|
REGOLAMENTO SULLA TUTELA DEI DATI PERSONALI
approvato
con deliberazione della Giunta Comunale
n. 165 in data 13/05/2003
a cura del dr. Agostino Galeone
Articolo 1
OGGETTO DEL REGOLAMENTO
1. Il presente regolamento, al fine di garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all'identità personale nonché al fine di garantire i diritti delle persone giuridiche e di ogni altro ente o associazione, disciplina :
a) i criteri di organizzazione di questo Comune riferiti al trattamento dei dati personali contenuti nelle banche-dati organizzate, gestite o utilizzate dall’Amministrazione comunale in relazione al conseguimento delle finalità istituzionali, ai sensi dell’art. 27 della legge 31 dicembre 1996, n. 675 e successive modificazioni ed integrazioni;
b) le modalità per la individuazione delle tipologie di dati sensibili e delle operazioni eseguibili per attività che sebbene riferite a rilevanti finalità di interesse pubblico non sono individuate da norme legislative e regolamentari nonché dal Garante, ai sensi dell’art. 22, commi 3 e 3-bis, della legge n. 675/1996 e del D.L.vo 11 maggio 1999, n. 135;
c) le modalità per l’attuazione delle misure di sicurezza finalizzate alla conservazione ed alla tutela dei dati personali contenuti nella banche-dati di questo Comune, ai sensi dell’art. 15 della legge n. 675/1996 e del d.P.R. 28 luglio 1999, n. 318.
Articolo 2
DEFINIZIONI
1. Ai fini del presente regolamento si intendono:
a) per "dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale, acquisita dagli Uffici di questo Comune o agli stessi conferita dal soggetto cui si riferiscono o da altri soggetti in relazione allo svolgimento di attività istituzionali del Comune;
b) per "dato sensibile", ogni dato idoneo a rivelare (origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazione a carattere religioso, filosofico, politico o sindacale, nonché i dati idonei a rivelare lo stato di salute e la vita sessuale del soggetto cui si riferiscono;
c) per “dato giudiziario”, qualunque dato personale idoneo rilevare provvedimenti di cui all’art. 686, commi 1, lettere a) e d), 2 e 3 del codice di procedura penale;
d) per "trattamento", qualunque operazione o complesso di operazioni, svolti con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati;
e) per "banca dati", un qualsiasi complesso di dati personali, ripartito in una o più unità dislocate in uno o più siti, organizzato, su supporto cartaceo o informatico o di qualsiasi altra natura, secondo una pluralità di criteri determinati tali da facilitarne il trattamento;
f) per "interessato", la persona fisica, la persona giuridica, l‘ente o l’associazione cui si riferiscono i dati personali
a) per "tipo di dati", la specificazione del dato in relazione all'attività svolta e definita da disposizioni di legge, di regolamento o dal garante di rilevante interesse pubblico;
b) per "operazioni eseguibili", le differenti forme e soluzioni di trattamento realizzabili sulle tipologie di dati individuati dall'ente;
c) per "comunicazione, il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
d) per "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
e) per "dato anonimo", il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile;
f) per "blocco", la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento;
g) per "Garante", l'autorità istituita ai sensi dell'articolo 30 della legge n. 675/96.
Articolo 3
TRATTAMENTO DEI DATI PERSONALI
1. I dati personali oggetto del trattamento devono essere:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi ed utilizzati in altre operazioni del
c) trattamento in termini non incompatibili con tali scopi;
d) esatti e, se necessario, aggiornati;
e) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti e successivamente trattati;
f) conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
2. Il trattamento dei dati avviene avvalendosi di strumenti idonei a garantirne la sicurezza e la riservatezza e può essere effettuato anche attraverso strumenti automatizzati.
3. Le modalità di trattamento dei dati possono prevedere l’utilizzo di strumenti idonei a collegare i dati con altri provenienti da altri soggetti.
4. Nelle ipotesi in cui la legge, lo statuto o il regolamento prevedano pubblicazioni obbligatorie, il responsabile del procedimento adotta opportune misure atte a garantire la riservatezza dei dati sensibili di cui all’articolo 22 della legge n. 675/1996.
