MODELLO ORGANIZZATIVO
MODELLO ORGANIZZATIVO
IN MATERIA DI PROTEZIONE DEI DATI PERSONALI DI ER.GO AZIENDA REGIONALE PER IL DIRITTO AGLI STUDI SUPERIORI
Approvato con Determinazione del Direttore n. 183 del 22/05/2018
Sommario
Indirizzi generali Il titolare
I Soggetti delegati attuatori / Responsabili interni del Trattamento
I Responsabili esterni del trattamento Gli incaricati
Il Responsabile della Protezione dei dati (DPO)
Pareri obbligatori Pareri facoltativi
Il Gruppo dei referenti privacy
Accesso civico generalizzato e ruolo DPO
2
Indirizzi generali
Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito anche solo “Regolamento”) detta una complessa disciplina di carattere generale in materia di protezione dei dati personali, prevedendo molteplici obblighi ed adempimenti a carico dei soggetti che trattano dati personali, ivi comprese le pubbliche amministrazioni.
Le disposizioni del D.lgs. 196/2003 “Codice in materia di protezione dei dati personali”, nonché i Provvedimenti di carattere generale emanati dal Garante per la protezione dei dati personali (di seguito anche solo “Garante”), continuano a trovare applicazione nella misura in cui non siano in contrasto con la normativa succitata. Si evidenzia che è previsto comunque l’adeguamento della normativa nazionale alle disposizioni del Regolamento.
Per dare attuazione ai suddetti obblighi ed adempimenti, occorre rivedere l’assetto delle responsabilità tenuto conto della specifica organizzazione di ER.GO
Il Regolamento europeo individua diversi attori che intervengono nei trattamenti di dati personali effettuati dalle organizzazioni, ciascuno con funzioni e compiti differenti:
● il titolare del trattamento: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali;
● il responsabile del trattamento: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
● Responsabile della protezione dei dati (di seguito anche Data Protection Officer o DPO): figura prevista dagli artt. 37 e ss. del regolamento, che ne disciplinano compiti, funzioni e responsabilità;
● persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile: figura che si desume implicitamente dalla definizione di “terzo” di cui al n. 10 del comma 1 art. 4 del Regolamento.
Con il presente documento ER.GO definisce il proprio ambito di titolarità, delega ai Responsabile del Trattamento, rispettivamente il Direttore Dott.ssa Xxxxxxxx Xxxxxx e la Dirigente Dott.ssa Xxxxxxxx Xxxxx, ciascuno per le proprie competenze, l’attuazione degli adempimenti previsti dalla normativa, indica i compiti assegnati al DPO designato e definisce i criteri generali da rispettare nell’individuazione dei soggetti autorizzati a compiere le operazioni di
trattamento, delineando il complessivo ambito delle responsabilità, come sintetizzato nello schema di seguito riportato.
Il titolare
Titolare dei trattamenti di dati personali, ai sensi dell’art. 4 n. 7 e art. 24 del Regolamento, è ER.GO in persona del suo Direttore, Dott.ssa Xxxxxxxx Xxxxxx, domiciliato per la carica presso la sede legale dell’Xxxxxxx (xxx Xxxxx Xxxxx Xxxxxxxx x. 0, Xxxxxxx; pec xxxxxxxxx@xx-xx.xx; tel. 000.0000000) cui spetta l’adozione di misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento. Spetta pertanto in particolare ad ER.GO:
● adottare, nelle forme previste dal proprio ordinamento, gli interventi normativi necessari, anche con riferimento alle disposizioni del Codice per la protezione dei dati personali oggetto di prossimo adeguamento al Regolamento;
● designare il Responsabile della protezione dei dati;
● designare i soggetti delegati all’attuazione degli adempimenti previsti dalla normativa in materia di trattamento di dati personali;
● effettuare, a mezzo della struttura competente, apposite verifiche sulla osservanza delle vigenti disposizioni in materia di trattamento, ivi compreso i profili relativi alla sicurezza informatica, in collaborazione con il DPO designato;
● istruire i soggetti autorizzati al trattamento dei dati personali.
