ENTE GESTORE DELLA FUNZIONE SOCIO ASSISTENZIALE · Web viewallo stato dell’arte e dei costi di...

Viale San Pancrazio, 63 - 10044 Pianezza (TO)

PEC: [email protected]

Sito istituzionale: www.cissa.it

Documento attuativo del GDPR,

per lo sviluppo di sistemi di protezione dei dati personali

e la crescita della cultura della sicurezza

nel trattamento dei dati personali.

http://www.cissa.it/

Consorzio Intercomunale dei Servizi Socio Assistenziali di Pianezza

INTRODUZIONE

Con il presente documento si è inteso dare attuazione a tutti gli adempimenti connessi all’applicazione del Regolamento (UE) 2016/979 del 27 aprile 2016 in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Ai sensi dell’articolo 99, comma 2 del citato regolamento, richiamato nel seguito del presente documento anche con l’acronimo G.D.P.R. (General Data Protection Regulation), le numerose disposizioni contenute nel medesimo atto normativo trovano diretta applicazione nell’ordinamento giuridico italiano a decorrere dal 25 maggio 2018.

In alcuni casi per espresso rinvio del Legislatore Europeo è prevista la possibilità per i singoli Stati membri dell’UE di adottare norme specifiche rispetto a temi particolari.

A tale scopo il Parlamento Italiano, con l’articolo 13 della Legge 25 ottobre 2017, n. 163 ( Legge di delegazione europea 2016-2017), ha delegato il Governo ad adottare uno o più decreti legislativi al fine di adeguare il quadro normativo nazionale alle disposizioni del regolamento (UE) 2016/679.

Con DECRETO LEGISLATIVO 10 agosto 2018, n. 101 il governo ha emanato le Disposizioni per l'adeguamento della normativa nazionale (Decreto Legislativo 30 giugno 2003, n. 196 "Codice in materia di protezione dei dati personali") alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

Oltre alla normativa citata, per l’elaborazione del presente documento si è fatto riferimento alle numerose linee guida elaborate dal Gruppo di lavoro per la protezione dei dati “Articolo 29” istituito ai sensi dell’articolo 29 della direttiva 1995/46/CE, i cui compiti sono fissati all’articolo 30 della direttiva 1995/46/CE ed all’articolo 15 della direttiva 2002/58/CE, tenuto conto della clausola di salvaguardia stabilita dall’articolo 94, comma 2 del Regolamento (UE) 2016/979.

Inoltre a completamento di aspetti non disciplinati da specifiche norme o da linee guida si è fatto riferimento alle indicazioni del Garante per la protezione dei dati personali in quanto Autorità di controllo nazionale competente in materia di protezione dei dati personali ai sensi dell’articolo 51 del Regolamento (UE) 2016/979.

L’entrata in vigore del nuovo regolamento europeo in materia di protezione dei dati personali ha di fatto modificato radicalmente l’approccio adottato finora per la regolamentazione della materia.

Infatti con il nuovo Regolamento, il Legislatore europeo non si è limitato semplicemente ad introdurre nuovi principi (si pensi ad esempio al concetto di privacy by design, privacy by default riconducibili all’articolo 25 del G.D.P.R.) bensì, in considerazione dell’inadeguatezza del

1


precedente approccio di sistema, ha cercato di ribaltare completamente il paradigma di riferimento, per garantire una reale e sostanziale difesa del diritto degli interessati alla protezione della propria sfera di riservatezza.

In questo modo si è passati da un approccio prevalentemente basato sulla regolamentazione di rimedi alle possibili violazioni e conseguenti danni alla privacy degli interessati, ad una logica di sistema basata sulla prevenzione effettiva attraverso la c.d. “responsabilizzazione” del titolare e del responsabile del trattamento.

Tra i principi introdotti, una funzione di perno centrale del sistema è sicuramente attribuibile al concetto di accountability, che riferito al titolare ed al responsabile del trattamento, trova in italiano la traduzione più adatta in “responsabilizzazione”, ma che necessita di un ulteriore sforzo interpretativo affinché ne venga colto per intero il più ampio significato.

L’esigenza soddisfatta dall’introduzione del principio di responsabilizzazione è stata quella di far in modo che i soggetti che determinano finalità e mezzi del trattamento, o che trattano i dati per loro conto, dunque il titolare ed il responsabile del trattamento, fossero spinti a porre in essere tutte le misure necessarie alla protezione effettiva del dato personale oggetto dei trattamenti.

Questo concetto era già stato espresso in un parere del Gruppo di Lavoro Articolo 29 (WP 173 del Parere 3/2010 del 13 luglio 2010), laddove si era, tra l’altro, raccomandato che il titolare del trattamento dei dati dovesse essere in grado di dimostrare di avere adottato un processo complessivo di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi e che dovesse dimostrare in modo positivo e proattivo che i trattamenti di dati effettuati sono adeguati e conformi al regolamento europeo in materia di privacy.

Lo sviluppo di queste considerazioni stanno alla base della previsione specificamente contenuta nell’articolo 24 del Regolamento 2016/679, rubricato “Responsabilità del trattamento” in cui, per l’appunto, è previsto che: il titolare del trattamento metta in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento sia effettuato conformemente al presente regolamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.

Una norma evidentemente dal contenuto molto ampio che in sé contiene:

1) l’obbligo di mettere in atto misure che rendano ogni trattamento effettuato come conforme (compliant) alle previsioni del Regolamento;

2) l’obbligo che le misure adottate forniscano la garanzia di detta conformità;

3) l’obbligo di fondare la scelta delle misure adottate su preventive analisi dei rischi;

2


4) l’obbligo che la conformità così garantita sia anche facilmente dimostrabile ai Responsabili alla Protezione dei Dati, ad eventuali altri organi ispettivi o giurisdizionali, o anche agli interessati al dato;

In questo modo è dato comprendere il senso pieno del concetto di “accountability” collegato ad un vero e proprio obbligo di possibile rendicontazione in materia.

A ben vedere, quindi, la responsabilità del titolare di un trattamento (o dei responsabili) può discendere da comportamenti adottati (o non adottati) ancor prima che il trattamento specifico venga poi praticamente realizzato.

Per meglio dire, d’ora in avanti potranno venire ad esistenza effetti giuridicamente rilevanti in conseguenza delle scelte operate dai titolari al momento della “pianificazione” dei trattamenti, e non solo al momento dell’effettivo svolgimento delle operazioni in cui il trattamento si sostanzierà.

Ciò che verrà adottata come misura organizzativa o di sicurezza dipenderà esclusivamente dalla scelta operata dal titolare del trattamento o dal responsabile, sulla base di una valutazione ex ante (come detto preventiva) che abbia avuto a parametro le caratteristiche del trattamento effettuato: la sua natura, e quella dei dati cui si riferisce, il contesto, la finalità, i metodi e gli strumenti di trattamento.

Non più quindi la mera predisposizione di specifiche misure di sicurezza utili eventualmente a deresponsabilizzare il soggetto di riferimento in specifiche occasioni e volte a perseguire il rispetto “formale” della disposizione di legge, ma piuttosto l’individuazione di uno specifico fine posto dal sistema normativo: la garanzia della conformità effettiva dei trattamenti alle norme di regolamento e, dunque, la garanzia della tutela e protezione reale dei dati personali, da raggiungere attraverso misure giuridiche, organizzative, e di sicurezza tecnica la cui individuazione e adattamento al caso specifico sarà responsabilità del titolare o del responsabile, nell’ambito di un vero programma di protezione del dato che si sostanzi nell’implementazione di processi non occasionali ma sistematici ed organizzati finalizzati al c. d. privacy management.

