allegato delibera n. 32 del 02.03.2020

Regolamento UE 2016/679

Modello organizzativo per la protezione dei dati

personali

2

Sommario

1. INTRODUZIONE ............................................................................................................................ 2

2. RUOLI E SOGGETTI DEL MODELLO ORGANIZZATIVO PER LA PROTEZIONE DEI DATI PERSONALI ...... 3

3. TITOLARE DEL TRATTAMENTO DEI DATI PERSONALI ..................................................................... 4

4. REFERENTE DEL TITOLARE DEL TRATTAMENTO .............................................................................. 5

5. REFERENTI INTERNI DI AREA/SERVIZIO DI TRATTAMENTO. ............................................................ 6

6. UFFICIO PROGETTI DIREZIONALI E DI SUPPORTO: .......................................................................... 6

7. ALTRI ATTORI COINVOLTI .............................................................................................................. 7

7.1 Soggetti autorizzati al trattamento (ex incaricati) ........................................................................ 7

7.2 Responsabili esterni del trattamento .......................................................................................... 7

7.3 Interessati dal trattamento ......................................................................................................... 7

7.4 Data Protection Officer (DPO) ..................................................................................................... 7

8. Organigramma struttura data protection ...................................................................................... 9

1. Introduzione.

La finalità del presente documento è quella di definire - in sede di prima attuazione del Regolamento

Europeo n. 679 del 27 aprile 2016 del Parlamento Europeo e del Consiglio del 27 aprile 2016 «relativo

alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera

circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei

dati)» (di seguito GDPR o Regolamento UE), in vigore dal 24 maggio 2016, e applicabile a partire dal 25

maggio 2018 - l’articolazione della struttura organizzativa della Camera di Commercio di Bergamo (di

seguito anche solo CCIAA) preposta all’attuazione del sistema di protezione dei dati personali, con

indicazione delle funzioni e dei compiti dei soggetti che la compongono.

3

2. Ruoli e soggetti del modello organizzativo per la protezione dei dati personali.

Premesso che, secondo la definizione del Regolamento UE, “Titolare del Trattamento” è la Camera di

Commercio di Bergamo, nella seguente tabella sono indicati i soggetti che operano nell’ambito del

modello organizzativo per la protezione dei dati personali e i relativi ruoli.

TITOLARE DEL TRATTAMENTO: Camera di Commercio di Bergamo

RUOLO SOGGETTI

Indirizzo e governo • Legale Rappresentante Pro tempore

Esecuzione

• Referente Interno del Titolare del trattamento

• Referenti interni di Area/Servizio di trattamento

• Soggetti autorizzati al trattamento

• (Responsabili esterni del trattamento)

Controllo

• Responsabile della Protezione dei Dati personali o Data

Protection Officer (DPO)

• Autorità di Controllo esterna (art. 51 e ss del GDPR)

I ruoli sopraindicati si sviluppano, rispettivamente, secondo le seguenti linee di azione:

Indirizzo e governo del modello per la protezione dei dati personali:

o definire linee di indirizzo del modello coerenti con le scelte strategiche definite dall’Ente;

o elaborare e trasferire un modello per la protezione dei dati personali che risponda alle

linee di indirizzo definite, oltre che alle disposizioni del GDPR, da calare opportunamente

all’interno della realtà aziendale;

o prendere decisioni in relazione a modifiche necessarie aventi un impatto significativo sul

modello di protezione dei dati personali, anche attraverso un’opportuna valutazione dei

rischi di non conformità;

o prendere decisioni in relazione a eventuali eventi critici occorsi, quali ad esempio casi di

gravi violazioni dei dati personali che possono potenzialmente comportare l’applicazione di

sanzioni, perdite finanziarie rilevanti o danni reputazionali.

Esecuzione del modello per la protezione dei dati personali ossia azioni per garantire

l’implementazione del modello definito nel rispetto, non solo delle disposizioni del GDPR, ma

anche di norme di autoregolamentazione e disposizioni interne di cui si è dotata l’Ente. Nello

specifico:

4

o acquisire e comprendere il modello per la protezione dei dati personali definito dal

Titolare, ma anche le relative disposizioni del GDPR correlate alle scelte effettuate,

segnalando eventuali aspetti poco chiari;

o operare secondo le disposizioni interne ed esterne, sia in relazione ad attività di back office

sia in relazione ad attività di front office (es. gestione richieste degli interessati);

o individuare, discutere e segnalare eventuali modifiche al modello per la protezione dei

dati personali, che possono portare a benefici legati a recupero di efficienza o

all’incremento dell’efficacia del modello;

o supportare le attività di controllo a diversi livelli e implementare eventuali azioni correttive

definite dalla funzione di governo.