Articolo 4
FINALITA’ E LIMITI DEL TRATTAMENTO
1. L’Amministrazione comunale, attraverso le propria struttura organizzativa, esegue il trattamento dei dati personali e gestisce le banche dati di cui è titolare esclusivamente per l’esercizio delle funzioni istituzionali previste dalla legge, dai regolamenti e dal proprio Statuto, o nell’ambito di eventuali accordi tra enti pubblici intesi a favorire la trasmissione dei dati, nei limiti previsti dagli artt. 22, 24, 24-bis e 27 della legge 675/1996.
2. Gli accordi di cui al comma 1 dovranno contenere, in apposito protocollo d’intesa, l’indicazione del titolare e del responsabile della banca dati e del relativo trattamento, delle finalità e delle operazioni di trattamento, delle modalità di connessione e comunicazione dei dati, nonché delle misure di sicurezza adottate.
3. Tali garanzie dovranno essere formalmente assicurate in tutte le situazioni che prevedano il trattamento da parte di:
a) società, enti o consorzi che per conto del comune forniscono specifici servizi o che svolgono attività connesse, strumentali o di supporto a quelle del Comune, ovvero attività necessarie all’esecuzione delle prestazioni e dei servizi imposti da leggi, regolamenti, norme comunitarie o che vengono attivati al fine di soddisfare bisogni e richieste dei cittadini;
b) soggetti ai quali la comunicazione dei dati personali risulti necessaria per lo svolgimento delle attività loro affidate dal Comune;
c) soggetti a cui la facoltà di accedere ai dati personali sia riconosciuta da disposizione di legge o di regolamento.
4. Il trattamento dei dati sensibili e dei dati giudiziari è eseguito esclusivamente sulla base del D.L.vo 11/05/1999 n. 135 e dei provvedimenti del Garante n. 1 e n. 7 del 2000. In mancanza di espressa disposizione di legge, e fuori dai casi previsti dai decreti legislativi di modificazione ed integrazione emanati in attuazione della legge 675/96, il Sindaco può richiedere al Garante, nelle more della specificazione legislativa, l’individuazione delle attività, demandate alla competenza dell’Amministrazione stessa, che perseguono rilevanti finalità di interesse pubblico e per le quali è conseguentemente autorizzato il trattamento.
Articolo 5
RILEVANTI FINALITA’ DI INTERESSE PUBBLICO
1. Agli organi di governo, di gestione, consultivi, di controllo e di valutazione appartenenti all’Amministrazione comunale di Ostuni nonché a quelli delle istituzioni e degli altri organismi strumentali interni è consentito il trattamento dei dati personali soltanto per lo svolgimento delle attività che perseguono rilevanti finalità di interesse pubblico, di rispettiva competenza e nei limiti stabiliti dalle leggi e dai regolamenti.
2. Per rilevanti finalità di interesse pubblico riferibili alle attività dell’Amministrazione comunale, ai fini del precedente comma, si intendono quelle riferite :
- alle funzioni amministrative che riguardano la popolazione ed il territorio comunale, precipuamente nei settori organici dei servizi alla persona e alla comunità, dell’assetto ed utilizzazione del territorio e dello sviluppo economico, ad eccezione delle funzioni attribuite espressamente ad altri soggetti dalla legge statale o regionale, secondo le rispettive competenze (ex art. 13 del D.L.vo n. 267/2000);
- alla gestione dei servizi elettorali, di stato civile, di anagrafe, di leva militare e di statistica (ex art. 13 del D.L.vo n. 267/2000);
- alle attività finalizzate alla cura degli interessi ed dello sviluppo della comunità locale nell’ambito della propria autonomia statutaria, normativa, organizzativa, e amministrativa, impositiva e finanziaria, in conformità alle norme statutarie e regolamentari comunali e delle leggi di coordinamento della finanza pubblica (ex art. 3 del D.L.vo n. 267/2000);
- alle funzioni ed ai servizi svolte da questo Comune nelle forme associative con altri enti locali previste dalle disposizioni di cui al Capo V del D.L.vo 18 agosto 2000, n. 267;
- a funzioni e compiti attributi, delegati o conferiti da disposizioni legislative e regolamentari comunitarie, statali e regionali ovvero da provvedimenti regionali e provinciali;
- ai compiti e servizi espletati nell’ambito dei servizi istituzionali su delega, convenzione o concessione da soggetti pubblici o privati.
