MATERIA DI PROTEZIONE DEI DATI PERSONALI
Regolamento metropolitano per l'attuazione delle norme in
MATERIA DI PROTEZIONE DEI DATI PERSONALI
Approvato con atto del Consiglio metropolitano n. 45 del 14/11/2018
Indice generale
Articolo 1 – Oggetto, definizione e principi fondamentali 4
Articolo 2 – Titolare del trattamento e finalità 5
Articolo 3 – Contitolari 6
Articolo 4 – Soggetti attuatori e incaricati 6
Articolo 5 – Responsabile della protezione dei dati 6
Articolo 6 – Compiti del responsabile della protezione dei dati 8
Articolo 7 – Responsabile del trattamento 8
Articolo 8 – Legittimazione al trattamento dei dati personali 9
Articolo 9 – Misure di sicurezza 10
Articolo 10 – Registro delle attività di trattamento 11
Articolo 11 – Valutazioni di impatto 12
Articolo 12 – Modalità per lo svolgimento di valutazioni di impatto 12
Articolo 13 – Violazione dei dati personali 13
Articolo 14 – Diritto di informazione 14
Articolo 15 – Diritto di accesso 15
Articolo 16 – Diritti di rettifica, cancellazione, limitazione e portabilità dei dati 15
Articolo 17 – Diritto di opposizione al trattamento 16
Articolo 18 – Competenze e modalità di esercizio dei diritti 16
Articolo 19 – Rinvio 17
Articolo 20 – Entrata in vigore 17
Articolo 1 – Oggetto, definizione e principi fondamentali
1. Il presente regolamento della Città metropolitana di Bologna (o: dell'Unione ... - del Comune di ...), ha ad oggetto i principi organizzativi e le misure attuative del D.lgs. 30 giugno 2003, n. 1961 Codice in materia di protezione dei dati personali (d'ora in poi Codice), recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (d'ora in poi RGPD).
2. Ai fini del presente regolamento si intende per:
a) “dato personale”: qualsiasi informazione riguardante una persona fisica, identificata o identificabile direttamente o indirettamente;
b) “particolari categorie di dati”: dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute, la vita e l'orientamento sessuale;
c) “dati relativi a condanne penali e reati”: dati personali relativi a condanne penali, a reati o a connesse misure di sicurezza;
d) “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
e) “titolare del trattamento”: la Città metropolitana di Bologna (o l'Unione o il Comune di ...) che, singolarmente o insieme ad altri contitolari, determina le finalità e i mezzi del trattamento di dati personali. Si ha contitolarità quando due o più titolari determinano congiuntamente le finalità e i mezzi del trattamento;
f) “responsabile del trattamento”: la persona fisica o giuridica ovvero la pubblica amministrazione o l'organismo di diritto pubblico che tratta dati personali su delega della Città metropolitana di Bologna (o dell'Unione o del Comune di ...);
g) “RPD”: il responsabile della protezione dei dati disciplinato all'art. 5 del presente regolamento;
h) “soggetto attuatore”: il dirigente o l'incaricato di posizione organizzativa a cui il titolare
1 come da ultimo modificato dal D.lgs. 10 agosto 2018, n.101
assegna compiti e funzioni relativi al trattamento dei dati personali, secondo quanto previsto dall'art. 4 del presente regolamento;
i) “incaricato”: la persona fisica autorizzata dal titolare al trattamento dei dati personali;
l) “interessato”: la persona fisica a cui si riferiscono i dati personali;
m) “Garante”: il Garante per la protezione dei dati personali;
n) “violazione dei dati personali”: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzati ai dati personali trasmessi, conservati o comunque trattati dal titolare;
o) “valutazione d'impatto”: procedura di valutazione dei rischi derivanti dal trattamento dei dati per i diritti e le libertà delle persone fisiche.
3. Tutti i trattamenti sono effettuati dal titolare attenendosi ai principi di necessità, pertinenza e non eccedenza, per l'esclusivo svolgimento delle funzioni amministrative a qualsiasi titolo esercitate o l'erogazione dei servizi ai cittadini previsti dalla legge. I dati personali sono conservati in una forma che consenta l’identificazione dell’interessato per un periodo non superiore a quello necessario agli scopi per i quali sono stati raccolti e successivamente trattati.
