Regolamento (Disposizioni) per l'attuazione del Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali
Art. 1 - Oggetto
Il presente Regolamento ha lo scopo disciplinare i ruoli, le responsabilità e le modalità attuative finalizzate all'applicazione dei principi e delle prescrizioni contenute nel Regolamento generale sulla protezione dei dati personali approvato con deliberazione del Consiglio d'Europa del 27 aprile 2016 n. 679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Art. 2 - Titolarità del trattamento
- Ai sensi dell'articolo 4, punto 7) del Regolamento europeo, sopra richiamato, il Titolare del trattamento è il Comune di Castel di Lucio che, per la gestione dei dati e ogni forma di trattamento richiesta dalle norme di legge, si avvale di Responsabili del trattamento, di norma individuati nei Responsabili dei Servizi.
- Il Comune, nella qualità di Titolare è responsabile del rispetto dei principi prescritti dal Regolamento Generale e in particolare di quanto previsto dall'art. 5 con riferimento alla liceità, correttezza e trasparenza nel trattamento, nonché la limitazione e minimizzazione dei dati, la loro esattezza e la conservazione avendo cura di assicurarne l'integrità e il rispetto della riservatezza.
- Il Comune, nella qualità di Titolare promuove l'adozione delle misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento di dati personali si effettuato in modo conforme al RGPD, anche attraverso la definizione di specifici ruoli e responsabilità.
- Il Titolare, inoltre, organizza la vigilanza e il presidio sull'adozione delle misure allo scopo di assicurare, sia la protezione dei dati, sia l'esercizio dei diritti degli interessati, nonché le comunicazioni e le informazioni occorrenti per il loro esercizio. A tal fine provvede a:
- designare un Responsabile della protezione dati, individuandolo tra i professionisti esterni che siano in possesso dei requisiti di esperienza e professionalità, anche ricorrendo all'affidamento del servizio a soggetti esterni che assicurino l'espletamento delle attività necessarie all'attuazione concreta delle disposizioni del Regolamento generale
- nominare, all'interno dell'Ente, i Responsabili del trattamento, tra i Dirigenti, i Responsabili delle Posizioni organizzative e i Funzionari delle singole strutture in cui si articola l'organizzazione comunale, che siano preposti al trattamento dei dati contenuti nelle banche dati esistenti nelle articolazioni organizzative di loro competenza.
- C) Incaricare i Dirigenti e titolari di posizioni organizzative, laddove si ricorra all'affidamento all'esterno di servizi che richiedano il trattamento di dati personali, a definire gli ambiti e i ruoli in ordine alla Responsabilità del trattamento, mediante la specifica prescrizione dei relativi obblighi e delle garanzie richieste, in sede contrattuale.
- d) Definire, nel caso di servizio associato di funzioni, gli ambiti di responsabilità del trattamento dei dati, sia all'interno dell'ente, sia all'esterno.
- Al Comune, nella qualità di Titolare del trattamento compete, inoltre l'adozione di codici di condotta che disciplinino l'esecuzione delle attività nel rispetto del corretto trattamento dei dati, nonché l'adesione ai codici di condotta elaborati dalle associazioni e dagli organismi di categoria rappresentativi, ovvero a meccanismi di certificazione della protezione dei dati approvati, per contribuire alla corretta applicazione del RGPD e per dimostrarne il concreto rispetto.
Art.3 - Finalità del trattamento
- I dati personali che l'ente acquisirà, sia in forma cartacea che informatica, saranno trattati esclusivamente per le finalità istituzionali, nel rispetto dei principi di correttezza, liceità, trasparenza e di tutela della riservatezza, secondo le prescrizioni contenute nel Regolamento Generale per la protezione dei dati personali, nonché delle disposizioni legislative italiane e delle indicazioni fornite dall'Autorità Garante della protezione dei dati personali.
