REGOLAMENTO SULLA PROTEZIONE DEI DATI PERSONALI DELLA CITTA’ METROPOLITANA DI FIRENZE PREMESSA
REGOLAMENTO SULLA PROTEZIONE DEI DATI PERSONALI DELLA CITTA’ METROPOLITANA DI FIRENZE PREMESSA
Art. 1 – OGGETTO
1. Il presente Regolamento disciplina le misure organizzative ed i processi interni di attuazione del Regolamento europeo n. 2016/679 (d’ora in avanti GDPR) e del D. lgs. n. 196/2003 (d’ora in avanti Codice della Privacy) relative al trattamento di dati personali per finalità istituzionali della Città Metropolitana di Firenze., come previsto dall’art. 2 comma 3 dello Statuto.
2. Ai fini del presente Regolamento, per finalità istituzionali si intendono quelle:
a) previste dalla legge, dallo statuto e dai regolamenti;
b) esercitate in attuazione di convenzioni, accordi nonché sulla base degli strumenti di programmazione e pianificazione previsti dalla legislazione vigente;
c) svolte per l’esercizio dell’autonomia organizzativa, amministrativa e finanziaria dell’ente;
d) in esecuzione di un contratto con i soggetti interessati.
Il presente regolamento si applica anche a tutti i trattamenti di dati personali per i quali l’interessato abbia espresso il proprio consenso.
Per tutto quanto non espressamente disciplinato con le presenti disposizioni, si rimanda a quanto previsto dalla normativa vigente in materia di protezione dei dati personali e alle disposizioni contenute nei provvedimenti della Autorità Garante per la Protezione dei dati personali e del Comitato europeo per la protezione dei dati personali.
Art. 2 – PRINCIPI
Nella applicazione del presente Regolamento e in ogni caso di trattamento di dati personali, la Città Metropolitana di Firenze garantisce che tale trattamento si svolga nel rispetto dei diritti e delle libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali, come previsto dal GDPR.
La Città Metropolitana di Firenze tratta i dati personali applicando i principi di:
- Liceità, correttezza e trasparenza
- Limitazione delle finalità
- Minimizzazione dei dati
- Esattezza
- Limitazione della conservazione
- Integrità e riservatezza
- Responsabilizzazione.
La Città Metropolitana di Firenze adotta le misure tecniche e organizzative adeguate per impedire il verificarsi di violazioni dei dati personali, intese quali violazioni della sicurezza che possano comportare accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati dall’ente.
I principali rischi per i diritti e le libertà degli interessati conseguenti ad una violazione, in conformità al considerando art. 75 del RGPD, sono i seguenti:
- danni fisici, materiali o immateriali alle persone fisiche;
- perdita di controllo dei dati personali;
- limitazione dei diritti, discriminazione;
- furto o usurpazione d’identità;
- perdite finanziarie, danno economico o sociale;
- decifratura non autorizzata della pseudonimizzazione;
- pregiudizio alla reputazione;
- perdita di riservatezza dei dati personali protetti da segreto professionale (sanitari, giudiziari).
La Città Metropolitana di Firenze promuove, al suo interno, ogni strumento di sensibilizzazione, ivi comprese le attività di formazione ed aggiornamento del personale, che possa consolidare la conoscenza e il rispetto delle regole volte alla protezione dei dati personali e migliorare la qualità dei servizi offerti ai cittadini.
Art. 3 – TRATTAMENTO DI CATEGORIE PARTICOLARI DI DATI PERSONALI PER MOTIVI DI INTERESSE PUBBLICO RILEVANTE
A norma degli Artt. 9 par. 2 lett. g del GDPR e 2 sexies del Codice della Privacy, la Città metropolitana di Firenze effettua trattamenti di categorie particolari di dati personali per motivi di interesse pubblico rilevante nelle seguenti materie:
– le attività finalizzate all’applicazione della disciplina in materia di elettorato attivo e passivo degli aventi diritto al voto e di esercizio di altri diritti politici, nonché dirette all’esercizio del mandato degli organi rappresentativi;
– le attività finalizzate all’applicazione della disciplina relativa alla documentazione dell’attività istituzionale;
– le attività finalizzate all’instaurazione ed alla gestione dei rapporti di lavoro sia in ordine all’espletamento degli adempimenti previsti in relazione al trattamento economico e giuridico, sia in materia sindacale, di igiene e sicurezza del lavoro;
– le attività dirette all’applicazione, anche tramite i concessionari del servizio, delle disposizioni in materia di tributi in relazione ai contribuenti, ai sostituti e ai Responsabili d’imposta, nonché in materia di deduzioni e detrazioni;
– le attività finalizzate all’applicazione della disciplina in materia di rapporti con le organizzazioni di volontariato;
– le attività svolte in conformità di leggi o di regolamenti per l’applicazione della disciplina sull’accesso ai documenti amministrativi.