CAPO I - ORGANIZZAZIONE
Articolo 2 – Titolare del trattamento e finalità
1. La Città metropolitana di Bologna (o l'Unione o il Comune di ...), rappresentata ai fini previsti dal RGPD, dal Sindaco metropolitano (ovvero dal Presidente dell'Unione o dal Sindaco del Comune di ...), è il titolare dei trattamenti dei dati personali, anche organizzati in banche dati automatizzate o cartacee, effettuati dall'ente.
2. Il titolare adotta le misure tecniche ed organizzative ed effettua le valutazioni di impatto del trattamento sulla protezione dei dati personali di cui agli articoli 9 e 11 del presente regolamento.
3. Il titolare nei propri atti di programmazione prevede le risorse e i successivi interventi necessari per l’attuazione delle misure e l'effettuazione delle valutazioni di cui al comma precedente.
4. Il titolare, secondo un modello organizzativo per la protezione dei dati approvato con atto amministrativo previo parere del RPD, designa:
a) il responsabile della protezione dei dati (RPD);
b) i soggetti delegati attuatori, ove ritenuto opportuno e gli incaricati;
c) i responsabili del trattamento, nel caso siano affidate a terzi attività o servizi che comportino il trattamento di dati personali.
5. Il titolare provvede alla periodica formazione dei soggetti attuatori e degli incaricati in modo
differenziato e adeguato ai compiti specificamente assegnati.
Articolo 3 – Contitolari
1. Nel caso di esercizio associato o di conferimento di funzioni, nonché di compiti e attività svolti in collaborazione fra enti locali o attraverso la costituzione di uffici comuni, i titolari determinano congiuntamente, mediante accordo, le finalità ed i mezzi del trattamento. L’accordo definisce le responsabilità di ciascuno in merito all’osservanza degli obblighi in tema di tutela e protezione dei dati personali, con particolare riferimento all’esercizio dei diritti dell’interessato di cui al successivo capo III; l’accordo può individuare un unico soggetto attuatore per l'esercizio dei diritti da parte degli interessati.
Articolo 4 – Soggetti attuatori e incaricati
1. I soggetti attuatori svolgono, in base alle deleghe conferite dal titolare, compiti relativi alla sicurezza e alla protezione dei dati ovvero al riscontro dei diritti dell'interessato.
2. Le deleghe possono essere specifiche se attengono a compiti riferibili ai soli trattamenti effettuati nell'ambito di determinate unità organizzative, ovvero generali se riguardano compiti trasversali, in materia di protezione e sicurezza dei dati, da svolgere con riferimento a tutta l'organizzazione del titolare.
3. Il titolare o, nel caso siano previsti, i soggetti attuatori nell’ambito delle unità organizzative di competenza, nominano con atto scritto gli incaricati del trattamento anche fra soggetti non dipendenti o che operino temporaneamente all'interno della struttura organizzativa dell'ente. Gli incaricati sono gli unici soggetti autorizzati ad effettuare i trattamenti indicati e devono attenersi alle istruzioni impartite dal titolare. Il titolare o i soggetti attuatori possono in alternativa, sempre con atto scritto, individuare per ciascuna unità organizzativa i trattamenti consentiti a tutte le risorse umane assegnate.
4. Il titolare, anche in relazione alle proprie dimensioni ed eventualmente in forma associata, previa valutazione delle competenze necessarie, può nominare un amministratore di sistema quale soggetto attuatore che sovrintende alla sicurezza e alla manutenzione del sistema informatico in uso.
Articolo 5 – Responsabile della protezione dei dati
1. Il titolare del trattamento individua, con atto scritto, il responsabile della protezione dei dati (d'ora in poi RPD) fra i propri dipendenti oppure incaricando un soggetto esterno. In ogni caso, il ruolo di RPD è incompatibile con quello di chi, anche esternamente all'organizzazione del
titolare, determina le finalità o i mezzi dei trattamenti; in particolare non possono svolgere la funzione di RPD il responsabile per la prevenzione della corruzione e per la trasparenza nonché i responsabili dei trattamenti di cui all'articolo 7.
