REGOLAMENTO SULLA TUTELA DELLA PRIVACY

Transcript

1 COMUNE DI MARANELLO PROVINCIA DI MODENA REGOLAMENTO SULLA TUTELA DELLA PRIVACY Approvato con delibera di consiglio comunale nr. 54 del 13/11/2002 Pubblicato all albo il 20/11/2002 Entrato in vigore il 06/12/2002 ai sensi dell art. 38 del vigente Statuto Comunale 1

2 CAPO I Trattamento dati personali... 3 Articolo 1 Oggetto... 3 Articolo 2 Finalità... 3 Articolo 3 Definizioni di riferimento... 3 Articolo 4 Individuazione delle banche dati... 3 Articolo 5 Titolarità delle banche dati... 4 Articolo 6 Responsabilità delle banche dati... 4 Articolo 7 Incaricati del trattamento... 5 Articolo 8 Trattamento dei dati... 5 Articolo 9 Misure di sicurezza... 6 Articolo 10 Informazione... 6 Articolo 11 Diritti dell'interessato... 7 Articolo 12 Rapporti con il Garante... 7 Capo II Trattamento dati personali sensibili... 7 Art. 13 Dati sensibili... 7 Art. 14 Trattamenti previsti dal presente regolamento... 7 Art. 15 Utilizzo interno dei dati... 8 Art. 16 Garanzie per il trattamento dei dati personali sensibili... 8 Art. 17 Definizione delle rilevanti finalità di interesse pubblico individuate dal dlgs n. 135/1999 e da altre leggi... 8 Art. 18 Individuazione delle attività non riferibili a rilevanti finalità di interesse pubblico determinate espressamente dalla legge... 8 Art.19 Individuazione delle tipologie di dati sensibili trattabili in base a rilevanti finalità di interesse pubblico e delle operazioni su di essi eseguibili... 9 Art. 20 Rapporti con il garante... 9 Art. 21 Forme di pubblicizzazione delle tipologie di dati sensibili trattabili e delle operazioni su di essi eseguibili... 9 Art. 22 Attuazione dei criteri per il trattamento dei dati sensibili definiti nel dlgs n. 135/ Art 23 Misure minime di sicurezza Art. 24 Trattamento dei dati sensibili e informativa Art. 25 Controlli e relazioni periodiche sullo stato di attuazione della normativa in materia di trattamento dei dati sensibili Art.26 Tutela amministrativa e giurisdizionale Art.27 Sanzioni penali ed amministrative Articolo 28 Unità organizzativa per la privacy CAPO III Norme finali e transitorie Art Art

3 CAPO I Trattamento dati personali Articolo 1 Oggetto 1. Le norme di cui al presente capo disciplinano il trattamento dei dati personali contenuti nelle banche dati organizzate, gestite od utilizzate dall'amministrazione Comunale, in attuazione della Legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali) e successive modifiche ed integrazioni. Articolo 2 Finalità 1. Il Comune garantisce che il trattamento dei dati personali si svolga nel rispetto del diritto alla riservatezza ed all'identità personale delle persone fisiche e giuridiche e favorisce la trasmissione di dati e documenti tra le banche dati e gli archivi del Comune, degli Enti territoriali, degli Enti pubblici, dei gestori, degli esercenti e degli incaricati di pubblico servizio, operanti nell'ambito della Unione Europea. E ciò anche al fine di adempiere all'obbligo di comunicazione interna ed esterna e di semplificazione dell'azione amministrativa, nonché di favorire il raggiungimento delle finalità istituzionali del Comune nel rispetto dei principi di trasparenza, efficacia ed economicità sanciti dalla legislazione vigente. 2. La trasmissione dei dati può avvenire anche attraverso l'utilizzo di sistemi informatici e telematici, reti civiche e reti di trasmissione di dati ad alta velocità. 3. Ai fini del presente regolamento, per finalità istituzionali del Comune si intendono: le funzioni previste dalle leggi, dallo Statuto e dai regolamenti; le funzioni svolte per mezzo di intese, accordi, convenzioni. Articolo 3 Definizioni di riferimento 1. Ai fini del presente regolamento, per le definizioni di banca dati, di trattamento, di dato personale, di titolare, di responsabile, di interessato, di comunicazione, di diffusione, di dato anonimo, di blocco, di Garante si fa riferimento a quanto previsto dall'articolo 1, comma 2, della legge n. 675 del Articolo 4 Individuazione delle banche dati 1. Le banche dati di cui all'articolo 1, comma 2, della legge n. 675 del 1996, gestite dall'amministrazione Comunale sono individuate con provvedimento della Giunta comunale. 2. La Giunta provvede annualmente alla verifica e all'aggiornamento dell'elenco delle banche dati gestite dall'amministrazione Comunale, sulla base delle relative comunicazioni inoltrate dai Dirigenti. 3

