ITALIA OGGI – Documenti – 6 maggio 2000

Gli schemi di regolamento elaborati dall'Anci per l'applicazione della legge 675/96 e del dlgs 135/99 sul trattamento dei dati sensibili

di GIANNI MACHEDA

I Comuni trovano una bussola per l'applicazione delle norme sulla privacy. L'ANCI (Associazione nazionale dei comuni italiani) ha infatti messo a punto una serie di schemi di regolamento sul trattamento dei dati sensibili, applicativi delle disposizioni contenute nella legge 675/96 e nel decreto legislativo n. 135/99.

L'intervento dell'Anci è nato dalle sollecitazioni pervenute da molti comuni in ordine alle incertezze interpretative e alle difficoltà applicative delle norme riguardanti il trattamento dei dati sensibili.

L'associazione ha così attivato un gruppo di lavoro a cui hanno preso parte i funzionari dei comuni di Torino, Milano, Bologna, Firenze, Roma e Napoli. Successivamente è stata anche inviata al garante della privacy, Stefano Rodotà, una nota di richiesta di chiarimenti relativamente ai diversi problemi emersi nel corso delle riunioni del gruppo.

Le indicazioni che perverranno all'ANCI a riguardo, assicura una nota dell'associazione, saranno rese note attraverso il sito Internet www.anci.it.

Quattro sono gli schemi di regolamento elaborati. Si tratta di modelli "non finalizzati", spiega l'Anci "all'interpretazione, o meglio alla specificazione di quanto previsto direttamente dalla legge e dalle relative norme attuative, ma destinati a offrire soluzioni organizzative". In particolare gli schemi possono essere di ausilio

per gestire le funzioni comunali interessate all'applicazione della normativa, offrendo un ventaglio di soluzioni corrispondenti ai diversi problemi da risolvere. Oltre agli schemi di regolamento, le amministrazioni comunali hanno a disposizione una delibera-tipo di giunta per l'individuazione delle tipologie di dati sensibili e delle operazioni su di essi eseguibili per le attività "con rilevanti finalità di interesse pubblico", individuate dall'art. 22, comma ibis, della legge 675/96.

L'iniziativa persegue, nelle intenzioni dell'Associazione dei comuni, diverse finalità: fornire uno strumento di aiuto alle amministrazioni di minore dimensione demografica per trovare un modello organizzativo rispondente all'attuazione delle finalità delle legge e offrire a tutti gli enti interessati uno strumento versatile, che valorizzi l'autonomia comunale attraverso la potestà regolamentare.

Ovviamente, avverte l'Anci nella compilazione del regolamento si potranno utilizzare gli schemi con la più ampia elasticità, sia attingendo elementi dai singoli modelli sia adottandone, con le modifiche che si ritengono più opportune, l'intero contenuto.

Intanto la task force attivata in via dei Prefetti continuerà ad approfondire la materia: gli uffici dell’Anci sono dunque a disposizione per fornire eventuali chiarimenti ed ulteriori informazioni.

6 Maggio 2000

§§§ §§ §§§

Il presente regolamento disciplina l’ordinamento degli uffici e dei servizi comunali con riferimento alle seguenti specifiche modalità di:

-trasmissione a privati di dati personali contenuti nelle singole banche dati presenti presso gli uffici comunali;

-attuazione delle disposizioni definite dall'art. 22, comma 3 e 3 bis della legge n. 675/96, e successive modifiche e integrazioni nonché di quelle del dlgs n. 135/99;

- individuazione e compiti dei responsabili delle banche dati esistenti presso gli uffici comunali;

- utilizzo dei dati in possesso di un ufficio comunale da parte di altri uffici comunali.

1. Ai fini del presente regolamento si intendono: a) per "dato personale", qualsiasi informazione riguardante una persona fisica o giuridica, acquisita dall'ente o ad esso conferita dall'interessato in relazione allo svolgimento di attività istituzionale e trattata secondo quanto previsto dalla legge n. 675/96;

b) per "dato sensibile", ogni dato idoneo a rivelare (origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazione a carattere religioso, filosofico, politico o sindacale, nonché i dati idonei a rivelare lo stato di salute e la vita sessuale;

c) per "banca dati", un qualsiasi complesso di dati personali, ripartito in una o più unità dislocate in uno o più siti, organizzato secondo una pluralità di criteri determinati tali da facilitarne il trattamento;

d) per "interessato", la persona fisica, la persona giuridica, (ente o (associazione cui si riferiscono i dati personali

e) per "tipo di dati", la specificazione del dato in relazione all'attività svolta e definita dalla legge o, in via transitoria, dal garante di rilevante interesse pubblico;

f) per "operazioni eseguibili", le differenti forme e soluzioni di trattamento realizzabili sulle tipologie di dati individuati dall'ente;

g) per "comunicazione, il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;

h) per "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.

