Art. 1. - Oggetto
- Il presente Regolamento ha per oggetto misure procedimentali e regole di dettaglio ai fini della migliore funzionalità ed efficacia dell’attuazione del Regolamento europeo (General Data Protection Regulation del 27 aprile 2016 n. 679, di seguito indicato con “RGPD”, Regolamento Generale Protezione Dati), relativo alla protezione delle persone fisiche con riguardo ai trattamenti dei dati personali, nonché alla libera circolazione di tali dati, nel Titolare.
- Il presente Regolamento individua i soggetti mediante i quali il Titolare esercita le funzioni di titolare del trattamento dei dati personali, i loro ruoli e responsabilità.
- Le disposizioni del presente Regolamento si applicano alle articolazioni organizzative del Titolare sulla base delle linee funzionali stabilite con deliberazioni della Giunta Comunale.
Art. 2. - Titolare del trattamento
- Il Titolare, rappresentato ai fini previsti dal RGPD dal Sindaco pro tempore, è il Titolare del trattamento dei dati personali raccolti o meno in banche dati, automatizzate o cartacee (di seguito indicato con “Titolare”).
- Il Titolare nomina il Responsabile della protezione dei dati (di seguito RPD) tra i soggetti in possesso dei requisiti previsti dal RGPD e stabilisce la durata dell’incarico. Della nomina dà comunicazione al Garante per la Protezione dei Dati Personali e alle strutture interessate.
- In conformità all’assetto organizzativo del Comune di Jesi, nell’ambito delle strutture di cui all’art. 1 comma 3, i soggetti individuati per l’esercizio delle funzioni di Titolare del Trattamento dei dati personali, ciascuno per il rispettivo ambito di competenza, sono qualificabili come autorizzati al trattamento e distinguibili in due categorie:
- Soggetti Designati al trattamento (Dirigenti e P.O.)
- Soggetti Incaricati al trattamento (tutti gli altri dipendenti).
- I soggetti di cui sopra sono responsabili del rispetto dei principi applicabili al trattamento dei dati personali stabiliti dall’art. 5 RGPD: liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza.
- Inoltre, gli stessi soggetti sono tenuti a porre in essere, nell’ambito delle Aree e Servizi di competenza, ove necessario anche in collaborazione con il Servizio Sviluppo Tecnologico, misure tecniche ed organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento di dati personali è effettuato in modo conforme al RGPD.
- Le misure sono definite e messe in atto per applicare in modo efficace i principi di protezione dei dati e per agevolare l’esercizio dei diritti dell’interessato stabiliti dagli articoli 15-22 RGPD, nonché le comunicazioni e le informazioni occorrenti per il loro esercizio.
- Gli interventi necessari per l’attuazione delle misure vengono inseriti annualmente nell’ambito della programmazione operativa del DUP e nel Peg.
- Ai Dirigenti Designati sono altresì affidati i seguenti compiti:
- definire modalità, mezzi di trattamento e rispettive responsabilità in merito all’osservanza degli obblighi previsti in caso di esercizio associato di funzioni e servizi, nonché per i compiti la cui gestione è affidata al Comune di Jesi da enti ed organismi statali o regionali, mediante accordo che disciplina la contitolarità ai sensi dell’art. 26 del RGPD;
- designare gli autorizzati al trattamento dei dati personali fornendo adeguate istruzioni per il loro corretto trattamento;
- nominare e istruire quale Responsabile del trattamento i soggetti pubblici o privati affidatari di attività e servizi per conto dell’Amministrazione comunale, relativamente alle banche dati gestite da soggetti esterni al Comune di Jesi in virtù di convenzioni, di contratti, o di incarichi professionali o altri strumenti giuridici consentiti dalla legge, per la realizzazione di attività connesse alle attività istituzionali;
- notificare al Garante della protezione dei dati personali, le violazioni dei dati personali (data breach) e provvedere alla comunicazione della violazione agli interessati, ai sensi degli articoli 33 e 34 del RGPD, secondo quanto disposto all’art. 9, e darne informativa al Segretario Generale e al RPD;
- effettuare l’analisi del rischio e la valutazione di impatto del trattamento sulla protezione dei dati personali (di seguito indicata con “DPIA”) di cui all’art. 35 del RGPD, nel caso in cui un tipo di trattamento, specie se prevede in particolare l’uso di nuove tecnologie, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, tenuto conto di quanto indicato dal successivo art. 10;
- adottare misure appropriate per fornire all’interessato le informazioni indicate dall’art. 13 RGPD, qualora i dati personali siano raccolti presso lo stesso interessato o dell’art. 14 RGPD, qualora i dati personali non sono stati ottenuti presso lo stesso interessato, verificando la corretta predisposizione delle informative e curandone il costante aggiornamento, al fine di garantire l’esercizio dei diritti previsti agli artt. da 15 a 18 e da 20 a 22 del RGPD.
