Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
allegato delibera n. 32 del 02.03.2020
Regolamento UE 2016/679
Modello organizzativo per la protezione dei dati
personali
2
Sommario
1. INTRODUZIONE ............................................................................................................................ 2
2. RUOLI E SOGGETTI DEL MODELLO ORGANIZZATIVO PER LA PROTEZIONE DEI DATI PERSONALI ...... 3
3. TITOLARE DEL TRATTAMENTO DEI DATI PERSONALI ..................................................................... 4
4. REFERENTE DEL TITOLARE DEL TRATTAMENTO .............................................................................. 5
5. REFERENTI INTERNI DI AREA/SERVIZIO DI TRATTAMENTO. ............................................................ 6
6. UFFICIO PROGETTI DIREZIONALI E DI SUPPORTO: .......................................................................... 6
7. ALTRI ATTORI COINVOLTI .............................................................................................................. 7
7.1 Soggetti autorizzati al trattamento (ex incaricati) ........................................................................ 7
7.2 Responsabili esterni del trattamento .......................................................................................... 7
7.3 Interessati dal trattamento ......................................................................................................... 7
7.4 Data Protection Officer (DPO) ..................................................................................................... 7
8. Organigramma struttura data protection ...................................................................................... 9
1. Introduzione.
La finalità del presente documento è quella di definire - in sede di prima attuazione del Regolamento
Europeo n. 679 del 27 aprile 2016 del Parlamento Europeo e del Consiglio del 27 aprile 2016 «relativo
alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera
circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei
dati)» (di seguito GDPR o Regolamento UE), in vigore dal 24 maggio 2016, e applicabile a partire dal 25
maggio 2018 - l’articolazione della struttura organizzativa della Camera di Commercio di Bergamo (di
seguito anche solo CCIAA) preposta all’attuazione del sistema di protezione dei dati personali, con
indicazione delle funzioni e dei compiti dei soggetti che la compongono.
3
2. Ruoli e soggetti del modello organizzativo per la protezione dei dati personali.
Premesso che, secondo la definizione del Regolamento UE, “Titolare del Trattamento” è la Camera di
Commercio di Bergamo, nella seguente tabella sono indicati i soggetti che operano nell’ambito del
modello organizzativo per la protezione dei dati personali e i relativi ruoli.
TITOLARE DEL TRATTAMENTO: Camera di Commercio di Bergamo
RUOLO SOGGETTI
Indirizzo e governo • Legale Rappresentante Pro tempore
Esecuzione
• Referente Interno del Titolare del trattamento
• Referenti interni di Area/Servizio di trattamento
• Soggetti autorizzati al trattamento
• (Responsabili esterni del trattamento)
Controllo
• Responsabile della Protezione dei Dati personali o Data
Protection Officer (DPO)
• Autorità di Controllo esterna (art. 51 e ss del GDPR)
I ruoli sopraindicati si sviluppano, rispettivamente, secondo le seguenti linee di azione:
Indirizzo e governo del modello per la protezione dei dati personali:
o definire linee di indirizzo del modello coerenti con le scelte strategiche definite dall’Ente;
o elaborare e trasferire un modello per la protezione dei dati personali che risponda alle
linee di indirizzo definite, oltre che alle disposizioni del GDPR, da calare opportunamente
all’interno della realtà aziendale;
o prendere decisioni in relazione a modifiche necessarie aventi un impatto significativo sul
modello di protezione dei dati personali, anche attraverso un’opportuna valutazione dei
rischi di non conformità;
o prendere decisioni in relazione a eventuali eventi critici occorsi, quali ad esempio casi di
gravi violazioni dei dati personali che possono potenzialmente comportare l’applicazione di
sanzioni, perdite finanziarie rilevanti o danni reputazionali.
Esecuzione del modello per la protezione dei dati personali ossia azioni per garantire
l’implementazione del modello definito nel rispetto, non solo delle disposizioni del GDPR, ma
anche di norme di autoregolamentazione e disposizioni interne di cui si è dotata l’Ente. Nello
specifico:
4
o acquisire e comprendere il modello per la protezione dei dati personali definito dal
Titolare, ma anche le relative disposizioni del GDPR correlate alle scelte effettuate,
segnalando eventuali aspetti poco chiari;
o operare secondo le disposizioni interne ed esterne, sia in relazione ad attività di back office
sia in relazione ad attività di front office (es. gestione richieste degli interessati);
o individuare, discutere e segnalare eventuali modifiche al modello per la protezione dei
dati personali, che possono portare a benefici legati a recupero di efficienza o
all’incremento dell’efficacia del modello;
o supportare le attività di controllo a diversi livelli e implementare eventuali azioni correttive
definite dalla funzione di governo.
