Prefettura di Firenze - Protezione dei dati personali
DOCUMENTI IL PREFETTO DELLA PROVINCIA DI FIRENZE VISTA la legge n. 675/96 e successive modificazioni e integrazioni relativa a tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali ; VISTA la circolare in data 16 Gennaio 1998 n. M/2103/A del Ministero dell Interno - Direzione Generale per l Amministrazione Generale e per gli Affari del Personale; VISTA la circolare in data 27 Maggio 1997 n. 23/97 del Ministero dell Interno - Direzione Generale dei Servizi Civili; VISTA la circolare in data 13 Agosto 1998 n. 3011/5/2/4 del Ministero dell Interno - Gabinetto del Ministro; VISTA la circolare n. 56 in data 19 Maggio 1999 dell Ufficio Studi della Direzione Generale per l Amministrazione Generale e per gli Affari del Personale del Ministero dell Interno; VISTA la circolare in data 24 Settembre u.s. del Ministero dell Interno - Direzione Generale per l Amministrazione Generale e per gli Affari del Personale - Ufficio Studi per l Amministrazione Generale e per gli Affari Legislativi DECRETA I Dirigenti delle Aree, in base alle competenze individuate nell ordinanza n. 09700165/9.B.1 GAB del 27 Ottobre 1997 e successive modifiche, assumono la qualifica di responsabili dei trattamenti di dati personali compresi nell esercizio delle proprie sfere di 674
competenze. I medesimi eserciteranno le proprie funzioni sotto la vigilanza del Prefetto curando l osservanza della normativa in materia di protezione dei dati personali secondo le istruzioni contenute nel presente atto e nelle successive eventuali modifiche e integrazioni. EMANA Le seguenti istruzioni finalizzate a favorire, nell ambito delle responsabilità assegnate dalla legge al titolare del trattamento dei dati personali, la migliore attuazione della normativa di tutela della privacy nello svolgimento dell attività dell ufficio. L UNITÀ PRIVACY Nell ambito della Prefettura viene istituita una unità privacy alla quale è preposto il Dott. Giovanni Lattarulo con il compito di promuovere una adeguata conoscenza della normativa all interno dell ufficio e nell ambiente istituzionale in relazione alle specifiche responsabilità della Prefettura di impulso e coordinamento dell azione delle Pubbliche Amministrazioni. Il responsabile dell unità privacy curerà un continuo aggiornamento sugli sviluppi della normativa e sugli orientamenti emergenti in sede di interpretazione. Garantirà inoltre ogni ausilio venga richiesto dal personale interno in vista di una completa adeguata applicazione della normativa. Il responsabile dell unità privacy coadiuverà infine il Prefetto nell esercizio delle proprie funzioni di vigilanza, di istruzione nei confronti dei Dirigenti nominati responsabili del trattamento e negli altri adempimenti previsti dalla legislazione in materia e dal presente decreto. 675
DOCUMENTI LA NOMINA DEGLI INCARICATI DEI TRATTAMENTI I Dirigenti responsabili dei trattamenti nell ambito delle rispettive competenze provvederanno alla individuazione con specifico atto degli incaricati che saranno tenuti alle singole operazioni di trattamento secondo le istruzioni a loro impartite. L ESERCIZIO DEI DIRITTI DI ACCESSO, OPPOSIZIONE E RETTIFICA I responsabili dei trattamenti garantiranno l esercizio dei diritti di accesso, opposizione e rettifica indicati nell art. 13 l. 675/96 su specifica richiesta dell interessato che sarà soddisfatta entro il termine di giorni 5 secondo le previsioni di legge. L INFORMATIVA AI SENSI DELL ART. 10 L. 675/96 L informativa prevista ai sensi dell art. 10 l. 675/96 dovrà essere garantita a cura dei Dirigenti responsabili dei trattamenti mediante inserimento in rete telematica nel sito Web della Prefettura. L informativa sarà in tal modo acquisibile dal cittadino presso qualsiasi postazione collegata alla rete telematica e quindi eventualmente anche dalla propria abitazione o dal posto di lavoro o da qualsiasi Ufficio per le Relazioni con il Pubblico polifunzionale presente nel territorio. L informativa dovrà essere fornita, secondo le previsioni della legge, ogni qualvolta il dato personale sia raccolto direttamente presso l interessato e quindi nel caso tipico di recepimento di una istanza indirizzata all ufficio preliminare all attivazione di una istruttoria procedimentale tale da comportare necessariamente un trattamento di dati personali. In tali casi l informativa dovrà essere contenuta nella scheda diffusa in rete telematica descrittiva delle modalità di 676
