REGOLAMENTO PER IL TRATTAMENTO DEI DATI PERSONALI E LA TUTELA DELLA RISERVATEZZA

INDICE

SEZIONE I -DISPOSIZIONI GENERALI

SEZIONE II - DISPOSIZIONI ORGANIZZATIVE

SEZIONE III - TRATTAMENTO DEI DATI

SEZIONE IV - MISURE DI SICUREZZA

SEZIONE V - DISPOSIZIONI FINALI E TRANSITORIE

SEZIONE I -DISPOSIZIONI GENERALI

Art. 1
Oggetto

1. Il presente regolamento disciplina le modalità di attuazione, nell'ambito del Comune di Adria, delle disposizioni di cui all'articolo 22, commi 3 e 3-bis, della legge 31.12.1996, n. 675, come integrato dall'articolo 5 del D. Lgs. 11.5.1999, n. 135 e definisce le procedure da adottare per il trattamento dei dati personali e la loro comunicazione e diffusione, nonché le misure minime di sicurezza.

Art. 2
Definizioni

1. Ai fini del presente regolamento si intende:
   1. per "legge" : la legge 31.12.1996, n. 675 e successive modifiche ed integrazioni;
   2. per "dato sensibile": ogni informazione di natura sensibile o attinente a provvedimenti giudiziari qualificata ed individuata con riferimento a quanto previsto dagli articoli 22 e 24 della legge;
   3. per "operazioni eseguibili": le diverse forme o soluzioni di trattamento che possono essere effettuate sulle diverse tipologie di dati;
   4. per "misure minime di sicurezza": il complesso di misure tecniche, logico, informatiche ed organizzative che configurano il livello minimo di protezione dei dati personali richiesto dal D.P.R. 28.7.1999, n. 318 e delle ulteriori disposizioni di legge che fossero emanate in attuazione dell'articolo 15 della legge;
   5. per "responsabile del procedimento": il soggetto cui compete la responsabilità dell'istruttoria ed ogni altro adempimento inerente il singolo procedimento.
2. Per le definizioni di banca dati, trattamento, dato personale, titolare, responsabile, interessato, comunicazione, diffusione, blocco e dato anonimo si fa riferimento a quanto previsto dall'articolo 1, comma 2 della legge.

Art. 3
Finalità Istituzionali

1. Per finalità istituzionali, legittimanti ai sensi dell'articolo 27, comma 1, della legge il trattamento dei dati personali da parte del Comune, si intendono le funzioni e i compiti definiti dagli articoli 9 e 10 della legge 8.6.1990, n. 142 e successive modifiche ed integrazioni, dallo statuto e dai regolamenti comunali, nonché ogni ulteriore attribuzione spettante al Comune in base a disposizioni di legge o regolamentari.
2. Rientrano, altresì, nell'esercizio delle finalità istituzionali tutte le attività di trattamento di dati svolte per l'attuazione degli obiettivi programmati e di iniziative di collaborazione e/o cooperazione con altri soggetti pubblici e privati, anche associativi e di volontariato, in relazione ai principi fissati dallo statuto comunale, nonché tutte le funzioni collegate all'accesso o all'erogazione dei servizi ai cittadini da parte del Comune.