2. Il RPD può essere individuato fra i dirigenti della Città metropolitana di Bologna (ovvero tra i dirigenti o gli incaricati di posizione organizzativa dell'Unione o del Comune di ), in possesso di idonee competenze professionali, con particolare riferimento alla comprovata conoscenza specialistica delle nuove tecnologie e della normativa in materia di protezione dei dati personali.
3. In caso di designazione interna, il RPD:
a) opera, nell'esercizio delle sue peculiari funzioni, in posizione di autonomia e senza vincolo di gerarchia;
b) non può essere rimosso dal suo incarico o essere destinatario di provvedimenti sfavorevoli in ragione o in seguito all’adempimento dei propri compiti;
c) ai fini dello svolgimento dei compiti assegnati, viene dotato dal titolare delle necessarie risorse, previste negli atti di programmazione;
d) deve essere aggiornato mediante adeguata, specifica e periodica formazione.
4. Il titolare, anche in forma associata con altri enti locali, può incaricare, in base alla normativa vigente e in alternativa alla designazione interna, un professionista esterno, una persona giuridica o una società di professionisti specializzati in materia.
5. In tal caso, la persona giuridica e la società di professionisti provvedono alla nomina di una persona fisica fra i propri dipendenti o collaboratori quale referente del titolare, con i requisiti professionali di cui al precedente comma 2. I compiti attribuiti al RPD sono indicati nel contratto di servizi o nell'incarico professionale. Il RPD individuato esternamente è tenuto alla formazione professionale dei propri operatori.
6. Il titolare assicura che il RPD sia coinvolto in tutte le decisioni riguardanti la protezione dei dati personali; a tal fine lo convoca alle relative riunioni dei vertici gestionali, informandolo preventivamente ed adeguatamente delle questioni da trattare.
7. Il titolare comunica a tutto il personale la nomina del RPD e gli assicura il supporto attivo e la collaborazione dei propri dirigenti e degli eventuali responsabili di cui all'art. 7 del presente regolamento.
8. L'amministratore di sistema di cui all'art. 4 comma 4 del presente regolamento, ove previsto, funge da raccordo tra titolare e RPD, interfacciandosi direttamente con quest'ultimo ai fini di ricevere supporto e consulenza per conto del titolare.
Articolo 6 – Compiti del responsabile della protezione dei dati
1. Il RPD svolge i seguenti compiti:
a) informa e fornisce consulenza al titolare in merito agli obblighi derivanti dalla normativa vigente; i pareri resi dal RPD non sono vincolanti: il titolare può discostarsene motivatamente; il modello organizzativo adottato dall'ente individua i casi in cui sia obbligatorio richiedere un parere al RPD.
b) sorveglia sulla corretta applicazione della normativa in vigore in materia di protezione dei dati;
c) vigila sul buon funzionamento del modello organizzativo interno relativo alla tutela e protezione dei dati personali, con particolare riferimento alle attività di formazione e controllo;
d) fornisce, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati di cui all'articolo 11;
e) fornisce, se richiesto, il necessario supporto professionale qualora si verifichi una violazione dei dati di cui all'articolo 13;
f) coopera con il Garante su ogni questione relativa ai trattamenti effettuati dal titolare.
2. Il titolare può assegnare al RPD ulteriori compiti che non comportino un conflitto di interessi con lo svolgimento delle attività di cui al comma precedente.
3. Il RPD svolge i suindicati compiti anche nei confronti dei responsabili di cui all'articolo 7, limitatamente ai trattamenti a essi conferiti.
4. Nel caso il RPD rilevi decisioni, attività o misure poste in essere dal titolare inadeguate, insufficienti o incompatibili con la normativa vigente o con il presente regolamento, lo comunica per iscritto al titolare, precisando gli aspetti da modificare, sostituire o integrare.