Sono considerati trattamenti effettuati per motivi di interesse pubblico rilevante tutti quelli posti in essere dalla Città metropolitana di Firenze nelle materie indicate dall’art. 2 sexies comma 2 del Codice della Privacy.
Art. 4 – DEFINIZIONI
Il presente Regolamento utilizza e fa espresso rinvio alle definizioni contenute nell’Art. 4 del GDPR. PARTE PRIMA – SOGGETTI E NOMINE
Art. 5 – TITOLARE DEL TRATTAMENTO
Il Titolare del trattamento dei dati personali ai sensi della normativa in materia di protezione dei dati personali è la Città Metropolitana di Firenze, in persona del Sindaco metropolitano pro-tempore. Questi è responsabile per tutte le decisioni in ordine alle finalità ed alle modalità del trattamento dei dati e può agire tramite un suo delegato per le competenze attribuite dal presente regolamento.
Art. 6 CONTITOLARI
Nel caso di esercizio associato di funzioni e servizi, nonché per i compiti la cui gestione è affidata alla Città Metropolitana di Firenze da enti ed organismi statali o regionali, allorché due o più titolari determinano congiuntamente, mediante accordo, le finalità ed i mezzi del trattamento, si realizza la contitolarità di cui all’art. 26 del GDPR.
Un accordo tra le parti definisce le responsabilità di ciascuno dei Titolari in merito all’osservanza degli obblighi per la protezione dei dati personali, con particolare riferimento all’esercizio dei diritti degli interessati e alla comunicazione agli stessi delle informazioni di cui agli articoli 13 e 14 del GDPR.
Il contenuto essenziale di tale accordo è pubblicato nel sito istituzionale della Città Metropolitana di Firenze.
Art. 7 – RESPONSABILI INTERNI DEL TRATTAMENTO
Sono Responsabili interni del trattamento dei dati personali tutti i dirigenti della Città Metropolitana di Firenze, ciascuno per le funzioni di propria competenza. I Responsabili interni sono designati dal Sindaco metropolitano con il decreto di attribuzione delle funzioni dirigenziali e sono responsabili del trattamento dei dati personali riferibili a dette funzioni.
Il Responsabile interno anche a seguito di idonea formazione, possiede adeguata conoscenza specialistica, esperienza, capacità ed affidabilità, per mettere in atto le misure tecniche ed organizzative volte a garantire che i trattamenti siano effettuati in conformità al GDPR.
I nominativi dei Responsabili interni sono pubblicati nel sito istituzionale della Città Metropolitana di Firenze nella sezione Amministrazione trasparente.
Art. 8 RESPONSABILI ESTERNI DEL TRATTAMENTO
Sono definiti Responsabili esterni i soggetti pubblici o privati non facenti parte dell’organizzazione della Città Metropolitana di Firenze che trattano i dati per conto e su istruzione documentata dell’ente. Il Titolare del trattamento stipula con tali soggetti un contratto o altro atto giuridico che definisce la materia
disciplinata, la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.
Nelle convenzioni, nelle concessioni, nei contratti, negli incarichi professionali o altri strumenti giuridici consentiti dalla legge con cui è affidata a tali soggetti esterni la gestione di attività e servizi per conto della Città Metropolitana, è prevista espressamente la nomina degli stessi soggetti affidatari quali Responsabili esterni del trattamento dei dati personali connessi alle attività istituzionali affidate.
Art. 9 – INCARICATI
I dipendenti che nello svolgimento delle proprie mansioni trattano dati personali sono nominati quali incaricati al trattamento dal Responsabile interno della propria unità organizzativa. La nomina avviene in sede di predisposizione degli atti di micro-organizzazione, facendo esplicito riferimento alle corrispondenti attività di trattamento individuate nel Registro di cui al successivo art. 19.
Il Responsabile interno garantisce che chiunque agisca sotto la sua autorità ed abbia accesso a dati personali sia in possesso di apposita formazione ed istruzione e sia impegnato alla riservatezza.