Art.4 - Modalità di trattamento
- I dati forniti al Comune saranno acquisiti e trattati esclusivamente dagli uffici competenti per materia e coordinati dal Responsabile del trattamento, di volta in volta indicato. Ai fini del trattamento saranno utilizzati sia documenti cartacei, sia documenti e dati informatici che possono risiedere presso gli archivi degli uffici di competenza o presso sistemi idonei alla conservazione informatica, anche in modalità remota. In quest'ultimo caso sarà cura dell'ente, affidare l'incarico di conservazione e gestione dei dati, acquisire le idonee garanzie sulla regolare conservazione dei dati.
- Le informazioni personali, in nessun caso saranno fornite a soggetti terzi che non siano espressamente autorizzati, mediante provvedimenti formali di affidamento di specifiche funzionalità, con la prescrizione di precise garanzie in ordine al rispetto degli obblighi relativi al trattamento dei dati personali.
- I dati trattati dall'Ente saranno conservati secondo tempi e modalità definite nel Piano di conservazione, nel rispetto delle previsioni dell'art. 68 del D.P.R. 445/2000.
- I dati, inoltre, potranno essere trattati da dipendenti e collaboratori autorizzati nell'ambito delle specifiche competenze attribuite e indicati nel Registro del trattamento.
Art.5 - I Responsabili interni del trattamento
- I Responsabili degli uffici apicali sono individuati quali Responsabili del trattamento dei dati, ai sensi dell'articolo 28 del Regolamento generale per la protezione dei dati. Tale incarico che decorre dalla data di attribuzione della titolarità della unità organizzativa a cui sono preposti, può essere attribuito formalmente, con decreto del Sindaco, nel quale sono ribaditi gli obblighi e le responsabilità connesse.
- Il Responsabile del trattamento:
- Adotta le misure tecniche e organizzative adeguate, nel rispetto delle indicazioni fornite dal Titolare del trattamento e dal Responsabile della protezione dei dati (DPO) in relazione a eventuali rischi di violazione del trattamento, al fine di soddisfare gli obblighi prescritti nel Regolamento europeo 679/2016, oltre alle disposizioni del Garante per il trattamento dei dati personali.
- Assicura che i dati di competenza del proprio Settore siano trattati nel rispetto dei principi di liceità, correttezza e trasparenza, avendo cura di minimizzarne l'uso nei limiti delle finalità prescritte dalle norme di legge.
- E' tenuto ad assicurare la conservazione dei dati in modo da garantirne la loro integrità e limitarne l'accesso e la divulgazione ai soli casi in cui ciò sia autorizzato da norme di legge, nel rispetto delle informazioni dovute ai controinteressati, anche ricorrendo a soggetti terzi che offrano le medesime garanzie e ottemperino ai medesimi obblighi
- Risponde direttamente nel caso in cui alcuna delle violazioni sia attribuibile alla gestione dei dati di sua competenza, con particolar riguardo ai casi di indebite distruzione, cancellazione, accesso, modifica o divulgazione dei dati personali trattati.
- Laddove abbia notizie di una violazione del trattamento, anche presunta, è obbligato a informare immediatamente il Titolare del trattamento e il Responsabile della protezione dei dati individuato dall'Ente.
O si impegna ad assicurare al Titolare del trattamento l'accesso a qualsiasi informazione, dato o documento relativo al Settore affidato
- adotta ogni idonea iniziativa affinché le persone autorizzate al trattamento, all'interno del Settore di competenza di cui è titolare, siano impegnate alla riservatezza e informate sulle modalità di utilizzo dei dati ai fini del rispetto delle prescrizioni del Regolamento generale e delle misure organizzative individuate a tutela della protezione dei dati
- Predispone, adotta e aggiorna il Registro del trattamento dei dati, nell'ambito di riferimento, ai sensi degli articoli 30 e seguenti del Regolamento generale, secondo le indicazioni fornite dal Responsabile della protezione dei dati personali individuato dal Titolare del trattamento
- Predispone, di intesa con il Responsabile della protezione dei dati (DPO) le informative ai cittadini e agli utenti, ogni qualvolta sia richiesto ai fini della comunicazione dei diritti degli interessati alla tutela dei dati personali
- Assicura l'esercizio del diritto di accesso ai dati degli interessati secondo quanto previsto dall'articolo 15 del Regolamento generale per la protezione dei dati.