Art. 3. - Finalità del trattamento
- I trattamenti sono compiuti dal Comune di Jesi per le seguenti finalità:
- l’esecuzione di un compito di interesse pubblico, anche rilevante, o connesso all’esercizio di pubblici poteri, ivi compresi:
- l’esercizio delle funzioni amministrative che riguardano la popolazione ed il territorio, precipuamente nei settori organici dei servizi alla persona ed alla comunità, dell’assetto ed utilizzazione del territorio e dello sviluppo economico;
- la gestione dei servizi elettorali, di stato civile, di anagrafe, di leva militare e di statistica;
- l’esercizio di ulteriori funzioni amministrative per servizi di competenza statale affidate al Comune in base alla vigente legislazione.
- l’adempimento di un obbligo legale al quale è soggetto il Comune di Jesi. La finalità del trattamento è stabilita dalla fonte normativa che lo disciplina;
- l’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
- per specifiche finalità diverse da quelle di cui ai precedenti punti, purché l’interessato esprima il consenso al trattamento.
- l’esecuzione di un compito di interesse pubblico, anche rilevante, o connesso all’esercizio di pubblici poteri, ivi compresi:
Art. 4. - Soggetti autorizzati al trattamento
- I Dirigenti e i responsabili di Posizione Organizzativa del Comune di Jesi che trattano dati personali in relazione alle competenze attribuite e comunque esercitate in base all’assetto macro organizzativo ed alle linee funzionali approvate dalla Giunta Comunale, sono autorizzati al trattamento dei dati personali, in qualità di Designati.
- Sono autorizzati al trattamento dei dati personali i dipendenti del Comune di Jesi che trattano dati personali in relazione alle competenze dell’unità organizzativa alla quale sono stati assegnati, salvo eventuali diverse determinazioni adottate dal superiore gerarchico.
- I Designati Dirigenti/Responsabili di P.O. delle strutture in cui si articola l’organizzazione dell’Ente, sono responsabili di tutte le banche dati personali esistenti nell’articolazione organizzativa di rispettiva competenza secondo quanto stabilito dalla Procedura n. 4 “Nuovo utilizzatore – Modifica ambito e profilo di autorizzazione e chiusura di un’utenza” approvata unitamente al Regolamento per l’utilizzo degli strumenti informatici comunali con Delibera di Giunta n. 11 del 28/01/2020. Il Designato deve essere in grado di offrire garanzie sufficienti in termini di conoscenza specialistica, esperienza, capacità ed affidabilità, per mettere in atto le misure tecniche e organizzative di cui all’art. 6 rivolte a garantire che i trattamenti siano effettuati in conformità al RGPD.
- Sulla base della suddetta procedura, i dipendenti del Comune di Jesi, sono autorizzati ad accedere esclusivamente alle informazioni e ai dati necessari per l’espletamento della loro attività lavorativa.
Art. 5. - Gruppo di lavoro a supporto al RPD
Art. 6. - Responsabile del trattamento
- Il Titolare può avvalersi, per il trattamento di dati, anche sensibili, di soggetti pubblici o privati che, in qualità di responsabili del trattamento, forniscano le garanzie di cui al comma 1, stipulando atti giuridici in forma scritta, che specificano la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento.
- Gli atti che disciplinano il rapporto tra il Titolare ed il Responsabile del trattamento devono in particolare contenere quanto previsto dall’art. 28, p. 3, RGPD; tali atti possono anche basarsi su clausole contrattuali tipo adottate dal Garante per la protezione dei dati personali oppure dalla Commissione europea.
- È consentita la nomina di sub-responsabili del trattamento da parte di ciascun Responsabile del trattamento per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano il Titolare ed il Responsabile primario; le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del Responsabile attenendosi alle istruzioni loro impartite per iscritto che individuano specificatamente l’ambito del trattamento consentito. Il Responsabile risponde, anche dinanzi al Titolare, dell’operato del sub-responsabile anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l’evento dannoso non gli è in alcun modo imputabile e che ha vigilato in modo adeguato sull’operato del sub-responsabile.
- Il Responsabile del trattamento garantisce che chiunque agisca sotto la sua autorità ed abbia accesso a dati personali sia in possesso di apposita formazione ed istruzione e si sia impegnato alla riservatezza od abbia un adeguato obbligo legale di riservatezza.