Articolo 7 – Responsabile del trattamento
1. Qualora un trattamento debba essere effettuato da soggetti terzi, anche contestualmente all'affidamento di servizi o attività strumentali, il titolare, eventualmente tramite soggetto attuatore, li designa, anche nell'ambito del contratto o della convenzione, quali responsabili del trattamento. Tali soggetti devono essere in grado di mettere in atto le misure tecniche e organizzative adeguate ad adempiere a quanto previsto dal presente regolamento e dalla normativa vigente in materia.
2. Nell'atto di designazione è indicata la durata dell'incarico, la natura e la finalità del trattamento, il tipo di dati personali trattati e le categorie di interessati, i reciproci obblighi e diritti sia del titolare che del responsabile del trattamento.
3. In particolare nell'atto di designazione è previsto che il responsabile del trattamento:
a) tratti i dati personali seguendo le istruzioni e le direttive del titolare;
b) individui gli incaricati al trattamento dei dati personali, formandoli adeguatamente;
c) adotti le misure di sicurezza analogamente a quanto previsto dall'articolo 9 del presente regolamento;
d) agisca direttamente o assista il titolare nel consentire agli interessati l'esercizio dei diritti di cui al capo III del presente regolamento;
e) garantisca la cancellazione o la restituzione, a discrezione del titolare, di tutti i dati personali alla scadenza del termine previsto nella designazione;
f) metta a disposizione del titolare le informazioni e consenta le ispezioni in loco necessarie a dimostrare che i trattamenti siano avvenuti secondo la normativa vigente e secondo quanto disposto nell'atto di designazione;
g) collabori con il titolare nella tenuta e nell'aggiornamento del registro dei trattamenti di cui all'articolo 10;
h) adotti misure tecniche e organizzative adeguate a garantire la sicurezza dei trattamenti;
i) assista il titolare nella conduzione della valutazione dell’impatto sulla protezione dei dati di cui all'articolo 11;
l) informi tempestivamente il titolare delle violazioni dei dati personali eventualmente verificatesi.
4. Il responsabile del trattamento può nominare sub-responsabili previa autorizzazione scritta del titolare o di soggetto attuatore delegato, richiamando gli obblighi previsti dal titolare. Il sub- responsabile individua gli incaricati al trattamento ed impartisce loro la necessaria formazione.
5. Il responsabile del trattamento risponde direttamente dell’operato del sub-responsabile nei confronti degli interessati, ai fini del risarcimento di eventuali danni causati in violazione di quanto previsto dalla normativa vigente in materia, salvo dimostri che l’evento dannoso si sia verificato per causa a lui non imputabile.
CAPO II - ATTIVITÀ CONNESSE AL TRATTAMENTO DEI DATI PERSONALI
Articolo 8 – Legittimazione al trattamento dei dati personali
1. Sulla base delle disposizioni di legge e, ove previsto dalla legge, di regolamento, il titolare tratta i dati personali esclusivamente ai fini dello svolgimento delle funzioni istituzionali. I trattamenti di comunicazione e diffusione sono ammessi nei soli casi previsti dall'articolo 2ter del Codice.
2. Il trattamento dei dati di cui all'articolo 1 lettera b) per motivi di interesse pubblico rilevante,
deve avvenire soltanto se espressamente previsto da disposizioni di legge o, nei casi previsti dalla legge, di regolamento con individuazione dei dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e i diritti dell'interessato. Sono ammessi in ogni caso i trattamenti previsti dall'articolo 2sexies comma 2 del Codice. I dati biometrici, genetici e relativi allo stato di salute sono trattati in conformità alle specifiche misure di garanzia disposte dal Garante di cui all'articolo 2septies del Codice.
3. Il trattamento dei dati di cui all'articolo 1 lettera c) è ammesso nei soli casi previsti dall'articolo 2octies del Codice.
4. Nei casi in cui norme di legge o di regolamento prevedano la pubblicazione di atti all'Albo pretorio telematico, il titolare assicura, mediante implementazione delle necessarie misure tecniche e organizzative stabilite in apposita direttiva, il rispetto dei principi di sicurezza, completezza, esattezza, accessibilità, pertinenza, non eccedenza, temporaneità e indispensabilità con riferimento alla pubblicazione di dati personali in essi contenuti.
