Privacy policy

RGPD : Regolamento Generale sulla Protezione dei Dati Personali, Regolamento UE n. 679/2016

RPD = Responsabile della Protezione dei dati (in inglese DPO Data Protection Officer)

Data breacb = “riuscire a fare breccia”, qualunque violazione dei dati personali

DPLA= Valutazione di impatto sulla protezione dei dati

Privacy by design = Privacy dal momento della sua progettazione. Implica che qualsiasi progetto va realizzato

assumendo dalla fase iniziale di ideazione misure di protezione di dati personali

Privacy by default;; protezione dei dati per impostazione predefìnita. ovvero, misure tecniche ed organizzative che

assicurano solo i dati personali necessari per ogni specifica finalità di trattamento

Audit Privacy è una valutazione dei processi interni adottati sul grado di rispetto della normativa vigente del Reg. UE

1. 679/2016

GEPD “” Garante Europeo della protezione dei dati

Accountability = letteralmente ‘rendere conto”. ovvero, il Titolare del trattamento si deve responsabilizzare autonomamente nella gestione ed organizzazione della Privacy. Il principio nasce nella legislazione europea e statunitense ed è

inteso come la responsabilità dell’amministrazione che ha verso chi l’ha scelta e si fonda su: trasparenza intesa come

informazioni dell’attività di governo: partecipazione di chiunque al miglioramento delle politiche pubbliche e

collaborazione intesa come efficacia dell’azione amministrativa attraverso la cooperazione tra tutti i livelli di governo

WP 29 = Warkìng Party .Art. 29 (c.d. Gruppo di lavoro art. 29) Organismo consultivo ed indipendente composto da un

rappresentante dei Garanti dei dati personali di ogni stato membro. da un rappresentante della Commissione UE e dal

Garante europeo della protezione dei dati

 

 

TITOLO I – PRINCIPI

Art. l – Finalità

Art. 2 – Principi del trattamento

Art. 3 – Definizioni

TITOLO II – SOGGETTI DEL TRATTAMENTO DEI DATI

Art. 4 – Titolare del trattamento

Art. 5 – Responsabile del trattamento

Art. 6 – Sub-responsabili di trattamento

Art. 7 – Responsabili esterni del trattamento

Art. 8 – Responsabile della protezione dei dati

Art. 9 – Competenze del Responsabile della protezione dei dati

TITOLO III – TRATTAMENTO DEI DATI PERSONALI

Art. 10 – Trattamento dati particolari

An. 11 – Principi del trattamento dei dati e giudiziari

Art. 12 – Individuazione di interesse pubblico rilevante

Art. 13 – Pubblicazione web per obblighi di trasparenza

Art. 14 – Pertinenza delle informazioni contenenti dati personali

Art. 15 – Trattamento dei dati personali effettuato con sistemi di videosorveglianza

Art, 16 – Registro del trattamento

TITOLO IV – DlRlTTI DELL’INTERESSATO

Art. 17 – Diritto di accesso ed alla portabilità dei dati

Art, 18 – Diritto dì limitazione .

Art. 19 – Diritto all’oblio

An. 10 – Diritto alla rettifica dei dati

Art. 21 – Diritto di opposizione

Art. 21 – Obbligo di informativa

Art. 23 – Contenuto dell’informativa

Art. 24 – Informativa per utilizzo di sistemi di videosorveglianza

Art. 25 – Consenso

TITOLO V – MISURE DI SICUREZZA

Art. 26 – Misure di sicurezza preventive

 

Art. 27 –  D.P.I.A..

Art. 28 – Procedimento

Art. 29 – Consulta::ione preventiva del Garante della privacy

Art. 30 –Misure di sicurezza minime per trattamenti con strumenti elettronici ed

informatici

Art. 31 –Misure  per trattamenti non automatizzati

Art. 32 – Misure per dati raccolti con sistemi di videosorveglianza

Art. 33 – Sistema e politica di audit

Art.. 34 – Procedimento di audit

Art. 35 – Monitoraggio semestrale

 

TITOLO \’1- DATA BREACH O VIOLAZIONE DEI DATI PERSONALI

Art. 36 – Definizione di violazione dati personali

Art, 37 – Procedimento in caso di data breach

Art. 38 – Notifica al Garante della privacy

 

Art. 39 – Comunicazione  all’interessato

Art. 40 – Documentazione della violazione – Registro della violazione

TITOLO VI- MEZZI DI TUTELA E RESPONSABILITA’

Art. 41 – Soggetti responsabili ed azione risarcìtoria

Art. 42 – Reclamo

Art. 43 – Trattamento illecito dei dati

Art. 44 – Falsità nelle dichiarazioni e notificazioni al Garante della privacy

Art. 45 – Omessa predisposizione di misure di sicurezza

TITOLO VII – ENTRAT A IN VIGORE

Art. 46 – Abrogazioni

Art. 47 – Entrata in vigore del regolamento

ALLEGATI

Immagini per Informativa in caso di uso di sistemi di videosorveglianza

Schede del trattamento dei dati sensibili e giudiziari (Artt. 20-22)

 

 

TITOLO I

PRINCIPI

Art. 1

Finalità

1. Il presente regolamento disciplina le misure organizzative ed i processi interni di attuazione del

Regolamento UE n. 679/20I6 (R.G.P.D.) ai fini del trattamento di dati personali per finalità istituzionali nelComune di Monterosso Almo.

2. Ai fini del presente regolamento, per funzioni istituzionali si intendono quelle:
3. a) previste dalla legge, dallo statuto comunale e dai regolamenti;
4. b) esercitate in attuazione di convenzioni, accordi/intese nonché sulla base degli strumenti diprogrammazione e pianificazione previsti dalla legislazione vigente;
5. c) svolte per l’esercizi9 del! ‘autonomia organizzati va, amministrativa e finanziaria d~11 ‘ente locale;
6. d) in esecuzione di un contratto con i soggetti interessati;
7. e) per finalità specifiche e diverse dai punti precedenti purché !’interessato esprima il consenso altrattamento.
8. fI presente regolamento è conforme alle norme e principi costituzionali nonché alle altre

disposizioni vigenti sulla materia, incluse le norme non incompatibìli del Codice della Privacy, D.lgs.. n.196/2003.

Art. 2

Principi del trattamento

Per le finalità indicate all’art. 1, il Comune effettua il trattamento dei dati personali nel rispetto deidiritti e libertà fondamentali delle persone fisiche nonché del diritto alla riservatezza ed al! ‘identità dipersone fisiche e giuridiche.

2. In attuazione del comma 1, i dati personali sono:

– trattati in conformità delle norme di legge, cioè in modo lecito e con trasparenza nei confrontidell’ interessato;

– corretti, esatti ed aggiornati a seguito di intervenute variazioni;

solo quelli necessari e pertinenti allo scopo specifico, con la riduzione al minimo delle informazioniidentificative: il trattamento va evitato laddove lo scopo specifico può essere raggiunto tramite datianonimi;

–             trattati con adeguate misure di sicurezza in modo da evitare abusi o illeciti operdita distruzione o dannoaccidentale, in conformità del principio di integrità e riservatezza.

3. Relativamente al trattamento di dati personali di persone decedute, il diritto alla riservatezza siestingue con la morte del titolare. I diritti di cui al Titolo V del presente regolamento, in tali casi, possonoessere esercitati da chi agisce per la tutela del defunto o per motivi familiari meritevoli di tutela.

Art. 3

Definizioni

Ai fini del presente regolamento si adottano le seguenti definizioni:

Dati personali: qualunque informazione riguardante una persona fisica identificata o identificabile;

– Trattamento: qualsiasi operazione compiuta con o senza processi automatizzati che prevede la raccolta, laregistrazione, l’ organizzazione, la strutturazione, conservazione, adattamento o modifica,l’ estrazione, consultazione. utilizzo, trasmissione diffusione o altra forma di messa a disposizione di dati personali;

– Profilazione: trattamento automatizzato di dati personali per valutare determinati aspetti personali relativiad una persona fisica come a titolo esemplificativo, rendimento professionale, situazione economica:

– Archivio: insieme strutturato di dati personali accessibili secondo criteri determinati;

– Pseudonimizzazione: trattamento di dati in modo che non si possa risalire all’identificazione

dell’interessato senza informazioni aggiuntive conservate separatamente e soggette a misure di sicurezza;

– Titolare del trattamento: ente locale che anche congiuntamente determina e decide le finalità ed i mezzi

del trattamento;

– Responsabile del trattamento: persona fisica o giuridica o ente pubblico che tratta i dati per conto del

Titolare del trattamento;

– Destinatario: persona fisica o giuridica, ente pubblico che riceve comunicazione di dati personali;

– Terzo: chiunque (persona fisica, giuridica, ente pubblico) diverso dall’interessato, dal titolare del

trattamento, dal responsabile del trattamento, da ogni incaricato.