1. II comune, alfine di consentire ai cittadini di ottenere informazioni sullo stato di avanzamento delle proprie pratiche o sui propri obblighi tributari, tariffari per (erogazione di servizi o contravvenzionali provvede all'inserimento dei relativi atti in rete civica con le opportune misure volte a tutelare, in particolare, la riservatezza degli interessati.

2. I responsabili delle singole banche dati di cui al successivo art. 4 provvedono a comunicare al direttore della struttura di cui al comma 1; art. 4 del presente regolamento, gli altri casi in cui ritengono necessario comunicare e diffondere a terzi i dati personali contenuti nelle singole banche dati afferenti la propria struttura, specificandone i termini e le modalità.

3. I responsabili di cui al successivo comma 4, art. 4, provvedono a individuare, verificare e aggiornare periodicamente (esattezza dei dati sensibili, nonché la loro pertinenza, completezza, non eccedenza e necessità rispetto alle finalità perseguite nei singoli casi e le operazioni su di essi eseguibili mediante comunicazione al Direttore della struttura di cui al comma 1, art. 4 del presente regolamento.

4. Il direttore dell'ufficio segreteria generale e affari istituzionali, verificata la legittimità della richiesta, propone alla giunta la conseguente integrazione del presente regolamento.

1. Il comune di... è il titolare dei dati personali gestiti dalle proprie articolazioni organizzative e delle relative banche dati ed è rappresentato, ai fini previsti dalla legge 675/96 e successive modifiche ed integrazioni, dal sindaco che delega le relative funzioni con preferenza al responsabile della direzione segreteria generale e affari istituzionali.

2. Ai sensi della legge 675/96 e successive modifiche ed integrazioni e del presente regolamento il titolare, attraverso la struttura di coordinamento di cui al comma 3, provvede a:

- comunicare al garante per la protezione dei dati personali le attività individuate per le quali non è determinata dalla legge una corrispondente rilevante finalità di interesse pubblico;

- formulare, per iscritto, le istruzioni e le direttive di massima rivolte ai responsabili ed agli incaricati;

- controllare la corretta applicazione della legge, delle istruzioni e delle direttive impartite;

- costituire ed aggiornare (archivio delle banche dati, personali e sensibili, esistenti ed i nominativi dei rispettivi responsabili e incaricati.

3. Dalla data di entrata in vigore del presente regolamento, i responsabili delle strutture di massima dimensione in cui si articola (organizzazione dell'Ente sono responsabili di tutte le banche dati, personali e sensibili, esistenti nelle articolazioni organizzative di loro competenza nonché dei relativi trattamenti. Il titolare può designare altri responsabili, ai sensi dell'art. 8, comma 3 della legge n. 675/96 e successive modifiche e integrazioni. I direttori comunicano alla struttura di cui al comma precedente, i nominativi degli incaricati del trattamento dei dati, eventualmente designati ai sensi del comma successivo.

4. I responsabili per il trattamento dei dati che, ai fini della responsabilità attribuita sono tutti domiciliati presso la sede del comune di ..., provvedono, per i rispettivi ambiti di competenza, a tutte le attività previste dalla legge ed in particolare a:

a) individuare, se ritenuto opportuno, e comunicare i nominativi alla struttura di cui al comma 1, dei soggetti incaricati del trattamento dei dati, anche non nominativamente e con riferimento a categorie o specifici profili di operatori e alla loro collocazione organizzativa;

b) fornire agli incaricati, per iscritto, sulla base delle direttive di massima impartite dal titolare, le istruzioni per il corretto trattamento dei dati personali, eseguendo gli opportuni controlli;

c) adottare le misure e disporre gli interventi necessari per la sicurezza della conservazione dei dati e per la correttezza dell'accesso sulla base delle direttive a tale scopo impartite dal responsabile dei Sistemi Informativi dell'ente;

d) curare, ai sensi dell'art. 10 della L. 675/96 e successive modifiche ed integrazioni, l'informazione agli interessati predisponendo, in particolare, la modulistica, o altre forme idonee di informazione, inerente i propri Uffici facendo, in caso di dati sensibili, espresso riferimento alla normativa che prevede gli obblighi o i compiti in base alla quale è effettuato il trattamento;

e) curare l'eventuale raccolta del consenso degli interessati per il trattamento dei dati sensibili in assenza di una specifica legge che ne preveda il trattamento;

f) adottare le misure occorrenti per facilitare l'esercizio dei diritti dell'interessato ai sensi dell'art. 13 della legge n. 675/96 e successive modifiche e integrazioni e dell'art. 17 del dpr 31/3/1998 n. 501;

g) controllare che la comunicazione e la diffusione dei dati avvenga nei limiti degli artt. 22, 27 e 9 della legge 675/96 e successive modifiche ed integrazioni nonché dell'art. 3 del dlgs 135/99;

