COMUNE DI MOTTEGGIANA Provincia di Mantova REGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI APPROVATO CON DELIBERAZIONE DEL CONSIGLIO COMUNALE N.104 DEL 24 NOVEMBRE 1999 RIPUBBLICATO IN DATA IN VIGORE DAL
Sommario: Art. 1 Ambito di applicazione Art. 2 Finalità Art. 3 Definizione di riferimento Art. 4 Individuazione delle banche dati Art. 5 Individuazione di titolari e responsabili di trattamento Art. 6 Responsabile Art. 7 Circolazione dei dati all interno del Comune Art. 8 Trattamento dei dati Art. 8 bis Dati sensibili Art. 8 ter Individuazione delle tipologie di dati e delle operazioni eseguibili per attività con rilevanti finalità di interesse pubblico individuate dalla legge o dal garante Art. 9 Richieste di comunicazione e diffusione dei dati effettuate dai privati e da altri enti pubblici Art.10 Informazione Art.11 Diritti dell interessato Art.12 Rapporto con il garante Art.13 Sicurezza Art.14 Controlli Art.15 Richiesta di accesso ai documenti amministrativi Art.16 Disposizioni transitorie entrata in vigore
ART. 1 - AMBITO DI APPLICAZIONE 1. Il presente regolamento disciplina il trattamento dei dati personali contenuti nelle banche dati organizzate, gestite od utilizzate dall'amministrazione Comunale, in relazione a quanto previsto dalla legge 31 Dicembre 1996, n. 675 nonché dal D. Lgs. n. 135/99. 2. Ai fini del presente regolamento si intendono: a) per finalità istituzionali: - le funzioni previste dalla legge, dallo statuto, dal regolamento; - le funzioni svolte per mezzo di intese, accordi di programma e convenzioni b) per attività che perseguono rilevanti finalità di interesse pubblico tutte quelle svolte dal comune in relazione a funzioni e compiti a esso attribuiti, delegati o conferiti dalla normativa statale e regionale vigente, nonché quelle inerenti all'organizzazione dell'amministrazione e allo sviluppo dell'attività amministrativa, nei suoi vari profili. ART.2 - FINALITA' 1. Il Comune, garantendo che il trattamento dei dati personali si svolga nel rispetto del diritto alla riservatezza ed all'identità personale delle persone fisiche e giuridiche, favorisce la trasmissione di dati o documenti tra le banche dati e gli archivi degli Enti territoriali, degli Enti Pubblici, dei gestori, degli esercenti, degli incaricati di pubblico servizio, operanti nell'ambito dell'unione Europea. 2. La trasmissione dei dati può avvenire anche attraverso sistemi informatici, e telematici, reti civiche, nonché mediante l'utilizzo di reti di trasmissione di dati ad alta velocità. ART. 3 - DEFINIZIONE DI RIFERIMENTO 1. Ai fini del presente regolamento, per le definizioni di banca dati, di trattamento, di dato personale, di titolare, di responsabile, di interessato, di comunicazione, di diffusione, di dato anonimo, di blocco e di garante si fa riferimento a quanto previsto dagli artt. 1-22-24 della legge 31 dicembre 1996, n 675. ART. 4 - INDIVIDUAZIONE DELLE BANCHE DATI 1. Le banche dati gestite dall'amministrazione Comunale sono individuate con provvedimento della Giunta Comunale su proposta del Responsabile di Servizio. 2. In sede di prima applicazione del regolamento, i responsabili di servizio sono tenuti ad effettuare un censimento delle banche dati esistenti presso il proprio ufficio o servizio. ART.5 - INDIVIDUAZIONE DI TITOLARI E RESPONSABILI DI TRATTAMENTO 1. Ai fini dell'applicazione della legge 31 dicembre 1996, n. 675, il Comune è titolare del trattamento dei dati personali, contenuti nelle banche dati automatizzate o cartacee del Comune stesso. Gli adempimenti previsti dalla legge 675/96 sono effettuati dal Sindaco in quanto rappresentante dell'ente o da persona da questi delegata.
