Home » Dettaglio Deliberazione della Giunta Regionale
Materia: Informatica
Deliberazione della Giunta Regionale n. 240 del 15 marzo 2011
Protezione dei dati personali e sicurezza delle risorse informativo-informatiche di Regione del Veneto. Approvazione di nuove norme comportamentali per gli utenti e designazione dei Responsabili del Trattamento di dati personali.
Note per la trasparenza:
E' necessario aggiornare le regole comportamentali che utenti regionali e collaboratori esterni devono osservare, per un uso corretto e sicuro delle risorse informativo-informatiche dell'Amministrazione regionale.
Inoltre, a seguito del nuovo assetto organizzativo regionale che presenta, rispetto alla trascorsa legislatura, una diversa articolazione delle strutture della Giunta Regionale, delle relative attribuzioni e degli incarichi dirigenziali, si deve procedere con riferimento ai trattamenti di dati personali effettuati dalle strutture, ad un aggiornamento dei ruoli previsti dalla normativa in materia di privacy e ad una ridefinizione dei compiti dei Responsabili del Trattamento, per assicurare il rispetto del Codice Privacy (D.lgs. 30 giungo 2003, n. 196).
Il Vice Presidente, on. Marino Zorzato, riferisce quanto segue:
Le risorse informativo-informatiche dell'Amministrazione regionale sono un bene di valore, da utilizzare e proteggere accuratamente. Esse sono composte dal patrimonio di conoscenza creato o detenuto dall'Amministrazione in formato cartaceo e digitale e dalla strumentazione di lavoro disponibile, costituita da applicazioni informatiche, postazioni di lavoro "fisse", personal computer "portatili", cellulari e "palmari", dispositivi per la comunicazione "voice over ip" o tipo "messenger", server, apparecchiature di rete e più in generale da tutto il materiale hardware e software.
In particolare, la protezione di tale patrimonio risulta articolata e complessa e richiede un'analisi globale dei sistemi tecnologici adottati, del contesto operativo, dei comportamenti delle persone e delle prassi aziendali adottate, per valutare i rischi e definire adeguate misure di sicurezza, sia dal punto di vista organizzativo che tecnico.
Tuttavia nessuna misura di sicurezza di tipo fisico, logico ovvero organizzativo può risultare efficace senza il coinvolgimento attivo ed una sensibilizzazione degli Utenti, i quali nell'uso della strumentazione messa a loro disposizione e dei dati/informazioni che impiegano per lo svolgimento della loro attività, sono tenuti ad osservare delle condotte corrette, evitando qualsiasi azione che possa pregiudicare la sicurezza delle risorse o dei dati trattati.
Si propone quindi di approvare e di disporre la più ampia diffusione al documento "Norme Comportamentali per gli Utenti nell'uso delle risorse informativo-informatiche dell'Amministrazione regionale", Allegato A, costituente parte sostanziale ed integrante del presente provvedimento, che abroga e sostituisce le precedenti "Norme Comportamentali", approvate con DGR n. 584 del 05.03.2004.
La definizione, la conoscenza e, quindi, l'osservanza delle norme comportamentali previste nel citato documento rappresentano un asse portante della sicurezza informatica regionale, sia sotto il profilo del rispetto degli obblighi previsti dalla normativa vigente in tema di privacy, sia sotto il profilo più sostanziale dell'accrescimento della consapevolezza nel personale regionale del valore dei beni messi a disposizione dall'Amministrazione. E' regola elementare, condivisa in letteratura e riscontrabile quotidianamente nell'esperienza di chi opera nel settore, che la formazione, educazione e sensibilizzazione del personale consente di ridurre significativamente i rischi insistenti su un patrimonio tecnologico o di informazioni (anche personali), con un'efficacia maggiore di quanto non produca un mero apprestamento di misure tecniche.