Controllo del modello per la protezione dei dati personali ossia azioni per assicurare

l’identificazione di non conformità del modello di protezione dei dati personali definito, sia

rispetto al GDPR sia rispetto a norme di autoregolamentazione e disposizioni interne, e

l’implementazione di opportune azioni correttive nel rispetto di contesto aziendale, risorse

disponibili e vincoli operativi esistenti. Nello specifico:

o effettuare controlli a diversi livelli in merito all’applicazione del modello per la protezione

dei dati personali, ivi compreso il relativo sistema di controlli e gestione rischi;

o identificare eventuali aree di non conformità, da ricondurre al GDPR e/o regolamenti

interni, e valutare opportunamente il livello di rischio correlato, con focus su sanzioni,

perdite finanziarie o danni di reputazione;

o studiare le possibili soluzioni da implementare per sanare le non conformità, valutandone

fattibilità tecnica ed economica, e definire un piano con gli interventi selezionati,

opportunamente prioritizzati;

o monitorare l’effettiva implementazione del piano di remediation, coinvolgendo gli attori

interessati per le verifiche del caso.

Si rimanda ai paragrafi successivi per la descrizione di responsabilità e compiti in materia di protezione

dei dati personali in carico ai soggetti sopraindicati.

3. Titolare del Trattamento dei dati personali.

Il Titolare del Trattamento dei dati personali dispone dei poteri di rappresentanza dell’Ente al fine di

ottemperare alla normativa applicabile in materia di protezione dei dati ed in particolare al

Regolamento Europeo 2016/679 nonché alla normativa nazionale di adeguamento. Svolge funzioni di

indirizzo e governo del modello per la protezione dei dati personali, avvalendosi del supporto e della

consulenza del Data Protection Officer (si seguito anche solo DPO) o di eventuali figure specialistiche

esterne dal medesimo individuate e incaricate.

Al Titolare del Trattamento dei dati personali è attribuito il potere di:

esercitare tutti i diritti e le facoltà spettanti al Titolare ai sensi del Regolamento e della normativa

nazionale vigente e quindi assumere ogni decisione in ordine alle finalità e alle modalità di ogni

trattamento di dati personali, incluse le categorie particolari di dati e/o i dati relativi a condanne

penali e reati, effettuato da e nell'interesse dell’Ente, compresi i profili di sicurezza dei dati stessi;

5

rappresentare l’Ente dinnanzi all’Autorità di Controllo e compiere a tal fine tutti gli atti necessari;

nominare e preporre direttamente, ovvero delegando espressamente il Segretario Generale al

trattamento dei dati personali uno o più soggetti responsabili esterni (quali Soci/Enti in

convenzione, fornitori, appaltatori, ecc..), ai sensi dell’art. 28 del Regolamento;

compiere tutti gli atti, sottoscrivendo la necessaria documentazione, ivi inclusa l'adozione e

l’attuazione di ogni misura e provvedimento, sia di carattere formale che sostanziale, al fine di

dimostrare la conformità al Regolamento, nonché ad ogni altro provvedimento legislativo e

regolamentare in materia;

nominare e preporre al trattamento dei dati personali, ove ritenuto opportuno, uno o più referenti

all’interno dell’Ente;

incaricare o far incaricare le “persone autorizzate al trattamento”, impartendo loro per iscritto le

istruzioni necessarie ad un corretto, lecito e sicuro trattamento dei dati personali e verificarne la

puntuale applicazione;

incaricare o far incaricare gli “amministratori di sistema”, in adempimento a quanto previsto dal

Provvedimento del Garante per la protezione dei dati personali del 27.11.2008, ove ne ricorrano i

presupposti;

in caso di violazione dei dati personali, notificare la stessa all’autorità di controllo secondo le

previsioni del Regolamento, valutare e adottare le misure per porvi rimedio;

dare adempimento a tutti i provvedimenti dell’Autorità di Controllo.

