Home » Dettaglio Deliberazione della Giunta Regionale
Materia: Informatica
Deliberazione della Giunta Regionale n. 199 del 27 febbraio 2014
Protezione dei dati personali e sicurezza delle risorse informativo-informatiche di Regione del Veneto. Designazione dei Responsabili del Trattamento di dati personali e approvazione di nuove norme comportamentali per gli Utenti.
Nota per la trasparenza:
A seguito del nuovo assetto organizzativo regionale che presenta una diversa articolazione delle strutture della Giunta Regionale, delle relative attribuzioni e degli incarichi dirigenziali, si deve procedere con riferimento ai trattamenti di dati personali effettuati dalle strutture, ad un aggiornamento dei ruoli previsti dalla normativa in materia di privacy e ad una ridefinizione dei compiti dei Responsabili del Trattamento, per assicurare il rispetto del Codice Privacy (D.Lgs. 30 giungo 2003, n. 196). E' necessario, inoltre, aggiornare le regole comportamentali che utenti regionali e collaboratori esterni devono osservare, per un uso corretto e sicuro delle risorse informativo-informatiche dell'Amministrazione regionale.
Il Vicepresidente, On. Marino Zorzato, riferisce quanto segue.
Il D.Lgs. 196/2003, "Codice in materia di protezione dei dati personali" (Codice Privacy), impone all'Amministrazione Regionale una serie di obblighi a tutela dei dati personali trattati e detenuti per lo svolgimento dei propri compiti e attività istituzionali.
Tra i citati obblighi vi è l'individuazione delle figure (Titolare, Responsabile, Incaricato) che gravitano intorno ad un trattamento di dati personali a cui sono attribuiti funzioni, compiti, poteri e responsabilità differenti.
Titolare del trattamento è, ai sensi dell'art. 28 del Codice Privacy, la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza dei dati. A questa figura la norma attribuisce, un livello elevato di poteri e di responsabilità dal momento che si tratta del soggetto che decide sostanzialmente se acquisire dati personali e come impiegarli per lo svolgimento dell'attività istituzionale dell'Ente. Titolare dei trattamenti di dati personali effettuati dalle strutture regionali afferenti alla Giunta Regionale è, quindi, la Giunta Regionale.
La seconda figura importante nel trattamento di dati è quella del Responsabile del trattamento che, a fianco del Titolare e su delega dello stesso, esplica un ruolo significativo quanto a scelte, doveri e responsabilità. Il Codice Privacy prevede, all'art. 29, la facoltà per il Titolare di designare uno o più Responsabili del trattamento, da preporre al trattamento di dati personali medesimi. Il Responsabile deve essere individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza e, dunque, egli deve essere in grado di agire con sufficiente autonomia gestionale, pur nell'ambito degli incarichi e delle competenze assegnatigli dal Titolare e nel rispetto delle prescrizioni impartite dallo stesso.
Tenuto conto della complessità e della molteplicità delle funzioni istituzionali dell'Amministrazione Regionale, in cui le scelte di gestione finanziaria, tecnica e amministrativa rientrano tra le specifiche competenze dei direttori, chiamati a dare attuazione alla programmazione dell'organo politico ed a realizzare gli obiettivi prefissati, il ruolo centrale nel trattamento dei dati personali è rappresentato dal Responsabile del trattamento, individuabile appunto nella figura dei Direttori.
Si ricorda sul punto, a mero scopo conoscitivo, che fin dalla prima applicazione della normativa sulla privacy in Regione del Veneto, risalente al 1997, la Giunta Regionale (per i trattamenti di dati personali effettuati dalle strutture regionali di propria competenza) ha riconosciuto a sé stessa la Titolarità dei trattamenti, individuando i Responsabili del trattamento nei dirigenti apicali. Da ultimo, in un passato meno remoto, tale scelta organizzativa è stata riconfermata con le DGR:
Il nuovo assetto organizzativo delle strutture della Giunta regionale, adottato in attuazione della L.R. n. 54 del 31 dicembre 2012 e del Regolamento Regionale n. 4 del 3 dicembre 2013, rende necessario provvedere, nell'esercizio dei poteri del Titolare del trattamento/Giunta Regionale, alla nuova designazione dei Responsabili del trattamento di dati personali per le strutture della Giunta regionale ed all'approvazione di nuove ed aggiornate istruzioni circa i "Compiti del Responsabile del Trattamento di dati personali", di cui all'Allegato A, che sostituiscono le precedenti approvate con DGR n. 240 del 15 marzo 2011.
In particolare si ritiene di designare come Responsabili del trattamento per i trattamenti di dati personali di rispettiva competenza, con l'esclusione della responsabilità per i trattamenti effettuati dalle strutture sottostanti coordinate, i soggetti di seguito indicati:
a) il Segretario Generale della Programmazione;
b) il Segretario della Giunta regionale;
c) il Direttore della Presidenza;
d) i Direttori d'Area;
e) i Direttori di Dipartimento;
f) i Direttori di Sezione;
g) i Dirigenti di Settore A (livello più elevato);
h) i Responsabili della Segreteria particolare del Presidente, della Segreteria particolare del Vice-presidente, delle Segreterie particolari degli Assessori e della Segreteria del Direttore della Presidenza;
Essendo tra i compiti del responsabile del trattamento garantire il rispetto delle disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza, si rende necessario altresì aggiornare le regole comportamentali, approvate con la citata DGR n. 240/2011, che Utenti regionali e collaboratori esterni devono osservare, per un uso corretto e sicuro delle risorse informativo-informatiche dell'Amministrazione regionale.