– Consenso dell’interessato: ogni manifestazione di volontà libera, specifica, informata ed inequivocabile dell’interessato con cui viene manifestato il suo assenso e viene conferita legittimità al trattamento deipropri dati personali;

– Violazione dei dati personali: ogni diffusione, trasmissione, accesso, comunicazione non autorizzata;

– Dati relativi alla salute: dati personali sensibili sullo stato di salute fisica e mentale di una persona fisica,inclusa la prestazione di servizi di assistenza sanitaria, inclusi i dati genetici e biometrici;

– Dati giudiziari: i dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza.

TITOLO II

SOGGETTI DEL TRATTAMENTO DEI DATI

 

Art. 4

Titolare del trattamento

. Il titolare del trattamento dei dati personali è il Comune di Monterosso Almo, rappresentato ai finilegali previsti dal Regolamento UE n. 679/2016 dal Sindaco pro-tempore. Esso è il Responsabile per tutte ledecisioni in ordine alle finalità ed alle modalità del trattamento dei dati e può agire tramite un suo delegatoper le competenze attribuite dal presente regolamento.

2. Il Comune di Monterosso Almo adotta tutte le misure tecniche ed organizzative idonee a garantireche il trattamento è conforme ai principi di cui all’art. 2 e ciò deve essere dimostrabile.
3. Tramite verifiche periodiche deve vigilare sulla osservanza delle istruzioni scritte impartite aiResponsabili e sul pieno rispetto delle vigenti disposizioni in materia di trattamento dati.
4. Nel caso di esercizio associato di funzioni e servizi, nonché per i compiti la cui gestione è affidataal Comune da enti ed organismi statali o regionali, allorché due o più titolari determinano congiuntamente,mediante accordo. le finalità ed i mezzi del trattamento, si realizza la contitolarità di cui all’art. 26 RGPD.

L’accordo definisce le responsabilità di ciascuno in merito all’osservanza degli obblighi in tema di privacy,con particolare riferimento all’esercizio dei diritti dell’interessato.

Art. 5

Responsabile del trattamento

1. Il Titolare del trattamento dei dati nomina con decreto del Sindaco il Responsabile unico deltrattamento nella persona del Responsabile Settore Affari Generali. Il medesimo provvedimento di nominapotrà contenere, in caso di assenza od impedimento del Responsabile per il trattamento dei dati,l’indicazione di un sostituto.
2. Il Responsabile deve essere scelto tra i Responsabili di PO in possesso dì adeguata conoscenzaspecialistica: esperienza, capacità ed affidabilità per il trattamento dei dati personali.
3. Il nominativo nonché indirizzo Pec del Responsabile va pubblicato nel sito del Comune alla

sezione Amministrazione trasparente.

4. Il Responsabile di trattamento dovrà svolgere i compiti specificati nel provvedimento di nomina,precisamente:

– garantire che i sub·responsabili o comunque ogni altro incaricato, e cioè ogni dipendente che per le proprie mansioni è autorizzato con atto scritto a trattare dati personali, si sia impegnato alla riservatezza nonché sia in possesso di apposita formazione;

– nominare il Responsabile della protezione dei dati, insieme al Titolare del trattamento e coinvolgerlo nelle questioni relative al trattamento di dati personali e fornirgli le risorse necessarie per lo svolgimento dei suoi compiti;

– riferire al Titolare del trattamento ogni violazione di dati personali di cui viene a conoscenza senza ritardo ed assisterlo nel procedimento di notifica al Garante ai sensi del successivo art. 37;

– fornire assistenza al Titolare del trattamento per le comunicazioni all’interessato di violazione dei dati personali ai sensi del successivo art. 38;

–             collaborare alla gestione del registro delle attività di trattamento del Comune come da successivo art. 16.

gestire il registro delle categorie di attività svolte per conto del Titolare del trattamento, qualora non siadotti un registro unico;

– collaborare alle richieste di accesso, di limitazione ed opposizione degli interessati relative a trattamenti di dati personali;

– attuare, insieme al Titolare del trattamento, misure organizzative e tecniche adeguate per garantire il livello di sicurezza come da successivo art. 30, nonché alla procedura di valutazione di impatto sulla protezione dei dati (D.P.I.A).

Art. 6

Sub-responsabili del trattamento

• Il Responsabile del trattamento è autorizzato a nominare sub-responsabili del trattamento persettori. specifici con determina che:

– individua e delimita specificatamente l’ambito del trattamento consentito, contiene specifiche istruzionied individua le competenze del sub-responsabiIe tra le quali in particolare:

• la comunicazione agli interessati dell’informativa relativa al trattamento dei dati e alla loro diffusione;
• la collaborazione alle richieste di accesso, di limitazione ed opposizione degli interessati relative atrattamenti di dati personali effettuati dal settore/ufficio di propria competenza.

2. La nomina va comunicata al Sindaco cui va anche informato di ogni variazione o sostituzione disub-responsabìli di trattamento.
3. I sub-responsabili operano sotto la diretta responsabilità del proprio Responsabile che li ha

nominati; in caso di loro inadempimento risponde verso il Comune il Responsabile di trattamento di riferimento. Sub·responsabili sono i dipendenti Responsabili di Settore e di Servizi, autorizzati per iscritto, con precise istruzioni cui devono scrupolosamente attenersi. a trattare dati per r espletamento delle proprie mansioni

Art. 7

Responsabili esterni di trattamento

1. Il Titolare può avvalersi. per il trattamento di dati, anche sensibili, di soggetti pubblici o privati che. in qualità di responsabili del trattamento, stipulando atti giuridici in forma scritta. che specificano la finalità perseguita. la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del Responsabile del trattamento e le modalità di trattamento.
2. A tali Responsabili esterni si applicano le disposizioni deIl’articolo 5 in quanto compatibili.

Art. 8

Responsabile della protezione dei dati

1. Il Titolare del trattamento dei dati può nominare con proprio provvedimento motivato il

Responsabile della protezione dei dati (R.P.D.) tra le professionalità interne all’Ente laddove presenti. Deve essere una figura dirigenziale interna all’ente locale che ha conoscenza o comunque formata sulla disciplina della protezione dei dati e che è in posizione di autonomia nei confronti del Titolare del trattamento. Il responsabile della protezione dei dati può assumere altre competenze interne all’Ente che non generino conflitti di interesse con il suo ruolo principale. In particolare la sua figura è incompatibile con quella del Segretario comunale e del Responsabile anticorruzione laddove non coincidono. Nel caso sia una figura interna, la qualifica non deve essere inferiore alla categoria D.

2. Laddove all’interno dell’Ente non vi siano figure professionali che possano ricoprire tale ruolo,il Titolare del trattamento dei dati può nominare con procedura ad evidenza pubblica un soggetto esterno in qualità di Responsabile della protezione dei dati, esperto sulla materia che agisce in posizione di autonomia rispetto al Titolare del trattamento e non ha ulteriori incarichi nell’Ente che possano dare adito a conflitti di interesse. Il Responsabile svolge le competenze espressamente attribuite con apposito contratto dì servizi.
3. TI Comune può nominare un unico soggetto esterno mediante esercizio associato delle funzioni ai sensi del Tuel.
4. Il Responsabile della protezione è tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti; egli riferisce direttamente al Sindaco o suo delegato o al Responsabile di trattamento.
5. Il Titolare del trattamento ed il Responsabile del trattamento forniscono al Responsabile della protezione dei dati le risorse organizzative e finanziarie necessarie per assolvere i propri compiti. Ancheconsiderando l’attuazione delle attività nell’ambito della programmazione operative del DUP. e del bilancio.
6. La nomina del RPD va comunicata al Gaarante privacy ed a tutto il personale in modo che la sua resenza e le sue funzioni del Responsabile siano note a tutti i dipendenti.
7. Il nominativo nonché indirizzo Pec del RPD va pubblicato nel sito del Comune alla sezione

Amministrazione trasparente.

Art. 9

Competenze del Responsabile della protezione dei dati

L Il Responsabile della protezione dei dati va tempestivamente informato di tutte le questioni riguardanti la protezione dei dati personali e, nell’eseguire i propri compiti. considera i rischi inerenti al trattamento. tenuto conto della natura. dell’ambito di applicazione, del contesto e delle finalità del trattamento. In particolare:

– informa e fornisce consulenza al Titolare del trattamento o al Responsabile nonché agli altri dipendenti sub-responsabili ;

– verifica l’applicazione corretta della disciplina sul trattamento dei dati personali e del RGPO, ferma restandola responsabilità del Titolare e del Responsabile di trattamento: sorveglia le attribuzioni di responsabilità. Le attività di formazione e controllo effettuate dal Titolare e del Responsabile del trattamento:

– collabora in sede di audit nella mappatura dei processi e nella individuazione delle non conformità per le quali suggerisce misure correttive. Successivamente sovrintende i monitoraggi periodici delle soluzioni adottate per verificare la necessità di eventuali riesami o sostituzione delle misure, ai sensi dei successivi artt. 33-35;fornisce ai sensi dell’art. 27 il parere sulla necessità di procedere alla valutazione di impatto sulla protezione dei dati personali;

– funge da tramite con il Garante per la consultazione preventiva ai sensi dell’art. 29, in caso residuino rischi elevati in un trattamento, dopo l’adozione della valutazione di impatto sulla protezione dei dati personali

– fornisce parere al Titolare de! trattamento in caso di violazione dei dati personali per la valutazione della gravità del data breach.