4 Articolo 5 Titolarità delle banche dati Titolare del trattamento dei dati personali è il Comune di Maranello. 1. La responsabilità delle singole banche dati di cui all'articolo 1, comma 2 della legge n. 675 del 1996, gestite dall'amministrazione Comunale è attribuita dal Sindaco, con proprio provvedimento, al Dirigente, cui la banca dati afferisce. 2. I responsabili delle banche dati svolgono le funzioni previste dalla legge e dal presente regolamento, sulla base delle direttive impartite dalla Giunta, anche in materia di sicurezza. 3. Il dirigente cui la banca dati afferisce, qualora quest'ultima sia ripartita in una o più unità dislocate in siti diversi, definisce insieme agli altri dirigenti interessati le modalità di trattamento dei dati personali, ivi compreso il profilo della sicurezza. 4. Il dirigente responsabile di ciascuna banca dati nomina, con provvedimento motivato, il responsabile gestionale della banca medesima, impartisce le necessarie istruzioni ed indica i compiti affidati. Vigila sulla puntuale osservanza delle istruzioni impartite, mediante verifiche periodiche. Nel caso di mancata nomina, il dirigente è responsabile di tutte le operazioni di trattamento. 5. Il responsabile gestionale deve essere scelto tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle disposizioni di legge vigenti in materia e del presente regolamento, ivi compreso il profilo relativo alla sicurezza. 6. Ove esigenze organizzative lo rendano necessario, possono essere nominati più responsabili gestionali di una stessa banca dati. 7. In caso di assenza o di impedimento del responsabile gestionale può essere nominato un sostituto. Articolo 6 Responsabilità delle banche dati 1. Il responsabile gestionale del trattamento dei dati è preposto alla gestione e tutela dei dati personali nonché alla salvaguardia della integrità e della sicurezza degli stessi. 2. Il responsabile gestionale: a) cura il coordinamento di tutte le operazioni di trattamento dei dati; b) impartisce istruzioni per la corretta elaborazione dei dati personali; c) procede alle verifiche sulla metodologia di introduzione e di gestione dei dati, attraverso controlli a campione da eseguirsi periodicamente; d) è responsabile dei procedimenti di rettifica dei dati; e) adempie a quanto disposto dalle Autorità ed Organi di vigilanza del sistema amministrativo locale; f) impartisce disposizioni operative per la sicurezza delle banche dati e dei procedimenti di gestione e/o trattamento degli stessi; g) cura la redazione delle singole banche dati, cui sovrintende, con il CED del Comune. h) cura la informazione agli interessati relativa al trattamento dei dati e alla loro comunicazione e diffusione; 4