- Il Responsabile del trattamento dei dati provvede, per il proprio ambito di competenza, a tutte le attività previste dalla legge e a tutti i compiti affidatigli dal Titolare, analiticamente specificati per iscritto nell’atto di designazione, ed in particolare provvede:
- alla tenuta del registro delle categorie di attività di trattamento svolte per conto del Titolare;
- all’adozione di idonee misure tecniche e organizzative adeguate a garantire la sicurezza dei trattamenti;
- ad assistere il Titolare nella conduzione della valutazione dell’impatto sulla protezione dei dati (di seguito indicata con “DPIA”) fornendo allo stesso ogni informazione di cui è in possesso;
- ad informare il Titolare, senza ingiustificato ritardo, della conoscenza di casi di violazione dei dati personali (cd. “data breach”), per la successiva notifica della violazione al Garante Privacy, nel caso che il Titolare stesso ritenga probabile che dalla violazione dei dati possano derivare rischi per i diritti e le libertà degli interessati.
Art. 7. - Responsabile della protezione dati
- Il Responsabile della protezione dei dati (RPD) è individuato nella figura unica come persona fisica o giuridica (azienda o professionista scelti tramite procedura ad evidenza pubblica).
- Il RPD può essere scelto fra i dipendenti del Comune di Jesi di qualifica non inferiore alla cat. D, purché in possesso di idonee qualità professionali, con particolare riferimento alla comprovata conoscenza specialistica della normativa e della prassi in materia di protezione dei dati, nonché alla capacità di promuovere una cultura della protezione dati all’interno dell’organizzazione comunale. Il Titolare e ciascun Designato provvedono affinché il RPD mantenga la propria conoscenza specialistica mediante adeguata, specifica e periodica formazione.
Nel caso in cui il RPD non sia un dipendente dell’Ente, l’incaricato persona fisica o giuridica è selezionato mediante procedura ad evidenza pubblica fra soggetti aventi idonee qualità professionali, che abbiano maturato approfondita conoscenza del settore e delle strutture organizzative degli enti locali, nonché delle norme e procedure amministrative agli stessi applicabili; i compiti attribuiti al RPD sono indicati in apposito contratto di servizio. Il RPD esterno è tenuto a mantenere la propria conoscenza specialistica mediante adeguata, specifica e periodica formazione, con onere di comunicazione di detto adempimento al Titolare e a ciascun Designato. - Il RPD è incaricato dei seguenti compiti:
- informare e fornire consulenza al Titolare ed a ciascun Designato nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal RGPD e dalle altre normative relative alla protezione dei dati. In tal senso il RPD può indicare al Titolare e/o a ciascun Designato i settori funzionali ai quali riservare un audit interno o esterno in tema di protezione dei dati, le attività di formazione interna per il personale che tratta dati personali, e a quali trattamenti dedicare maggiori risorse e tempo in relazione al rischio riscontrato;
- sorvegliare l’osservanza del RGPD e delle altre normative relative alla protezione dei dati, fermo restando le responsabilità del Titolare e del Designato. Fanno parte di questi compiti la raccolta di informazioni per individuare i trattamenti svolti, l’analisi e la verifica dei trattamenti in termini di loro conformità, l’attività di informazione, consulenza e indirizzo nei confronti del Titolare e del Designato;
- sorvegliare sulle attribuzioni delle responsabilità, sulle attività di sensibilizzazione, formazione e controllo attuate dal Titolare e dal Designato;
- fornire, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati (DPIA) e sorvegliarne lo svolgimento. Il Designato, in particolare, si consulta con il RPD in merito a: se condurre o meno una DPIA; quale metodologia adottare nel condurre una DPIA; se condurre la DPIA con le risorse interne ovvero esternalizzandola; quali salvaguardie applicare, comprese misure tecniche e organizzative, per attenuare i rischi delle persone interessate; se la DPIA sia stata condotta correttamente o meno e se le conclusioni raggiunte (procedere o meno con il trattamento, e quali salvaguardie applicare) siano conformi al RGPD;
- cooperare con il Garante per la protezione dei dati personali e fungere da punto di contatto per detta Autorità per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’art. 36 RGPD, ed effettuare, se del caso, consultazioni relativamente a ogni altra questione. A tali fini il nominativo del RPD è comunicato dal Titolare e/o dal Designato al Garante;
- verificare la tenuta e l’aggiornamento dei registri di cui ai successivi artt. 9 e 10.
