DETERMINAZIONE N. 150 DEL 24 APRILE 2019

Transcript

1 DETERMINAZIONE N. 150 DEL 24 APRILE 2019 OGGETTO: Nomina di IC Outsourcing S.c.r.l. come Responsabile esterno dei trattamenti dei dati personali ai sensi del Regolamento (UE) 2016/679. IL SEGRETARIO GENERALE Vista la Legge 29 dicembre 1993, n. 580 Riordinamento delle Camere di Commercio, Industria, Artigianato e Agricoltura, così come modificata, da ultimo, dal decreto legislativo n. 219 del 25 novembre 2016; Visto lo Statuto camerale, approvato con deliberazione del Consiglio camerale n. 2 del 17 luglio 2001, così come da ultimo modificato con deliberazione del Consiglio Camerale n. 13 del 28 novembre 2017; Visto il D. Lgs. 30 marzo 2001, n. 165 Norme generali sull'ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche, e successive modificazioni e integrazioni; Viste le deliberazioni n. 90 del 6 novembre 2017, n. 92 del 20 novembre 2017 e n. 98 del 28 novembre 2017 con le quali la Giunta camerale ha conferito al sottoscritto le funzioni di Segretario Generale; Visto il regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che, in base al dettato dell'art. 99, è direttamente applicabile, in ciascuno degli Stati membri, a decorrere dal 25 maggio 2018, obbligatoriamente in tutti i suoi elementi; Visto in particolare, l'articolo 4, comma 1, n. 7), del regolamento UE, in base al quale Titolare del trattamento dei dati personali acquisiti per lo svolgimento delle proprie funzioni istituzionali è l autorità pubblica che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; Considerato che, quindi, Titolare del trattamento dei dati personali acquisiti per lo svolgimento delle proprie funzioni istituzionali è la stessa Camera di commercio di Cagliari, in persona del Presidente, suo legale rappresentante, che esprime le decisioni assunte dall organo politico competente, che, in tal caso, è la Giunta, la quale stabilisce le finalità e i mezzi del trattamento di dati personali, a norma del menzionato art. 4, comma 1, n. 7, del regolamento UE; Visto il successivo punto n. 8), del medesimo articolo 4, comma 1, del regolamento UE, che definisce il Responsabile del trattamento la persona fisica o giuridica, l autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento ; Visto l'art. 28 del regolamento UE, che consente di nominare come Responsabili unicamente soggetti che presentino garanzie sufficienti per mettere in atto misure sda

2 tecniche e organizzative adeguate in modo tale che il trattamento garantisca la tutela dei diritti dell interessato, e, inoltre, prevede che i trattamenti da parte di un Responsabile sono disciplinati da un contratto o da altro atto giuridico che definisca la materia disciplinata e la durata del trattamento, la natura e la finalità, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento, come elencati nello stesso comma; Vista la delibera n. 43 del 22 maggio 2018, con la quale la Giunta camerale ha individuato nel Segretario Generale il Responsabile del trattamento dei dati personali della Camera di Commercio di Cagliari con gli obblighi e le responsabilità previste nel Documento Programmatico per la sicurezza dei dati personali, approvato con la delibera della Giunta camerale n. 42 del 28 febbraio 2006, e secondo il Regolamento per il trattamento del dati sensibili e giudiziari, approvato con la delibera della Giunta camerale n. 233 del 20 dicembre 2005, in attesa dell adozione dei nuovi atti interni attuativi del regolamento UE; Visto l art. 28, comma 2, del regolamento UE che consente al Responsabile del trattamento di ricorre a un altro responsabile previa autorizzazione scritta, specifica o generale, del Titolare, il quale in caso di autorizzazione scritta generale, deve essere informato dal Responsabile dell aggiunta o della sostituzione di altri responsabili, per potere esercitare la facoltà di opporsi; Visto il comma 4 dello stesso articolo che stabilisce che "Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l intera responsabilità dell adempimento degli obblighi dell altro responsabile"; Vista la delibera n. 54 del 4 giugno 2018, con la quale la Giunta camerale ha autorizzato il Segretario Generale, quale Responsabile interno del trattamento, nel rispetto di quanto previsto dall art. 28 del regolamento UE, a nominare altri eventuali responsabili per specifiche attività di trattamento, trasferendo su di essi le disposizioni del Titolare e adottando opportune clausole contrattuali al fine di richiamare l'obbligo in capo ai medesimi di rispettare le misure di sicurezza descritte nell atto di incarico; Considerato che la società IC Outsourcing, società in house del sistema camerale, esegue per la Camera le seguenti attività: - istruttoria ed evasione pratiche Registro Imprese; - istruttoria ed evasione pratiche di Bilancio; - archiviazione ottica; - DOGE (gestione documentale archivi cartacei); sda