- Il dirigente, nel caso in cui affidi a un soggetto esterno, l'espletamento di servizi che comportino il trattamento dei dati personali, è tenuto a prevedere, nella convenzione che disciplina gli obblighi prestazionali, la definizione delle responsabilità in ordine al trattamento dei dati
- Il dirigente, inoltre, in ragione dell'articolazione del Settore di competenza o per specifiche funzioni che richiedano autonomia nella gestione di archivi o banche dati, può individuare, con provvedimento formale, dei "sub-responsabili del trattamento", a cui affidare il compito di assicurare tutte le garanzie necessarie per la tutela dei dati personali.
Art. 5 bis
Organizzazione ai fini della tutela e protezione dei dati personali
- Nel rispetto della previsione normativa e con riferimento al regolamento europeo 679/2016, relativo
alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera
circolazione di tali dati il titolare del trattamento dei dati personali è il Comune di Castel di Lucio;
- Il titolare richiamato nel comma precedente designa un proprio rappresentante a cui demandare il compito di provvedere alla tenuta e all'aggiornamento del Registro del trattamento dei dati, previsto nell'art. 30 del richiamato regolamento;
- Ciascun titolare di posizione organizzativa/dirigenziale è individuato quale "responsabile del trattamento", ai sensi dell'art. 28, riguardo alle materie di propria competenza;
- L'incarico di "responsabile del trattamento", può essere inoltre conferito, con atto formale del Titolare del trattamento, a singoli dipendenti ai quali siano Attribuite funzioni o competenze che comportino un autonomo trattamento di dati;
- Ciascun responsabile del trattamento, all'interno delle unità organizzative di competenza, può "designare" dei soggetti denominati "operatori del trattamento", in relazione ai compiti e alle responsabilità attribuite, specificando quali operazioni di trattamento dei dati siano autorizzati a compiere. Il responsabile del trattamento ha il compito di assicurare che ogni "operatore" sia costantemente aggiornato, adeguatamente formato e a conoscenza delle modalità necessarie da utilizzare a garanzia della tutela dei dati personali, nonché di verificare la correttezza nell'utilizzo delle banche dati e di ogni informazione di tipo personale;
- Ogni Responsabile del trattamento ha il compito di tenere un Registro delle attività di trattamento, nel rispetto delle disposizioni contenute nell'art. 30 del regolamento UE, contenente tutte le categorie di attività relative ai trattamenti dei dati di propria competenza, avendo cura di assicurarne il costante aggiornamento, nonché la immediata fruibilità, anche in forma elettronica, tutte le volte che si renda necessario;
- L'Ente si dota di un "Responsabile della protezione dati (DPO), designato con provvedimento del titolare del trattamento, a cui Affidare i compiti previsti nell'art. 39 del regolamento europeo richiamato, nonché ogni eventuale ulteriore compito previsto dalle disposizioni legislative o dell'Autorità Garante della Privacy: Laddove l'Ente non disponga di una professionalità idonea a tal fine o ragioni di opportunità lo richiedano, l'incarico di responsabile della protezione dei dati, è assegnato a un soggetto esterno, sia persona fisica, sia giuridica, che assicuri il rispetto degli adempimenti richiesti;
- Nel rispetto della previsione contenuta nell'art. 35 del regolamento UE, l'Ente predispone un documento contenente la "Valutazione dell'impatto" dei trattamenti previsti sulla protezione dei dati personali. Tale documento può essere realizzato mediante l'affidamento dell'incarico a un soggetto esterno, ma deve essere conservato da ciascun responsabile, in relazione alle materie di propria competenza;
- Ogni eventuale violazione dei dati personali deve essere riferita, in forma scritta, al titolare del trattamento che provvederà nel rispetto delle previsioni contenute nel regolamento UE, nonché dalle disposizioni del Garante per la tutela dei dati personali;
Art. 6 - I Responsabili esterni del trattamento
Laddove l'Ente ricorra all'affidamento di servizi che comportino la gestione di dati personali, i Titolari degli uffici apicali sono individuati quali Responsabili del trattamento dei dati, ai sensi dell'articolo 28 del Regolamento generale per la protezione dei dati. Tale incarico che decorre dalla data di attribuzione della titolarità della unità organizzativa a cui sono preposti, può essere attribuito formalmente, con decreto del Sindaco, nel quale sono ribaditi gli obblighi e le responsabilità connesse.