Articolo 6
TITOLARE DEL TRATTAMENTO
1. Il Comune di Ostuni, nella qualità di titolare, adotta le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza, secondo le norme del presente regolamento.
2. Compete al titolare, attraverso i dirigenti apicali delle massime strutture dell’ente, provvedere a :
- comunicare al garante per la protezione dei dati personali le attività individuate per le quali non è determinata dalla legge una corrispondente rilevante finalità di interesse pubblico;
- formulare, per iscritto, le istruzioni e le direttive di massima rivolte ai responsabili ed agli incaricati;
- controllare la corretta applicazione della legge, delle istruzioni e delle direttive impartite;
- costituire ed aggiornare l’archivio delle banche dati, personali e sensibili, esistenti ed i nominativi dei rispettivi responsabili e incaricati.
Articolo 7
RESPONSABILI DEL TRATTAMENTO
1. Il Sindaco provvede a nominare per iscritto, specificando analiticamente i relativi compiti, i responsabili del trattamento dei dati personali e delle banche-dati, tra i dirigenti apicali delle strutture di massima dimensione in cui si articola l’organizzazione del Comune di Ostuni e tra i funzionari sub-apicali inquadrati nella categoria D) di cui al C.C.N.L., i quali per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza delle banche-dati.
2. I responsabili per il trattamento provvedono, nell’ambito dei compiti loro rispettivamente conferiti con l’atto di nomina, per i rispettivi ambiti di competenza, alle attività previste dalla legge ed in particolare a:
a) individuare, se ritenuto opportuno, dandone comunicazione al Sindaco, i soggetti incaricati del trattamento dei dati, anche non nominativamente e con riferimento a categorie o specifici profili di operatori e alla loro collocazione organizzativa;
b) fornire agli incaricati, per iscritto, sulla base delle direttive di massima impartite dalla Giunta Comunale, dal Sindaco, dal Direttore Generale o, in mancanza, dal Segretario Generale, le istruzioni per il corretto trattamento dei dati personali, eseguendo gli opportuni controlli;
c) adottare le misure e disporre gli interventi necessari per la sicurezza della conservazione dei dati e per la correttezza dell'accesso sulla base delle direttive a tale scopo impartite dal responsabile dei Sistemi Informativi dell'ente;
d) curare, ai sensi dell'art. 10 della L. 675/96 e successive modifiche ed integrazioni, l'informazione agli interessati predisponendo, in particolare, la modulistica o altre forme idonee di informazione, inerente i propri Uffici facendo, in caso di dati sensibili, espresso riferimento alla normativa che prevede gli obblighi o i compiti in base alla quale è effettuato il trattamento;
e) curare l'eventuale raccolta del consenso degli interessati per il trattamento dei dati sensibili in assenza di una specifica norma di legge o regolamento che ne preveda il trattamento;
f) adottare le misure occorrenti per facilitare l'esercizio dei diritti dell'interessato ai sensi dell'art. 13 della legge n. 675/96 e successive modifiche e integrazioni e dell'art. 17 del dpr 31/3/1998 n. 501;
g) controllare che la comunicazione e la diffusione dei dati avvenga nei limiti degli articoli 22, 27 e 9 della legge 675/96 e successive modifiche ed integrazioni nonché dell'art. 3 del dlgs 135/99;
h) inviare al garante, attraverso la struttura di coordinamento di cui al comma 3, le comunicazioni e le notificazioni previste dalla L. 675/96 e successive modifiche e integrazioni;
i) stipulare gli accordi con altri soggetti pubblici o privati per l’esercizio del diritto di accesso alle banche-dati nei limiti previsti dalle disposizioni legislative e regolamentari;
j) stabilire le modalità di gestione e le forme di responsabilità relative a banche dati condivise da più articolazioni organizzative, d'intesa con gli altri responsabili. In caso di mancato accordo tra i responsabili, decide il direttore generale o, in mancanza il segretario generale, sentiti gli stessi responsabili competenti;
k) individuare le tipologie di dati sensibili assoggettabili a trattamento secondo le garanzie degli articoli 2, 3 e 4 del dlgs n. 135/99 e le operazioni su di essi eseguibili da comunicare ai sensi dell'art. 3, comma 3 del presente regolamento.
