Bur n. 106 del 08 novembre 2016

Materia: Organizzazione amministrativa e personale regionale

Deliberazione della Giunta Regionale n. 1677 del 26 ottobre 2016

Individuazione dei Responsabili del trattamento dei dati personali e approvazione di norme comportamentali per gli Utenti, con riguardo alla protezione dei dati personali e alla sicurezza delle risorse ICT (Information and Communications Technology) dell'Amministrazione regionale, ai sensi del Decreto Legislativo 30 giugno 2003 n. 196.

Il Vice Presidente Gianluca Forcolin riferisce quanto segue.

La protezione dei dati personali ha assunto negli ultimi anni un’importanza via via crescente e si applica alle persone fisiche, a prescindere dalla loro nazionalità o dal luogo di residenza, e non alle persone giuridiche.
Lo sviluppo e la diffusione delle nuove tecnologie hanno cambiato in profondità il modo di comunicare e hanno creato interconnessioni un tempo inimmaginabili. Una delle sfide più importanti che discende da questi cambiamenti è il rapporto tra tecnologia, nuovi diritti e strategie di prevenzione che deve essere ripensato e adattato al contesto normativo.

Il Decreto Legislativo 30 giugno 2003 n. 196 (Codice Privacy) impone all’Amministrazione Regionale una serie di obblighi a tutela dei dati personali, trattati e detenuti per lo svolgimento dei compiti e delle attività istituzionali.

Tra i citati obblighi vi è l’individuazione delle figure che gravitano intorno ad un trattamento di dati personali ed alle quali sono attribuiti compiti, poteri, funzioni e responsabilità differenti:

1. Titolare,
2. Responsabile,
3. Incaricato (persona autorizzata al trattamento).

La prima figura nella predetta “organizzazione privacy” è quella del Titolare del trattamento.

Ai sensi dell’art. 28 del Codice Privacy il Titolare è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza dei dati.

A questa figura la norma attribuisce un livello elevato di poteri e di responsabilità dal momento che si tratta del soggetto che decide sostanzialmente se acquisire dati personali e come impiegarli per lo svolgimento dell’attività istituzionale dell’Ente.

Il Titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente alla normativa vigente. Dette misure sono riesaminate e aggiornate qualora necessario.

Il Titolare dei trattamenti di dati personali effettuati dalle strutture regionali afferenti alla Giunta Regionale è la Giunta Regionale.

La seconda figura importante nel trattamento di dati è quella del Responsabile “interno” del trattamento che, a fianco del Titolare e su delega dello stesso, esplica un ruolo significativo quanto a scelte, doveri e responsabilità.

Il Codice Privacy prevede, all’art. 29, la facoltà per il Titolare di individuare uno o più Responsabili del trattamento, da preporre al trattamento di dati personali medesimi.

Il Responsabile deve essere individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza e, dunque, egli deve essere in grado di agire con sufficiente autonomia gestionale, pur nell’ambito degli incarichi e delle competenze assegnatigli dal Titolare e nel rispetto delle prescrizioni impartite dallo stesso.

Tenuto conto della complessità e della molteplicità delle funzioni istituzionali dell’Amministrazione Regionale, in cui le scelte di gestione finanziaria, tecnica e amministrativa rientrano tra le specifiche competenze dei Direttori, chiamati a dare attuazione alla programmazione dell’organo politico ed a realizzare gli obiettivi prefissati, il ruolo centrale nel trattamento dei dati personali rappresentato dal Responsabile del trattamento, è individuabile appunto nella figura dei Direttori.

Si ricorda sul punto, a mero scopo conoscitivo, che fin dalla prima applicazione della normativa sulla privacy in Regione del Veneto, risalente al 1997, la Giunta Regionale, riconoscendo a sé stessa la Titolarità dei trattamenti effettuati dalle strutture regionali di propria competenza, ha individuato i Responsabili del trattamento nei Dirigenti apicali. Da ultimo, in un passato meno remoto, tale scelta organizzativa è stata confermata con le DGR:

• n. 584 del 05 marzo 2004;
• n. 888 del 28 marzo 2006;
• n. 540 dell’11 marzo 2008;
• n. 240 del 15 marzo 2011;
• n. 199 del 27 febbraio 2014.

Il nuovo assetto organizzativo delle strutture della Giunta regionale, adottato in attuazione della L.R. n. 54 del 31 dicembre 2012, rende necessario provvedere, nell’esercizio dei poteri del Titolare del trattamento-Giunta Regionale, alla nuova individuazione dei Responsabili del trattamento di dati personali per le strutture della Giunta regionale ed all’approvazione di nuove istruzioni circa i “Compiti del Responsabile del Trattamento di dati personali”, di cui all’Allegato A, che sostituiscono le precedenti approvate con DGR n. 199 del 27 febbraio 2014.

