INDICE - provincia.ragusa.itprovincia.ragusa.it/regolamenti/documento_programmatico_sicurezza... · INDICE Premessa Regolamento sul ... sicurezza per la protezione dei dati, ... effettuate

INDICE

Premessa

Regolamento sul trattamento dei dati personali

(approvato dal Consiglio Provinciale con delibera

n. 92 del 06/10/2006)

Documento programmatico sulla sicurezza dei dati per

l’anno 2009 (approvato dalla Giunta con delibera n. 280

del 25/06/2009)

Regolamento sulla tutela della riservatezza dei dati personali

Contenuti negli archivi della Provincia Regionale di Ragusa

(approvato dal Consiglio Provinciale con delibera

n. 64 del 31/03/2000)

U.O.A. Direzione Generale Segretario Generale: Dr. Ignazio Baglieri

Redazione

Dr.ssa Concetta Patrizia Toro

Sig. Rosario Leggio

Sito internet: www.provincia.ragusa.it

e-mail: [email protected]

Premessa

Il testo definitivo del Decreto Monti, convertito in legge 4 aprile 2012 n.35, prevede alcune misure di “semplificazione in materia di dati personali” ed in particolare prevede l’eliminazione dell’obbligo di predisporre ed aggiornare il Documento Programmatico sulla Sicurezza (DPS). Tuttavia ciò non significa cancellare di colpo tutti gli adempimenti finora obbligatori in materia di privacy e tutela dei dati personali, ma solo alleggerire le modalità di osservanza di tali obblighi. Resteranno infatti in vigore tutte le disposizioni previste dall’art. 34 del Decreto legislativo 30 giugno 2003, n. 196 ovvero:

· l’autenticazione informatica e l’adozione di procedure di gestione delle credenziali di autenticazione; · l’utilizzazione di un sistema di autorizzazione; · l’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti

alla gestione o alla manutenzione degli strumenti elettronici · la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e

a determinati programmi informatici; · l’adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; · l’adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo

stato di salute o la vita sessuale effettuati da organismi sanitari. Le nomine e le informative acquistano in questa nuova ottica un ruolo ancora più importante in quanto diventano

documenti indipendenti fini a se stessi e rappresentano, insieme alla formazione ai Responsabili, la dimostrazione che il

Titolare del trattamento ha individuato le figure addette alla gestione dei dati e ha fornito loro le informazioni

indispensabili per adempiere ai doveri indicati nella nomina.

Resta inoltre invariata ad esempio la necessità di prevedere password per l’accesso ai singoli pc e/o al sistema

informatico aziendale, la periodica sostituzione di tali credenziali con la relativa procedura di conservazione presso il

custode delle parole chiave, l’obbligo di definizione di una procedura di back up dei dati, la definizione di un sistema di

ripristino di dati ed informazioni, la nomina di un Amministratore di sistema

L’abrogazione del DPS quindi non comporta meno obblighi in materia di privacy da parte di un Responsabile:

semplicemente limita le “carte” da produrre per dimostrare ciò che comunque si deve continuare a fare

E’ fondamentale quindi che tale concetto sia efficacemente trasmesso poiché il rischio di tale semplificazione è quello di

far credere che non sia più necessario far nulla in tema di protezione dei dati personali.

Nella redazione del DPS si è tenuto conto dell'adozione del Sistema Informatico e delle procedure applicative in essere

presso l’Ente, e si effettua una ricognizione generale dei trattamenti svolti dalla Provincia, in conformità alle prescrizione

legislative, ovvero attribuiti ad entità esterne. Allo scopo vengono esaminati i processi di lavoro, censite le misure di

sicurezza per la protezione dei dati, individuati i soggetti fisici e giuridici che svolgono operazioni di trattamento dei dati e

che sono abilitati a svolgerle, esaminate le deliberazioni in materia e le istruzioni normative interne che disciplinano

l'operatività, osservati e classificati gli ambienti ed i locali di lavoro nei quali avvengono i trattamenti.

L'analisi del ciclo di lavorazione dei dati riguarda sia i trattamenti svolti con strumenti elettronici, sia i trattamenti relativi

ad atti e documenti cartacei.

I trattamenti svolti dalla Provincia, riguardano:

Ø i dipendenti, Ø gli amministratori, Ø i collaboratori.

Tra le proprie politiche rivolte alla sicurezza dei dati, la Provincia Regionale di Ragusa adotta per tutti i dati il livello di

sicurezza più elevato, evitando di riservare le misure di sicurezza più elevate ai soli dati sensibili e giudiziari. Perciò tutti i

trattamenti svolti con strumenti elettronici sono protetti dalle misure indicate nel DPS. Tuttavia, per gli incaricati che

svolgono attività in cui prevale il trattamento di dati sensibili o giudiziari sono fatte salve le norme previste in materia di

autorità giudiziale, contabile, civile e penale. Per lo svolgimento delle proprie attività il legale rappresentante

dell’Amministrazione, nella sua qualità di "titolare", si avvale dei Dirigenti preposti ai vari settori quali responsabili del

trattamento, così come individuati dall’organo competente, il cui elenco risulta permanentemente aggiornato e pubblicato

nella sezione “Trasparenza,Valutazione e Merito” del sito dell’Ente.

Breve excursus storico: Negli ultimi anni si nota un’acuirsi dell’interesse di molti intellettuali nei confronti della

“comunicazione” vista sotto diversi aspetti, dall’ambito sociologico, a quello politico. Non si può, esulare , quindi, in

questa sede , dal dare notizia di quali sono stati gli atti adottati da questa amministrazione per adeguarsi alle varie

disposizioni normative che si sono succedute.

Questo Ente, individuato dal “Codice in materia di protezione dei dati personali” come “titolare del trattamento” a cui competono le decisioni in ordine alla finalità, alle modalità del trattamento dei dati personali ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza, ha provveduto, con delibera Consiliare n. 92 del 09.10.06, ad approvare il Documento Programmatico per la Sicurezza dell’Ente medesimo. Altresì, sempre con la stessa delibera, l’allora Direttore Generale dell’ Ente aveva provveduto, in conformità ai commi 2,

3, 4 e 5 dell’Art. 29 del Decreto Legislativo, a nominare quali responsabili del “trattamento dati” i responsabili dei settori.

Il presente atto è stato altresì aggiornato ai sensi dell’articolo 34, comma 1, lettera g) e Allegato B - Disciplinare Tecnico, del Decreto legislativo 30 Giugno 2003 n.196 con Il documento approvato con Deliberazione della Giunta Provinciale n. 280 del 25 giugno 2009 I.E. quale aggiornamento, per l’anno 2009, del Documento programmatico sulla sicurezza, ai sensi dell’art. 34 e dell’allegato B “Disciplinare Tecnico” del D. L.vo n. 196/03, e ha fissato le linee guida ritenute idonee sia per l’anno 2010, ma anche per gli anni avvenire ,sussistendo allora , ancora l’obbligo di continuare ad aggiornare ed adottare annualmente, entro il 31 marzo, il Documento Programmatico sulla Sicurezza dei dati, come da indicazioni dell’Allegato B del D. Lgs. n. 196 del 30.06.2003, finalizzato all’analisi, progettazione, implementazione e gestione di soluzioni nell’ambito delle applicazioni e delle infrastrutture gestite da questo Ente Provincia. Successivamente con la determinazione di R.G. n. 1736/2010 prot. n. 19639 del 30 marzo 2010 si è provveduto contestualmente all’aggiornamento del D.P.S. per l’anno 2010 al Rinnovo della nomina di Amministratore di Sistema e Responsabile della sicurezza informatica per la privacy”.

Da ultimo poiché il Garante per la protezione dei dati personali, con provvedimento del 27.11.2008, pubblicato nella G.U.

n. 300 del 24.12.2008, ha provveduto ad individuare le misure e gli accorgimenti che i titolari del trattamento dati

debbono effettuare relativamente alle attribuzioni delle funzioni di “Amministratore di sistema”, con determina n. 3483/09

del 19 giugno 2009 prot. n. 33754, si è provveduto a nominare l’ing. Giuseppe Cianciolo, titolare dei Servizi Informatici

della Provincia nella U.O.A. Direzione Generale, “Amministratore di Sistema e Responsabile della sicurezza informatica

per la privacy”.

Il Responsabile del Procedimento (Dr.ssa Concetta Patrizia Toro)

Il Segretario Generale

(Dr. Ignazio Baglieri)

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

Approvato con deliberazione del Consiglio Provinciale n° 92 del 6 Settembre

2006

La superiore deliberazione n° 92/2006 con allegato il regolamento è stata

pubblicata all’albo pretorio della Provincia dall’ 8/10/2006 al 2/11/2006

R E G O L A M E N T O

ARTICOLO 1Oggetto del Regolamento

Il presente regolamento, in attuazione del d.lg. 30 giugno 2003, n° 196, identifica i tipi di dati sensibili e giudiziari e le operazioni eseguibili da parte della Provincia nello svolgimento delle proprie funzioni istituzionali.

ARTICOLO 2Individuazione di tipi di dati e di operazioni eseguibili

In attuazione delle disposizioni di cui agli artt. 20,comma 2, e 21, comma 2, del d.lg. 30 giugno 2003, n.196, le tabelle che formano parte integrante del presente regolamento, contraddistinte dai numeri da 1 a 15, identificano o tipi di dati sensibili e giudiziari per cui è consentito il relativo trattamento, nonché le operazioni eseguibili in riferimento alle specifiche finalità di ridiventa interesse pubblico perseguite nei singoli casi ed individuate nel d.lg. n.196/2003(artt. 59,60,62-73,86,95,98 e 112).I dati sensibili e giudiziari individuati nel presente regolamento sono trattati previa verifica della loro pertinenza, completezza e indispensabilità rispetto alle finalità perseguite nei singoli casi, specie nel caso in cui la raccolta non avvenga presso l’interessato.Le operazioni di interconnessione, raffronto, comunicazione e diffusione individuate nel presente regolamento sono ammesse soltanto se indispensabili allo svolgimento degli obblighi o compiti di volta in volta indicati, per il perseguimento delle finalità di interesse pubblico specificate e nel rispetto delle disposizioni rilevanti in materia di protezione dei dati personali, nonché degli altri limiti stabiliti dalla legge e dai regolamenti.I raffronti e le interconnessioni con altre informazioni sensibili e giudiziarie detenute dalla Provincia sono consentite soltanto previa verifica della loro stretta indispensabilità nei singoli casi8 ed indicazione scritta dei motivi che ne giustificano l’effettuazione. Le predette operazioni, se effettuate utilizzando banche dati di diversi titolari del trattamento, nonché la diffusione di dati sensibili e giudiziari, sono ammesse esclusivamente previa verifica della loro indispensabilità nei singoli casi e nel rispetto dei limiti e con le modalità stabilite dalle disposizioni legislative che le prevedono (art. 22 del d.lg. n. 196/2003).Sono inutilizzabili i dati trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali (Artt. 11 e 22, comma 5 del d.lg. n.196/2003)

ARTICOLO 3Riferimenti normativi

Al fine di una maggiore semplificazione e leggibilità del presente regolamento, le disposizioni di legge, citate nella parte descrittiva delle “fonti normative” delle schede, si intendono come recanti le successive modifiche ed integrazioni.

Indice dei trattamenti

N°scheda Denominazione del trattamento

1Gestione del rapporto di lavoro del personale impiegato a vario titolo presso la Provincia, enti, istituzioni ed

aziende collegate

2

Gestione del rapporto di lavoro del personale impiegato a vario titolo presso la Provincia, enti, istituzioni ed aziende collegate - attività relativa al riconoscimento di benefici connessi all'invalidità civile, benefici connessi all'invalidità derivante da cause di servizio e benefici derivanti dal riconoscimento di inabilità a svolgere attività lavorativa

3Gestione dei dati relativi agli organi istituzionali dell'ente, dei difensori civici, nonché dei rappresentanti

dell'ente presso enti, aziende e istituzioni

4 Attività politica, di indirizzo e di controllo, sindacato ispettivo

5 Attività del difensore civico provinciale

6Gestione delle attività relative all'incontro domanda/offerta di lavoro, comprese quelle relative alla formazione

professionale

7Gestione del contenzioso - attività relative alla consulenza giuridica, nonché al patrocinio ed alla difesa in

giudizio dell'amministrazione

8Attività di erogazioni e benefici a vario titolo a sostegno di singoli o famiglie in campo sociale, erogazioni e

attività a sostegno di imprese nel settore dello sviluppo economico

9Attività di controllo e vigilanza in materia ambientale effettuata dai corpi di polizia provinciale, dalle guardie

venatorie, dal personale di vigilanza volontario e uffici preposti

10 Attività in materia di sicurezza stradale effettuate dai corpi di polizia provinciale

11 Attività relativa al rilascio di autorizzazioni, abilitazioni ed iscrizioni agli albi

12Attività di rilevamento dei bisogni per la programmazione degli interventi e di predisposizione dei piani

provinciali di emergenza in materia di protezione civile

13 Gestione delle biblioteche e dei centri di documentazione

14 Organizzazione del servizio scolastico

15 Attività riguardanti le iniziative di democrazia diretta

Allegati allo schema tipo di regolamento per il trattamento dei dati sensibili e giudiziari delle province-Schede da n. 1 a n. 5

Scheda n. 1

Denominazione del trattamentoGestione del rapporto di lavoro del personale impiegato a vario titolo presso la Provincia, enti, i stituzioni ed aziende collegate

