09/06/2020 – Designazione dei componenti degli organi consultivi o di controllo interni ad una pubblica amministrazione o a un ente di diritto privato in controllo pubblico quali incaricati del trattamento

Di /
Designazione dei componenti degli organi consultivi o di controllo interni ad una pubblica amministrazione o a un ente di diritto privato in controllo pubblico quali incaricati del trattamento
 
Alla Gent.ma Redazione
Nell’auspicio che sia ritenuto utile per i colleghi segretari comunali e provinciali, allego alla presente, ai fini della sua pubblicazione sul Vostro prestigioso sito web, un mio lavoro inerente alla designazione dei componenti degli organi consultivi o di controllo interni ad una pubblica amministrazione o a un ente di diritto privato in controllo pubblico quali incaricati del trattamento.
Ringrazio per l’attenzione che mi sarà prestata e invio i più cordiali saluti.
Agostino Galeone
 
************************************

 

 

COMUNE DI

Provincia di ●

 

Prot. n. ●                                                                                                                                                            data, ●

 

Oggetto: Autorizzazione Componenti Commissione/Organo ● per trattamento dati personali-

 

IL RESPONSABILE DEL TRATTAMENTO

 

Visto il Regolamento Ue 2016/679 del Parlamento europeo e del Consiglio datato 27 aprile 2016 “Relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE. (Regolamento generale sulla protezione dei dati), di seguito anche “RGPD”;

      Visto il D. Lgs. 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali” e ss.mm.ii.;

Visto il D. Lgs. 7 marzo 2005, n. 82 “Codice dell’amministrazione digitale” e ss.mm.ii.;

Dato atto che questo Comune è Titolare del trattamento dei dati personali effettuato anche con strumenti elettronici necessario per lo svolgimento delle attività di amministrazione afferenti alle proprie funzioni istituzionali affidate dalle fonti di diritto dell’Unione europea e dello Stato italiano, nonché delle attività consultive e di controllo espletate dagli organi e dalle commissioni interne;

Visto l’art. 29 del RGPD 2016/679 il quale recita: “Il responsabile dei trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non é istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.”

Atteso che nella “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali” (edizione febbraio 2018) del Garante della Privacy, a pag. 21, si legge: “Pur non prevedendo espressamente la figura dell’ “incaricato” del trattamento (ex art. 30 Codice), il regolamento non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” (si veda, in particolare, art. 4, n. 10, del regolamento)”;

Visto il Regolamento per la protezione dei dati personali di questo Comune, approvato con deliberazione ● n. ● del ● , e, in particolare l’art. ● che disciplina la designazione e i compiti degli incaricati del trattamento;

        Visto l’atto prot. n. ● in data ● con cui il Sindaco ha designato il sottoscritto quale responsabile del trattamento dei dati personali afferenti i procedimenti amministrativi afferenti il settore “●●●”;

        Vista la determinazione n. ● del ● , con la quale sono stati nominati, ai sensi dell’art. ● del ● , i componenti della/del commissione/organo ● ;

        Considerato che i componenti della/del predetta/o commissione/organo nell’esecuzione delle attività di loro competenza acquisiscono conoscenza dei dati personali contenuti nei molteplici documenti afferenti ai propri compiti e svolgono necessariamente diverse operazioni di trattamento degli stessi;

        Dato atto che i predetti componenti, anche per avere ricevuto una adeguata preventiva formazione in materia di privacy, sono in grado di offrire garanzie sufficienti in termini di capacità ed affidabilità per accedere ai dati personali e svolgere le operazioni di trattamento in conformità al RGPD;

Visto lo Statuto di questo Comune;

Visto il D. Lgs. 18 agosto 2000, n. 267;

 

DESIGNA

 

i sigg.ri ●●●●●●●●●●●● nella qualità di componenti della/del commissione/organo ●●●, nominata con determinazione n. ● del ●, quali incaricati del trattamento, autorizzando gli stessi ad accedere ai dati personali contenuti esclusivamente nei documenti indispensabili per l’espletamento dei propri compiti istituzionali anche se organizzati nelle banche dati e negli archivi, analogici e digitali, di questo Comune al fine di attuare, in conformità al Regolamento UE 2016/679, al Codice della Privacy e ai provvedimenti del Garante della Privacy nonché al presente provvedimento, soltanto le operazioni di trattamento necessarie per lo svolgimento delle attività consultive/di controllo di propria competenza.