4. Referente del Titolare del trattamento .

Il Referente del Titolare del trattamento, di cui alle determinazioni del Presidente n. 2/2018 e

n. 2/2020, qui allegate, ha il compito di:

dialogare e coordinare i Referenti interni di Area/Servizio di trattamento, ciascuno per la propria

area di competenza, per la definizione/aggiornamento/implementazione e per il trasferimento del

modello per la protezione dei dati personali;

analizzare le eventuali richieste pervenute, veicolandole opportunamente ai Referenti interni di

Area/Servizio di trattamento, e supervisionare l’evasione delle stesse;

indirizzare e supervisionare l’esecuzione di specifiche attività ad alto valore aggiunto previste

all’interno del modello per la protezione dei dati personali (es. aggiornamento del registro dei

trattamenti);

tenere informato il Titolare del Trattamento circa i fatti di maggiore rilevanza, in particolare sui

rischi da prevenire e le misure adottate o da adottare, sul verificarsi di eventuali inconvenienti in

merito e sulle modalità del loro superamento;

nominare, su delega del Titolare del Trattamento, i responsabili esterni del trattamento (art. 28).

nominare i Referenti interni di Area/Servizio di trattamento, ciascuno per la propria area di

competenza

6

5. Referenti interni di Area/Servizio di trattamento.

I Referenti interni di Area/Servizio di Trattamento sono tenuti a garantire che il trattamento dei dati

personali per quanto di propria competenza, come risultante dal Registro del Trattamento dell’Ente

(tenuto ai sensi dell’art. 30 del Regolamento (UE) 2016/679), avvenga nel rispetto della normativa

vigente, e che i dati personali siano trattati in modo lecito, corretto e trasparente; che siano raccolti e

registrati per scopi inerenti le funzioni istituzionali dell’Ente in maniera adeguata, pertinente e limitata

rispetto alle finalità per i quali sono trattati; verificarne esattezza, completezza ed aggiornamento,

assicurandosi che non eccedano le finalità per la quali sono stati raccolti; e conservarli nel rispetto

delle misure di sicurezza predisposte dall’Ente e per il periodo strettamente necessario indicato nel

Registro.

La loro individuazione con i relativi compiti sono elencati nella determinazione del Presidente n.

2/2018, nella determinazione del Segretario Generale n.1/2020 e nella determinazione del Presidente

n.2/2020 provvedimenti che si allegano.

6. Ufficio Privacy.

L’ufficio Privacy viene identificato nell’ufficio Compliance normativa e nel dettaglio si occupa di:

A. elaborare e mantenere aggiornati:

o documentazione utilizzata in ambito data protection, tra cui informative, moduli di consenso e

lettere di nomina, anche verso figure interne non esplicitamente richieste dal Regolamento;

o modelli di contratti e accordi quadro con terze parti, e relative lettere di nomina a responsabili

esterni per le ipotesi di trattamento di dati personali di titolarità dell’Ente, in linea con la politica di

protezione dei dati e gli altri requisiti normativi;

o processi e regole legate all’adozione della documentazione legale (es. gestione informative e

consensi; gestione del registro dei trattamenti) ed alla gestione del rapporto con i fornitori, con

particolare riferimento alla fase di qualifica e contrattualizzazione, e all’adozione della

documentazione di cui ai punti che precedono;

B. fornire pareri e supportare le funzioni richiedenti sia in fase di negoziazione, contrattualizzazione

con i fornitori sia in fase di erogazione dei servizio/fornitura del prodotto con riferimento a tutto

quanto concernete la protezione dei dati personali ed in particolare, ove richiesto, effettuare

valutazioni sui fornitori in ordine al livello di protezione dei dati personali dagli stessi offerto;

C. fornire, ove richiesto e con l’eventuale supporto del Data Protection Officer, parere in merito alla

Data Protection Impact Assestment, con focus sugli impatti sui diritti degli interessati;

D. fornire pareri, ove richiesto, in fase di progettazione nuove iniziative che coinvolgono dati

personali;

E. definire e mantenere aggiornata la classificazione delle categorie di dati personali al fine di

garantire l’allineamento ai requisiti del Regolamento (es. categorie di dati particolari);

F. tenere e periodicamente aggiornare l’elenco nominale degli amministratori di sistema, ove

nominati;

7

G. considerare debitamente i rischi inerenti al trattamento, con particolare attenzione ai rischi di non

conformità, ovvero i rischi di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie

rilevanti o danni reputazionali;

H. effettuare approfondimenti in caso di violazioni di dati personali (data breach), con particolare

riferimento ai rischi di non conformità, e fornire indicazioni in merito ad azioni di mitigazione dei

rischi stessi;

I. tenere traccia delle scelte effettuate in materia di protezione dei dati personali, comprensive di

motivazioni, percorso decisionale e documentazione a supporto;

J. sorvegliare l’osservanza del Regolamento e delle politiche interne in funzione di supporto al Data

Protection Officer;

K. valutare l’efficacia e integrare il sistema di gestione dei rischi, evidenziando eventuali carenze

nell’ottica della protezione dei dati personali, suggerendo le modalità con cui risolverle.