Eventuali altri compiti attribuiti dal Titolare come per es. la tenuta del registro di trattamento che non origino conflitti di interesse.

2. Il Responsabile esprime parere non vincolante; l’eventuale adozione di condotta difforme da quella da lui suggerita va motivata.
3. Il RPD opera in posizione di autonomia nello svolgimento dei compiti allo stesso attribuiti; non deve ricevere istruzioni in merito al loro svolgimento né sull’interpretazione da dare a una specifica questione attinente alla normativa in materia di protezione dei dati. Il RPD non può essere rimosso o penalizzato dal Titolare e dal Responsabile del trattamento per l’adempimento dei propri compiti.

TITOLO III

 

TRATTAMENTO DEI DA TI PERSONALI

Art. l0

Trattamento dati particolari

1. Gli uffici del Comune di Monterosso Almo trattano i dati particolari, sensibili ai sensi dell’art. 9RGPD, che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche,l’appartenenza sindacale. nonché dati genetici, biometrici. relativi alla salute. alla vita sessuale ed i dati giudiziari:

– per motivi di interesse pubblico rilevante come specificati nel successivo art. 12;

– per un interesse vitale dell’interessato o di altra persona fisica qualora l’interessato si trovi nell’ incapacità fisica o giuridica di prestare il proprio consenso;

– se l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati per una o più finalità specifiche; .

– per diritti dell’interessato in materia di diritto dei lavoro e sicurezza sociale e protezione sociale autorizzato da norma di legge o contratto collettivo;

– il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;

– il trattamento è necessario ai fini di archiviazione nel pubblico interesse di ricerca scientifica o storica o a fini statistici ed è proporzionato alla finalità perseguita;

2. In tutti i casi indicati vanno sempre previste misure di garanzia appropriate e specifiche per tutelarei diritti fondamentali e gli interessati. A tal fine si applicano le misure di sicurezza previste nei successivi artt. 26 e ss .
3. I dati particolari riguardanti lo stato di salute non devono essere divulgati.

Art. Il

Principi del trattamento dei dati particolari e giudiziari

1. l dati particolari di cui all’articolo precedente sono trattati sempre nel rispetto dei principi indicati nell’art 2, ovvero devono essere esatti, pertinenti, non eccedenti ed indispensabili rispetto alle finalità perseguite e sono aggiornati periodicamente.
2. I raffronti e le interconnessioni con altre informazioni sensibili e giudiziarie detenute dal Comune sono consentite soltanto previa verifica della loro stretta indispensabilità nei singoli casi ed indicazione scritta dei motivi che ne giustificano l’effettuazione. Lo stesso vale se le predette operazioni sono effettuate utilizzando banche dati di diversi titolari del trattamento, nonché la diffusione di dati sensibili e giudiziari,sono ammesse esclusivamente previa verifica nel rispetto dei limiti e con le modalità stabiliti dalle disposizioni legislative che le prevedono.
3. Sono inutilizzabili i dati trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali. AI presente regolamento sono direttamente indicate le schede per il trattamento dei dati particolari, sensibili e giudiziari come individuate dal Garante.
4. Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell ‘Unione o dello Stato che preveda garanzie appropriate per i diritti e le libertà degli interessati.

Art. 12

lndividuazione di interesse pubblico rilevante

I trattamenti di interesse pubblico rilevante effettuati dal Comune di Monterosso Almo sono

seguenti:

STATO CIVILE, ANAGRAFE E LISTE ELETTORALI

Sono considerate di rilevante interesse pubblico i trattamenti dei dati relativi alla tenuta degli atti e deiregistri dello stato civile. dell’anagrafe sia dei residenti in Italia che degli italiani all’estero, nonché delleliste elettorali.

CITT ADINANZA, IEMIGRAZIONE E CONDIZIONE DELLO STRANIERO

Sono considerate di rilevante interesse pubblico i trattaménti dei dati e le attività dirette all’applicazione della disciplina in materia di cittadinanza, di immigrazione, di asilo, di condizione dello straniero e di profugo e sullo stato di rifugiato. In particolare è ammesso il trattamento dei dati strettamente necessari per l’adozione di talune tipologie di atti e provvedimenti (rilascio di visti, permessi, attestazioni,autorizzazioni e documenti anche sanitari).

ESERCIZIO DEI DIRITTI POLITICI E PUBBLICITÀ DELL’ ATTIVlTÀ DI DETERMINATI ORGANI

Sono considerate di rilevante interesse pubblico le attività finalizzate all’applicazione della disciplina in materia di elettorato attivo e passivo e di esercizio di altri diritti politici, nonché dirette all’esercizio del mandato degli organi rappresentativi. Sono altresì rilevanti le attività finalizzate all’applicazione della disciplina relativa alla documentazione dell’attività istituzionale degli organi pubblici.

RAPPORTI DI LAVORO’

Sono considerate di rilevante interesse pubblico le attività finalizzate all’instaurazione ed allagestione dei rapporti di lavoro sia in ordine all’espletamento degli adempimenti previsti in relazione altrattamento economico e giuridico, sia in materia sindacale che di igiene e sicurezza del lavoro.

MATERIA TRIBUTARIA

Sono considerate di rilevante interesse pubblico le attività dirette all’applicazione anche tramite i concessionari del servizio delle disposizioni in materia di tributi, in relazione ai contribuenti, ai sostituti e ai Responsabili d’imposta, nonché in materia di deduzioni e detrazioni.

BENEFICI ECONOMICI ED ABILITAZIONI

. Sono considerate di rilevante interesse pubblico le attività finalizzate all’applicazione della disciplina in materia di benefici economici agevolazioni, elargizioni, altri emolumenti ed abilitazioni. Tra questi sono espressamente ricompresi i trattamenti necessari alle comunicazioni, alle certificazioni ed alle informazioni previste dalla normativa antimafia. quelli relativi all’applicazione in materia di usura ed antiracket, nonché quelli necessari al rilascio di licenze e autorizzazioni.

VOLONTARiATO E SERVIZI SOCIALI

Sono considerate di rilevante interesse pubblico le attività finalizzate all’applicazione della disciplina in materia di rapporti con le organizzazioni di volontariato, nella specie per quanto concerne l’erogazione di contributi. nonché:

– interventi di sostegno psico-sociale e di formazione in favore di giovani o di altri soggetti che versano in condizioni di disagio sociale, economico o familiare;

– interventi anche di rilievo sanitario in favore di soggetti bisognosi o non autosufficienti o incapaci, ivi compresi ì servizi di assistenza economica o domiciliare, di telesoccorso, accompagnamento e trasporto;

– assistenza nei confronti di minori, anche in relazione a vicende giudiziarie.

ATTIVITÀ DI PREDISPOSIZIONE DI ELEMENTI DI TUTELA IN SEDE AMMIINISTRATIVA O GIURISDIZIONALE

 

Sono di rilevante interesse pubblico i trattamenti di dati effettuati in conformità di leggi o di

regolamenti per l’applicazione della disciplina sull’accesso ai documenti amministrativi.

RAPPORTI CON ENTI DI CULTO

Sono considerati di rilevante interesse pubblico i trattamenti strettamente necessari allo svolgimento dei rapporti istituzionali con gli enti di culto, con le confessioni e le comunità religiose.

Art. 13

Pubblicazione web per obblighi di trasparenza

Il  Comune di Monterosso Almo effettua il trattamento di dati personali, contenuti in atti e documenti amministrativi, che devono essere pubblicati sul web per obblighi di trasparenza previsti dal D.Lgs. n. 33/2013.