Controllo del modello per la protezione dei dati personali ossia azioni per assicurare
l’identificazione di non conformità del modello di protezione dei dati personali definito, sia
rispetto al GDPR sia rispetto a norme di autoregolamentazione e disposizioni interne, e
l’implementazione di opportune azioni correttive nel rispetto di contesto aziendale, risorse
disponibili e vincoli operativi esistenti. Nello specifico:
o effettuare controlli a diversi livelli in merito all’applicazione del modello per la protezione
dei dati personali, ivi compreso il relativo sistema di controlli e gestione rischi;
o identificare eventuali aree di non conformità, da ricondurre al GDPR e/o regolamenti
interni, e valutare opportunamente il livello di rischio correlato, con focus su sanzioni,
perdite finanziarie o danni di reputazione;
o studiare le possibili soluzioni da implementare per sanare le non conformità, valutandone
fattibilità tecnica ed economica, e definire un piano con gli interventi selezionati,
opportunamente prioritizzati;
o monitorare l’effettiva implementazione del piano di remediation, coinvolgendo gli attori
interessati per le verifiche del caso.
Si rimanda ai paragrafi successivi per la descrizione di responsabilità e compiti in materia di protezione
dei dati personali in carico ai soggetti sopraindicati.
3. Titolare del Trattamento dei dati personali.
Il Titolare del Trattamento dei dati personali dispone dei poteri di rappresentanza dell’Ente al fine di
ottemperare alla normativa applicabile in materia di protezione dei dati ed in particolare al
Regolamento Europeo 2016/679 nonché alla normativa nazionale di adeguamento. Svolge funzioni di
indirizzo e governo del modello per la protezione dei dati personali, avvalendosi del supporto e della
consulenza del Data Protection Officer (si seguito anche solo DPO) o di eventuali figure specialistiche
esterne dal medesimo individuate e incaricate.
Al Titolare del Trattamento dei dati personali è attribuito il potere di:
esercitare tutti i diritti e le facoltà spettanti al Titolare ai sensi del Regolamento e della normativa
nazionale vigente e quindi assumere ogni decisione in ordine alle finalità e alle modalità di ogni
trattamento di dati personali, incluse le categorie particolari di dati e/o i dati relativi a condanne
penali e reati, effettuato da e nell'interesse dell’Ente, compresi i profili di sicurezza dei dati stessi;
5
rappresentare l’Ente dinnanzi all’Autorità di Controllo e compiere a tal fine tutti gli atti necessari;
nominare e preporre direttamente, ovvero delegando espressamente il Segretario Generale al
trattamento dei dati personali uno o più soggetti responsabili esterni (quali Soci/Enti in
convenzione, fornitori, appaltatori, ecc..), ai sensi dell’art. 28 del Regolamento;
compiere tutti gli atti, sottoscrivendo la necessaria documentazione, ivi inclusa l'adozione e
l’attuazione di ogni misura e provvedimento, sia di carattere formale che sostanziale, al fine di
dimostrare la conformità al Regolamento, nonché ad ogni altro provvedimento legislativo e
regolamentare in materia;
nominare e preporre al trattamento dei dati personali, ove ritenuto opportuno, uno o più referenti
all’interno dell’Ente;
incaricare o far incaricare le “persone autorizzate al trattamento”, impartendo loro per iscritto le
istruzioni necessarie ad un corretto, lecito e sicuro trattamento dei dati personali e verificarne la
puntuale applicazione;
incaricare o far incaricare gli “amministratori di sistema”, in adempimento a quanto previsto dal
Provvedimento del Garante per la protezione dei dati personali del 27.11.2008, ove ne ricorrano i
presupposti;
in caso di violazione dei dati personali, notificare la stessa all’autorità di controllo secondo le
previsioni del Regolamento, valutare e adottare le misure per porvi rimedio;
dare adempimento a tutti i provvedimenti dell’Autorità di Controllo.