Il Responsabile dei Servizi informativi predispone una modalità operativa che assicuri l’accesso informatico dell’incaricato ai soli dati personali necessari a svolgere le mansioni riportate nell’atto di nomina. In particolare, provvede ad una mappatura di tutte le autorizzazioni all’accesso informatico ai dati dell’ente, che viene aggiornata a seguito di ogni modifica degli atti di incarico. A tal fine, i Responsabili interni competenti comunicano al Responsabile dei Sistemi informativi ogni modifica relativa alle mansioni dei dipendenti che comporti una variazione nelle attività di trattamento dei dati personali a cui gli stessi sono autorizzati.
Art. 10 – INTERESSATI
Assume la qualifica di interessato ogni persona fisica individuata o individuabile cui i dati personali trattati dalla Città Metropolitana di Firenze si riferiscono. A titolo esemplificativo e non esaustivo, ove i loro dati siano trattati dal Titolare, sono interessati i cittadini, i dipendenti dell’ente, i non residenti, i turisti, i fruitori di servizi online.
Art. 11 – RESPONSABILE DELLA PROTEZIONE DEI DATI PERSONALI (DATA PROTECTION OFFICER, DPO)
Il Titolare del trattamento dei dati nomina con proprio decreto motivato il Responsabile della protezione dei dati (DPO). Il DPO può essere una figura dirigenziale interna all’ente oppure un soggetto esterno. Esso garantisce conoscenza e competenza sulla disciplina della protezione dei dati e che è in posizione di autonomia nei confronti del Titolare del trattamento. Il Responsabile della protezione dei dati, ove individuato internamente all’ente, può ricoprire altri ruoli purché non generino conflitti di interesse con la sua funzione.
Il DPO è tenuto al segreto e alla riservatezza in merito all’adempimento dei propri compiti; egli riferisce direttamente al Sindaco metropolitano e al vertice gerarchico dell’ente.
La nomina del DPO è comunicata all’Autorità Garante per la protezione dei dati personali ed a tutto il personale in modo che la sua presenza e le sue funzioni siano note a tutti i dipendenti.
Il nominativo del DPO e un recapito email della funzione sono pubblicati nel sito istituzionale della Città Metropolitana di Firenze nella sezione Amministrazione trasparente.
Art. 12 - AMMINISTRATORE DI SISTEMA
La Città Metropolitana di Firenze si avvale di un c.d. Amministratore di sistema, al fine di assicurare che il sistema informatico dell’Ente sia strutturato e gestito in modo da garantire le misure tecniche e organizzative adeguate per la necessaria protezione dei dati personali trattati attraverso il sistema medesimo. La Città Metropolitana applica quanto previsto Garante per la protezione dei dati personali con provvedimenti del 27.11.2008 e del 25.6.2009 e ss.mm.ii..
L’Amministratore di sistema viene nominato dal Dirigente responsabile dei Servizi Informativi. L’Amministratore di sistema collabora con il DPO fornendo allo stesso supporto ed assistenza. PARTE SECONDA – COMPITI E FUNZIONI
Art. 13 – COMPITI DEL TITOLARE DEL TRATTAMENTO
Il Titolare mette in atto adeguate misure tecniche ed organizzative al fine di garantire ed essere in grado di dimostrare che i trattamenti di dati personali effettuati dalla Città Metropolitana di Firenze sono conformi al GDPR e al Codice della Privacy.
Tali misure sono definite fin dalla fase di progettazione dei trattamenti al fine di garantire la protezione dei dati personale e di agevolare l’esercizio dei diritti dell’interessato.
Il Titolare dirama le direttive necessarie per l’applicazione delle disposizioni della normativa vigente in materia di protezione dei dati personali e del presente Regolamento, sentito il Responsabile della Protezione dei dati.
Tramite verifiche periodiche esso vigila sulla osservanza delle istruzioni scritte impartite ai Responsabili e sul pieno rispetto delle vigenti disposizioni in materia di trattamento dati.