2. Ai fini dell'attuazione della legge 675/96, nell'ambito del Comune, con riferimento agli uffici e ai servizi in esso individuati, i responsabili del trattamento sono i responsabili degli uffici e/o dei servizi del Comune, con riferimento al regolamento di organizzazione degli uffici. 3. La nomina del responsabile del trattamento e' effettuata dal sindaco con proprio provvedimento. Il sindaco può, comunque designare, con provvedimento motivato un responsabile del trattamento dei dati diverso dai soggetti sopra indicati, ai sensi dell'art. 8 della legge n 675/96. 4. Per esigenze organizzative possono essere designati responsabili più soggetti. 5. Il Sindaco, nel medesimo provvedimento di cui al precedente punto 3 o con separato atto, può individuare il sostituto in caso di assenza o impedimento del responsabile del trattamento dei dati. 6. Il provvedimento di nomina deve specificare analiticamente i compiti affidati al responsabile. ART. 6 - RESPONSABILE 1. Il responsabile, prima di iniziare l'attività, deve accettare la nomina per iscritto. Tale accettazione costituisce conferma della conoscenza degli obblighi che si assume in relazione alla legge n 675/96 e impegno a procedere al trattamento dei dati attenendosi alle istruzioni impartite, nel pieno rispetto di quanto imposto dall'art. 8 comma n 2 della predetta legge. 2. Il responsabile provvede ad impartire per iscritto agli incaricati del trattamento dei dati le istruzioni in merito alle operazioni di raccolta e trattamento e a vigilare sulla loro applicazione. 3. Il responsabile inoltre: a) cura il coordinamento di tutte le operazioni di dati affidate ad operatori appartenenti al settore o alle unita operative cui sovrintende; b) procede alle verifiche sulla metodologia di introduzione e di gestione dati, anche attraverso controlli a campione da eseguirsi periodicamente; c) e' responsabile dei procedimenti di rettifica dati; d) impartisce le disposizioni operative per la sicurezza della banca dati e dei procedimenti di gestione e/o trattamento dei dati stessi; e) cura la relazione delle singole banche dati cui sovrintende con l'ufficio informatica del Comune; f) cura la comunicazione agli interessati del trattamento dati e la loro diffusione; g) dispone il blocco dei dati, qualora sia necessaria una sospensione temporanea delle operazioni di trattamento; h) provvede a dare istruzioni per la corretta elaborazione dei dati personali. 4. Nelle ipotesi di blocco dei dati o dell'accesso ai medesimi attraverso reti di trasmissione ad alta velocità o terminali accessibili al pubblico, il Responsabile ne da tempestiva comunicazione al Sindaco ed al Segretario comunale. 5. Nel caso in cui il Responsabile sia persona giuridica, l incarico è affidato ed accettato per 1 esclusiva ragione che il profilo societario, in termini di proprietà, uomini e attrezzature è da ritenersi idoneo a soddisfare i requisiti di esperienza, capacita, ed affidabilità, previsti dall' art.8 comma 1, della legge n 675/96. Qualsiasi mutamento dei predetti requisiti, che possa sollevare incertezze sul mantenimento dei medesimi, deve essere preventivamente segnalato al comune che potrà esercitare in piena autonomia e libertà, di valutazione, il diritto
di recesso, senza penali ed eccezioni di sorta. Il divieto di comunicazione di cui al successivo art. 7 comma 5 opera nei confronti del responsabile e di tutti i suoi dipendenti e collaboratori. 6. Nel caso in cui i dati personali siano gestiti da un soggetto esterno, ad esempio sulla base di una convenzione o di un contratto di "outsourcing", il comune, nella persona del titolare, designerà il terzo responsabile al quale saranno impartite le istruzioni di cui all'art. 8 della legge n 675/96. ART. 7 - CIRCOLAZIONE DEI DATI ALL'INTERNO DEL COMUNE 1. Nell'ambito del proprio ufficio o servizio, il responsabile del trattamento dei dati designa gli incaricati del trattamento. La designazione è effettuata per iscritto e gli incaricati dì trattamento operano sotto la diretta autorità del Responsabile. 2. Nel caso in cui il titolare designi incaricati trattamento, i medesimi operano sotto la sua autorità. 