In particolare si ritiene di individuare quali Responsabili “interni” del trattamento, per i trattamenti di dati personali di rispettiva competenza e con l’esclusione della responsabilità per i trattamenti effettuati dalle strutture organizzative sottordinate, i soggetti di seguito indicati:

1. il Segretario della Giunta regionale;
2. il Segretario Generale della Programmazione;
3. il Direttore della Direzione del Presidente;
4. l’Avvocato coordinatore;
5. il Responsabile dell’Anticorruzione e Trasparenza;
6. i Direttori d’Area;
7. i Direttori di Direzione;
8. i Responsabili di Strutture temporanee e i Responsabili di Strutture di progetto;
9. i Responsabili della Segreteria particolare del Presidente, della Segreteria particolare del Vice-presidente, delle Segreterie particolari degli Assessori e della Segreteria del Direttore della Presidenza;

Si ritiene necessario, a motivo della complessità e della molteplicità di funzioni istituzionali, consentire che i Direttori di Unità Organizzativa possano essere individuati quali Responsabili “interni” del trattamento di dati personali dai Direttori della strutture cui afferiscono, ai sensi dell’art. 5, comma 3, del Regolamento Regionale 31 maggio 2016 n.1.

La terza figura prevista nell’ “Organizzazione privacy” è quella dell’Incaricato (ai sensi dell’art. 30 del Codice privacy), la cui nomina rientra tra i compiti affidati ai Responsabili “interni” nel citato Allegato A.
Gli Incaricati sono le persone autorizzate al trattamento dei dati personali.

In aggiunta alle citate tre figure sopra descritte, il “Regolamento (Ue) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”, pubblicato nella Gazzetta Ufficiale dell’Unione Europea serie L 119 del 04.05.2016 ed in vigore dal 25 maggio 2018, prevede l’individuazione di un Responsabile della Protezione dei dati - Data Protection Officer (DPO).

Tale nuova figura obbligatoria sarà distinta e diversa da quella dei Responsabili "interni" del trattamento. Si conferma quale struttura responsabile per la consulenza e il coordinamento in materia di privacy la Direzione ICT e Agenda Digitale, rinviando all'entrata in vigore del Regolamento (UE) 2016/679 la puntuale individuazione dei compiti e delle responsabilità del Responsabile della Protezione dei dati - Data Protection Officer (DPO).

Essendo tra i compiti del Titolare del trattamento garantire il rispetto delle disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza, nonché determinare le finalità e i mezzi del trattamento di dati personali, si rende altresì necessario aggiornare le Regole Comportamentali, approvate con la citata DGR n. 199/2014, che Utenti regionali e collaboratori esterni devono osservare, per un uso corretto e sicuro delle risorse ICT (Information and Communications Technology) dell’Amministrazione regionale.

Le risorse ICT dell’Amministrazione regionale, infatti, sono un bene di valore, da utilizzare e proteggere accuratamente. Esse sono composte da: patrimonio informativo detenuto dall’Amministrazione in formato elettronico; servizi informatici erogati dall’Amministrazione; postazioni di lavoro “fisse” (PC desktop e simili) e “mobili” (PC portatili e simili); disposizioni cellulari (smartphone); software di comunicazione (tipo “messenger” e simili); server, apparecchiature e tutto il materiale hardware in generale.

In particolare, la protezione di tale patrimonio risulta articolata e complessa e richiede un’analisi globale dei sistemi tecnologici adottati, del contesto operativo, dei comportamenti delle persone e delle prassi dell’Amministrazione adottate, per valutare i rischi e definire adeguate misure di sicurezza, sia dal punto di vista organizzativo che tecnico. Tuttavia nessuna misura di sicurezza di tipo fisico, logico ovvero organizzativo può risultare efficace senza il coinvolgimento attivo ed una sensibilizzazione degli Utenti, i quali nell’uso della strumentazione messa a loro disposizione e dei dati/informazioni che impiegano per lo svolgimento della loro attività, sono tenuti ad osservare delle condotte corrette, evitando qualsiasi azione che possa pregiudicare la sicurezza delle risorse o dei dati trattati.

Si propone, quindi, di approvare e di disporre la più ampia diffusione al documento “Regole Comportamentali per gli Utenti nell’uso delle risorse ICT dell’Amministrazione regionale”, Allegato B, costituente parte sostanziale ed integrante del presente provvedimento, che sostituisce le precedenti “Norme Comportamentali”, approvate con DGR n. 199/2014.

La definizione, la conoscenza e, quindi, l’osservanza delle norme comportamentali previste nel citato documento rappresentano un asse portante della sicurezza informatica regionale, sia sotto il profilo del rispetto degli obblighi previsti dalla normativa vigente in tema di privacy, sia sotto il profilo più sostanziale dell’accrescimento della consapevolezza negli Utenti del valore dei beni messi a disposizione dall’Amministrazione. E’ regola elementare, condivisa in letteratura e riscontrabile quotidianamente nell’esperienza di chi opera nel settore, che la formazione, educazione e sensibilizzazione degli Utenti consente di ridurre significativamente i rischi insistenti su un patrimonio tecnologico o di informazioni (anche personali), con un’efficacia maggiore di quanto non produca un mero apprestamento di misure fisiche e logiche.

