Trattamento dati personaliPrivacy | Data protection

ll 25 gennaio 2012, la Commissione europea ha ufficialmente presentato con un Regolamento Europeo, la proposta di aggiornamento della normativa concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati. Il Regolamento UE, come atto “self-executing” (ai sensi dell’art. 288 del Trattato sul funzionamento dell’Unione europea – TFUE), è direttamente ed immediatamente esecutivo e non necessita del recepimento da parte degli Stati membri. I Titolari del trattamento (imprese private, enti pubblici, studi professionali, etc.) hanno tempo due anni dalla pubblicazione del testo definitivo per mettersi in regola con gli adempimenti derivanti (il termine ultimo è quindi stabilito per maggio 2018).

MUA consente di gestire tutti gli adempimenti resi obbligatori dal nuovo Regolamento Europeo, permettendo di adempiere alla scadenza di maggio 2018.

Il team di professionisti che ha sviluppato MUA e che ne cura la costante evoluzione, vede in organico la figura del DPO Data Protection Officer (DPO) funzione obbligatoria in grado di fungere da punto di coordinamento per la gestione del percorso complessivo di digitalizzazione della PA. Allo stato attuale lo schema di certificazione più attendibile realizzato per attestare le competenze dei professionisti chiamati a svolgere il ruolo di DPO in outsourcing è quello realizzata dall’ente di certificazione TUV Italia (Schema di certificazione CDP) il cui registro pubblico degli abilitati è rinvenibile al seguente indirizzo: http://www.tuv.it/it-it/area-clienti/ricerca-figure-professionali-certificate.

Con l’avvento del nuovo Regolamento trova previsione la nuova figura del “Responsabile per la protezione dei dati” (DPO). Il DPO andrà designato per un dato periodo ed in funzione delle qualità professionali, della conoscenza specialistica della normativa. I Titolari del trattamento dovranno assicurarsi che ogni altra eventuale funzione professionale della persona che rivestirà il ruolo di DPO sia compatibile con i compiti e le funzioni dello stesso in qualità di DPO e non dia adito a conflitto di interessi (dovrà quindi essere autonomo, indipendente e non ricevere alcuna istruzione per l’esercizio delle sue attività).

Il DPO, il cui mandato potrà essere rinnovabile, potrà essere assunto oppure adempiere ai suoi compiti in base a un contratto di servizi. Il Titolare del trattamento, che a seconda della forma contrattuale, potrà essere datore di lavoro o committente, dovrà fornire al DPO tutti i mezzi inclusi il personale, i locali, le attrezzature e ogni altra risorsa necessaria per adempiere alle sue funzioni e per mantenere la propria conoscenza professionale

La figura di DPO è oggetto di servizio esternalizzato della responsabilità del Data Protection Officer per offrire alla PA di attribuire esternamente, ad un team estremamente qualificato, i compiti stabiliti dalla legge e le attività di coordinamento tra la normativa in materia di privacy-data protection ed i seguenti ambiti normativi:

  • Gestione documentale;
  • Conservazione digitale;
  • Anticorruzione/Trasparenza;
  • Continuità operativa e Disaster Recovery;
  • Sicurezza Informatica.

Per avere informazioni sul servizio di esternalizzazione della figura del DPO si prega di utilizzare gli appositi riferimenti o l’apposito form di contatto.

MUA consente di predisporre, sottoscrivere elettronicamente, inviare e mantenere aggiornata la documentazione richiesta dalla normativa in ambito di trattamento dei dati personali (D. Lgs. 196/2003 e Regolamento 679/2016/UE), quale, a titolo esemplificativo:

