Home » Dettaglio Deliberazione della Giunta Regionale
Materia: Informatica
Deliberazione della Giunta Regionale n. 596 del 08 maggio 2018
Regolamento 2016/679/UE del Parlamento Europeo e del Consiglio del 27 aprile 2016, General Data Protection Regulation (GDPR). Misure relative alla protezione dei dati personali. Istruzioni per i trattamenti di dati personali. Costituzione "Gruppo di Lavoro GDPR".
A seguito del mutato quadro normativo europeo in materia di privacy, si deve procedere - con riferimento ai trattamenti di dati personali effettuati dalle strutture della Giunta Regionale - ad una ridefinizione delle misure organizzative e tecniche per assicurare il rispetto del nuovo Regolamento 2016/679/UE, General Data Protection Regulation (GDPR), nonché a fornire nuove istruzioni per i trattamenti di dati personali. Si intende, con il presente provvedimento, procedere inoltre alla costituzione del Gruppo di Lavoro in materia di applicazione del citato GDPR che coinvolga le diverse Aree che compongono l'organizzazione regionale.
Il Vice Presidente Gianluca Forcolin riferisce quanto segue.
Il Regolamento 2016/679/UE del Parlamento Europeo e del Consiglio del 27 aprile 2016, noto anche come General Data Protection Regulation (GDPR), relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati e che abroga la direttiva 1995/46/CE, si applicherà - senza necessità di essere recepito - in tutti gli Stati membri dell'Unione Europea a partire dal 25 maggio 2018.
Per effetto di tale nuova normativa europea la protezione dei dati personali cambia profondamente e numerosi sono gli adempimenti necessari affinché l'Amministrazione regionale possa considerarsi adempiente ai nuovi obblighi.
Tra le novità ed obblighi più rilevanti, introdotti dal GDPR, si segnalano:
- l'istituzione di un registro delle attività di trattamento e la sua costante implementazione (art. 30); - l'analisi dei rischi che incombono sui dati; - la valutazione di impatto privacy (art. 35); - la notificazione delle violazioni/incidenti (artt. 33 e 34) - la tenuta di un registro degli incidenti (art. 33, par. 5); - la designazione del Responsabile per la protezione dei dati (art. 37);
La principale novità introdotta dal predetto Regolamento Europeo però è il principio della "responsabilizzazione" ("accountability") che attribuisce al Titolare del trattamento il compito di mettere in atto "misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento".
La nuova disciplina europea impone perciò ad ogni Pubblica Amministrazione un diverso approccio nel trattamento dei dati personali, richiedendo altresì una costante attività di adeguamento tecnico-organizzativo.
Si rende necessario, preliminarmente, definire nuove "misure tecniche ed organizzative" privacy all'interno dell'Amministrazione regionale.
Si ricorda, a mero scopo conoscitivo, che fin dalla prima applicazione della normativa sulla privacy, risalente al 1997, la Giunta Regionale riconoscendo a sé stessa la Titolarità dei trattamenti effettuati dalle strutture regionali di propria competenza, ha definito - sempre in linea di continuità - l'assetto organizzativo privacy , da ultimo, con le seguenti DGR:
- n. 584 del 05 marzo 2004; - n. 888 del 28 marzo 2006; - n. 540 dell'11 marzo 2008; - n. 240 del 15 marzo 2011; - n. 199 del 27 febbraio 2014; - n. 1677 del 26 ottobre 2016.
Tale impostazione, coerente con le previsioni del D.Lgs. 30 giugno 2003 n. 196 (Codice Privacy), fondata sulle figure del Titolare, Responsabile ed Incaricato, deve ora essere mutata per effetto del GDPR.
In base al nuovo assetto organizzativo, il "Titolare del trattamento" di dati personali effettuati dalle strutture regionali afferenti alla Giunta Regionale, in linea con quanto fino ad ora sempre disposto, rimane la Giunta Regionale.