Art. 14 – COMPITI DEL RESPONSABILE INTERNO DEL TRATTAMENTO
Il Responsabile interno del trattamento svolge, per il proprio ambito di competenza, tutte le attività previste dalla legge e i compiti specificati nel provvedimento di nomina. In particolare:
– nomina per iscritto i dipendenti appartenenti al suo ufficio quali incaricati al trattamento, autorizzando i medesimi ad accedere ai dati personali al fine di svolgerne il trattamento afferente i rispettivi compiti istituzionali;
– garantisce che gli incaricati siano impegnati alla riservatezza e che siano in possesso di idonea formazione e supervisiona il rispetto della normativa sulla protezione dei dati personali nel compimento delle attività di trattamento di loro competenza;
– predispone le informative di cui agli articoli 13 e 14 del GDPR da fornire agli interessati, redigendo la necessaria modulistica o determinando altre forme idonee di informazione inerenti i trattamenti di competenza della propria struttura organizzativa;
– nomina i Responsabili esterni del trattamento, a norma degli articoli 8 e 15 del presente regolamento;
– stipula accordi con altri soggetti pubblici e privati per l’esercizio del diritto di accesso alle banche dati nei limiti previsti dalle disposizioni legislative e regolamentari;
– individua ed attua, insieme al Titolare del trattamento, misure adeguate per garantire la sicurezza dei trattamenti;
– collabora con il Titolare del trattamento per dare seguito alle richieste per l’esercizio dei diritti degli interessati, relative a trattamenti di dati personali posti in essere nel proprio ufficio;
– compila la sezione di competenza del proprio ufficio del Registro dei trattamenti di cui all’art. 30 del GDPR della Città metropolitana di Firenze;
– cura la pubblicazione nel sito della Città metropolitana di Firenze del contenuto essenziale degli accordi di contitolarità di propria competenza;
– riferisce al Titolare del trattamento e al DPO ogni violazione di dati personali di cui viene a conoscenza senza ritardo e li assiste nel procedimento di notifica della violazione al Garante;
– fornisce assistenza al Titolare del trattamento per le comunicazioni all’interessato di violazione dei dati personali nei casi previsti dall’art. 34 GDPR;
– nel caso in cui un tipo di trattamento, specie se prevede in particolare l’uso di nuove tecnologie, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, sentito il DPO, effettua una valutazione dell’impatto del trattamento sulla protezione dei dati personali (Data Protection Impact Assesment, DPIA) ai sensi dell’art. 35 GDPR, considerati la natura, l’oggetto, il contesto e le finalità del trattamento medesimo.
Art. 15 – COMPITI DEL RESPONSABILE ESTERNO DEL TRATTAMENTO
Ai Responsabili esterni si applicano le disposizioni dell’articolo 28 del GDPR.
In particolare, a maggiore specificazione di quanto indicato nell’art. 28 del GDPR, la nomina a Responsabile esterno prevede che:
- il Responsabile esterno effettui tutte le comunicazioni al Titolare utilizzando il contatto del Responsabile interno che ha provveduto alla nomina;
- eventuali violazioni di dati personali siano comunicate al Responsabile interno di cui sopra e al DPO non oltre 48 ore dal momento in cui il Responsabile esterno ne sia venuto a conoscenza;
- il Responsabile restituisca / cancelli i dati entro il termine definito nel contratto.
Per verificare il pieno rispetto delle prescrizioni di cui all’art. 28 GDPR il Titolare effettua ispezioni anche di terza parte nei confronti del Responsabile esterno, con cadenza definita nella nomina.
Art. 16 – COMPITI DELL’INCARICATO
Ogni incaricato deve attenersi alle istruzioni ricevute, che individuano con esattezza l’ambito, le modalità e i limiti al trattamento dei dati personali.
In particolare, l’incaricato:
- opera sotto la diretta autorità del Responsabile interno;
- collabora con il Responsabile interno alla compilazione del Registro dei trattamenti, nella sezione di competenza del proprio ufficio;
- collabora con il Responsabile interno per dare seguito alle richieste per l’esercizio dei diritti degli interessati, relative a trattamenti di dati personali posti in essere nel proprio ufficio;
- informa senza ritardo il Responsabile interno del suo ufficio se viene a conoscenza di una violazione dei dati personali; se la violazione riguarda un trattamento non afferente al proprio ufficio, informa senza ritardo il DPO;
- collabora con il Responsabile interno per garantire il rispetto di quanto previsto dalla normativa in materia di protezione dei dati personali.