7. Altri attori coinvolti.

7.1 Soggetti autorizzati al trattamento (ex incaricati).

I Soggetti autorizzati al trattamento devono operare sotto la diretta autorità delle strutture preposte

dal Titolare per la gestione della protezione dei dati nel rispetto del modello ed in generale delle

ulteriori istruzioni impartite.

7.2 Responsabili esterni del trattamento.

I Responsabili Esterni, nominati con apposito atto scritto, sono soggetti terzi (es. fornitori, partner) che

effettuano uno o più trattamenti per conto del Titolare, offrendo garanzie sufficienti per mettere in

atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del

GDPR e garantisca la tutela dei diritti dell'interessato.

7.3 Interessati dal trattamento.

Gli interessati sono i soggetti cui si riferiscono i dati personali. L'interessato presta il proprio consenso

esplicito al trattamento di tali dati personali per una o più finalità specifiche e ha la possibilità di

avanzare al Titolare o Responsabile Esterno richieste per esercitare i propri diritti di cui agli articoli da

15 a 22 del Regolamento UE.

7.4 Data Protection Officer (DPO).

Il Data Protection Officer (DPO) costituisce il fulcro del nuovo sistema di Governance in tema di

protezione dati personali, dovendo facilitare l’osservanza delle disposizioni del GDPR, minimizzare il

rischio deli violazioni e agire quale intermediario fra i vari stakeholder (autorità di controllo, interessati

e tutti gli uffici dell’Ente).

Nello specifico, il DPO è un soggetto designato dal titolare o dal responsabile del trattamento per

assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente

all'applicazione del Regolamento medesimo. Coopera con l'Autorità (motivo per cui il suo nominativo

va comunicato al Garante) e costituisce il punto di contatto, anche rispetto agli interessati, per le

questioni connesse al trattamento dei dati personali.

Il DPO ha il compito di:

8

sorvegliare l'osservanza del Regolamento, delle altre disposizioni dell'Unione o degli Stati membri

relative alla protezione dei dati nonché delle politiche del Data Controller o Data Processor in

materia di protezione dei dati personali compresi l'attribuzione delle responsabilità, la

sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività

di controllo (art. 39 GDPR; 4.1 Guide Lines on DPOs, 5 Aprile 2017). Fanno parte di questi compiti di

controllo svolti dal DPO, in particolare:

o la raccolta di informazioni per individuare i trattamenti svolti;

o l’analisi e la verifica dei trattamenti in termini di loro conformità;

o l’attività di informazione, consulenza e indirizzo nei confronti di titolare o responsabile.

cooperare con l’autorità di controllo e fungere da punto di contatto per la stessa per questioni

connesse al trattamento di dati personali, tra cui la consultazione preventiva, ed effettuare, se del

caso, consultazioni relativamente a qualsiasi altra questione (art. 39 GDPR; 4.3 Guidelines on DPOs,

5 Aprile 2017). Il DPO funge da punto di contatto per facilitare l’accesso, da parte dell’autorità di

controllo, ai documenti e alle informazioni necessarie per l’adempimento dei compiti attribuitile

dall’articolo 57 del GDPR nonché ai fini dell’esercizio dei poteri di indagine, correttivi, autorizzativi

e consultivi di cui all’articolo 58 del GDPR. L’articolo 39, paragrafo 1, del GDPR prevede che il DPO

possa consultare l’autorità di controllo con riguardo a qualsiasi altra questione, se del caso;

informare e fornire consulenza al Titolare, Referente del Titolare e Referenti interni di

Area/Servizio di trattamento, nonché ai dipendenti che trattano dati personali in merito agli

obblighi derivanti dal Regolamento e da altre disposizioni dell'Unione o degli Stati membri relative

alla protezione dei dati (art. 39 GDPR);

fornire, se richiesto, un parere in merito alla valutazione d'impatto (DPIA) sulla protezione dei dati

e sorvegliarne lo svolgimento (art. 39 GDPR; 4.2 Guidelines on DPOs, 5 Aprile 2017). Il Gruppo di

lavoro raccomanda che il titolare del trattamento si consulti con il DPO, fra l’altro, sulle seguenti

tematiche:

o se condurre o meno una DPIA;

o quale metodologia adottare nel condurre una DPIA;

o se condurre la DPIA con le risorse interne ovvero esternalizzandola;

o quali salvaguardie applicare, comprese misure tecniche e organizzative, per attenuare i rischi

per i diritti e gli interessi delle persone interessate;

o se la DPIA sia stata condotta correttamente o meno, e se le conclusioni raggiunte (procedere o

meno con il trattamento, e quali salvaguardie applicare) siano conformi al GDPR.