h) inviare al garante, attraverso la struttura di coordinamento di cui al comma 3, le comunicazioni e le notificazioni previste dalla L. 675/96 e successive modifiche e integrazioni;

i) stipulare gli accordi di cui all'art. . del regolamento ;

j) stabilire le modalità di gestione e le forme di responsabilità relative a banche dati condivise da più articolazioni organizzative, d'intesa con gli altri responsabili. In caso di mancato accordo, sentiti i responsabili, decide il direttore generale;

k) individuare le tipologie di dati sensibili assoggettabili a trattamento secondo le garanzie degli articoli 2, 3 e 4 del dlgs n. 135/99 e le operazioni su di essi eseguibili da comunicare ai sensi dell'art. 3, comma 3 del presente regolamento.

5. Nella situazione di affidamento all'esterno della gestione di una banca dati, il titolare provvede alla nomina del concessionario a responsabile, ai sensi della legge 675/96 e successive modifiche ed integrazioni, del trattamento dei dati delle banche dati per la durata del rapporto convenzionale; in tal caso, le suindicate attività, relativamente alle banche dati gestite, sono svolte prioritariamente dal concessionario conservando peraltro il direttore competente per materia il dovere di eventuale attivazione e di vigilanza.

6. La struttura responsabile dei sistemi informativi, nel caso di affidamento all'esterno della gestione del sistema informativo, cura il coordinamento complessivo dei rapporti con il concessionario.

7. Ai fini della definizione delle direttive di cui al comma 5, lettera b), la struttura responsabile dei sistemi informativi provvede, in relazione alle conoscenze acquisite in base al processo tecnologico, ad assicurare lo sviluppo delle misure di sicurezza degli archivi informatici previste dall'art, 15 della legge n. 675/96 e successive modifiche e integrazioni e del relativo regolamento di attuazione, al fine di:

- ridurre al minimo il rischio di distruzione o perdita, anche accidentale, dei dati memorizzati su supporti magnetici o ottici gestiti, nonché delle banche dati e dei locali ove sono collocate;

-evitare l'accesso non autorizzato alle banche dati, alla rete e, in generale, ai servizi informatici del comune;

- prevenire trattamenti dei dati non conformi alla legge o ai regolamenti e la cessione o distribuzione dei dati in caso di cessazione del trattamento.

8. Gli incaricati effettuano tutte le operazioni di trattamento dei dati con le modalità di cui agli artt. 9 e 10 della legge 675/96 e successive modifiche e integrazioni e nel rispetto delle istruzioni e direttive impartite dal titolare e dal responsabile.

1. La comunicazione dei dati all'interno della struttura organizzativa del comune, per ragioni d'ufficio, non è soggetta a limitazioni particolari, salvo quelle espressamente previste da leggi e regolamenti.

2. Il responsabile della banca dati, specie se la comunicazione concerne dati sensibili, può tuttavia disporre, con adeguata motivazione, le misure ritenute necessarie alla tutela della riservatezza delle persone.

1. I responsabili di cui al comma 4, art. 4 provvedono, con propri atti, a dar corso alle disposizioni organizzative in materia di dati sensibili nelle articolazioni organizzative cui sono preposti.

1. Il presente regolamento disciplina le modalità applicative e i profili generali di attuazione, nell'ambito dell'amministrazione comunale, della normativa in materia di trattamento dei dati personali sensibili, con particolare riferimento a quanto previsto dalla legge 31 dicembre 1996, n. 675 e dal dlgs 11 maggio 1999, n. 135 e dalle loro successive modificazioni e integrazioni.

2. Le disposizioni del presente regolamento sono finalizzate ad assicurare a tutti i soggetti che conferiscono informazioni e dati personali qualificabili come "sensibili" adeguate garanzie in ordine al trattamento degli stessi da parte degli operatori dell’amministrazione comunale e di altri soggetti che per la stessa li trattino.

3. I responsabili dei trattamenti nominati ai sensi dell'art. 8 della legge 31 dicembre 1996, n. 675, nonché i responsabili di settore/di servizio dell'amministrazione comunale provvedono, per quanto di propria competenza, all'applicazione di misure attuative delle disposizioni del presente regolamento.

1. Ai fini del presente regolamento si intendono per attività che perseguono rilevanti finalità di interesse pubblico tutte quelle svolte dal comune in relazione a funzioni e compiti ad esso attribuiti, delegati o conferiti dalla normativa statale e regionale vigente, nonché quelle inerenti l’organizzazione dell'amministrazione comunale e lo sviluppo dell'attività amministrativa, nei rispettivi vari profili.

2. La valutazione circa la rilevanza dell'interesse pubblico perseguito con fattività individuata è effettuata sulla base della necessità della stessa per il regolare e ottimale funzionamento dell'amministrazione comunale nel particolare settore in cui essa viene a esplicarsi.