Fonte normativa (indicare, se possibile, le fonti normative sull'attività istituzionale cui il trattamento è collegato)Codice Civile (artt. 2094-2134); l. 20.05.1970, n. 300 "Norme sulla tutela della libertà e dignità dei lavoratori, della libertà sindacale e dell'attività sindacale nei luoghi di lavoro e norme sul collocamento" ; d.lg. 30.03.2001, n. 165 "Norme generali sull'ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche"; CCNL; Contratto collettivo decentrato di ogni singolo ente; legge 12.03.1999, n. 68 "Norme per il diritto al lavoro dei disabili"; d.P.R. 29.10.2001, n. 461 "Regolamentorecante semplificazione dei procedimenti per il riconoscimento della dipendenza delle infermità da causa di serviz io, per la concessione della pensione privilegiata ordinaria e dell'equo indennizzo, nonché per il funzionamento e la composizione del comitato per le pensioni privilegiate ordinarie"; d.lg. 18.08.2000, n. 267 "Testo unico delle leggi sull'ordinamento degl i enti locali"; legge 08.03.2000, n. 53 "Disposizioni per il sostegno della maternità e della paternità, per il diritto alla cura e alla formazione e per il coordinamento dei tempi delle città"; d.P.R. 20.10.1998, n. 428 "Regolamento recante norme per la gestione del protocollo informatico da parte delle amministrazioni pubbliche"; d.lg. 19.09.1994, n. 626 "Attuazione della direttiva 89/391/CEE, della direttiva 89/654/CEE, della direttiva 89/655/CEE, della direttiva 89/656/CEE, della direttiva 90/269/CEE, della direttiva 90/270/CEE, della direttiva 90/394/CEE, della direttiva 90/679/CEE, della direttiva 93/88/CEE, della direttiva 95/63/CE, della direttiva 97/42/CE, della direttiva 98/24/CE, della direttiva 99/38/CE e della direttiva 99/92/CE riguardanti il miglioramento della sicurezza e della salute dei lavoratori durante il lavoro";l. 07.02.1990, n. 19 "Modifiche in tema di circostanze, sospensione condizionale della pena e destituzione dei pubblici dipendenti"; d.lg. 26.03.2001, n. 151 "Testo unico in materia di tutela e sostegno della maternità e paternità a norma dell'art. 15 della legge 8 marzo 2000, n. 53"; l. 05.02.1987, n. 49 "Nuova disciplina della cooperazione dell'Italia con i Paesi in via di sviluppo"; l. 5.2.1992, n. 104 "Legge-quadro per l'assistenza, l'integrazione sociale e i diritti delle persone handicappate"; d.lg. 30.07.1999, n. 286 "Riordino e potenziamento dei meccanismi e strumenti di monitoraggio e valutazione dei costi, dei rendimenti e dei risultati dell'attività svolta dalle amminis trazioni pubbliche, a norma dell'articolo 11 della L. 15 marzo 1997, n. 59"; l. 14.02.2003, n. 30 "Delega al Governo in materia di occupazione e mercato del lavoro";l. 11.05.2004, n. 126 "Conversione in legge, con modificazioni, del D.L. 16 marzo 2004, n. 66, recante interventi urgenti per i pubblici dipendenti sospesi o dimessisi dall'impiego a causa di procedimento penale, successivamente conclusosi con proscioglimento"; legge 24.12.1986, n. 958 "Norme sul servizio militare di leva e sulla ferma di leva prolungata";l. 06.03.2001, n. 64 "Istituzione del servizio civile nazionale"; d.P.R. 28.12.2000, n. 445 "Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa"; d.P.R. 30.06.1965, n. 1124, "Testo unico delledisposizioni per l'assicurazione obbligatoria contro gli infortuni sul lavoro e le malattie professionali legge regionale";regolamento provinciale in materia di organizzazione e personale

Rilevanti finalità di interesse pubblico perseguite dal trattamentoInstaurazione e gestione dei rapporti di lavoro dipendente di qualunque tipo, dipendente o autonomo, anche non retribuito o onorario o a tempo parziale o temporaneo, e di altre forme di impiego che non comportano la costituzione di un rapporto di lavoro subordinato (art. 112, d.lg. n. 196/2003)

Tipi di dati trattati (barrare le caselle corrispondenti)

Origine |X| razziale |X| etnica

Convinzioni |X| religiose, |X| filosofiche, |X| d'altro genere

Convinzioni |X| politiche, |X| sindacali

Stato di salute |X| patologie attuali, |X| patologie pregresse, |X| terapie in corso, |X| dati sulla salute relativi ai familiari del dipendente

Vita sessuale |X| (soltanto in caso di eventuale rettificazione di attribuzione di sesso)

Dati di carattere giudiziario (art. 4, comma 1, lett. e), d.lg. n. 196/2003) |X|

Operazioni eseguite (barrare le caselle corrispondenti)

Trattamento "ordinario" dei dati

Raccolta: |X| presso gli interessati |X| presso terzi

Elaborazione: |X| in forma cartacea |X| con modalità informatizzate

Altre operazioni indispensabili rispetto alla finalità del trattamento e diverse da quelle "ordinarie" quali la registrazione, la conservazione, la cancellazione o

il blocco nei casi previsti dalla legge (specificare): |X| interconnessioni e raffronti, comunicazioni (come di seguito individuate)

Particolari forme di elaborazione

Interconnessioni e raffronti di dati:

|X| con altri trattamenti o banche dati dello stesso ente (specificare quali ed indicarne i motivi): Uffici personale e ragioneria (per l'erogazione del trattamento stipendiale); centri per l'impiego (per reclutamento del personale)

|X| con altri soggetti pubblici o privati (specificare quali ed indicare la base normativa): amministrazioni certificanti ai sensi dell'art. 43 del d.P.R. n. 445/2000

Comunicazione ai seguenti soggetti per le seguenti finalità (specificare ed indicare l'eventuale base normativa): |X|

a) organizzazioni sindacali (per computare i permessi nonché le trattenute sindacali relativamente ai dipendenti che hanno rilasciato delega);

b) enti assistenziali, previdenziali, assicurativi (Inail) ed autorità locali di pubblica sicurezza per rilevazione di eventuali patologie o di infortuni sul lavoro a fini previdenziali;

c) Presidenza del Consiglio dei Ministri, Dipartimento funzione pubblica (per la rilevazione annuale dei permessi per cariche sindacali e funzioni pubbliche elettive);

d) Ministero dell'Economia e Finanze nel caso in cui l'ente svolga funzioni di Centro Assistenza Fiscale;

e) uffici competenti per il collocamento mirato e l'attivazione del diritto al lavoro dei soggetti disabili (l. n. 68/1999);

f) strutture sanitarie competenti per le visite fiscali (art. 5 l. n. 300/1970 e CCNL);

g) enti di appartenenza dei lavoratori comandati in entrata (al fine di gestire la procedura di mobilità);

h) Ministero economia e finanze nel caso in cui l'ente svolga funzioni di centro assistenza fiscale (ai sensi dell'art. 17del d.m. 31.05.1999, n. 164 e nel rispetto dell'art. 12 bis del d.P.R. 29.09.1973, n. 600)

Sintetica descrizione del trattamento e del flusso informativoIl trattamento concerne tutti i dati relativi all'instaurazione ed alla gestione del rapporto di lavoro, a qualunque titolo (compreso quelli a tempo determinato, part-time e di consulenza, nell'ente ovvero in aziende ed istituzioni ad esso collegate) a partire dai procedimenti concorsuali o altre procedure di selezione. Le informazioni sulla vita sessuale possono desumersi unicamente in caso di rettificazione di attribuzione di sesso. I dati sono oggetto di trattamento presso le competenti strutture della Provincia per quanto riguarda la gestione dell'orario di servizio, le certificazioni di malattie ed altri giustificativi delle assenze; vengono inoltre effettuati trattamenti a fini statistici e di controllo di gestione. I dati sulle convinzioni religiose possono rendersi necessari per la concessione di permessi per festività la cui fruizione è connessa all'appartenenza a determinate confessioni religiose; quelli sulle opinioni filosofiche o d'altro genere possono venire in evidenza dalla documentazione connessa allo svolgimento del servizio di leva come obiettore di coscienza, nonché tutti i dati relativi alla selezione ed all'impiego dei volontari del servizio civile. I dati pervengono su iniziativa dei dipendenti e/o su comunicazione di terzi (Autorità giudiziaria, ASL, medico competente per accertamenti di cui al d.lg. 626/94, Istituti di previdenza e assicurativi, istituti scolastici di vario ordine e grado), anche previa richiesta da parte della Provincia. Possono essere raccolti anche dati sulla salute relativi ai familiari del dipendente nei soli casi previsti dalla legge per la concessioni dei benefici previsti. I dati sono conservati sia in forma cartacea che informatizzata e vengono trattati ai fini dell'applicazione dei vari istituti contrattuali di legge (gestione giuridica, economica, previdenziale, pensionistica; attività di aggiornamento e formazione). Vengono effettuate interconnessioni e raffronti con amministrazioni e gestori di pubblici servizi: tale tipo di operazioni è finalizzato esclusivamente all'accertamento d'ufficio di stati, qualità e fatti ovvero al controllo sulle dichiarazioni sostitutive ai sensi dell'art. 43 del d.P.R. n. 445/2000.

Scheda n. 2

Denominazione del trattamentoGestione del rapporto di lavoro del personale impiegato a vario titolo presso la Provincia - attività relativa al riconoscimento di benefici connessi all'invalidità civile, all'invalidità derivante da cause di servizio e benefici derivanti dal riconoscimento di inabilità a svolgere l'attività lavorativa

Fonte normativa (indicare, se possibile, le fonti normative sull'attività istituzionale cui il trattamento è collegato)L. 24.05.1970, n. 336 "Norme a favore dei dipendenti civili dello Stato ed Enti pubblici ex combattenti ed assimila ti";l. 12.03.1999, n. 68 "Norme per il diritto al lavoro dei disabili"; l. 05.02.1992, n. 104 "Legge-quadro per l'assistenza, l'integrazione sociale e i diritti delle persone handicappate"; d.P.R. 29.10.2001, n. 461 "Regolamento recante semplificazione dei procedimenti per il riconoscimento della dipendenza delle infermità da causa di servizio, per la concessione della pensione privilegiata ordinaria e dell'equo indennizzo, nonché per il funzionamento e la composizione del comitato per le pensioni privilegiate ordinarie"; d.lg. 19.09.1994, n. 626 "Attuazione della direttiva 89/391/CEE, della direttiva 89/654/CEE, della direttiva 89/655/CEE, della direttiva 89/656/CEE, della direttiva 90/269/CEE, della direttiva 90/270/CEE, della direttiva 90/394/CEE, della direttiva 90/679/CEE, della direttiva 93/88/CEE, della direttiva 95/63/CE, della direttiva 97/42/CE,della direttiva 98/24/CE, della direttiva 99/38/CE e della direttiva 99/92/CE riguardanti il miglioramento della sicurezza e della salute dei lavoratori durante il lavoro"; l. 08.08.1995, n. 335 "Riforma del sistema pensionistico obbligatorio e complementare"; d.P.R. 30.06.1965, n. 1124 "Testo unico delle disposizioni per l'assicurazione obbligatoria contro gli infortuni sul lavoro e le malattie professionali", legge 23.12.2000, n. 388 "Legge finanziaria 2001"; legge regionale; regolamento provinciale in materia di organizzazione e personale

Rilevanti finalità di interesse pubblico perseguite dal trattamentoConcessione, liquidazione, modifica e revoca di benefici economici, agevolazioni, elargizioni, altri emolumenti (art. 68, d.lg. n. 196/2003)


Stato di salute: |X| patologie attuali |X| patologie pregresse |X| terapie in corso





Altre operazioni indispensabili rispetto alla finalità del trattamento e diverse da quelle "ordinarie" quali la registrazione, la conservazione, la cancellazione o il blocco nei casi previsti dalla legge (specificare): |X| interconnessioni e raffronti, comunicazioni (come di seguito individuate)





a) INAIL (per verificare la liquidazione in caso di equo indennizzo ai sensi del d.P.R. n. 1124/1965);

b) comitato di verifica per le cause di servizio e commissione medica territorialmente competente (per conseguire il parere definitivo di riconoscimento della causa di servizio ai sensi del d.P.R. n. 461/2001);

c) Inpdap (in caso di inabilità assoluta e permanente a qualsiasi attività lavorativa ai fini dell'erogazione del relativo trattamento di pensione e del riconoscimento del diritto alla pensione privilegiata ai sensi della legge n. 335/1995 e della legge n. 152/1968)

Sintetica descrizione del trattamento e del flusso informativo

I dati sullo stato di salute vengono acquisiti a seguito della richiesta presentata dall'interessato e da terzi (in particolare dalla Commissione medico ospedaliera territorialmente competente per l'accertamento delle condizioni di inidoneità al servizio, nonché dal Comitato di verifica per le cause di servizio in caso di equo indennizzo). In caso di invalidità assoluta e permanente, l'interessato viene collocato in pensione e la relativa pratica, contenente dati sulla salute, viene trasmessa all'Inpdap. Vengono effettuate interconnessioni e raffronti con amministrazioni e gestori di pubblici servizi: tale tipo di operazioni è finalizzato esclusivamente all'accertamento d'ufficio di stati, qualità e fatti ovvero al controllo sulle dichiarazioni sostitutive ai sensi dell'art. 43 del d.P.R. n. 445/2000. Il verbale dell'organo di consulenza medico-legale viene quindi trasmesso al comitato di verifica delle cause di servizio che esprime un parere definitivo sulla dipendenza dell'infermità o lesione da causa di servizio. Il riconoscimento di invalidità contratta per causa di servizio ha valore di accertamento definitivo per le richieste di equo indennizzo e di pensione privilegiata. In caso di richiesta di pensione privilegiata, i dati vengono trasmessi all'Inpdap per l'erogazione del trattamento pensionistico. Uguale trasmissione si ha nell'ipotesi di richiesta di riconoscimento alla contribuzione figurativa di cui all'art. 80, l. n. 388/2000.

Scheda n. 3

Denominazione del trattamentoGestione dei dati relativi agli organi istituzionali dell'ente, dei difensori civici, nonché dei rappresentanti dell'ente presso enti, aziende e istituzioni

Fonte normativa (indicare, se possibile, le fonti normative sull'attività istituzionale cui il trattamento è collegato)D.lg. 18.08.2000, n. 267 "Testo unico delle leggi sull'ordinamento degli enti locali" (artt. 55 e ss.); l. 08.03.1951, n. 122,"Norme per l'elezione dei Consigli provinciali"; l. 25.03.1993, n. 81, "Elezione diretta del sindaco, del presidente della provincia, del consiglio comunale e del consiglio provinciale"; l. 30.04.1999, n. 120 "Disposizioni in materia di elezioni degli enti locali, nonché disposizioni sugli adempimenti in materia elettorale"; l. 05.07.1982, n. 441, "Disposizioni per la pubblicità della situazione patrimoniale di titolari di cariche elettive e di cariche direttive di alcuni enti"; l. 19.03.1990 n. 55 (art. 15),"Nuove disposizioni per la prevenzione della delinquenza di tipo mafioso e di altre gravi forme di manifestazione di pericolosità sociale"; Regolamento provinciale

Rilevanti finalità di interesse pubblico perseguite dal trattamentoApplicazione della disciplina in materia di elettorato attivo e passivo, esercizio del mandato degli organi rappresentativi e di affidamento di incarichi di rappresentanza in enti, aziende e istituzioni (art. 65, comma 1, lett. a), 2, lett. c) ed e)), nonché accertamento dei requisiti di onorabilità e di professionalità per le nomine a cariche direttive di persone giuridiche (art. 69d.lg. n. 196/2003)



Convinzioni |X| religiose, |X| d'altro genere


Stato di salute |X| patologie attuali |X| terapie in corso

Vita sessuale |X| (soltanto in caso di eventuale rettificazione di attribuzione di sesso)






Altre operazioni indispensabili rispetto alla finalità del trattamento e diverse da quelle "ordinarie" quali la registrazione, la conservazione, la cancellazione o il blocco nei casi previsti dalla legge (specificare): |X| interconnessioni e raffronti, comunicazione, diffusione (come di seguito individuate)



|X| con altri trattamenti o banche dati dello stesso ente (specificare quali ed indicarne i motivi): Uffici personale e ragioneria per l'erogazione degli emolumenti.