3 Considerato che, dunque, la ICO deve essere nominata Responsabile per il trattamento dei dati degli utenti camerali destinatari dei servizi sopra elencati, e che alla stessa devono essere impartite le necessarie istruzioni; Visto lo schema dell atto di incarico che dovrà essere sottoscritto dalla società, contenente le necessarie istruzioni, e ritenutolo conforme alle prescrizioni di legge, con l unica precisazione che l autorizzazione a IC Outsourcing, per nominare ulteriori responsabili, può essere concessa solo dal Titolare; Valutata l opportunità di procedere nell immediatezza e senza indugio alla nomina di IC Outsourcing a Responsabile esterno del trattamento dei dati personali di cui è titolare la Camera di commercio, rinviando l autorizzazione di nominare altri responsabili a una apposita successiva delibera di Giunta, Determina 1) di nominare la società IC Outsourcing S.c.r.l., società in house del sistema camerale, Responsabile esterno del trattamento dei dati personali affidati dalla Camera di Commercio di Cagliari che ne è Titolare, in relazione a tutti i servizi che la società offre alla Camera, con particolare riferimento: 2) alla istruttoria ed evasione pratiche Registro Imprese; 3) alla istruttoria ed evasione pratiche di Bilancio; 4) all archiviazione ottica; 5) al DOGE (gestione archivi cartacei); 6) di approvare lo schema dell atto di incarico allegato alla presente determinazione per farne parte integrante e sostanziale; 7) di precisare che l autorizzazione a IC Outsourcing di nominare ulteriori Responsabili esterni, contemplata nella lettera di incarico, sarà concessa con successiva apposita delibera della Giunta camerale; 8) di informare il Titolare dell assunzione della presente determinazione in occasione della prossima riunione della Giunta camerale, per consentirle di esercitare la facoltà di opporsi, a norma del regolamento UE; 9) di dare immediata eseguibilità al presente provvedimento. La presente determinazione sarà pubblicata all Albo informatico di questa Camera di Commercio, istituito ai sensi dell articolo 32, Legge n. 69/2009, conformemente a quanto previsto dall articolo 39 dello Statuto camerale. Cagliari, 24 aprile 2019 Il Segretario Generale Enrico Salvatore Massidda (firma digitale ai sensi del D.Lgs n. 82/2005) sda