Art. 17 – COMPITI DEL RESPONSABILE PROTEZIONE DATI (DPO)
Il DPO è incaricato dei seguenti compiti:
a) informare e fornire consulenza al Titolare, ai Responsabili interni e agli incaricati in merito agli obblighi derivanti dalla normativa in materia di protezione dei dati personali;
b) sorvegliare l’osservanza della normativa in materia di protezione dei dati personali e In tal senso indicare al Titolare e ai Responsabili interni i settori o i trattamenti che comportino un rischio maggiore per i diritti e le libertà delle persone fisiche;
c) fornire, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dati personali (DPIA) e sorvegliarne lo svolgimento. Collaborare con il Titolare e i Responsabili interni coinvolti, in tutte le fasi di svolgimento della DPIA e in particolare nella analisi delle conclusioni raggiunte, proponendo osservazioni, ove richiesto, in in itinere e al termine delle operazioni;
d) cooperare con il Garante per la protezione dei dati personali e fungere da punto di contatto per questioni connesse al trattamento dei dati personali, tra cui la consultazione preventiva nei casi previsti dalla legge in collaborazione con il responsabile interno del trattamento.
Il DPO compila e conserva digitalmente il Registro delle violazioni dei dati personali e lo mette a disposizione del Garante per la protezione dei dati personali per la verifica del rispetto della normativa in materia di protezione dei dati personali.
Art. 18 – POSIZIONE DEL DPO NELLE QUESTIONI RELATIVE ALLA PROTEZIONE DEI DATI PERSONALI
Il Titolare e i Responsabili interni assicurano che il DPO sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali. A tal fine il DPO:
- è invitato a partecipare alle riunioni di coordinamento dei Responsabili interni che abbiano per oggetto questioni inerenti alla protezione dei dati personali;
- deve disporre tempestivamente di tutte le informazioni pertinenti sulle decisioni che impattano sulla protezione dei dati, in modo da poter rendere una consulenza idonea, orale o scritta;
Il parere del DPO sulle questioni inerenti il trattamento dei dati personali non è vincolante; ciò nonostante, nel caso in cui la decisione adottata sia difforme da quella raccomandata dal DPO, tale decisione deve essere motivata.
Il DPO deve essere consultato tempestivamente qualora si verifichi una violazione dei dati personali.
Il Titolare del trattamento fornisce al DPO le risorse organizzative e finanziarie necessarie per assolvere i propri compiti, compresa la formazione dei dipendenti, anche considerando l’attuazione delle attività nell’ambito della programmazione operative del DUP, e del bilancio.
Il DPO opera in posizione di autonomia nello svolgimento dei propri compiti; non deve ricevere istruzioni in merito al loro svolgimento né sull’interpretazione da dare a una specifica questione attinente alla normativa in materia di protezione dei dati. Il DPO non può essere rimosso o penalizzato dal Titolare e dal Responsabile del trattamento per l’adempimento dei propri compiti.
PARTE TERZA – PROCEDURE
Art. 19 – TENUTA E AGGIORNAMENTO DEL REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO
A norma dell’art. 30 del GDPR la Città Metropolitana di Firenze si dota di un Registro delle attività di trattamento.
Il Registro è conservato in formato digitale presso la Segreteria Generale dell’ente. Esso deve essere aggiornato con cadenza annuale e comunque ogni volta che ciascun Responsabile del trattamento lo ritenga necessario.
A tal fine ciascun Responsabile interno, per la sezione di propria competenza, trasmette alla Segreteria Generale la sezione di propria competenza in formato excel, debitamente compilata ed aggiornata.
Art. 20 – VIOLAZIONI DEI DATI PERSONALI E REGISTRO DELLE VIOLAZIONI
L’incaricato informa senza ritardo il Responsabile interno del suo ufficio se viene a conoscenza di una violazione dei dati personali; se la violazione riguarda un trattamento non afferente al proprio ufficio, informa senza ritardo il DPO.
Il Responsabile interno riferisce al Titolare e al DPO, senza ingiustificato ritardo, ogni violazione dei dati personali di cui viene a conoscenza.
Il Titolare, ove ritenga probabile che dalla violazione dei dati personali possano derivare rischi per i diritti e le libertà degli interessati, provvede alla notifica della violazione al Garante per la protezione dei dati personali. La notifica dovrà avvenire senza ingiustificato ritardo e comunque entro 72 ore dalla avvenuta conoscenza della violazione.
Nei casi previsti dall’art. 34 del GDPR il Titolare comunica la violazione all’interessato senza ingiustificato ritardo, con un linguaggio semplice e chiaro.
Il Titolare documenta le violazioni di dati personali subite, anche se non comunicate alla autorità di controllo, nonché le circostanze ad esse relative, le conseguenze e i provvedimenti adottati o che intende adottare per porvi rimedio.