3. La conoscenza dei dati personali da parte degli incaricati di trattamento non costituisce comunicazione. 4. Ogni richiesta di trattamento dei dati personali, da parte di soggetti diversi dagli incaricati e dai responsabili, debitamente motivata, deve essere soddisfatta, con le modalità previste dal responsabile del trattamento nella misura necessaria al proseguimento dei fini istituzionali. 5. E' fatto obbligo a chiunque assuma la veste di incaricato di rispettare il divieto di comunicazione e diffusione dei dati trattati non solo in vigenza dell'incarico, ma anche successivamente, senza limiti temporali, per tutto il tempo durante il quale sarà, in vigore tale divieto. ART. 8 - TRATTAMENTO DEI DATI 1. I dati in possesso dell'amministrazione sono di norma trattati in forma elettronica o mediante l'ausilio di sistemi automatizzati. 2. Le disposizioni del presente regolamento si applicano, in quanto compatibili, al trattamento dei dati svolto senza l'ausilio di mezzi elettronici o comunque non automatizzati. 3. Ad eccezione delle ipotesi di trasferimento di dati tra enti pubblici o associazioni di categoria, e' esclusa la messa a disposizione o la consultazione di dati in blocco e la ricerca per nominativo di tutte le informazioni contenute nella banca dati, senza limiti di procedimento o settore. 4. Ai sensi del trattamento dei dati sensibili si fa riferimento al sistema di garanzie previsto dal D. Lgs. n. 135/99. ART. 8 BIS - DATI SENSIBILI 1. Ai fini del presente regolamento si intendono: a) per dato sensibile, ogni informazione di natura sensibile o attinente a provvedimenti giudiziari, qualificata e individuata con riferimento a quanto previsto dagli artt. 22, comma 1, e 24 della legge n. 675/96, nonché assoggettata al sistema di garanzie definito dal dlgs n. 135/99;
b) per tipi di dati, le categorie di dati, individuati sotto il profilo gestionale e operativo, normalmente utilizzati per lo svolgimento dell'attività amministrativa e comunque riferibili al novero dei dati sensibili; c) per operazioni eseguibili, le differenti forme e soluzioni di trattamento realizzabili sulle tipologie di dati sensibili individuati dall'ente; d) per rilevanti finalità di interesse pubblico, le finalità, individuate dal dlgs n. 135/99, dalla legge o dal garante, connesse alle attività istituzionali dell'ente, che lo stesso svolge per realizzare interessi pubblici e soddisfare bisogni della comunità locale, comportanti la possibilità di trattamento semplificato dei dati sensibili. 2. Ai fini della individuazione delle tipologie di dati e delle operazioni eseguibili per attività con rilevanti finalità di interesse pubblico si fa riferimento alla tabella allegata al presente regolamento. 3. Nell'ambito del regolamento di organizzazione degli uffici e dei servizi o con appositi atti la Giunta adotta, secondo quanto previsto dalla legge n. 127/97, specifiche disposizioni organizzative per i vari settori dell'amministrazione, volte a regolamentare i profili operativi del trattamento di dati sensibili nel rispetto dei criteri dettati dagli artt. 1, 2, 3, 4 del dlgs n. 135/99. Le disposizioni organizzative del presente articolo devono essere coerenti con i provvedimenti attuativi della legge n. 675/96 e devono essere adottate con particolare riguardo per: a) la corretta gestione del rapporto tra amministrazione e cittadini; b) la semplificazione delle modalità di trattamento dei dati personali; c) la definizione di adeguate garanzie per le operazioni inerenti ai dati sensibili. ART. 8 TER INDIVIDUAZIONE DELLE TIPOLOGIE DI DATI E DELLE OPERAZIONI ESEGUIBILI PER ATTIVITA CON RILEVANTI FINALITA DI INTERESSE PUBBLICO INDIVIDUATE DALLA LEGGE O DAL GARANTE 1. A fronte delle rilevanti finalità di interesse pubblico individuate dalla legge o dal garante, in assenza della definizione delle tipologie di dati e delle operazioni eseguibili, per poter garantire il corretto svolgimento delle attività istituzionali il comune provvede a determinare quali tipi di dati sensibili sono trattabili e quali forme di gestione su di essi possano essere realizzate. 