ISoggetti delegati attuatori / Responsabili interni del Trattamento
Sono designati quali soggetti attuatori degli adempimenti necessari per la conformità dei trattamenti di dati personali effettuati dall’Azienda in esecuzione del regolamento:
● Direttore, Dott.ssa Xxxxxxxx Xxxxxx;
● Dirigente del Servizio Risorse Umane e Organizzazione, Risorse Strumentali e Patrimonio Dott.ssa Xxxxxxxx Xxxxx;
Di seguito, sono indicati i compiti affidati ai soggetti delegati attuatori:
A. verificare la legittimità dei trattamenti di dati personali effettuati dalla struttura di riferimento;
B. disporre, in conseguenza alla verifica di cui alla lett. a) le modifiche necessarie al trattamento perché lo stesso sia conforme alla normativa vigente ovvero disporre la cessazione di qualsiasi trattamento effettuato in violazione alla stessa;
C. adottare soluzioni di privacy by design e by default;
4
D. tenere costantemente aggiornato il registro delle attività di trattamento per la struttura di competenza;
E. predisporre le informative relative al trattamento dei dati personali nel rispetto dell’art. 13 del Regolamento;
F. individuare i soggetti autorizzati a compiere operazioni di trattamento (di seguito anche “incaricati”) fornendo agli stessi istruzioni per il corretto trattamento dei dati, sovrintendendo e vigilando sull’attuazione delle istruzioni impartite; tale individuazione deve essere effettuata in aderenza alle indicazioni contenute nel presente documento e in particolare, facendo espresso richiamo alle policy in materia di sicurezza informatica e protezione dei dati personali;
G. predisporre ogni adempimento organizzativo necessario per garantire agli interessati l’esercizio dei diritti previsti dalla normativa;
H. provvedere, anche tramite gli incaricati, a dare riscontro alle istanze degli interessati inerenti l’esercizio dei diritti previsti dalla normativa;
I. disporre l’adozione dei provvedimenti imposti dal Garante;
X. collaborare con il DPO al fine di consentire allo stesso l’esecuzione dei compiti e delle funzioni assegnate;
K. adottare, se necessario, specifici Disciplinari tecnici di settore, anche congiuntamente con altri con altri Soggetti delegati all’attuazione, per stabilire e dettagliare le modalità di effettuazione di particolari trattamenti di dati personali relativi alla propria area di competenza;
L. individuare, negli atti di costituzione di gruppi di lavoro comportanti il trattamento di dati personali, i soggetti che effettuano tali trattamenti quali incaricati, specificando, nello stesso atto di costituzione, anche le relative istruzioni;
M. garantire al Responsabile del Servizio competente in materia di sistemi informativi e al DPO i necessari permessi di accesso ai dati ed ai sistemi per l'effettuazione delle verifiche di sicurezza, anche a seguito di incidenti di sicurezza;
N. designare gli amministratori di sistema in aderenza alle norme vigenti in materia;
O. effettuare preventiva valutazione d’impatto ai sensi dell’art. 35 del Regolamento, nei casi in cui un trattamento, allorché preveda in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche;
P. consultare il Garante, in aderenza all’art. 36 del Regolamento e nelle modalità previste dal par. 3.1 lett. b), nei casi in cui la valutazione d'impatto sulla protezione dei dati a norma dell'articolo 35 indichi che il trattamento presenta un rischio residuale elevato;
Q. richiamare obbligatoriamente nei contratti di sviluppo di software e piattaforme, la policy in materia di sviluppo delle applicazioni, disponendo che il mancato rispetto dei requisiti ivi previsti equivale a grave inadempimento, con facoltà per l’Ente di risoluzione del contratto;
R. designare i Responsabili del trattamento.
Nell’attuazione dei compiti sopraindicati i soggetti delegati possono acquisire il parere del DPO nei casi e con le modalità specificate nel seguito.
Non è prassi aziendale conferire delle sub-deleghe
I Responsabili esterni del trattamento
Sono designati responsabili del trattamento di dati personali i soggetti esterni all’Azienda che siano tenuti, a seguito di convenzione, contratto, verbale di aggiudicazione o provvedimento di nomina, ad effettuare trattamenti di dati personali per conto del titolare.