Il Responsabile esterno del trattamento:
- Ha l'onere di assicurare di avere la capacità strutturale, tecnica ed organizzativa allo scopo di garantire su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento.
- è tenuto ad adottare le misure tecniche e organizzative adeguate al fine di soddisfare gli obblighi prescritti nel Regolamento europeo 679/2016, oltre alle disposizioni del Garante per il trattamento dei dati personali, nonché le indicazioni fornite dal Responsabile della protezione dei dati individuato dal Comune.
- Risponde direttamente nel caso in cui alcuna delle violazioni del trattamento sia attribuibile alla gestione dei dati di sua competenza, con particolar riguardo ai casi di indebite distruzione, cancellazione, accesso, modifica o divulgazione dei dati personali trattati.
- Assicura di non utilizzare, in nessun caso le informazioni, i dati e i documenti acquisiti dal Comune o per conto del Comune, ai fini dell'espletamento del servizio affidato, per finalità diverse da questo.
- Garantisce di non consentire la consultazione, la diffusione, la copia o qualsiasi altro trattamento dei dati a soggetti estranei alla propria struttura o diversi da quelli indicati al titolare del trattamento.
- Mette a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi specificati ed inoltre acconsente alla effettuazione di eventuali ispezioni per conto del titolare del trattamento.
- Si impegna a comunicare al Titolare del trattamento i soggetti che saranno utilizzati nel trattamento dei dati, nella qualità di "operatori del trattamento", dei quali si impegna a garantire riguardo alla riservatezza e adeguatezza.
- Si impegna a informare il titolare del trattamento di eventuali modifiche previste al processo di trattamento riguardanti l'aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare l'opportunità di opporsi a tali modifiche.
- Adotta, se necessario, tutte le misure a garantire il ripristino tempestivo, la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico che ne pregiudichi l'accesso o l'utilizzo.
- E' tenuto, a conclusione della prestazione, a fornire al titolare del trattamento, ogni dato
trattato per suo conto e ad assicurarne, se richiesto, la cancellazione.
- Laddove abbia notizie di una violazione del trattamento, anche presunta, è obbligato a informare immediatamente il Titolare del trattamento e il Responsabile della protezione dei dati individuato dal Comune
- I) Nel caso in cui sorga la necessità che debba fare ricorso ad un altro responsabile del trattamento per l'esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell'Unione Europea o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento principale, quest'ultimo è tenuto a prevedere da parte del responsabile del trattamento che lo supporterà, garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente accordo e del regolamento.
- m) Si impegna ad assicurare al Titolare del trattamento l'accesso a qualsiasi informazione, dato o documento relativo al servizio affidato, anche allo scopo di ottemperare agli obblighi previsti dall'art. 15 del Regolamento europeo prima richiamato
Art.7 - Il Responsabile della protezione dati
- Il Titolare del trattamento individua un professionista esterno a cui affidare l'incarico di Responsabile della protezione dei dati, anche mediante l'affidamento di un servizio a una Società che fornisca assistenza nell'ambito della protezione dei dati personali.