2. I documenti di cui al comma 1 sono pubblicati tempestivamente sul sito istituzionale dell’amministrazione e vanno mantenuti aggiornati.
3. Non possono essere resi intellegibili i dati non necessari, eccedenti o non pertinenti con la finalità di pubblicazione.
4. I dati particolari idonei a rivelare origine razziale ed etnica, convinzioni religiose, filosofiche o di altro genere. opinioni politiche, adesione a partiti, sindacati, associazioni e organizzazioni a carattere filosofico, politico o sindacale possono essere diffusi solo se indispensabili; i dati particolari relativi alla vita sessuale non possono essere diffusi per finalità di trasparenza.
5. I dati particolari idonei a rivelare lo stato di salute non devono essere diffusi.
6. I dati vanno pubblicati in formato di tipo aperto ai sensi dell’art. 68, D.Lgs. n. 8212005 e sono liberamente riutilizzabili secondo la normativa vigente. I dati personali diversi dai dati sensibili e dai dati giudiziari, possono essere diffusi attraverso siti istituzionali. nonché trattati secondo modalità che ne consentono la indicizzazione e la rintracciabilità tramite i motori dif di ricerca web.
7. I dati, le informazioni e i documenti di cui al comma 1sono pubblicati per un periodo di 5 anni, decorrenti dal 1° gennaio dell’anno successivo a quello dell’obbligo di pubblicazione.
8. Deroghe alla predetta durata temporale quinquennale sono previste:
9. a) nel caso in cui gli atti producono ancora i loro effetti alla scadenza dei cinque anni, con la conseguenza che gli stessi devono rimanere pubblicati fino alla cessazione della produzione degli effetti;
10. b) per alcuni dati e informazioni riguardanti i titolari di incarichi politici, di carattere elettivo o comunque di esercizio di poteri di indirizzo politico, di livello statale regionale e locale ai sensi dell’art. 14, comma2, D.Lgs. n. 33/2013 e i titolari di incarichi dirigenziali e di collaborazione o consulenza che devono rimanere pubblicati online per i tre anni successivi dalla cessazione del mandato o dell’incarico ai sensi dell’art. 15, comma 4. D.lgs. n. 33/2013;
11. c) nel caso in cui siano previsti diversi termini dalla normativa in materia di trattamento dei dati personali.
12. I dati personali devono essere conservati, in ogni caso. per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati; l’interessato ha sempre diritto di ottenere la cancellazione dei dati personali di cui non è necessaria la conservazione in relazione agli scopi per i quali sono stati raccolti o successivamente trattati.

Art. 14

Pertinenza delle informazioni contenenti dati personali

1. Non possono essere disposti filtri e altre soluzioni tecniche atte ad impedire ai motori di ricerca web di indicizzare ed effettuare ricerche all’interno della sezione “Amministrazione trasparente”.
2. Qualora i dati personali contenuti nei documenti non siano pertinenti o siano eccedenti rispetto all’interesse manifestato dal richiedente nell’istanza di ostensione, al fine di salvaguardare la riservatezza di terzi. l’accesso agli atti può essere limitato. su valutazione del Responsabile del procedimento, mediante l’occultamento di alcuni contenuti.

Art, 15

Trattamento dei dati personali effettuato , con I sistemi di videosorveglianza

Il trattamento dei dati personali effettuato mediante l’uso di sistemi di videosorveglianza richiede apposita informativa agli interessati e questa può essere rilasciata in forma semplificata come indicato al successivo art. 24.

2. Per finalità di tutela della sicurezza urbana, la durata della conservazione dei dati è limitato “ai sette giorni successivi alla rilevazione delle informazioni e delle immagini raccolte mediante l’uso di sistemi di videosorveglianza, fatte salve speciali esigenze di ulteriore conservazione in conformità dell’art.6. co. 9, D.L. n. 11/2009. Tempi di durata maggiore della conservazione dei dati necessitano di richiesta al Garante adeguatamente motivata con riferimento ad una specifica esigenza di sicurezza perseguita, in relazione a concrete situazioni di rischio riguardanti eventi realmente incombenti (es. collaborazione con l’ autorità giudiziaria o dalla polizia giudiziaria in relazione ad un’ attività investigativa in corso).
3. Ai dati raccolti mediante sistemi di videosorveglianza, vanno applicate misure di sicurezza adeguate ai sensi del successivo art. 33.

Art. 16

Registro del trattamento

Il Titolare del trattamento istituisce e tiene aggiornato, in forma scritta ed in formato elettronico tramite il Responsabile del trattamento un registro delle attività di trattamento svolte sotto la propria responsabilità.

2. Il Registro privacy del Titolare del trattamento deve contenere almeno le seguenti informazioni:

– estremi identificativi e di contatto del Comune;

– estremi identificativi e di contatto Responsabile della protezione dei dati;

– finalità del trattamento:

– descrizione delle categorie di interessati;

– descrizione delle categorie di dati personali;

– categorie di destinatari a cui i dati personali sono stati o saranno comunicati;

– eventuali trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale con documentazione delle garanzie in materia di privacy;

– termini ultimi previsti per la cancellazione delle diverse categorie di dati;

– descrizione generale delle misure di sicurezza tecniche e organizzative adottate.

3. In caso di richiesta del Garante, il Registro privacy è messo immediatamente a disposizione.
4. In caso di adozione del Registro della categoria per i vari Responsabili di trattamento, tale Registro reca le seguenti informazioni: .
5. a) il nome ed i dati di contatto del Responsabile del trattamento e del RPD;
6. b) le categorie di trattamenti effettuati da ciascun Responsabile: raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica, estrazione, consultazione, uso, comunicazione,raffronto, interconnessione, limitazione, cancellazione, distruzione, profilazione, pseudonimizzazione,ogni altra operazione applicata a dati personali
7. c) l’eventuale trasferimento di dati personali verso un paese terzo od una organizzazione internazionale;
8. d) il richiamo alle misure di sicurezza tecniche ed organizzative del trattamento adottate,

Il Registro é tenuto dal Responsabile del trattamento o dal RPD, sotto la propria responsabilità: la modalità di scelta sarà effettuata di concerto tra il Titolare del trattamento, il Responsabile del trattamento e il RPD.

TITOLO IV

DIRITTI DELL’INTERESSATO

Art. 17

Diritto di Accesso ed alla portabilità dei dati

1. L’interessato ha sempre diritto di ottenere dal Titolare del trattamento la conferma che sia in corso un trattamento dei dati personali che lo riguardano, di averne accesso e di acquisire le seguenti informazioni:
2. a) finalità del trattamento;
3. b) categoria di dati trattati;
4. c) i destinatari a cui i dati personali sono comunicati;
5. d) il periodo di conservazione dei dati previsto o, se non è possibile, i criteri utilizzati per determinare tale periodo;
6. e) l’esistenza del proprio diritto a richiedere la rettifica o cancellazione del dato o la limitazione dei dati o di opporsi al loro trattamento;

1) l’esistenza di un processo automatizzato e della profilazione dei dati nonché informazioni sulla logica utilizzata.

2. La richiesta va inoltrata in forma scritta dall’interessato senza particolari formalità; in caso sia inoltrata con mezzi elettronici, salvo contraria indicazione dell’interessato, le informazioni sono fomite in formato elettronico di uso comune. Il Titolare del trattamento deve fornire risposta entro 30 giorni dal ricevimento della richiesta; tale termine può essere prorogato di due mesi in casi dì particolari complessità ma in tal caso, l’interessato va avvisato del differimento entro un mese dall’istanza.
3. Il Responsabile del trattamento ed i sub-responsabili come individuati dall’art. 6. sono tenuti a collaborare per la verifica della sussistenza del diritto chiedendo informazioni all’interessato, anche al se necessarie, anche al fine di identificarlo e. successivamente, per consentire l’esercizio del diritto in caso di riscontro favorevole. In tale ipotesi, va rilasciata copia del documento richiesto.
4. li rilascio della copia è gratuito: in caso di richiesta di copie ulteriori il rilascio può essere

subordinato ai pagamento di un contributo per costi amministrativi.

5. Il diritto alla portabilità dei dati di cui all’articolo 20 del R.G.P.D. non si applica ai trattamenti svolti dal Comune necessari per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito lo stesso ente.

Art. 18

Diritto di limitazione

1. L’interessato, previa richiesta scritta, ha diritto ad ottenere la limitazione del trattamento:

– in caso sia contestata l’esattezza dei dati personali, per il periodo necessario alla verifica da parte del Comune;

– in caso di trattamento illecito. se si oppone alla cancellazione dei dati chiedendo invece che ne sia limitato l’utilizzo;

– in caso di esercizio di opposizione nell’attesa della verifica dei presupposti del relativo diritto.

2. Il Titolare del trattamento deve fornire risposta entro 30 giorni dal ricevimento della richiesta; tale termine può essere prorogato di due mesi in casi di particolari complessità ma in tal caso, l’interessato va avvisato del differimento entro un mese dall’istanza.
3. Il Responsabile del trattamento ed i sub~responsabilì come individuati dall’art. 6. sono tenuti a collaborare per la verifica della sussistenza del diritto chiedendo informazioni all’interessato. se necessarie,anche al fine di identificarlo e, successivamente. per consentire l’esercizio del diritto in caso di riscontro favorevole.
4. In caso di riscontro favorevole va comunicato all’interessato che ha ottenuto la limitazione del trattamento, senza ritardo e prima che la limitazione sia revocata nei casi I e 3. Vanno altresì avvisati i destinatari della limitazione dei dati, salvo ciò non sia impossibile o richieda uno sforzo sproporzionato.