Comunicazione ai seguenti soggetti per le seguenti finalità (specificare ed indicare l'eventuale base normativa): |X| Ministerodell'Economia e Finanze per dichiarazione dei redditi nel caso in cui l'ente svolga la funzione di Centro Assistenza Fiscale e al Ministero dell'Interno per l'anagrafe degli amministratori locali (ex art. 76 d.lg. n. 267/2000)

Diffusione ( specificare l'ambito ed indicare l'eventuale base normativa ): |X| pubblicazione all'albo pretorio delle decisioni in materia di candidabilità (d.lg. n. 267/2000); anagrafe degli amministratori locali (d.lg. n. 267/2000);


Al fine di valutare eventuali cause ostative alla candidatura dei singoli soggetti, così come per la pronuncia di decadenza di diritto (preventiva o successiva) dall'incarico, vengono acquisiti i dati giudiziari dalla Procura della Repubblica, dall'Ufficio elettorale centrale presso il Tribunale, dalla Prefettura e dal Ministero dell'Interno. Le decisioni in materia di candidabilità, contenenti in particolare la sigla politica di appartenenza dell'interessato, vengono pubblicate all'albo pretorio. Oltre alle informazioni di carattere politico, sindacale, religioso e di altro genere, la Presidenza della Provincia tratta i dati sanitari degli organi istituzionali al fine di verificare la loro partecipazione alle attività dell'ente; le informazioni sulla vita sessuale possono desumersi unicamente in caso di rettificazione di attribuzione di sesso. I dati vengono diffusi nei casi previsti dalla normativa in vigore (pubblicazione all'albo pretorio delle decisioni in materia di candidabilità ai sensi d.lg. n. 267/2000; pubblicità dell'anagrafe degli amministratori locali ai sensi del citato d.lg. n. 267/2000). Con riferimento alla nomina del difensore civico, la valutazione del dato politico e giudiziario, in relazione alla presentazione dei curricula, avviene sia a livello politico (da parte dei gruppi consiliari e dei relativi uffici di supporto), sia a livello amministrativo (da parte degli organi della provincia, deputati all'istruttoria e alla verifica dei requisiti soggettivi e oggettivi). Il trattamento è altresì finalizzato all'accertamento dei requisiti di professionalità ed onorabilità dei candidati alle nomine presso enti, aziende e istituzioni.

Scheda n. 4

Denominazione del trattamentoAttività politica, di indirizzo e di controllo, sindacato ispettivo e documentazione dell'attività istituzionale degli organi provinciali

Fonte normativa (indicare, se possibile, le fonti normative sull'attività istituzionale cui il trattamento è collegato)D.lg. 18/08/2000, n. 267, "Testo unico delle leggi sull'ordinamento degli enti locali"; statuto e regolamento provinciale

Rilevanti finalità di interesse pubblico perseguite dal trattamentoAttività di controllo, di indirizzo politico e di sindacato ispettivo e documentazione dell'attività istituzionale di organi pubblici (artt. 65, comma 1, lett. b) e 4, e 67, comma 1, lett. b), d.lg. n. 196/2003)





Stato di salute |X| patologie attuali |X| patologie pregresse |X| terapie in corso |X| anamnesi familiare

Vita sessuale |X|






A ltre operazioni indispensabili rispetto alla finalità del trattamento e diverse da quelle "ordinarie" quali la registrazione, la conservazione, la cancellazione o il blocco nei casi previsti dalla legge (specificare): |X| comunicazione e diffusione (come di seguito individuate)


Comunicazione ai seguenti soggetti per le seguenti finalità (specificare ed indicare l'eventuale base normativa): |X| amministrazioni interessate o coinvolte nelle questioni oggetto dell'attività politica, di controllo e di sindacato ispettivo

Diffusione (specificare l'ambito ed indicare l'eventuale base normativa): |X| limitatamente ai dati indispensabili ad assicurare la pubblicità dei lavori dei consigli provinciali, delle commissioni e degli altri organi provinciali ( d.lg. n. 267/2000)


Nell'ambito delle proprie prerogative, i consiglieri provinciali possono formulare atti sia di indirizzo politico (quali mozioni, ordini del giorno e risoluzioni), sia di sindacato ispettivo (presentando interrogazioni ed interpellanze alla Giunta provinciale), secondo le modalità stabilite dallo Statuto provinciale e dal regolamento interno del Consiglio provinciale. Le predette attività possono comportare il trattamento di dati sensibili e giudiziari riguardanti le persone oggetto di mozioni, ordini del giorno, risoluzioni, interrogazioni o interpellanze.Queste informazioni, eccetto quelle idonee a rivelare lo stato di salute, possono inoltre essere diffuse ai sensi deld.lg. n. 267/200 in ottemperanza al regime di pubblicità degli atti e delle sedute dei consigli provinciali, delle commissio ni e degli altri organi provinciali (art. 65, comma 5, d.lg. n. 196/2003).

Scheda n. 5

Denominazione del trattamentoAttività del difensore civico provinciale

Fonte normativa (indicare, se possibile, le fonti normative sull'attività istituzionale cui il trattamento è collegato)L. 05.02.1992, n. 104 "Legge-quadro per l'assistenza, l'integrazione sociale e i diritti delle persone handicappate";l. 15.05.1997, n. 127, "Misure urgenti per lo snellimento dell'attività amministrativa e dei procedimenti di dec isione e di controllo"; d.lg. 18.08.2000, n. 267, "Testo unico delle leggi sull'ordinamento degli enti locali"; legge regionale; statuto e regolamento provinciale

Rilevanti finalità di interesse pubblico perseguite dal trattamentoAttività dei difensori civici locali (art. 73, comma 2, lett. l), d.lg. n. 196/2003)





Stato di salute |X| patologie attuali |X| patologie pregresse |X| terapie in corso |X| anamnesi familiare

Vita sessuale |X|






Altre operazioni indispensabili rispetto alla finalità del trattamento e diverse da quelle "ordinarie" quali la registrazione, la conservazione, la cancellazione o il blocco nei casi previsti dalla legge (specificare): |X| comunicazione (come di seguito individuate)


Comunicazione ai seguenti soggetti per le seguenti finalità (specificare ed indicare l'eventuale base normativa): |X| pubbliche amministrazioni, enti e soggetti privati, gestori o concessionari di pubblico servizio interessati o coinvolti nell'attività istruttoria (l. n. 104/1992; l. n. 127/1997; d.lg. n. 267/2000)

Sintetica descrizione del trattamento e del flusso informativoI dati vengono raccolti, sia dall'interessato, sia da terzi, al fine di attivare interventi di di fesa civica a seguito di istanza dei cittadini o di propria iniziativa, in riferimento a provvedimenti, atti, fatti, omissioni, ritardi o irregolarità compiuti da uffici e servizi dell'amministrazione provinciale. I dati utilizzati possono essere comunicati a pubbliche amministrazioni, enti e soggetti privati, gestori o concessionari di pubblico servizio interessati o coinvolti nell'attività istruttoria.

Scheda n. 6

Denominazione del trattamentoGestione delle attività relative all'incontro domanda/offerta di lavoro, comprese quelle relative alla formazione professionale

Fonte normativa (indicare, se possibile, le fonti normative sull'attività istituzionale cui il trattamento è collegato)D.lg. 23.12.1997, n. 469 "Conferimento alle regioni e agli enti locali di funzioni e compiti in materia di mercato del lavoro, a norma dell'articolo 1 della L. 15 marzo 1997, n. 59"; l. 12.03.1999, n. 68 ; "Norme per il diritto al lavoro dei disabili";d.lg. 31.03.1998, n. 112 "Conferimento di funzioni e compiti amministrativi dello Stato alle regioni ed agli enti locali, in attuazione del capo I della L. 15 marzo 1997, n. 59" (art. 143); l. 19.07.93, n. 236 "Conversione in legge, con modificazioni, del D.L. 20 maggio 1993, n. 148, recante interventi urgenti a sostegno de ll'occupazione"; l. 08.03.2000 n. 53 "Disposizioni per il sostegno della maternità e della paternità, per il diritto alla cura e alla formazione e per il coordinamento dei tempi delle città"; d.lg. 21.04.2000 n. 181 "Disposizioni in materia di incontro fra domanda e offerta di lavoro in attuazione dell'art. 45,comma 1, lett. a), l. 17 maggio 1999, n. 144"; d.lg. 25.07.1998 n. 286 "Testo unico delle disposizioni concernenti la disciplina dell'immigrazione e norme sulla condizione dello straniero"; d.lg. 10.09.2003, n. 276, "Attuazione delle deleghe in materia di occupazione e mercato del lavoro, di cui alla L. 14.02.2003 n. 30"; l. 24.06.1997, n. 196 "Norme in materia di promozione dell'occupazione"; d.P.R. 07.07.2000, n. 442 "Regolamento recante norme per la semplificazione del procedimento per il collocamento ordinario dei lavoratori, ai sensi dell'articolo 20, comma 8, della legge n. 15 marzo 1997, n. 59"; l. 02.08.1999,n. 263 "Conversione in legge, con modificazioni, del dl 214/99, recante disposizioni urgenti per disciplinare la soppressione degli uffici periferici del Ministero del lavoro e della previdenza sociale per incentivare il ricorso all'apprendistato. Modifiche alla l. n. 144/99"; l. 23.07.1991, n. 223 "Norme in materia di cassa integrazione, mobilità, trattamenti di disoccupazione, attuazione di direttive della Comunità europea, avviamento al lavoro ed altre disposizioni in materia di mercato del lavoro";l. 17.05.1999, n. 144 "Misure in materia di investimenti, delega al Governo per il riordino degli investimenti all'occupazione e della normativa che disciplina l'INAIL, nonché disposizioni per il riordino degli enti previdenziali"; d.lg 19.12.2002, n. 297"Disposizioni modificative e correttive del Dlgs 21 aprile 2000, n. 181, recante norme per agevolare l'incontro tra domanda e offerta di lavoro, in attuazione dell'articolo 45, comma 1, lettera a) della l. n. 17 maggio 1999, n. 144"; d.lg. 15.04.2005,n. 76 "Definizione delle norme generali sul diritto-dovere all'istruzione e alla formazione, a norma dell'articolo 2, comma 1,lettera c), della l. n. 28 marzo 2003, n. 53"; d.lg. 15.04.2005, n. 77 "definizione delle norme generali relative all'alternanza scuola-lavoro, a norma dell'articolo 4 della l. n. 28 marzo 2003, n. 53", legge regionale; regolamento provinciale in materia di organizzazione e personale

Rilevanti finalità di interesse pubblico perseguite dal trattamentoSupporto al collocamento e all'avviamento al lavoro, in particolare a cura di centro di iniziativa locale per l'occupazione e disportelli-lavoro (art. 73, comma 2, lett. i), d.lg. n. 196/2003) e attività relativa alla cura dell'integrazione sociale, nonché del collocamento obbligatorio nei casi previsti dalla legge (art. 86, comma 1, lett. c), par. 2, d.lg. n. 196/2003)



Stato di salute |X| patologie attuali |X| patologie pregresse

Dati di carattere giudiziario (art. 4, comma 1, lett. e), del d.lg. n. 196/2003) |X|





Altre operazioni indispensabili rispetto alla finalità del trattamento e diverse da quelle "ordinarie" quali la registrazione, la conservazione, la cancellazione o il blocco nei casi previsti dalla legge (specificare): |X| interconnessioni e raffronti, comunicazione (come di segu ito individuate)



|X| con altri trattamenti o banche dati dello stesso ente (specificare quali ed indicarne i motivi): Ufficio del Personale (ai fini del reclutamento del personale)

|X| con altri soggetti pubblici o privati (specificare quali ed indicare la base normativa): comuni della provincia per il coordinamento degli sportelli anagrafe del lavoro e degli sportelli decentrati (ai sensi del d.lg. 469/1997), nonché regione ed operatori pubblici e privati accreditati o autorizzati nell'ambito della Borsa continua nazionale del lavoro (ai sensi del d.lg. n. 276/2003) limitatamente alle informazioni indispensabili all'instaurazione di un rapporto di lavoro

Comunicazione ai seguenti soggetti per le seguenti finalità (specificare ed indicare l'eventuale base normativa): |X| centri di formazione professionale, associazioni e cooperative del terzo settore, aziende per inserimento al lavoro o alla formazione limitatamente ai dati indispensabili alla frequenza di corsi di qualificazione professionale

Sintetica descrizione del trattamento e del flusso informativoI dati necessari per instaurare un rapporto di lavoro vengono trattati dai centri per l'impiego; le informazioni vengono messe a disposizione dall'interessato ovvero sono raccolte su sua richiesta da terzi (ASL, sportelli decentrati, Centri Impiego di altre Province, associazioni e patronati ) al fine di svolgere una corretta funzione di incontro tra domanda e offerta di lavoro. I d atirelativi agli iscritti negli elenchi di disoccupazione vengono confrontati con le richieste che provengono dai soggetti che offrono opportunità lavorative, al fine di avviare le procedure di collocamento; i dati possono essere altresì utilizzati per lapredisposizione di corsi di formazione, tirocini o colloqui di orientamento. Possono essere effettuati interconnessioni con i comuni della provincia, la regione e gli operatori pubblici e privati ai fini dell'attuazione della disciplina in materia di collocamento e mercato del lavoro. Vengono inoltre comunicati a centri di formazione professionale, associazioni e cooperative del terzo settore ed aziende che gestiscono programmi di inserimento al lavoro o di formazione ai fini dell'attuazione della disciplina in materia di formazione professionale.