5. Laddove atti, documenti e informazioni, oggetto di pubblicazione obbligatoria per finalità di trasparenza contengano dati personali, questi devono essere oscurati nel momento in cui siano stati raggiunti gli scopi per i quali sono stati resi pubblici. In ogni caso, il titolare provvede a rendere non intelligibili i dati personali non pertinenti o, se appartenenti alle categorie di cui alle lettere b) e c) dell'articolo 1, non indispensabili rispetto alle specifiche finalità di trasparenza. E' esclusa la pubblicazione di dati relativi allo stato di salute ovvero alla situazione di disagio economico-sociale degli interessati.
Articolo 9 – Misure di sicurezza
1. Il titolare, anche tramite soggetto attuatore, deve adottare, con proprio atto, le misure tecniche ed organizzative idonee a garantire un livello di sicurezza e protezione dei dati adeguato alla natura, al campo di applicazione, al contesto organizzativo e alle finalità di trattamento. Le misure sono adottate anche tenendo conto del rischio che si verifichi un evento dannoso o pericoloso per i diritti e le libertà degli interessati considerati lo stato della scienza e i relativi costi.
2. Le predette misure possono consistere nella pseudonimizzazione, minimizzazione, cifratura dei dati personali; progettazione e mantenimento dei sistemi in modo che garantiscano la continuità della riservatezza e dell'integrità dei dati nonché la capacità di ripristinare tempestivamente la disponibilità e l’accesso in caso di incidente. Il titolare verifica regolarmente l’efficacia delle misure tecniche e organizzative adottate.
3. Per i trattamenti riguardanti i dati di cui all'art. 1 comma 2 lett. b) e c), sono adottate misure di
sicurezza adeguate, proporzionate e idonee a garantire una più elevata protezione.
4. Il titolare è tenuto ad impartire ai soggetti attuatori e agli incaricati adeguate istruzioni e formazione circa il rispetto delle predette misure.
Articolo 10 – Registro delle attività di trattamento
1. Il titolare, anche tramite un soggetto attuatore, eventualmente coadiuvato da un gruppo di lavoro appositamente istituito, è tenuto a compilare ed aggiornare un registro dei trattamenti effettuati con le relative finalità indicando le seguenti informazioni:
a) dati personali trattati e operazioni effettuate;
b) sintetica descrizione delle categorie di interessati;
c) categorie di destinatari a cui i dati personali possono essere comunicati;
d) eventuale trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale;
e) ove stabiliti, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
f) richiamo alle misure di sicurezza tecniche ed organizzative del trattamento adottate, di cui all'articolo art. 9;
g) eventuali contitolari interessati allo specifico trattamento.
2. Nel registro sono descritte specificamente e separatamente le attività di trattamento delle particolari categorie di dati di cui all'art. 1 comma 2 lett. b) e c).
3. Il registro è conservato informaticamente dal titolare o dal soggetto attuatore ed è approvato e aggiornato formalmente, con cadenza almeno annuale, previa istruttoria tecnico giuridica, con un adeguato sistema di monitoraggio periodico che garantisca una tracciabilità delle modifiche.
4. Il titolare del trattamento può affidare la progettazione, la realizzazione e la conservazione informatica del registro al RPD, concordando le modalità per l'accesso e l'inserimento delle informazioni necessarie, il loro aggiornamento e i reciproci obblighi.
5. Ogni responsabile del trattamento deve conservare un registro dei trattamenti effettuati per conto del titolare, con le seguenti informazioni:
a) denominazione del responsabile del trattamento e dati di contatto;
b) i tipi di dati e di trattamenti effettuati;
c) l’eventuale trasferimento di dati personali verso un paese terzo o un'organizzazione interna- zionale;
d) il richiamo alle misure di sicurezza tecniche ed organizzative del trattamento adottate.