Art. 19

Diritto all’oblio

1. L’interessato ha diritto a chiedere previa richiesta scritta, al Titolare del trattamento la

cancellazione dei dati personali che lo riguardano:

– se non sono più necessari per le finalità per le quali sono stati raccolti o trattati;

– se si oppone al trattamento e non sussiste motivo legittimo prevalente per procedere al trattamento;

– se i dati sono illecitamente trattati.

2. Il Titolare del trattamento deve fornire risposta entro 30 giorni dal ricevimento della richiesta; tale termine può essere prorogato di due mesi in casi di particolari complessità ma in tal caso, l’interessato va avvisato del differimento entro un mese dall’istanza.
3. Il Responsabile del trattamento ed i sub-responsabili come individuati dall’art. 6, sono tenuti a collaborare per la verifica della sussistenza del diritto chiedendo informazioni all’interessato, se necessarie,anche al fine di identificarlo e, successivamente. per consentire l’esercizio del diritto in caso di riscontro favorevole.
4. Nel caso in cui i dati siano stati diffusi pubblicamente anche su siti web, il Titolare del trattamento,tenendo conto dei costi di attuazione, è tenuto ad informare altri titolari che trattano i medesimi dati, della richiesta di cancellazione di qualsiasi link, copia o riproduzione.
5. Nel caso in cui i dati non siano diffusi pubblicamente e su siti web il Titolare del trattamento è tenuto ad avvisare i destinatari della cancellazione dei dati, salvo ciò non sia impossibile o richieda uno sforzo sproporzionato.

 

Art. 20

Diritto alla rettifica dei dati

1. L’interessato ha diritto a chiedere previa richiesta scritta la rettifica da parte del Comune, senza ingiustificato ritardo, dei dati personali inesatti che lo riguardano. La rettifica include anche la possibile integrazione dei dati avuto riguardo alla finalità del trattamento.
2. TI Titolare del trattamento deve fornire risposta entro 30 giorni dal ricevimento della richiesta; tale termine può essere prorogato di due mesi in casi di particolari complessità ma in tal caso, l’interessato va avvisato del differimento entro un mese dall’istanza.
3. Il Responsabile del trattamento ed i sub-responsabili come individuati dall’art. 6, sono tenuti a collaborare per la verifica della sussistenza del diritto chiedendo informazioni all’interessato. anche al se necessarie, anche al fine di identificarlo e, successivamente, per dare seguito all’esercizio del diritto dell’interessato.

Art. 21

Diritto di opposizione

1. L’interessato può presentare per iscritto richiesta di opposizione al trattamento dei dati personali che lo riguardano per motivi connessi alla sua situazione particolare, inclusa la profilazione.
2. Il Titolare del trattamento entro trenta giorni fornisce risposta all’interessato a seguito della valutazione della situazione: è consentito l’esercizio del diritto se non esistano comprovati motivi basati su norma di legge per procedere al trattamento prevalenti sugli interessi del richiedente o se si tratta di esercizio o accertamento di un diritto in sede giudiziaria.
3. II termine di cui al precedente comma può essere prorogato di due mesi nei casi di particolari complessità ma in tal caso. l’interessato va avvisato del differimento entro un mese dall’istanza.

4.Il Responsabile del trattamento ed i sub-responsabili come individuati dall’art. 6, sono tenuti a collaborare nel procedimento interno di verifica dei presupposti del diritto di opposizione.

5. In ogni comunicazione all’interessato deve essere inserito ravviso in modo chiaro e separato dal restante contenuto deIl’ atto che questi può esercitare il diritto all’opposizione.

Art. 22

Obbligo di informativa

1. Prima che inizi qualunque trattamento di dati personali il Titolare del trattamento fornisce all’interessato le informazioni necessarie per consentirgli l’esercizio dei propri diritti.
2. L’informativa privacy deve essere fornita per iscritto in formato cartaceo o elettronico, o qualora l’interessato lo richieda espressamente, anche oralmente, previa verifica dell’identità dell’interessato.
3. Essa va effettuata:

– in caso di dati personali raccolti presso l’interessato prima dell’inizio del trattamento, nel momento della raccolta dei dati;

– in caso di dati personali non ottenuti presso l’interessato:

• entro un termine ragionevole, massimo di un mese dalla raccolta (non registrazione) dei dati;
• nel caso in cui i dati vadano comunicati all’interessato alla prima comunicazione;
• se i dati personali devono essere comunicati ad un altro destinatario, non oltre la prima comunicazione.

4. Non è necessario fornire l’informativa:

– nel caso in cui l’interessato disponga già di tutte le informazioni necessarie:

– nel caso in cui la comunicazione risulta impossibile o implicherebbe uno sforzo sproporzionato; in particolare per il trattamento ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici. In tali casi il Titolare del trattamento adotta misure comunque appropriate per tutelare i diritti dell’interessato anche con pubbliche informazioni.

5. In presenza di un obbligo di legge che impone la riservatezza e segretezza dei dati personali.

Art. 23

Contenuto dell’informativa

1.L’informativa è gratuita e deve essere sintetica presentare un linguaggio chiaro e semplice ed essere in ogni caso comprensibile per l’interessato. ,

2. Essa presenta il seguente contenuto:

– indicazione del Comune Titolare del trattamento e del Responsabile del trattamento;

– indicazione del Responsabile della protezione dei dati;

– indicazione di ogni finalità istituzionale di trattamento e della norma giuridica di riferimento;

– indicazione di finalità aventi fondamento in contratto o in richiesta dell’interessato;

– indicazione delle modalità di trattamento distinte anche in base all’ufficio del Comune che lo effettua evidenziando se sia un trattamento automatizzato (con eventuale possibilità di profilazione e della sua logica) o se sia un trattamento cartaceo;

– indicazione dei destinatari;

– il periodo di conservazione dei dati personali e, se non è previsto da norma di legge. il criterio utilizzato dal Titolare per la durata del trattamento;

– l’indicazione dei diritti che l’interessato può esercitare, ovvero: accesso, integrazione e rettifica, eventuale revoca, portabilità, oblio opposizione e reclamo;

– le conseguenze in caso di rifiuto del trattamento o di omessa comunicazione di dati.

3, Il Titolare del trattamento può di volta in volta aggiungere ogni ulteriore informazione che si ritiene necessaria al caso concreto.

Art. 24

Informativa per utilizzo di sistemi di videosorveglianza

1. Nel caso di utilizzo di sistemi di videosorveglianza per finalità di sicurezza urbana. gli interessati devono essere sempre informati che stanno per accedere in una zona videosorvegliata; ciò anche nei casi di eventi e in occasione di spettacoli pubblici (es. concerti, manifestazioni sportive).
2. A tal fine può essere utilizzato un modello di informativa semplificata (all. 1) che poi rinvii a un testo contenente tutti gli elementi completi di cui all’articolo precedente, disponibile agevolmente senza oneri per gli interessati, sia nel sito internet del! ‘amministrazione comunale sia affisso nella sede della polizia municipale.
3. In ogni caso il Titolare, anche per il tramite di un incaricato, ove richiesto è tenuto a fornire anche oralmente un’informativa adeguata, contenente gli elementi individuati dall’articolo precedente.
4. II supporto con l’informativa:

– deve essere collocato prima del raggio di azione della telecamera, anche nelle sue immediate vicinanze e non necessariamente a contatto con gli impianti;

– deve avere un formato ed un posizionamento tale da essere chiaramente visibile in ogni condizione di illuminazione ambientale, anche quando il sistema di videosorveglianza sia eventualmente attivo in orario notturno;

– può inglobare un simbolo o una stilìzzazione di esplicita e immediata comprensione, eventualmente diversificati al fine di informare se le immagini sono solo visionate o anche registrate.

Art. 25

Consenso

1. Il consenso al trattamento dei dati non è richiesto al Comune di Monterosso Almo in quanto pubblica amministrazione se agisce per finalità istituzionali.
2. Il consenso può essere richiesto se il Comune agisce per specifiche finalità diverse da quelle istituzionali ai sensi dell’art. l, comma I. letto e). in tal caso il Titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il.proprio consenso.
3. la richiesta di consenso deve essere comprensibile, facilmente accessibile, chiara e semplice.
4. Il consenso può essere revocato ed in tal caso la revoca non pregiudica la liceità del trattamento già effettuato.