3. Ai fini della definizione delle direttive di cui al comma 3, lettera c), la struttura responsabile dei sistemi informativi provvede, in relazione alle conoscenze acquisite in base al processo tecnologico, ad assicurare lo sviluppo delle misure di sicurezza degli archivi informatici previste dall'art, 15 della legge n. 675/96 e successive modifiche e integrazioni e del relativo regolamento di attuazione, al fine di:
- ridurre al minimo il rischio di distruzione o perdita, anche accidentale, dei dati memorizzati su supporti magnetici o ottici gestiti, nonché delle banche dati e dei locali ove sono collocate;
- evitare l'accesso non autorizzato alle banche dati, alla rete e, in generale, ai servizi informatici del comune;
- prevenire trattamenti dei dati non conformi alla legge o ai regolamenti e la cessione o distribuzione dei dati in caso di cessazione del trattamento.
4. Il responsabile del trattamento può delegare, per iscritto, una o più delle sue competenze ad uno o più responsabili di servizio inquadrati in categoria non inferiore alla D) di cui al vigente C.C.N.L., specificando i limiti anche temporali della delega.
5. Le funzioni del responsabile del trattamento, in caso di sua assenza o impedimento anche temporanei sono svolte dal responsabile del servizio competente.
Articolo 8
INCARICATI DEL TRATTAMENTO
1. L’elaborazione materiale dei dati personali compete al responsabile del trattamento e all’incaricato del trattamento.
2. La nomina di uno o più incaricati del trattamento è disposta con provvedimento del responsabile del trattamento, di norma tra i responsabili dei servizi e degli uffici e/o tra altri dipendenti, secondo le previsioni del regolamento comunale di organizzazione degli uffici e dei servizi.
3. La nomina è disposta con formale provvedimento, nel quale devono essere specificati gli eventuali limiti alle operazioni di trattamento dei dati personali alle cui banche-dati gli incaricati del trattamento hanno accesso nell’espletamento delle relative funzioni d’istituto.
4. Ai medesimi incaricati compete, in relazione al trattamento dei dati personali:
- il trattamento in modo lecito e secondo correttezza;
- la raccolta e la registrazione per gli scopi inerenti l’attività svolta da ciascuno;
- la verifica in ordine alla loro pertinenza, completezza e non eccedenza delle finalità per le quali sono state raccolto o successivamente trattati, secondo le indicazioni ricevute dal responsabile del trattamento;
- la conservazione, rispettando le misure di sicurezza predisposte al riguardo.
5. Per ogni operazione di trattamento è da garantire la massima riservatezza.
6. Nel caso di allontanamento anche temporaneo dal posto di lavoro, l’incaricato verifica che non vi sia possibilità da parte di terzi, anche se dipendenti ma estranei al procedimento interessato, di accedere alle banche-dati e/o ai dati personali per i quali è in corso un qualsiasi tipo di trattamento.
7.Nessun dato personale e sensibile può essere comunicato o diffuso a soggetti diversi da quelli aventi una posizione giuridicamente rilevante rispetto al procedimento o al provvedimento cui gli stessi dati si riferiscono ovvero competenti alla loro conoscenza per l’esercizio di funzioni istituzionali.
Articolo 9
TRATTAMENTO DI DATI PERSONALI DA SOGGETTI ESTERNI
1. Nella ipotesi che a soggetti pubblici o privati esterni a questo Comune sano affidati su delega, convenzione o concessione lo svolgimento di compiti e/o servizi richiedenti il trattamento di dati personali e la gestione di una banca-dati, il relativo provvedimento o contratto di affidamento deve prevedere norme specifiche attraverso le quali si provvede a nominare il legale rappresentante del soggetto pubblico o privato concessionario quale responsabile del trattamento dei dati personali e delle banche dati per la durata del rapporto convenzionale ovvero si obblighi il soggetto incaricato ad osservare le prescrizioni di cui alla legge n. 675/1996 e delle altre fonti di diritto in materia di tutela della riservatezza dei dati personali e dei dati sensibili e delle misure minime di sicurezza.