3. Le attività procedimentali, gestionali od operative, che perseguono rilevanti finalità di interesse pubblico, sono individuate, per il trattamento dei dati sensibili, dal dlgs 11 maggio 1999, n. 135, da altre leggi, statali e regionali, e dal garante, in base a quanto previsto dall'art. 22 della legge 31 dicembre 1996, n. 675.

1. Per favorire (individuazione delle attività procedimentali e operativo-gestionali svolte dai settori/servizi del comune non riconducibili a rilevanti finalità di interesse pubblico date nel dlgs 11 maggio 1999, n. 135 0 in altre leggi, alfine di consentire al garante per la protezione dei dati personali di adottare specifici provvedimenti ai sensi dell'art. 22, commi 3 e 3-bis della legge 31 dicembre 1996, n. 675, (amministrazione comunale:

a) verifica la rilevanza delle attività, comportanti il trattamento di dati sensibili in relazione al regolare sviluppo deltazione amministrativa;

b) verifica quali di queste attività non possono essere ricondotte al quadro di riferimento dettato dalla legislazione vigente;

c) determina la rilevanza dell'interesse pubblico perseguito con la particolare attività.

1. Per le attività svolte dal comune rispetto alle quali sono definite dalla legge le rilevanti finalità di interesse pubblico perseguite, ma per le quali non si ha determinazione invia normativa delle tipologie di dati trattabili e delle operazioni eseguibili, tali elementi sono individuati nell'allegato A al presente regolamento.

2. Ciascun responsabile di settore /servizio procede periodicamente, con cadenza almeno semestrale, alla verifica della effettività dei trattamenti delle tipologie di dati individuate, nonché delle relative operazioni su di essi eseguibili.

3. Qualora il complesso dei dati definiti nell'allegato A debba essere modificato a fronte di situazioni che richiedano la variazione delle tipologie di dati o delle operazioni eseguibili individuati, il responsabile di settore/servizio interessato (oppure) il/i responsabile/i dei trattamenti attiva il procedimento istruttorio finalizzato all'adozione di adeguato provvedimento da parte dell'organo competente.

4. Il complesso delle tipologie di dati sensibili trattati e delle operazioni su di essi eseguibili è comunque sottoposto a verifica annuale, a fini di aggiornamento, indipendentemente dalle modifiche eventualmente apportate in base a quanto previsto dal precedente comma 3.

1. L'amministrazione comunale comunica tempestivamente al garante per la protezione dei dati personali le attività individuate/rilevate per le quali non è determinata dalla legge una corrispondente rilevante finalità di interesse pubblico.

2. A fini di omogeneità procedurale, le modalità di rilevazione e di comunicazione al garante degli elementi di cui al comma 2 del presente articolo, nonché di individuazione dei soggetti di riferimento sono definite dalla giunta con proprio atto d'indirizzo.

1. I dati sensibili trattabili e le operazioni su di essi eseguibili, individuati in base a quanto previsto dal precedente art. 4, sono pubblicizzati mediante affissione all'albo pretorio e con adeguate comunicazioni interne agli uffici e servizi dell'amministrazione.

2. Gli elementi riguardanti le tipologie di dati sensibili trattabili e le operazioni su di essi eseguibili sono comunque resi noti si soggetti che conferiscono dati personali all'amministrazione comunale per (attivazione di un procedimento nel momento in cui si ha la produzione/presentazione dell'istanza, con le medesime modalità procedurali con cui sono fornite le informazioni previste dall'art. 10 della legge 31 dicembre 1996, n. 675.

3. In relazione ad attività riguardanti un rilevante numero di soggetti che conferiscono dati sensibili ai servizi dell'amministrazione comunale, la giunta adotta adeguate misure, di carattere organizzativo e informativo, finalizzate a garantire, anche mediante (utilizzo di strumenti informatici e telematici, la massima pubblicizzazione agli elementi individuati nell'allegato A. Tali misure sono poste in essere dai responsabili di settore/servizio (oppure) dalli responsabile/i dei trattamenti.

1. La giunta, nell'ambito delle proprie competenze in materia di organizzazione, e i responsabili di settore/servizio, nell'esercizio dei loro poteri di organizzazione e di gestione delle risorse umane, adottano provvedimenti e misure volti a dare piena attuazione alle disposizioni contenute negli artt. 1, 2, 3 e 4 del dlgs 11 maggio 1999, n. 135, per la corretta gestione dei dati personali sensibili.

1. In sede di determinazione delle misure minime di sicurezza, nel rispetto della normativa vigente in materia, i competenti organi dell'amministrazione comunale (oppure) i responsabili di settore/servizio (oppure) il/i responsabile/i dei trattamenti definisce/definiscono soluzioni tecniche, informatiche, organizzative, logistiche e procedurali che tengano conto delle specificità di trattamento dei dati sensibili e delle particolarità connesse alle operazioni su di essi eseguibili.