  • elenco trattamenti dei dati personali trattati e delle banche dati cartacee ed elettroniche presenti presso l’ente;
  • indicazione della tipologia dei dati trattati (comuni identificativi, sensibili e giudiziari), delle finalità per cui sono trattati e dei soggetti a cui di riferiscono (Interessati);
  • analisi della struttura informatica per la definizione delle procedure finalizzate a garantire la sicurezza e protezione dei dati personali trattati;
  • gestione delle credenziali di autenticazione (username e password) create e gestite secondo la normativa, con scadenze automatiche semestrali (comuni identificativi) o trimestrali (per i dati sensibili e giudiziari) nel rispetto del principio della complessità e segretezza;
  • elaborazione e redazione delle lettere d’incarico per tutti i soggetti coinvolti nella struttura dedicata alla Privacy, con esplicita indicazione dei compiti affidati (Articolo 29 comma 4 e Articolo 30 comma 2 del D. Lgs. 196/2003);
  • predisposizione delle procedure adottate dall’ente per salvataggio e recupero del proprio patrimonio informativo e valutazione di eventuali procedimenti correttivi (Piano di continuità operativa -Disaster Recovery);
  • analisi e verifica dei sistemi di protezione informatica con indicazioni per adeguamento alla normativa;
  • elaborazione e redazione delle Informative previste dall’Articolo 13 D. Lgs. 196/2003 e dei Moduli personalizzati per il consenso per il trattamento dei dati personali;
  • elaborazione e redazione di istruzioni e individuazione degli ambiti di incarico dei soggetti che trattano dati personali (dipendenti e collaboratori);
  • videosorveglianza in relazione al provvedimento del Garante Privacy in materia;
  • elaborazione e redazione delle istruzioni e della documentazione specifica per ogni ruolo individuato (Incaricati, Responsabili, Responsabili in outsourcing, etc.);
  • elaborazione e redazione di vademecum sul corretto utilizzo degli strumenti elettronici (personal computer, notebook, tablet, smartphone, etc.) e della documentazione cartacea in relazione al trattamento dei dati personali;
  • realizzazione di tutte le lettere d’incarico specifiche in outsourcing per i Responsabili dei sistemi informatici, per i fornitori di servizi e per i consulenti;
  • aggiornamento alla normativa;
  • adeguamento al provvedimento del Garante Privacy riguardo agli amministratori di sistema (interni ed esterni).

Più in particolare alcuni degli elaborati prodotti sono i seguenti:

  • Artt. da 31 a 36 e Allegato B del D. Lgs. 196/2003;
  • avvertenze per utilizzo social network;
  • Classi Omogenee;
  • controlli periodici;
  • Cookie: banner per richiesta consenso;
  • disciplinare tecnico per il trattamento della documentazione cartacea;
  • ripristino dei sistemi informatici e dei dati;
  • regole per assistenza tecnica sugli strumenti elettronici e software;
  • direttive per l’adeguamento tecnico;
  • criteri di creazione e modifica delle credenziali di autenticazione;
  • comunicazione credenziali di autenticazione;
  • direttive per operatori commerciali;
  • informativa e consenso;
  • compiti Responsabile della sicurezza dei dati personali;
  • compiti Responsabile di specifico trattamento dei dati personali;
  • compiti Incaricato assistenza e manutenzione strumenti elettronici;
  • compiti Incaricato alla custodia delle credenziali di autenticazione;
  • compiti Incaricato realizzazione e custodia copie di sicurezza;
  • compiti Incaricato al trattamento dei dati;
  • informativa ambiente ed ecologia;
  • informativa commercio e SUAP;
  • informativa fornitori;
  • informativa geolocalizzazione (cartello);
  • informativa istruzione, cultura e sport;
  • informativa lavori pubblici, manutenzioni e patrimonio;
  • informativa personale dipendente e collaboratore;
  • informativa Polizia Locale;
  • informativa servizi demografici;
  • informativa servizi legati alla biblioteca comunale;
  • informativa servizi sociali;
  • informativa sito web area riservata;
  • informativa sito web sezione newsletter;
  • informativa tributi;
  • informativa urbanistica, edilizia privata e SUED;
  • informativa videosorveglianza con collegamento (cartello);
  • informativa videosorveglianza (cartello);
  • informazioni sui cookie;
  • introduzione all’adeguamento privacy;
  • istruzioni utilizzo strumenti elettronici di proprietà dell’Ente;
  • lettera di incarico Outsourcer;
  • lettera di incarico Outsourcer ambito IT;
  • lettera di incarico Responsabile di specifico trattamento/Incaricato;
  • lettera di incarico ruoli specifici interni;
  • lettere di incarico;
  • Privacy Policy del sito web;
  • ricevuta di consegna documentazione Incaricato;
  • ricevuta di consegna documentazione Responsabile;