 

  1. Ambito di applicazione e durata della designazione.

La designazione quali incaricati del trattamento e l’autorizzazione ad accedere ai dati personali per svolgere le operazioni di trattamento sono riferiti esclusivamente alle attività di competenza della/del citata/o commissione/organo, attivate ad iniziativa d’ufficio o da soggetti esterni.

L’efficacia del presente provvedimento decorre dalla data della sua notifica ai predetti componenti e cesserà di diritto per ciascuno dei suddetti componenti, senza necessità di ulteriore atto, alla data di cessazione dall’incarico/dalla carica di ognuno.

 

  1. Finalità, natura e durata del trattamento.

La finalità del trattamento dei dati personali, da svolgere in conformità ai principi di cui agli articoli 5 e 6 del Regolamento UE 2016/679, deve coincidere con il fine pubblico predeterminato dalla legge per ciascuna tipologia di procedimento amministrativo ovvero con la finalità assegnata dall’ordinamento giuridico a ciascuna operazione di trattamento.

La natura del trattamento é costituita da qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di strumenti informatici, applicate a dati personali o insiemi di dati personali, quali: (cancellare quelle non attinenti alle attività di competenza della/de commissione/organo) la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raf­fronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Restano fermi gli obblighi previsti dalla normativa comunitaria e nazionale che stabiliscono divieti o limiti in materia di trattamento di dati personali.

Le operazioni e la durata (compresa la conservazione tramite l’archiviazione) del trattamento devono essere svolte, soprattutto per quanto concerne la comunicazione e la diffusione dei dati sensibili e dei dati giudiziari di cui rispettivamente agli articoli 9 e 10 del RGPD, nel rispetto: del Regolamento Ue 2016/679, del Codice della Privacy, delle altre fonti di diritto comunitarie e nazionali, delle linee guida del Gruppo di Lavoro Articolo 29 e dei provvedimenti del Garante della Privacy.

 

  1. Tipologia di dati personali oggetto del trattamento.

Il trattamento deve essere svolto in modo da ridurre al minimo l’utilizzazione di dati personali e di dati identificativi, escludendoli dal trattamento quando le finalità perseguite nelle singole tipologie di attività possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità.

Ciascuna operazione di trattamento può avere per oggetto i dati personali strettamente pertinenti, non eccedenti e indispensabili rispetto alle sopra indicate finalità, le quali non possano essere perseguite, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa, in particolare allorché trattasi di dati sensibili e giudiziari.

 

  1. Categorie degli interessati.

Possono formare oggetto di trattamento esclusivamente i dati personali i cui interessati comunque interagiscono con questo Comune, per iniziativa di parte o per obbligo di legge, attinenti alle attività di competenza della/del predetta/o commissione/organo utili per dare esecuzione alle tipologie di trattamento:

  1. effettuato sulla base del consenso espresso per una o più specifiche finalità, diverse da quelle per cui sono stati raccolti e non rientranti nello svolgimento delle funzioni istituzionali;
  2. eseguito in virtù di un contratto o di accordi precontrattuali;
  3. necessario per adempiere a un obbligo stabilito dall’ordinamento giuridico;
  4. necessario per salvaguardare interessi vitali dell’interessato o di altra persona;
  5. necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di un pubblico potere di cui é investito questo Comune.