1. Le informazioni rese agli interessati ai sensi dell'art. 10 della legge 31 dicembre 1996, n. 675 devono contenere esplicito riferimento ai seguenti elementi:

a) indicazione dei riferimenti normativi comportanti il trattamento dei dati sensibili;

b) indicazione delle tipologie di dati sensibili trattati nella specifica attività e delle operazioni su di essi eseguibili;

c) sintesi delle misure poste a garanzia del trattamento dei dati sensibili in relazione alla specifica atti

1. I responsabili dei settori/servizi provvedono, nell'ambito dei propri poteri di controllo, a effettuare periodiche verifiche sulla corretta applicazione della normativa in materia di trattamento dei dati sensibili e del presente regolamento nell'ambito delle articolazioni organizzative cui sono preposti, in accordo coni controlli specifici effettuati dal responsabile dei trattamenti.

2. I responsabili dei settori/servizi (oppure) i/il responsabile/i trattamenti presenta/presentano periodicamente/trimestralmente alla giunta relazioni specifiche, riferite alle strutture di competenza/all'amministrazione comunale, in ordine all'attuazione della normativa in materia di dati sensibili discendente dal dlgs 11 maggio 1999, n, 135 e dal presente regolamento, nonché rapporti dettagliati inerenti (applicazione dei provvedimenti adottati ai sensi dei precedenti artt. 6, 7, 8.

3. La giunta presenta annualmente al consiglio comunale una dettagliata relazione, nella quale illustra/espone in dettaglio le misure adottate e le iniziative realizzate per la corretta applicazione della legge 31 dicembre 1996, n. 675, del dlgs 11 maggio 1999, n. 135 e del presente regolamento in ordine al trattamento dei dati sensibili nell'ambito dell'amministrazione comunale, evidenziando le principali problematiche incidenti sull'attività amministrativa dei settori/servizi.

1. I provvedimenti e le determinazioni organizzative di attuazione di quanto previsto dagli artt. 1, 2, 3 e 4 del dlgs n. 135/1999 sono adeguati o aggiornati a cura degli organi e dei soggetti competenti in relazione all'evoluzione tecnologica e alle modificazioni del quadro normativo di riferimento in materia di trattamento di dati sensibili.

2. Il presente regolamento entra in vigore al momento dell’avvenuta esecutività della deliberazione approvativa / 15 giorni dopo l’avvenuta esecutività della deliberazione approvativa / (specificare).

1. Ai fini del presente regolamento si intendono: a) per dato personale, qualsiasi informazione riguardante una persona fisica o giuridica, acquisita dall'ente o a esso conferita dall'interessato in relazione allo svolgimento di attività istituzionali e trattata secondo quanto previsto dalla legge 31 dicembre 1996, n. 675; b) per dato sensibile, ogni informazione di natura sensibile o attinente a provvedimenti giudiziari, qualificata e individuata con riferimento a quanto previsto dagli articoli 22, comma 1, e 24 della legge 31 dicembre 1996, n. 675, nonché assoggettata al sistema di garanzie definito dal dlgs 11 maggio 1999, n. 135; c) per tipi di dati, le categorie di dati, individuati sotto il profilo gestionale ed operativo, normalmente utilizzati per lo svolgimento dell'attività amministrativa e comunque riferibili al novero dei dati sensibili; d) per operazioni eseguibili, le differenti forme e soluzioni di trattamento realizzabili sulle tipologie di dati sensibili individuati dall'ente; . e) per rilevanti finalità di interesse pubblico, le finalità, individuate dal dlgs 11 maggio 1999 n. 135, dalla legge o dal garante, connesse alle attività istituzionali dell'ente, che lo stesso svolge per realizzare interessi pubblici e soddisfare bisogni della comunità locale, comportanti la possibilità di trattamento semplificato dei dati sensibili.

1. Il presente regolamento disciplina le modalità di attuazione, nell'ambito del comune di..., delle disposizioni definite dall'art. 22, commi 3 e 3-bis della legge 31 dicembre 1996, n. 675, nonché di quelle del dlgs 11 maggio 1999, n. 135.

2. Le disposizioni del presente regolamento garantiscono il trattamento di informazioni a carattere sensibile, acquisite dall'amministrazione comunale o ad essa rese, riguardanti persone fisiche o giuridiche, secondo criteri coerenti con la normativa in materia di tutela dei dati personali.

1. Ai fini del presente regolamento si intendono per attività che perseguono rilevanti finalità di interesse pubblico tutte quelle svolte dal comune in relazione a funzioni e compiti ad esso attribuiti, delegati o conferiti dalla normativa statale e regionale vigente, nonché quelle inerenti (organizzazione dell'amministrazione comunale e lo sviluppo dell'attività amministrativa, nei suoi vari profili.