Articolo 11 – Valutazioni di impatto
1. Prima di iniziare o continuare un trattamento che, considerati la natura, l’oggetto, il contesto, le finalità dello stesso o l'eventuale utilizzo di nuove tecnologie, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare effettua una valutazione dell’impatto del medesimo trattamento. Il compito di effettuare la valutazione d'impatto può essere conferito con delega generale ad uno dei soggetti attuatori. Il titolare garantisce l’effettuazione della valutazione d'impatto, previa consultazione con il RPD, nelle seguenti modalità:
- il responsabile del trattamento, ove designato, deve assistere il titolare nella conduzione della valutazione d'impatto fornendo ogni informazione necessaria;
- l'amministratore di sistema, se nominato, fornisce supporto al titolare per lo svolgimento della valutazione d'impatto.
2. La valutazione d'impatto è effettuata comunque nei casi in cui si verifichi almeno una delle seguenti situazioni:
a) trattamenti che comprendono la profilazione e le attività predittive concernenti la situazione sociale, economica, la salute, le preferenze, gli interessi personali, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti dell’interessato;
b) trattamenti a cui conseguono decisioni automatizzate con produzione di significativi effetti giuridici sugli interessati;
c) monitoraggio sistematico, ossia trattamenti utilizzati per osservare o controllare gli interessati, compresa la raccolta di dati attraverso le reti o la sorveglianza sistematica di un’area accessibile al pubblico;
d) trattamenti delle particolari categorie di dati di cui all'articolo 1 lettere b) e c);
e) trattamenti riguardanti una notevole quantità di dati personali, tenendo conto del numero degli interessati, del volume dei dati e della durata dell’attività di trattamento;
f) utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative;
g) trattamenti che impediscono agli interessati di esercitare un diritto o di avvalersi di un servizio.
Articolo 12 – Modalità per lo svolgimento di valutazioni di impatto
1. Il titolare anche tramite un soggetto attuatore svolge la valutazione d'impatto sulla protezione dei dati effettuando le seguenti attività:
a) descrizione sistematica del contesto, dei trattamenti previsti e delle finalità; indicazione dei dati personali oggetto del trattamento, dei destinatari e del periodo previsto di conservazione dei dati stessi; descrizione funzionale del trattamento; strumenti coinvolti nel trattamento dei dati
personali (hardware, software, reti, persone, supporti cartacei o canali di trasmissione cartacei);
b) valutazione della necessità e proporzionalità dei trattamenti, sulla base:
- delle finalità specifiche, esplicite e legittime;
- della liceità del trattamento;
- del periodo di conservazione;
- delle informazioni fornite agli interessati;
- dei diritti di cui al capo III;
- dei particolari/specifici rapporti con i responsabili dei trattamenti ed eventuali trasferimenti di dati;
- della consultazione preventiva del Garante;
c) valutazione dei rischi per i diritti e le libertà degli interessati (accesso illegittimo, modifiche indesiderate, indisponibilità dei dati), verificando la loro probabilità e gravità;
d) individuazione delle misure di cui all'articolo 9.
2. La valutazione d'impatto deve essere effettuata nuovamente per i trattamenti in corso nel caso in cui siano intervenute variazioni dei rischi originari, tenuto conto della natura, dell’ambito, del contesto e della finalità del medesimo trattamento.
3. Il titolare effettua la pubblicazione, sul sito istituzionale, degli esiti della valutazione d'impatto o di una sintesi della stessa.
Articolo 13 – Violazione dei dati personali
1. In caso di accertata violazione di cui alla lettera n) dell'articolo 1, il titolare, anche attraverso un soggetto attuatore (eventualmente coadiuvato da un gruppo di lavoro), ove ritenga probabile che possano derivare rischi per i diritti e le libertà degli interessati, provvede a notificare la violazione al Garante, entro 72 ore dall'accertamento e comunque senza ingiustificato ritardo. Il responsabile del trattamento è obbligato ad informare tempestivamente il titolare di analoga accertata violazione; anche in tal caso il titolare effettuata la necessaria istruttoria finalizzata a conoscere l'entità della violazione ed i relativi rischi connessi, comunicandolo al Garante nei modi precedentemente indicati.