4. Referente del Titolare del trattamento .
Il Referente del Titolare del trattamento, di cui alle determinazioni del Presidente n. 2/2018 e
n. 2/2020, qui allegate, ha il compito di:
dialogare e coordinare i Referenti interni di Area/Servizio di trattamento, ciascuno per la propria
area di competenza, per la definizione/aggiornamento/implementazione e per il trasferimento del
modello per la protezione dei dati personali;
analizzare le eventuali richieste pervenute, veicolandole opportunamente ai Referenti interni di
Area/Servizio di trattamento, e supervisionare l’evasione delle stesse;
indirizzare e supervisionare l’esecuzione di specifiche attività ad alto valore aggiunto previste
all’interno del modello per la protezione dei dati personali (es. aggiornamento del registro dei
trattamenti);
tenere informato il Titolare del Trattamento circa i fatti di maggiore rilevanza, in particolare sui
rischi da prevenire e le misure adottate o da adottare, sul verificarsi di eventuali inconvenienti in
merito e sulle modalità del loro superamento;
nominare, su delega del Titolare del Trattamento, i responsabili esterni del trattamento (art. 28).
nominare i Referenti interni di Area/Servizio di trattamento, ciascuno per la propria area di
competenza
6
5. Referenti interni di Area/Servizio di trattamento.
I Referenti interni di Area/Servizio di Trattamento sono tenuti a garantire che il trattamento dei dati
personali per quanto di propria competenza, come risultante dal Registro del Trattamento dell’Ente
(tenuto ai sensi dell’art. 30 del Regolamento (UE) 2016/679), avvenga nel rispetto della normativa
vigente, e che i dati personali siano trattati in modo lecito, corretto e trasparente; che siano raccolti e
registrati per scopi inerenti le funzioni istituzionali dell’Ente in maniera adeguata, pertinente e limitata
rispetto alle finalità per i quali sono trattati; verificarne esattezza, completezza ed aggiornamento,
assicurandosi che non eccedano le finalità per la quali sono stati raccolti; e conservarli nel rispetto
delle misure di sicurezza predisposte dall’Ente e per il periodo strettamente necessario indicato nel
Registro.
La loro individuazione con i relativi compiti sono elencati nella determinazione del Presidente n.
2/2018, nella determinazione del Segretario Generale n.1/2020 e nella determinazione del Presidente
n.2/2020 provvedimenti che si allegano.
6. Ufficio Privacy.
L’ufficio Privacy viene identificato nell’ufficio Compliance normativa e nel dettaglio si occupa di:
A. elaborare e mantenere aggiornati:
o documentazione utilizzata in ambito data protection, tra cui informative, moduli di consenso e
lettere di nomina, anche verso figure interne non esplicitamente richieste dal Regolamento;
o modelli di contratti e accordi quadro con terze parti, e relative lettere di nomina a responsabili
esterni per le ipotesi di trattamento di dati personali di titolarità dell’Ente, in linea con la politica di
protezione dei dati e gli altri requisiti normativi;
o processi e regole legate all’adozione della documentazione legale (es. gestione informative e
consensi; gestione del registro dei trattamenti) ed alla gestione del rapporto con i fornitori, con
particolare riferimento alla fase di qualifica e contrattualizzazione, e all’adozione della
documentazione di cui ai punti che precedono;
B. fornire pareri e supportare le funzioni richiedenti sia in fase di negoziazione, contrattualizzazione
con i fornitori sia in fase di erogazione dei servizio/fornitura del prodotto con riferimento a tutto
quanto concernete la protezione dei dati personali ed in particolare, ove richiesto, effettuare
valutazioni sui fornitori in ordine al livello di protezione dei dati personali dagli stessi offerto;
C. fornire, ove richiesto e con l’eventuale supporto del Data Protection Officer, parere in merito alla
Data Protection Impact Assestment, con focus sugli impatti sui diritti degli interessati;
D. fornire pareri, ove richiesto, in fase di progettazione nuove iniziative che coinvolgono dati
personali;
E. definire e mantenere aggiornata la classificazione delle categorie di dati personali al fine di
garantire l’allineamento ai requisiti del Regolamento (es. categorie di dati particolari);
F. tenere e periodicamente aggiornare l’elenco nominale degli amministratori di sistema, ove
nominati;
7
G. considerare debitamente i rischi inerenti al trattamento, con particolare attenzione ai rischi di non
conformità, ovvero i rischi di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie
rilevanti o danni reputazionali;
H. effettuare approfondimenti in caso di violazioni di dati personali (data breach), con particolare
riferimento ai rischi di non conformità, e fornire indicazioni in merito ad azioni di mitigazione dei
rischi stessi;
I. tenere traccia delle scelte effettuate in materia di protezione dei dati personali, comprensive di
motivazioni, percorso decisionale e documentazione a supporto;
J. sorvegliare l’osservanza del Regolamento e delle politiche interne in funzione di supporto al Data
Protection Officer;
K. valutare l’efficacia e integrare il sistema di gestione dei rischi, evidenziando eventuali carenze
nell’ottica della protezione dei dati personali, suggerendo le modalità con cui risolverle.