2. Le attività che perseguono rilevanti finalità di interesse pubblico sono individuate, per il trattamento dei dati sensibili, dal dlgs 11 maggio 1999, n. 135 da altre leggi e dal garante, in base a quanto previsto dall'art. 22 della legge 31 dicembre 1996, n. 675.

1. Per favorire (individuazione delle attività istituzionali non correlatili a rilevanti finalità di interesse pubblico date nel dlgs 11 maggio 1999, n. 135 e per consentire al garante per la protezione dei dati personali di adottare specifici provvedimenti ai sensi dell'art. 22, commi 3 e 3-bis della legge 31 dicembre 1996, n. 675, (amministrazione comunale:

a) verifica la rilevanza delle attività istituzionali comportanti ff trattamento di dati sensibili in relazione al buon andamento dell'attività amministrativa;

b) verifica quali di queste attività non possono essere ricondotte al quadro di riferimento dettato dal suindicato decreto legislativo;

c) individua e configura la rilevanza dell'interesse pubblico perseguito con la particolare attività istituzionale.

2. L'amministrazione comunale comunica al garante per la protezione dei dati personali le attività individuate per le quali non è determinata dalla legge una corrispondente rilevante finalità di interesse pubblico.

3. Le modalità di comunicazione al garante degli elementi di cui al comma 2 del presente articolo sono definite dalla giunta nelle disposizioni organizzative di cui all'ari. 6.

1. A fronte delle rilevanti finalità di interesse pubblico individuate dalla legge o dal garante, in assenza della definizione delle tipologie di dati e delle operazioni eseguibili, per poter garantire il corretto svolgimento delle attività istituzionali il comune provvede a determinare quali tipi di dati sensibili sono trattabili e quali forme di gestione su di essi possano essere realizzate.

2. Con propria deliberazione la giunta indica i tipi di dati sensibili correlatili alle rilevanti finalità di interesse pubblico date dalle legge o dal garante e definisce le relative operazioni eseguibili.

3. Ai contenuti della deliberazione di cui al comma precedente è data massima diffusione presso le varie articolazioni organizzative dell'amministrazione comunale e negli ambiti di relazione della stessa con la comunità locale.

4. Per la diffusione dei contenuti della deliberazione di cui al comma 2 possono essere utilizzate soluzioni differenziate, ivi comprese quelle comportanti (utilizzo delle reti telematiche e dei mezzi di comunicazione di massa.

5. L'aggiornamento del quadro di riferimento per le tipologie di dati sensibili assoggettabili a trattamento secondo le garanzie del dlgs 11 maggio 1999, n. 135 e per le operazioni su di essi eseguibili viene effettuato annualmente dalla giunta, con proprio provvedimento.

6. L'aggiornamento può aversi anche entro termini infrannuali, qualora innovazioni normative, tecnologiche o rilevanti trasformazioni gestionali rendano necessaria (individuazione di nuove tipologie di dati o di operazioni eseguibili.

7. Nell'informativa resa ai sensi dell'art. 10 della legge 31 dicembre 1996, n. 675 ai soggetti che conferiscono dati al comune per lo svolgimento di un'attività istituzionale sono fornite tutte le indicazioni inerenti la corrispondente rilevante finalità di interesse pubblico perseguita, i tipi di dati sensibili per i quali risulta necessario attivare un trattamento e le operazioni eseguibili sui medesimi dati.

1. La giunta adotta, secondo quanto previsto dalla legge 15 maggio 1997, n. 127, specifiche disposizioni organizzative per i vari settori dell'amministrazione comunale, volte a regolamentare i profili operativi del trattamento di dati sensibili nel rispetto dei criteri dettati dagli articoli 1, 2, 3, 4 del dlgs 11 maggio 1999, n. 135.

2. Le disposizioni organizzative di cui al comma 1 del presente articolo devono essere coerenti con i provvedimenti attuativi della legge 31 dicembre 1996, n. 675 e devono essere adottate con particolare riguardo per.

a) la corretta gestione del rapporto tra amministrazione e cittadini;

b) la semplificazione delle modalità di trattamento dei dati personali;

c) la definizione di adeguate garanzie per le operazioni inerenti i dati sensibili.

1. I direttori dei settori/responsabili dei servizi provvedono, con propri atti, a dar corso alle disposizioni or ganizzative in materia di dati sensibili nelle articolazioni organizzative cui sono preposti, in accordo con quanto stabilito dal responsabile dei trattamenti.

2. I direttori dei settori/responsabili dei servizi presentano semestralmente alla giunta rapporti specifici, riferiti alle strutture di competenza, in ordine all'applicazione della normativa in materia di dati sensibili discendente dal dlgs 11 maggio 1999, n.135 e dal presente regolamento, nonché relazioni inerenti (attuazione delle disposizioni organizzative adottate ai sensi del precedente art. 6, comma 1.