SEZIONE II - DISPOSIZIONI ORGANIZZATIVE

Art. 4
Titolare, Responsabili ed Incaricati del trattamento

1. Titolare del trattamento dei dati personali è il Comune di Adria in persona del Sindaco pro-tempore in qualità di legale rappresentante.
2. Al Sindaco nella predetta veste spettano tutti i poteri e le funzioni che la legge attribuisce al titolare ed in particolare:
   1. sovrintende a tutti gli adempimenti previsti dalla legge;
   2. impartisce ordini e direttive ai fini dell'osservanza delle norme vigenti in materia di riservatezza dei dati personali;
   3. adotta le misure e dispone gli interventi necessari per la sicurezza e la conservazione dei dati e per la correttezza dell'accesso;
   4. controlla che la comunicazione e diffusione dei dati avvenga nei limiti indicati dalla legge e dal presente regolamento;
   5. inoltra al Garante le richieste di autorizzazione al trattamento e le notificazioni previste dalla legge;
   6. può, ove lo reputi necessario, designare uno o più responsabili del trattamento ed eventuali sostituti nel rispetto di quanto previsto dall'articolo 8 della legge.
3. Il Sindaco con proprio atto può delegare ad altro soggetto, in tutto o in parte, le funzioni ad esso spettanti in qualità di titolare del trattamento.
4. La nomina del responsabile o dei responsabili del trattamento, ove ritenuta necessaria, avviene con atto scritto del Sindaco (o della persona da questi delegata) nel quale sono analiticamente specificati i compiti affidati.
5. Gli incaricati del trattamento sono, in via generale, i responsabili dei singoli procedimenti. Gli altri incaricati sono individuati dal dirigente di ogni singolo settore con riferimento alle mansioni svolte dai dipendenti addetti alla struttura di competenza ed alla loro collocazione organizzativa.
6. Gli incaricati del trattamento devono elaborare i dati personali ai quali hanno accesso attenendosi alle istruzioni del titolare o del responsabile, ove nominato.

Art. 5
Gruppo di lavoro per la privacy

1. E' istituito un gruppo di lavoro per la privacy allo scopo di valutare l'impatto che l'applicazione della legge comporta, sotto il profilo operativo e organizzativo, relativamente al trattamento dei dati personali gestiti e utilizzati dall'amministrazione comunale.
2. Il gruppo di lavoro anzidetto, organo di staff del titolare del trattamento o del suo delegato, è composto da un numero variabile di soggetti nominati dal Sindaco con le seguenti modalità:
   1. segretario generale o direttore generale, ove nominato, con funzioni di direzione e coordinamento e quale referente e responsabile dell'attività del gruppo;
   2. personale dipendente dell'amministrazione comunale che per esperienza o formazione fornisca idonea garanzia di conoscenza delle problematiche da trattare.
3. Per la trattazione di specifiche tematiche, a richiesta del referente il gruppo di lavoro può essere integrato da consulente esterno previo conferimento del relativo incarico.
4. Il gruppo di lavoro provvede:
   1. alla verifica delle attività connesse al trattamento, riferendo al titolare sulle necessità di interventi organizzativi,regolamentari e/o di ordine tecnico;
   2. alla promozione di iniziative di informazione e di formazione del personale in base alle novità intervenute;
   3. a formulare proposte per garantire l'uniformità di applicazione della legge e del presente regolamento anche predisponendo opportuna modulistica, schemi di accordo tipo, ecc.
5. L'attività del gruppo di lavoro anzidetto è inoltre finalizzata alla predisposizione di un manuale tecnico-operativo in ordine al trattamento dei dati personali e alle relative problematiche.
   Il manuale costituirà il documento fondamentale per la gestione dei dati personali sia in termini di controllo del processo, sia per garantire la qualità dei dati.
   In detto manuale potranno inoltre essere specificate e descritte le attività svolte, le istruzioni impartite ai responsabili e agli incaricati, gli obblighi e gli adempimenti necessari nonché le misure di sicurezza adottate.
6. Il manuale una volta elaborato è sottoposto a revisione biennale da parte del gruppo di lavoro e comunque ogni volta che si renda necessario.

SEZIONE III - TRATTAMENTO DEI DATI

Art. 6
Trattamento dei dati

1. Il trattamento dei dati personali da parte del Comune, salvo quanto previsto dall'articolo 4 della legge e, per quanto riguarda i dati sensibili, dal successivo articolo 9, è consentito per lo svolgimento delle funzioni istituzionali.
2. A prescindere dalla natura sensibile o meno dei dati, il trattamento deve avvenire con modalità atte ad assicurare il rispetto dei diritti, delle libertà fondamentali e della dignità dell'interessato.
3. Il trattamento dei dati personali deve inoltre essere effettuato nel rispetto delle disposizioni di legge e del presente regolamento.
4. I dati in possesso dell'amministrazione comunale sono trattati sia in forma non automatizzata utilizzando il supporto cartaceo, sia in forma elettronica mediante l'ausilio di sistemi informatici o automatizzati.
5. La gestione in via informatizzata dei dati personali può essere anche finalizzata allo svolgimento dell'attività amministrativa e all'emanazione di atti e provvedimenti.
6. La gestione dei documenti informatici contenente dati personali è soggetta alla specifica disciplina prevista dal D.P.R. 10.11.1997, n. 513.