5 i) dispone motivatamente il blocco dei dati, qualora sia necessaria una sospensione temporanea delle operazioni del trattamento, dandone tempestiva comunicazione al titolare. Articolo 7 Incaricati del trattamento 1. Il responsabile gestionale del trattamento dei dati procede, d'intesa con il dirigente, all'individuazione all'interno di ciascuna area operativa degli incaricati, ossia delle persone autorizzate nei vari uffici a compiere le operazioni di trattamento dei dati, da svolgersi secondo le modalità di cui agli artt.9 e 10 della legge n. 675/ I compiti affidati agli incaricati devono essere specificati dal responsabile gestionale che deve controllarne l'osservanza. 3. Gli incaricati al trattamento devono effettuare le operazioni di trattamento loro affidate attenendosi alle istruzioni ricevute. 4. Agli incaricati, ove tecnicamente possibile, viene assegnato un codice di accesso personale che viene registrato all'inizio e al termine delle operazioni di trattamento. Articolo 8 Trattamento dei dati 1. I dati personali oggetto del trattamento devono essere: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti e successivamente trattati; e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. 2. Il trattamento dei dati avviene mediante strumenti idonei a garantirne la sicurezza e la riservatezza e può essere effettuato anche attraverso strumenti automatizzati atti a memorizzare, gestire e trasmettere i dati medesimi. 3. Le modalità di trattamento dei dati possono prevedere l'utilizzo di strumenti idonei a collegare i dati stessi a dati provenienti da altri soggetti. 4. La trasmissione di dati o documenti alle banche dati di cui sono titolari i soggetti diversi dal Comune è preceduta da uno specifico protocollo d'intesa che contenga, di norma, l'indicazione del titolare e del responsabile della banca dati e delle operazioni di trattamento, nonché le modalità di connessione, di trasferimento e di comunicazione dei dati e delle misure di sicurezza adottate. 5. Nella situazione di affidamento all'esterno della gestione di una banca dati, il dirigente cui la banca dati afferisce provvede alla nomina del concessionario a responsabile, ai sensi della legge 675/96 e successive modifiche ed integrazioni, del trattamento dei dati delle banche dati per la durata del rapporto convenzionale; in tal caso, le suindicate attività, relativamente alle banche dati 5

6 gestite, sono svolte prioritariamente dal concessionario, conservando peraltro il dirigente competente per materia il dovere di eventuale attivazione e di vigilanza. 6. Nelle ipotesi in cui la legge, lo statuto o il regolamento prevedano pubblicazioni obbligatorie, il responsabile del procedimento può adottare opportune misure atte a garantire la riservatezza dei dati sensibili di cui all'articolo 22 della legge n. 675/ Il trattamento dei dati personali acquisiti nell'ambito dell'attività del Comune o forniti dagli interessati, può essere effettuato: a) da società, enti o consorzi che per conto del Comune forniscono specifici servizi o che svolgono attività connesse, strumentali o di supporto a quelle del Comune, ovvero attività necessarie all'esecuzione delle prestazioni e dei servizi imposti da leggi, regolamenti, norme comunitarie o che vengono attivati al fine di soddisfare bisogni e richieste dei cittadini; b) dai soggetti ai quali la comunicazione dei dati personali risulti necessaria per lo svolgimento delle attività, loro affidate dal Comune; c) dai soggetti a cui la facoltà di accedere ai dati personali sia riconosciuta da disposizione di legge o di regolamento. 8. Nell'ambito dei servizi istituzionali dell'ente rientrano anche le funzioni svolte su delega, convenzione o concessione da soggetti pubblici o privati, nonché dagli Istituti di Credito che operano come Tesoriere ed Esattore Comunale. 9. Nei casi di cui al comma precedente, il soggetto che effettua il trattamento è tenuto ad osservare gli obblighi e le misure di sicurezza previste dalla legge 675/96, a tal fine procede alla nomina di un responsabile, dandone comunicazione al titolare della banca dati. Articolo 9 Misure di sicurezza 1. Il dirigente cui la banca dati afferisce provvede all'adozione delle misure di sicurezza, ivi comprese quelle minime previste dalla legge n.325/2000, anche al fine di prevenire: a) i rischi di distruzione, perdita dei dati o danneggiamento della banca dati o dei locali ove essa è collocata; b) l'accesso non autorizzato; c) modalità di trattamento dei dati non conformi alla legge o al regolamento; d) la cessione e/o la distruzione dei dati in caso di cessazione del trattamento. 2. Fatte salve le disposizioni di legge e di regolamento in materia di sicurezza dei dati personali, il servizio CED, in relazione alle conoscenze acquisite in base al progresso tecnico, adotta tutte le misure di sicurezza al fine di: a) ridurre al minimo il rischio di distruzione o perdita anche accidentale dei dati memorizzati su supporti magnetici, ottici e cartacei gestiti da e per conto del settore preposto ai sistemi informativi; b) evitare l'accesso non autorizzato alle banche dati, alle reti e in generale ai servizi informatici del Comune. Articolo 10 Informazione 1. A cura di ciascun dirigente viene data ampia diffusione ed attuazione agli obblighi informativi di cui all'articolo 10 della legge n. 675 del