Qualora il Titolare del Trattamento non concordi con le indicazioni fornite dal DPO, è necessario

che la documentazione relativa alla DPIA riporti specificamente per iscritto le motivazioni per cui si

è ritenuto di non conformarsi a tali indicazioni;

considerare debitamente i rischi inerenti al trattamento, tenuto conto della natura, del campo di

applicazione, del contesto e delle finalità del medesimo, focalizzandosi sulle aree di rischio più alto

(art. 39 GDPR; 4.4 Guidelines on DPOs, 5 Aprile 2017). In sostanza, si chiede al DPO di definire un

ordine di priorità nell’attività svolta e di concentrarsi sulle questioni che presentino maggiori rischi

9

in termini di protezione dei dati. Seppure ciò non significhi che il DPO debba trascurare di

sorvegliare il grado di conformità di altri trattamenti associati a un livello di rischio

comparativamente inferiore, di fatto la disposizione segnala l’opportunità di dedicare attenzione

prioritaria agli ambiti che presentino rischi più elevati. Attraverso questo approccio selettivo e

pragmatico, il DPO dovrebbe essere più facilmente in grado di consigliare al titolare quale

metodologia seguire nel condurre una DPIA, a quali settori riservare un audit interno o esterno in

tema di protezione dei dati, quali attività di formazione interna prevedere per il personale o gli

amministratori che trattino dati personali, e a quali trattamenti dedicare maggiori risorse e tempo.

Il Data Protection Officer è stato individuato, con apposito atto di nomina, in un soggetto interno

all’Ente con delibera di Giunta Camerale n. 55 del 04/05/2018, nel rispetto dei requisiti indicati da

GDPR e WP29 («Linee Guida sui responsabili per la protezione dei dati»), come argomentato nella

tabella seguente.

8. Organigramma struttura data protection.

Di seguito si riporta l’organigramma della struttura Data Protection, con indicazione dei principali

attori coinvolti nel Modello organizzativo della protezione dei dati personali.

Allegati:

a. determinazioni del Presidente n. 2/2018 di individuazione del Referente del Titolare del

trattamento dei dati personali e dei Referenti interni di area/servizio di trattamento;

b. determinazione del Segretario Generale n.1/2020 di aggiornamento individuazione dei

referenti interni di area/servizio;

c. determinazione del Presidente n. 2/2020 di compiti del referente del titolare del trattamento;

d. organigramma Privacy aggiornato.

Pagina 1 di 3 det. pres. n. 2 del 12.07.2018

DETERMINAZIONE DEL PRESIDENTE N. 2 DEL 12/07/2018 Oggetto: INDIVIDUAZIONE DEL REFERENTE DEL TITOLARE DEL TRATTAMENTO DEI DATI PERSONALI E DEI REFERENTI INTERNI DI AREA/SERVIZIO DI TRATTAMENTO

Il Presidente Premesso che:

il Regolamento (UE) 2016/679, entrato in vigore il 25 Maggio 2016, e divenuto concretamente operativo nei Paesi UE dal giorno 25 maggio 2018, ha definito un nuovo approccio alla gestione del trattamento dei dati personali, accrescendo le responsabilità del Titolare e del Responsabile del trattamento dei dati personali, imponendo, altresì l’obbligo di prevedere misure tecniche ed organizzative idonee a minimizzare i rischi connessi al trattamento dati e a garantire il pieno esercizio dei diritti degli interessati;

nell’ambito delle misure organizzative di cui al punto che precede, il Titolare del trattamento ha la facoltà di designare uno o più Referenti che - per esperienza, capacità ed affidabilità - forni-scano idonea garanzia in ordine alla messa in atto misure tecniche e organizzative adeguate af-finché il trattamento dei dati personali soddisfi i requisiti del Regolamento Europeo e garantisca la tutela dei diritti dell’interessato;

Considerato che:

le norme introdotte dal citato Regolamento si traducono in obblighi organizzativi e tecnici che il Titolare del Trattamento dei dati personali deve considerare e tenere presenti per consentire la piena e consapevole applicazione del nuovo quadro normativo in materia di privacy;

alla luce di quanto sopra risulta opportuno procedere alla definizione di nuove modalità organiz-zative in ambito di protezione dei dati personali, mediante la ridefinizione all’interno dell’Ente di ruoli e compiti;

sulla base della suddivisione di competenze di cui all’attuale organigramma, l’assetto organizza-tivo meglio rispondente alle esigenze proprie dell’Ente risulta individuabile in una struttura con ripartizione di ruoli e responsabilità secondo la seguente articolazione: a) nomina di un Referente del Titolare del trattamento dei dati personali, quale soggetto di

coordinamento e riporto diretto al Titolare; b) individuazione dei Referenti interni di Area/Servizio di trattamento ridefinendo i ruoli e compi-

ti degli attuali Responsabili Interni del trattamento così come nominati con determinazione presidenziale n. 7 del 29 novembre 2017.