Art. 7
Consenso dell'interessato

1. Non è richiesto il consenso per il trattamento dei dati personali ove lo stesso sia effettuato per il perseguimento delle finalità istituzionali in quanto conseguente ad un obbligo derivante da disposizioni normative.
2. Per finalità diverse da quelle anzidette e per le ipotesi non contemplate dall'articolo 12 della legge, deve essere richiesto il consenso dell'interessato riferito all'intero trattamento ovvero ad una o più operazioni dello stesso.
3. Nei casi in cui è richiesto, il consenso è validamente prestato solo se espresso liberamente ed in forma scritta a seguito dell'informativa prevista dall'articolo 10 della legge.

Art. 8
Informativa dell'interessato

1. Nell'informare gli interessati deve essere fatto espresso riferimento, per quanto riguarda i dati sensibili, alla normativa che prevede gli obblighi ed i compiti in base ai quali si effettua il trattamento.
2. Al fine di facilitare all'interessato l'esercizio dei diritti previsti dall'art. 13 della legge, in sede di informativa, è resa, con riferimento all'articolazione organizzativa del Comune, ogni utile notizia in ordine al soggetto o ai soggetti ai quali ricorrere, rivolgere istanze o davanti ai quali far valere i propri diritti.
3. Di norma, l'informativa è resa dal responsabile del procedimento.

Art. 9
Dati sensibili

1. Il trattamento dei dati sensibili è ammesso solo se autorizzato da espressa disposizione di legge nella quale siano specificati i tipi di dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite.
2. Nel caso in cui la legge specifichi la rilevante finalità di interesse pubblico ma non i dati e le operazioni eseguibili, il trattamento è effettuato nei modi e limiti di seguito precisati:
   1. i dati sensibili possono essere raccolti, trattati e conservati solamente per finalità qualificate dalla legge di rilevante interesse pubblico;
   2. possono essere trattati solo i dati pertinenti e non eccedenti le finalità per le quali i medesimi sono stati raccolti in relazione alle singole fattispecie.
3. A seguito di monitoraggio dei trattamenti effettuati nell'ambito del Comune e delle proposte del gruppo di lavoro per la privacy, la giunta comunale, annualmente o, se necessario anche a cadenza infrannuale, con apposita deliberazione, indica per ogni tipologia di attività riconosciuta dalla legge di rilevante interesse pubblico, i dati trattabili e le operazioni eseguibili.
4. I contenuti della deliberazione anzidetta sono resi pubblici mediante pubblicazione all'Albo Pretorio del Comune.
5. Il trattamento di dati sensibili, per finalità non qualificate dalla legge di rilevante interesse pubblico, è consentito solamente previa autorizzazione del Garante.