- Il Titolare e i Designati assicurano che il RPD sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali. A tal fine:
- il RPD è invitato a partecipare alle riunioni di coordinamento dei Dirigenti/Responsabili P.O. che abbiano per oggetto questioni inerenti alla protezione dei dati personali;
- il RPD deve disporre tempestivamente di tutte le informazioni pertinenti sulle decisioni che impattano sulla protezione dei dati, in modo da poter rendere una consulenza idonea, scritta od orale;
- il parere del RPD sulle decisioni che impattano sulla protezione dei dati è obbligatorio ma non vincolante. Nel caso in cui la decisione assunta determina condotte difformi da quelle raccomandate dal RPD, è necessario motivare specificamente tale decisione;
- il RPD deve essere consultato tempestivamente qualora si verifichi una violazione dei dati o un altro incidente.
- Nello svolgimento dei compiti affidatigli il RPD deve debitamente considerare i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo. In tal senso il RPD:
- procede ad una mappatura delle aree di attività valutandone il grado di rischio in termini di protezione dei dati;
- definisce un ordine di priorità nell’attività da svolgere - ovvero un piano annuale di attività - incentrandola sulle aree di attività che presentano maggiori rischi in termini di protezione dei dati, da comunicare al Titolare ed al Designato.
- La figura di RPD è incompatibile con chi determina le finalità od i mezzi del trattamento; in particolare, risultano con la stessa incompatibili:
- il Responsabile per la prevenzione della corruzione e per la trasparenza;
- il Responsabile del trattamento;
- qualunque incarico o funzione che comporta la determinazione di finalità o mezzi del trattamento.
- Il Titolare e i Designati forniscono al RPD le risorse necessarie per assolvere i compiti attribuiti e garantiscono l’accesso ai dati personali ed ai trattamenti. In particolare, è assicurato al RPD:
- supporto attivo per lo svolgimento dei compiti da parte dei Dirigenti/Responsabili P.O. e della Giunta comunale, anche considerando l’attuazione delle attività necessarie per la protezione dati nell’ambito della programmazione operativa (DUP), di bilancio, di Peg e di Piano della performance;
- tempo sufficiente per l’espletamento dei compiti affidati al RPD;
- supporto adeguato in termini di infrastrutture (sede, attrezzature, strumentazione) e, ove opportuno, personale, tramite il gruppo di lavoro costituito secondo quanto previsto dal precedente art. 5;
- comunicazione ufficiale della nomina a tutto il personale, in modo da garantire che la sua presenza e le sue funzioni siano note all’interno dell’Ente;
- accesso garantito ai settori funzionali dell’Ente così da fornirgli supporto, informazioni e input essenziali.
- Il RPD opera in posizione di autonomia nello svolgimento dei compiti allo stesso attribuiti; in particolare, non deve ricevere istruzioni in merito al loro svolgimento né sull’interpretazione da dare a una specifica questione attinente alla normativa in materia di protezione dei dati.
- Ferma restando l’indipendenza nello svolgimento di detti compiti, il RPD riferisce direttamente al Titolare - Sindaco o suo delegato - od al Designato.
- Nel caso in cui siano rilevate dal RPD o sottoposte alla sua attenzione decisioni incompatibili con il RGPD e con le indicazioni fornite dallo stesso RPD, quest’ultimo è tenuto a manifestare il proprio dissenso, comunicandolo al Titolare ed al Designato.
- Il RPD non può essere rimosso o penalizzato dal Titolare e dal Designato per l’adempimento dei propri compiti.
Art. 8. - Sicurezza del trattamento
- L’adozione di adeguate misure di sicurezza è lo strumento fondamentale per garantire la tutela dei diritti e delle libertà delle persone fisiche. Il livello di sicurezza è valutato tenuto conto dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. L’efficace protezione dei dati personali è perseguita sia al momento di determinare i mezzi del trattamento (fase progettuale) sia all’atto del trattamento.
- Il Titolare mette in atto misure tecniche ed organizzative idonee a garantire un livello di sicurezza adeguato al rischio tenendo conto dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
- Le misure tecniche ed organizzative di sicurezza da mettere in atto per ridurre i rischi del trattamento ricomprendono: la pseudonimizzazione, la minimizzazione, la cifratura dei dati personali, la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali, la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico, una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
- Costituiscono misure tecniche ed organizzative che possono essere adottate dal Servizio cui è preposto ciascun Designato:
- sistemi di autenticazione; sistemi di autorizzazione; sistemi di protezione (antivirus; firewall; antintrusione; altro);
- misure antincendio; sistemi di rilevazione di intrusione; sistemi di sorveglianza; sistemi di protezione con videosorveglianza; registrazione accessi; porte, armadi e contenitori dotati di serrature e ignifughi; sistemi di copiatura e conservazione di archivi elettronici;
- altre misure per ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico.