Scheda n. 7

Denominazione del trattamentoGestione del contenzioso - attività relative alla consulenza giuridica, nonché al patrocinio ed alla difesa in giudizio dell'amministrazione

Fonte normativa (indicare, se possibile, le fonti normative sull'attività istituzionale cui il trattamento è collegato)Codice penale, Codice Civile, Codice di procedura civile, Codice di procedura penale; leggi sulla giustizia amministrazione; d.lg. 18.08.2000, n. 267 "Testo unico delle leggi sull'ordinamento degli enti locali"; d.lg. 30.03.2001, n. 165 "Norme generali sull'ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche"; CCNL; legge regionale; regolamento provinciale

Rilevanti finalità di interesse pubblico perseguite dal trattamentoFinalità volte a fare valere il diritto di difesa in sede amministrativa e/o giudiziaria (art. 71, d.lg. n. 196/2003)





Stato di salute |X| patologie attuali |X| patologie pregresse |X| terapie in corso |X| dati sulla salute relativi ai familiari del d ipendente

Vita sessuale |X|






Altre operazioni indispensabili rispetto alla finalità del trattamento e diverse da quelle "ordinarie" quali la registrazione, la conservazione, la cancellazione o il blocco nei casi previsti dalla legge (specificare): |X| interconnessioni e raffronti, comunicazione (come di seguito individuate)




Comunicazione ai seguenti soggetti per le seguenti finalità (specificare ed indicare l'eventuale base normativa): |X| Autoritàgiudiziaria, avvocati e consulenti tecnici incaricati della tutela giuridica dell'ente, assicurazioni, Inail, Inpdap, enti di patronato, sindacati, incaricati di indagini difensive proprie e altrui, società di riscossione tributi/sanzioni, Arpa, consulenti della controparte (per le finalità di corrispondenza sia in fase pregiudiziale, sia in corso di causa, per la gestione dei sinistri causati direttamente o indirettamente a terzi)

Sintetica descrizione del trattamento e del flusso informativoVengono effettuate la raccolta, la consultazione e l'elaborazione dei dati dell'interessato ed, eventualmente, anche di informazioni sulla salute relativi ai familiari del dipendente, nell'ambito di pareri resi all'Amministrazione, così come nell'ambito di scritti difensivi prodotti in giudizio e nelle sentenze. I dati, oltre ad essere raccolti dagli interessati, vengono raccolti anche da terzi (Autorità giudiziaria, avvocati e consulenti incaricati della tutela giuridica dell'ente, Arpa).Vengono effettuati eventuali raffronti ed interconnessioni con amministrazioni e gestori di pubblici servizi: tale tipo di operazioni è finalizzato esclusivamente all'accertamento d'ufficio di stati, qualità e fatti ovvero al controllo sulle dichiarazioni sostitutive ai sensi dell'art. 43 del d.P.R. n. 445/2000. Gli stessi possono essere comunicati agli uffici competenti per la relativa trattazione amministrativa, all'Autorità giudiziaria (che può anche comunicarli all'ente), al professionista per un'eventuale attribuzione di incarico; all'Inail, all'Inpdap, agli enti di patronato ed ai sindacati (incaricati di indagini difensive proprie e altrui); alle società di riscossione tributi/sanzioni, all'Arpa, nonché al consulente della controparte (per le finalità di corrispondenza sia in fase pregiudiziale, sia in corso di causa, nonché per la gestione dei sinistri causati direttamente o indirettamente a terzi).I dati riguardano ogni fattispecie che possa dare luogo ad un contenzioso: la gestione del personale, le sanzioni amministrativeirrogate dall'ente, gli illeciti amministrativi e penali connessi a specifiche funzioni ispettive dell'ente.

Scheda n. 8

Denominazione del trattamentoAttività di erogazioni e benefici a vario titolo a sostegno di singoli o famiglie in campo soc iale, erogazioni e attività a sostegno di imprese nel settore dello sviluppo economico

Fonte normativa (indicare, se possibile, le fonti normative sull'attività istituzionale cui il trattamento è collegato)L. 08.11.2000, n. 328 "Legge quadro per la realizzazione del sistema integrato di interventi e servizi sociali"; l. 06.03.1998, n. 40 "Disciplina dell'immigrazione e norme sulla condizione dello straniero"; l. 28.08.1997, n. 285 "Disposizioni per la promozione di diritti e di opportunità per l'infanzia e l'adolescenza"; d.lg. 18.08.2000, n. 267 "Testo unico delle legge sull'ordinamento degli enti locali"; l. 24.11.1981, n. 689 "Modifiche al sistema penale"; d.P.R. 07.04.2000, n. 118"Regolamento recante norme per la semplificazione del procedimento per la disciplina degli albi dei beneficiari di provvidenze di natura economica, a norma dell'articolo 20, comma 8, della L. 15 marzo 1997, n. 59"; legge 05.02.1992, n. 104 "Leggequadro sull'handicap"; d.lg. 15.11.1993, n. 507 "Revisione ed armonizzazione dell'imposta comunale sulla pubblicità e del diritto sulle pubbliche affissioni, della tassa per l'occupazione di spazi ed aree pubbliche dei comuni e delle province nonché della tassa per lo smaltimento dei rifiuti solidi urbani a norma dell'art. 4 della L. 23 ottobre 1992, n. 421, concernente il riordino della finanza territoriale (artt. 58-81)"; legge regionale; regolamento provinciale.

Rilevanti finalità di interesse pubblico perseguite dal trattamentoConcessione, liquidazione, modifica e revoca di benefici economici, agevolazioni, elargizioni, altri emolumenti ed abilitazioni (art. 68, d.lg. n. 196/2003); applicazione delle disposizioni in materia di tributi (art. 66, d.lg. n. 196/2003).



Convinzioni |X| religiose

Convinzioni |X| politiche

Stato di salute: |X| patologie attuali |X| patologie pregresse |X| terapie in corso |X| dati sulla salute relativi ai familiari dell'interessato

Dati di carattere giudiziario (art. 4, comma l, lett. e), d.lg. n. 196/2003) |X|





Altre operazioni indispensabili rispetto alla finalità del trattamento e diverse da quelle "ordinarie" quali la registrazione, la conservazione, la cancellazione o il blocco nei casi previsti dalla legge (specificare): |X| interconnessioni e raffronti, comunicazione, diffusione (come di seguito individuate)



|X| con altri trattamenti o banche dati dello stesso ente (specificare quali ed indicarne i motivi): Ufficio Personale, centro per l'impiego (per il supporto al collocamento)


Comunicazione ai seguenti soggetti per le seguenti finalità (specificare ed indicare l'eventuale base normativa): |X| enti,imprese, associazioni convenzionate, cooperative sociali, organismi di volontariato e Asl (limitatamente ai dati indispensabili all'erogazione del servizio)

Diffusione (specificare l'ambito ed indicare l'eventuale base normativa): |X| pubblicazione delle delibere ai sensi del d.P.R. n. 118/2000, fermo restando il divieto di diffondere i dati sulla salute a i sensi dell'art. 22, comma 8, del d.lg. n. 196/2003

Sintetica descrizione del trattamento e del flusso informativoI dati vengono forniti dall'interessato, che presenta un'apposita istanza per la fruizione dei servizi corredata dalla necessaria documentazione; solo in tal caso possono essere raccolte ulteriori informazioni dall'Autorità giudiziaria, dal Comune o dalla Camera di commercio. La documentazione presentata può evidenziare anche informazioni sulla salute relativi ai familiari dell'interessato. L'Ufficio preposto provvede all'erogazione dei benefici dopo aver verificato il possesso del requisito richiesto; in particolare, al fine di controllare le dichiarazioni sostitutive ai sensi dell'art. 43 del d.P.R. n. 445/2000, i dati vengono raffrontati con quelli detenuti da amministrazioni e gestori di pubblici servizi. Successivamente i dati vengono comunicati agli enti, alle imprese, alle associazioni convenzionate, alle cooperative sociali, agli organismi di volontariato e alle Asl, cheprovvedono eventualmente all'erogazione del servizio. Con riferimento alle attività relative alla concessione di benefici, sia in campo sociale che nel campo dello sviluppo economico, il trattamento dei dati si rende necessario sia per la concessione o l'assegnazione degli stessi, sia per la predisposizione delle graduatorie, che vengono rese pubbliche ove previsto dalla relativa normativa, fermo restando il divieto di diffondere i dati sulla salute ai sensi dell'art. 22, comma 8, del d.lg. n. 196/2003.

Scheda n. 9

Denominazione del trattamentoAttività di controllo e vigilanza in materia ambientale effettuata dai corpi di polizia provinciale, dalle guardie venatorie, dal personale di vigilanza volontario e uffici preposti

Fonte normativa (indicare, se possibile, le fonti normative sull'attività istituzionale cui il trattamento è collegato)R.d. 08.10.1931, n. 1604 "Testo Unico sulla Pesca"; r.d. 22.11.1914, n. 1486 "Regolamento per la pesca fluviale e lacuale",Codice di procedura civile, l. 24.11.1981, n. 689 "Modifiche al sistema penale"; d.lg. 18.08.2000, n. 267 "Testo unico delle leggi sull'ordinamento degli enti locali"; d.lg. 05.02.1997, n. 22 (decreto Ronchi) "Attuazione delle direttive 91/156/CEE sui rifiuti, 91/689/CEE sui rifiuti pericolosi e 94/62/CE sugli imballaggi e sui rifiuti di imballaggio"; d.lg. 11.05.1999 n. 152"Disposizioni sulla tutela delle acque dall'inquinamento e recepimento direttive CEE"; l. 21.11.2000, n. 353 "Legge-quadro in materia di incendi boschivi"; l. 14.08.1991, n. 281 "Legge quadro in materia di animali di affezione e prevenzione del randagismo"; d.P.R. 24.5.1988, n. 203 "Attuazione delle direttive CEE numeri 80/779, 82/884, 84/360 e 85/203 concernenti norme in materia di qualità dell'aria, relativamente a specifici agenti inquinanti, e di inquinamento prodotto dagli impianti industriali, ai sensi dell'art. 15 della L. 16 aprile 1987, n. 183"; l. 26.10.1995, n. 447 "Legge-quadro sull'inquinamento

acustico"; r.d. 11.12.1933, n. 1775 "Testo unico delle disposizioni di legge sul le acque e impianti elettrici"; d.lg. 22.1.2004, n. 42 "Codice dei beni culturali e del paesaggio, ai sensi dell'articolo 10, della legge n.137 del 6 luglio 2002"; l. 23.03.2001, n. 93 "Disposizioni in campo ambientale"; l. 11.02.1992, n. 157 "Norme per la protezione della fauna selvatica omeoterma e per il prelievo venatorio"; d.P.R. 09.04.1959, n. 128 "Norme di polizia delle miniere e delle cave"; d.lg. 31.3.1998, n. 112"Conferimento di funzioni e compiti amministrativi dello Stato alle regioni e agli en ti locali in attuazione del Capo I della legge n.59/97"; r.d. 18.06.1931, n. 773, "Approvazione del testo unico delle leggi di pubblica sicurezza"; d.P.R. 10.06.1955, n. 987,"Decentramento di servizi del Ministero dell'agricoltura e delle foreste"; l. 07.03.1986, n. 65, "Legge-quadro sull'ordinamento della polizia municipale"; legge regionale; regolamento provinciale.

Rilevanti finalità di interesse pubblico perseguite dal trattamentoAttività di polizia amministrativa locale, con particolare riferimento a i servizi di igiene, di polizia mortuaria e ai controlli in materia di ambiente, tutela delle risorse idriche e difesa del suolo (art. 73, comma 2, lett. f), d.lg. n. 196/2003)


Stato di salute |X| patologie attuali






Altre operazioni indispensabili rispetto alla finalità del trattamento e diverse da quelle "ordinarie" quali la registrazione, la conservazione, la cancellazione o il blocco nei casi previsti dalla legge (specificare):|X| interconnessioni e raffronti, comunicazione (come di seguito individuate)



|X| con altri trattamenti o banche dati dello stesso ente (specificare quali ed indicarne i motivi): uffici interni (per l'espletamento delle pratiche relative all'irrogazione delle sanzioni amministrative); Avvocatura (in caso di opposizione all'ordinanza ingiunzione)


Comunicazione ai seguenti soggetti per le seguenti finalità (specificare ed indicare l'eventuale base normativa): |X| ARPA -Agenzia Regionale per la Protezione Ambientale (per gli accertamenti previsti dalla normativa sull'inquinamento)

Sintetica descrizione del trattamento e del flusso informativoGli appartenenti ai reparti o corpi di polizia provinciale, le guardie volontarie in materia ittico-venatoria e gli altri addetti ai controlli in materia ambientale previsti per legge raccolgono e registrano i dati sanitari e giudiziari desunti da irregolarità diverse e, successivamente, li comunicano all'ARPA (per gli accertamenti previsti dalla normativa sull'inquinamento), agli uffici interni (al fine di contestare la violazione amministrativa ed instaurare il relativo procedimento sanzionatorio), ai legali interni o esterni (in caso di opposizione all'ordinanza ingiunzione). Vengono effettuate interconnessioni e raffronti con amministrazioni e gestori di pubblici servizi: tale tipo di operazioni è finalizzato esclusivamente all'accertamento d'ufficio di stati, qualità e fatti ovvero al controllo sulle dichiarazioni sostitutive ai sensi dell'art. 43 del d.P.R. n. 445/2000.

Scheda n. 10

Denominazione del trattamentoAttività in materia di sicurezza stradale effettuate dai corpi di polizia provinciale

Fonte normativa (indicare, se possibile, le fonti normative sull'attività istituzionale cui il trattamento è collegato)D.lg. 30.04.1992, n. 285, "Nuovo codice della strada" (artt. 11 – 12); d.P.R. 16.12.1992, n. 495 "Regolamento di esecuzione e di attuazione del nuovo codice della strada"; legge regionale; regolamento provinciale

Rilevanti finalità di interesse pubblico perseguite dal trattamentoAttività di polizia amministrativa (art. 73, comma 2, lett. f), d.lg. n. 196/2003).


Stato di salute |X| patologie attuali |X| terapie in corso









|X| con altri trattamenti o banche dati dello stesso ente (specificare quali ed indicarne i motivi): avvocatura (per la trattazione, giudiziale o stragiudiziale, del sinistro);

|X| con altri soggetti pubblici o privati (specificare quali ed indicare la base normativa): amministrazioni certificanti ai sensi dell'art. 43 del d.P.R. n. 445/2000;


a) società assicurative (nei casi consentiti dalla legge);

b) familiari delle persone coinvolte (nei casi consentiti dalla legge);

c) eventuale legale esterno incaricato della trattazione (giudiziale o stragiudiziale) del sinistro.

Sintetica descrizione del trattamento e del flusso informativoI dati vengono acquisiti dall'interessato, ovvero da ASL ed ospedal i, in occasione di controlli ordinari ovvero di incidenti e/o infortuni verificatisi nell'ambito del territorio di competenza provinciale; gli stessi servono per l'accertamento dei fatti. A tal fine vengono acquisiti presso ASL e ospedali i dati prognostic i delle persone coinvolte. Vengono verbalizzati i fatti e contestate le eventuali violazioni amministrative ed in caso di illeciti penali, o che comportino provvedimenti sui permessi di guida, i dati rilevati sono trasmessi rispettivamente all'Autorità giudiziaria ed ai soggetti interessati a vario titolo (società assicurative, familiari dell'interessato) nei casi consentiti dalla legge. Vengono effettuate interconnessioni e raffronti con amministrazioni e gestori di pubblici servizi: tale tipo di operazioni è finalizzato esclusivamente all'accertamento d'ufficio di stati, qualità e fatti ovvero al controllo sulle dichiarazioni sostitutive ai sensi dell'art. 43 del d.P.R. n. 445/2000.