7. Altri attori coinvolti.
7.1 Soggetti autorizzati al trattamento (ex incaricati).
I Soggetti autorizzati al trattamento devono operare sotto la diretta autorità delle strutture preposte
dal Titolare per la gestione della protezione dei dati nel rispetto del modello ed in generale delle
ulteriori istruzioni impartite.
7.2 Responsabili esterni del trattamento.
I Responsabili Esterni, nominati con apposito atto scritto, sono soggetti terzi (es. fornitori, partner) che
effettuano uno o più trattamenti per conto del Titolare, offrendo garanzie sufficienti per mettere in
atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del
GDPR e garantisca la tutela dei diritti dell'interessato.
7.3 Interessati dal trattamento.
Gli interessati sono i soggetti cui si riferiscono i dati personali. L'interessato presta il proprio consenso
esplicito al trattamento di tali dati personali per una o più finalità specifiche e ha la possibilità di
avanzare al Titolare o Responsabile Esterno richieste per esercitare i propri diritti di cui agli articoli da
15 a 22 del Regolamento UE.
7.4 Data Protection Officer (DPO).
Il Data Protection Officer (DPO) costituisce il fulcro del nuovo sistema di Governance in tema di
protezione dati personali, dovendo facilitare l’osservanza delle disposizioni del GDPR, minimizzare il
rischio deli violazioni e agire quale intermediario fra i vari stakeholder (autorità di controllo, interessati
e tutti gli uffici dell’Ente).
Nello specifico, il DPO è un soggetto designato dal titolare o dal responsabile del trattamento per
assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente
all'applicazione del Regolamento medesimo. Coopera con l'Autorità (motivo per cui il suo nominativo
va comunicato al Garante) e costituisce il punto di contatto, anche rispetto agli interessati, per le
questioni connesse al trattamento dei dati personali.
Il DPO ha il compito di:
8
sorvegliare l'osservanza del Regolamento, delle altre disposizioni dell'Unione o degli Stati membri
relative alla protezione dei dati nonché delle politiche del Data Controller o Data Processor in
materia di protezione dei dati personali compresi l'attribuzione delle responsabilità, la
sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività
di controllo (art. 39 GDPR; 4.1 Guide Lines on DPOs, 5 Aprile 2017). Fanno parte di questi compiti di
controllo svolti dal DPO, in particolare:
o la raccolta di informazioni per individuare i trattamenti svolti;
o l’analisi e la verifica dei trattamenti in termini di loro conformità;
o l’attività di informazione, consulenza e indirizzo nei confronti di titolare o responsabile.
cooperare con l’autorità di controllo e fungere da punto di contatto per la stessa per questioni
connesse al trattamento di dati personali, tra cui la consultazione preventiva, ed effettuare, se del
caso, consultazioni relativamente a qualsiasi altra questione (art. 39 GDPR; 4.3 Guidelines on DPOs,
5 Aprile 2017). Il DPO funge da punto di contatto per facilitare l’accesso, da parte dell’autorità di
controllo, ai documenti e alle informazioni necessarie per l’adempimento dei compiti attribuitile
dall’articolo 57 del GDPR nonché ai fini dell’esercizio dei poteri di indagine, correttivi, autorizzativi
e consultivi di cui all’articolo 58 del GDPR. L’articolo 39, paragrafo 1, del GDPR prevede che il DPO
possa consultare l’autorità di controllo con riguardo a qualsiasi altra questione, se del caso;
informare e fornire consulenza al Titolare, Referente del Titolare e Referenti interni di
Area/Servizio di trattamento, nonché ai dipendenti che trattano dati personali in merito agli
obblighi derivanti dal Regolamento e da altre disposizioni dell'Unione o degli Stati membri relative
alla protezione dei dati (art. 39 GDPR);
fornire, se richiesto, un parere in merito alla valutazione d'impatto (DPIA) sulla protezione dei dati
e sorvegliarne lo svolgimento (art. 39 GDPR; 4.2 Guidelines on DPOs, 5 Aprile 2017). Il Gruppo di
lavoro raccomanda che il titolare del trattamento si consulti con il DPO, fra l’altro, sulle seguenti
tematiche:
o se condurre o meno una DPIA;
o quale metodologia adottare nel condurre una DPIA;
o se condurre la DPIA con le risorse interne ovvero esternalizzandola;
o quali salvaguardie applicare, comprese misure tecniche e organizzative, per attenuare i rischi
per i diritti e gli interessi delle persone interessate;
o se la DPIA sia stata condotta correttamente o meno, e se le conclusioni raggiunte (procedere o
meno con il trattamento, e quali salvaguardie applicare) siano conformi al GDPR.