Il Responsabile della protezione dei dati è incaricato dei seguenti compiti:
- a) informare e fornire consulenza al Titolare e ai Responsabili del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal RGPD e dalle altre normative relative alla protezione dei dati
- h) sorvegliare l'osservanza del RGPD e delle altre normative relative alla protezione dei dati, fermo restando le responsabilità del Titolare e dei Responsabili del trattamento. Fanno parte di questi compiti la raccolta di informazioni per individuare i trattamenti svolti, l'analisi e la verifica dei trattamenti in termini di loro conformità, l'attività di informazione, consulenza e indirizzo nei confronti del Titolare e del Responsabile del trattamento
- sorvegliare sulle attribuzioni delle responsabilità, sulle attività di sensibilizzazione, formazione e controllo poste in essere dal Titolare e dal Responsabile del trattamento
- fornire, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati (DPIA) e sorvegliarne lo svolgimento.
- cooperare con il Garante per la protezione dei dati personali e fungere da punto di contatto per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'art. 36 RGPD, ed
effettuare, se del caso, consultazioni relativamente a ogni altra questione. A tali fini il nominativo del RPD è comunicato dal Titolare eio dal Responsabile del trattamento al Garante
- il RPD deve disporre tempestivamente di tutte le informazioni pertinenti sulle decisioni che impattano sulla protezione dei dati, in modo da poter rendere una consulenza idonea, scritta od orale;
- il RPD deve essere consultato tempestivamente qualora si verifichi una violazione dei dati o un altro incidente.
- Il RPD opera in posizione di autonomia nello svolgimento dei compiti allo stesso attribuiti; in particolare, non deve ricevere istruzioni in merito al loro svolgimento né sull'interpretazione da dare a una specifica questione attinente alla normativa in materia di protezione dei dati.
- Ferma restando l'indipendenza nello svolgimento di detti compiti, il RPD riferisce direttamente al Titolare - Sindaco o suo delegato - od al Responsabile del trattamento.
Nel caso in cui siano rilevate dal RPD o sottoposte alla sua attenzione decisioni incompatibili con il RGPD e con le indicazioni fornite dallo stesso RPD, quest'ultimo è tenuto a manifestare il proprio dissenso, comunicandolo al Titolare ed al Responsabile del trattamento.
Art.8 - Sicurezza del trattamento
- Il Comune e ciascun Responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio tenendo conto delle caratteristiche del contesto e dei costi di attuazione, nonché della natura, delle finalità del trattamento, del rischio di probabilità e della eventuale gravita per i diritti e le libertà delle persone fisiche.
- Le misure tecniche ed organizzative di sicurezza per ridurre i rischi del trattamento ricomprendono: la pseudonimizzazione; la minimizzazione; la cifratura dei dati personali; la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati in caso di incidente fisico o tecnico; una procedura per provare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
- Costituiscono misure tecniche ed organizzative che possono essere adottate dal Servizio cui è preposto ciascun Responsabile del trattamento: sistemi di autenticazione; sistemi di autorizzazione; sistemi di protezione (antivirus; firewall; antintrusione; altro); misure antincendio; sistemi di rilevazione di intrusione; sistemi di sorveglianza; sistemi di protezione con videosorveglianza; registrazione accessi; porte, armadi e contenitori dotati di serrature e ignifughi; sistemi di copiatura e conservazione di archivi elettronici; altre misure per ripristinare tempestivamente la disponibilità e l'accesso dei dati in caso di incidente fisico o tecnico.
- La conformità del trattamento dei dati al RGDP in materia di protezione dei dati personali è dimostrata attraverso l'adozione delle misure di sicurezza o l'adesione a codici di condotta approvati o ad un meccanismo di certificazione approvato.
- Il Comune e ciascun Responsabile del trattamento si obbligano ad impartire adeguate istruzioni sul rispetto delle predette misure a chiunque agisca per loro conto ed abbia accesso a dati personali.
- I nominativi ed i dati di contatto del Titolare, dei Responsabili del trattamento e del Responsabile della protezione dati sono pubblicati sul sito istituzionale del Comune, sezione Amministrazione trasparente, oltre che nella sezione "privacy" eventualmente già presente.
Art.9 - Registri delle attività di trattamento
ai sensi dell'art. 30 comma 2 del richiamato Regolamento generale per la protezione dei dati personali, sono istituiti i registri dei responsabili interni del trattamento uno per ciascun responsabile, contenenti:
- il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
- le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
- ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate;
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo i.