4 Cagliari, aprile 2019 Spett.le IC Outsourcing S.c.r.l. Corso Stati Uniti, Padova Oggetto: Nomina a Responsabile esterno del trattamento di dati personali ai sensi Regolamento UE n. 679/ Regolamento generale sulla protezione dei dati personali GDPR. La Camera di Commercio di Cagliari, di seguito nominata Camera di Commercio, in persona del Segretario Generale, Dr. Enrico Salvatore Massidda, domiciliato per la carica presso la sede camerale e a ciò autorizzato con delibera della Giunta Camerale n. 54 del 4 giugno 2018 PREMESSO CHE ai sensi del Regolamento UE n.679/2016 del Parlamento e del Consiglio del 27 aprile 2016 relativo alla protezione dei dati personali delle persone fisiche, nonché alla libera circolazione di tali dati, che abroga la direttiva 95/46/CE (di seguito per brevità Regolamento GDPR ), la Camera è Titolare dei trattamenti sui dati personali che effettua in esecuzione di specifiche norme di legge e regolamentari e nello svolgimento della propria funzione istituzionale di supporto degli interessi generali delle imprese, secondo la definizione di "Titolare" di cui all'art. 4, punto 7) del suddetto Regolamento; alcuni dei trattamenti di cui la Camera di Commercio è Titolare sono svolti da IC Outsourcing S.c.r.l. (di seguito anche ICO), società consortile in house providing delle Camere di Commercio, in adempimento alle prescrizioni contenute nello Statuto di detta Società, e sulla base di apposita convenzione con la Camera; con determinazione del Segretario Generale n.del..la società ICO è stata nominata Responsabile esterno del trattamento dei dati di cui la Camera è Titolare; il Responsabile del trattamento ha l obbligo di: - trattare i dati personali su istruzione del Titolare del trattamento; - garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza; - adottare tutte le necessarie e più appropriate misure di sicurezza tecniche ed organizzative così come disciplinate dal Regolamento, tenendo conto in particolare del rischio per i diritti e le libertà delle persone fisiche; - rispettare le condizioni previste dal Regolamento al fine di ricorrere ad un altro responsabile del trattamento; - assistere il Titolare, tenendo conto della natura del trattamento, con misure tecniche ed organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l obbligo del 1

5 titolare del trattamento di dare seguito alle richieste per l esercizio dei diritti dell interessato per quanto previsto nella normativa vigente; - assistere il Titolare del trattamento nel garantire il rispetto dei obblighi, previsti dal Regolamento, relativamente all attuazione delle misure di sicurezza, alla comunicazione in caso di violazione dei dati personali e alla valutazione di impatto sulla protezione dei dati tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento; - cancellare e/o restituire, su scelta del Titolare, tutti i dati personali dopo che è terminata la prestazione dei servizi relativi a ciascun trattamento; - mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dal Regolamento; - contribuire alle attività di verifica del rispetto del Regolamento, comprese le ispezioni, realizzate dal Titolare o da altro soggetto da questi incaricato. secondo quanto prescritto dal Provvedimento generale del Garante per la Protezione dei dati personali del 27 novembre 2008 e successive modificazioni relativo alle Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema, è necessario attribuire al Responsabile del trattamento le attività di valutazione, designazione, verifica attività e registrazione degli accessi degli amministratori di sistema; il punto 3-bis del suddetto Provvedimento dispone che l eventuale attribuzione al Responsabile del compito di dare attuazione alle prescrizioni di cui al punto 2, lett. d) ed e) avvenga nell ambito della designazione del Responsabile da parte del Titolare o anche tramite opportune clausole contrattuali ; con il presente atto si intende dare attuazione all art. 3-bis del predetto Provvedimento del Garante; tutto ciò premesso, da considerarsi parte integrante e sostanziale del presente atto, ai sensi e per gli effetti del Regolamento UE n.679/2016, NOMINA IC Outsourcing, società consortile in house a responsabilità limitata, Responsabile dei trattamenti di dati personali ad essa affidati in base ai contratti per servizi stipulati e relativi successivi rinnovi, e segnatamente: - istruttoria ed evasione pratiche Registro Imprese; - istruttoria ed evasione pratiche di Bilancio; - archiviazione ottica; - DOGE (gestione documentale archivi cartacei). Più specificamente la nomina della società ICO riguarda: Tipo di dati trattati: tutti i trattamenti dei dati personali, compresi quelli relativi alle credenziali di accesso, alle abilitazioni ai Servizi messi a disposizione da IC Outsourcing e alle operazioni che su tali dati vengono effettuate; Natura e finalità del trattamento: il trattamento dei dati personali ha, in particolare, la finalità di supportare la Camera di Commercio, Titolare del trattamento, nello svolgimento dei propri compiti istituzionali; 2