Le nuove "Norme Comportamentali per gli Utenti nell'uso delle risorse informativo-informatiche dell'Amministrazione regionale" di cui all'Allegato A arricchiscono il quadro regolamentare che l'Amministrazione Regionale si è data nel tempo circa l'uso delle proprie apparecchiature tecnologiche, un cui importante tassello è costituito anche dal "Disciplinare per l'utilizzo di: Posta Elettronica, Internet, Telefoni e Fax, all'interno di Regione del Veneto", approvato con DGR n. 863 del 31.03.2009, previo accordo con le rappresentanze sindacali dell'Amministrazione regionale, che resta pienamente vigente (qui citato per completezza).
Vi è una stretta connessione con quanto sopra ed il tema della protezione del patrimonio di informazioni personali detenuto dall'Amministrazione. Essa - è opportuno ricordare - ha l'obbligo ai sensi del D.Lgs. 196/2003, "Codice in materia di protezione dei dati personali" (Codice Privacy), di attivarsi a tutela dei dati personali trattati e detenuti per lo svolgimento dei propri compiti e attività istituzionali.
Il citato D.Lgs. 196/2003, prevede per i soggetti pubblici specifiche e puntuali norme volte a garantire che il trattamento dei dati personali avvenga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza ed all'identità personale di ciascuno.
Il suddetto Codice individua, inoltre, le figure che gravitano intorno ad un trattamento di dati personali a cui sono attribuiti funzioni, compiti, poteri e responsabilità differenti.
Titolare del trattamento è ai sensi dell'art. 28 del Codice Privacy la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza dei dati.
A questa figura la norma quindi attribuisce un elevato livello di poteri e responsabilità trattandosi del soggetto che decide sostanzialmente se acquisire dei dati personali e come impiegarli per lo svolgimento dell'attività istituzionale dell'ente.
Titolare dei trattamenti di dati personali effettuati dalle strutture regionali afferenti alla Giunta Regionale è quindi la Giunta Regionale.
Una seconda figura fondamentale per il trattamento dei dati è quella del Responsabile del trattamento che, a fianco del Titolare e su delega dello stesso, esplica un ruolo significativo quanto a scelte, doveri e responsabilità.
Il Codice Privacy prevede all'art. 29 la facoltà per il Titolare di designare uno (o più) Responsabili del trattamento da preporre al trattamento di dati personali.
Il Responsabile deve essere individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza e, dunque, egli deve essere in grado di agire con sufficiente autonomia gestionale, pur nell'ambito degli incarichi e competenze assegnatigli dal Titolare e nel rispetto delle prescrizioni impartite dallo stesso.
Tenuto conto della complessità e della molteplicità delle funzioni istituzionali della Regione, in cui le scelte gestionali rientrano tra le specifiche competenze dei dirigenti, chiamati a dare attuazione alla programmazione dell'organo politico ed a realizzare gli obiettivi prefissati, il ruolo centrale nel trattamento dei dati personali è rappresentato dal Responsabile del trattamento, individuabile appunto nella figura dei Dirigenti di vertice.
Si ricorda sul punto, a mero scopo conoscitivo, che fin dalla prima applicazione della normativa sulla privacy in Regione del Veneto, risalente al 1997, la Giunta Regionale (per i trattamenti di dati personali effettuati dalle strutture regionali di propria competenza) ha riconosciuto a sé stessa la Titolarità dei trattamenti, individuando i Responsabili del trattamento nei Dirigenti apicali. Da ultimo, in un passato meno remoto, tale scelta organizzativa è stata riconfermata con la DGR n. 888 del 28 marzo 2006 e la successiva DGR n. 540 dell'11 marzo 2008.
Attualmente, l'avvio della nona legislatura con un conseguente diverso assetto organizzativo delle strutture della Giunta Regionale, la ridistribuzione tra le stesse di alcune competenze, l'attribuzione di nuove competenze e l'affidamento dei nuovi incarichi dirigenziali (definito sulla base dei provvedimenti adottati nel trascorso anno ai sensi della L.R. 1/1997), rende necessario provvedere, nell'esercizio dei poteri del Titolare del trattamento/Giunta Regionale, alla nuova designazione dei Responsabili del trattamento di dati personali per le strutture della Giunta regionale ed all'approvazione di nuove ed aggiornate istruzioni, contenute nelle "Regole relative al trattamento dei dati ed alla sicurezza informatica e compiti del Responsabile del Trattamento", di cui all'Allegato B, che sostituiscono le precedenti approvate con DGR n. 540 dell'11 marzo 2008 e successivamente portate a conoscenza diretta dei Dirigenti/Responsabili.