2. Con propria deliberazione, la giunta indica i tipi di dati sensibili correlabili alle rilevanti finalità di interesse pubblico date dalla legge o dal garante e definisce le relative operazioni eseguibili. 3. Ai contenuti della deliberazione di cui al comma precedente è data massima diffusione presso le varie articolazioni organizzative dell'amministrazione e nelle relazioni della stessa con la comunità locale. 4. Per la diffusione dei contenuti della deliberazione di cui al comma 2 possono essere utilizzate soluzioni differenziate, ivi comprese quelle comportanti l'utilizzo delle reti telematiche e dei mezzi di comunicazione di massa. 5. L'aggiornamento del quadro di riferimento per le tipologie di dati sensibili assoggettabili a trattamento secondo le garanzie del dlgs n. 135/99 e per le operazioni su di essi eseguibili viene effettuato annualmente dalla giunta, con proprio provvedimento. 6. L'aggiornamento può aversi anche entro termini infrannuali, qualora innovazioni normative, tecnologiche o rilevanti trasformazioni gestionali rendano necessaria l'individuazione di nuove tipologie di dati o di operazioni eseguibili. 7. Nell'informativa resa ai sensi dell'art. 10 della legge n. 675/96 ai soggetti che conferiscono dati al comune per lo svolgimento di un'attività istituzionale sono fornite tutte le indicazioni
inerenti alla corrispondente rilevante finalità di interesse pubblico perseguita, i tipi di dati sensibili per i quali risulta necessario attivare un trattamento e le operazioni eseguibili sui medesimi dati. ART. 9 - RICHIESTE DI COMUNICAZIONE E DIFFUSIONE DEI DATI EFFETTUATE DAI PRIVATI E DA ALTRI ENTI PUBBLICI 1. Ogni richiesta rivolta dai privati al Comune è finalizzata ad ottenere il trattamento, la diffusione e la comunicazione dei dati personali anche contenuti in banche di dati deve essere scritta e motivata. In essa devono essere specificati gli estremi del richiedente e devono essere indicati i dati ai quali la domanda si riferisce e lo scopo per il quale sono richiesti. La richiesta deve, inoltre, indicare le norme di legge o di regolamento in base alle quali è avanzata. 2. Il responsabile dopo avere valutato che il trattamento, la diffusione e la comunicazione dei dati personali sono compatibili con i propri fini istituzionali e non ledono i diritti tutelati dalla legge 675/96 e, in particolare, il diritto alla riservatezza e il diritto alla identità personale dei soggetti cui i dati si riferiscono, provvede alla trasmissione dei dati stessi nella misura e secondo la modalità strettamente necessaria a soddisfare la richiesta. 3. Le richieste di comunicazione e diffusione dei dati provenienti da altri Enti pubblici sono soddisfatte, oltre che quando sono disciplinate da una norma di legge o di regolamento, quando siano necessarie al perseguimento dei fini istituzionali del richiedente, che quest'ultimo avrà cura di indicare, oltre che dei fini istituzionali del Comune. ART. 10 - INFORMAZIONE 1. A cura del responsabile di una banca dati o di un suo delegato viene data ampia diffusione degli obblighi informativi di cui all'art.10 della legge 31 dicembre 1996 n 675. 2. I responsabili dei servizi favoriscono a tal fine 1 introduzione anche in via elettronica, di modulistica che contenga un breve prospetto informativo e dichiarazioni facoltative di consenso alla circolazione, ad eccezione delle ipotesi previste dall'art. 12 della legge 31 dicembre 1996 n 675. ART. 11 - DIRITTI DELL INTERESSATO 1. Le richieste per l'esercizio dei diritti di cui all'art.13 della legge 31 dicembre 1996 n 675 sono presentate al protocollo del Comune. 2. La Giunta Comunale determina il contributo spese a carico del richiedente in via transitoria, sino all'adozione del regolamento di cui all'art. 33, comma 2 della legge 31 dicembre 1996 n 675. 3. Nelle ipotesi in cui per la sensibilità, dei dati sia necessario il consenso dell'interessato, il medesimo consenso è prestato in forma scritta, anche mediante l'utilizzo di strumenti informatici e telematici. ART. 12 - RAPPORTO CON IL GARANTE 1. Il titolare del trattamento e' tenuto ad inviare al garante le comunicazioni e le notificazioni previste dalla legge 31 dicembre 1996, n 675.