3. La giunta presenta annualmente al consiglio comunale i risultati delle verifiche sull'applicazione della legge 31 dicembre 1996, n. 675, del dlgs 11 maggio 1999, n. 135 e del presente regolamento in ordine alle principali problematiche per la gestione dei dati sensibili nell'ambito dell'amministrazione comunale e con riferimento particolare allo svolgimento dell'attività amministrativa.

1. Le disposizioni organizzative di cui al precedente art. 6 sono adeguate in relazione allo sviluppo tecnologico e all'evoluzione del quadro normativo di riferimento in materia di trattamento dei dati sensibili.

2. Il presente regolamento entra in vigore ................

Comune di .............

OGGETTO: Individuazione delle tipologie di dati sensibili e delle operazioni su di essi eseguibili per attività con rilevanti finalità di interesse pubblico individuate dalla legge o dal garante, ai sensi dell'art. 22, comma 3-bis della legge n. 675/1996.

LA GIUNTA

Premesso:

- che l'art. 22, comma 3-bis della legge n. 675/1996 stabilisce che nei casi in cui è specificata, a norma del comma 3 dello stesso articolo, la finalità di rilevante interesse pubblico, ma non sono specificati i tipi di dati e le operazioni eseguibili, i soggetti pubblici, in applicazione di quanto previsto dalla legge e dai decreti legislativi in materia di dati sensibili, identificano e rendono pubblici, secondo i rispettivi ordinamenti, i tipi di dati e di operazioni strettamente pertinenti e necessari in relazione alle finalità perseguite nei singoli casi, aggiornando tale identificazione periodicamente;

- che l'art . .... del regolamento attuativo del dlgs n. 135/1999 del regolamento comunale in materia di trattamento di dati personali prevede che l'indicazione dei tipi di dati e delle operazioni eseguibili sia tradotta in apposita deliberazione della giunta, successivamente pubblicizzata in varie forme;

Considerato:

- che per le attività istituzionali correlabili alle rilevanti finalità di interesse pubblico individuate dagli artt. 6-23 del dlgs n. 135/1999 e (eventuale) per quelle segnalate al garante per la protezione dei dati personali ai sensi del comma 3 dell'art. 22 della legge n. 675/1996 (specificare se è avvenuta comunicazione) è stato attivato un processo di ricognizione nei vari settori/servizi, che ha consentito di rilevare i dati sensibili da gestire e le operazioni su di essi eseguibili;

- che risulta ora necessario rendere pubblici tali elementi, nel rispetto di quanto previsto dal sistema di garanzie delineato dalla normativa vigente in materia;

- che tale pubblicizzazione deve aversi con ampia diffusione nell'ambito della comunità locale e con particolare riguardo per tutti coloro che frequentemente o periodicamente conferiscono dati personali all'amministrazione;

- che l'indicazione dei dati trattabili e delle opera-: zioni eseguibili approvata con il presente provvedimento sarà aggiornata nei termini temporali previsti dallo specifico regolamento comunale;

Dato atto che, ai sensi dell'art. 53 della legge n. 142/1990, è stato richiesto e formalmente acquisito agli atti il parere favorevole in ordine alla regolarità tecnica del presente atto, reso dal responsabile del servizio interessato;

Ai sensi dell'art. . dello statuto;

Vista la legge n. 142/1990, come modificata dalla legge n. 127/1997;

DELIBERA

1. di approvare, in relazione alle rilevanti finalità di interesse pubblico individuate dal dlgs n. 135/1999, il quadro di riferimento per i dati sensibili trattabili e per le operazioni su di essi eseguibili secondo quanto previsto dall'art. 22, comma 3-bis della legge n. 675/1996, contenuto nell'allegato A (omissis), parte integrante e sostanziale del presente atto;

2. - di stabilire che al suindicato quadro di riferimento sarà data ampia diffusione nell'ambito della comunità locale e con particolare riguardo per i soggetti che frequentemente o periodicamente conferiscono dati personali sensibili alfamministrazione;

3. di stabilire che la diffusione del suddetto quadro di riferimento sarà realizzata dal direttore/responsa

bile del servizio (specificare), con utilizzo delle ri

sorse stanziate a budget, dando atto che fattività specifica si configura come elemento integrativo del Peg del settore/servizio per fanno 1999.

1. Il presente regolamento indica in che modo il ..... dà attuazione a quanto previsto dall'art. 22, commi 3 e 3 bis della legge n. 675/96 e in particolare al dlgs. n. 135/99, relativamente al trattamento di informazioni a carattere sensibile, acquisite o rese allo stesso e riguardanti persone tanto fisiche quanto giuridiche.