TITOLO VI

MISURE DI SICUREZZA

Art. 26

Misure di sicurezza  preventive

1. Il Comune di Monterosso Almo deve adottare misure che soddisfino la protezione dei dati fin dalla progettazione e della protezione dei dati di default; .ovvero, mette in atto misure tecniche ed organizzative adeguate sia prima del trattamento, sia nell’atto del trattamento stesso indicate nel presente titolo.
2. Il Comune di Monterosso Almo, in particolare:

– utilizza le tecnìche di pseudonimizzazione dei dati personali;

tratta i soli dati necessari per ogni specifica finalità al fine di garantire la massima protezione dei dati attraverso il loro minimo trattamento;

– custodisce e controlla i dati personali in modo da ridurre al minimo, mediante l’adozione di misure di sicurezza preventive, i rischi di distruzione, perdita, anche accidentale, de dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità pubbliche di raccolta;

– provvede a formare il personale sugli obblighi in materia di protezione dei dati personali in relazione alle specifiche competenze rivestite dai singoli dipendenti e dai rispettivi uffici in cui sono inseriti.

3. II Comune favorisce l’adesione ai codici di condotta elaborati dalle associazioni e dagli organismi di categoria rappresentativi, ovvero a meccanismi di certificazione della protezione dei dati approvati, per contribuire alla corretta applicazione del RGPD e per dimostrarne il concreto rispetto da parte del Titolare e dei Responsabili del trattamento.

Art. 27

D.P.I.A.

1. Oltre le misure preventive di cui all’articolo precedente. il Comune dr Monterosso Almo quando un trattamento presenta a seguito di analisi, rischi elevati per i diritti e le libertà degli interessati, procede alla valutazione di impano sulla protezione dei dati (D.P.I.A.).
2. La D.P.l.A. può riguardare una singola operazione di trattamento o due o più trattamenti simili che presentano rischi elevati analoghi.
3. Ricorrono rischi elevati ai sensi dell’art. 35, par. 3, lett. a)- c:) Reg. UE 679/2016 in presenza di una valutazione sistematica di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione e sulle quali si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su tali persone fisiche;

– trattamento su larga scala. di categorie particolari di dati che rivelano l’origine razziale o etnica, le opinioni politiche. le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici,relativi aifa (salute, alla vita sessuale o condanne penali, a reati e misure di sicurezza;

– sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

4. In caso ricorra uno dei tre indici di cui al comma precedente il Comune di Monterosso Almo deve procedere nella D.P.I.A.
5. Il Comune altresì redige una valutazione di impatto del rischio se ricorrono due dei seguenti indici fomiti dal Garante:

– valutazione o assegnazione di un punteggio inclusiva di profilazione, in particolare in considerazione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute. le preferenze o gli interessi. personali, l’affidabilità o il comportamento, l’ubìcazione o gli. spostamenti dell’interessato;

– dati sensibili o di carattere altamente personale;

– trattamento di dati su larga scala;

– creazione di corrispondenze o combinazione di insiemi di dati;

– dati relativi a interessati vulnerabili considerato lo squilibrio di potere tra gli interessati ed il Comune;

– uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative quando il trattamento in sé impedisce agli interessati di esercitare un diritto o di avvalersi dì un servizio o di un contratto.

6. Il Titolare se lo ritiene opportuno può procedere anche alla D.P.LA. in caso ricorra anche uno solo dei requisiti sopra indicati e può individuare anche altri criteri di riscontro del rischio elevato in base alla specifica circostanza.

Art. 28

Procedimento

1. Qualora ricorra un rischio elevato il Titolare del trattamento, chiede il parere del Responsabile della Protezione dei dati e, se lo ritiene opportuno, degli stessi interessati.
2. La D.P.I.A. deve presentare il seguente contenuto minimo:

 

– una descrizione dei trattamenti previsti e delle fìnalità del trattamento;

– una valutazione della necessità e proporzionalità dei trattamenti;

– una valutazione dei rischi per i diritti e le libertà degli interessati;

– le misure previste per affrontare i rischi.

 

3. La D.P.I.A. può essere effettuata anche dal Responsabile del trattamento ma la Responsabilità finale è del Titolare del trattamento.
4. In caso la D.P.I.A. non riesca a trattare in maniera sufficiente i rischi individuati, per quelli residui va effettuata, per tramite del Responsabile della protezione dei dati, la consultazione del Garante.

Art. 29

Consultazione preventiva del Garante della pricacy

1. Nei casi in cui si è proceduto nella valutazione di impatto sulla protezione dei dati ed è emerso che il Comune non riesce a trattare in maniera sufficiente tutti i rischi elevati, poiché ne restano ancora alcuni per questi ultimi residui, va consultato preventivamente il Garante per la privacy.
2. Il Comune di Monterosso Almo tramite il Responsabile della protezione dei dati ai sensi degli artt.36 e 39, par. 1, lett. e), Regolamento UE n. 679/2016, invia richiesta di consultazione al Garante comunicando:

– i dati dell’ente locale in quanto Titolare del trattamento ed i propri dati in quanto punto di contatto e referente per la consultazione;

– le finalità ed i mezzi di trattamento previsti;

– le misure di garanzia previste per proteggere i diritti e le libertà fondamentali degli interessati;

– la valutazione di impatto sulla protezione dei dati in versione completa;

– ogni altra informazione ritenuta necessaria.

. 3. Il Garante formula parere .scritto entro otto settimane dal ricevimento della richiesta di consultazione nel caso in cui ritenga che il trattamento comunicato violi le norme sulla protezione dei dati ed in particolare qualora ritenga che il Comune non abbia sufficientemente attenuato o identificato il rischio. In base alla complessità del trattamento previsto il Garante può prorogare la sua risposta di un termine aggiuntivo di sei settimane informando il Responsabile della protezione dì;:i dati, entro un mese dal

ricevimento della richiesta di consultazione.

4. In caso sia necessario il Garante può richiedere al Responsabile della protezione dei dati informazioni aggiuntive a quelle già comunicate e può sospendere la decorrenza dei termini di cui al comma 3 in attesa della loro trasmissione.
5. In assenza di parere espresso del Garante entro le otto settimane dal ricevimento della richiesta di. consultazione, il Comune può procedere nel trattamento dei dati.

Art. 30

Misure  di sicurezza minime per trattamenti con strumenti elettronici ed informatici

1. Il Titolare del trattamento insieme al Responsabile della sicurezza ed al Responsabile della Protezione dei dati, controlla le banche dati organizzate in archivi elettronici e fornisce a tutto il personale che le utilizza direttive per garantire che le operazioni informatiche di trattamento siano svolte senza rischi per gli interessati. In particolare vengono adottate le seguenti misure di sicurezza:

– attribuzione agli incaricati di codici identificativi (parola chiave) composti di almeno otto caratteri, oppure, nel caso lo strumento elettronico non lo consenta. da un numero di caratteri pari al massimo consentito;

–  modifica della parola chiave da parte dell’incaricato al primo utilizzo e successivamente. almeno ogni sei mesi:

– disattivazione dei codici identificativi in caso di perdita della qualità degli stessi o di mancato utilizzo per

un periodo superiore a sei mesi;

– protezione degli elaboratori contro i rischi di intrusioni, mediante {“utilizzo di appositi programmi:

– verifica dell’efficacia e dell’aggiornamento del software antivirus, almeno con cadenza trimestrale;

– distruzione dei supporti di memorizzazione nel caso non siano riutilizzabili;

– applicazione di tecniche di pseudonimizzazione ai dati personali trattati;

– sistemi antintrusioni e di protezione (firewall, antivirus ecc.), misure antincendio;

– sistemi di copiatura e conservazione di archivi elettronici, misure idonee a ripristinare tempestivamente la disponibilità e l’accesso ai dati in caso di incidente fisico o tecnico.

2. Sono inoltre impartite con circolari interne le istruzioni agli incaricati per non lasciare incustodito ed accessibile il proprio strumento elettronico durante una sessione di trattamento.
3. In caso di avvilimento di soggetti esterni per l’adozione di misure di sicurezza, il Comune deve ricevere dall’installatore, per iscritto, la descrizione dell’intervento effettuato conforme alle misure disposte alla normativa sulla protezione dei dati personali.

 

Art. 31

Misure per trattamenti non automatizzati

1. Il Comune di Monterosso Almo fornisce istruzioni scritte agli incaricati anche per i trattamenti di dati personali effettuati senza l’ausilio di strumenti elettronici, in particolare, per il controllo e la custodia per intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali.
2. I documenti che contengano dati sensibili e giudiziari, sono controllati fino alla restituzione in modo che non accedano ad essi persone prive di autorizzazione. e sono restituiti al termine delle operazioni affidate.
3. L’accesso agli archivi contenenti dati sensibili o giudiziari è controllato.
4. Le persone ammesse, dopo l’orario di chiusura, sono identificate e registrate e se mancano strumenti elettronici di controllo degli accessi agli archivi, questi vanno preventivamente autorizzati.