Pertanto il presente documento unico, oltre ad essere strutturato per l’adempimento di obblighi “formali”, vuole essere soprattutto un’occasione di crescita per gli operatori del sistema integrato regionale degli interventi e dei servizi sociali nello sviluppo della cultura della sicurezza in materia di protezione dei dati personali dell’Ente Gestore della Funzione Socio Assistenziale, al fine di garantire sotto il profilo “sostanziale” all’interno dei singoli Enti Gestori un sistema di sicurezza effettiva sul tema in questione.

Tutto questo nella consapevolezza che:

1) Allo stato dell’arte, nella materia della protezione dei dati personali, non esiste in modo statico un sistema di sicurezza “perfetto” in assoluto, ma il tutto è sempre in rapida e continua evoluzione. La velocità che caratterizza lo sviluppo tecnologico dei sistemi e degli strumenti

3


informatici rende in un solo istante inefficaci misure di sicurezza che fino ad un attimo prima venivano considerate il massimo dell’efficienza.

2) Le misure di sicurezza vanno comunque contestualizzate rispetto alla realtà dell’Ente che le applica. In tal senso il richiamo previsto all’articolo 32 del G.D.P.R. “allo stato dell’arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento”, rendono manifesta la profonda differenza che esiste tra un piccolo o medio Ente Pubblico con una dimensione locale di competenze territoriali che, in un quadro di ristrettezze di risorse economiche nazionali, deve comunque cercare di garantire dei profili di sicurezza in materia di trattamento dei dati personali, rispetto ad esempio ai grandi colossi internazionali del GAFA (Google, Apple, Facebook e Amazon) che di fatto, oltre a possedere imponenti risorse economiche, dominano la rete e trafficano incommensurabili quantità di informazioni e dati personali, rappresentando la gestione del dato in molti casi il “core business” della loro attività.

3) Nel mondo reale rimane comunque una distanza incolmabile tra quello che viene richiesto dal sistema ai titolari o ai responsabili del trattamento in applicazione del principio di accountability, rispetto alla scarsa cultura sul tema specifico da parte dei singoli interessati, che quotidianamente condividono e rendono pubbliche nella rete moltissimi dati per i quali dall’altra parte le norme impongono l’adozione di specifiche misure di sicurezza.

4


STRUTTURA DEL DOCUMENTO

Il documento è strutturato in 12 sezioni così come di seguito indicate:

1. Inquadramento normativo dell’Ente ed ambito di applicazione della normativa in materia di trattamento e protezione dei dati nel caso degli Enti Gestori della Funzione Socio Assistenziale

p.62. Descrizione dei processi comportanti il trattamento di dati personali e finalità del

trattamento p.11

3. Analisi degli archivi e dei centri di raccolta dati a disposizione dell’Ente Gestore p.17

4. Rettifica e cancellazione di dati p.20

5. Individuazione del Titolare del Trattamento dell’Ente Gestore p.22

6. Individuazione del Responsabile del Trattamento dell’Ente Gestore p.25

7. Individuazione dei Contitolari del Trattamento e dei Responsabili esterni del Trattamento

p.278. Individuazione del Responsabile della protezione dei dati dell’Ente Gestore

p.299. Registro delle attività di trattamento del Titolare

p.3110. Registro delle attività di trattamento del Responsabile

p.3211. Valutazione d’impatto sulla protezione dei dati

p.3312. Disciplinare interno delle misure organizzative e tecnologiche volte alla sicurezza del

trattamento p.35

Ogni sezione affronta uno specifico tema o adempimento previsto dalla normativa in questione tenuto conto della struttura e della funzione dell’Ente Gestore della Funzione Socio-Assistenziale.

5


1. Inquadramento normativo dell’Ente ed ambito di applicazione della normativa in materia di trattamento e protezione dei dati nel caso degli Enti Gestori della Funzione Socio Assistenziale

Il Consorzio dei Servizi Socio Assistenziali, ente strumentale di Enti Locali ai sensi dell’articolo 11-ter del Decreto Legislativo 23 giugno 2011, n. 118, è un ente pubblico, costituito da 8 Comuni, che sul territorio di competenza esercita la funzione della “progettazione e gestione del sistema locale dei servizi sociali ed erogazione delle relative prestazioni ai cittadini, secondo quanto previsto dall'articolo 118, quarto comma, della Costituzione”. Tale funzione è individuata dal Legislatore Nazionale quale funzione fondamentale ai sensi dell’articolo 14, comma 27, lettera “g” del Decreto-Legge 31 maggio 2010, n. 78 convertito con modificazioni dalla Legge 30 luglio 2010, n. 122.

Sotto il profilo strutturale, il Consorzio Servizi Socio Assistenziali è una Pubblica Amministrazione presente nell’elenco delle amministrazioni pubbliche inserite nel conto economico consolidato, così come individuate ai sensi dell’articolo 1, comma 3 della legge 31 dicembre 2009, n. 196 e ss.mm.ii “Legge di contabilità e di finanza pubblica” alla voce “Consorzi intercomunali dei servizi socio assistenziali”.

Da tale connotazione pubblicistica discende per l’Ente l’applicazione sotto il profilo soggettivo di numerose leggi nazionali che vedono come esclusivi destinatari i soggetti appartenenti al mondo della Pubblica Amministrazione e che possono avere riflessi nella materia del trattamento dei dati personali.

A titolo meramente indicativo e non esaustivo si richiamano:

il Decreto legislativo 25 maggio 2016 n. 97 - “Revisione e semplificazione delle disposizioni in materia di prevenzione della corruzione, pubblicità e trasparenza, correttivo della legge 6 novembre 2012, n. 190 e del decreto legislativo 14 marzo 2013 n. 33, ai sensi dell’articolo 7 della legge 7 agosto 2015 n. 124, in materia di riorganizzazione delle amministrazioni pubbliche”;

Il Decreto legislativo 18 aprile 2016, n. 50 e s.m.i.- “Codice dei contratti pubblici” Il Decreto legislativo 14 marzo 2013, n. 33 “Riordino della disciplina riguardante il diritto di

accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni;

Il Decreto legislativo 7 marzo 2005, n. 82 – “Codice dell'amministrazione digitale” Il D.P.R. 28 dicembre 2000, n. 445 - “Testo unico delle disposizioni legislative e

regolamentari in materia di documentazione amministrativa”; la Legge 7 agosto 1990, n. 241 - “Nuove norme in materia di procedimento amministrativo

e di diritto di accesso ai documenti amministrativi”;

6


Sotto il profilo funzionale, la normativa di dettaglio dei servizi sociali e la disciplina dell’esercizio della relativa funzione, dato l’attuale assetto costituzionale di riparto di competenze legislative, appartiene alla competenza residuale delle Regioni.

Nel caso specifico la normativa di riferimento è la Legge Regionale del Piemonte 8 gennaio 2004, n. 1 "Norme per la realizzazione del sistema regionale integrato di interventi e servizi sociali e riordino della legislazione di riferimento", la quale peraltro all’articolo 3, comma 1, stabilisce tra i principi e le modalità per l'erogazione dei servizi del sistema integrato: “il rispetto della dignità della persona, della sua riservatezza e del suo diritto di scelta”.