Ai fini del presente regolamento si intendono:

a) per dato personale, qualsiasi informazione riguardante una persona fisica o giuridica, acquisita dall'ente o esso conferita all'interessato in relazione allo svolgimento di attività istituzionali e trattata secondo quanto previsto dalla legge n. 675/96

b) per dato sensibile, ogni informazione di natura sensibile o attinente a provvedimenti giudiziari, qualificata e individuata con riferimento a quanto previsto dagli artt. 22, comma 1, e 24 della legge n. 675/96, nonché assoggettata al sistema di garanzie definito dal dlgs n.135/99;

c) per tipi di dati, le categorie di dati, individuati sotto il profilo gestionale e operativo, normalmente utilizzati per lo svolgimento dell'attività amministrativa e comunque riferibili al novero dei dati sensibili;

d) per operazioni eseguibili, le differenti forme e soluzioni di trattamento realizzabili su tipologie di dati sensibili individuati dall'ente;

e) per rilevanti finalità di interesse pubblico s'intendono, in generale, quelle individuate dal dlgs n.135/99 e dal provvedimento del garante n. 1/P/2000 del 30.12.9913/1/2000.

Le finalità di interesse pubblico che il … persegue sono legate all'esercizio dei fini istituzionali e delle attività, così come disciplinato dagli artt. 4, 5 e 6 del proprio Statuto, nonché da leggi statali e regionali.

Il … ha riconosciuto le proprie finalità di interesse pubblico in quelle individuate dal capo II artt. 6-24 del dlgs 135/99 nonché in quelle enunciate nel Provvedimento del garante 1/9/2000 del 30/12/99 -13/1/2000.

Conformemente a quanto previsto dall'art. 22 della legge 675/96 cosi come modificato dall'art. 5 del dlgs 135/99, quando la legge o il garante individuano le finalità di rilevante interesse pubblico, ma non le operazioni eseguibili e i tipi di dati da trattare il … provvede a determinarli nei modi descritti nei commi 4 e 5 del presente articolo.

Il …, nel trattamento dei dati sensibili, siano essi trattati con supporti informatici o in forma cartacea, in relazione alle finalità di interesse pubblico di cui al comma precedente, individua le seguenti operazioni eseguibili, che in ogni caso saranno: raccolta; registrazione; organizzazione; conservazione; elaborazione; modificazione; selezione; estrazione; raffronto; utilizzo; visualizzazione; stampa.

I dati sensibili trattati devono essere:

- esatti;

- aggiornati;

- pertinenti;

- completi;

non eccedenti rispetto alle finalità persegeite nei singoli casi.

Fatto salvo quanto stabilito nei commi precedenti, nel caso di specie, le operazioni eseguibili e i dati sensibili da trattare vengono deliberati dal consiglio di amministrazione, su segnalazione del dirigente del settore che con la sua attività persegue la finalità di interesse pubblico individuata dalla legge o dal garante.

Alla delibera in oggetto verrà data diffusione attraverso la pubblicazione sull’Intranet del .....

Si prevede un aggiornamento con termini infrannuali, qualora innovazioni normative, tecnologiche o rilevanti trasformazioni gestionali rendano necessaria l’individuazione di nuove tipologie di dati e di operazioni eseguibili.

Nell'informativa resa ai sensi dell'art. 10 della legge 675/96 ai soggetti che conferiscono dati al per lo svolgimento di un'attività istituzionale sono fornite tutte le indicazioni inerenti alla corrispondente rilevante finalità di interesse pubblico perseguita, i tipi di dati sensibili per i quali risulta necessario attivare un trattamento e le operazioni eseguibili sui medesimi.

Qualora il … rilevi che le attività da esso svolte siano legate a finalità di interesse pubblico non individuate dal dlgs 135/99 o dal provvedimento del garante 1IP/2000, provvederà a richiederne l’individuazione al garante stesso.

L'individuazione delle finalità di rilevante interesse pubblico, non individuate dalla legge o dal garante, avviene a opera del dirigente del settore che svolge fattività legata alla finalità di interesse pubblico non individuata dalla legge o dal garante

La loro individuazione, viene comunicata al consiglio dì amministrazione che, presone atto, determina il contenuto della richiesta al garante e ne autorizza l’inoltro.

La richiesta al garante viene inoltrata dal responsabile del trattamento.

Tanto la delibera quanto la successiva individuazione del garante verranno diffuse con le stesse modalità previste al comma 5 dell'art. 4 del presente regolamento.

Oltre alla verifica infrannuale di cui ai comma 6 dell'art. 4 del presente regolamento, i dirigenti dei vari settori presentano al responsabile del trattamento i rapporti specifici riguardanti (applicazione della normativa in materia di dati sensibili e in particolare di quanto previsto dal dlgs. 135/99 e dal presente regolamento.

Il responsabile del trattamento provvede annualmente a presentare al consiglio di amministrazione i risultai ti delle verifiche di cui al comma precedente.

Le disposizioni di cui al presente regolamento verranno adeguate allo sviluppo tecnologico e all'evoluzione del quadro normativo di riferimento in materia di trattamento dei dati sensibili.