In particolare, visti i poteri, le competenze attribuite ed in alcuni casi specifici la distribuzione periferica sul territorio, si ritiene di designare come Responsabili del trattamento, per i trattamenti di dati personali di rispettiva competenza svolti dai Servizi, Posizioni Organizzative ed Uffici di afferenza, i soggetti di seguito indicati:
- i Segretari regionali (la responsabilità non si estende ai trattamenti effettuati dalle strutture sottostanti coordinate);
- i Commissari (la responsabilità non si estende ai trattamenti effettuati dalle strutture sottostanti coordinate);
- i Dirigenti delle Direzioni Regionali;
- i Dirigenti delle Unità di Progetto;
- i Dirigenti delle Unità Complesse;
- I Dirigenti delle Unità Periferiche;
- il Capo Ufficio Stampa;
- i Dirigenti delle U.Per. dei Servizi Forestali;
- i Dirigenti dei Servizi I.R.A.
- il Responsabile della Segreteria della Giunta Regionale;
- il Responsabile del Gabinetto del Presidente;
- il Responsabile della Segreteria del Gabinetto del Presidente;
- il Coordinatore dell'Avvocatura regionale;
- il Responsabile della Segreteria particolare del Presidente della Giunta Regionale;
- il Responsabile della Segreteria particolare del Vice−presidente;
- i Responsabili delle Segreterie particolari degli Assessori.
Il relatore conclude la propria relazione e sottopone all'approvazione della Giunta regionale il seguente provvedimento.
LA GIUNTA REGIONALE
- Udito il relatore, incaricato dell'istruzione dell'argomento in questione ai sensi dell'art. 33, 2° comma, dello Statuto, il quale dà atto che la struttura competente ha attestato l'avvenuta regolare istruttoria della pratica, anche in ordine alla compatibilità con la vigente legislazione statale e regionale;
- Visto il D.Lgs. 196/2003;
- Vista la DGR n. 584 del 05 marzo 2004;
- Vista la DGR n. 888 del 28 marzo 2006;
- Vista la DGR n. 540 dell'11 marzo 2008;
- Vista la DGR n. 863 del 31 marzo 2009;
- Vista la DGR n. 2653 del 2 novembre 2010;
- Vista le DGR n. 1893/10, n. 1971/10, n. 2298/10, n. 2361/10, n. 2299/10, n. 2653/10, n. 2815/10;
- Vista la legge regionale n. 1 del 10 gennaio 1997 e la conseguente DGR n. 357/1997.
delibera
1. di approvare, per le ragioni espresse in premessa, le "Norme Comportamentali per gli Utenti nell'uso delle risorse informativo-informatiche dell'Amministrazione regionale", in Allegato A, facente parte integrante del presente provvedimento;
2. di disporre la massima diffusione del documento di cui al precedente punto 1) e l'applicazione rigorosa di quanto ivi previsto da parte degli Utenti;
3. di designare, per le ragioni espresse in premessa, quali Responsabili del Trattamento, ai sensi dell'art. 29 del D.Lgs. 196/2003, per i trattamenti di dati personali di competenza:
- i Responsabili delle Segreterie particolari degli Assessori
4. di approvare il documento "Regole relative al trattamento dei dati ed alla sicurezza informatica e compiti del Responsabile del Trattamento" in Allegato B, facente parte integrante del presente provvedimento, costituente le istruzioni del Titolare al Responsabile del trattamento.
5. di disporre l'applicazione rigorosa da parte dei Responsabili del trattamento di dati personali di quanto previsto dal documento di cui al precedente punto 4) e di ogni altra disposizione in tema di trattamento di dati personali vigente.
6. di dare atto che la presente deliberazione non comporta spesa a carico del bilancio regionale.
(seguono allegati)
Torna indietro
