indicazione dei fatti e delle circostanze
su cui si fonda la richiesta; le disposizioni che si presumono violate; le misure
richieste da adottare.
4. l’istanza è sottoscritta dall'interessato o, su mandato di questo, da un
mandatario con allegata documentazione utile ai fini della sua valutazione e
l'eventuale mandato, e indica un recapito per l'invio di comunicazioni anche
tramite posta elettronica o PEC o telefono.
Art. 26 Trattazione dell’Istanza
1. L’esame dell’istanza è orientato a criteri rapidità e di semplicità delle forme
osservate, di celerità ed economicità, anche in riferimento al contraddittorio e il
pre-reclamo non comporta alcun contributo spese.
2. la decisione adottata dal RPD è comunicata immediatamente al responsabile
del servizio ove la presunta violazione si è verificata e al titolare e avuto
l’assenso di questi all’adeguamento è comunicata, senza ritardo all’interessato
istante.
3. Ove l’istanza sia irregolare o incompleta ne è data comunicazione all’istante,
con l’indicazione delle cause della irregolarità o incompletezza nonché del
termine, di regola non superiore a sette giorni, entro cui provvedere alla
relativa regolarizzazione, salvo che la stessa sia sanabile o sia possibile
interpretarla in ordine all’esercizio del diritto del quale si chiede la tutela.
4. L’istanza, se non sanabile e non tempestivamente regolarizzata è archiviata e
può essere esaminata a titolo di segnalazione.
Art.27 Diritto di proporre reclamo al Titolare e al DPO
1. Al termine dell’istruttoria il RPD conclude l’esame dell’istanza archiviandola
quando:
a) la questione prospettata non risulta riconducibile alla protezione dei dati
personali;
b) non sono ravvisati, allo stato degli atti, gli estremi di una violazione della
disciplina rilevante in materia di protezione dei dati personali;
c) si tratta di una richiesta eccessiva, in particolare per il carattere pretestuoso o
ripetitivo anche ai sensi dell’articolo 57 paragrafo 4 del RGPD;
d) la questione prospettata è stata già decisa con provvedimento del Garante.
2. Del provvedimento reso è informato l’interessato istante.
Art. 28 Entrata in vigore – Pubblicità
1.Il presente Regolamento dopo l’approvazione con provvedimento Consiliare
sarà pubblicato per 10 giorni consecutivi all’albo on-line dell’Ente ed entra in
vigore il quindicesimo giorno successivo. Il presente Regolamento è altresì
pubblicato sul sito istituzionale dell’Ente.
2. È fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.