- La conformità del trattamento dei dati al RGDP in materia di protezione dei dati personali è dimostrata attraverso l’adozione delle misure di sicurezza o l’adesione a codici di condotta approvati o ad un meccanismo di certificazione approvato.
- Il Titolare/Designati si obbligano ad impartire adeguate istruzioni sul rispetto delle predette misure a chiunque agisca per loro conto ed abbia accesso a dati personali.
- I nominativi ed i dati di contatto del Titolare, e del Responsabile della protezione dati sono pubblicati sul sito istituzionale del Comune di Jesi, sezione Amministrazione trasparente, oltre che nella sezione “Privacy” costituita.
- Restano in vigore le misure di sicurezza attualmente previste per i trattamenti di dati sensibili per finalità di rilevante interesse pubblico nel rispetto degli specifici regolamenti attuativi (ex artt. 20 e 22, D.lgs. n. 196/2003).
Art. 9. - Registro delle attività di trattamento
- Il Registro delle attività di trattamento svolte dal Titolare o dal Designato reca almeno le seguenti informazioni:
- il nome ed i dati di contatto del Comune, del Sindaco e/o del suo Delegato ai sensi del precedente art.2, eventualmente del Contitolare del trattamento, del RPD;
- le finalità del trattamento;
- la sintetica descrizione delle categorie di interessati, nonché le categorie di dati personali;
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
- l’eventuale trasferimento di dati personali verso un paese terzo od una organizzazione internazionale;
- ove stabiliti, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- il richiamo alle misure di sicurezza tecniche ed organizzative del trattamento adottate, come da precedente art.6.
- Il Registro è approvato con Delibera di Giunta ed adottato con Decreto Sindacale.
- Il Titolare per il tramite di ciascun soggetto dallo stesso designato ai sensi del precedente art. 2, conserva presso gli uffici della struttura organizzativa del Comune di Jesi in forma telematica/cartacea, il Registro.
- Ciascun Designato ha la responsabilità della regolare tenuta e aggiornamento del Registro delle attività di trattamento con riferimento agli ambiti di competenza.
Art. 10. - Valutazioni d’impatto sulla protezione dei dati
- Nel caso in cui un tipo di trattamento, specie se prevede in particolare l’uso di nuove tecnologie, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare, prima di effettuare il trattamento, deve attuare una valutazione dell’impatto del medesimo trattamento (DPIA) ai sensi dell’art. 35 RGPD, considerati la natura, l’oggetto, il contesto e le finalità dello stesso trattamento. La DPIA è una procedura che permette di realizzare e dimostrare la conformità alle norme del trattamento di cui trattasi.
- Ai fini della decisione di effettuare o meno la DPIA si tiene conto degli elenchi delle tipologie di trattamento soggetti o non soggetti a valutazione come redatti e pubblicati dal Garante Privacy ai sensi dell’art. 35, pp. 4-6, RGPD.
- La DPIA è effettuata in presenza di un rischio elevato per i diritti e le libertà delle persone fisiche. Fermo restando quanto indicato dall’art. 35, p. 3, RGPD, i criteri in base ai quali sono evidenziati i trattamenti determinanti un rischio intrinsecamente elevato, sono i seguenti:
- trattamenti valutativi, compresa la profilazione e attività predittive, concernenti aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato;
- decisioni automatizzate che producono significativi effetti giuridici o di analoga natura, ossia trattamenti finalizzati ad assumere decisioni su interessati che producano effetti giuridici sulla persona fisica ovvero che incidono in modo analogo significativamente su dette persone fisiche;
- monitoraggio sistematico, ossia trattamenti utilizzati per osservare, monitorare o controllare gli interessati, compresa la raccolta di dati attraverso reti o la sorveglianza sistematica di un’area accessibile al pubblico;
- trattamenti di dati sensibili o dati di natura estremamente personale, ossia le categorie particolari di dati personali di cui all’art. 9, RGPD;
- trattamenti di dati su larga scala, tenendo conto: del numero di soggetti interessati dal trattamento, in termini numerici o di percentuale rispetto alla popolazione di riferimento; volume dei dati e/o ambito delle diverse tipologie di dati oggetto di trattamento; durata o persistenza dell’attività di trattamento; ambito geografico dell’attività di trattamento;
- combinazione o raffronto di insiemi di dati, secondo modalità che esulano dalle ragionevoli aspettative dell’interessato;
- dati relativi a interessati vulnerabili, ossia ogni interessato particolarmente vulnerabile e meritevole di specifica tutela per il quale si possa identificare una situazione di disequilibrio nel rapporto con il Titolare, come i dipendenti dell’Ente, soggetti con patologie psichiatriche, richiedenti asilo, pazienti, anziani e minori;
- utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative;
- tutti quei trattamenti che, di per sé, impediscono agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto.