Le “Regole Comportamentali per gli Utenti nell’uso delle risorse ICT dell’Amministrazione regionale”, di cui all’Allegato B, arricchiscono inoltre il quadro regolamentare che l’Amministrazione Regionale si è data nel tempo circa l’uso delle proprie apparecchiature tecnologiche, il cui più importante tassello è costituito dal “Disciplinare per l’utilizzo di: Posta Elettronica, Internet, Telefoni e Fax, all’interno di Regione del Veneto”, approvato con DGR n. 863 del 31.03.2009, previo accordo con le rappresentanze sindacali dell’Amministrazione regionale, che resta pienamente vigente (qui citato per completezza).

Il relatore conclude la propria relazione e propone all'approvazione della Giunta regionale il seguente provvedimento.

LA GIUNTA REGIONALE

UDITO il relatore, il quale dà atto che la struttura competente ha attestato l'avvenuta regolare istruttoria della pratica, anche in ordine alla compatibilità con la vigente legislazione statale e regionale, e che successivamente alla definizione di detta istruttoria non sono pervenute osservazioni in grado di pregiudicare l'approvazione del presente atto;

RICHIAMATE le DGR n. 584 del 05.03.2004, n. 888 del 28.03.2006, n. 540 dell’11.03.2008, n. 863 del 31.03.2009, n. 240 del 15 marzo 2011e n. 199 del 27 febbraio 2014;

RICHIAMATE le DGR n. 802 e 803 del 27 maggio 2016;

VISTA la DGR n. 199 del 27 febbraio 2014;

VISTA la L.R. n. 54 del 31 dicembre 2012;

VISTO il Regolamento Regionale n.1 del 31 maggio 2016;

VISTO il D.Lgs. 196 del 30 giugno 2003;

VISTO il Regolamento (Ue) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016.

delibera

1. di individuare quali Responsabili “interni” del trattamento per i trattamenti di dati personali di rispettiva competenza e con l’esclusione della responsabilità per i trattamenti effettuati dalle strutture organizzative sottordinate:
   1. il Segretario della Giunta regionale;
   2. il Segretario Generale della Programmazione;
   3. il Direttore della Direzione del Presidente;
   4. l’Avvocato coordinatore;
   5. il Responsabile dell’Anticorruzione e Trasparenza;
   6. i Direttori d’Area;
   7. i Direttori di Direzione;
   8. i Responsabili di Strutture temporanee e i Responsabili di Strutture di progetto;
   9. i Responsabili della Segreteria particolare del Presidente, della Segreteria particolare del Vice-presidente, delle Segreterie particolari degli Assessori e della Segreteria del Direttore della Presidenza;
2. di dare atto che i Direttori di Unità Organizzativa possono essere individuati quali Responsabili “interni” del trattamento di dati personali dai Direttori delle strutture cui afferiscono, ai sensi dell’art. 5, comma 3, del Regolamento Regionale 31 maggio 2016 n.1;
3. di approvare, per le ragioni espresse in premessa, il documento “Compiti del Responsabile del trattamento di dati personali” in Allegato A, facente parte integrante del presente provvedimento, costituente le istruzioni del Titolare ai Responsabili del trattamento;
4. di approvare, per le ragioni espresse in premessa, il documento “Regole Comportamentali per gli Utenti nell’uso delle risorse ICT dell’Amministrazione regionale” in Allegato B, facente parte integrante del presente provvedimento, alle quali dovrà essere data la più ampia diffusione;
5. di dare atto che i Compiti e le Regole Comportamentali degli allegati di cui ai punti 3 e 4 , sostituiscono quelli approvati con DGR n. 199 del 27 febbraio 2014;
6. di disporre l’applicazione rigorosa da parte dei Responsabili “interni” del trattamento di dati personali, di cui al punto 1 e – se individuati – di cui al punto 2, di quanto previsto dal documento in Allegato A e di ogni altra disposizione vigente in tema di trattamento di dati personali;
7. di disporre la massima diffusione e l’applicazione rigorosa da parte degli Utenti di quanto previsto dal documento in Allegato B;
8. di confermare quale struttura responsabile per la consulenza ed il coordinamento in materia di privacy la Direzione ICT e Agenda Digitale, rinviando all'entrata in vigore del Regolamento (UE) 2016/679 la puntuale individuazione dei compiti e delle responsabilità del Responsabile della Protezione dei dati - Data Protection Officer (DPO);
9. di dare atto che la presente deliberazione non comporta spesa a carico del bilancio regionale.
10. di pubblicare il presente atto nel Bollettino ufficiale della Regione.

(seguono allegati)

Torna indietro