2. I rischi per i diritti e le libertà degli interessati conseguenti ad una violazione sono normalmente costituiti da:
a) danni fisici, materiali o immateriali alle persone fisiche;
b) perdita del controllo o della disponibilità dei dati personali;
c) limitazione dei diritti, discriminazione;
d) furto o usurpazione d’identità;
e) perdite finanziarie, danno economico o sociale;
f) pregiudizio alla reputazione dell'interessato;
g) perdita di riservatezza dei dati personali protetti da segreto professionale.
3. Ove il titolare ritenga che sia elevato il rischio per i diritti e le libertà degli interessati conseguente alla violazione, procede immediatamente ad informarli con i mezzi ritenuti più efficaci ed efficienti. I rischi per i diritti e le libertà degli interessati possono essere considerati “elevati” quando la violazione:
a) coinvolge un rilevante quantitativo di dati personali e/o di soggetti interessati;
b) riguarda le categorie di dati personali di cui all'articolo 1 comma 2 lett. b) e c);
c) comprende dati che possono accrescere i potenziali rischi per i diritti e le libertà degli interessati;
d) impatta su soggetti considerati vulnerabili per le loro condizioni anagrafiche, sociali ed economiche.
4. La notifica al Garante e l'eventuale comunicazione agli interessati devono contenere:
a) la descrizione della violazione e dei dati personali compromessi, il numero approssimativo e la categoria degli interessati;
b) il nome e i dati di contatto del RPD e di un soggetto attuatore all'uopo delegato dal titolare;
c) le probabili conseguenze della violazione intervenuta;
d) le misure adottate o proposte per porre rimedio alla violazione dei dati personali.
5. Il titolare è tenuto a predisporre ed aggiornare, anche attraverso un soggetto attuatore, apposito registro delle violazioni in cui annotare oltre agli eventi intervenuti, le conseguenze e le misure adottate o che intende adottare per porvi rimedio. Le informazioni annotate sono immediatamente accessibili su richiesta del Garante al fine di verificare il rispetto della normativa vigente.
6. Nel modello di cui all'articolo 2 comma 4 sono indicate le modalità organizzative per la rilevazione della violazione e l'attuazione di quanto previsto nel presente articolo.
CAPO III - DIRITTI DELL'INTERESSATO
Articolo 14 – Diritto di informazione
1. In caso di raccolta dati presso l'interessato, il titolare rende disponibili, in forma scritta o in modalità telematica, le seguenti informazioni:
a) i dati di contatto del titolare;
b) i dati di contatto del RPD;
c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del
trattamento;
d) gli eventuali destinatari o le eventuali categorie di destinatari;
e) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
f) l'esistenza dei diritti di cui ai successivi articoli 15, 16 e 17 del presente regolamento;
g) il diritto di proporre reclamo al Garante.
2. Nel caso in cui l'interessato abbia l'obbligo di fornire i dati personali, viene informato dal titolare, che gli indica le possibili conseguenze della mancata comunicazione dei dati e se tale obbligo abbia natura legale o contrattuale, oppure sia un requisito necessario per la conclusione di un contratto.
3. Qualora i dati non siano stati ottenuti presso l'interessato, il titolare, oltre a fornirgli le informazioni di cui al comma 1, lo informa circa le categorie di dati personali e la fonte da cui i dati hanno origine, specificando l'eventualità che i dati provengano da fonti accessibili al pubblico.
4. Fatti salvi gli ulteriori casi eventualmente previsti dalla legge, gli obblighi informativi non trovano applicazione nella misura in cui l'interessato già disponga delle informazioni e quando la comunicazione risulti impossibile oppure eccessivamente gravosa se la raccolta avviene presso terzi. In tale ultimo caso, il titolare adotta comunque le misure appropriate per tutelare le libertà, i diritti e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni attraverso il sito istituzionale. Le informazioni non sono altresì dovute quando i dati personali debbano rimanere riservati in relazione ad un obbligo di segreto professionale previsto dalla legge.
Articolo 15 – Diritto di accesso
1. L'interessato ha il diritto di ottenere dal titolare la conferma che sia o meno in corso un trattamento di dati che lo riguardano e, in tal caso, di ottenerne l'accesso. In questo caso il titolare è tenuto a fornire le informazioni di cui all'articolo 14 del presente regolamento.