Qualora il Titolare del Trattamento non concordi con le indicazioni fornite dal DPO, è necessario
che la documentazione relativa alla DPIA riporti specificamente per iscritto le motivazioni per cui si
è ritenuto di non conformarsi a tali indicazioni;
considerare debitamente i rischi inerenti al trattamento, tenuto conto della natura, del campo di
applicazione, del contesto e delle finalità del medesimo, focalizzandosi sulle aree di rischio più alto
(art. 39 GDPR; 4.4 Guidelines on DPOs, 5 Aprile 2017). In sostanza, si chiede al DPO di definire un
ordine di priorità nell’attività svolta e di concentrarsi sulle questioni che presentino maggiori rischi
9
in termini di protezione dei dati. Seppure ciò non significhi che il DPO debba trascurare di
sorvegliare il grado di conformità di altri trattamenti associati a un livello di rischio
comparativamente inferiore, di fatto la disposizione segnala l’opportunità di dedicare attenzione
prioritaria agli ambiti che presentino rischi più elevati. Attraverso questo approccio selettivo e
pragmatico, il DPO dovrebbe essere più facilmente in grado di consigliare al titolare quale
metodologia seguire nel condurre una DPIA, a quali settori riservare un audit interno o esterno in
tema di protezione dei dati, quali attività di formazione interna prevedere per il personale o gli
amministratori che trattino dati personali, e a quali trattamenti dedicare maggiori risorse e tempo.
Il Data Protection Officer è stato individuato, con apposito atto di nomina, in un soggetto interno
all’Ente con delibera di Giunta Camerale n. 55 del 04/05/2018, nel rispetto dei requisiti indicati da
GDPR e WP29 («Linee Guida sui responsabili per la protezione dei dati»), come argomentato nella
tabella seguente.
8. Organigramma struttura data protection.
Di seguito si riporta l’organigramma della struttura Data Protection, con indicazione dei principali
attori coinvolti nel Modello organizzativo della protezione dei dati personali.
Allegati:
a. determinazioni del Presidente n. 2/2018 di individuazione del Referente del Titolare del
trattamento dei dati personali e dei Referenti interni di area/servizio di trattamento;
b. determinazione del Segretario Generale n.1/2020 di aggiornamento individuazione dei
referenti interni di area/servizio;
c. determinazione del Presidente n. 2/2020 di compiti del referente del titolare del trattamento;
d. organigramma Privacy aggiornato.
Pagina 1 di 3 det. pres. n. 2 del 12.07.2018
DETERMINAZIONE DEL PRESIDENTE N. 2 DEL 12/07/2018 Oggetto: INDIVIDUAZIONE DEL REFERENTE DEL TITOLARE DEL TRATTAMENTO DEI DATI PERSONALI E DEI REFERENTI INTERNI DI AREA/SERVIZIO DI TRATTAMENTO
Il Presidente Premesso che:
il Regolamento (UE) 2016/679, entrato in vigore il 25 Maggio 2016, e divenuto concretamente operativo nei Paesi UE dal giorno 25 maggio 2018, ha definito un nuovo approccio alla gestione del trattamento dei dati personali, accrescendo le responsabilità del Titolare e del Responsabile del trattamento dei dati personali, imponendo, altresì l’obbligo di prevedere misure tecniche ed organizzative idonee a minimizzare i rischi connessi al trattamento dati e a garantire il pieno esercizio dei diritti degli interessati;
nell’ambito delle misure organizzative di cui al punto che precede, il Titolare del trattamento ha la facoltà di designare uno o più Referenti che - per esperienza, capacità ed affidabilità - forni-scano idonea garanzia in ordine alla messa in atto misure tecniche e organizzative adeguate af-finché il trattamento dei dati personali soddisfi i requisiti del Regolamento Europeo e garantisca la tutela dei diritti dell’interessato;
Considerato che:
le norme introdotte dal citato Regolamento si traducono in obblighi organizzativi e tecnici che il Titolare del Trattamento dei dati personali deve considerare e tenere presenti per consentire la piena e consapevole applicazione del nuovo quadro normativo in materia di privacy;
alla luce di quanto sopra risulta opportuno procedere alla definizione di nuove modalità organiz-zative in ambito di protezione dei dati personali, mediante la ridefinizione all’interno dell’Ente di ruoli e compiti;
sulla base della suddivisione di competenze di cui all’attuale organigramma, l’assetto organizza-tivo meglio rispondente alle esigenze proprie dell’Ente risulta individuabile in una struttura con ripartizione di ruoli e responsabilità secondo la seguente articolazione: a) nomina di un Referente del Titolare del trattamento dei dati personali, quale soggetto di
coordinamento e riporto diretto al Titolare; b) individuazione dei Referenti interni di Area/Servizio di trattamento ridefinendo i ruoli e compi-
ti degli attuali Responsabili Interni del trattamento così come nominati con determinazione presidenziale n. 7 del 29 novembre 2017.