Con riferimento alle attività consultive/di controllo di competenza della/del predetta/o commissione/organo costituiscono categorie di interessati cancellare le categorie di interessati non coinvolti nelle predette attività): i componenti degli organi di governo del Comune; i rappresentanti del Comune o del Consiglio in altri soggetti giuridici interno o esterni; i dipendenti e gli ex dipendenti; i partecipanti a selezioni finalizzate all’assunzione; gli stagisti, i praticanti per conseguire idoneità professionali, i collaboratori, i consulenti, i professionisti; gli istanti di autorizzazioni e concessioni nonché di atti e provvedimenti amministrativi da rilasciare obbligatoriamente o facoltativamente; contravventori di norme di leggi, regolamenti e ordinanze; titolari o rappresentanti di soggetti giuridici pubblici e privati candidati a fornire a questo Comune lavori, beni e servizi ovvero parti di contratti ad oggetto le precitate forniture; componenti di commissioni giudicatrici di gare o di selezioni; beneficiari di contributi, sovvenzioni o utilità di qualunque genere; etc.

 

 

 

 

 

  1. Compiti dei responsabili del trattamento

Il Responsabile del trattamento provvede, nell’ambito delle materie di sua competenza, a tutte le attività previste dalle fonti di diritto dell’Unione e dello Stato, e in particolare, oltre ai compiti attribuitegli dal paragrafo 3 dell’art. 28 del Regolamento UE 2016/679, anche:

  1. a tenere aggiornato il registro delle categorie di attività di trattamento svolte per conto del Titolare; 
  2. ad adottare le misure tecniche e organizzative adeguate a garantire la sicurezza dei trattamenti;
  3. ad autorizzare i dipendenti appartenenti alla sua struttura ad accedere ai dati personali al fine di svolgere il trattamento afferente i rispettivi compiti istituzionali;
  4. a sensibilizzare e formare il personale che partecipa ai trattamenti in materia di protezione dei dati personali, fornendo le istruzioni per il corretto trattamento dei dati personali, e a controllare che le attività di trattamento, con particolare riferimento alle operazioni di comunicazione e diffusione, svolte dagli incaricati siano conformi alle norme del RGPD;
  5. a collaborare con il Titolare al fine di definire la valutazione dell’impatto sulla protezione dei dati (di seguito indicata con “DPIA”) fornendo allo stesso ogni informazione di cui è in possesso;
  6. a informare il Titolare, senza ingiustificato ritardo, della conoscenza di casi di violazione dei dati personali (cd. “data breach”), per la successiva notifica della violazione al Garante Privacy, nel caso in cui il Titolare stesso ritenga probabile che dalla violazione dei dati possano derivare rischi per i diritti e le libertà degli interessati.
  7. a curare le informative di cui agli articoli 13 e 14 del RGPD da fornire agli interessati, predisponendo la necessaria modulistica o determinando altre forme idonee di informazione inerenti i trattamenti di competenza della propria struttura organizzativa, facendo, in presenza di dati sensibili, espresso riferimento alla normativa che prevede gli obblighi o i compiti in base alla quale è effettuato il trattamento;
  8. a curare l’eventuale raccolta del consenso degli interessati per il trattamento dei dati sensibili qualora il loro trattamento non sia previsto da una specifica norma di legge;
  9. adottare le misure necessarie per facilitare l’esercizio dei diritti dell’interessato di cui agli articoli da 15 a 22 del RGPD;
  10. a stabilire le modalità di gestione e le forme di responsabilità relative a banche dati condivise da più articolazioni organizzative, d’intesa con gli altri responsabili; in caso di mancato accordo tra i responsabili, decide il Segretario Generale, sentiti gli stessi responsabili competenti;
  11. a stipulare gli accordi con altri soggetti pubblici o privati per l’esercizio del diritto di accesso alle banche-dati nei limiti previsti dalle disposizioni legislative e regolamentari.