Nel caso in cui un trattamento soddisfi almeno due dei criteri sopra indicati occorre, in via generale, condurre una DPIA, salvo che il Titolare ritenga motivatamente che non può presentare un rischio elevato; il Titolare può motivatamente ritenere che per un trattamento che soddisfa solo uno dei criteri di cui sopra occorra comunque la conduzione di una DPIA.
- Il Titolare garantisce l’effettuazione della DPIA ed è responsabile della stessa. Il Titolare può affidare la conduzione materiale della DPIA ad un altro soggetto, interno o esterno al Comune di Jesi. Il Titolare deve consultarsi con il RPD anche per assumere la decisione di effettuare o meno la DPIA; tale consultazione e le conseguenti decisioni assunte dal Titolare devono essere documentate nell’ambito della DPIA. Il RPD monitora lo svolgimento della DPIA. Ciascun Designato deve assistere il Titolare nella conduzione della DPIA fornendo ogni informazione necessaria. Il responsabile della sicurezza dei sistemi informativi, se nominato, e/o l’ufficio competente per detti sistemi, forniscono supporto al Titolare per lo svolgimento della DPIA.
- Il RPD può proporre lo svolgimento di una DPIA in rapporto a uno specifico trattamento, collaborando al fine di mettere a punto la relativa metodologia, definire la qualità del processo di valutazione del rischio e l’accettabilità o meno del livello di rischio residuale. Il responsabile della sicurezza dei sistemi informativi, se nominato, e/o l’ufficio competente per detti sistemi, possono proporre di condurre una DPIA in relazione a uno specifico trattamento, con riguardo alle esigenze di sicurezza od operative.
- La DPIA non è necessaria nei casi seguenti:
- se il trattamento non può comportare un rischio elevato per i diritti e le libertà di persone fisiche ai sensi dell’art. 35, p. 1, RGDP;
- se la natura, l’ambito, il contesto e le finalità del trattamento sono simili a quelli di un trattamento per il quale è già stata condotta una DPIA. In questo caso si possono utilizzare i risultati della DPIA svolta per l’analogo trattamento;
- se un trattamento trova la propria base legale nella vigente legislazione che disciplina lo specifico trattamento, ed è già stata condotta una DPIA all’atto della definizione della base giuridica suddetta.
Non è necessario condurre una DPIA per quei trattamenti che siano già stati oggetto di verifica preliminare da parte del Garante della Privacy o da un RDP e che proseguano con le stesse modalità oggetto di tale verifica. Le autorizzazioni del Garante Privacy basate sulla direttiva 95/46/CE rimangono in vigore fino a quando non vengono modificate, sostituite od abrogate.
- La DPIA è condotta prima di dar luogo al trattamento, attraverso i seguenti processi:
- descrizione sistematica del contesto, dei trattamenti previsti, delle finalità del trattamento. Sono altresì indicati: i dati personali oggetto del trattamento, i destinatari e il periodo previsto di conservazione dei dati stessi; una descrizione funzionale del trattamento; gli strumenti coinvolti nel trattamento dei dati personali (hardware, software, reti, persone, supporti cartacei o canali di trasmissione cartacei);
- valutazione della necessità e proporzionalità dei trattamenti, sulla base:
- delle finalità specifiche, esplicite e legittime;
- della liceità del trattamento;
- dei dati adeguati, pertinenti e limitati a quanto necessario;
- del periodo limitato di conservazione;
- delle informazioni fornite agli interessati;
- del diritto di accesso e portabilità dei dati;
- del diritto di rettifica e cancellazione, di opposizione e limitazione del trattamento;
- dei rapporti con i responsabili del trattamento;
- delle garanzie per i trasferimenti internazionali di dati;
- consultazione preventiva del Garante privacy;
- valutazione dei rischi per i diritti e le libertà degli interessati, valutando la particolare probabilità e gravità dei rischi rilevati. Sono determinati l’origine, la natura, la particolarità e la gravità dei rischi o, in modo più specifico, di ogni singolo rischio (accesso illegittimo, modifiche indesiderate, indisponibilità dei dati) dal punto di vista degli interessati;
- individuazione delle misure previste per affrontare ed attenuare i rischi, assicurare la protezione dei dati personali e dimostrare la conformità del trattamento con il RGPD, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
- Il Titolare deve consultare il Garante Privacy prima di procedere al trattamento se le risultanze della DPIA condotta indicano l’esistenza di un rischio residuale elevato. Il Titolare consulta il Garante Privacy anche nei casi in cui la vigente legislazione stabilisce l’obbligo di consultare e/o ottenere la previa autorizzazione della medesima autorità, per trattamenti svolti per l’esecuzione di compiti di interesse pubblico, fra cui i trattamenti connessi alla protezione sociale ed alla sanità pubblica.