Esistono inoltre una pluralità di leggi nazionali e regionali o atti amministrativi e di programmazione generale che disciplinano alcuni aspetti specifici delle attività degli Enti Gestori della Funzione Socio Assistenziale.

A titolo meramente indicativo e non esaustivo si richiamano:

L’articolo 38 della Costituzione - in materia di diritto all’assistenza sociale; Gli articoli 22 e seguenti del Decreto del Presidente della Repubblica 24 luglio 1977, n. 616

- in materia di funzioni amministrative relative alla materia "beneficenza pubblica"; Gli articoli 128 e seguenti del Decreto Legislativo 31 marzo 1998, n. 112 - in materia di

servizi sociali; L’articolo 403 del codice civile “Intervento della pubblica autorità a favore dei minori”; L’articolo 354 del codice civile “Tutela affidata a enti di assistenza”; Gli articoli 168 bis del Codice Penale e 464 bis del codice di procedura penale - in materia di

sospensione del procedimento penale con messa alla prova in affidamento al servizio sociale;

L’articolo 47 della Legge 26 luglio 1975, n. 354 “Affidamento in prova al servizio sociale”; Gli articoli 186, comma 9-bis, 187 comma 8-bis del Codice della Strada e 73, comma 5-bis

del D.P.R. 9 ottobre 1990, n. 309 - in materia di lavoro di pubblica utilità; La Legge 4 maggio 1983, n. 184 “Diritto del minore ad una famiglia”; La Legge 5 febbraio 1992, n. 104 "Legge-quadro per l'assistenza, l'integrazione sociale e i

diritti delle persone handicappate"; La Legge 8 novembre 2000, n. 328 "Legge quadro per la realizzazione del sistema integrato

di interventi e servizi sociali"; L’articolo 3 septies del Decreto Legislativo 30 dicembre 1992, n. 502 - in materia di

integrazione socio-sanitaria; Gli articoli 21 e seguenti del D.P.C.M. 12 gennaio 2017 “Definizione e aggiornamento dei

livelli essenziali di assistenza, di cui all'articolo 1, comma 7, del decreto legislativo 30 dicembre 1992, n. 502”;

La Legge Regionale 18 febbraio 2010 n. 10 “Servizi domiciliari per persone non autosufficienti”;

7


La Deliberazione della Giunta Regionale 5 agosto 2015, n. 3-2013 “Piano Regionale per l'accoglienza dei flussi non programmati di cittadini extracomunitari 2014 – 2020”;

Il Decreto Legislativo 15 settembre 2017, n. 147 “Disposizioni per l'introduzione di una misura nazionale di contrasto alla povertà”.

A tal riguardo appare importante sottolineare quanto previsto dal considerando n. 45 del G.D.P.R. il quale prevede che: “È opportuno che il trattamento effettuato in conformità a un obbligo legale al quale il titolare del trattamento è soggetto o necessario per l'esecuzione di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri sia basato sul diritto dell'Unione o di uno Stato membro. Il presente regolamento non impone che vi sia un atto legislativo specifico per ogni singolo trattamento. Un atto legislativo può essere sufficiente come base per più trattamenti effettuati conformemente a un obbligo legale cui è soggetto il titolare del trattamento o se il trattamento è necessario per l'esecuzione di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri. Dovrebbe altresì spettare al diritto dell'Unione o degli Stati membri stabilire la finalità del trattamento. Inoltre, tale atto legislativo potrebbe precisare le condizioni generali del presente regolamento che presiedono alla liceità del trattamento dei dati personali, prevedere le specificazioni per stabilire il titolare del trattamento, il tipo di dati personali oggetto del trattamento, gli interessati, i soggetti cui possono essere comunicati i dati personali, le limitazioni della finalità, il periodo di conservazione e altre misure per garantire un trattamento lecito e corretto. Dovrebbe altresì spettare al diritto dell'Unione o degli Stati membri stabilire se il titolare del trattamento che esegue un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri debba essere una pubblica autorità o altra persona fisica o giuridica di diritto pubblico o, qualora sia nel pubblico interesse, anche per finalità inerenti alla salute, quali la sanità pubblica e la protezione sociale e la gestione dei servizi di assistenza sanitaria, di diritto privato, quale un'associazione professionale”.

All’interno del quadro normativo così definito e tenuto conto del valore non esaustivo dei richiami normativi, il Consorzio Servizi Socio Assistenziali, in base al proprio Statuto e in ottemperanza alle norme nazionali e regionali in vigore, ha tra le sue finalità istituzionali lo svolgimento di una gamma di servizi e interventi di natura sociale e socio-sanitaria che implicano per definizione il trattamento di dati personali sul territorio nazionale.

All’interno di un quadro nazionale, nella Regione Piemonte è da segnalare la particolarità dell’attuale sistema di protezione sociale che vede gli Enti Gestori della Funzione Socio Assistenziale al centro del Sistema Integrato Regionale degli Interventi e dei servizi sociali.

Il ruolo di tali Enti, in una dimensione evolutiva di welfare locale non si limita esclusivamente allo svolgimento di una serie di servizi con funzione meramente assistenziale, ma in applicazione della normativa sopra citata, “sconfina” in aree contigue a quella caratteristica dei servizi sociali.

8


Questi fenomeni di integrazione tra servizi determinano sul piano del trattamento dei dati personali delle specificità di situazioni come per esempio nel caso dell’integrazione socio-sanitaria.

Infatti il Consorzio Intercomunale dei Servizi Socio Assistenziali, in questi casi, oltre a trattare generici dati personali, si trova a trattare dati relativi alla salute degli utenti in carico ai servizi sociali.

Ai sensi del punto n. 15 dell’articolo 4 del Regolamento (UE) 2016/679 sono considerati dati relativi alla salute: “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”;

Il fatto di trattare dei dati relativi alla salute, determina delle specifiche implicazioni sul piano normativo, ad esempio per quanto previsto all’articolo 9 del G.D.P.R. ovvero per gli obblighi previsti dall’articolo 30 del Regolamento (UE) 2016/679 in relazione alla tenuta dei registri delle attività di trattamento.

9


In altre situazioni l’Ente Gestore della Funzione Socio Assistenziale si trova a gestire situazioni sociali che coinvolgono minori, con i relativi riflessi in relazione al trattamento dei dati di tali soggetti fragili a cui debbono essere garantiti particolari livelli di protezione specifica.

Sotto un altro punto di vista è da ritenere che tutte le attività esercitate dall’Ente Gestore in favore dell’utenza siano poste in essere nella veste di autorità localmente preposta alla specifica funzione pubblica di competenza sopra citata.

Ai fini della disciplina volta alla protezione del trattamento dei dati personali, in considerazione della veste pubblica dell’Ente Gestore e della attività svolte in applicazione di norme di legge, è da ritenere che il Consorzio ai sensi e per gli effetti previsti dal Regolamento (UE) 2016/979 debba essere considerato in alcuni casi un’Autorità Pubblica ed in altri un Organismo Pubblico. In entrambi i casi, comunque rientranti nell’ambito di applicazione materiale (articolo 2) e territoriale (articolo 3) del Regolamento (UE) 2016/979.