2. I soggetti diversi dall'interessato hanno diritto di accesso ai dati personali nel rispetto della normativa vigente e dei regolamenti adottati dall'ente in materia.
Articolo 16 – Diritti di rettifica, cancellazione, limitazione e portabilità dei dati
1. Gli interessati hanno il diritto di chiedere ed ottenere dal titolare la rettifica dei dati personali inesatti. Il titolare comunica contestualmente le rettifiche anche agli eventuali destinatari cui erano stati legittimamente trasmessi i dati personali.
2. Il titolare provvede d'ufficio a cancellare fisicamente i dati personali quando non sono piu
necessari alle finalità per le quali sono stati raccolti o trattati, se sono trattati illecitamente e in ogni altro caso previsto ex lege. Ugualmente il titolare procede su motivata istanza di opposizione degli interessati ove non sussista alcun motivo legittimo o finalità istituzionale per proseguire il trattamento. La cancellazione è comunicata anche agli eventuali destinatari cui sono stati trasmessi i dati personali.
3. L'interessato ha diritto alla limitazione dei trattamenti che lo riguardano quando:
a) contesta l'esattezza dei dati personali, per il periodo necessario alla relativa verifica;
b) il trattamento è illecito ma si oppone alla completa cancellazione;
c) i dati personali sono necessari all'interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria;
d) si è opposto al trattamento ed è in attesa della verifica dei motivi legittimi dello stesso.
4. L'interessato, su istanza motivata, ha il diritto alla portabilità dei dati, ottenendone la trasmissione diretta, con le tecnologie disponibili, ad un altro titolare con contestuale cancellazione presso il titolare di origine.
Articolo 17 – Diritto di opposizione al trattamento
1. L'interessato può presentare al titolare motivata opposizione al trattamento di dati che lo riguardano.
2. Il titolare cessa il trattamento salvo questo sia indispensabile all'esercizio di una funzione amministrativa conferita dalla legge e necessario alla tutela di interessi pubblici prevalenti, nel rispetto di quanto previsto dalla normativa in vigore.
Articolo 18 – Competenze e modalità di esercizio dei diritti
1. Il titolare, anche tramite delega generale ad un soggetto attuatore, predispone e mantiene aggiornata la modulistica per l'esercizio dei diritti di cui al presente capo e i modelli con le informazioni da fornire all'interessato.
2. I nominativi e i dati di contatto del titolare, dei responsabili del trattamento e del RPD sono pubblicati sul sito istituzionale della Città metropolitana di Bologna (o dell'Unione o del Comune di ...) in apposita sezione “privacy”, con la modulistica di cui al comma 1. Sulla medesima pagina possono altresì essere pubblicati i dati di contatto di un soggetto attuatore specificamente delegato al riscontro dei diritti dell'interessato disciplinati dal presente capo. Le informazioni di cui all'articolo 14 sono pubblicate nelle pagine del sito istituzionale relative ai singoli procedimenti o servizi a cui si riferiscono.
3. L'interessato esercita i diritti di cui al presente capo tramite invio telematico di istanza alla Città
metropolitana di Bologna (o dell'Unione o del Comune di ...), indirizzata a struttura organizzativa individuata nella sezione del sito istituzionale di cui al comma precedente o in altra parte del sito dedicato ad una specifica funzione o servizio.
4. Il titolare, adempie a quanto richiesto dall'interessato entro 30 giorni dal ricevimento dell'istanza ovvero comunica i motivi del diniego anche parziale. In tale ultimo caso indica la possibilità di proporre reclamo al Garante ovvero proporre ricorso giurisdizionale nei modi previsti dalla disciplina vigente.
CAPO IV - DISPOSIZIONI FINALI
Articolo 19 – Rinvio
1. Per tutto quanto non espressamente disciplinato dal presente regolamento, si applicano le disposizioni del Codice, del RGPD e della normativa vigente, nel rispetto degli indirizzi espressi dal Garante.
Articolo 20 – Entrata in vigore
1. Il presente regolamento è pubblicato all’Albo pretorio per quindici giorni consecutivi ed entra in vigore il primo giorno del mese successivo al completamento della pubblicazione.