La figura del Responsabile "interno", invece, non è più prevista e al suo posto si ritiene opportuno introdurre la nuova figura del "Delegato al trattamento" di dati personali.
Tenuto conto della complessità e della molteplicità delle funzioni istituzionali dell'Amministrazione Regionale, in cui le scelte di gestione finanziaria, tecnica e amministrativa (compresa la possibilità di stipulare contratti) rientrano tra le specifiche competenze dei Dirigenti (chiamati a dare attuazione alla programmazione dell'organo politico ed a realizzare gli obiettivi prefissati) nonché del loro ruolo centrale nel trattamento dei dati personali, si ritiene opportuno - fermo restando quanto disposto in tema di assetto organizzativo dell'Amministrazione Regionale - delegare tutti i Dirigenti in servizio presso l'Amministrazione Regionale, ognuno per la parte di propria competenza, al trattamento di dati personali effettuato nello svolgimento dell'incarico ricevuto, secondo quanto previsto dal rispettivo contratto individuale di lavoro.
I predetti Delegati al trattamento, nell'esercizio del proprio incarico, dovranno osservare quanto disposto dalle "Istruzioni per i trattamenti di dati personali" di cui all'Allegato A e, nell'ambito delle proprie funzioni, al fine di poter fare efficacemente fronte alle diverse incombenze proprie del ruolo e di seguito indicate, si avvarranno della fattiva collaborazione dei Referenti privacy e delle persone autorizzate al trattamento, adeguatamente responsabilizzati sul tema.
Per quanto concerne le figure degli Incaricati deltrattamento, prevista nel precedente "assetto privacy", tali figure sono sostituite da quelle delle "Persone autorizzate al trattamento" di dati personali. Le autorizzazioni sono rilasciate dai Dirigenti, delegati, sulla base delle istruzioni di cui al citato Allegato A.
Figura nuova e fulcro del processo di attuazione del principio di "responsabilizzazione" di cui al GDPR, è il Responsabile della Protezione dei dati personali, noto anche come "Data Protection Officer" (DPO), previsto e disciplinato agli articoli da 37 a 39 del GDPR, che deve essere <<tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali>> (art. 38 del GDPR)
L'Amministrazione regionale, adempiendo alla previsione di cui sopra, con DGR n. 167 del 20 febbraio 2018, ha istituito la struttura denominata "Data Protection Officer" e con DGR n. 473 del 10 aprile 2018 ha designato il citato Data Protection Officer.
A completamento di quanto indicato più sopra, risulta inoltre opportuno disporre che il Direttore della Direzione ICT e Agenda Digitale sia delegato per l'adozione, gestione ed implementazione delle soluzioni tecnico-informatiche atte a prevenire e contrastare i rischi connessi alla sicurezza informatica (cd. cyber-security) correlati alla protezione dei dati personali, con funzioni gestionali e operative.
Infine si intende col presente provvedimento procedere alla costituzione del "Gruppo di lavoro GDPR", con compiti operativi, di gestione, supporto, analisi e soluzione dei problemi applicativi del Regolamento in parola, nella seguente composizione:
- Segreteria della Giunta Regionale; - Segreteria Generale della Programmazione; - Area Programmazione e Sviluppo Strategico; - Area Capitale Umano, Cultura e Programmazione Comunitaria; - Area Sanità e Sociale - Direzione Risorse Strumentali SSR; - Direzione Relazioni Internazionali, Comunicazione e SISTAR - Unità Organizzativa Comunicazione e Informazione; - Direzione ICT e Agenda digitale; - Direzione Organizzazione e Personale; - Avvocatura;
demandando l'individuazione dei componenti per ciascuna struttura sopra indicata e il coordinamento delle attività del Gruppo di lavoro, compresa la conservazione della relativa documentazione, al Direttore dell'Area Programmazione e Sviluppo Strategico.