A tal riguardo, come precisato nella sezione FAQ del Garante per la protezione dei dati personali, il Regolamento Europeo non fornisce la definizione di "Autorità Pubblica" o "Organismo Pubblico" e come chiarito anche nelle specifiche Linee guida, adottate in materia dal gruppo di lavoro dell'articolo 29, la relativa definizione viene rimessa per l'individuazione al diritto nazionale applicabile.

L'Autorità di controllo sul tema ha specificato che sono considerati in ambito pubblico, i soggetti che ricadono nell'ambito di applicazione degli articoli 18 e seguenti del Decreto legislativo 30 giugno 2003, n. 196. "Codice in materia di protezione dei dati personali".

Nel caso degli Enti Gestori della Funzione Socio-Assistenziale è da ritenere quindi che il ruolo di Pubblica Autorità dell’Ente sia collegato all’esercizio di compiti di interesse pubblico o connessi all’esercizio di pubblici poteri.

Nelle altre situazioni, compreso il trattamento di dati connessi al funzionamento dell’Ente o ai servizi c.d. strumentali (cosa che accade per esempio per il trattamento dei dati del personale dipendente dell’Ente) è da ritenere che l’Ente agisca in qualità di Organismo Pubblico.

La duplicità di ruoli riconducibile all’Ente in questione trova i suoi riflessi nella liceità del trattamento cosi come descritta all’articolo 6 del Regolamento (UE) 2016/979 del 27 aprile 2016. Infatti in alcuni casi il trattamento dei dati effettuati dall’Ente Gestore è considerato lecito in quanto svolto in applicazione delle lettere “c” ed “e” dell’articolo 6 del Regolamento, ossia: per adempiere ad un obbligo legale al quale è soggetto il titolare del trattamento (ad esempio nell’area dell’integrazione socio-sanitaria in materia di L.E.A.) oppure: per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri cui è investito il titolare del trattamento. Negli altri casi il trattamento dei dati è considerato lecito purché avvenga sulla base del consenso dell’interessato, nell’ambito dell’esecuzione di un contratto, o per il perseguimento del legittimo interesse del titolare del trattamento o di terzi.

10


2. Descrizione dei processi comportanti il trattamento di dati personali e finalità del trattamento

Ai sensi del punto 1 dell’articolo 4 del Regolamento (UE) 2016/979 per dato personale si intende: “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento ad un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Il punto 2 del medesimo articolo precisa che, per trattamento debba intendersi qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.

Tanto ciò premesso, in linea di massima lo svolgimento di qualunque servizio o attività svolta dell’Ente Gestore della Funzione Socio Assistenziale presuppone ed implica il trattamento di dati personali.

In particolare è la stessa mission dell’Ente, che ponendo al centro della propria attività il singolo cittadino in stato di bisogno ovvero secondo il linguaggio del G.D.P.R. “una persona fisica identificata”, rende il trattamento di dati personali del beneficiario dell’intervento sociale connaturale all’esercizio dell’attività istituzionale dell’Ente stesso.

Questo fenomeno di connaturalità tra “mission” di un Ente e trattamento dei dati personali non accade in tutti settori economici o non economici, (come per esempio per i produttori di cose la cui mission non determina l’automatismo del trattamento di dati personali, oppure come le attività di volontariato a favore degli animali) ma è invece caratteristico di chi svolge la propria attività a favore di determinate persone.

Per altro verso, essendo la struttura del Consorzio Intercomunale Servizi Socio Assistenziali un’organizzazione complessa costituita di persone fisiche, accade che anche l’esistenza stessa dell’Ente generi dinamiche di trattamento di dati personali.

Alla luce delle considerazioni esposte emerge quindi che nella massa complessiva dei dati gestiti dal Consorzio siano individuabili le seguenti categorie di dati:

11


A. DATI COLLEGATI ALLO SVOLGIMENTO DELLA FUNZIONE ISTITUZIONALE DELL’ENTE

B. DATI COLLEGATI ALLA STRUTTURA DELL’ENTE ED AL SUO FUNZIONAMENTO O NON RICOMPRESI NELLA PARTE A DELLA PRESENTE SCHEDA

1) Dati relativi all’utenza, acquisiti e gestiti per lo svolgimento della Funzione Istituzionale dell’Ente;

2) Dati relativi a soggetti che hanno relazioni familiari o di altro genere con l’utenza in carico ai servizi sociali, acquisiti e gestiti per lo svolgimento della Funzione Istituzionale dell’Ente, indipendentemente dalla presa in carico;

3) Dati relativi a soggetti che seppur non presi in carico dai servizi sociali dell’Ente, fruiscono di servizi a prevalente carattere informativo, (ad esempio il SEGRETARIATO SOCIALE);

1) Dati relativi al personale dipendente in organico all’Ente;

2) Dati relativi ad altro personale operante nei servizi mediante contratto di appalto, affidamento di servizio o specifiche forme di coprogettazione;

3) Dati relativi a collaboratori o prestatori di servizi anche occasionali a seguito di affidamento di servizio o in adempimento di obblighi di legge;

4) Dati relativi ad eventuali volontari o altri soggetti riferibili alla rete del terzo settore che partecipano alle attività del sistema integrato degli interventi e dei servizi sociali;

5) Dati relativi ad altri soggetti (Amministratori, membri del C.D.A., membri dell’Assemblea Consortile, Sindaci, altre figure previste da specifiche normative);

6) Dati relativi a soggetti che partecipano all’attività dell’Ente per finalità di studio o di formazione (Ad esempio i Tirocinanti)

7) Dati relativi ad altri soggetti, trattati sulla base giuridica del consenso, di interessi vitali dell’interessato o per un legittimo interesse del titolare del trattamento o di terzi.

8) Dati acquisiti attraverso sistemi di videosorveglianza.

Per ogni categoria e sottocategoria di dato è possibile individuare inoltre i seguenti processi:

12


SCHEDA DEI PROCESSI

Descrizione dei processi comportanti il trattamento di dati personali

A. DATI COLLEGATI ALLO SVOLGIMENTO DELLA FUNZIONE ISTITUZIONALE DELL’ENTE

1.Dati relativi all’utenza in carico ai servizi sociali

DESCRIZIONEDEL PROCESSO

FINALITÀDEL PROCESSO

1. Acquisizione e gestione di altri dati personali e informazioni, comprese eventualmente anche quelle attinenti lo stato di salute del beneficiario dell’intervento necessarie per la presa in carico e l’istruttoria sociale.

Dati acquisiti e gestiti per lo svolgimento della Funzione Istituzionale dell’Ente, il cui trattamento è considerato lecito in quanto svolto in applicazione delle lettere “c” ed “e” dell’articolo 6 del GDPR.

2. Dati relativi a soggetti che hanno relazioni familiari o di altro genere con l’utenza in carico ai servizi sociali, acquisiti e gestiti per lo svolgimento della Funzione Istituzionale dell’Ente, indipendentemente dalla presa in carico



1. Acquisizione e gestione di dati personali e informazioni, quali ad esempio le generalità anagrafiche, il luogo di residenza, recapiti telefonici o di altra natura e altri dati necessari per l’erogazione degli interventi o l’istruttoria sociale.