- La DPIA deve essere effettuata - con eventuale riesame delle valutazioni condotte - anche per i trattamenti in corso che possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, nel caso in cui siano intervenute variazioni dei rischi originari tenuto conto della natura, dell’ambito, del contesto e delle finalità del medesimo trattamento.
Art. 11. - Violazione dei dati personali
- Per violazione dei dati personali (in seguito “data breach”) si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso non autorizzato ai dati personali trasmessi, conservati o comunque trattati dal Comune di Jesi.
- Ogni dipendente che venga a conoscenza di una violazione dei dati personali è tenuto a segnalarlo, per il tramite del proprio superiore gerarchico, al soggetto che esercita le funzioni di titolare del trattamento, che deve provvedere tempestivamente ai sensi del presente articolo.
- Il Designato informa il soggetto che esercita le funzioni di titolare del trattamento tempestivamente dopo essere venuto a conoscenza della violazione.
- Il Titolare, ove ritenga probabile che dalla violazione dei dati possano derivare rischi per i diritti e le libertà degli interessati, provvede alla notifica della violazione al Garante Privacy. La notifica dovrà avvenire entro 72 ore e comunque senza ingiustificato ritardo.
- Le segnalazioni e le notifiche dei casi di violazione dei dati personali sono comunicati da chi ne è venuto a conoscenza e/o dal Titolare del trattamento di cui trattasi al Segretario generale e al RPD.
- I principali rischi per i diritti e le libertà degli interessati conseguenti ad una violazione, in conformità al considerando 75 del RGPD, sono i seguenti:
- danni fisici, materiali o immateriali alle persone fisiche;
- perdita del controllo dei dati personali;
- limitazione dei diritti, discriminazione;
- furto o usurpazione d’identità;
- perdite finanziarie, danno economico o sociale;
- decifratura non autorizzata della pseudonimizzazione;
- pregiudizio alla reputazione;
- perdita di riservatezza dei dati personali protetti da segreto professionale (sanitari, giudiziari).
- Se il Titolare ritiene che il rischio per i diritti e le libertà degli interessati conseguente alla violazione rilevata è elevato, allora deve informare questi ultimi, senza ingiustificato ritardo, con un linguaggio semplice e chiaro al fine di fare comprendere loro la natura della violazione dei dati personali verificatesi. I rischi per i diritti e le libertà degli interessati possono essere considerati “elevati” quando la violazione può, a titolo di esempio:
- coinvolgere un rilevante quantitativo di dati personali e/o di soggetti interessati;
- riguardare categorie particolari di dati personali;
- comprendere dati che possono accrescere ulteriormente i potenziali rischi (ad esempio dati di localizzazione, finanziari, relativi alle abitudini e preferenze);
- comportare rischi imminenti e con un’elevata probabilità di accadimento (ad esempio rischio di perdita finanziaria in caso di furto di dati relativi a carte di credito);
- impattare su soggetti che possono essere considerati vulnerabili per le loro condizioni (ad esempio, utenti deboli, minori, soggetti indagati).
- La notifica deve avere il contenuto minimo previsto dall’art. 33 RGPD, ed anche la comunicazione all’interessato deve contenere almeno le informazioni e le misure di cui al citato art. 33.
- Il Titolare deve opportunamente documentare le violazioni di dati personali subite, anche se non comunicate alle autorità di controllo, nonché le circostanze ad esse relative, le conseguenze e i provvedimenti adottati o che intende adottare per porvi rimedio. Tale documentazione deve essere conservata con la massima cura e diligenza in quanto può essere richiesta dal Garante Privacy al fine di verificare il rispetto delle disposizioni del RGPD.
Art. 12. - Formazione del personale
- L’area risorse umane su indicazioni del Segretario Generale e sentito il RPD assicura la programmazione e l’organizzazione delle attività formative del personale per la corretta applicazione delle disposizioni in materia di trattamento dei dati personali.