Al fine di garantire il rispetto della disciplina in materia di Privacy e Data Protection:
il Referente del Titolare del trattamento dei dati personali si occupa di:
dialogare e coordinare i Referenti interni di Area/Servizio di trattamento, ciascuno per la propria competenza, per la definizione/aggiornamento/implementazione e per il trasferimento del mo-dello per la protezione dei dati personali;
analizzare le eventuali richieste pervenute, veicolandole opportunamente ai Referenti interni di Area/Servizio di trattamento, e supervisionare l’evasione delle stesse;
indirizzare e supervisionare l’esecuzione di specifiche attività ad alto valore aggiunto previste all’interno del modello per la protezione dei dati personali (es. aggiornamento del registro dei trattamenti);
tenere informato il Titolare circa i fatti di maggiore rilevanza, in particolare sui rischi da prevenire e misure adottate o da adottarsi, sul verificarsi di eventuali inconvenienti in merito e sulle moda-lità del loro superamento;
nominare, su delega del Titolare del Trattamento, i responsabili esterni del trattamento (art. 28);
I Referenti interni di Area/Servizio di trattamento sono tenuti a garantire che il trattamento dei dati personali per quanto di propria competenza, come risultante dal Registro dei trattamenti dell’Ente (tenuto ai sensi dell’art. 30 del Regolamento (UE) 2016/679), avvenga nel rispetto della normativa vigente, e che i dati personali siano trattati in modo lecito, corretto e trasparente; che siano raccolti e registrati per scopi inerenti le funzioni istituzionali dell’Ente in maniera adeguata, pertinente e li-mitata rispetto alle finalità per i quali sono trattati; sono altresì tenuti a verificarne esattezza, com-
Pagina 2 di 3 det. pres. n. 2 del 12.07.2018
pletezza e aggiornamento, assicurandosi che non eccedano le finalità per la quali sono stati raccol-ti e a conservarli nel rispetto delle misure di sicurezza predisposte dall’Ente e per il periodo stret-tamente necessario indicato nel Registro. Nel dettaglio si occupano di:
collaborare all’elaborazione e al mantenimento dell’elenco degli applicativi che trattano dati per-sonali, con particolare riferimento a quelli che trattano categorie di dati particolari o giudiziari;
collaborare alla tenuta e aggiornamento del Registro dei trattamenti per le attività e i progetti di propria competenza, mediante la validazione delle operazioni di caricamento operate dal sog-getto che sarà da lui stesso nominato nell’ambito dell’Area/Servizio;
garantire e verificare che il trattamento dei dati personali per l’Area/Servizio di propria compe-tenza, come indicati nel Registro dei trattamenti, avvenga nel rispetto delle modalità previste dalla normativa in vigore, in particolare: trattare i dati in modo lecito e secondo correttezza; rac-coglierli e registrarli per scopi inerenti le funzioni istituzionali dell’Ente;
segnalare la necessità di nominare i responsabili esterni del trattamento (art. 28);
attenersi alle indicazioni del Titolare del trattamento e del Referente del Titolare del trattamento, predisponendo tutte le misure di sicurezza necessarie alla tutela dei dati trattati, nonché fornire supporto agli stessi nel caso in cui si verifichino violazioni e conseguenti necessità di notifica agli interessati e/o all’Autorità Garante o qualora l’Autorità chieda all’Ente di fornire informazioni in merito al trattamento;
verificare che i procedimenti di propria competenza siano svolti garantendo agli interessati un’adeguata conoscibilità dell’informativa adottata dall’Ente;
eseguire gli opportuni controlli al fine di assicurare che il trattamento dei dati avvenga nel pieno rispetto della normativa vigente e collaborare attivamente con il DPO in occasione degli audit periodici da questi organizzati.