- Ogni eventuale informazione che sia prescritta da successive disposizioni normative di legge o dell'Autorità garante della protezione dei dati personali.
- I registri saranno predisposti mediante strumenti informatici e dovranno essere costantemente aggiornati e riproducibili, quando richiesto, in forma cartacea al fine di assicurarne la conservazione e l'immediata consultazione.
- I registri dovranno essere sempre aggiornati e dovranno essere resi disponibili al titolare del trattamento e ostensibili su richiesta del DPO o di chiunque abbia diritto all'accesso in base alla normativa vigente.
Art. 10 - Valutazioni d'impatto sulla protezione dei dati
- Nel caso in cui un tipo di trattamento, specie se prevede in particolare l'uso di nuove tecnologie, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare, prima di effettuare il trattamento, deve attuare una valutazione dell'impatto del medesimo trattamento (DPIA) ai sensi dell'art. 35 RGDP, considerati la natura, l'oggetto, il contesto e le finalità dello stesso trattamento. La DPIA è una procedura che permette di realizzare e dimostrare la conformità alle norme del trattamento di cui trattasi.
- Ai fini della decisione di effettuare o meno la DPIA si tiene conto degli elenchi delle tipologie di trattamento soggetti o non soggetti a valutazione come redatti e pubblicati dal Garante Privacy ai sensi dell'art. 35, 4-6, RGDP.
- La DPIA è effettuata in presenza di un rischio elevato per i diritti e le libertà delle persone fisiche. Fermo restando quanto indicato dall'art. 35, p. 3, RGDP, i criteri in base ai quali sono evidenziati i trattamenti determinanti un rischio intrinsecamente elevato, sono i seguenti:
- trattamenti valutativi o di scoring, compresa la profilazione e attività predittive, concernenti aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato;
- decisioni automatizzate che producono significativi effetti giuridici o di analoga natura, ossia trattamenti finalizzati ad assumere decisioni su interessati che producano effetti giuridici sulla persona fisica ovvero che incidono in modo analogo significativamente su dette persone fisiche;
- monitoraggio sistematico, ossia trattamenti utilizzati per osservare, monitorare o controllare gli interessati, compresa la raccolta di dati attraverso reti o la sorveglianza sistematica di un'area accessibile al pubblico;
- trattamenti di dati sensibili o dati di natura estremamente personale, ossia le categorie particolari di dati personali di cui all'art. 9, RGDP;
- trattamenti di dati su larga scala, tenendo conto: del numero di numero di soggetti interessati dal trattamento, in termini numerici o di percentuale rispetto alla popolazione di riferimento; volume dei dati e/o ambito delle diverse tipologie di dati oggetto di trattamento; durata o persistenza dell'attività di trattamento; ambito geografico dell'attività di trattamento;
- combinazione o raffronto di insiemi di dati, secondo modalità che esulano dalle ragionevoli aspettative dell'interessato;
- dati relativi a interessati vulnerabili, ossia ogni interessato particolarmente vulnerabile e meritevole di specifica tutela per il quale si possa identificare una situazione di disequilibrio nel rapporto con il Titolare del trattamento, come i dipendenti dell'Ente, soggetti con patologie psichiatriche, richiedenti asilo, pazienti, anziani e minori;
- utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative;
- tutti quei trattamenti che, di per sé, impediscono agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto.
- Nel caso in cui un trattamento soddisfi almeno due dei criteri sopra indicati occorre, in via generale, condurre una DPIA, salvo che il Titolare ritenga motivatamente che non può presentare un rischio elevato; il Titolare può motivatamente ritenere che per un trattamento che soddisfa solo uno dei criteri di cui sopra occorra comunque la conduzione di una DPIA.
- II Titolare garantisce l'effettuazione della DPIA ed è responsabile della stessa. Il Titolare può affidare la conduzione materiale della DPIA ad un altro soggetto, interno o esterno al Comune.