Al fine di garantire il rispetto della disciplina in materia di Privacy e Data Protection:

il Referente del Titolare del trattamento dei dati personali si occupa di:

dialogare e coordinare i Referenti interni di Area/Servizio di trattamento, ciascuno per la propria competenza, per la definizione/aggiornamento/implementazione e per il trasferimento del mo-dello per la protezione dei dati personali;

analizzare le eventuali richieste pervenute, veicolandole opportunamente ai Referenti interni di Area/Servizio di trattamento, e supervisionare l’evasione delle stesse;

indirizzare e supervisionare l’esecuzione di specifiche attività ad alto valore aggiunto previste all’interno del modello per la protezione dei dati personali (es. aggiornamento del registro dei trattamenti);

tenere informato il Titolare circa i fatti di maggiore rilevanza, in particolare sui rischi da prevenire e misure adottate o da adottarsi, sul verificarsi di eventuali inconvenienti in merito e sulle moda-lità del loro superamento;

nominare, su delega del Titolare del Trattamento, i responsabili esterni del trattamento (art. 28);

I Referenti interni di Area/Servizio di trattamento sono tenuti a garantire che il trattamento dei dati personali per quanto di propria competenza, come risultante dal Registro dei trattamenti dell’Ente (tenuto ai sensi dell’art. 30 del Regolamento (UE) 2016/679), avvenga nel rispetto della normativa vigente, e che i dati personali siano trattati in modo lecito, corretto e trasparente; che siano raccolti e registrati per scopi inerenti le funzioni istituzionali dell’Ente in maniera adeguata, pertinente e li-mitata rispetto alle finalità per i quali sono trattati; sono altresì tenuti a verificarne esattezza, com-

Pagina 2 di 3 det. pres. n. 2 del 12.07.2018

pletezza e aggiornamento, assicurandosi che non eccedano le finalità per la quali sono stati raccol-ti e a conservarli nel rispetto delle misure di sicurezza predisposte dall’Ente e per il periodo stret-tamente necessario indicato nel Registro. Nel dettaglio si occupano di:

collaborare all’elaborazione e al mantenimento dell’elenco degli applicativi che trattano dati per-sonali, con particolare riferimento a quelli che trattano categorie di dati particolari o giudiziari;

collaborare alla tenuta e aggiornamento del Registro dei trattamenti per le attività e i progetti di propria competenza, mediante la validazione delle operazioni di caricamento operate dal sog-getto che sarà da lui stesso nominato nell’ambito dell’Area/Servizio;

garantire e verificare che il trattamento dei dati personali per l’Area/Servizio di propria compe-tenza, come indicati nel Registro dei trattamenti, avvenga nel rispetto delle modalità previste dalla normativa in vigore, in particolare: trattare i dati in modo lecito e secondo correttezza; rac-coglierli e registrarli per scopi inerenti le funzioni istituzionali dell’Ente;

segnalare la necessità di nominare i responsabili esterni del trattamento (art. 28);

attenersi alle indicazioni del Titolare del trattamento e del Referente del Titolare del trattamento, predisponendo tutte le misure di sicurezza necessarie alla tutela dei dati trattati, nonché fornire supporto agli stessi nel caso in cui si verifichino violazioni e conseguenti necessità di notifica agli interessati e/o all’Autorità Garante o qualora l’Autorità chieda all’Ente di fornire informazioni in merito al trattamento;

verificare che i procedimenti di propria competenza siano svolti garantendo agli interessati un’adeguata conoscibilità dell’informativa adottata dall’Ente;

eseguire gli opportuni controlli al fine di assicurare che il trattamento dei dati avvenga nel pieno rispetto della normativa vigente e collaborare attivamente con il DPO in occasione degli audit periodici da questi organizzati.