Detti soggetti inoltre hanno il compito di:
gestire il rapporto con gli interessati nel rispetto della normativa privacy vigente con particolare riguardo alla dimostrazione della legittimità del consenso prestato, alla collaborazione con il DPO e con il Referente del Titolare del trattamento, nel soddisfare le richieste dell'interessato al fine di esercitare i suoi diritti, nonché all’adozione di misure appropriate per fornire all'interessa-to per iscritto o con altri mezzi tutte le informazioni e le comunicazioni relative al trattamento ov-vero per procedere se necessario alle eventuali rettifiche o cancellazioni o limitazioni del tratta-mento (art. 8,12, 13, 14 15 17 19);
garantire la protezione dei dati personali fin dalla progettazione di un, prodotto/servizio e/o si-stema e protezione dei dati personali per impostazione predefinita (art. 25)
nominare gli autorizzati al trattamento - laddove l’autorizzazione non derivi già dalla organizza-zione aziendale unita al modello organizzativo (es. stagisti) - fornendo le istruzioni relative alle operazioni di trattamento cui siano stati autorizzati, alla custodia di atti e documenti contenenti dati personali e alle misure minime di sicurezza;
collaborare alla gestione di eventuali violazioni dei dati personali (artt. 33, 34);
collaborare alla eventuale effettuazione della Data Protection Impact Assessment ed eventuale consultazione preventiva (artt. 35, 36).
Tenuto conto di quanto sopra riportato, in qualità di Titolare del trattamento,
determina
1. di individuare quale Referente del Titolare del trattamento dei dati personali il Segretario Gene-rale Maria Paola Esposito, cui sono conferiti i compiti sopra descritti;
2. di individuare quali Referenti interni di Area/Servizio di trattamento ciascuno per i dati trattati
nelle aree di rispettiva competenza, cui sono conferiti i compiti sopra descritti:
Antonella D’Ottavio – Area in staff al Segretario Generale, tenuto conto delle sue funzioni di supporto al Segretario Generale;
Andrea Vendramin – Area anagrafe economica e regolazione del mercato
Pagina 3 di 3 det. pres. n. 2 del 12.07.2018
Raffaella Castagnini – Servizio promozione e sviluppo economia locale
Paolo Longoni – Servizio studi e informazione economica
Andrea Locati – Servizio della comunicazione
Carla Tobaldo – Servizio risorse umane e finanziarie
Costanza Arcuri – Servizio risorse strumentali dando atto che per esperienza, capacità e affidabilità forniscono idonea garanzia del pieno ri-spetto delle disposizioni in materia di trattamento, anche con riferimento al profilo della sicurez-za.
IL PRESIDENTE Giovanni Paolo Malvestiti
Atto sottoscritto con firma digitale ai sensi dell’art. 21 del D.Lgs. n. 82/2005 e s.m.i.
Pagina 1 di 1 det. segr. gen. n. 1 del 08.01.2020
DETERMINAZIONE DEL SEGRETARIO GENERALE N. 1 DEL 08/01/2020
Oggetto: TRATTAMENTO DEI DATI PERSONALI: AGGIORNAMENTO INDIVIDUAZIONE DEI REFERENTI INTERNI DI AREA/SERVIZIO
Il Segretario Generale
Visto il D.Lgs. 165 del 30.03.2001 contenente norme generali sull'ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche;
Richiamata la determinazione del Presidente n. 2/2018 “Individuazione del Referente del
Titolare del trattamento dei dati personali e dei referenti interni di Area/Servizio di trattamento”, che
individua il Referente del Titolare del Trattamento nel Segretario Generale dott.ssa Maria Paola
Esposito e i Referenti interni delle diverse Aree e Servizi dell’Ente sulla base della suddivisione di
competenze di cui all’organigramma allora vigente;
Preso atto delle cessazioni dal servizio e delle modifiche all’articolazione dei Servizi e degli
Uffici intervenute sino a oggi;
Evidenziata pertanto la necessità di aggiornare l’individuazione dei Referenti interni del
trattamento, ciascuno per i dati trattati nelle aree di rispettiva competenza, cui conferire i compiti
già descritti nella determinazione del Presidente n. 2/2018;
Ricordato che la normativa contenuta nel Regolamento Europeo 2016/679 in materia di
protezione dei dati personali richiede che detti Referenti forniscano, per esperienza, capacità e
affidabilità, idonea garanzia in ordine alla messa in atto di misure tecniche e organizzative
adeguate per la tutela dei diritti degli interessati,
determina
1. di individuare quali Referenti interni di Area/Servizio del trattamento, ciascuno per i dati trattati
nelle Aree/Servizi di rispettiva competenza, cui sono conferiti i compiti già descritti nella
determinazione del Presidente n. 2/2018:
Antonella D’Ottavio - Area in staff al Segretario Generale
Raffaella Castagnini - Servizio promozione e sviluppo economia locale
Andrea Locati - Servizio comunicazione, studi e informazione economica
Andrea Vendramin - Area anagrafe economica e regolazione del mercato
Luca Fasulo - Servizio risorse finanziarie
Francesca Rigo - Servizio risorse umane e gestione partecipazioni
Costanza Arcuri - Servizio risorse strumentali
dando atto che per esperienza, capacità e affidabilità gli stessi forniscono idonea garanzia del
pieno rispetto delle disposizioni in materia di trattamento, anche con riferimento al profilo della
sicurezza;
2. di dare atto che è confermato, quale Referente del Titolare del trattamento, il Segretario
Generale dott.ssa Maria Paola Esposito con i compiti già descritti nella citata determinazione
del Presidente n. 2/2018.
