Il Regolamento (UE) 2016/679 del 27 aprile 2016 del Parlamento europeo e del Consiglio - di seguito denominato “Regolamento” – ha introdotto, a decorrere dal 25 maggio 2018, un nuovo quadro giuridico in materia di protezione dei dati personali.
Il decreto legislativo 10 agosto 2018 n. 101 ha recepito le disposizioni del Regolamento, adeguando il Codice in materia di protezione dei dati di cui al decreto legislativo 30 giugno 2003, n. 196.
Con la legge provinciale 21 luglio 2022, n. 6 e con il decreto del Presidente della Provincia 26 marzo 2024, n. 3, sono state regolamentate il funzionamento e l’assetto della struttura amministrativa e organizzativa dell'Amministrazione provinciale, anche al fine di garantire una corretta attuazione e attribuzione dei compiti e delle responsabilità alle diverse figure dirigenziali.
Le principali novità introdotte in materia di protezione dei dati sono da collegarsi sostanzialmente alla centralità del principio di responsabilizzazione ex art. 5 par. 2 del Regolamento (“accountability” nella accezione inglese), che si traduce come specificato dall’Autorità Garante per la protezione dei dati personali nell’“adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento”.
Il citato principio di responsabilizzazione è da ritenersi strutturalmente collegato all’assetto organizzativo dell’Amministrazione, articolata in più e diverse strutture organizzative quali le Ripartizioni e gli Uffici, con contestuale trattamento dei dati personali posto in essere all’interno dei diversi procedimenti di competenza.
Gli enti strumentali provinciali dotati di propria personalità giuridica, autonomia amministrativa, organizzativa e contabile sono invece ritenuti essere titolari autonomi dei trattamenti di dati personali ed in tale veste disciplinano in proprio le politiche in materia di protezione dei dati afferenti ai propri trattamenti.
Nell’Amministrazione provinciale assume un ruolo decisivo il registro delle attività di trattamento dei dati personali, che rappresenta uno strumento fondamentale per garantire la conformità al Regolamento e alle normative in materia. Esso permette di tenere traccia di tutte le attività di trattamento dei dati personali svolte dall'Amministrazione provinciale, comprese le finalità, le categorie di dati trattati, i destinatari dei dati, le misure di sicurezza adottate e il periodo di conservazione dei dati.
Per perseguire l’effettività del principio di responsabilizzazione e di sicurezza dei dati, l’Amministrazione provinciale, in qualità di titolare del trattamento, ha già provveduto a:
1) sostenere l’istruzione delle e dei dipendenti tramite formazione interna;
2) nominare il proprio Responsabile della protezione dati (DPO);
3) nominare Alto Adige Informatica S.p.A. quale responsabile dei trattamenti nell’ambito delle prestazioni definite dal relativo accordo quadro;
4) impartire le istruzioni per agevolare il processo di adeguamento interno e di conformità al Regolamento a mezzo delle circolari del Direttore generale n. 4 del 23 maggio 2018 e n. 5 del 5 aprile 2023;
5) dotarsi di un registro automatizzato di trattamento dei dati;
6) implementare all’interno del registro di cui sopra la metodologia per condurre la valutazione d’impatto sulla protezione dei dati, in caso di trattamenti comportanti un elevato rischio per i diritti e le libertà delle persone fisiche.
In un’ottica di formalizzazione dell’assetto organizzativo già introdotto a fronte delle azioni di cui sopra già intraprese, l’Amministrazione provinciale intende:
a) adottare linee guida in materia di protezione dei dati personali, per allocare per materia e rispettivi ambiti di competenza, le responsabilità del trattamento in capo alle persone preposte;
b) descrivere, nell’ambito dei compiti spettanti ai soggetti di cui alla lettera a), la procedura di gestione delle richieste di esercizio dei diritti relativi ai propri dati personali da parte dei soggetti interessati, definendone il relativo schema di flusso nell’allegato n. 2;
c) il Direttore e la Direttrice della Ripartizione Servizi Trasversali, in ragione dei compiti istituzionali e delle attività dell’Amministrazione attribuite e delegate, è competente per l’adempimento degli obblighi di comunicazione nei confronti dell’Autorità garante per la protezione dei dati in caso di segnalazione di una violazione di dati personali (data breach), ai sensi di quanto previsto dall’allegato schema di procedura di gestione n.1;
d) il Direttore e la Direttrice della Ripartizione Servizi Trasversali è competente per la promozione e l’adozione di misure adeguate in materia di protezione dei dati nonché per l’impartizione delle relative istruzioni ai soggetti preposti al trattamento;
e) demandare alla Ripartizione Informatica la definizione delle misure di sicurezza per tutto ciò che attiene all’ambito informatico;
f) fare salve le istruzioni impartite dal Direttore generale a mezzo delle circolari di cui al punto 4 sopraccitato, con eccezione della procedura di cui al punto 4 della circolare n. 4/2018.