Il Registro delle violazioni è compilato e conservato digitalmente dal DPO e viene messo a disposizione del Garante per la protezione dei dati personali al fine di verificare il rispetto della normativa in materia di protezione dei dati personali.
Art. 20 – INFORMATIVE
Il Responsabile interno, per il proprio ambito di competenza, garantisce che gli interessati ricevano idonea informativa prima dell’inizio del trattamento.
L’informativa deve essere fornita per iscritto in formato cartaceo o elettronico, è redatta in modo chiaro e sintetico, in modo che sia comprensibile per l’interessato.
Essa contiene le informazioni previste dagli articoli 13 e 14 del GDPR. Il Responsabile interno redige l’informativa inserendo informazioni specifiche relative ai trattamenti effettivamente svolti nel suo ambito di competenza, assicurandone la corrispondenza con le attività di trattamento individuate nel Registro di cui all’art. 18.
Art. 21 – GESTIONE DEI DIRITTI DEGLI INTERESSATI - REGISTRO DELLE RICHIESTE DEGLI INTERESSATI
Il Dirigente responsabile dell’URP predispone e mette a disposizione degli interessati la modulistica reperibile nel sito istituzionale o in formato cartaceo presso i propri uffici per agevolare l’esercizio dei diritti relativi al trattamento dei dati personali, come elencati nel GDPR.
Le richieste di esercizio dei diritti da parte degli interessati sono annotate in un apposito registro compilato e conservato dall’Ufficio Relazioni con il Pubblico dell’ente.
Tale registro contiene l’indicazione della data di ricezione della richiesta, del contenuto della stessa, della risposta fornita e della data della risposta.
Art. 22 – SICUREZZA DEL TRATTAMENTO
Il Titolare mette in atto misure di protezione per ridurre i rischi per i diritti e le libertà delle persone fisiche legati alla sicurezza dei trattamenti.
Tali misure sono finalizzate a: assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
In particolare, il Titolare assicura sistemi di back-up automatico, programmi antivirus, firewall e altri sistemi di protezione del patrimonio informativo dell’ente.
A tal fine il Titolare incarica il Dirigente responsabile dei Servizi informativi.
Il Titolare garantisce la presenza e la revisione di misure volte a garantire la sicurezza fisica dei luoghi, quali a titolo esemplificativo:
- Misure antincendio;
- Registrazione degli accessi fisici;
- Forniture e infissi ignifughi e dotati di serratura.
Ciascun Responsabile interno si accerta, relativamente al suo ufficio, che siano presenti e correttamente applicati:
- Sistemi di autenticazione per l’utilizzo dei dispositivi;
- Sistemi di autorizzazione con diversi livelli di visibilità;
- Idonei sistemi di protezione degli archivi cartacei.
I Responsabili interni impartiscono idonee istruzioni rispetto alle misure di sicurezza a tutti gli incaricati che agiscono sotto la loro autorità.
Art. 23 – CANCELLAZIONE DEI DATI
Per la conservazione e cancellazione dei dati si fa riferimento a quanto indicato nel Massimario di scarto dell’ente.
I fogli di lavoro necessari allo svolgimento delle mansioni di competenza dell’ufficio vengono distrutti a cura degli incaricati coinvolti al termine delle operazioni che ne hanno richiesto l’utilizzo.
Il Responsabile interno si assicura che tutte le procedure di conservazione e cancellazione siano rispettate. Art. 24 - TRASPARENZA E DATI PERSONALI
La Città metropolitana di Firenze tratta i dati personali contenuti in atti e documenti amministrativi che devono essere pubblicati nel sito istituzionale dell’ente secondo quanto previsto dal Regolamento in materia di accesso documentale, civico e generalizzato e dalla normativa vigente in materia di trasparenza amministrativa.
Art. 25 – ATTIVITA’ DI SENSIBILIZZAZIONE E AGGIORNAMENTO SULLA PROTEZIONE DEI DATI PERSONALI
La Città metropolitana di Firenze sostiene e promuove ogni strumento di sensibilizzazione volto al consolidamento del diritto alla protezione dei dati personali e al miglioramento della qualità dei servizi offerti ai cittadini dell’area metropolitana.
A tal fine si avvale anche della collaborazione del Dipartimento di Scienze Giuridiche dell’Università di Firenze per l’organizzazione di eventi di approfondimento e aggiornamento sulle tematiche della protezione dei dati personali.