IL SEGRETARIO GENERALE
M. Paola Esposito
Atto sottoscritto con firma digitale ai sensi dell’art. 24 del D.Lgs. n. 82/2005 e s.m.i.
Pagina 1 di 1 det. pres. n. 2 del 25.02.2020
DETERMINAZIONE DEL PRESIDENTE N. 2 DEL 25/02/2020 Oggetto: TRATTAMENTO DEI DATI PERSONALI: COMPITI DEL REFERENTE DEL TITOLARE DEL TRATTAMENTO
Il Presidente
Premesso che con propria determinazione n. 2/2018 “Individuazione del Referente del Tito-lare del trattamento dei dati personali e dei Referenti interni di Area/Servizio di trattamento” ha provveduto a individuare il Segretario Generale Maria Paola Esposito quale Referente del Titolare del trattamento dei dati personali, conferendole i compiti come di seguito descritti:
- dialogare e coordinare i referenti interni di area/servizio di trattamento, ciascuno per la propria
competenza, per la definizione/aggiornamento/implementazione e per il trasferimento del mo-dello per la protezione dei dati personali;
- analizzare le eventuali richieste pervenute, veicolandole opportunamente ai Referenti interni di Area/Servizio di trattamento, e supervisionare l’evasione delle stesse;
- indirizzare e supervisionare l’esecuzione di specifiche attività ad alto valore aggiunto previste all’interno del modello per la protezione dei dati personali (es. aggiornamento del registro dei trattamenti);
- tenere informato il Titolare circa i fatti di maggiore rilevanza, in particolare sui rischi da prevenire e misure adottate o da adottarsi, sul verificarsi di eventuali inconvenienti in merito e sulle moda-lità del loro superamento;
- nominare, su delega del Titolare del Trattamento, i responsabili esterni del trattamento (art. 28);
Tenuto conto che l’aggiornamento relativo all’individuazione dei Referenti interni di Area/Servizio a seguito della modifica della struttura organizzativa dell’Ente è stato effettuato con provvedimento del Segretario Generale (det. n. 1/2020) poiché sono di competenza dello stesso i provvedimenti relativi all’organizzazione dell’Ente, inclusa pertanto la definizione dell’organigramma della privacy;
Ritenuto dunque necessario formalizzare che la figura deputata a individuare i Referenti in-terni di Area/Servizio di trattamento, per ogni area di competenza, sia il Referente del Titolare del trattamento dei dati;
Tenuto conto di quanto sopra riportato, in qualità di Titolare del trattamento,
determina
1. che tra i compiti conferiti al Referente del Titolare del trattamento, oltre a quelli richiamati nella determina presidenziale n. 2/2028, vi sia altresì quello di nominare i Referenti interni di Area/Servizio di trattamento, ciascuno per la propria area di competenza;
2. di ratificare la determinazione del Segretario Generale n. 1/2020 “Trattamento dei dati persona-li: aggiornamento individuazione dei Referenti interni di Area/Servizio”.
IL PRESIDENTE Giovanni Paolo Malvestiti
Atto sottoscritto con firma digitale ai sensi dell’art. 24 del D.Lgs. n. 82/2005 e s.m.i.
Autorità di controllo DPO (*) Ufficio Privacy: Ufficio compliance normativa
Referente interno del
trattamento per l’Area in
staff al SG
Supportato da: • Ufficio servizi informatici e
strumentali • Ufficio del personale e
comunicazione interna
Titolare del trattamento: Camera di commercio di Bergamo in persona del Presidente Referente del titolare del trattamento: Segretario Generale
Interessati dal
trattamento
CONTROLLO
INDIRIZZO E GOVERNO
ESECUZIONE
(*) Il DPO si occupa anche di attività consulenziali
Referente interno del
trattamento per l’Area
anagrafe economica e
regolazione del mercato
Modello organizzativo Privacy
Responsabili esterni del
trattamento
Soggetti autorizzati al
trattamento
Referente interno del
trattamento il Servizio
comunicazione, Studi e
informazione economica
Referente interno del
trattamento per il Servizio
risorse strumentali
Referente interno del
trattamento per il Servizio
promozione e sviluppo
economia locale
Referente interno del
trattamento per il
Servizio risorse umane e
gestione partecipazioni
Referente interno del
trattamento per il Servizio
risorse finanziarie