2. Nelle ipotesi di trattamento dei dati personali di cui al precedente comma, il dirigente apicale della massima struttura organizzativa del Comune competente per materia in relazione al compito e/o al servizio ha il dovere di verificare che il soggetto esterno osservi le predette prescrizioni; ed il funzionario responsabile della struttura comunale dei sistemi informativi verifica che siano osservate le norme riferite all’attuazione delle misure minime di sicurezza..
Articolo 10
UTILIZZO INTERNO DEI DATI
1. La comunicazione dei dati all’interno della struttura organizzativa del comune, per ragioni d’ufficio e nell’ambito delle specifiche competenze dei Servizi, non è soggetta a limitazioni particolari, salvo quelle espressamente previste da leggi e regolamenti.
2. Il Responsabile del trattamento può tuttavia disporre, con adeguata motivazione, le misure necessarie alla tutela della riservatezza degli interessati, qualora la comunicazione concerna dati sensibili.
Articolo 11
UTILIZZO DI DATI DA PARTE DI AMMINISTRATORI COMUNALI
1. Il Sindaco, i Consiglieri comunali e gli Assessori hanno diritto di accedere a documenti contenenti dati personali detenuti dall’Amministrazione comunale nei limiti e con le modalità previsti dalle disposizioni di legge e di regolamenti.
2. Le notizie e le informazioni così acquisite devono essere utilizzate esclusivamente per le finalità pertinenti al loro mandato, rispettando il divieto di divulgazione dei dati personali nonché la segretezza degli stessi nei casi espressamente determinati dalla legge.
Articolo 12
UTILIZZO ESTERNO DEI DATI
1. La comunicazione e la diffusione dei dati ad altri soggetti pubblici sono ammesse quando siano previste da norme di legge o di regolamento, o risultino, comunque, necessarie per lo svolgimento delle loro funzioni istituzionali. In quest’ultimo caso dovrà esserne data comunicazione al Garante che potrà vietarla ove contraria alla legge.
2. La comunicazione e la diffusione dei dati nei confronti di soggetti privati o enti pubblici economici sono ammesse solo se previste da norme di legge o di regolamento.
3. La comunicazione e la diffusione dei dati sono comunque permesse quando siano necessarie per finalità di ricerca scientifica e di statistica e si tratti di dati anonimi e quando siano richieste dai soggetti di cui all’art. 4, comma 1. Lettere b),d) ed e) della legge 675/1996, per finalità di difesa e sicurezza dello Stato e di prevenzione o repressione dei reati, con l’osservanza delle norme che regolano la materia.
Articolo 13
ATTIVITA’ CHE PERSEGUONO RILEVANTI FINALITA’ DI INTERESSE PUBBLICO NON RAPPORTABILI AL QUADRO NORMATIVO DEL D.L.VO N. 135/1999
1. Per favorire l’individuazione delle attività istituzionali non correlabili a rilevanti finalità di interesse pubblico date previste dal d.l.vo 11 maggio 1999, n. 135 e per consentire al garante per la protezione dei dati personali di adottare specifici provvedimenti ai sensi dell'art. 22, commi 3 e 3-bis della legge 31 dicembre 1996, n. 675, l’Amministrazione comunale, attraverso i responsabili del trattamento:
a) verifica la rilevanza delle attività istituzionali comportanti il trattamento di dati sensibili in relazione al buon andamento dell'attività amministrativa;
b) verifica quali di queste attività non possono essere ricondotte al quadro di riferimento dettato dal suindicato decreto legislativo;
c) individua e configura la rilevanza dell'interesse pubblico perseguito con la particolare attività istituzionale.
2. L’Amministrazione comunale comunica al Garante per la protezione dei dati personali le attività individuate per le quali non è determinata dalla legge una corrispondente rilevante finalità di interesse pubblico.