Art. 10
Comunicazione dei dati

1. La comunicazione dei dati trattati a soggetti pubblici, esclusi gli enti pubblici economici, è ammessa:
   1. se previste da disposizioni di legge, statuto o regolamento ovvero per l'esercizio di specifiche o correlate attività che le predette disposizioni attribuiscono al detentore dei dati o al soggetto pubblico che li richiede;
   2. per favorire lo scambio e la trasmissione di informazioni e documenti alle amministrazioni pubbliche che sviluppano in collaborazione attività connesse alle finalità istituzionali del Comune, nonché dei dati e delle informazioni necessari al raggiungimento degli obiettivi e per l'esercizio delle attività oggetto di accordi, intese, convenzioni e simili, valutando la pertinenza e la non eccedenza dei dati comunicati rispetto alle finalità stesse;
   3. per lo svolgimento delle funzioni istituzionali non rientranti nella precedente lettera b). In tal caso deve essere data preventiva comunicazione al Garante nei modi di cui all'articolo 7, commi 2 e 3, della legge.
2. La comunicazione dei dati personali a soggetti privati o a enti pubblici economici, oltre alle ipotesi previste dall'articolo 27, comma 3 della legge, può riguardare:
   1. il trasferimento di dati nominativi, indirizzi nonché ogni altra informazione che sia da considerarsi pertinente e non eccedente gli scopi, ai soggetti:
      • che, in regime di concessione od appalto, effettuano servizi, forniture e lavori per conto del Comune o che svolgono attività strumentali e/o di supporto a quelle del Comune ovvero attività necessarie all'esecuzione delle prestazioni e servizi imposti da leggi, regolamenti, norme comunitarie o che vengono attivati al fine di soddisfare bisogni o richieste dei cittadini;
      • che, a seguito di contratto, convenzione od incarico, svolgono servizi ed attività, anche di consulenza, a favore e/o per conto del Comune ed, in generale, a coloro ai quali la comunicazione risulta necessaria per lo svolgimento delle attività loro affidate o richieste dal Comune;
      • che collaborano o cooperano con il Comune per l'attuazione degli obiettivi programmati;
      • che intervengono o risultano coinvolti, a titolo diverso, nell'organizzazione, sistemazione logistica, prenotazione, soggiorno, vendita biglietti, ecc., in occasione di gemellaggi, seminari, convegni, missioni in Italia o all'estero o di iniziative similari promosse dal Comune o alle quali lo stesso aderisce;
   2. dati personali di dipendenti ed amministratori, collaboratori, consulenti, incaricati ecc. a banche, assicurazioni o altri soggetti, per finalità contabili, amministrative di copertura dei rischi, ecc..
3. Nella comunicazione di cui al precedente comma possono essere previste le modalità ed i limiti del trattamento dei dati, nonché gli obblighi connessi all'adozione delle misure di sicurezza, ovvero protocolli d'intesa, accordi tipo, ecc. che contengano, di regola, l'indicazione del titolare, del responsabile della banca dati, le operazioni di trattamento, le modalità di trasferimento e comunicazione.
4. E' esclusa, ad eccezione delle ipotesi di trasferimento di dati tra enti pubblici o sottoscrizione di specifico protocollo d'intesa, la messa a disposizione o la consultazione in blocco e la ricerca per nominativo di tutte le informazioni contenute nella banca dati, senza limiti di procedimento o settore.
5. La comunicazione dei dati all'interno della struttura organizzativa del Comune, per ragioni d'ufficio e nell'ambito delle specifiche competenze, non è soggetta a particolari limitazioni. Il responsabile del procedimento, limitatamente ai dati sensibili, può tuttavia disporre motivatamente ed in forma scritta, le misure ritenute necessarie alla tutela della riservatezza delle persone.
6. L'accesso ai dati da parte dei consiglieri comunali, qualora gli stessi dichiarino che è riferito all'espletamento del mandato, avviene senza particolari formalità con il solo richiamo all'obbligo del segreto d'ufficio.

Art. 11
Diffusione dei dati personali

1. La diffusione dei dati personali è ammessa quando sia prevista da norma di legge e regolamento.
2. E' vietata la diffusione dei dati idonei a rilevare lo stato di salute, salvo nel caso in cui sia necessaria per finalità di prevenzione, accertamento o repressione dei reati con l'osservanza delle norme che regolano la materia.
3. Nell'ipotesi in cui la legge, lo statuto o i regolamenti prevedano pubblicazioni obbligatorie, il responsabile del procedimento, nella redazione dell'atto, adotta tutte le misure necessarie per garantire la riservatezza dei dati sensibili.
4. La diffusione dei dati, quando non sia prevista da norma di legge o regolamentare, ma risulti necessaria per lo svolgimento delle funzioni istituzionali, può avvenire solamente a seguito di preventiva comunicazione al Garante.