- II Titolare deve consultarsi con il RPD anche per assumere la decisione di effettuare o meno la DPIA; tale consultazione e le conseguenti decisioni assunte dal Titolare devono essere documentate nell'ambito della DPIA. Il RPD monitora lo svolgimento della DPIA.
- II Responsabile del trattamento deve assistere il Titolare nella conduzione della DPIA fornendo ogni informazione necessaria.
- II responsabile della sicurezza dei sistemi informativi, se nominato, eio l'ufficio competente per detti sistemi, forniscono supporto al Titolare per lo svolgimento della DPIA.
Art. 11 - Violazione dei dati personali
- Per violazione dei dati personali (in seguito "data breach") si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso non autorizzato ai dati personali trasmessi, conservati o comunque trattati dal Comune.
- II Titolare, ove ritenga probabile che dalla violazione dei dati possano derivare rischi per i diritti e le libertà degli interessati, provvede alla notifica della violazione al Garante Privacy. La notifica dovrà avvenire entro 72 ore e comunque senza ingiustificato ritardo. Il Responsabile del trattamento è obbligato ad informare il Titolare, senza ingiustificato ritardo, dopo essere venuto a conoscenza della violazione.
- I principali rischi per i diritti e le libertà degli interessati conseguenti ad una violazione, in conformità al considerando 75 del RGPD, sono i seguenti:
- - danni fisici, materiali o immateriali alle persone fisiche;
- - perdita del controllo dei dati personali;
- - limitazione dei diritti, discriminazione;
- - furto o usurpazione d'identità;
- - perdite finanziarie, danno economico o sociale;
- - decifratura non autorizzata della pseudonimizzazione;
- - pregiudizio alla reputazione;
- - perdita di riservatezza dei dati personali protetti da segreto professionale (sanitari, giudiziari).
- Se il Titolare ritiene che il rischio per i diritti e le libertà degli interessati conseguente alla violazione rilevata è elevato, allora deve informare questi ultimi, senza ingiustificato ritardo, con un linguaggio semplice e chiaro al fine di fare comprendere loro la natura della violazione dei dati personali verificatesi. I rischi per i diritti e le libertà degli interessati possono essere considerati "elevati" quando la violazione può, a titolo di esempio:
- comportare rischi imminenti e con un'elevata probabilità di accadimento (ad esempio rischio di perdita finanziaria in caso di furto di dati relativi a carte di credito);
- impattare su soggetti che possono essere considerati vulnerabili per le loro condizioni (ad esempio utenti deboli, minori, soggetti indagati).
- La notifica deve avere il contenuto minimo previsto dall'art. 33 RGPD, ed anche la comunicazione all'interessato deve contenere almeno le informazioni e le misure di cui al citato art. 33.
- II Titolare deve opportunamente documentare le violazioni di dati personali subite, anche se non comunicate alle autorità di controllo, nonché le circostanze ad esse relative, le conseguenze e i provvedimenti adottati o che intende adottare per porvi rimedio. Tale documentazione deve essere conservata con la massima cura e diligenza in quanto può essere richiesta dal Garante Privacy al fine di verificare il rispetto delle disposizioni del RGPD.
Art. 12 — Diritti dell'interessato
- Ogni soggetto interessato, inteso quale persona fisica identificata o identificabile, potrà chiedere l'accesso ai propri dati personali detenuti presso l'ente nonché l'eventuale rettifica o aggiornamento. Potrà inoltre richiedere la cancellazione, laddove risulti un trattamento indebito, errato o ridondante.
Nei casi in cui, l'interessato ritenga che il trattamento dei dati non risponda al principio di necessità o sia ingiustificato o conseguenza di un errore, può opporsi segnalando tale abuso al Titolare del trattamento chiedendo l'immediata rettifica del dato o l'adozione delle misure finalizzate ad assicurare il necessario adeguamento.
L'Ente è obbligato a fornire a ogni soggetto interessato le informazioni relative al trattamento dei dati personali, nonché agli strumenti di tutela dei propri diritti.