6 Categorie di interessati: o utenti che usufruiscono dei Servizi messi a disposizione dalla Camera tramite IC Outsourcing; o dipendenti e collaboratori del Titolare; o fornitori e ulteriori terze parti che interagiscono con il Titolare. Le informazioni di dettaglio, relative a ciascun trattamento affidato dal Titolare al Responsabile, sono descritte nel Registro dei Trattamenti informatico che costituisce parte integrante della presente nomina. Il Responsabile manterrà aggiornato il Registro dei Trattamenti informatico per le attività di propria competenza, consentendo eventuale visibilità al Titolare di tutte le informazioni necessarie affinché questo possa esercitare il controllo sui trattamenti affidati. IC Outsourcing è nominata Responsabile dei trattamenti, in quanto ritenuta in possesso di requisiti di esperienza, capacità ed affidabilità tali da fornire idonea garanzia del rispetto delle disposizioni stabilite nel suddetto Regolamento UE n.679/ 2016, ivi compreso il profilo della sicurezza. Il Responsabile è tenuto, pertanto, a comunicare prontamente al Titolare eventuali situazioni sopravvenute che, per il mutare delle conoscenze acquisite in base al progresso tecnico o per qualsiasi altra ragione, possano incidere sulla propria idoneità allo svolgimento dell'incarico, nonché ad informare il Titolare qualora, a suo parere, un istruzione violi disposizioni relative alla protezione dei dati. La società ICO, in qualità di Responsabile del trattamento, dovrà attenersi alle istruzioni impartitegli dal Titolare con il presente atto di nomina. IC Outsourcing, in particolare, dovrà: a) curare che i dati personali oggetto del trattamento siano trattati in modo lecito e secondo correttezza. A tale scopo il Responsabile si atterrà alle disposizioni contenute nel Regolamento UE 2016/679 e nei provvedimenti del Garante della Privacy applicabili nonché ad eventuali istruzioni che saranno fornite dal Titolare; b) mettere in atto le misure tecniche ed organizzative adeguate al fine di garantire un livello di sicurezza adeguato al rischio, tenendo conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati, al qual proposito, il Titolare prende atto che IC Outsourcing è dotata di un proprio Sistema di gestione della sicurezza delle informazioni in costante aggiornamento in relazione allo stato del progresso tecnico; c) provvedere ad impartire alle persone autorizzate al trattamento dei dati la necessaria formazione e le istruzioni necessarie ed opportune al fine di garantire la riservatezza dei dati ed, in generale, il rispetto della normativa vigente e dei Provvedimenti del Garante applicabili; d) attuare un controllo sull'attività svolta dalle persone autorizzate al trattamento al fine di verificare l'effettivo rispetto da parte di questi ultimi delle misure di sicurezza adottate e, comunque, delle istruzioni impartite; e) fornire al Titolare, a semplice richiesta e con le modalità indicate da quest'ultimo, tutti i dati e le informazioni oggetto dei trattamenti affidati al Responsabile. Le valutazioni sulla legittimità del 3