Dati acquisiti e gestiti per lo svolgimento della Funzione Istituzionale dell’Ente, il cui trattamento è considerato lecito in quanto svolto in applicazione delle lettere “c” ed “e” dell’articolo 6 del Regolamento.

3. Dati relativi a soggetti che seppur non presi in carico dai servizi sociali dell’Ente, fruiscono di servizi a prevalente carattere informativo



1. Acquisizione e gestione di dati personali e informazioni, quali ad esempio le generalità anagrafiche, il luogo di residenza, recapiti telefonici o di altra natura e altri dati necessari per l’erogazione degli interventi o l’istruttoria sociale.

Dati acquisiti e gestiti per lo svolgimento della Funzione Istituzionale dell’Ente, il cui trattamento è considerato lecito in quanto svolto in applicazione delle lettere “c” ed “e” dell’articolo 6 del Regolamento.

13


Descrizione dei processi comportanti il trattamento di dati personali

B. DATI COLLEGATI ALLA STRUTTURA DELL’ENTE ED AL SUO FUNZIONAMENTO O NON COLLEGATI ALLA PARTE A DELLA SCHEDA DEI PROCESSI

1.Dati relativi al personale dipendente in organico all’Ente



1. Acquisizione e gestione dati personali e informazioni, comprese eventualmente anche quelle attinenti lo stato di salute del lavoratore necessarie per la disciplina del rapporto di lavoro.

Dati acquisiti e gestiti per lo per la disciplina del rapporto di lavoro il cui trattamento è considerato lecito in quanto svolto in applicazione delle lettera “b” dell’art. 6 del G.D.P.R.

2. Dati relativi ad altro personale operante nei servizi mediante contratto di appalto, affidamento di servizio o specifiche forme di coprogettazione



1. Acquisizione e gestione di dati personali e informazioni dei singoli operatori per le verifiche correlate al corretto svolgimento del servizio.

Dati acquisiti e gestiti nell’ambito del rapporto contrattuale il cui trattamento è considerato lecito in quanto svolto in applicazione delle lettera “b” dell’art. 6 del G.D.P.R.

3. Dati relativi a collaboratori o prestatori di servizi anche occasionali a seguito di affidamento di servizio o in adempimento di obblighi di legge



1. Acquisizione e gestione di dati personali e informazioni dei singoli prestatori di servizi per la realizzazione delle verifiche correlate al corretto svolgimento del servizio.

Dati acquisiti e gestiti nell’ambito del rapporto contrattuale il cui trattamento è considerato lecito in quanto svolto in applicazione delle lettera “b” dell’art. 6 del G.D.P.R.

4. Dati relativi ad eventuali volontari o altri soggetti riferibili alla rete del terzo settore che partecipano alle attività del sistema integrato degli interventi e dei servizi sociali



1. Acquisizione e gestione di dati personali e di informazioni nell’ambito dell’attività di rete.

Dati acquisiti e gestiti nell’ambito del rapporto in essere in cui il trattamento è considerato lecito in quanto svolto in applicazione delle lettera “a” dell’art. 6 del

14


G.D.P.R.5. Dati relativi ad altri soggetti

(membri del Consiglio di Amministrazione, membri dell’Assemblea Consortile, Sindaci, altre figure previste da specifiche normative;



1. Acquisizione e gestione di dati personali e di altre informazioni nell’ambito dell’attività svolta a livello istituzionale dell’Ente ovvero collegata a specifiche normative.

Dati acquisiti e gestiti nell’ambito del rapporto in essere, il cui trattamento è considerato lecito in quanto svolto in applicazione delle lettera “a” dell’art. 6 del G.D.P.R. ovvero alla lettera “c” del medesimo articolo.

2 Acquisizione e gestione di dati personali e di altre informazioni nelle fasi precedenti alla formalizzazione dei rapporti previsti ai punti 1, 2 e 3 della presente scheda.

Dati acquisiti e gestiti nell’ambito del rapporto in essere, il cui trattamento è considerato lecito in quanto svolto in applicazione delle lettera “a” dell’art. 6 del G.D.P.R. ovvero alla lettera “f” del medesimo articolo.

6. Dati relativi a soggetti che partecipano all’attività dell’Ente per finalità di studio o di formazione (Ad esempio i Tirocinanti)



1. Acquisizione e gestione di dati personali e di altre informazioni nell’ambito dell’attività svolte per finalità di studio o di formazione.

Dati acquisiti e gestiti nell’ambito del rapporto in essere, il cui trattamento è considerato lecito in quanto svolto in applicazione delle lettera “a” dell’art. 6 del G.D.P.R.

7. Dati relativi ad altri soggetti, trattati sulla base giuridica del consenso, di interessi vitali dell’interessato o per un legittimo interesse del titolare del trattamento o di terzi.



Acquisizione e gestione di dati personali e di altre informazioni sulla base giuridica del consenso o per la salvaguardia di interessi vitali dell’interessato o per un legittimo interesse del titolare del trattamento o di terzi.

Dati acquisiti e gestiti nell’ambito del rapporto in essere, il cui trattamento è considerato lecito in quanto svolto in applicazione delle lettere “a, d, f” dell’art. 6 del G.D.P.R.

8. Dati acquisiti attraverso sistemi di videosorveglianza.



Acquisizione e gestione di dati personali e di altre informazioni

Dati acquisiti e gestiti in applicazione delle lettere “f”

15


dell’art. 6 del G.D.P.R.

Tutti i dati ricompresi nei processi sopra descritti vengono trattati dall’Ente Gestore garantendo per quanto possibile la correttezza e la trasparenza nei confronti dell’interessato e gli altri principi stabiliti all’articolo 5 del Regolamento (UE) 2016/979.

Nel caso dei dati di cui ai punti A.1.1 e A.1.2 della tabella dei processi si ritiene di predisporre particolari cautele nelle varie fasi di gestione del dato anche in funzione dell’Obbligo al Segreto Professionale previsto ai sensi dell’articolo 1 della Legge 3 Aprile 2001, n. 119 “Disposizioni concernenti l'obbligo del segreto professionale per gli assistenti sociali”.

Nel caso degli altri processi, svolti operativamente da personale in organico all’Ente, si ritiene di predisporre particolari cautele nelle varie fasi di gestione del dato anche in funzione dell’Obbligo al Segreto d’Ufficio previsto dall’articolo 15 del Decreto del Presidente della Repubblica 10 gennaio 1957, n. 3 “Testo unico delle disposizioni concernenti lo statuto degli impiegati civili dello Stato”.

Nel caso dei dati e informazioni collegate allo svolgimento della funzione istituzionale dell’ente, così come descritte nella parte A della tabella dei processi, la tutela del diritto alla riservatezza ed i limiti derivanti dalla protezione dei dati personali vengono in ogni caso ritenuti dall’Ente come prevalenti rispetto alle varie forme del diritto di accesso così come previste dalle linee guida dell’Autorità Nazionale Anticorruzione (Delibera 28 dicembre 2016 n. 1309).

Il Registro dei trattamenti di cui all’art.30 del GDPR – Regolamento Generale sulla Protezione dei Dati (UE/2016/679) è sviluppato sulla base della scheda dei processi.