7 2. I dirigenti competenti favoriscono, a tal fine, la introduzione anche in via elettronica di modulistica che contenga l'informazione di cui all'articolo 10 della legge n. 675 del 1996 e, nei casi in cui è richiesto dalla stessa legge, la dichiarazione di consenso al trattamento da parte dell'interessato. Articolo 11 Diritti dell'interessato 1. I soggetti interessati al trattamento dei dati personali che intendono esercitare i diritti di cui all'articolo 13 della legge n. 675 del 1996, indirizzano le relative istanze al responsabile delle banche dati di riferimento. 2. Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali non è soggetto all'applicazione della presente legge, semprechè i dati non siano destinati ad una comunicazione sistematica o alla diffusione. Articolo 12 Rapporti con il Garante 1. Ciascun responsabile della banca dati è tenuto ad inviare al Garante le comunicazioni e le notificazioni previste dalla legge n. 675 del Capo II Trattamento dati personali sensibili Art. 13 Dati sensibili Il presente regolamento disciplina altresì le seguenti specifiche modalità di: - attuazione delle disposizioni definite dall'art. 22, comma 3 e 3 bis della legge n. 675/96, e successive modifiche e integrazioni nonché di quelle del dlgs n. 135/99; - individuazione e compiti dei responsabili delle banche dati esistenti presso gli uffici comunali relativamente al rispetto delle anzidette norme; Art. 14 Trattamenti previsti dal presente regolamento 1. Il comune, al fine di consentire ai cittadini di ottenere informazioni sullo stato di avanzamento delle proprie pratiche o sui propri obblighi tributari, tariffari per l'erogazione di servizi, dai quali possa rilevarsi l esistenza di dati personali sensibili, provvede all'inserimento dei relativi atti in rete civica con le opportune misure volte a tutelare, in particolare, la riservatezza degli interessati. 7

8 Art. 15 Utilizzo interno dei dati 1. La comunicazione dei dati all'interno della struttura organizzativa del comune, per ragioni d'ufficio, non è soggetta a limitazioni particolari, salvo quelle espressamente previste da leggi e regolamenti. 2. Il responsabile della banca dati, specie se la comunicazione concerne dati sensibili, può tuttavia disporre, con adeguata motivazione, le misure ritenute necessarie alla tutela della riservatezza delle persone. Art. 16 Garanzie per il trattamento dei dati personali sensibili 1. Le disposizioni del presente regolamento sono finalizzate ad assicurare a tutti i soggetti che conferiscono informazioni e dati personali qualificabili come 'sensibili' adeguate garanzie in ordine al trattamento degli stessi da parte degli operatori dell'amministrazione comunale e di altri soggetti che per la stessa li trattino. 2. I responsabili gestionali dei trattamenti nominati ai sensi dell'art. 8 della legge 31 dicembre 1996, n. 675, nonché i dirigenti, per quanto di propria competenza, provvedono all'applicazione di misure attuative delle disposizioni del presente regolamento. Art. 17 Definizione delle rilevanti finalità di interesse pubblico individuate dal dlgs n. 135/1999 e da altre leggi 1. Ai fini del presente regolamento si intendono per attività che perseguono rilevanti finalità di interesse pubblico tutte quelle svolte dal comune in relazione a funzioni e compiti ad esso attribuiti, delegati o conferiti dalla normativa statale e regionale vigente, nonché quelle inerenti l'organizzazione dell'amministrazione comunale e lo sviluppo dell'attività amministrativa, nei rispettivi vari profili. 2. La valutazione circa la rilevanza dell'interesse pubblico perseguito con l'attività individuata è effettuata sulla base della necessità della stessa per il regolare e ottimale funzionamento dell'amministrazione comunale nel particolare settore in cui essa viene a esplicarsi. 3. Le attività procedimentali, gestionali od operative, che perseguono rilevanti finalità di interesse pubblico, sono individuate, per il trattamento dei dati sensibili, dal dlgs 11 maggio 1999, n. 135 ( artt.6-23 ) da altre leggi, statali e regionali, e dai provvedimenti del garante emanati ed emanandi, in base a quanto previsto dall'art. 22 della legge 31 dicembre 1996, n Art. 18 Individuazione delle attività non riferibili a rilevanti finalità di interesse pubblico determinate espressamente dalla legge 1. Per favorire l'individuazione delle attività procedimentali e operativo-gestionali svolte dai servizi del comune non riconducibili a rilevanti finalità di interesse pubblico date nel d.lgs 11 maggio 1999, n. 135 o in altre leggi, al fine di consentire al garante per la protezione dei dati personali di 8