SEZIONE IV - MISURE DI SICUREZZA

Art. 12
Sicurezza

1. Le misure minime di sicurezza devono essere, in particolare, finalizzate a prevenire:
   1. i rischi di distruzione della banca dati e dei locali ove essa è collocata;
   2. l'accesso non autorizzato;
   3. le modalità di trattamento non conformi alla legge o al regolamento;
   4. la distruzione o la perdita anche accidentale dei dati memorizzati.
2. A seguito della ricognizione dei mezzi elettronici o comunque automatizzati con cui si effettua il trattamento e delle banche dati esistenti, sono individuate le misure minime di sicurezza con riferimento alle disposizioni contenute nel D.P.R. 29.07.1999, n. 318 ed alle ulteriori disposizioni che fossero emanate in attuazione dell'art. 15 della legge.
3. Oltre a quelle indicate dalle norme sopra richiamate, si individuano le seguenti misure fisiche di sicurezza:
   1. l'accesso ai locali in cui avviene il trattamento deve essere controllato nel senso che, in assenza del personale addetto cui compete la dovuta vigilanza, non possono rimanere aperti o comunque accessibili a soggetti non autorizzati i locali nei quali sono:
      • ubicate le memorie dell'elaboratore sulle quali sono registrati i dati personali ovvero i terminali che consentono l'accesso alle medesime, in caso di trattamenti informatizzati;
      • conservati gli archivi cartacei contenenti dati personali, in caso di procedure non informatizzate.
   2. banche dati raccolte su supporti informatici mobili (floppy, CD, cartacei, ecc.) devono essere riposte o conservate in armadi, o altri luoghi idonei, muniti di serratura al fine di consentire l'accesso al solo personale autorizzato.

Art. 13
Controlli

1. Il titolare o il responsabile del trattamento attivano controlli, anche a campione, al fine di verificare la sicurezza delle banche dati e l'attendibilità dei dati inseriti.
2. La verifica anzidetta si può estendere anche all'applicazione della normativa vigente e delle disposizioni impartite dal titolare o contenute nel manuale di cui è detto all'art. 5 del presente regolamento.

SEZIONE V - DISPOSIZIONI FINALI E TRANSITORIE

Art. 14
Banche dati

1. La costituzione di nuove banche dati rispetto a quelle censite, deve essere autorizzata dal titolare su proposta del responsabile dell'ufficio interessato.
2. Tale proposta, in relazione alle finalità e modalità del trattamento, evidenzierà:
   1. se si renda o meno necessaria la preventiva comunicazione al Garante o la modifica dei dati contenuti nella notificazione effettuata ai sensi dell'art. 7 della legge;
   2. se risultano applicabili le disposizioni in materia di consenso;
   3. le finalità e le modalità del trattamento con riferimento alle vigenti disposizioni di legge o regolamentari ovvero alle finalità istituzionali del Comune;
   4. la natura dei dati, il luogo in cui verranno custoditi e i soggetti a cui si riferiranno;
   5. sensibilità o meno dei dati;
   6. l'ambito di comunicazione e diffusione con riferimento all'art. 27 della legge e al presente regolamento;
   7. una descrizione delle misure minime di sicurezza che verranno adottate;
   8. l'eventuale connessione con altri trattamenti o banche dati.

Art. 15
Interventi di manuntenzione alla banca dati

1. Qualora si rendano necessari interventi manutentori alle attrezzature contenenti banche dati o alla banca dati stessa da parte del fornitore del software, l'intervento deve essere preventivamente autorizzato, in forma scritta, dal titolare o dal responsabile del trattamento.

Art. 16
Norma transitoria

1. In sede di prima applicazione del presente regolamento, l'aggiornamento dell'elenco banche dati, censite al 31.12.1997 e delle quali è stato preso atto con deliberazione di Giunta n. 220 del 26.03.1998, è effettuato entro novanta giorni dall'entrata in vigore del regolamento.

Art. 17
Entrata in vigore

1. Il presente regolamento entra in vigore dopo l'esame favorevole da parte dell'organo regionale di controllo e la pubblicazione prevista dallo statuto.
2. Con effetto dalla data di entrata in vigore, sono abrogate le norme dei regolamenti comunali e degli atti aventi natura regolamentare, che comunque risultino in contrasto con quanto disposto dal presente regolamento.

Art. 18
Pubblicità aggiuntiva

1. Ai sensi dell'art. 26 della legge 241 del 7.08.1990 e dell'art. 17 del regolamento comunale per la disciplina del diritto di accesso dei cittadini ai documenti amministrativi e della partecipazione ai procedimenti amministrativi, dell'entrata in vigore del presente regolamento sarà data pubblicità aggiuntiva, con avviso affisso per 30 giorni consecutivi all'Albo Pretorio, e deposito dello stesso presso l'ufficio relazioni pubbliche per la visione e l'eventuale rilascio di copia a chiunque vi abbia interesse.