Pertanto, qualora occorra affidare un incarico comportante anche trattamenti di dati personali, la scelta del soggetto deve essere effettuata valutando anche l’esperienza, la capacità e l’affidabilità in materia di protezione dei dati personali del soggetto cui affidare l’incarico, affinché lo stesso soggetto sia in grado di fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo della sicurezza.
Attesa la natura negoziale delle designazioni dei responsabili del trattamento, questa deve essere effettuata all’interno di contratti o convenzioni e, in ogni caso, in costanza di formazione del rapporto contrattuale.
Gliincaricati
Sono autorizzati tutti i soggetti che effettuino operazioni di trattamento, dipendenti e collaboratori a qualsiasi titolo e che operano sotto la diretta autorità del Titolare o dei soggetti delegati. Tali soggetti devono essere da questi formalmente autorizzati all’atto dell’assunzione da parte di ER.GO e in caso di mobilità interna. Gli incaricati sono quindi designati:
● tramite individuazione nominativa (nome e cognome) delle persone fisiche. In questo caso occorre specificare, per ciascun nominativo, i trattamenti che lo stesso è autorizzato ad effettuare;
● tramite assegnazione funzionale della persona fisica al Servizio, qualora la persona fisica effettui tutti i trattamenti individuati puntualmente per tale Servizio.
La designazione scritta deve inoltre contenere le istruzioni impartite agli incaricati del trattamento.
Tali istruzioni, oltre a riguardare eventuali aspetti di dettaglio da diversificare in relazione alle specificità dei singoli trattamenti, devono quanto meno contenere un espresso richiamo alle policy dell’Azienda in materia di sicurezza informatica e protezione dei dati personali.
Il Responsabile della Protezione dei dati (DPO)
Il “Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 prevede l’obbligo per gli Enti pubblici di designare il Responsabile della protezione dei dati (Data Protection Officer, di seguito DPO).
Specificatamente, sono di seguito indicati i compiti del DPO in aderenza agli 37 e ss. del suddetto Re golamento, conformati alla precipua organizzazione dell’Azienda:
● informa e fornisce consulenza all’Azienda in merito agli obblighi derivanti dalla normativa in materia di protezione dei dati personali, con il supporto dei Responsabili interni del Trattamento con il supporto del gruppo dei referenti designati;
● sorveglia l'osservanza della normativa in materia di protezione dei dati personali nonché delle politiche dell’Ente in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
● coopera con il Garante per la protezione dei dati personali;
● funge da punto di contatto per l'Autorità Garante per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36 del Regolamento, ed effettua, se del caso, consultazioni relativamente a qualunque altra questione;
● partecipa allo svolgimento delle verifiche di sicurezza svolte dal Responsabile di Alta Professionalità del Sistema Informativo Aziendale o ne richiede di specifiche;
● promuove la formazione di tutto il personale dell’Ente in materia di protezione dei dati personali e sicurezza informatica;
● partecipa alla gestione degli incidenti di sicurezza nelle modalità previste da specifica policy dell’Azienda;
7
● formula gli indirizzi per realizzazione del Registro delle attività di trattamento di cui all’art. 30 del Regolamento.
● fornisce i pareri obbligatori e facoltativi richiesti dalle strutture secondo quanto specificato di seguito.
Con Determinazione del Direttore n. 169 del 15/5/2018 il Direttore di ER.GO ha affidato a Lepida Spa, sede legale xxx xxxxx Xxxxxxxxxxx x. 00, Xxxxxxx (pec: xxxxxxxxxx@xxx.xxxxxx.xx), il servizio di supporto per gli adempimenti e adeguamenti derivanti dal Regolamento Europeo 2016/679/UE per la protezione dei dati personali per il periodo 2018-2020, ivi comprese le mansioni di DPO che Lepida Spa svolgerà tramite il Referente Ing. Xxxxxx Xxxxxx.
Pareri del DPO
Il DPO fornisce il proprio parere in ordine alla legittimità e alla correttezza dei trattamenti di dati personali sulle istanze che le strutture dell’Azienda presentano nei casi di seguito indicati.