3. Le modalità di comunicazione al garante degli elementi di cui al comma 2 del presente articolo sono definite dalla Giunta comunale nelle disposizioni organizzative di cui all'art. 6.
Articolo 14
TIPOLOGIE DI DATI E DELLE OPERAZIONI ESEGUIBILI
PER ATTIVITA’ CON RILEVANTI FINALITA’ DI INTERESSE PUBBLICO
INDIVIDUATE DALLA LEGGE O DAL GARANTE
1. A fronte delle rilevanti finalità di interesse pubblico individuate dalla legge o dal garante, in assenza della definizione delle tipologie di dati e delle operazioni eseguibili, per poter garantire il corretto svolgimento delle attività istituzionali il comune provvede a determinare quali tipi di dati sensibili sono trattabili e quali forme di gestione su di essi possano essere realizzate.
2. Con propria deliberazione la Giunta comunale indica i tipi di dati sensibili correlabili alle rilevanti finalità di interesse pubblico date dalle legge o dal garante e definisce le relative operazioni eseguibili.
3. Ai contenuti della deliberazione di cui al comma precedente è data massima diffusione presso le varie articolazioni organizzative dell'amministrazione comunale e negli ambiti di relazione della stessa con la comunità locale.
4. Per la diffusione dei contenuti della deliberazione di cui al comma 2 possono essere utilizzate soluzioni differenziate, ivi comprese quelle comportanti l’utilizzo delle reti telematiche e dei mezzi di comunicazione di massa.
5. L'aggiornamento del quadro di riferimento per le tipologie di dati sensibili assoggettabili a trattamento secondo le garanzie del D.L.vo 11 maggio 1999, n. 135 e per le operazioni su di essi eseguibili viene effettuato annualmente dalla Giunta comunale con proprio provvedimento.
6. L'aggiornamento può aversi anche entro termini infrannuali, qualora innovazioni normative, tecnologiche o rilevanti trasformazioni gestionali rendano necessaria l’individuazione di nuove tipologie di dati o di operazioni eseguibili.
7. Nell'informativa resa ai sensi dell'art. 10 della legge 31 dicembre 1996, n. 675 ai soggetti che conferiscono dati al comune per lo svolgimento di un'attività istituzionale sono fornite tutte le indicazioni inerenti la corrispondente rilevante finalità di interesse pubblico perseguita, i tipi di dati sensibili per i quali risulta necessario attivare un trattamento e le operazioni eseguibili sui medesimi dati.
Articolo 15
DISPOSIZIONI ORGANIZZATIVE E CONTROLLO
1. La Giunta comunale, nell'ambito delle proprie competenze in materia di organizzazione, ed i responsabili del trattamento, nell'esercizio dei loro poteri di organizzazione e di gestione delle risorse, adottano provvedimenti e misure volti a dare piena attuazione alle disposizioni contenute negli artt. 1, 2, 3 e 4 del dlgs 11 maggio 1999, n. 135, per la corretta gestione dei dati personali sensibili.
2. Le disposizioni organizzative di cui al comma 1 del presente articolo devono essere coerenti con i provvedimenti attuativi della legge 31 dicembre 1996, n. 675 e devono essere adottate con particolare riguardo per :
a) la corretta gestione del rapporto tra amministrazione e cittadini;
b) la semplificazione delle modalità di trattamento dei dati personali;
c) la definizione di adeguate garanzie per le operazioni inerenti i dati sensibili.
3. I responsabili de trattamento provvedono, nell'ambito dei propri poteri di controllo, a effettuare periodiche verifiche sulla corretta applicazione della normativa in materia di trattamento dei dati sensibili e del presente regolamento nell'ambito delle articolazioni organizzative cui sono preposti, in accordo coni controlli specifici effettuati dal responsabile dei trattamenti.
Articolo 16
PUBBLICIZZAZIONE DELLE TIPOLOGIE DI DATI SENSIBILI TRATTABILI
E DELLE OPERAZIONI ESEGUIBILI
1. I dati sensibili trattabili e le operazioni su di essi eseguibili sono pubblicizzati mediante affissione all'Albo pretorio e mediante sistema informatico nonché con adeguate comunicazioni interne agli uffici e servizi dell'amministrazione.