2. Ai fini dell individuazione delle attività che perseguono rilevanti finalità di interesse pubblico non rapportabili al quadro normativo del dlgs n. 135/99 e per consentire al garante per la protezione dei dati personali di adottare specifici provvedimenti ai sensi dell'art. 22, commi 3 e 3-bis della legge n. 675/96, l'amministrazione: a) verifica la rilevanza delle attività istituzionali comportanti il trattamento di dati sensibili in relazione al buon andamento dell'attività amministrativa; b) verifica quali di queste attività non possono essere ricondotte al quadro di riferimento dettato dal suindicato decreto legislativo; c) individua e configura la rilevanza dell'interesse pubblico perseguito con la particolare attività istituzionale. 3. L'amministrazione comunica al garante per la protezione dei dati personali le attività individuate in base al precedente comma 2 con modalità definite dalla giunta nelle disposizioni organizzative di cui all'art. 8 bis comma 3. ART. 13 - SICUREZZA 1. Il responsabile delle banca dati provvede, sino all'entrata in vigore del regolamento di cui all'art. 15, comma 2, della legge 31 dicembre 1996 n 675, all'adozione di misure di sicurezza anche al fine di prevenire: a) i rischi di distruzione, perdita dei dati o danneggiamento della banca dati o dei locali ove essa e' collocata; b) l'accesso non autorizzato; c) modalità, di trattamento dei dati non conforme a legge o al regolamento; d) la cessione e/o la distribuzione dei dati in caso di cessazione del trattamento. 2. All'entrata in vigore del Regolamento di cui all'art. 15 comma 2 della legge n.675/96, il Responsabile provvede alla verifica e all'adeguamento, se necessario, delle misure di sicurezza adottate rispetto a quelle minime individuate nel predetto Regolamento. 3. Il responsabile provvederà a verificare ed adeguare periodicamente le misure di sicurezza in relazione alle disposizioni di legge, all evoluzione tecnica del settore e all esperienza maturata. ART. 14 - CONTROLLI 1. A cura del responsabile della banca dati sono periodicamente attivati controllo, anche a campione, al fine di garantire la sicurezza della banca dati e l attendibilità dei dati inseriti. 2. I responsabili di servizio provvedono, con propri atti a dar corso alle disposizioni organizzative in materia di dati sensibili nelle articolazioni organizzative cui sono preposti. ART. 15 - RICHIESTA DI ACCESSO AI DOCUMENTI AMMINISTRATIVI 1. Le richieste di accesso ai documenti amministrativi, ove sussistano le condizioni individuate dalle norme vigenti in materia, sono soddisfatte nella misura strettamente necessaria a garantire l esercizio del diritto, nel rispetto delle disposizioni della legge 675/96. In particolare, non saranno comunicati quei dati personali di soggetti terzi che non abbiano diretta rilevanza per soddisfare la richiesta di accesso. 2. Le richieste di accesso presentate dai consiglieri comunali si presumono effettuate per l espletamento del loro mandato. Nel caso in cui le richieste siano presentate per ragioni diverse si applicherà il comma precedente.
3. Il diritto di accesso è esercitato con le modalità previste nel regolamento dei diritti di accesso alle informazioni ed agli atti e documenti amministrativi. ART. 16 DISPOSIZIONI TRANSITORIE ENTRATA IN VIGORE 1. Per quanto non previsto nel presente regolamento, si applicano le disposizioni di cui alla legge 31 dicembre 1996, n 675 del regolamento dei diritti di accesso dei cittadini alle informazioni e agli atti e documenti amministrativi. 2. Il presente regolamento entrerà in vigore a seguito della sua pubblicazione all albo pretorio per 15 giorni consecutivi, da effettuarsi dopo l avvenuta esecutività della delibera di adozione del medesimo.