Scheda n. 11

Denominazione del trattamentoAttività relativa al rilascio di autorizzazioni, abilitazioni ed iscrizioni agli albi

Fonte normativa (indicare, se possibile, le fonti normative sull'attività istituzionale cui il trattamento è collegato)D.lg. 18.08.2000, n. 267 "Testo unico delle leggi sull'ordinamento degli ent i locali"; d.lg. 31.03.1998, n. 112 (art. 105) "Conferimento di funzioni e compiti amministrativi dello Stato alle regioni e agli enti locali in attuazione del Capo I della legge n.59/97"; d.lg. 19.11.1997, n.422 "Conferimento alle regioni ed agli enti locali di funzioni e compiti in materia di trasporto pubblico locale, a norma dell'articolo 4, comma 4, della L. 15 marzo 1997, n. 59" ; l. 06.06.1974, n. 298 "Istituzione dell'albo nazionale degli autotrasportatori di cose per conto di terzi, disciplina degli autotrasporti di cose e istituzione di un sistema di tariffe a forcella per i trasporti di merci su strada"; l. 23.12.1997, n.454 "Interventi per la ristrutturazione e dell'autotrasporto e lo sviluppo dell'intermodalità"; l. 08.08.1991, n. 264 "Disciplina dell'attività di consulenza per la circolazione dei mezzi di trasporto"; l. 15.12.1992, n.21 "legge quadro per il trasporto di persone mediante autoservizi pubblici non di linea"; d.P.R.09.10.1997, n.431 "Regolamento sulla disciplina delle patenti nautiche"; l. 09.01.1991, n. 10 "Norme per l'attuazione del Piano energetico nazionale in materia di uso razionale dell'energia, di risparmio energetico e di sviluppo delle fonti rinnovabili di energia"; l. 29.03.2001, n. 135 "Riforma della legislazione nazionale del turismo"; d.lg. 30.04.1992, n. 285 e successive modifiche e integrazioni "Nuovo codice della strada" (art. 123); d.P.R. 16.12.1992, n. 495 "Regolamento di esecuzione e di attuazione del nuovo codice della strada" (art. 335); d.lg. 22.12.2000, n. 395 "Attuazione della direttiva del Consiglio dell'Unione europea n. 98/76/CE del 1° ottobre 1998, modificativa della direttiva n. 96/26/CE del 29 aprile 1996 riguardante l'accesso alla professione di trasportatore su strada di merci e di viaggiatori, nonché il riconoscimento reciproco di diplomi, certificati e altri titoli allo scopo di favorire l'esercizio della libertà di stabilimento di detti trasportatori nel settore dei trasporti nazionali ed internazionali"; d.lg. 14.03.1998, n. 84 "Riordino della disciplina per l'accesso alla professione di autotrasportatore di cose per conto di terzi, a norma dell'articolo 7, comma 1, della L. 23 dicembre 1997, n. 454"; d.lg. 08.08.1994, n.490, "Disposizioni attuative della legge 17 gennaio 1994, n. 47"; legge regionale; regolamento provinciale.

Rilevanti finalità di interesse pubblico perseguite dal trattamentoRiconoscimento di esoneri, agevolazioni o riduzioni tariffarie o economiche o franchigie, o al rilascio di concessioni anche radiotelevisive, licenze, autorizzazioni, iscrizioni ed altri titoli abilitativi previsti dalla legge, da un regolamento o dalla normativa comunitaria (art. 68, comma 2, lett. g), del d.lg. n. 196/2003)


Stato di salute |X| patologie attuali |X| patologie pregresse |X| terapie in corso









Comunicazione ai seguenti soggetti per le seguenti finalità (specificare ed indicare l'eventuale base normativa): |X| a) Dipartimento trasporti terrestri (per accertare i requisiti professiona li per le autofficine di revisione, nonché per consentire la vigilanza tecnica sulle autoscuole ex artt. 80 e 123, comma 2, d.lg. n. 285/1992, e d.P.R. n. 495/1992 per consentire vigilanza tecnica e coordinamento delle funzioni); b) Autorità giudiziaria (per eseguire i controlli sulle dichiarazioni sostitutive)

Sintetica descrizione del trattamento e del flusso informativoLa Provincia tratta dati di natura sanitaria al fine di ammettere i candidati a sostenere gli esami per il rilascio di autorizzazioni,abilitazioni ed iscrizioni agli albi, come previsto dalle relative norme di settore; in particolare: per poter sostenere l'esame il rilascio di licenza di fucile per uso caccia; per essere nominati guardie giurate volontarie venatorie ed ittiche (GGV) e guardieambientali volontarie (GAV) a seguito del superamento di un apposito corso di qualificazione e formazione; per l'iscrizione all'albo provinciale (quale articolazione dell'Albo Nazionale) degli autotrasportatori di merci per conto terzi (nuove iscrizioni,variazioni, cancellazioni, sospensioni), e autotrasporto di merci in conto proprio (rilascio nuove licenze, variazioni e revoca);per ottenere l'autorizzazione a svolgere attività di istruzione di conducenti di veicoli a motore, di revisione di veicoli nonché per l'ammissione all'esame di idoneità per la direzione tecnica di agenzie di viaggio. Si effettuano interconnessioni e raffronti con amministrazioni e gestori di pubblici servizi ai sensi dell'art. 43 del d.P.R. n. 445/2000. I dati vengono forniti dall'interessato o vengono acquisiti da ASL, Autorità giudiziaria, Camera di commercio, Dipartimento trasporti terrestri, Istituti scolastici superiori ed Università; le informazioni ottenute possono poi essere comunicate alla Motorizzazione civile, all 'Autoritàgiudiziaria, alla Regione, alla APT ed alla Questura per effettuare le necessarie verifiche su quanto dichiarato dall'interessato ovvero per garantire una ottimale erogazione del servizio.

Scheda n. 12

Denominazione del trattamentoAttività di rilevamento dei bisogni per la programmazione degli interventi e di predisposizione dei piani provinciali di emergenza in materia di protezione civile

Fonte normativa (indicare, se possibile, le fonti normative sull'attività istituzionale cui il trattamento è collegato)D.lg. 31.03.1998, n. 112 "Conferimento di funzioni e compiti amministrativi dello Stato alle regioni e agli enti locali, in attuazione del Capo I della legge 15 marzo 1997, n. 59 – art. 108"; l. 24.02.1992, n. 225 "Istituzione del Servizio nazionaledella protezione civile"; l. 9.11.2001, n. 401 "Conversione in legge, con modificazioni, del decreto-legge 7 settembre 2001, n. 343, recante disposizioni urgenti per assicurare il coordinamento operativo delle strutture preposte alle attività di p rotezionecivile"; d.P.R. 08.02.2001, n. 194 "Regolamento recante nuova disciplina della partecipazione delle organizzazioni di volontariato alle attività di protezione civile"; legge regionale; regolamento provinciale.

Rilevanti finalità di interesse pubblico perseguite dal trattamentoAttività demandate dalla legge per le finalità in materia di protezione civile (art. 73, comma 2, lett. h), d.lg. n. 196/2003)


Convinzioni |X| d'altro genere

Stato di salute: |X| patologie attuali |X| terapie in corso





Altre operazioni indispensabili rispetto alla finalità del trattamento e diverse da quelle "ordinarie" quali la registrazione, la conservazione, la cancellazione o il blocco nei casi previsti dalla legge (specificare): |X| comunicazione (come di seguito individuate)


Comunicazione ai seguenti soggetti per le seguenti finalità (specificare ed indicare l'eventuale base normativa): |X|Associazioni di volontariato di protezione civile, ASL, comune, Prefettura, autorità di pubblica sicurezza (per le attività di programmazione e di svolgimento dell'attività di protezione civile)

Sintetica descrizione del trattamento e del flusso informativoAi fini della predisposizione della programmazione e dell'adozione dei piani di emergenza in materia di protezione civile, le province acquisiscono dati inerenti alla dislocazioni di strutture e/o abitazioni i cui abitanti, per caratteristiche sanitarie o di disagio psicologico, acquisiscono priorità in situazioni di emergenza. I dati acquisiti sia dall'interessato, sia da terzi (ASL, Comune, Prefettura, Associazioni di volontariato di protezione civile, vigili del fuoco, Corpo forestale, autorità di pubblica sicurezza) vengono quindi comunicati ai oggetti coinvolti nelle azioni di intervento, al fine di permettere l'erogazione mirata del servizio.

Scheda n. 13

Denominazione del trattamentoGestione delle biblioteche e dei centri di documentazione

Fonte normativa (indicare, se possibile, le fonti normative sull'attività istituzionale cui il trattamento è collegato)D.lg. 31.03.1998, n. 112 "Conferimento di funzioni e compiti amministrativi dello Stato alle regioni e agli enti locali, in attuazione del Capo I della legge 15 marzo 1997, n. 59"; d.lg. 22.1.2004, n. 42, "Codice dei beni culturali e del paesaggio, ai

sensi dell'articolo 10, della legge n. 137 del 6 luglio 2002"; d.P.R. 24.07.1977, n. 616, "Attuazione della delega di cui all'art. 1della L. 22 luglio 1975, n. 382"

Rilevanti finalità di interesse pubblico perseguite dal trattamentoAttività di promozione della cultura (art. 73, comma 2, lett. c), d..lg. n. 196/2003).


Convinzioni |X| religiose |X| filosofiche |X| d'altro genere

Convinzioni |X| politiche |X| sindacali

Stato di salute: |X| patologie attuali





Sintetica descrizione del trattamento e del flusso informativoAlcuni dati sulle condizioni di salute possono essere acquisiti in relazione ai singoli servizi off erti all'utente (es. assistenza per il superamento di barriere architettoniche, utilizzo di particolari supporti, recapiti al proprio domicilio etc.); altri dati sensibili possono emergere in relazione alle informazioni ricavabili dalle richieste relative ai singoli volumi, ai film ovvero ai documenti presi in visione o in prestito.

Scheda n. 14

Denominazione del trattamentoOrganizzazione del servizio scolastico

Fonte normativa (indicare, se possibile, le fonti normative sull'attività istituzionale cui il trattamento è collegato)D.lg. 31.03.1998, n. 112 "Conferimento di funzioni e compiti amministrativi dello Stato alle regioni e agli enti locali, in attuazione del Capo I della legge 15 marzo 1997, n. 59 – art. 139".

Rilevanti finalità di interesse pubblico perseguite dal trattamentoFinalità di istruzione e di formazione in ambito scolastico, professionale, superiore o universitario (art. 95, comma 2, lett. c),d.lg. n. 196/2003)


Stato di salute: |X| patologie attuali





Sintetica descrizione del trattamento e del flusso informativoI dati sono raccolti ai fini dell'erogazione di particolari servizi di natura assistenziale, quali servizi di trasporto gratuito alle scuole superiori in favore di alunni disabili, sia presso gli interessati, sia presso terzi (istituti secondari, ASL e Comuni, nel caso in cui gli interessati richiedano a tali soggetti l'erogazione del servizio ).

Scheda n. 15

Denominazione del trattamentoAttività riguardanti gli istituti di democrazia diretta

Fonte normativa (indicare, se possibile, le fonti normative sull'attività istituzionale cui il trattamento è collegato)D.lg. 18.08.2000, n. 267, "Testo unico delle leggi sull'ordinamento degli enti locali"; statuto e regolamento provinciale.

Rilevanti finalità di interesse pubblico perseguite dal trattamentoEsercizio dell'iniziativa popolare, richieste di referendum e presentazione di petizioni, verifica della relativa regolarità (art. 65,comma 2, lett. b), e d), d.lg. n. 196/2003).



Convinzioni |X| religiose |X| filosofiche |X| d'altro genere

Convinzioni |X| politiche |X| sindacali





Sintetica descrizione del trattamento e del flusso informativoI dati sensibili possono essere trattati nell'ambito delle diverse procedure attivabili per l'iniziativa popolare, le richieste di referendum, il deposito di petizioni: dalla natura delle varie richieste possono infatti emergere orientamenti filosofici, rel igiosi,d'altro genere, politici o sindacali dei relativi sottoscrittori. Il trattamento dei dati di soggetti che presentano petizioni (le quali generalmente recano solo le generalità dell'interessato e la residenza) è meno complesso, in quanto le informazioni personali non sono né certificate, né verificate.

Provincia Regionale di Ragusa.

Dott.ssa Concetta Patrizia Toro tel. 0932675398

Direttore Generale Dott. Salvatore Piazza tel. 0932675325

1

Provincia Regionale di Ragusa

U.O.A. Direzione Generale

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI

PER L’ANNO 2009

Redatto ai sensi dell’articolo 34, comma 1, lettera g) e Allegato B - Disciplinare Tecnico, del Decreto legislativo 30 Giugno 2003 n.196

“Codice in materia di protezione dei dati personali”

in aggiornamento al documento già predisposto ai sensi dell’art. 6, comma 1, del d.P.R. 28 luglio 1999 n. 318

GIUGNO 2009




2

PROVINCIA REGIONALE DI RAGUSA

Indice

PREMESSA 1 ELENCO DEI TRATTAMENTI DI DATI PERSONALI 4 1.2 Categorie e natura dei dati trattati 4 1.3 Altre categorie di dati 5 Trattamenti di dati che indicano la posizione geografica di persone od oggetti 5 Trattamenti di dati volti a definire il profilo o la personalità dell'interessato 5 1.4 Soggetti cui si riferiscono i dati 5 1.5 Finalità del trattamento 6 1.6 Modalità di trattamento 6 1.7 Trattamento effettuato tramite un sito web 7 2 DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITÀ 8 2.1 La struttura aziendale 8 2.2 Incaricati del trattamento dei dati 9 2.3 Lista degli incaricati 9 2.4 Istruzioni per gli incaricati 9 2.5 Responsabilità degli adempimenti sulla privacy 10 2.6 Responsabilità della sicurezza logica 11 2.7 Responsabilità della sicurezza fisica 11 2.8 Responsabilità per la continuità operativa 12 2.9 Responsabilità delle attività svolte presso la rete 12 3. ANALISI DEI RISCHI 13 4. MISURE DI SICUREZZA 13 5. VERIFICA DELLE MISURE DI SICUREZZA 13 6. RIPRISTINO DELLA DISPONIBILITÀ DEI DATI 13 7. PREVISIONE DI INTERVENTI FORMATIVI 14 8. SICUREZZA DEI TRATTAMENTI ESTERNALIZZATI 14 9. PROGRAMMA DI MIGLIORAMENTO 14




3

Premessa Il presente Documento Programmatico sulla Sicurezza (nel seguito DPS) è redatto dalla Unità Organizzativa Autonoma Ufficio di supporto al Direttore Generale della Provincia Regionale di Ragusa. La redazione iniziale del presente DPS è stata effettuata a seguito del conferimento al Segretario Generale, Dott. Salvatore Piazza, dell’incarico di Direttore Generale che lo ha posto, con decorrenza 1° aprile 2009, alla guida della U.O.A. cui in particolare, vengono attribuite tra le competenze istituzionali dell’Ente anche quella in materia di privacy. Si evidenzia che nel corso del 2009: nell’ambito della Continuità Operativa, in base alle linee guida indicate dal D.Lgs. n°196/2006 è stata realizzata l’individuazione dei processi critici, che rappresenta la base per la messa a punto delle soluzioni di continuità in corso di completamento. Nella redazione del DPS si tiene conto dell'adozione del Sistema Informatico e delle procedure applicative in essere presso l’ Ente , effettuando una ricognizione generale dei trattamenti svolti dalla Provincia, in conformità alle prescrizione legislative, ovvero attribuiti ad entità esterne. Allo scopo sono stat: esaminati i processi di lavoro, censite le misure di sicurezza per la protezione dei dati, individuati i soggetti fisici e giuridici che svolgono operazioni di trattamento dei dati e che sono abilitati a svolgerle, esaminate le deliberazioni in materia e le istruzioni normative interne che disciplinano l'operatività, osservati e classificati gli ambienti ed i locali di lavoro nei quali avvengono i trattamenti. L'analisi del ciclo di lavorazione dei dati ha riguardato sia i trattamenti svolti con strumenti elettronici, sia i trattamenti relativi ad atti e documenti cartacei. Il documento è strutturato in diverse parti, riportate nel precedente indice, organizzate in maniera da rappresentare le circostanze analizzate in simmetria con l'elencazione delle prescrizioni di cui alla regola 19 del Disciplinare tecnico allegato al Decreto Legislativo n. 196/2003.