Detti soggetti inoltre hanno il compito di:

gestire il rapporto con gli interessati nel rispetto della normativa privacy vigente con particolare riguardo alla dimostrazione della legittimità del consenso prestato, alla collaborazione con il DPO e con il Referente del Titolare del trattamento, nel soddisfare le richieste dell'interessato al fine di esercitare i suoi diritti, nonché all’adozione di misure appropriate per fornire all'interessa-to per iscritto o con altri mezzi tutte le informazioni e le comunicazioni relative al trattamento ov-vero per procedere se necessario alle eventuali rettifiche o cancellazioni o limitazioni del tratta-mento (art. 8,12, 13, 14 15 17 19);

garantire la protezione dei dati personali fin dalla progettazione di un, prodotto/servizio e/o si-stema e protezione dei dati personali per impostazione predefinita (art. 25)

nominare gli autorizzati al trattamento - laddove l’autorizzazione non derivi già dalla organizza-zione aziendale unita al modello organizzativo (es. stagisti) - fornendo le istruzioni relative alle operazioni di trattamento cui siano stati autorizzati, alla custodia di atti e documenti contenenti dati personali e alle misure minime di sicurezza;

collaborare alla gestione di eventuali violazioni dei dati personali (artt. 33, 34);

collaborare alla eventuale effettuazione della Data Protection Impact Assessment ed eventuale consultazione preventiva (artt. 35, 36).

Tenuto conto di quanto sopra riportato, in qualità di Titolare del trattamento,

determina

1. di individuare quale Referente del Titolare del trattamento dei dati personali il Segretario Gene-rale Maria Paola Esposito, cui sono conferiti i compiti sopra descritti;

2. di individuare quali Referenti interni di Area/Servizio di trattamento ciascuno per i dati trattati

nelle aree di rispettiva competenza, cui sono conferiti i compiti sopra descritti:

Antonella D’Ottavio – Area in staff al Segretario Generale, tenuto conto delle sue funzioni di supporto al Segretario Generale;

Andrea Vendramin – Area anagrafe economica e regolazione del mercato

Pagina 3 di 3 det. pres. n. 2 del 12.07.2018

Raffaella Castagnini – Servizio promozione e sviluppo economia locale

Paolo Longoni – Servizio studi e informazione economica

Andrea Locati – Servizio della comunicazione

Carla Tobaldo – Servizio risorse umane e finanziarie

Costanza Arcuri – Servizio risorse strumentali dando atto che per esperienza, capacità e affidabilità forniscono idonea garanzia del pieno ri-spetto delle disposizioni in materia di trattamento, anche con riferimento al profilo della sicurez-za.

IL PRESIDENTE Giovanni Paolo Malvestiti

Atto sottoscritto con firma digitale ai sensi dell’art. 21 del D.Lgs. n. 82/2005 e s.m.i.

Pagina 1 di 1 det. segr. gen. n. 1 del 08.01.2020

DETERMINAZIONE DEL SEGRETARIO GENERALE N. 1 DEL 08/01/2020

Oggetto: TRATTAMENTO DEI DATI PERSONALI: AGGIORNAMENTO INDIVIDUAZIONE DEI REFERENTI INTERNI DI AREA/SERVIZIO

Il Segretario Generale

Visto il D.Lgs. 165 del 30.03.2001 contenente norme generali sull'ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche;

Richiamata la determinazione del Presidente n. 2/2018 “Individuazione del Referente del

Titolare del trattamento dei dati personali e dei referenti interni di Area/Servizio di trattamento”, che

individua il Referente del Titolare del Trattamento nel Segretario Generale dott.ssa Maria Paola

Esposito e i Referenti interni delle diverse Aree e Servizi dell’Ente sulla base della suddivisione di

competenze di cui all’organigramma allora vigente;

Preso atto delle cessazioni dal servizio e delle modifiche all’articolazione dei Servizi e degli

Uffici intervenute sino a oggi;

Evidenziata pertanto la necessità di aggiornare l’individuazione dei Referenti interni del

trattamento, ciascuno per i dati trattati nelle aree di rispettiva competenza, cui conferire i compiti

già descritti nella determinazione del Presidente n. 2/2018;

Ricordato che la normativa contenuta nel Regolamento Europeo 2016/679 in materia di

protezione dei dati personali richiede che detti Referenti forniscano, per esperienza, capacità e

affidabilità, idonea garanzia in ordine alla messa in atto di misure tecniche e organizzative

adeguate per la tutela dei diritti degli interessati,

determina

1. di individuare quali Referenti interni di Area/Servizio del trattamento, ciascuno per i dati trattati

nelle Aree/Servizi di rispettiva competenza, cui sono conferiti i compiti già descritti nella

determinazione del Presidente n. 2/2018:

Antonella D’Ottavio - Area in staff al Segretario Generale

Raffaella Castagnini - Servizio promozione e sviluppo economia locale

Andrea Locati - Servizio comunicazione, studi e informazione economica

Andrea Vendramin - Area anagrafe economica e regolazione del mercato

Luca Fasulo - Servizio risorse finanziarie

Francesca Rigo - Servizio risorse umane e gestione partecipazioni

Costanza Arcuri - Servizio risorse strumentali

dando atto che per esperienza, capacità e affidabilità gli stessi forniscono idonea garanzia del

pieno rispetto delle disposizioni in materia di trattamento, anche con riferimento al profilo della

sicurezza;

2. di dare atto che è confermato, quale Referente del Titolare del trattamento, il Segretario

Generale dott.ssa Maria Paola Esposito con i compiti già descritti nella citata determinazione

del Presidente n. 2/2018.