16


3. Analisi degli archivi e dei centri di raccolta dati a disposizione dell’Ente

La massa complessiva dei dati trattati dal Consorzio Intercomunale dei Servizi Socio Assistenziali, può essere oggetto di trattamenti interamente o parzialmente automatizzati (ad esempio per gli archivi digitali) ovvero attraverso trattamenti non automatizzati (ad esempio per gli archivi cartacei).

Ai sensi del punto 6 dell’articolo 4 del Regolamento (UE) 2016/979 per archivio si intende in ogni caso: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico.

I trattamenti interamente o parzialmente automatizzati, necessitano per funzionare di apparecchiature elettroniche (hardware) e relativi programmi (software) in grado di gestire il dato nelle diverse azioni indicate al punto dell’articolo 4 del Regolamento (UE) 2016/979:

la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a

disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

Per tutte queste azioni, in alcuni casi il dato è gestito e conservato direttamente “ in cloud” su hardware localizzati nel territorio europeo, messi a disposizione dell’Ente da differenti aziende informatiche di servizi “software house”, in virtù di specifici accordi di natura commerciale. In altri casi il dato è gestito e conservato in locale direttamente sul singolo P.C. dell’operatore ovvero su un server interno dedicato.

I backup sono giornalieri e il server di posta, è attualmente gestito internamente.

Per la conservazione digitale è stato dato apposito affidamento a Maggioli.

17


Descrizione delle procedure “in cloud” per il trattamento di dati personaliTipo di procedura Fornitore TIPI DI PROCESSI COINVOLTIProcedura di conservazione digitale

Maggioli SpA Tutti i processi presenti nella SCHEDA DEI PROCESSI

Procedura di Tesoreria Banco BPM Tutti i processi che presenti nella parte A della scheda dei processi, più quelli n. 1,2,3 e 6 della parte B

Siope Plus Maggioli SpAProcedura della gestione della Cartella Sociale - Icaro

Maggioli SpA Tutti i processi presenti nella parte A della SCHEDA DEI PROCESSI

Gestione del sito istituzionale dell’Ente

SISCOM - Software House

Tutti i processi comportanti dati che devono essere necessariamente pubblicati relativi alla parte B della SCHEDA DEI PROCESSI

Gestione del Server di posta elettronica certificata

Aruba SpA Tutti i processi presenti nella SCHEDA DEI PROCESSI

Pubblicazione atti – cissa.to.it

Register.it Tutti i processi comportanti dati che devono essere necessariamente pubblicati relativi alla parte B della SCHEDA DEI PROCESSI

Gestione della pratica del Reddito di Cittadinanza – Piattaforma GEPI

Ministero del Lavoro e delle politiche sociali

I processi connessi all’erogazione della misura prevista dal Decreto Legge n. 4 del 28 gennaio 2019, convertito con modificazioni dalla Legge n. 26 del 28 marzo 2019 - Disposizioni urgenti in materia di reddito di cittadinanza e di pensioni

Gestione dati PON INCLUSIONE – piattaforma SIGMA


I processi connessi all’erogazione della misura prevista dal Regolamento UE 1046/2018 del Parlamento Europeo e del Consiglio del 18 luglio 2018

Gestione dati Fondo Povertà – piattaforma MULTIFONDO


I processi connessi all’erogazione della misura istituita dalla Legge di Stabilità 2016

Descrizione delle procedure “in locale” per il trattamento di dati personaliTipo di procedura Fornitore TIPI DI PROCESSI COINVOLTI

Procedura di protocollo dell’Ente


Procedura di contabilità dell’Ente


Procedura di segreteria Maggioli SpA Tutti i processi presenti nella SCHEDA

18

http://poninclusione.lavoro.gov.it/Documents/Regolamento.1046.2018.pdf

https://tinyurl.com/y34457pl

https://tinyurl.com/y34457pl


dell’Ente (delibere, determine e flussi)

DEI PROCESSI

Gestione del Server di posta elettronica su dominio del sito

Miele Tutti i processi presenti nella SCHEDA DEI PROCESSI

Per quello che riguarda il trattamento dei dati in locale si tratta prevalentemente di archivi, cartelle e file che “riutilizzano” i dati già presenti sulle piattaforme in cloud, per finalità di natura amministrativa e burocratica connesse allo svolgimento della funzione istituzionale dell’Ente o al corretto funzionamento dell’Ente.

Per quello che riguarda gli archivi cartacei, è necessario distinguere i dati relativi ai processi di cui alla parte A della scheda dei processi da quelli indicati nella parte B della medesima scheda.

Per quello che riguarda le cartelle sociali cartacee collegate ai processi di cui alla parte A della scheda dei processi, si tratta di informazioni che vengono custodite in apposite cartelle in armadi dotati di serratura.

Per quello che riguarda i dati di natura amministrativa collegati ai processi di cui alla parte B della scheda dei processi, le relative informazioni sono custodite in faldoni divisi per materia in armadi richiudibili.

Tutti gli archivi cartacei confluiscono nell’archivio generale nei seguenti casi e alle seguenti condizioni:

Per quello che riguarda le cartelle sociali alla morte del beneficiario; Per quello che riguarda gli archivi amministrativi vengono utilizzate le scadenze stabilite dal

Regolamento adottato ai sensi dell’art.5 del D.P.C.M. 31 dicembre 2013;

19


4. Rettifica e cancellazione di dati

In applicazione del principio di esattezza del dato l’Ente Gestore riconosce all’interessato il Diritto di rettifica nei termini previsti dall’articolo 16 del G.D.R.P.

Quanto al diritto alla cancellazione e al diritto all’oblio previsti dall’articolo 17 del G.D.P.R. è da ritenere che, tenuto conto di quanto stabilito dal paragrafo 3 del Regolamento europeo in materia di protezione dei dati personali, tutti i dati conservati negli archivi dell’Ente (sia digitali che cartacei) siano sottratti alle le disposizioni previste ai paragrafi 1 e 2 del dell’articolo 17 del G.D.P.R. in applicazione di quanto stabilito al paragrafo 3 del medesimo articolo.

La norma in questione, stabilisce infatti che le disposizioni riguardanti il diritto alla cancellazione e al diritto all’oblio non si applicano nella misura in cui il trattamento sia necessario per l'adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri di cui è investito il titolare del trattamento;

Anche in questi casi il richiamo alla base giuridica del trattamento diventa fondamentale per discernere ciò che può essere oggetto di cancellazione e quindi espressione del diritto all’oblio, rispetto a quello che deve essere mantenuto negli archivi.

Pertanto per tutti i dati connessi all’esercizio dell’attività istituzionale dell’Ente Gestore vige la clausola di salvaguardia stabilita al paragrafo 3 dell’articolo 17 del G.D.P.R.

Inoltre una medesima considerazione può essere fatta anche con riguardo ai servizi strumentali indicati nella parte B della scheda dei processi, infatti è da ritenere che in quanto Pubblica Amministrazione, tutta la documentazione attestante l’attività svolta, seppur contenente dati personali di persone fisiche è soggetta a specifiche norme in materia di conservazione ed archiviazione, che delineano per l’Ente, specifici obblighi di legge a prescindere dall’aspetto finalistico del trattamento del dato, così come delineato al paragrafo 3 dell’articolo 17 del G.D.P.R.

Quindi anche per quei servizi di natura strumentale, non direttamente riconducibili all'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri di cui è investito il titolare del trattamento, la conservazione e l’archiviazione del dato segue le specifiche disposizioni di legge esistenti.