 

  1. Compiti degli incaricati del trattamento

Il trattamento dei dati personali deve essere svolto in conformità ai principi e nel rispetto delle condizioni di liceità di cui rispettivamente agli articoli 5 e 6 del RGPD 2016/679.

Gli incaricati del trattamento potranno effettuare tutte le operazioni di trattamento indispensabile per lo svolgimento delle attività di loro competenza come previste da disposizioni di legge o, sulla base di una norma di legge, di regolamento. salvo quelle che eventualmente gli siano inibite dal titolare del trattamento o dal responsabile del trattamento.

L’incaricato dovrà, inoltre, rispettare le istruzioni impartite dal titolare del trattamento, dal responsabile del trattamento, dal responsabile della protezione dei dati e dall’amministratore del sistema informatico sia con il presente atto di sia con successivi atti.

Ciascun incaricato del trattamento, in particolare, dovrà:

  • procedere alla raccolta di dati personali, anche mediante l’approvazione di appositi moduli di raccolta, di norma presso l’interessato e qualora ciò non sia possibile presso terzi;
  • fornire agli interessati o ai terzi, al momento della raccolta dei dati, la specifica informativa prevista dagli articoli 13 e 14 del RGPD 2016/679, salvo che l’informativa medesima sia stata fornita direttamente dal titolare o dal responsabile del trattamento anche in formato elettronico;
  • trattare i dati personali in conformità ai principi di pertinenza, non eccedenza e indispensabilità in relazione alla finalità propria del procedimento amministrativo interessato ovvero della singola operazione di trattamento;
  • custodire e non divulgare il codice di identificazione personale (username) e la password di accesso agli strumenti elettronici del Comune;
  • rispettare e attuare, nel trattare i dati, tutte le misure di sicurezza che siano indicate, oggi e in futuro, dal titolare o dal responsabile, in particolare attenendosi con esattezza a quanto di seguito precisato:
      1. per le banche dati informatiche, utilizzare sempre il proprio codice di accesso personale, evitando di operare su terminali altrui e/o di lasciare aperto il sistema operativo con la propria password inserita in caso di allontanamento anche temporaneo dal posto di lavoro, al fine di evitare trattamenti non autorizzati e di consentire sempre l’individuazione dell’autore del trattamento;
      2. per le banche dati non informatiche utilizzare armadi chiudibili con apposita chiave, in modo da non consentire l’accesso a soggetti non autorizzati durante la loro assenza; e custodire in modo riservato le predette chiavi;
      3. trattare i soli dati la cui conoscenza sia indispensabile e sufficiente per lo svolgimento delle operazioni da effettuare;
      4. custodire i supporti informatici e/o cartacei contenenti i dati personali in modo da evitare che i dati personali contenuti negli stessi supporti siano accessibili a persone non autorizzate a conoscerli;
      5. con specifico riferimento agli atti e documenti analogici contenenti dati personali e alle loro copie, restituire o riporre nei rispettivi fascicoli e armadi gli stessi al termine delle operazioni eseguite;
      6. utilizzare i supporti di memorizzazione già usati soltanto qualora i dati in essi precedentemente contenuti non siano in alcun modo recuperabili, altrimenti etichettarli e riporli negli appositi contenitori debitamente custoditi;
      7. copie di dati personali su supporti amovibili sono permesse solo se dirette ad altri soggetti interni o esterni a questo Ente autorizzati per legge o regolamento anche ad una o più operazioni di trattamento degli stessi; le copie di dati sensibili su supporti amovibili devono essere espressamente autorizzate dal responsabile del trattamento. In ogni caso tali supporti devono avere un’etichetta che li identifichi e non devono mai essere lasciati incustoditi; alla cessazione dell’incarico/della carica tali supporti devono essere restituiti al Comune con il loro contenuto integrale.
      8. in caso si constati o si sospetti un incidente di sicurezza deve essere data immediata comunicazione al responsabile del trattamento;
  • segnalare al titolare o al responsabile del trattamento o all’amministratore del sistema informatico eventuali circostanze che rendano necessario od opportuno l’aggiornamento delle predette misure di sicurezza al fine di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta;
  • effettuare la comunicazione mediante trasmissione esclusivamente ai soggetti che ne hanno diritto in conformità alle norme di legge o di regolamento;
  • la comunicazione mediante trasmissione e la diffusione dei dati personali possono essere effettuate soltanto nei casi e con i limiti previsti dalle fonti di diritto comunitarie e nazionali;
  • é sempre vietato diffondere i dati sensibili e i dati giudiziari, salvo le ipotesi prescritte obbligatoriamente da disposizioni di legge;
  • salvo quanto precisato al punto precedente, mantenere la massima riservatezza sui dati personali dei quali si venga a conoscenza nello svolgimento delle proprie attività istituzionali, per tutta la durata del medesimo e anche successivamente al termine di esso;
  • fornire al titolare e al responsabile del trattamento, al responsabile della protezione dei dati e all’amministratore del sistema, a semplice loro richiesta e secondo le modalità dagli stessi indicate, tutte le informazioni relative all’attività svolta, al fine di consentire loro di svolgere efficacemente la propria attività di controllo nonché di progettazione e di attuazione delle misure di sicurezza adeguate per la protezione dei dati personali;
  • prestare completa e leale collaborazione al titolare e al responsabile del trattamento, al responsabile della protezione dei dati e all’amministratore del sistema al fine di compiere tutto quanto sia necessario ed opportuno per il corretto espletamento dell’incarico nel rispetto della normativa vigente;
  • non lasciare incustoditi e accessibili a terzi non autorizzati gli strumenti informatici ed elettronici nonché i contenitori  di banche-dati analogici mentre è in corso una sessione di lavoro;
  • procedere alla debita conservazione temporanea o all’archiviazione definitiva, nei luoghi e nei contenitori all’uopo predisposti, dei supporti analogici e dei supporti informatici una volta terminata la consultazione;
  • accertarsi dell’identità dei soggetti richiedenti documenti contenenti dati personali e dei soggetti delegati al loro ritiro;
  • non fornire telefonicamente o a mezzo fax dati personali che per legge o per regolamento non debbano essere pubblicati, salvo che dei destinatari si abbia certezza della loro identità e legittimazione a trattare gli stessi dati.