Devono essere obbligatoriamente richiesti pareri in ordine a:
● individuazione delle misure che abbiano un significativo impatto sulla protezione dei dati personali che l’Azienda intende adottare ai fini della tutela della riservatezza, integrità e disponibilità del patrimonio informativo di ER.GO, anche a seguito di incidenti di sicurezza o analisi dei rischi;
● adozione di policy e disciplinari in materia di protezione dei dati personali e sicurezza delle informazioni, redazione e aggiornamento dei disciplinari tecnici con impatto sulla sicurezza delle informazioni;
● individuazione di misure poste a mitigazione del rischio delle criticità emerse dall’analisi dei rischi, che abbiano un significativo impatto sulla protezione dei dati personali;
● incidenti sicurezza.
Possono essere inoltre richiesti, se ritenuti utili, pareri in ordine a:
● progettazione di nuove applicazioni o modifica sostanziale di quelle esistenti, in aderenza al principio della privacy by design e by default;
● valutazione d'impatto sulla protezione dei dati ai sensi dell'articolo 35 del Regolamento 2016/679;
● valutazione dell’eventuale pregiudizio che l’accesso civico potrebbe comportare agli interessi dei controinteressati, nella misura in cui questi afferiscono alle tutele dei loro
dati personali ai sensi del comma 2 dell’art. 5-bis e, in via generale, del Regolamento UE n. 679/2016;
● opposizione formulata dai controinteressati nella misura in cui questa sia riferibile ad elementi afferenti alla protezione dei dati personali, valutando la probabilità e la serietà del danno agli interessi degli opponenti.
Le richieste di parere devono essere inviate all’indirizzo di posta elettronica xxxxxxxxxx@xxxxxx.xx nelle modalità che saranno stabilite dall’Azienda.
Xxxxxxx presentare le richieste di parere i dirigenti Responsabili interni del trattamento dati personali.
I pareri sono espressi nel rispetto delle seguenti codifiche:
● NC: acronimo di “non conformità”, nei casi in cui siano rilevati elementi di non conformità alla normativa e alle policy in materia di protezione dei dati personali;
● OS: acronimo di “osservazione”, nei casi in cui vi siano elementi di miglioramento che garantiscono una maggiore aderenza alla normativa e alle policy in materia di protezione dei dati personali, non costituendo vincolo di attuazione;
● PO: acronimo di “positivo”, nei casi in cui siano prospettati elementi valutati come conformi alla normativa e alle policy regionali in materia di protezione dei dati personali.
Nei casi in cui il DPO esprima pareri “NC” e “OS” il soggetto delegato attuatore deve formalizzare, nelle medesime forme utilizzate dal DPO per l’espressione del parere, le motivazioni che giustificano l’esecuzione dell’attività o l’implementazione della soluzione tecnologica, in contrasto alle indicazioni fornite dal DPO.
I pareri espressi dal DPO sono conservati agli atti del soggetto delegato.
Il Servizio Informativo Aziendale
Il Servizio competente in materia di sistemi informativi, ovvero di sicurezza informatica, svolge un ruolo di supporto al DPO in tema di risorse strumentali e di competenze.
Al fine di adeguare le funzioni assegnate con la designazione della nuova figura del DPO è necessario prevedere per il Servizio i compiti di seguito meglio specificati:
● individua le misure più adeguate ed efficaci per la tutela della riservatezza, integrità e disponibilità del patrimonio informativo di ER.GO. Tutte le soluzioni che abbiano un significativo impatto sulla protezione dei dati personali sono sottoposte a parere preventivo obbligatorio del DPO, come ad esempio per la redazione delle linee guida in
9
materia di sicurezza delle informazioni e protezione dei dati personali e per la redazione ed aggiornamento dei disciplinari tecnici trasversali;
● condivide le evidenze dell’analisi dei rischi con il DPO, il quale fornisce parere obbligatorio sulle misure poste a mitigazione del rischio che abbiano un significativo impatto sulla protezione dei dati personali;
● provvede, ogni qualvolta venga avvertito un problema di sicurezza a:
○ attivare la struttura cui sono demandati compiti relativi alla gestione degli incidenti di sicurezza, assicurando la partecipazione del DPO;
○ individuare misure idonee al miglioramento della sicurezza dei trattamenti dei dati personali, previo parere obbligatorio del DPO;
○ segnalare al Titolare/Responsabile del Trattamento le violazioni dei dati personali ai fini della notifica, ai sensi dell’art. 33 del Regolamento, al Garante per la protezione dei dati personali;
● svolge verifiche sulla puntuale osservanza della normativa e delle policy regionali in materia di sicurezza delle informazioni e di trattamento di dati personali, prevedendo la partecipazione del DPO e realizza le verifiche specifiche richieste dello stesso;
● promuove la formazione di tutto il personale dell’Ente in materia di sicurezza informatica, anche attraverso un piano di comunicazione e divulgazione all’interno dell’Azienda, coordinandosi con le azioni promosse dal DPO.