4

1. ELENCO DEI TRATTAMENTI DI DATI PERSONALI I trattamenti svolti dalla Provincia, riguardano:

Ø i dipendenti, Ø gli amministratori, Ø i collaboratori.

Tra le proprie politiche rivolte alla sicurezza dei dati, in coerenza su quanto già previsto nell'ambito della Provincia Regionale di Ragusa la U.O.A. ha adottato per tutti i dati il livello di sicurezza più elevato, evitando di riservare le misure di sicurezza più elevate ai soli dati sensibili e giudiziari. Perciò tutti i trattamenti svolti con strumenti elettronici sono protetti dalle misure indicate nel presente documento. Tuttavia, per gli incaricati che svolgono attività in cui prevale il trattamento di dati sensibili o giudiziari sono fatte salve le norme previste in materia di autorità giudiziale, contabile, civile, penale. Per lo svolgimento delle proprie attività la Provincia, nella sua qualità di "titolare", si avvale - oltre che dei Dirigenti preposti ai vari settori, di soggetti terzi, operanti in particolare nei seguenti settori di attività:

Ø servizi bancari ed assicurativi; Ø esattorie e tesorerie; Ø etichettatura, trasmissione, imbustamento, trasporto e smistamento delle

comunicazioni; Ø archiviazione della documentazione relativa ai rapporti intercorsi con gli utenti; Ø revisione contabile e certificazioni di bilancio; Ø gestione di sistemi informatici e reti di telecomunicazione, nonché sviluppo

e gestione di procedure informatiche; Ø protezione e sicurezza informatica; Ø rilevazione della qualità dei servizi, ricerche di mercato, informazione e

promozione commerciale. Inoltre, nell' ipotesi in cui la Provincia agisca come intermediario nella promozione di prodotti e servizi per conto di altri soggetti si rende necessario comunicare a questi ultimi i dati degli interessati che abbiano richiesto tali prodotti e servizi, al fine di consentire a detti soggetti di dare esecuzione a quanto proposto, trattando in piena autonomia, in qualità di titolari, i predetti dati. I soggetti appartenenti alle categorie ai quali i dati possono essere comunicati, che non rientrino fra quelli che sono stati designati incaricati ovvero responsabili, utilizzano i dati in qualità di titolari in piena autonomia, essendo estranei all'originario trattamento effettuato presso la Provincia. 1.2 Categorie e natura dei dati trattati I dati trattati, classificati sulla base delle linee guida fornite dal Garante per la protezione dei dati personali, sono riconducibili alle seguenti categorie:

Ø nominativo, indirizzo ed altri elementi d'identificazione personale (nome, cognome, età, sesso, luogo e data di nascita, indirizzo di lavoro);

Ø codice fiscale e altri numeri d'identificazione personale; Ø lavoro, occupazione attuale e precedente, informazioni sul reclutamento, sul tirocinio o sulla

formazione personale, informazioni sulla sospensione o interruzione del rapporto di lavoro o sul passaggio ad altra occupazione, curriculum vitae o lavorativo, competenze professionali, retribuzione,




5

Ø attività economiche, commerciali, finanziarie e assicurative Ø istruzione e cultura (curricula di studi e accademico, pubblicazioni, articoli, monografie,

relazioni, materiale audio-visivo, ecc. - titoli di studio); Ø adesione a sindacati od organizzazioni a carattere sindacale; Ø informazioni concernenti i provvedimenti giudiziari nei limiti stabiliti dalle leggi in

materia.

1.3 Altre categorie di dati Trattamenti di dati che indicano la posizione geografica di persone od oggetti dati idonei a rilevare la posizione di persone (rilevazione tramite badge limitata alla autorizzazione ed alla segnalazione di ingresso negli edifici). Trattamenti di dati volti a definire il profilo o la personalità dell'interessato

Ø dati idonei a rilevare l'adesione a sindacati Ø dati idonei a rilevare lo stato matrimoniale o di famiglia Ø dati idonei a rilevare l'origine nazionale Ø dati idonei a rilevare l'origine razziale ed etnica Ø dati idonei a rilevare lo stato di salute Ø dati idonei a rilevare comportamenti illeciti o fraudolenti Ø dati relativi ad altri provvedimenti o procedimenti giudiziari Ø dati relativi ad altri provvedimenti o procedimenti sanzionatori, disciplinari,

amministrativi o contabili Ø dati relativi al grado di istruzione e di cultura Ø dati relativi alle pregresse esperienze professionali Ø dati relativi allo svolgimento di attività economiche e altre informazioni

commerciali (aspetti economici, finanziari,organizzativi, produttivi, industriali, commerciali, imprenditoriali). 1.4 Soggetti cui si riferiscono i dati Le categorie di soggetti fisici e giuridici interessati a cui si riferiscono i dati, in dettaglio, sono le seguenti:

Ø Personale dipendente Ø Candidati da considerare per l'instaurazione di un rapporto di lavoro Ø Utenti Ø Potenziali utenti Ø Fornitori Ø Imprenditori e piccoli imprenditori Ø Personale pubblico dirigenziale Ø Soggetti od organismi pubblici Ø Aderenti ad associazioni politiche, religiose o sindacali




6

1.5 Finalità del trattamento Le finalità del trattamento sono riconducibili alle seguenti macro-categorie:

Ø Finalità amministrative e contabili Ø Finalità connesse al settore bancario, di intermediazione e consulenza Ø Finalità di carattere sociale Ø Finalità di informazione, istruzione, cultura e valorizzazione del tempo libero Ø Prenotazione di servizi ed emissione biglietti (iniziative sportive, culturali, ricreative, ecc.) Ø Sicurezza pubblica

1.6 Modalità di trattamento I dati sono trattati dalla Provincia mediante strumenti manuali, informatici e telematici con logiche strettamente correlate alle finalità e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati stessi, in conformità alle norme vigenti. La protezione è assicurata anche quando l’utente utilizza canali distributivi innovativi. L'architettura del sistema informatico della Provincia è di recente istituzione si articolerà, nel corso dell’anno 2009 riguarderà la pianificazione, la gestione e l’attuazione dei progetti informatici a valenza strategica sul governo elettronico della P.A. L’attività che ci si propone di attuare concerne la progettazione, implementazione ed avvio dei servizi potenzialmente fruibili da tutto il personale dell’Ente attraverso la rete dati già esistente. I servizi centralizzati attualmente disponibili sono:

Ø protocollazione ed archiviazione dei documenti secondo quanto previsto dal DPR 428/98 e s.i.m e da apposito Regolamento Consiliare;

Ø scrivanie virtuali: per la redazione, invio e tracciamento degli atti determinati in maniera completamente digitale secondo quando indicato dal governo attuale per il raggiungimento dell’obiettivo della digitalizzazione della P.A.

Ø internet: navigazione del web da parte delle persone autorizzate ediante linee veloci e sicure; Ø dominio degli utenti: sistema di autenticazione degli utenti per l’utilizzo della rete dati e

delle risorse disponibili. Di fatto ciascun utente viene preventivamente individuato, come previsto dalle norme sul trattamento e salvaguardia dei dati in formato digitale, e gli vengono attribuiti i permessi che l’attività lavorativa di pertinenza richiede che siano

assegnati. La memorizzazione dei dati avviene in un server centralizzato per il raggiungimento di importanti obiettivi quali: piena e costante disponibilità dei dati, regole certe di accesso agli stessi secondo politiche definite dai vari Dirigenti responsabili di settore, backup automatico che scongiura perdita di informazioni nel caso di guasti ai vari computer. Al momento circa la metà dei settori ubicati presso la Sede Centrale sono stati configurati secondo questa strategia operativa Per le scrivanie virtuali è previsto il completamento attraverso la formazione all’utilizzo del

personale interessato di tutti i Settori e gli uffici dell’Ente ed estensione del sistema virtuale

anche agli atti più propriamente tecnico/amministrativi (relazioni, disegni, etc) che comunque vanno a comporre la pratica oltre l’atto determinativo finale. Estendere,

progressivamente, il dominio degli utenti a tutti i settori dell’Ente.




7

Si tratta di un’attività molto complessa e delicata poiché prevede un’analisi preventiva con i vari

responsabili dei settori in ragione delle finalità che vogliono raggiungere e conseguente configurazione degli utenti con reperimento e travaso dei dati che si trovano, spesso caoticamente, memorizzati nei vari dispositivi di archiviazione di massa in dotazione ai personal computer. Per quanto concerne il servizio internet sono previste le adozioni di sistemi ancora più sofisticati e performanti sul controllo della navigazione allo scopo di mantenere inviolati i principi di riservatezza e diritto alla privacy di ciascuno alla contemporanea necessità che gli strumenti istituzionali siano usati esclusivamente per finalità istituzionali. Si è già in una fase di testing del progetto: bilancio on line ossia un sistema attraverso il quale ciascun Capo Settore Dirigente, o suo delegato, può immediatamente consultare, da qualsiasi computer in dotazione all’Ente, l’effettiva situazione economica dei PEG, Capitoli, etc di sua responsabilità aggiornata al momento della consultazione stessa.

Attualmente le 6 sedi dell’Ente (Centrale, ex Coreco, Via G. Di Vittorio, Asi, Via Psaumida,

Prefettura) risultano essere cablate all’interno di ciascuna e tra loro interconnesse attraverso una rete virtuale privata (VPN) ad alta sicurezza realizzata secondo apposita Convenzione Consip per la Pubblica Amministrazione. In caso di trattamenti non automatizzati, i vari luoghi ove sono conservati fisicamente i dati personali (uffici, dipendenze,archivi), agli indirizzi tempo per tempo occupati dai vari settori. 1.7 Trattamento effettuato tramite un sito web

La Provincia ha un proprio sito web, il cui nome del dominio è www.provincia.ragusa.it

sul sito è disponibile, con specifico link, il regolamento sulla Privacy, con la quale si descrivono le modalità di gestione in riferimento al trattamento dei dati personali degli utenti che lo consultano.




8

2 DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITÀ Ai fini del presente documento sono state esaminate le responsabilità interne alla struttura dell’Ente

in genere nonché, in particolare, quelle inerenti il trattamento dei dati personali, sia effettuato dalla Provincia in qualità di itolare sia da altri soggetti in qualità di responsabili, con particolare riguardo al governo dei trattamenti svolti con strumenti elettronici ed alla gestione organizzativa delle aree e dei locali in cui vengono svolti tali trattamenti. 2.1 La struttura aziendale La struttura in essere al momento della redazione del presente documento, sia a livello schematico che nella definizione di funzioni, poteri e responsabilità è descritta nella determina presidenziale n° 1843 del 02/04/2009 che ha ravvisato la necessità di rimodulare le funzioni ai Dirigenti Capi Settori di seguito indicati:

Elenco dei Dirigenti Responsabili dei servizi

settore Descrizione Responsabile

1 Organizzazione e gestione delle Risorse Umane Avv. Salvatore Mezzasalma

2 Settore legale Avv. Salvatore Mezzasalma

3 Servizi Economici e Gestione del Bilancio – Gestione economica del personale

Rag . Luciano Migliorisi

4 Tributi – Espropriazioni – Gare e Contratti Dott. Guglielmo Puzzo

5 Programmazione socio-economica, Politiche comunitarie, euromediterranee e cooperazione allo sviluppo

Rag . Luciano Migliorisi

6

Istruzione, Orientamento scolastico e formazione professionale, Università, Politiche Giovanili, Sport, Tempo libero