2. Gli elementi riguardanti le tipologie di dati sensibili trattabili e le operazioni su di essi eseguibili sono comunque resi noti si soggetti che conferiscono dati personali all'amministrazione comunale per l’attivazione di un procedimento nel momento in cui si ha la presentazione dell'istanza, con le medesime modalità procedurali con cui sono fornite le informazioni previste dall'art. 10 della legge 31 dicembre 1996, n. 675.
3. In relazione ad attività riguardanti un rilevante numero di soggetti che conferiscono dati sensibili ai servizi dell'amministrazione comunale, la Giunta comunale adotta adeguate misure, di carattere organizzativo e informativo, finalizzate a garantire, anche mediante l’utilizzo di strumenti informatici e telematici, la massima pubblicizzazione agli elementi individuati. Tali misure sono poste in essere dai responsabili dei trattamenti.
Articolo 17
TRATTAMENTO DEI DATI SENSIBILI E INFORMATIVA
1. Le informazioni rese agli interessati ai sensi dell'art. 10 della legge 31 dicembre 1996, n. 675 devono contenere esplicito riferimento ai seguenti elementi:
a) indicazione dei riferimenti normativi comportanti il trattamento dei dati sensibili;
b) indicazione delle tipologie di dati sensibili trattati nella specifica attività e delle operazioni su di essi eseguibili;
c) sintesi delle misure poste a garanzia del trattamento dei dati sensibili in relazione alla specifica atti
Articolo 18
MISURE DI SICUREZZA
1. La Giunta ed i Responsabili di Servizio/Settore definiscono, nell’ambito delle rispettive competenze le misure di sicurezza previste dall’art. 15 della legge 31 dicembre 1996, n. 675, al fine di:
a) ridurre al minimo i rischio di distruzione o perdita, anche accidentale, dei dati memorizzati su supporti magnetici e ottici gestiti, nonchè delle banche-dati e dei locali ove esse sono collocate;
b) evitare l'accesso non autorizzato alle banche dati, alla rete e, in generale, ai servizi informatici del Comune;
c) prevenire:
c.1) trattamenti dei dati non conformi alla legge od ai regolamenti;
c.2) la cessione o la distribuzione dei dati in caso di cessazione del trattamento.
2. Le misure di sicurezza sono determinate in relazione alle potenzialità organizzative dell’Amministrazione ed al livello di sviluppo tecnologico da essa acquisito con riferimento a quanto previsto dal D.P.R. 28 luglio 1999, n. 318.
3. In sede di determinazione delle misure minime di sicurezza, nel rispetto della normativa vigente in materia, i Responsabili dei trattamenti definiscono soluzioni tecniche, informatiche, organizzative, logistiche e procedurali che tengano conto delle specificità di trattamento dei dati personali e, particolarmente, dei dati sensibili e delle particolarità connesse alle operazioni su di essi eseguibili, compresa l’archiviazione degli stessi.
Articolo 19
MISURE MINIME DI SICUREZZA
PER IL TRATTAMENTO DEI DATI PERSONALI EFFETTUATO
CON STRUMENTI ELETTRONICI O COMUNQUE AUTORIZZATI
1. Al fine di garantire la riservatezza dei dati sensibili contenuti negli elenchi, registri e banche-dati tali, il responsabile del trattamento deve adottare, ai sensi del D.P.R. 28/07/1999 n. 318, distinte misure di sicurezza tali da consentire sia l’esercizio del diritto di accesso di cui alle leggi n.142/90 e n. 241/90 sia il trattamento degli stessi dati da parte degli incaricati del trattamento.
2. Compete al responsabile del trattamento adottare i provvedimenti necessari per attuare gli adempimenti previsti dagli articoli 2, 4 e 5 del DPR n. 318/99.