 

  1. Presa atto del presente decreto e dell’eventuale sua modifica o revoca.

Gli incaricati con la sottoscrizione del presente atto prendono atto che opereranno sotto la diretta autorità del sottoscritto responsabile del trattamento, il quale avrà facoltà di revocare e modificare in ogni momento il presente incarico nonché, in caso di inadempimento a quanto in esso previsto, di revocare o di far revocare dall’amministratore del sistema informatico l’username e/o la password assegnati per lo svolgimento delle attività da svolgere con strumenti informatici nonché la firma digitale, senza che quest’ultimo possa avanzare eventuali pretese e fatto salvo il risarcimento del danno anche all’immagine del Comune eventualmente subito per effetto degli inadempimento o delle violazioni alle disposizioni di cui al RGPD e al Codice della Privacy.  Le predette revoche saranno effettuate con effetto immediato e senza obbligo di preavviso.

In caso di gravi violazioni alle disposizioni di cui al RGPD e al Codice della Privacy potrà essere revocato l’incarco/la carica di componente della predetta commissione/organo.

 

                                                                                                                                                                                                                                            IL RESPONSABILE DEL TRATTAMENTO

                                                                                                                                                                                                                                            ……………………………………………………

 

 

Per ricevuta.

data,

GLI INCARICATI DEL TRATTAMENTO

………………………………………………….

………………………………………………….

………………………………………………….

………………………………………………….

………………………………………………….

………………………………………………….

………………………………………………….

 

 

 

 

 

 

 

 

Print Friendly, PDF & Email
Torna in alto