9 adottare specifici provvedimenti ai sensi dell'art. 22, commi 3 e 3-bis della legge 31 dicembre 1996, n. 675, l'amministrazione comunale: a) verifica la rilevanza delle attività, comportanti il trattamento di dati sensibili in relazione al regolare sviluppo dell'azione amministrativa; b) verifica quali di queste attività non possono essere ricondotte al quadro di riferimento dettato dalla legislazione vigente; c) determina la rilevanza dell'interesse pubblico perseguito con la particolare attività. Art.19 Individuazione delle tipologie di dati sensibili trattabili in base a rilevanti finalità di interesse pubblico e delle operazioni su di essi eseguibili 1. Sono individuati in apposito provvedimento da adottarsi con proprio atto da ciascun dirigente, d intesa con i responsabili dei servizi interessati, le attività svolte dal comune, rispetto alle quali sono definite dalla legge le rilevanti finalità di interesse pubblico perseguite, ma per le quali non si ha determinazione in via normativa delle tipologie di dati trattabili e delle operazioni eseguibili. 2. Ciascun responsabile di servizio procede periodicamente, con cadenza almeno semestrale, alla verifica della effettività dei trattamenti delle tipologie di dati individuate, nonché delle relative operazioni su di essi eseguibili. 3. Qualora il complesso dei dati definiti debba essere modificato a fronte di situazioni che richiedano la variazione delle tipologie di dati o delle operazioni eseguibili individuate, il responsabile di servizio interessato attiva il procedimento istruttorio finalizzato all'adozione di adeguato provvedimento da parte dell'organo competente. 4. Il complesso delle tipologie di dati sensibili trattati e delle operazioni su di essi eseguibili è comunque sottoposto a verifica annuale, a fini di aggiornamento, indipendentemente dalle modifiche eventualmente apportate in base a quanto previsto dal precedente comma 3. Art. 20 Rapporti con il garante 1. L'amministrazione comunale comunica tempestivamente al Garante per la protezione dei dati personali le attività individuate/rilevate per le quali non è determinata dalla legge una corrispondente rilevante finalità di interesse pubblico. Art. 21 Forme di pubblicizzazione delle tipologie di dati sensibili trattabili e delle operazioni su di essi eseguibili 1. I dati sensibili trattabili e le operazioni su di essi eseguibili, individuati in base a quanto previsto in precedenza, sono pubblicizzati mediante affissione all'albo pretorio e con adeguate comunicazioni interne agli uffici e servizi dell'amministrazione. 2. Gli elementi riguardanti le tipologie di dati sensibili trattabili e le operazioni su di essi eseguibili sono comunque resi noti ai soggetti che conferiscono dati personali all'amministrazione comunale per l'attivazione di un procedimento nel momento in cui si ha la produzione/presentazione 9