Il Data Protection Officer, unitamente a funzionari della propria struttura, parteciperà agli incontri del Gruppo di lavoro per esercitare le funzioni di cui all'art. 39 del GDPR.
Si dà atto che il "Gruppo di Lavoro GDPR" potrà essere integrato con Delegati e/o Referenti privacy e/o componenti di altre strutture regionali che possano essere interessate alla normativa in oggetto e coinvolte, di volta in volta, nelle problematiche in questione.
Il relatore conclude la propria relazione e propone all'approvazione della Giunta regionale il seguente provvedimento.
LA GIUNTA REGIONALE
UDITO il relatore, il quale dà atto che la struttura competente ha attestato l'avvenuta regolare istruttoria della pratica, anche in ordine alla compatibilità con la vigente legislazione statale e regionale, e che successivamente alla definizione di detta istruttoria non sono pervenute osservazioni in grado di pregiudicare l'approvazione del presente atto;
- RICHIAMATE le DGR n. 584 del 05.03.2004, n. 888 del 28.03.2006, n. 540 dell'11.03.2008, n. 863 del 31.03.2009, n. 240 del 15 marzo 2011, n. 199 del 27 febbraio 2014 e n. 1677 del 26 ottobre 2016; - RICHIAMATA, in particolare, la DGR n. 473 del 10 aprile 2018 che ha designato il Data Protection Officer; - VISTA la L.R. n. 54 del 31 dicembre 2012; - VISTO il Regolamento Regionale n.1 del 31 maggio 2016; - VISTO il Regolamento 2016/679/UE del Parlamento Europeo e del Consiglio del 27 aprile 2016;
delibera
1. il Titolare dei trattamenti di dati personali effettuati dalle strutture regionali afferenti alla Giunta Regionale, per le ragioni espresse in premessa, parte integrante del presente atto, è la Giunta Regionale;
2. di delegare, per le ragioni espresse in premessa e fermo restando quanto disposto in tema di assetto organizzativo dell'Amministrazione Regionale, tutti i Dirigenti in servizio presso l'Amministrazione Regionale, ognuno per la parte di propria competenza, al trattamento di dati personali effettuato nello svolgimento dell'incarico ricevuto, secondo quanto previsto dal rispettivo contratto individuale di lavoro;
3. di approvare, per le ragioni espresse in premessa, il documento "Istruzioni per i trattamenti di dati personali", di cui all'Allegato A, facente parte integrante del presente provvedimento;
4. di dare atto che il documento dell'allegato di cui al punto 3 sostituisce l'Allegato A della DGR n. 1677 del 26 ottobre 2016;
5. di disporre, da parte dei diversi soggetti contemplati dall'Allegato A al presente provvedimento l'applicazione rigorosa di quanto previsto dal medesimo e di ogni altra disposizione vigente in tema di trattamento di dati personali;
6. di disporre che il Data Protection Officer (DPO) sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali, anche partecipando, unitamente a funzionari della propria struttura, al Gruppo di Lavoro di cui al successivo punto 8);
7. di delegare il Direttore della Direzione ICT e Agenda Digitale all'adozione, gestione ed implementazione delle soluzioni tecnico-informatiche atte a prevenire e contrastare i rischi connessi alla sicurezza informatica (cd. cyber-security) correlati alla protezione dei dati personali, con funzioni gestionali e operative;
8. di costituire il "Gruppo di Lavoro GDPR" con compiti operativi, di gestione, analisi e soluzione dei problemi applicativi del regolamento in parola, nella seguente composizione:
demandando l'individuazione dei componenti per ciascuna struttura sopra indicata e il coordinamento delle attività del Gruppo di Lavoro, compresa la conservazione della relativa documentazione, al Direttore dell'Area Programmazione e Sviluppo Strategico.
9. di dare atto che la presente deliberazione non comporta spesa a carico del bilancio regionale.
10. di pubblicare il presente atto nel Bollettino ufficiale della Regione.
(seguono allegati)
Torna indietro