IL SEGRETARIO GENERALE

M. Paola Esposito

Atto sottoscritto con firma digitale ai sensi dell’art. 24 del D.Lgs. n. 82/2005 e s.m.i.

Pagina 1 di 1 det. pres. n. 2 del 25.02.2020

DETERMINAZIONE DEL PRESIDENTE N. 2 DEL 25/02/2020 Oggetto: TRATTAMENTO DEI DATI PERSONALI: COMPITI DEL REFERENTE DEL TITOLARE DEL TRATTAMENTO

Il Presidente

Premesso che con propria determinazione n. 2/2018 “Individuazione del Referente del Tito-lare del trattamento dei dati personali e dei Referenti interni di Area/Servizio di trattamento” ha provveduto a individuare il Segretario Generale Maria Paola Esposito quale Referente del Titolare del trattamento dei dati personali, conferendole i compiti come di seguito descritti:

- dialogare e coordinare i referenti interni di area/servizio di trattamento, ciascuno per la propria

competenza, per la definizione/aggiornamento/implementazione e per il trasferimento del mo-dello per la protezione dei dati personali;

- analizzare le eventuali richieste pervenute, veicolandole opportunamente ai Referenti interni di Area/Servizio di trattamento, e supervisionare l’evasione delle stesse;

- indirizzare e supervisionare l’esecuzione di specifiche attività ad alto valore aggiunto previste all’interno del modello per la protezione dei dati personali (es. aggiornamento del registro dei trattamenti);

- tenere informato il Titolare circa i fatti di maggiore rilevanza, in particolare sui rischi da prevenire e misure adottate o da adottarsi, sul verificarsi di eventuali inconvenienti in merito e sulle moda-lità del loro superamento;

- nominare, su delega del Titolare del Trattamento, i responsabili esterni del trattamento (art. 28);

Tenuto conto che l’aggiornamento relativo all’individuazione dei Referenti interni di Area/Servizio a seguito della modifica della struttura organizzativa dell’Ente è stato effettuato con provvedimento del Segretario Generale (det. n. 1/2020) poiché sono di competenza dello stesso i provvedimenti relativi all’organizzazione dell’Ente, inclusa pertanto la definizione dell’organigramma della privacy;

Ritenuto dunque necessario formalizzare che la figura deputata a individuare i Referenti in-terni di Area/Servizio di trattamento, per ogni area di competenza, sia il Referente del Titolare del trattamento dei dati;

Tenuto conto di quanto sopra riportato, in qualità di Titolare del trattamento,

determina

1. che tra i compiti conferiti al Referente del Titolare del trattamento, oltre a quelli richiamati nella determina presidenziale n. 2/2028, vi sia altresì quello di nominare i Referenti interni di Area/Servizio di trattamento, ciascuno per la propria area di competenza;

2. di ratificare la determinazione del Segretario Generale n. 1/2020 “Trattamento dei dati persona-li: aggiornamento individuazione dei Referenti interni di Area/Servizio”.

IL PRESIDENTE Giovanni Paolo Malvestiti

Atto sottoscritto con firma digitale ai sensi dell’art. 24 del D.Lgs. n. 82/2005 e s.m.i.

Autorità di controllo DPO (*) Ufficio Privacy: Ufficio compliance normativa

Referente interno del

trattamento per l’Area in

staff al SG

Supportato da: • Ufficio servizi informatici e

strumentali • Ufficio del personale e

comunicazione interna

Titolare del trattamento: Camera di commercio di Bergamo in persona del Presidente Referente del titolare del trattamento: Segretario Generale

Interessati dal

trattamento

CONTROLLO

INDIRIZZO E GOVERNO

ESECUZIONE

(*) Il DPO si occupa anche di attività consulenziali

Referente interno del

trattamento per l’Area

anagrafe economica e

regolazione del mercato

Modello organizzativo Privacy

Responsabili esterni del

trattamento

Soggetti autorizzati al

trattamento

Referente interno del

trattamento il Servizio

comunicazione, Studi e

informazione economica

Referente interno del

trattamento per il Servizio

risorse strumentali

Referente interno del

trattamento per il Servizio

promozione e sviluppo

economia locale

Referente interno del

trattamento per il

Servizio risorse umane e

gestione partecipazioni

Referente interno del

trattamento per il Servizio

risorse finanziarie