A titolo puramente indicativo e non esaustivo si segnalano i seguenti riferimenti normativi:

La Legge 7 agosto 1990, n. 241 “Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi” in materia di accesso agli atti;

20


Il D.P.R. 12 aprile 2006, n. 184 “Regolamento recante disciplina in materia di accesso ai documenti amministrativi” in materia di accesso agli atti;

Il D.P.R. 28 dicembre 2000, n. 445 “Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa”;

L’articolo 10, comma 2, lettera “b” del Decreto Legislativo 22 gennaio 2004, n. 42 “Codice dei beni culturali e del paesaggio, ai sensi dell'articolo 10 della legge 6 luglio 2002, n. 137 ” che qualifica come beni culturali “gli archivi ed i singoli documenti dello Stato, delle regioni, degli altri enti pubblici territoriali, nonché di ogni altro ente ed istituto pubblico”;

Il Decreto Legislativo 7 marzo 2005, n. 82 “Codice dell'amministrazione digitale”;

21


5. Individuazione del Titolare del Trattamento dell’Ente Gestore

Ai sensi del punto 7 dell’articolo 4 del Regolamento (UE) 2016/979 per Titolare del Trattamento si intende la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri.

Nel caso specifico è da ritenere che TITOLARE DEL TRATTAMENTO sia il Consorzio Intercomunale dei Servizi Socio – Assistenziali. In particolare la forma giuridica del Consorzio costituito ai sensi dell’articolo 31 del Decreto Legislativo 18 agosto 2000, n. 267 si caratterizza per essere una forma associativa dotata di personalità giuridica che vede nel rappresentante legale il soggetto dotato dei poteri di rappresentanza.

Il rappresentante legale pro tempore è il presidente del Consiglio di Amministrazione, a cui compete la firma degli atti, ma in ogni documento il Titolare del Trattamento è il Consorzio stesso.

È compito del titolare del trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento.

Il titolare del trattamento sotto la propria responsabilità tiene in forma scritta, anche in formato elettronico il registro delle attività di trattamento di cui all’articolo 30 del G.D.P.R.

Il titolare del trattamento, con riferimento all’articolo 12 del Regolamento (UE) 2016/979:

adotta misure appropriate per fornire all'interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all'articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall'interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l'identità dell'interessato.

agevola l'esercizio dei diritti dell'interessato ai sensi degli articoli da 15 a 22. Nei casi di cui all'articolo 11, paragrafo 2, il titolare del trattamento non può rifiutare di soddisfare la

22


richiesta dell'interessato al fine di esercitare i suoi diritti ai sensi degli articoli da 15 a 22, salvo che il titolare del trattamento dimostri che non è in grado di identificare l'interessato.

fornisce all'interessato le informazioni relative all'azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l'interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l'interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell'interessato


tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso, mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati

mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica.

Il titolare del trattamento, insieme al responsabile del trattamento, con riferimento all’articolo 32 del Regolamento (UE) 2016/979:

Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, mette in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.


In caso di violazione dei dati personali, notifica la violazione all'autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui

23


ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.


nel caso di violazione dei dati personali suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche comunica la violazione all'interessato senza ingiustificato ritardo.


effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.

Il titolare del trattamento, con riferimento all’articolo 36 del Regolamento (UE) 2016/979,:

prima di procedere al trattamento, consulta l'autorità di controllo qualora la valutazione d'impatto sulla protezione dei dati a norma dell'articolo 35 indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio.

Il titolare del trattamento, individua il responsabile del trattamento ai sensi dell’articolo 28 del Regolamento (UE) 2016/979 ed insieme a quest’ultimo designa il Responsabile della protezione dei dati ai sensi dell’articolo 37 del G.D.P.R.

Il titolare del trattamento, insieme al responsabile del trattamento, con riferimento all’articolo 38 del Regolamento (UE) 2016/979:

si assicura che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.

sostiene il responsabile della protezione dei dati nell'esecuzione dei compiti di cui all'articolo 39 del G.D.P.R. fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.

si assicura che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l'esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l'adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento.

24


25


6. Individuazione del Responsabile del Trattamento dell’Ente Gestore

Ai sensi del punto 7 dell’articolo 4 del Regolamento (UE) 2016/979, per Responsabile del Trattamento si intende la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Ai sensi dell’articolo 28 del Regolamento (UE) 2016/979, i trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.

Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:

a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale, salvo che lo richieda il diritto dell'Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;

b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

c) adotti tutte le misure richieste ai sensi dell'articolo 32;

d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;

e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del titolare del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di cui al capo III;

f) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;

g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati;

26


h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.

Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un'istruzione violi il presente regolamento o altre disposizioni, nazionali o dell'Unione, relative alla protezione dei dati.

E’ consentita la nomina di sub-responsabili del trattamento da parte di ciascun Responsabile del trattamento per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano il Titolare ed il Responsabile primario; le operazioni di trattamentopossono essere effettuate solo da incaricati che operano sotto la diretta autorità del Responsabileattenendosi alle istruzioni loro impartite per iscritto che individuano specificatamente l’ambitodel trattamento consentito. Il Responsabile risponde, anche dinanzi al Titolare, dell’operato delsub-responsabile anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvodimostri che l’evento dannoso non gli è in alcun modo imputabile e che ha vigilato in modoadeguato sull’operato del sub-responsabile.

Il Responsabile del trattamento garantisce che chiunque agisca sotto la sua autorità ed abbia accesso a dati personali sia in possesso di apposita formazione ed istruzione e si sia impegnatoalla riservatezza od abbia un adeguato obbligo legale di riservatezza.

27


7. Individuazione dei Contitolari del Trattamento e dei Responsabili esterni del Trattamento

Ai sensi dell’articolo 26 del Regolamento (UE) 2016/979:

1. Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell'Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati.

L'accordo di cui al paragrafo 1 riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell'accordo è messo a disposizione dell'interessato.

Indipendentemente dalle disposizioni dell'accordo di cui al paragrafo 1, l'interessato può esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun titolare del trattamento.

Per quello che riguarda il Consorzio Intercomunale dei Servizi Socio Assistenziali, ad una prima lettura i relativi adempimenti sembrerebbero riguardare tutti i dati “condivisi” nell’aree di integrazione così come descritte nel c.d. “fiore del welfare” presente al paragrafo 1 del Documento Unico.

A ben vedere, in assenza di indicazioni contrarie da parte dell’Autorità di controllo, si ritiene invece che le modalità previste all’articolo citato non riguardino il caso in cui la base giuridica del trattamento sia l’adempimento di un obbligo legale ovvero l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, in quanto in questi casi sia le finalità che i mezzi non si fondano su una base volontaristica, come invece sembrerebbe delineare il richiamo nella norma con la formulazione “per determinare congiuntamente le finalità e i mezzi del trattamento”

A titolo puramente ricognitivo si individuano quindi le seguenti aree di integrazione, fermo restando che per la parte di competenza dei servizi sociali rimane come unico titolare del trattamento l’Ente.