Le risorse informativo-informatiche dell'Amministrazione regionale, infatti, sono un bene di valore, da utilizzare e proteggere accuratamente. Esse sono composte dal patrimonio di conoscenza creato o detenuto dall'Amministrazione in formato digitale e dalla strumentazione di lavoro disponibile, costituita da applicazioni informatiche, postazioni di lavoro "fisse", personal computer "portatili", cellulari e "smartphone", dispositivi per la comunicazione "voice over ip" o tipo "messenger", server, apparecchiature di rete e più in generale da tutto il materiale hardware e software.
In particolare, la protezione di tale patrimonio risulta articolata e complessa e richiede un'analisi globale dei sistemi tecnologici adottati, del contesto operativo, dei comportamenti delle persone e delle prassi aziendali adottate, per valutare i rischi e definire adeguate misure di sicurezza, sia dal punto di vista organizzativo che tecnico. Tuttavia nessuna misura di sicurezza di tipo fisico, logico ovvero organizzativo può risultare efficace senza il coinvolgimento attivo ed una sensibilizzazione degli Utenti, i quali nell'uso della strumentazione messa a loro disposizione e dei dati/informazioni che impiegano per lo svolgimento della loro attività, sono tenuti ad osservare delle condotte corrette, evitando qualsiasi azione che possa pregiudicare la sicurezza delle risorse o dei dati trattati.
Si propone quindi di approvare e di disporre la più ampia diffusione al documento "Regole Comportamentali per gli Utenti nell'uso delle risorse informative dell'Amministrazione regionale", Allegato B, costituente parte sostanziale ed integrante del presente provvedimento, che abroga e sostituisce le precedenti "Norme Comportamentali", approvate con DGR n. 240/2011.
La definizione, la conoscenza e, quindi, l'osservanza delle norme comportamentali previste nel citato documento rappresentano un asse portante della sicurezza informatica regionale, sia sotto il profilo del rispetto degli obblighi previsti dalla normativa vigente in tema di privacy, sia sotto il profilo più sostanziale dell'accrescimento della consapevolezza nel personale regionale del valore dei beni messi a disposizione dall'Amministrazione. E' regola elementare, condivisa in letteratura e riscontrabile quotidianamente
nell'esperienza di chi opera nel settore, che la formazione, educazione e sensibilizzazione del personale consente di ridurre significativamente i rischi insistenti su un patrimonio tecnologico o di informazioni (anche personali), con un'efficacia maggiore di quanto non produca un mero apprestamento di misure fisiche e logiche.
Le nuove "Regole Comportamentali per gli Utenti nell'uso delle risorse informative dell'Amministrazione regionale", di cui all'Allegato B, arricchiscono il quadro regolamentare che l'Amministrazione Regionale si è data nel tempo circa l'uso delle proprie apparecchiature tecnologiche, il cui più importante tassello è costituito dal "Disciplinare per l'utilizzo di: Posta Elettronica, Internet, Telefoni e Fax, all'interno di Regione del Veneto", approvato con DGR n. 863 del 31.03.2009, previo accordo con le rappresentanze sindacali dell'Amministrazione regionale, che resta pienamente vigente (qui citato per completezza).
LA GIUNTA REGIONALE
Udito il relatore, il quale dà atto che la struttura proponente ha attestato l'avvenuta regolare istruttoria della pratica anche in ordine alla compatibilità con la vigente legislazione statale e regionale;
- RICHIAMATE le DGR n. 584 del 05.03.2004, n. 888 del 28.03.2006, n. 540 dell'11.03.2008 e n. 863 del 31.03.2009;
- RICHIAMATE le DGR n. 2139 del 25 novembre 2013, n. 2140 del 25 novembre 2013
- VISTO il D.Lgs. 196 del 30 giugno 2003;
- VISTA la DGR n. 240 del 15 marzo 2011;
- VISTA la L.R. n. 54 del 31 dicembre 2012;
- VISTO il Regolamento Regionale n. 4 del 3 dicembre 2013;
delibera
1) di designare, per le ragioni espresse in premessa, quali Responsabili del Trattamento, ai sensi dell'art. 29 del D.Lgs. 196/2003, per i trattamenti di dati personali di competenza e con l'esclusione della responsabilità per i trattamenti effettuati dalle strutture sottostanti coordinate:
2) di approvare, per le ragioni espresse in premessa, il documento "Compiti del Responsabile del trattamento di dati personali" in Allegato A, facente parte integrante del presente provvedimento, costituente le istruzioni del Titolare al Responsabile del trattamento;
3) di approvare, per le ragioni espresse in premessa, il documento "Regole Comportamentali per gli Utenti nell'uso delle risorse informative dell'Amministrazione regionale" in Allegato B, facente parte integrante del presente provvedimento, alle quali dovrà essere data la più ampia diffusione;
4) di abrogare la DGR n. 240 del 15 marzo 2011 ed i suoi allegati;
5) di disporre l'applicazione rigorosa da parte dei Responsabili del trattamento di dati personali di quanto previsto dal documento di cui al precedente punto 2) e di ogni altra disposizione in tema di trattamento di dati personali vigente.
6) di disporre la massima diffusione e l'applicazione rigorosa da parte degli Utenti di quanto previsto dal documento di cui al precedente punto 3);
7) di dare atto che la presente deliberazione non comporta spesa a carico del bilancio regionale.
8) di pubblicare il presente atto nel Bollettino Ufficiale della Regione.
(seguono allegati)
Torna indietro