Art. 32

Misure per dati raccolti con sistemi di videosorveglianza

1. I dati raccolti mediante sistemi di video sorveglianza devono essere protetti con idonee e preventive misure di sicurezza, riducendo al minimo ì rischi di distruzione, di perdita, anche accidentale, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, anche in relazione alla trasmissione delle immagini.
2. Occorre rispettare i principi di pertinenza e di non eccedenza, raccogliendo solo i dati strettamente necessari per il raggiungi mento delle finalità perseguite, registrando le sole immagini indispensabili, limitando l’angolo visuale delle riprese, evitando – quando non indispensabili – immagini dettagliate, ingrandite o dettagli non rilevanti, e stabilendo in modo conseguente la localizzazione delle telecamere e le modalità di ripresa.
3. Devono quindi essere adottate almeno le seguenti specifiche misure tecniche ed organizzative:

– in presenza di differenti competenze attribuite ai singoli operatori devono essere configurati diversi livelli di visibilità e trattamento delle immagini. Laddove tecnicamente possibile, in base alle caratteristiche dei sistemi utilizzati, ì predetti soggetti, designati incaricati o, eventualmente, Responsabili del trattamento, devono essere in possesso di credenziali di autenticazione che permettano di effettuare, a seconda dei compiti attribuiti ad ognuno, unicamente le operazioni di propria competenza;

– laddove i sistemi siano configurati per la registrazione e successiva conservazione delle immagini rilevate. deve essere attentamente limitata la possibilità, per i soggetti abilitati, di visionare non solo in sincronia con la ripresa, ma anche in tempo differito, le immagini registrate e di effettuare sulle medesime operazioni di cancellazione o duplicazione;

– nel caso di interventi derivanti da esigenze di manutenzione, occorre adottare specifiche cautele in particolare. i soggetti preposti alle predette operazioni possono accedere alle immagini solo se ciò si renda indispensabile al fine di effettuare eventuali verifiche tecniche ed in presenza dei soggetti dotati di credenziali di autenticazione abilitanti alla visione delle immagini.

– qualora si utilizzino apparati di ripresa digitali connessi a reti informatiche, gli apparati medesimi devono essere protetti contro i rischi di accesso abusivo.

4. Si devono fornire alle persone che possono essere riprese indicazioni chiare, anche se sintetiche, che avvertano della presenza di impianti di videosorveglianza predisponendo apposita informativa di cui all’art. 24 del presente regolamento nonché va determinato con precisione il periodo di eventuale conservazione delle immagini, prima della loro cancellazione ai sensi dell’art. 15 del presente regolamento.

Art. 33

Sistema e politica dì audit

1. Il Comune di Monterosso Almo mette in atto misure tecniche ed organizzative per garantire ed essere in grado di dimostrare che il trattamento dei dati personali è conforme al Regolamento UE 679/2016 e, a tal fine, adotta il procedimento di audit in conformità anche delle politiche della qualità.
2. Il Comune di Monterosso Almo tramite il Responsabile della protezione dei dati valuta, mediante audit. i processi interni all’ente locale per:

– verificare il grado di conformità del trattamento dei dati personali effettuato da tutti gli uffici alla normativa vigente;

– verificare che tutti i dipendenti osservino le regole per la liceità e la sicurezza del trattamento di dati personali;

– verificare l’efficacia di azioni correttive a seguito di “non conformità”.

3. Il processo consiste:

– in una prima mappatura delle possibili situazioni di rischio che si verificano nel Comune in base alla sua organizzazione interna, agli uffici ed al trattamento dei dati di ciascuno:

– nell’individuare situazioni di non conformità del trattamento agli standard minimi di sicurezza come anche previsti nel presente titolo;

– nel porre in essere azioni correttive.

4. Il processo del comma precedente, dopo la prima volta che è stato effettuato, si sviluppa in monitoraggi periodici di verifica dell’applicazione delle misure stabilite e nella sostituzione o riesame delle misure per il miglioramento dei trattamenti da parte dei vari uffici del Comune.

 

 

 

Art. 34

Procedimento di audit

1. Il Comune di Monterosso Almo, insieme al Responsabile della protezione dei dati procede nell’ audit concretamente mediante:

– somministrazione di questionari ed interviste dirette al Responsabile, ai sub~responsabili di trattamento ed agli incaricati;

– consultazione delle banche dati ed archivi informatici e cartacei del Comune;

2. A seguito dell’attività di cui al comma precedente. vengono analizzati i risultati emersi che possono consistere in:

– situazioni di conformità;

– raccomandazioni per il miglioramento;

– situazioni di non conformità.

3. Tali risultati vengono formalizzati in un rapporto di Audit che dà atto di tutte le fasi del procedimento svolto e fornisce al Comune l’indicazione delle eventuali azioni correttive da porre in essere.

Art. 35

Il Monitoraggio semestrale

1. Il Comune di Monterosso Almo tramite il Responsabile di trattamento verifica almeno ogni sei mesi che vengano applicate le procedure interne e delle misure di sicurezza adottate in sede di audit e, precisamente che:

– venga fatto un uso corretto di mezzi informatici ai fini del trattamento dei dati personali, in particolare monitorando l’utilizzo delle password e gli accessi agli archivi elettronici contenenti dati personali con particolare attenzione ai dati sensibili;

– venga fatto un corretto utilizzo degli archivi cartacei che conservano i dati personali con particolare riguardo alla conservazione dei dati sensibili;

– vengano adeguatamente formati i dipendenti in modo diversificato in base alla modalità di trattamento cui sono preposti;

– ogni ufficio comunale tratti i dati secondo il principio di minimizzazione, ovvero, solo a ciò che sia strettamente necessario, si accerti dell’esattezza e correttezza dei dati e che conservi i dati nel rispetto dei termini indicati dalle norme, laddove presenti, o, in subordine per il tempo strettamente necessario al raggiungimento della finalità di trattamento;

– in caso di incidenti o violazioni come descritte al titolo successivo, siano applicate le misure correttive per porre riparo agli effetti negativi;

– che siano garantiti i diritti degli interessati e correttamente curate le istanze di accesso, cancellazione,limitazione del trattamento, rettifica nonché siano verificate le istanze di opposizione nonché i reclami eventualmente presentati al Garante;

– che vengano tenuti sempre aggiornati i contenuti delle informative e siano adattate alle esigenze dei differenti uffici e differenti trattamenti;

– che i documenti contenenti dati personali, presenti nel sito internet del Comune con particolare. riferimento alla pubblicazione all’albo pretorio ed alla sezione Arriministrazione Trasparente siano conformi ai tempi di pubblicazione previsti dall’art. 124, D.Lgs. n. 267/2000 e D.lgs. n. 33/2013;

– che· nelle ipotesi di utilizzo di sistemi di videosorveglianza vengano rispettate le specifiche misure di sicurezza come indicate negli artt. 24, 33,32 del presente regolamento.

2. In caso di riscontro di non corretta applicazione del sistema di audit predisposto e delle norme sul

trattamento dei dati personali, il Responsabile di trattamento insieme al Responsabile della Protezione dei

dati predispone l’adozione di misure nuove correttive.

3. Se in sede di monitoraggio semestrale, insieme alla collaborazione del Responsabile della protezione dei dati, si riscontri la possibilità di migliorare ulteriormente il trattamento dei dati effettuato dai vari uffici comunali nell’ottica di obiettivi di efficienza, il Responsabile del trattamento procede nel riesame e nella sostituzione delle misure già applicate.

TITOLO VI

DATA BREACH O VIOLAZIONE DEI DATI PERSONALI

Art. 36

Definizione di violazione dati personali

1. La violazione dei dati personali è una violazione di sicurezza che comporta accidentalmente o in modo illecito. la distruzione. la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personalì.
2. Per distruzione non autorizzata è da intendersi un’azione che rende irreversibile il processo di ricostruzione del dato personale determinando la sua esatta e totale eliminazione in rerum natura.
3. Per perdita è da intendersi la fuoriuscita del dato trattato ai fini di privacy dalla sfera del legittimo detentore in modo del tutto incontrollato e non tracciato.
4. Per modifica non autorizzata è da intendersi una deficienza organizzativa o fatti illeciti che,incidendo sulla conformazione del dato, è capace di arrecare danni fisici e morali agli interessati (es. sì pensi nel mondo della sanità a casi di sostituzioni errate di terapie).
5. Per rivelazione non autorizzata è da intendersi la comunicazione di un segreto professionale.
6. Per accesso non autorizzato è da intendersi l’illecita attività di terzi (hacker) capaci di sottrarre e disporre di dati di un sistema attaccato grazie a particolari tecniche elusive di protezione.
7. Per soggetto non autorizzato è da intendersi ogni persona diversa da quella competente nell’rente a possedere e trattare i dati.