TIPO DI INTEGRAZIONE ALTRI TITOLARI DEL TRATTAMENTO DATIIntegrazione Istituzionale Comuni consorziatiIntegrazione Socio-Sanitaria Aziende Sanitarie Locali, Presidi Ospedalieri,

Strutture di RicoveroIntegrazione Socio-Lavorativa Centri per l’impiego

28


Integrazione con Amministrazione della Giustizia Tribunali, Cancellerie, UEPE, altri uffici giudiziariIntegrazione con il mondo della istruzione Scuola e UniversitàIntegrazione con il mondo della formazione Enti di FormazioneIntegrazione con Altre Amministrazioni Pubbliche ATC, Prefetture, Dipartimento della Gioventù e

del servizio civile nazionale, INPS

2. Ai sensi del punto 7 dell’articolo 4 del Regolamento (UE) 2016/979, per Responsabile esterno del Trattamento si intende la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Ai sensi dell’articolo 28 del Regolamento (UE) 2016/979, i trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.

Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:

a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale, salvo che lo richieda il diritto dell'Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;

b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

c) adotti tutte le misure richieste ai sensi dell'articolo 32;

d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;

e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del titolare del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di cui al capo III;

f) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;

g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati;

h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.

29


Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un'istruzione violi il presente regolamento o altre disposizioni, nazionali o dell'Unione, relative alla protezione dei dati.

E’ consentita la nomina di sub-responsabili del trattamento da parte di ciascun Responsabile del trattamento per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano il Titolare ed il Responsabile primario; le operazioni di trattamentopossono essere effettuate solo da incaricati che operano sotto la diretta autorità del Responsabileattenendosi alle istruzioni loro impartite per iscritto che individuano specificatamente l’ambitodel trattamento consentito. Il Responsabile risponde, anche dinanzi al Titolare, dell’operato delsub-responsabile anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvodimostri che l’evento dannoso non gli è in alcun modo imputabile e che ha vigilato in modoadeguato sull’operato del sub-responsabile.

Il Responsabile del trattamento garantisce che chiunque agisca sotto la sua autorità ed abbia accesso a dati personali sia in possesso di apposita formazione ed istruzione e si sia impegnato alla riservatezza od abbia un adeguato obbligo legale di riservatezza.

30


8. Individuazione del Responsabile della Protezione dei Dati dell’Ente Gestore

Il paragrafo 1, lettera a) dell’articolo 37 del Regolamento (UE) 2016/979, stabilisce che ogniqualvolta il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali, il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati.

In base a quanto disposto dal paragrafo 6 dell’articolo 37 del G.D.P.R., il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.

Nel caso del Consorzio Intercomunale dei Servizi Socio Assistenziali, in considerazione del fatto che nessun dipendente dell’Ente si trova nella situazione di completa indipendenza rispetto al responsabile del trattamento, il quale all’interno della struttura riveste il ruolo apicale di superiore gerarchico di tutti i dipendenti, si è deciso di ricorrere ad una alla nomina di un soggetto esterno provvisto delle competenze richieste dalla Legge.

Sono compiti del responsabile della protezione dei dati:

a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal G.D.P.R. nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l'osservanza del G.D.P.R., di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35 del regolamento (UE) 2016/976

d) cooperare con il Garante per la protezione dei dati personali;

e) fungere da punto di contatto per l'Autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36 del G.D.P.R., ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

31


Il nominativo e i dati di contatto del R.P.D saranno comunicati al Garante per la protezione dei dati personali tramite la procedura per l'invio telematico al Garante per la protezione dei dati personali.

I dati di contatto saranno, altresì, pubblicati sul sito internet istituzionale.

32


9. Registro delle attività di trattamento del Titolare

Il paragrafo 1, dell’articolo 30 del Regolamento (UE) 2016/979, stabilisce che: ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità.

Tale registro contiene tutte le seguenti informazioni:

a)il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;

b) le finalità del trattamento;

c) una descrizione delle categorie di interessati e delle categorie di dati personali;

d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;

e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate;

f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1.

Seppur l’organizzazione del Consorzio Intercomunale dei Servizi Intercomunale dei Socio Assistenziali di Pianezza è composta da solo 40 dipendenti, in considerazione del fatto che l’Ente nell’esercizio della sua funzione istituzionale, oltre a trattare generici dati personali, tratta anche dati previsti all’articolo 9, paragrafo 1 del G.D.P.R. (dati relativi alla salute degli utenti in carico ai servizi sociali) si ritiene di dover adempiere all’obbligo della tenuta del registro in questione.

Il Registro deve essere tenuto in forma scritta, anche in formato elettronico ai sensi del paragrafo 3 dell’articolo 30.

Il registro adottato dall’Ente è l’ allegato n. 1 del presente documento; nel medesimo documento sono richiamati gli allegati A) Dipendenti divisi per tipologia di utenza, e B) Ditte che forniscono prestazioni a utenti del consorzio.

33


10. Registro delle attività di trattamento del Responsabile

Il paragrafo 2, dell’articolo 30 del Regolamento (UE) 2016/979, stabilisce che: Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:

a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;

b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;

c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate;

d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1 del G.D.P.R.

34


11. Valutazione d’impatto sulla protezione dei dati

L’articolo 35 del Regolamento (UE) 2016/979, stabilisce che:

1. Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.

2. Il titolare del trattamento, allorquando svolge una valutazione d'impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno.

3. La valutazione d'impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:

a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;

b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10;

c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

4. L'autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi del paragrafo 1. L'autorità di controllo comunica tali elenchi al comitato di cui all'articolo 68.

5. L'autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d'impatto sulla protezione dei dati. L'autorità di controllo comunica tali elenchi al comitato.

6. Prima di adottare gli elenchi di cui ai paragrafi 4 e 5, l'autorità di controllo competente applica il meccanismo di coerenza di cui all'articolo 63 se tali elenchi comprendono attività di trattamento finalizzate all'offerta di beni o servizi a interessati o al monitoraggio del loro comportamento in più Stati membri, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all'interno dell'Unione.

7. La valutazione contiene almeno:

35


a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal titolare del trattamento;

b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;

c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1;

d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

8. Nel valutare l'impatto del trattamento effettuato dai relativi titolari o responsabili è tenuto in debito conto il rispetto da parte di questi ultimi dei codici di condotta approvati di cui all'articolo 40, in particolare ai fini di una valutazione d'impatto sulla protezione dei dati.

9. Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.

10. Qualora il trattamento effettuato ai sensi dell'articolo 6, paragrafo 1, lettere c) o e), trovi nel diritto dell'Unione o nel diritto dello Stato membro cui il titolare del trattamento è soggetto una base giuridica, tale diritto disciplini il trattamento specifico o l'insieme di trattamenti in questione, e sia già stata effettuata una valutazione d'impatto sulla protezione dei dati nell'ambito di una valutazione d'impatto generale nel contesto dell'adozione di tale base giuridica, i paragrafi da 1 a 7 non si applicano, salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle attività di trattamento.

11. Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d'impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento.

36


12. Disciplinare interno delle misure organizzative e tecnologiche volte alla sicurezza del trattamento

L’articolo 32 del Regolamento (UE) 2016/979, stabilisce che:

1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

3. L'adesione a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri.

37

ENTE GESTORE DELLA FUNZIONE SOCIO ASSISTENZIALE · Web viewallo stato dell’arte e dei costi di...

Documents

Transcript of ENTE GESTORE DELLA FUNZIONE SOCIO ASSISTENZIALE · Web viewallo stato dell’arte e dei costi di...