10 dell'istanza, con le medesime modalità procedurali con cui sono fornite le informazioni previste dall'art. 10 della legge 31 dicembre 1996, n Art. 22 Attuazione dei criteri per il trattamento dei dati sensibili definiti nel dlgs n. 135/ La giunta, nell'ambito delle proprie competenze in materia di organizzazione, e i dirigenti, nell'esercizio dei loro poteri di organizzazione e di gestione delle risorse umane, adottano provvedimenti e misure volti a dare piena attuazione alle disposizioni contenute negli artt. 1, 2, 3 e 4 del d.lgs 11 maggio 1999, n. 135, per la corretta gestione dei dati personali sensibili. Art 23 Misure minime di sicurezza 1. In sede di determinazione delle misure minime di sicurezza, nel rispetto della normativa vigente in materia, i dirigenti definiscono soluzioni tecniche, informatiche, organizzative, logistiche e procedurali che tengano conto delle specificità di trattamento dei dati sensibili e delle particolarità connesse alle operazioni su di essi eseguibili. Art. 24 Trattamento dei dati sensibili e informativa 1. Le informazioni rese agli interessati ai sensi dell'art. 10 della legge 31 dicembre 1996, n. 675 devono contenere esplicito riferimento ai seguenti elementi: a) indicazione dei riferimenti normativi comportanti il trattamento dei dati sensibili; b) indicazione delle tipologie di dati sensibili trattati nella specifica attività e delle operazioni su di essi eseguibili; c) sintesi delle misure poste a garanzia del trattamento dei dati sensibili in relazione alla specifica attività. Art. 25 Controlli e relazioni periodiche sullo stato di attuazione della normativa in materia di trattamento dei dati sensibili 1. I dirigenti provvedono, nell'ambito dei propri poteri di controllo, a effettuare periodiche verifiche sulla corretta applicazione della normativa in materia di trattamento dei dati sensibili e del presente regolamento nell'ambito delle articolazioni organizzative cui sono preposti. 2. I dirigenti presentano annualmente alla giunta relazioni specifiche, riferite alle strutture di competenza, in ordine all'attuazione della normativa in materia di dati sensibili discendente dal d.lgs 11 maggio 1999, n. 135 e dal presente regolamento, nonché rapporti dettagliati inerenti l'applicazione dei provvedimenti adottati ai sensi dei precedenti articoli. 3. La giunta prende atto delle relazioni prodotte dai dirigenti, informandone al più presto i capigruppo consiliari 10

11 Art.26 Tutela amministrativa e giurisdizionale Per quanto attiene alla tutela amministrativa e giurisdizionale dei soggetti che si ritengano lesi da comportamenti non conformi alla normativa sulla privacy, si fa riferimento esplicito all art.29 della legge 675/1996 e successive modificazioni. Art.27 Sanzioni penali ed amministrative Si fa rinvio esplicito e dinamico al meccanismo sanzionatorio previsto dalla legge, per quanto attiene alle infrazioni con rilevanza penale od amministrativa quali: Omessa od incompleta notificazione al Garante; Trattamento illecito di dati personali; Omessa adozione di misure necessarie alla sicurezza dei dati; Inosservanza dei provvedimenti del Garante; Falsità nelle dichiarazioni e nelle notificazioni al Garante; Pene accessorie e sanzioni amministrative. Articolo 28 Unità organizzativa per la privacy 1. La direzione generale costituisce l unità organizzativa preposta a garantire l'uniformità di applicazione della legge n. 675 del 1996 e del presente regolamento, fornendo l'adeguato supporto ai titolari ed ai responsabili delle singole banche dati. L'unità organizzativa attua i compiti di cui al precedente comma, anche predisponendo l'opportuna modulistica, schemi di accordo tipo, ecc.. CAPO III Norme finali e transitorie Art I provvedimenti e le determinazioni organizzative di attuazione di quanto previsto dagli artt. 1, 2, 3 e 4 del dlgs n. 135/1999 sono adeguati o aggiornati a cura degli organi e dei soggetti competenti in relazione all'evoluzione tecnologica e alle modificazioni del quadro normativo di riferimento in materia di trattamento di dati sensibili. 2. Per quanto non previsto dalle disposizioni del presente Regolamento si applicano le norme della legge 7 agosto 1990 n.241 e del D.P.R. 27 giugno 1992 n.352, della legge 675 del 1996, del D.lgs 11/5/1999 n.135 e successive modifiche ed integrazioni. Art.30 1.Il presente Regolamento entra in vigore il quindicesimo giorno di pubblicazione all albo pretorio della delibera di approvazione ai sensi dell art.38 comma 6^ del vigente Statuto Comunale. 11