3. Ai sensi e per gli effetti di cui all’articolo 8 del DPR n. 318/99, la parola chiave è determinata :
a) dal responsabile del trattamento se l’elaboratore a cui accedere è a servizio di uno o più uffici dello stesso settore o di più settori dipendenti da un unico responsabile del trattamento;
b) dal responsabile del centro elaborazione dati o, in caso di sua assenza o impedimento, dal Direttore Generale o, in caso di assenza di quest’ultimo, dal Segretario Generale, se l’elaboratore a cui accedere è a servizio di due o più settori dipendenti da diversi responsabili del trattamento.
Articolo 20
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
PER IL TRATTAMENTO DI DATI PERSONALI EFFETTUATO
CON ELABORATORI ACCESSIBILI MEDIANTE UNA RETE INFORMATICA
DISPONIBILE AL PUBBLICO
1. Al fine della redazione del documento programmatico sulla sicurezza di cui all’articolo 6 del DPR n. 318/99, i responsabili del trattamento, tenendo conto dell’analisi dei rischi, della distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati di cui agli articoli 22 e 24 della legge n. 675/96, sentiti i responsabili degli uffici e dei servizi nonché gli incaricati del trattamento, e previo controllo dell’efficacia delle attuali misure di sicurezza, entro il mese di aprile di ogni anno, inviano al Sindaco le proprie relazioni e le proprie proposte utili per la redazione del predetto documento programmatorio.
2. Il documento programmatorio di cui al precedente comma è approvato entro il mese di giugno di ogni anno dalla Giunta Comunale.
Articolo 21
MISURE MINIME DI SICUREZZA
PER IL TRATTAMENTO DEI DATI PERSONALI EFFETTUATO
CON STRUMENTI DIVERSI DA QUELLI ELETTRONICI
O COMUNQUE AUTOMATIZZATI
1. Al fine di garantire la riservatezza dei dati sensibili contenuti negli elenchi, registri e banche-dati tali, il responsabile del trattamento deve adottare, ai sensi del D.P.R. 28/07/1999 n. 318, distinte misure di sicurezza tali da consentire sia l’esercizio del diritto di accesso di cui alle leggi n.142/90 e n. 241/90 sia il trattamento degli stessi dati da parte degli incaricati del trattamento.
2. Compete al responsabile del trattamento adottare i provvedimenti necessari per attuare gli adempimenti previsti dagli articoli 9 e 10 del DPR n. 318/99.
3. Le misure di sicurezza devono essere adottate immediatamente con l’entrata in vigore del presente regolamento.
Articolo 22
DISPONIBILITA’ E CONSULTAZIONE DI DATI IN BLOCCO
1. E’ vietata la messa a disposizione o la consultazione di dati in blocco e la ricerca per nominativo di tutte le informazioni contenute in elenchi, registri e banche-dati, senza limiti di procedimento o settore, onde evitare che soggetti non autorizzati dalla legge per fini istituzionali possano crearsi proprie banche dati.
2. Al divieto di cui al precedente comma fanno eccezioni le fattispecie previste espressamente dalla legge.
Articolo 23
PUBBLICIZZAZIONE DEL PRESENTE REGOLAMENTO
1. Il presente regolamento deve essere posto a disposizione dei cittadini anche mediante strumenti informatici.
Articolo 24
NORMA DI RINVIO
1. Per quanto non previsto nel presente regolamento sono da osservare le disposizioni legislative e regolamentari comunitari e statali in materia di riservatezza dei dati personali nonché i provvedimento del Garante della riservatezza dei dati personali, di cui in particolare :
- legge 31 dicembre 1996, n. 675 e successive modificazioni ed integrazioni;
- decreto legislativo 8 maggio 1998, n. 135;
- decreto legislativo 11 maggio 1999, n. 135;
- decreto legislativo 30 luglio 1999, n. 281;
- decreto legislativo 30 luglio 1999, n. 282;
- decreto legislativo 6 novembre 1998, n. 389;
- decreto del Presidente della Repubblica 28 luglio 1999, n. 318;
- legge 3 novembre 2000, n. 325;
- provvedimentI del Garante n. 1 e n. 7 del 2000.
Articolo 25
ENTRATA IN VIGORE
1. Il presente regolamento entra in vigore contemporaneamente all’entrata in vigore della deliberazione con la quale è stato approvato.
|