7 trattamento di tali dati, dell'eventuale comunicazione a terzi o diffusione degli stessi spettano al Titolare, congiuntamente ai relativi adempimenti, ivi comprese le informative ai propri dipendenti ed agli altri interessati inerenti al trattamento dei dati; f) trattare per conto del Titolare, con le modalità indicate da quest'ultimo, dati e informazioni necessari ad effettuare comunicazioni a carattere informativo e promozionale nonché a svolgere indagini o ricerche di mercato. Le valutazioni di legittimità sull'utilizzo dei dati ai fini delle predette comunicazioni nonché gli adempimenti previsti dalla normativa vigente in materia di protezione dei dati personali sono di competenza del Titolare; g) assistere il Titolare, tenendo conto della natura del trattamento, al fine di soddisfare l obbligo del Titolare del trattamento di dare seguito alle richieste per l esercizio dei diritti dell interessato per quanto previsto nella normativa vigente; h) in caso di violazione di dati personali, informare il Titolare del trattamento senza ritardo - e comunque entro 48 ore dal momento in cui è venuta a conoscenza della violazione - e collaborare attivamente con il Titolare stesso, nella raccolta documentale e in tutte le attività connesse all eventuale notifica al Garante Privacy e ai soggetti interessati, per quanto previsto nella normativa vigente; i) fornire al Titolare, a semplice richiesta e secondo le modalità indicate da quest'ultimo, i dati e le informazioni necessari per consentire allo stesso di svolgere una tempestiva difesa in eventuali procedure instaurate davanti al Garante o all'autorità Giudiziaria e relative al trattamento dei dati personali; j) compiere tempestivamente quanto necessario per conformarsi a richieste pervenute dal Garante o dall'autorità Giudiziaria o, comunque, dalle Forze dell'ordine; k) mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente atto di nomina, consentendo e contribuendo alle attività di revisione, comprese le ispezioni realizzate dal Titolare (o da un altro soggetto da questi incaricato); l) in generale, prestare la più ampia e completa collaborazione al Titolare e al suo Responsabile per la Protezione dei Dati (Data Protection Officer), al fine di compiere tutto quanto sia necessario ed opportuno per il corretto espletamento dell'incarico nel rispetto della normativa vigente. Il Titolare autorizza IC Outsourcing a ricorrere ad ulteriori eventuali responsabili del trattamento per specifiche attività di trattamento trasferendo su di essi le disposizioni del Titolare e adottando opportune clausole contrattuali al fine di richiamare l'obbligo in capo ai medesimi di rispettare le misure di sicurezza descritte nel presente atto di nomina. Relativamente a quanto prescritto dal Provvedimento del Garante del 27/11/2008 indicato in premessa, IC Outsourcing dovrà: a) procedere alla designazione individuale degli amministratori di sistema o figura equivalente, previa valutazione delle caratteristiche di esperienza, capacità, e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza; b) riportare, per ciascun amministratore di sistema designato, o figura equivalente, l elencazione degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato; 4

8 c) conservare gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema o figura equivalente; d) verificare, con cadenza almeno annuale, l operato degli amministratori di sistema o figure equivalenti in modo da controllarne la rispondenza alle misure organizzative, tecniche e di sicurezza per il trattamento dei dati personali previste dalle norme vigenti; e) adottare sistemi idonei alla registrazione degli accessi logici ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema o figure equivalenti; le registrazioni dovranno essere conservate per un congruo periodo, comunque non inferiore a sei mesi. La presente Nomina opera in sostituzione di ogni precedente atto di pari oggetto, e avrà durata pari al periodo per il quale i trattamenti in questione sono affidati alla società ICO. In caso di cessazione dei rapporti in essere tra le parti e sulla base delle istruzioni che riceverà dalla Camera di Commercio, IC Outsourcing dovrà restituire i dati alla medesima ovvero cancellare i dati in suo possesso, fatto salvo il caso in cui si verifichino circostanze autonome ed ulteriori che giustifichino la continuazione del trattamento dei dati da parte di IC Outsourcing, con modalità limitate previamente concordate con il Titolare del trattamento. Con la sottoscrizione del presente atto, il Responsabile accetta la nomina e, in ottemperanza di quanto disposto dal Regolamento UE n.679/2016 e dal Provvedimento del Garante per la Protezione dei Dati Personali del 27/11/2008, si impegna ad attenersi alle istruzioni impartite dal Titolare. Camera di Commercio, Industria, Artigianato e Agricoltura di Cagliari Il Segretario Generale Dott. Enrico Salvatore Massidda (firma digitale ai sensi del D.Lgs. n. 82/2005) IC Outsourcing, preso atto di quanto previsto nel presente atto di nomina e dalla normativa vigente, dichiara di accettare l incarico di Responsabile del trattamento. Il Direttore Generale IC Outsourcing S.c.r.l. 5