Il Gruppo dei referenti privacy
Costituisce attuazione dei principi di informazione e sensibilizzazione del Regolamento europeo n. 679/2016 la costituzione di un gruppo permanente di referenti privacy che assicuri un presidio per le strutture dell’Ente per quel che concernono gli adempimenti continuativi, lo studio e l’approfondimento degli aspetti normativi, organizzativi e procedurali, derivanti anche delle nuove disposizioni normative.
Il Gruppo di referenti ha i seguenti compiti:
● effettuare la ricognizione costante, a mezzo del Registro, dei trattamenti di dati personali effettuati dalle strutture di appartenenza, servendosi di risorse e competenze messe all’uopo a disposizione dal soggetto delegato attuatore o dal dirigente dallo stesso delegato;
● fornire supporto alle verifiche di sicurezza svolte dal Servizio ICT e/o dal DPO;
● provvedere alla revisione e all’aggiornamento dei Disciplinari Tecnici;
● coordinare le richieste di parere al DPO dei soggetti delegati attuatori di propria afferenza nei casi e con le modalità previsti dal presente documento.
Accesso civico generalizzato e ruolo del DPO
Con specifico riferimento alla normativa in materia di trasparenza, si ritiene opportuno disciplinare la necessaria interazione tra il DPO, le strutture dell’Azienda, e il Responsabile per la prevenzione della corruzione e trasparenza (R.P.C.T.).
Il D.L. 97/2016, di modifica del D.lgs. 33/2013 ha introdotto l’istituto dell’accesso civico “generalizzato”, che attribuisce a “chiunque” il “diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione”.
L’esercizio di tale diritto soggiace ai limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall’articolo 5-bis” del d.lgs. n. 33/2013).
L’art. 5, c. 5, d.lgs. n. 33/2013 prevede che, per ciascuna domanda di accesso generalizzato, l’amministrazione debba verificare l’eventuale esistenza di controinteressati, eccetto i casi in cui la richiesta di accesso civico abbia ad oggetto dati la cui pubblicazione è prevista dalla legge come obbligatoria.
Il DPO funge da supporto alle strutture competenti sulle singole richieste di accesso nella fase di individuazione dei soggetti da ritenersi controinteressati e comunque per tutti gli aspetti relativi alla protezione dei dati personali inerenti le richieste di accesso civico generalizzato.
Il DPO funge altresì da supporto al R.P.C.T. nei casi di riesame di istanze di accesso negato o differito a tutela dell’interesse alla protezione dei dati personali.
Il DPO, inoltre, su richiesta delle strutture, esprime proprio parere in ordine alla valutazione dell’eventuale pregiudizio che l’accesso potrebbe comportare agli interessi dei controinteressati, nella misura in cui questi afferiscono alle tutele dei loro dati personali ai sensi del comma 2 dell’art. 5-bis e, in via generale, del Regolamento UE n. 679/2016.
Il DPO, su richiesta delle strutture, formula il proprio parere, entro tre giorni, in ordine all’opposizione formulata dai controinteressati nella misura in cui questa sia riferibile ad elementi afferenti alla protezione dei dati personali, valutando la probabilità e la serietà del danno agli interessi degli opponenti.
Sulla scorta di tale parere le strutture competenti sulle singole richieste di accesso effettueranno il bilanciamento tra gli interessi asseritamente lesi e la rilevanza dell’interesse conoscitivo della collettività che la richiesta di accesso mira a soddisfare.
11