Dott. Luigi Fratantonio

7 Politiche Sociali, Welfare locale e Politiche Attive del Lavoro

Dott. Giovanni Failla

8 Sviluppo Economico e sociale. Dott. Francesco Frasca

9 Valorizzazione e tutela ambientale Ing. Carmelo Giunta

10 Geologia e Geognostica Dott. Salvatore Buonmestieri

11 Ecologia Dott. Gaetano Abela

12 Polizia Provinciale e autoparco Dott. Raffaele Falconieri

13 Pianificazione del territorio e Ato idrico Ing. Vincenzo Corallo

14 Edilizia patrimoniale, sportiva e scolastica Ing. Salvatore Maucieri

15 Servizi Viabilità Ing. Giancarlo Dimartino

16 Turismo, Cultura, Beni culturali, Beni UNESCO, Spettacolo Dott. Luigi Fratantonio

17 U.O.A. Ufficio di supporto del Segretario Generale Dott. Salvatore Piazza

18 U.O.A. Ufficio di supporto del Direttore Generale Dott. Salvatore Piazza

19 U.O.A. Ufficio relazioni per il pubblico Avv. Salvatore Mezzasalma

20 U.O.A. Ufficio Gabinetto del Presidente Avv. Salvatore Mezzasalma

21 U.O.A. Ufficio energia Ing. Carmelo Giunta




9

22 U.O.A. Protezione Civile Ing. Carmelo Giunta

23 U.O.A. Ufficio Economato – Provveditorato Rag. Luciano Migliorisi

24 U.O.A. Riserve naturali “Macchia foresta Irminio e Pino

d’Aleppo, Protezione Forestale

Ing. Carmelo Giunta

Sul sito web dell’Ente, nella sezione documenti alla voce “regolamento” sono riprodotte le disposizioni comportamentali e le indicazioni operative in materia (leggi, informativa). Sono in vigore normative specifiche che regolamentano i comportamenti individuali e, ove necessario, stabiliscono le opportune sanzioni in caso di violazione a tali norme (per es. Codice Interno di comportamento,regolamento interno per la gestione delle informazioni riservate, ecc.). 2.2 Incaricati del trattamento dei dati Il personale dipendente in servizio presso l’Ente è stato preventivamente incaricato, ai sensi dell'art.2 comma 9 del Codice interno di comportamento, di trattare i dati personali necessari per lo svolgimento delle funzioni ad essi affidate e di compiere le sole operazioni di trattamento a ciò strumentali, attenendosi anche alle ulteriori istruzioni impartite nel corso dell'attività. Le nomine ad incaricato sono estese, con analoghi criteri e modalità e per il solo periodo necessario, anche ai non dipendenti che funzionalmente svolgono operazioni per conto della Provincia. All'interno della Provincia possono venire a conoscenza dei dati personali della clientela soltanto i dipendenti ed i collaboratori, anche esterni, incaricati del loro trattamento. 2.3 Lista degli incaricati Ogni settore nel suo ambito, gestisce l'elenco degli incaricati, con indicazione del relativo ambito di trattamento, in particolare per quanto riguarda i dati sensibili e giudiziari. La lista degli incaricati e l'ambito del trattamento consentito è correlata ai singoli profili di accesso alla rete informatica, definiti seguendo il principio che gli incaricati accedono ai soli dati necessari per lo svolgimento delle loro attività. In questo senso il profilo di accesso si allinea automaticamente attraverso un software di gestione delle identità e degli accessi. 2.4 Istruzioni per gli incaricati Agli incaricati sono fornite puntuali indicazioni di operare con la massima diligenza ed attenzione in tutte le fasi di trattamento dei dati (acquisizione,aggiornamento, conservazione, cancellazione o distruzione). Le relative disposizioni sono contenute in disposizioni pubblicate sul sito web disponibile, con specifico link, “REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI “. Gli incaricati non possono eseguire operazioni di trattamento per finalità non previste tra i compiti loro assegnati dai diretti responsabili, dai superiori, dalle disposizioni interne tempo per tempo vigenti. Essi sono tenuti ad operare garantendo, in ogni caso, la massima riservatezza delle informazioni di cui vengono in possesso e considerando confidenziali tutti i dati personali e, in taluni casi, soggetti al segreto d'ufficio.




10

I processi di lavoro e la condotta tenuta nello svolgimento delle operazioni di trattamento da parte degli incaricati sono orientati a prevenire i rischi che potrebbero incombere sui dati, in particolare evitando che i dati personali siano soggetti a distruzione e perdita anche accidentale; che ai dati possano accedere persone non autorizzate; che vengano svolte operazioni di trattamento non consentite o non conformi alle finalità per le quali i dati sono stati raccolti. Gli incaricati che svolgono operazioni di trattamento di dati sensibili e giudiziari utilizzando elaboratori connessi in rete sono autorizzati all'accesso agli strumenti ed alle operazioni di trattamento secondo le norme di sicurezza stabilite dall'Ente per tali trattamenti e per tali modalità di trattamento. Gli addetti alla manutenzione di strumenti elettronici e gli addetti alle pulizie appartenenti ad aziende esterne, che per necessità operative accedono ai locali in cui sono archiviati i dati, non sono autorizzati a svolgere nessuna operazione di trattamento. Al riguardo nei contratti di fornitura con le rispettive società di appartenenza sono state inserite specifiche clausole cautelative circa le limitazioni e le responsabilità connesse alla loro operatività. E' cura del settore di competenza, comunicare, ad ogni interessato, sia neoassunto, sia all'attivazione di un nuovo contratto di collaborazione, le disposizioni cui attenersi, nonché provvedere all’aggiornamento della lista degli incaricati del trattamento e dei relativi profili di sicurezza per l'accesso agli strumenti elettronici e/o ai dati.

2.5 Responsabilità degli adempimenti sulla privacy Nell’ambito dell’assetto organizzativo dell’Ente adottato con la Deliberazione di G.P. n.298 del

29.07.2008 prot. n. 43223 del 4.08.2008 è stato istituito il ruolo funzionale della U.O.A., cui in particolare venivano attribuite le competenze istituzionali dell’Ente anche in materia di privacy e ha individuato come Delegato del Titolare nella persona del Direttore Generale cui è pertanto affidata la cura di coordinare i Sign.ri Dirigenti, quale titolari delle articolazioni funzionali di maggiore dimensione dell’Ente, che sono stati formalmente designati dal Presidente della Provincia quali “responsabili del trattamento dei dati” a ottemperare agli obblighi riconducibili alla Provincia.

Premesso che il 31 marzo 2009 è scaduto l’incarico di Direttore Generale all’avv. Benedetto Rosso il quale aveva la titolarità del sopra indicato servizio:Vista la determina presidenziale n° 1837 del 01/04/2009 con la quale è stato affidato al Segretario Generale, Dott. Salvatore Piazza, l’incarico di Direttore Generale in piena continuità con quanto già precedentemente operato in

materia, Il Presidente della Provincia Regionale di Ragusa con determina n° 1837 del 01/04/2009 ha confermato il dr. Salvatore Piazza nel suo ruolo di “Delegato del Titolare”,

mantenendo in capo al medesimo ogni necessario potere anche di rappresentanza e di spesa, in relazione alle decisioni sulle finalità e modalità del trattamento dei dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.




11

È facoltà del Delegato del Titolare:

1. nominare eventuali responsabili del trattamento dei dati in osservanza di quanto disposto dall'art. 29 del D.Lgs. n. 196/2003;

2. avvalersi, nello svolgimento dei propri compiti, di ogni altro soggetto ritenuto idoneo, scegliendo sia tra il personale dipendente della Provincia sia all'esterno della stessa (società di servizi, professionisti, studi di consulenza);

3. impartire istruzioni organizzative ed operative; 4. rappresentare ad ogni effetto la Provincia presso altra pubblica amministrazione ed ogni

altro soggetto. Per favorire la puntuale osservanza degli obblighi previsti dalla normativa è stato attribuito ad Dirigente preposto la responsabilità di:

Ø assicurare gli adempimenti delle disposizioni di legge in materia di protezione dei dati personali (Decreto legislativo n. 196 del 30.6.2003) provvedendo alle relative verifiche;

Ø provvedere alla nomina dei responsabili e degli addetti interni od esterni al trattamento dei dati personali;

Ø seguire, , l'evoluzione della normativa, garantendo il recepimento in Provincia degli aggiornamenti legislativi;

Ø impartire istruzioni e disposizioni organizzative. 2.6 Responsabilità della sicurezza logica Le attività di questa funzione sono garantite dal Direttore Generale. La Direzione ha il compito di indirizzo e di definizione delle politiche, linee guida e norme comportamentali per l’adozione delle

contromisure volte alla protezione logica delle informazioni. I Sigg.ri Dirigenti quale “responsabili del trattamento dei dati” hanno il compito di realizzare, in conformità alle predette disposizioni, i sistemi di sicurezza individuati e di monitorarne l’efficienza,

identificando eventuali contromisure in caso di inadeguatezza. 2.7 Responsabilità della sicurezza fisica La funzione assicura la coerenza delle misure di carattere fisico adottate dalla Provincia rispetto alla normativa sulla protezione dei dati personali anche in relazione alle funzioni di vigilanza, ed altre attribuzioni. Questa funzione è garantita dalle direttive dal Datore di Lavoro, che provvede agli aggiornamenti dei DVR, degli eventuali DUVRI e dei Piani di Emergenza di tutti i plessi in ottemperanza alla normativa D.lgs 81/08. Sono formati gli addetti alla lotta antincendio, 1° soccorso, delle emergenze in genere, dei Preposti di Plesso e ai neoeletti RLS (Rappresentanti della sicurezza dei Lavoratori). Inoltre è fatta la informazione/formazione dei funzionari preposti al divieto di fumo nei locali dell’Ente. Si organizzano riunioni con gli addetti alla gestione delle emergenze e si provvede alla informazione ai dipendenti. Sono effettuate visite mediche periodiche e specialistiche come da protocollo del medico competente.




12

2.8 Responsabilità per la continuità operativa La Direzione ha il compito di coordinare la formulazione e la manutenzione dei piani di intervento per la gestione delle situazioni di crisi, la continuità operativa dei servizi essenziali, la ripresa della normale operatività e l’attivazione di un sistema strutturato di verifiche periodiche.

2.9 Responsabilità delle attività svolte presso la Provincia Questa funzione è garantita dai Sigg.ri Dirigenti quale “responsabili del trattamento dei dati” nel cui ambito sono tenuti, fra l’altro a:

· attenersi scrupolosamente alle disposizioni aziendali impartite sulle diverse attività, con particolare riguardo agli aspetti di privacy disciplinati dalla normativa di riferimento;

· esporre e mantenere i cartelli evidenzianti l’esistenza di sistemi per il trattamento dei dati personali con le modalità prescritte dall’Autorità Garante;

· raccogliere e riscontrare le eventuali richieste degli utenti al diritto d’accesso secondo le

modalità previste nella vigente normativa. · Il nominativo del responsabile del trattamento dei dati può essere richiesto all’ufficio URP

presso il Palazzo della Provincia sede v.le del Fante.




13

3. ANALISI DEI RISCHI I rischi che incombono sui dati e i trattamenti, effettuati tramite le procedure informatiche della Provincia Regionale di Ragusa, sono stati individuati e valutati all’interno di ogni settore dell’Ente.

4. MISURE DI SICUREZZA Le misure di sicurezza adottate per garantire l’integrità e la disponibilità dei dati e la protezione

delle aree e dei locali,rilevanti ai fini della loro custodia e accessibilità, sono descritte, per la parte relativa alle procedure informatiche nel P.D.O. della U.O.A. DIREZIONE GENERALE della Provincia: Al momento l’Ente è dotato di circa 300 hosts (computer, plotter, server ed altro) distribuiti presso

le varie sedi. Attualmente le 6 sedi dell’Ente (Centrale, ex Coreco, Via G. Di Vittorio, Asi, Via

Psaumida, Prefettura) risultano essere cablate all’interno di ciascuna e tra loro interconnesse

attraverso una rete virtuale privata (VPN) ad alta sicurezza realizzata secondo apposita Convenzione Consip per la Pubblica Amministrazione. La memorizzazione dei dati avviene in un server centralizzato per il raggiungimento di importati obiettivi quali: piena e costante disponibilità dei dati, regole certe di accesso agli stessi secondo politiche definite dai vari Dirigenti responsabili di settore, backup automatico che scongiura perdita di informazioni nel caso di guasti ai vari computer. Per quanto concerne il servizio internet sono previste le adozioni di sistemi ancora più sofisticati e performanti sul controllo della navigazione allo scopo di mantenere inviolati i principi di riservatezza e diritto alla privacy di ciascuno alla contemporanea necessità che gli strumenti istituzionali siano usati esclusivamente per finalità istituzionali. La sistematica riduzione dei malfunzionamenti viene perseguita attraverso l’adozione del dominio

degli utenti che, prevedendo il blocco della risorsa hardware se non per le finalità istituzionali operative per cui lo stesso è stato acquisito dall’Ente, riduce drasticamente la possibilità che, involontariamente, un Dipendente possa effettuare qualche manovra impropria che danneggi le funzionalità normali del sistema.

5. VERIFICA DELLE MISURE DI SICUREZZA L’applicazione delle misure su cui grava l'obbligo di legge, sono affidate ai Dirigenti dei Settori “Responsabili del trattamento dati personali” per le attività che ricadono all’interno della propria

area di competenza. 6. RIPRISTINO DELLA DISPONIBILITÀ DEI DATI I criteri e le modalità per il ripristino della disponibilità dei dati e dell’accesso agli stessi, a seguito di loro distruzione o danneggiamento, o analogo evento riguardante gli strumenti elettronici con i quali sono trattati, sono descritti, per la parte relativa alle procedure informatiche nel P.D.O. della U.O.A. DIREZIONE GENERALE della Provincia al quale si rimanda per ogni dettaglio . In caso di interventi effettuati da società esterne l’Ente procede ad estendere anche a loro gli

obblighi al quale attenersi. .




14

7. PREVISIONE DI INTERVENTI FORMATIVI E’ prevista (ed è già stata avviata) la proposizione a tutti i Dirigenti della Provincia del corso di formazione IL NUOVO CODICE PRIVACY con modalità di fruizione a distanza con l’obiettivo di

fornire le conoscenze di base relative alla materia in oggetto. CONTENUTI del corso: › Perché la legge sulla privacy › Ruoli e competenze che il Codice Privacy prevede per i soggetti che si occupano di trattamento dei dati › Sanzioni e responsabilità stabilite dalla normativa per i soggetti che compiono illeciti. 8. SICUREZZA DEI TRATTAMENTI ESTERNALIZZATI I criteri per garantire la sicurezza dei trattamenti esternalizzati (valutazione dell’affidabilità,

dichiarazione di conformità, ecc.) sono a cura di ogni settore che li utilizza, al quale si rimanda per ogni dettaglio. 9. PROGRAMMA DI MIGLIORAMENTO Nel corso dell'anno 2009 si intende sviluppare i seguenti interventi di miglioramento raggruppati per tipologie: Normativa

Ø Revisione del documento Regole dell’Ente per il trattamento dei dati personali ai sensi del D.Lgs. 196/2003

Ø Revisione del documento Regole di sicurezza per l'utente per la protezione delle

informazioni, dei beni aziendali e per l'utilizzo della Posta Elettronica e Internet

Ø Continuità operativa

PROVINCIA REGIONALE DI RAGUSA

REGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI

CONTENUTI NEGLI ARCHIVI DELLA PROVINCIA REGIONALE DI RAGUSA

APPROVATO DAL CONSIGLIO PROVINCIALE CON DELIBERAZIONE N. 64

DEL 31.3.2000

RESO ESECUTIVO DAL CO.RE.CO., SEZIONE CENTRALE DI PALERMO CON

DECISIONE N. 2689/2314 DEL 4 MAGGIO 2000.

RIPUBBLICATO ALL'ALBO PRETORIO DELLA PROVINCIA DAL 21/12/2000

AL 05/01/2001

REGOLAMENTO

SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI CONTENUTI NEGLI ARCHIVI DELLA PROVINCIA REGIONALE DI RAGUSA.