Con nota del 16.04.2024, prot. 359617, il Responsabile della protezione dei dati personali dell’Amministrazione provinciale ha reso parere positivo rispetto alla presente proposta di delibera.
Ciò premesso a voti unanimi legalmente espressi
LA GIUNTA PROVINCIALE
delibera:
1. di nominare soggetti preposti al trattamento di dati personali per le materie e gli ambiti di rispettiva competenza e delega:
a) il direttore e la direttrice pro tempore del Dipartimento per le funzioni proprie e delegate allo stesso;
b) il direttore e la direttrice pro tempore della Ripartizione o di altra relativa struttura organizzativa, da intendersi equivalente alla Ripartizione, per compiti e funzioni proprie o delegate;
c) il direttore e la direttrice pro tempore del relativo ufficio, o da intendersi equivalente, per compiti e funzioni attribuite e delegate;
d) i soggetti titolari di incarichi complessi e/o strategici speciali di cui agli articoli 10 e 11 della legge provinciale 21 luglio 2022, n. 6.
2. Il Direttore e la Direttrice della Ripartizione Servizi Trasversali è responsabile per la notifica all’Autorità garante per la protezione dei dati nei casi di violazione dei dati personali, seguendo il procedimento descritto nell'allegato n. 1, che costituisce parte integrante della presente deliberazione.
3. Il Direttore e la Direttrice della Ripartizione Servizi Trasversali è competente per la promozione e l’adozione di misure adeguate in materia di protezione dei dati nonché per l’impartizione delle relative istruzioni alle persone preposte.
4. Di incaricare i soggetti preposti di aggiornare il registro automatizzato con particolare riguardo alle schede di trattamento e alle nomine delle persone autorizzate, e di condurre, ove necessario, la Valutazione d'Impatto sulla Protezione dei Dati (DPIA) nonché di fornire istruzioni specifiche per il trattamento consentito nell’ambito delle nomine alle persone autorizzate di cui sopra.
5. Di riservare ai soggetti preposti, delegati alla stipula di contratti di affidamento di servizi per conto dell’Amministrazione provinciale, la designazione con apposito incarico scritto dei soggetti e imprese esterni quali responsabili del trattamento.
6. Di richiedere ai soggetti preposti, le cui strutture devono comunicare dati personali al di fuori dell'Amministrazione provinciale per svolgere un compito di interesse pubblico o per adempiere a un obbligo di legge, di verificare se l'ente destinatario sia un cotitolare o un titolare autonomo del trattamento dei dati e di stipulare conseguentemente i relativi accordi conformemente alle disposizioni vigenti in materia.
7. Di distribuire le responsabilità di gestione delle richieste di esercizio dei diritti di cui agli articoli 12 – 22 del Regolamento di cui in premessa da parte delle persone interessate in base alla procedura definita nello schema allegato n. 2, che costituisce parte integrante della presente deliberazione.
8. Di demandare alla Ripartizione Informatica l’attivazione di un adeguato sistema di gestione della sicurezza dei dati personali nel rispetto del Regolamento di cui in premessa.
9. Di confermare la nomina di Alto Adige Informatica S.p.A. quale responsabile dei trattamenti nell’ambito delle prestazioni definite nei relativi accordi quadro o contratti di servizio.
10. Di qualificare gli Enti strumentali dotati di propria personalità giuridica, autonomia amministrativa, organizzativa e contabile, quali titolari autonomi dei trattamenti di dati personali per quanto riguarda i compiti assegnati.
11. Di fare salve le istruzioni impartite dal Direttore generale a mezzo delle circolari di cui al punto 4 in premessa, con eccezione della procedura di cui al punto 4 della circolare n. 4/2018.