Art. 13. - Regole di comportamento con riguardo alla protezione dei dati personali
- Trattare un dato personale vuol dire compiere qualunque operazione o complesso di operazioni con o senza l’ausilio di strumenti elettronici. Il trattamento di un dato personale, per essere lecito, corretto e trasparente, deve sempre avvenire secondo i principi generali a tutela della privacy, che possono essere considerati vincoli inscindibili al trattamento dei dati personali.
- Si stabiliscono, pertanto, le regole relative alla:
- gestione dei locali e delle risorse fisiche
- Tutti i locali e tutte le risorse fisiche del Comune di Jesi devono essere utilizzati e custoditi con la massima diligenza al fine di garantire un’efficiente conduzione dell’attività lavorativa ed un elevato livello di sicurezza delle informazioni.
- L’accesso agli uffici, alle aree riservate ed agli archivi cartacei è permesso agli utenti autorizzati muniti di badge personale, in base a precise e motivate esigenze lavorative.
- I visitatori e gli ospiti di vario tipo potranno avere accesso agli uffici comunali esclusivamente dietro autorizzazione dell’addetto alla portineria.
- L’accesso ai locali del Data Center è permesso esclusivamente a personale autorizzato munito della relativa chiave ed, in via eccezionale, agli addetti al controllo e alla manutenzione dello stesso opportunamente accompagnati dal personale interno competente.
- gestione della postazione di lavoro e dei dati in generale
- L’utilizzo della postazione di lavoro e il conseguente accesso ai documenti, atti e archivi è consentito nei limiti della propria funzione e dei propri incarichi.
- La propria scrivania deve essere mantenuta in ordine, verificando di non lasciare documenti e atti riservati disponibili all’accesso di terzi n momenti di pausa, terminata la giornata di lavoro e/o in periodi di assenza.
- I documenti cartacei necessari per lo svolgimento delle mansioni lavorative devono essere custoditi in armadi o cassettiere. I documenti devono essere riposti correttamente durante i periodi di temporanea assenza ed al termine dell’attività lavorativa negli appositi archivi.
- I documenti e gli atti contenenti dati particolari devono essere custoditi in armadi chiusi a chiave.
- L’eliminazione fisica di ogni documento cartaceo o supporto informatico contenente dati e informazioni istituzionali e/o personali deve essere effettuata solo utilizzando gli appositi strumenti e nel rispetto di quanto previsto nel Manuale di Gestione documentale dell’Ente.
- Si raccomanda di non lasciare documenti incustoditi presso i dispositivi di stampa e di distruggere personalmente le stampe quando non servono più.
- Ogni utente è responsabile dei dati e delle informazioni delle quali entra in possesso per lo svolgimento della sua attività lavorativa. Deve quindi adottare ogni idonea misura di sicurezza al fine di tutelarne la riservatezza, la sicurezza, l’integrità e il corretto utilizzo.
- I dati e le informazioni possono essere comunicati a terze parti esclusivamente nell’ambito della propria funzione e secondo le modalità connesse alla propria attività lavorativa.
- E’ vietata la comunicazione di dati e di informazioni verso terzi che possano arrecare danno all’immagine, alla reputazione, alla produttività, alla proprietà intellettuale e alla efficacia ed efficienza dell’attività dell’Ente o che possano violare i vincoli contrattuali e di legge connessi al rapporto di lavoro.
- È assolutamente vietata la divulgazione a terzi di informazioni riservate, confidenziali o comunque di proprietà del Titolare. In caso di violazione, il Titolare si riserva di avviare i relativi provvedimenti disciplinari, nonché le azioni civili e penali consentite.
- La diffusione illecita di dati e informazioni potrebbe configurare, oltre alla violazione del presente Regolamento, la violazione di norme con conseguenze sia civili che penali a carico del responsabile dell’illecita diffusione, nonché come violazione della normativa che regola il rapporto di lavoro.
- In caso di furto o smarrimento di fascicoli o atti contenenti dati personali l’utente deve informare immediatamente per iscritto il proprio Responsabile di Servizio ed il Dirigente. Dovrà altresì informare il Responsabile Protezione Dati.
- degli strumenti informatici
- Per la gestione degli strumenti informatici si fa riferimento a quanto stabilito dal Regolamento per l’utilizzo degli strumenti informatici e dalle singole procedure IT ad esso allegate.
- gestione dei locali e delle risorse fisiche
Art. 14. - Rinvio
- Per tutto quanto non espressamente disciplinato con le presenti disposizioni, si applicano le disposizioni del RGPD e tutte le sue norme attuative vigenti.