CAPO I

PRINCIPI GENERALI IN MATERIA DI TRATTAMENTO DI DATI PERSONALI NELLO SVOLGIMENTO DI FINALITÀ" ISTITUZIONALI

Articolo 1

(Oggetto ed in vi dilazione delle finalità istituzionali)

1. Il presente regolamento disciplina

a) il trattamento delle informazioni personali acquisite dalla Provincia

Regionale di Ragusa o ad essa rese, contenute negli archivi

organizzati dall'Ente, in relazione allo svolgimento delle proprie

finalità istituzionali, in attuazione dell'art. 27 della legge 31

dicembre 1996, n.675 successivamente modificato dal d.lgs. 9 maggio

1997, n. 123, e dal d.lgs. 28 luglio 1997, n. 255.

b) Le modalità di attuazione, nell'ambito della Provincia Regionale,

delle disposizioni definite dall'art. 22 commi 3 e 3 bis della legge

31 dicembre 1996 n. 675, nonché di quelle del d.lgs. 11 maggio 1999

n. 135 in materia di trattamento di dati sensibili.

2. Ai sensi dell'art. 27 della legge 31 dicembre 1996 n. 675 e ai fini del

presente regolamento, per finalità istituzionali si intendono:

a) le funzioni previste dalla legge e dallo Statuto e regolamenti

provinciali ;

b) le funzioni svolte per mezzo di convenzioni, accordi, intese.

c) le funzioni collegate all'accesso ed all'erogazione dei servizi resi

dalla Provincia alla popolazione

Articolo 2 (definizioni)

1. Ai fini del presente regolamento si intendono:

per dato personale, qualsiasi informazione riguardante una persona

fisica o giuridica, acquisita dall'Ente o ad esso conferita

dall'interessato in relazione allo svolgimento di attività

istituzionali e trattata secondo quanto previsto dalla legge

n.675/96.

Per dato sensibile, sia ogni informazione idonea a rivelare l'origine

razziale, ed etnica, le convinzioni religiose, filosofiche o di altro

genere, le opinioni politiche; le adesioni ai partiti, sindacati,

associazioni ed organizzazioni religiose, filosofiche politiche o

sindacali, lo stato di salute e la vita sessuale, sia quella

attinente a provvedimenti giudiziari qualificate e individuate con

riferimento a quanto previsto dagli artt. 22 comma 1 e 24 della legge

n.675/96, nonché assoggettata al sistema di garanzie definito dal d.lgs

n.135/99.

per tipi dati, le categorie di informazioni, individuate sotto il profilo

gestionale e operativo, normalmente utilizzate per lo svolgimento

dell'attività amministrativa e comunque riferibili al novero dei dati

sensibili.

per operazioni eseguibili, le differenti forme e soluzioni di

trattamento realizzabili sulle tipologie di dati sensibili individuati

dall'Ente;

per rilevanti finalità di interesse pubblico, le finalità individuate

dal d.lgs n. 135/99 connesse alle attività istituzionali dell'Ente, che

lo stesso svolge per realizzare interessi pubblici e soddisfare

bisogni della comunità locale, comportanti la possibilità di

trattamento semplificato dei dati sensibili.

Nella more di apposite disposizioni di legge le attività svolte da

soggetti pubblici che perseguano finalità di interesse pubblico

individuate dal garante sono:

a) attività socio-assistenziale;

b) attività ricreativa o di promozione della cultura e dello sport, con

particolare riferimento all'organizzazione di soggiorni, mostre, conferenze

e manifestazioni sportive o all'uso di beni immobili o all'occupazione di

suolo pubblico;

c) attività di polizia amministrativa locale, con particolare riferimento ai

servizi igiene, e ai controlli in materia ambiente ;

d) attività degli Uffici di relazione con il pubblico;

e) attività in materia di protezione civile;

f) attività di rapporto di avviamento e collocamento e all'avviamento al

lavoro, in particolare a cura dei centri di iniziativa locale per

l'occupazione e di sportelli-lavoro;

g) attività di difensori civici regionali e locali, con particolare

riferimento alla trattazione di petizioni e segnalazioni;

h) ogni altra attività che l'Ente Provincia ponga in essere nel rispetto

delle proprie competenze e della legge:

Sulle materie di cui al precedente comma è permesso il trattamento di

dati sensibili anche da parte di soggetti pubblici diversi da quelli

che hanno presentato richiesta, semprechè questo trattamento venga

fatto per scopi di interesse pubblico o discenda da norme di legge.

Articolo 3 (Definizioni di riferimento e correlazione con normative specifiche)

1. Ai fini del presente regolamento, per le definizioni di banca dati, di

trattamento, di dato personale, di titolare, di responsabile, di

incaricato, di interessato, di comunicazione, di diffusione, di dato

anonimo, di blocco e di Garante si fa riferimento a quelle previste

dall'art. 1, comma 2, della legge 31 dicembre 1996, n. 675 di seguito

denominata "legge".

Articolo 4 (Titolare, Responsabili ed Incaricati)

1. La Provincia Regionale di Ragusa è titolare del trattamento dei dati

personali gestiti dalle proprie articolazioni organizzative e delle

banche - dati ad esse afferenti.

2. Con il presente regolamento sono individuati ai sensi dell'art. 8 della

legge 675/96, come responsabili preposti al trattamento dei dati i

dirigenti titolari di P.E.G., cui la banca dati afferisce.

3. Il responsabile della banca dati, qualora quest'ultima sia ripartita in

più unità dislocate in siti diversi, definisce assieme agli altri

responsabili interessati le modalità di trattamento dei dati personali,

ivi compreso il profilo della sicurezza.

4. Il responsabile:

a) cura il coordinamento di tutte le operazioni di trattamento di dati

affidate ad operatori appartenenti alle unità operative cui

sovrintende;

b) provvede a dare istruzioni per la corretta elaborazione dei dati personali;

c) procede alle verifiche sulla metodologia d'introduzione e di gestione dei

dati, anche attraverso controlli a campione da eseguirsi

periodicamente;

d) è responsabile dei procedimenti di rettifica dei dati;

e) impartisce le disposizioni operative per la sicurezza della banca dati

e dei procedimenti di gestione e/o trattamento dei dati stessi;

f) cura la realizzazione delle singole banche dati cui sovrintende;

g) cura la comunicazione agli interessati del trattamento dei dati e la loro

diffusione;

h) dispone, il blocco dei dati, qualora sia necessaria una sospensione

temporanea delle operazioni di trattamento.

5. Il responsabile:

a) procede all'individuazione all'interno di ciascun'area operativa degli

Incaricati, ossia delle persone autorizzate nei vari uffici a compiere

le operazioni di trattamento dei dati, da svolgersi secondo le

modalità di cui agli art. 9 e 10 della legge n. 675/96

b) I compiti affidati agli incaricati devono essere specificati dal

responsabile che deve controllarne l'osservanza;

c) Gli incaricati al trattamento devono effettuare le operazioni di

trattamento loro affidate attenendosi alle istruzioni ricevute;

d) Agli incaricati, ove tecnicamente possibile, viene assegnato un codice

d'accesso personale che viene registrato all'inizio e al termine delle

operazioni di trattamento.

ART. 5 (Finalità della trasmissione e dello scambio di dati con soggetti pubblici e privati)

1. La Provincia, garantisce che il trattamento dei dati personali si svolga nel

rispetto del diritto alla riservatezza ed all'identità personale delle persone fisiche

e giuridiche, essa inoltre favorisce la trasmissione e lo scambio di dati o

documenti tra le banche e gli archivi degli Enti territoriali, degli Enti pubblici,

dei gestori, degli esercenti, degli incaricati di pubblico servizio nonché di altri

soggetti pubblici e privati, che sviluppino, in collaborazione con

l'Amministrazione provinciale attività connesse alla realizzazione delle

finalità istituzionali di cui al precedente art. 1.

Articolo 6 (Circolazione dei dati all'interno della Provincia)

Ogni richiesta di trattamento di dati personali da parte di soggetti

diversi dagli incaricati e dai responsabili, debitamente motivata, deve

essere soddisfatta nella misura necessaria al proseguimento delle

finalità istituzionali.

Articolo 7

(Richieste di comunicazione e diffusione dei dati effettuati dai privati e da altri Enti Pubblici)

1. Ogni richiesta rivolta dai privati alla Provincia e finalizzata ad

ottenere il trattamento, la diffusione e la comunicazione dei dati

personali anche contenuti in banche dati, deve essere scritta e motivata.

In essa devono essere specificati gli estremi del richiedente e devono

essere indicati i dati ai quali la domanda si riferisce e lo scopo per il

quale sono richieste. La richiesta deve inoltre indicare le norme di

legge o di regolamento in base alle quali è avanzata.

2. La Provincia dopo avere valutato che il trattamento, la diffusione e la

comunicazione dei dati personali sono compatibili con i propri fini

istituzionali e non ledono i diritti tutelati dalla legge 675/1996 e in

particolare il diritto alla riservatezza e il diritto all'identità

personale dei soggetti cui i dati si riferiscono, provvede alla

trasmissione dei dati stessi nella misura e secondo le modalità

strettamente necessari a soddisfare la richiesta.

3. Le richieste di comunicazione e diffusione di dati provenienti da altri

Enti Pubblici sono soddisfatti quando siano disciplinate da una norma di

legge o di regolamento.

Articolo 8 (Misure di sicurezza)

1. I responsabili delle banche dati provvedono all'adozione delle misure

minime di sicurezza per il trattamento dei dati personali, a norma

dell'art. 15, comma 2, della Legge 31.12.1996 n. 675, approvato con D.P.R.

28.07.99 n. 318, al fine di:

a) prevenire i rischi di distruzione, perdita di dati o danneggiamento

della banca dati o dei locali ove essa è collocata;

b) evitare l'accesso non autorizzato alle banche dati, alla rete e, in generale, ai

servizi informatici della Provincia;

c) prevenire trattamenti dei dati non conformi alla legge od ai

regolamenti;

d) prevenire la cessione o la distruzione dei dati in corso di cessione del

trattamento.

Articolo 9 (Trattamento dei dati)

1. I dati in possesso della Provincia sono di norma trattati in forma

cartacea, elettronica o mediante l'ausilio di sistemi automatizzati;

2. Nelle ipotesi in cui la legge, lo Statuto o il regolamento prevedano

pubblicazioni obbligatorie, il responsabile dei procedimento adotta le

misure eventualmente necessarie per garantire la riservatezza dei dati

sensibili, di cui all'art. 22 della legge n. 675/96;

3. E' esclusa la messa a disposizione o la consultazione di dati in blocco

e la ricerca per nominativo di tutte le informazioni contenute negli

archivi e nella banca dati, senza limiti di procedimento o settore.

4. Il divieto di cui al precedente comma 4 non si applica al personale

dipendente della Provincia che per ragioni d'ufficio acceda alle

informazioni e ai dati stessi.

Articolo 10 (Trasmissione e scambio di dati e documenti tra enti)

1. La trasmissione e lo scambio di dati o documenti tra banche dati e

archivi di cui sono titolari i soggetti pubblici e privati è preceduta da

uno specifico accordo tra il richiedente ed il responsabile della Banca

dati e delle operazioni di trattamento in cui vengono stabiliti le

modalità di connessione, di trasferimento e di comunicazione dei dati.

Articolo 11 (Informazione)

1. La Provincia garantisce, secondo quanto previsto dalla legge 675/96, ai

soggetti che ad essa conferiscono dati ogni necessaria informazione,

favorendo la conoscenza delle modalità di gestione a tal fine adottate.

Articolo 12 (Diritti dell’interessato)

1. Il Responsabile del Settore individua le modalità per la concreta

attuazione dei diritti dell'interessato previsti dall'art. 13 della legge

n. 675/96, presso le proprie unità organizzative.

Articolo 13 (Controlli)

1. A cura dei responsabili sono periodicamente attivati controlli, anche a

campione, al fine di garantire la sicurezza degli archivi e delle

banche-dati, e l'attendibilità dei dati inseriti.

CAPO II DISCIPLINA DEL TRATTAMENTO DI DATI SENSIBILI

Articolo 14 (Attività che perseguono rilevanti finalità di interesse pubblico)

1. 1. Ai fini del presente regolamento, per attività che perseguono rilevanti

finalità di interesse pubblico si intendono tutte quelle svolte dalla

Provincia in relazione a funzioni e compiti a essa attribuiti, delegati o

conferiti dalla normativa statale e regionale vigente, nonché quelle

inerenti all'organizzazione dell'amministrazione e allo sviluppo

dell'attività amministrativa, nei suoi vari profili.

2. Le attività che perseguono rilevanti finalità di interesse pubblico di

cui al precedente comma sono individuate, per il trattamento dei dati

sensibili, dal d.lgs n. 135/99, da altre leggi e dal Garante, in base a

quanto previsto dall'art. 22 della legge n. 675/96.

ART.15 (Individuazione delle tipologie di dati e delle operazioni eseguibili per attività con rilevanti finalità di interesse pubblico individuate dalla legge o dal garante)

1. Qualora le rilevanti finalità di interesse pubblico individuate dalla

legge o dal Garante non contengano ne le tipologie dei dati ne le

operazioni eseguibili, la Provincia per garantire il corretto svolgimento

delle attività istituzionali, con proprio provvedimento può determinare

sia i tipi di dati sensibili correlabili alle rilevanti finalità di

interesse pubblico, sia le operazioni eseguibili.

2. L'aggiornamento del quadro di riferimento per le tipologie di dati

sensibili assoggettabili a trattamento secondo le garanzie del

D.lgs.n. 135/99 e per le operazioni su di essi eseguibili viene effettuato

annualmente dai responsabili di settore con proprio provvedimento.

3. L'aggiornamento può aversi anche entro termini infrannuali, qualora

informazioni normative, tecnologiche o rilevanti trasformazioni

gestionali rendano necessaria l'individuazione di nuove tipologie di dati

o di operazioni eseguibili.

4. Nell'informativa resa, ai sensi dell'art. 10 della legge n. 675/96 ai

soggetti che conferiscono dati alla Provincia per lo svolgimento di

un'attività istituzionale, sono fornite tutte le indicazioni inerenti

alla corrispondente rilevante finalità di interesse pubblico perseguita,

i tipi di dati sensibili per i quali risulta necessario attivare un trattamento e le

operazioni eseguibili sui medesimi dati.

ART. 16 (Verifiche e controlli)

1. I Responsabili dei settori e degli Uffici provvedono, con i propri atti,

a dar corso alle disposizioni organizzative in materia di dati sensibili

nelle articolazioni organizzative cui sono preposti.

2. I Responsabili dei Settori relazionano con periodicità annua al Direttore

Generale, con riferimento al Settore di competenza, in ordine

all'applicazione delle normative in materia di dati sensibili discendente

dal D.lgs.135/99 e dal presente regolamento.

ART. 17 (Disposizioni finali e transitorie)

1. Il Regolamento entra in vigore con l'approvazione nelle norme previste

dalla legge.

2. Per quanto non previsto nel presente regolamento, si applicano le

disposizioni di cui alla legge 675/96 e successive modificazioni ed

integrazioni.

Documents

INDICE - provincia.ragusa.itprovincia.ragusa.it/regolamenti/documento_programmatico_sicurezza... · INDICE Premessa Regolamento sul ... sicurezza per la protezione dei dati, ... effettuate