accesso ai servizi. L informativa dovrà essere resa, secondo le previsioni di legge, anche ove i dati personali non siano raccolti presso l interessato qualora il trattamento non sia effettuato in base a un obbligo previsto da legge, regolamento o normativa comunitaria. In tali ipotesi alla pubblicazione in rete telematica potranno essere aggiunte forme ulteriori di assolvimento dell obbligo di informativa ritenute adeguate in relazione alla specificità dei singoli casi. LE MISURE DI SICUREZZA Anche in considerazione del rilievo crescente che riveste il trattamento di dati personali con sistemi informatici con potenzialità di diffusione in ambienti di rete, è prevista la costituzione nell ambito dell ufficio informatica integrato con rappresentanti dell ufficio della Zona Telecomunicazioni di un gruppo di lavoro preposto alla elaborazione di apposite linee guida per la sicurezza che forniranno completa indicazione delle caratteristiche del trattamento dei dati personali nell ambito dello specifico sistema tecnologico della Prefettura e che saranno, una volta approvati, di ausilio ai responsabili dei trattamenti. Dette linee guida consisteranno: di una parte prescrittiva contenente indicazioni sui comportamenti comuni da adottare che prescindono da specificità di singoli trattamenti di dati. Dette prescrizioni si riferiranno ad es. alle modalità di gestione delle password, all uso degli antivirus, all effettuazione di copie di sicurezza dei dati ecc.; di una parte descrittiva contenente illustrazione delle caratteristiche specifiche del sistema informativo della Prefettura anche con riferimento ai collegamenti delle postazioni di lavoro nell ambito delle reti esistenti. Le linee guida dovranno adeguarsi alle misure minime conte- 677
DOCUMENTI nute nel DPR n. 318/99 e alle disposizioni contenute nella legge n. 135/99 in materia di trattamento di dati sensibili e attinenti a provvedimenti giudiziari da parte di soggetti pubblici. Verrà inoltre garantito il rispetto delle particolari cautele contenute nel comma 5 art. 3 l.135/99 con riferimento al trattamento da parte di soggetti pubblici di dati personali idonei a rivelare lo stato di salute e la vita sessuale. Dette linee guida dovranno inoltre venire costantemente aggiornate in relazione all evoluzione tecnica dei sistemi di sicurezza e del contesto tecnologico della Prefettura. Conseguentemente dovranno venire costantemente aggiornate a cura del responsabile del trattamento le determinazioni in merito alle modalità del trattamento dei dati personali con riferimento in particolare alle caratteristiche della loro gestione informatica, all inserimento in reti interne e in rete telematica. LA COMUNICAZIONE AL GARANTE DEI TRATTAMENTI CONSISTENTI NELLA COMUNICAZIONE O DIFFUSIONE A SOGGETTI PUBBLICI DI DATI COMUNI E LA RICHIESTA DI AUTORIZZAZIONE AL TRATTAMENTO DI DATI SENSIBILI O ATTINENTI A PROVVEDIMENTI GIUDIZIARI I dirigenti responsabili del trattamento dovranno comunicare al Prefetto, tramite il Dott. Lattarulo responsabile della unità privacy, i casi di comunicazione o diffusione a soggetti pubblici, esclusi gli enti pubblici economici, dei dati trattati in assolvimento di funzioni istituzionali non previsti espressamente da norme di legge o di regolamento. Di tali trattamenti il Prefetto darà comunicazione, ai sensi dell art. 27 comma 2 della l. 675/96, al Garante per il Trattamento dei Dati Personali per l esercizio della facoltà prevista dalla vigente normativa di disporne, con provvedimento motivato, il divieto di comunicazione o diffusione. Ai fini della richiesta di autorizzazione al Garante ai sensi del 678
comma 3 dell art. 22 l. 675/96, così come sostituito dall art. 5 comma 2 del Decreto Legislativo n. 135/99, e dell art. 24 l. 675/96, i dirigenti responsabili del trattamento dovranno comunicare al Prefetto, tramite il Dott. Lattarulo responsabile dell unità privacy, i trattamenti di dati sensibili o attinenti a provvedimenti giudiziari che non siano previsti da espressa disposizione di legge o dai decreti legislativi di modificazione e integrazione della l. 134/99, emanati in attuazione della legge 31 Dicembre 1996 n. 676. IL PREFETTO (Serra) Firenze, 18 ottobre 1999 679