 

Art. 37

Procedimento in caso di data breach

1. Il Responsabile del trattamento in caso venga a conoscenza della violazione informa senza ingiustificato ritardo il Titolare del trattamento e richiede immediato parere al Responsabile della protezione dei dati sulla gravità della violazione, ovvero:

– se questa sia inoffensiva per le misure di sicurezza già presenti in questo ente;

– se può comportare rischi per gli interessati al trattamento ed il grado dei rischi;

– le misure di sicurezza eventualmente da adottare per porre rimedio alla violazione.

2. Il Responsabile del trattamento relaziona immediatamente al Titolare del trattamento la violazione indicando la categoria di dati violati ed allega il parere del Responsabile della protezione dei dati in cui viene indicato se le misure presenti nel Comune rendono la violazione inoffensiva o, se invece, vanno integrate.
3. Al Titolare del trattamento compete la valutazione finale sulla gravità o meno della violazione. In caso venga riscontrata la presenza di rischi per le persone fisiche va effettuata via Pec la notifica del data breach al Garante per la privacy entro 72 ore dal momento in cui ne è venuto a conoscenza o, se in un momento successivo, nel provvedimento vanno indicati i motivi del ritardo.

Art. 38

Notifica al Garante della privacy

1. La Notifica al Garante non è necessaria se la violazione è inoffensiva. cioè vi è assenza di rischio per interessati e persone fisiche e ciò si verifica se il Comune al momento in cui essa si è verificata aveva misure di sicurezza che hanno reso i dati inintellegibili perché per esempio anonimi o cifrati in modo sicuro attraverso un algoritmo standardizzato o mediante schemi di cifratura a chiave simmetrica.
2. Non ricorre l’inintellegibìlità se la violazione ha portato la distruzione o perdita dei dati personali.
3. La notifica al Garante deve presentare il seguente contenuto minimo:

– la natura della violazione dei dati personali le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

– il nome e i dati dì contatto del Responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; .

– le probabili conseguenze della violazione dei dati personali:

– le misure adottate o di cui si propone l’adozione da parte del Comune per porre rimedio alla violazione dei dati personali.

A questo contenuto minimo è possibile aggiungere ogni altra informazione che il Titolare ritiene necessaria.

4. In caso non si sia in possesso delle informazioni di cui al comma 3 il Titolare procederà a comunicare entro 72 ore quelle di cui è a conoscenza e successivamente, appena verrà in possesso dei dati mancanti effettuerà una comunicazione integrativa senza ingiustificato ritardo.
5. Il Garante può indicare l’adozione di misure integrative a quelle già descritte nella notifica, oltre che fornire osservazioni per porre rimedio alla violazione e può anche imporre la comunicazione all’interessato di cui al successivo articolo, qualora non sia stata ritenuta necessaria dal Comune.

Art. 39

Comunicazione all’interessato

1. II Titolare del trattamento comunica, senza giustificato ritardo, all’interessato la violazione in presenza solo di rischio elevato per i diritti e le libertà delle persone fisiche. Quanto più attuale è il dato violato tanto maggiore è la probabilità di rischio elevato. intendendosi per attualità il tempo trascorso dall’acquisizione/raccolta del dato,
2. La comunicazione all’interessato va effettuata con un linguaggio semplice e chiaro e deve presentare anch’essa un contenuto minimo rappresentato da:

– il nome e i dati di contatto del Responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

– le probabili conseguenze della violazione dei dati personali;

–  le misure adottate o di cui si propone l’adozione da parte del Titolare del trattamento per porre rimedio alla violazione dei dati personali

3. In caso non ricorrano i presupposti per la notifica al Garante come indicati dall’articolo precedente, non si procede nemmeno alla comunicazione all’interessato., Questa inoltre non è necessaria se:

– i dati violati erano soggetti a misure di protezione tali da renderli incomprensibili, perché per es.sottoposti a cifratura;

– il Titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;

– la comunicazione ad personam richiederebbe sforzi sproporzionati per l’elevato numero di interessati. In tal caso, il Comune può procedere ad una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia; es. tramite web o giornale locale.

Art. 40

Documentazione della violazione – Registro,della violazione .

1. Il Titolare del trattamento documenta ogni violazione dei dati personali, la procedura avviata internamente all’’ente locale ed ì provvedimenti per porvi rimedio. A tal fine redige apposita scheda tecnica cui sono allegati la relazione del Responsabile del trattamento ed il parere del RPD.
2. Il Titolare del trattamento annota la violazione nel Registro delle violazioni, che contiene tra le altre informazioni: l’ufficio dell’ente locale competente al trattamento dei dati violati, la descrizione e la gravità del data breach, l’indicazione dei dispositivi cartacei o automatizzati coinvolti, la categoria dei dati violati e dei destinatari, le misure di sicurezza presenti ed applicate ai dati violati e le ulteriori eventuali misure adottate.
3. La documentazione è a disposizione di eventuali ispe?-ioni e verifiche da parte del Garante privacy.

TITOLO VI

MEZZI DI TUTELE E RESPONSABILITÀ

 

Art, 41

Soggetti responsabili ed azione risarcitoria

1. Il Comune di Monterosso Almo è Responsabile per ogni danno materiale o immateriale causato da una violazione dei dati personali trattati ed è tenuto a risarcire l’interessato o la persona fisica e giuridica danneggiata.
2. All’obbligazione risarcitoria è tenuto verso il danneggiato anche il Responsabile del trattamento se il danno è stato causato da un suo inadempimento nell’ambito dei compiti a cui è stato preposto.

3, II Titolare del trattamento ed il Responsabile del trattamento vanno esenti da responsabilità se provano che l’evento dannoso non è loro imputabile.

4. L’azione risarcitoria va proposta dinanzi ali’ autorità giudiziaria ordinaria secondo le normedell’ordinamento interno.
5. II Responsabile della Protezione dei dati non risponde nei confronti dei danneggiati ma solo nei confronti del Comune Titolare del trattamento ed in relazione alle specifiche competenze attribuite al momento del conferimento dell’ incarico e con successivi accordi scritti.

Art. 42

Reclamo

1. Fatta salva la tutela giurisdizionale I”interessato può presentare reclamo al Garante se ritiene che il Comune abbia violato la riservatezza dei propri dati.
2. ” reclamo è presentato in forma scritta senza particolari formalità al Garante e contiene la documentazione utile per la valutazione nonché le informazioni sul Comune e sul Responsabile di trattamento oltre che del!’ interessato.
3. Il Garante effettua un’istruttoria preliminare in cui può .richiedere informazioni al Comune ed all’esito del procedimento può imporre al Comune di adottare i provvedimenti necessari per rendere il trattamento dei dati conforme alla disciplina vigente. ;
4. Il Garante informa l’interessato dello stato o dell’esito di reclamo.

Art. 43

Trattamento illecito dei dati

1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione delle norme sulla protezione dei dati personali, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.
2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o, di recare ad altri un danno, procede al trattamento di dati personali in violazione delle norme sulla materia è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni e la pena accessoria della pubblicazione della sentenza ai sensi degli artt. 167 e 172. D.L.gs. n. 196/2003.

Art. 44

Falsità nelle dichiarazioni e notificazioni al Garante della privacy

Il Responsabile del trattamento o il Responsabile della protezione dei dati che in esecuzione delle rispettive competenze procedono per conto del Comune con notificazioni, comunicazioni al Garante qualora forniscano false dichiarazioni o attestazioni o producono documenti falsi, salvo che il fatto costituisca reato più grave, sono puniti con la reclusione da sei mesi a tre anni e la pena accessoria della pubblicazione della sentenza ai sensi degli artt. 168 e 172, D.Lgs. n. 196/2003.

Art. 45

Omessa predisposi:ione di misure di sicurezza

Il Titolare del trattamento e le persone fisiche che agiscono per suo conto che non adottino le misure di sicurezza minime sono penalmente responsabili e sono puniti con arresto fino a due anni dalle autorità giudiziarie competenti, oltre con la pena accessoria della pubblicazione della sentenza ai sensi degli artt. l69 e 172, D,lgs..  196/2003.

TITOLO VII

ENTRATA IN VIGORE

Art. 46

Abrogazioni

1. Il presente regolamento sostituisce il precedente adottato prima dell’entrata in vigore del Regolamento UE 679/2016; per quanto non previsto si applicano direttamente le norme del regolamento europeo.
2. Il presente regolamento fa riferimento alle sole norme del Codice della privacy ancora oggi vigenti.

Art. 47

Entrata in vigore del regolamento

1. Il presente regolamento entra in vigore il giorno in cui diviene esecutiva la relativa delibera di approvazione.
2. Ii regolamento e la relativa modulistica per l’esercizio dei diritti sono resi pubblici mediante pubblicazione sul sito internet del Comune, nella Sezione Amministrazione Trasparente.
3. Copia del regolamento va inoltrata al Segretario comunale e dirigenti, al RPD, al Responsabile del trattamento, ai sub-responsabili ed ogni altro dipendente che tratta dati personali nel Comune.