L'impianto normativo del dpr n. 318 costituisce la base di riferimento per l'effettiva traduzione di misure di sicurezza e comporta comunque la necessaria definizione di un documento programmatico, con valenza di piano operativo, nel quale siano precisate le scelte "di garanzia" in ordine ai dati sensibili.

Tale documento deve contenere, in particolare:

a) i criteri tecnici e organizzativi per la protezione delle aree e dei locali interessati dalle misure di sicurezza nonché le procedure per controllare l'accesso delle persone autorizzate ai locali medesimi;

b) i criteri e le procedure per assicurare l'integrità dei dati;

c) i criteri e le procedure per la sicurezza delle trasmissioni dei dati, ivi compresi quelli per le restrizioni di accesso per via telematica;

d) l'elaborazione di un piano di formazione per rendere edotti gli incaricati del trattamento dei rischi individuati e dei modi per prevenire danni.

Tale strumento deve essere configurato con riferimento alle risultanze delle elaborazioni condotte da ciascuna amministrazione in relazione all'analisi dei rischi. L'impostazione fattuale del piano operativo dovrà peraltro tener conto della distribuzione dei compiti e delle responsabilità nell'ambito delle strutture (servizi dell'ente locale) preposte al trattamento dei dati stessi.

La normativa consente alle amministrazioni locali di trasformare l'adempimento in un’opportunità, dando loro la possibilità di razionalizzare l'intero complesso degli elementi di garanzia per il trattamento dei dati personali. Il quadro d'insieme può pertanto essere utilmente riferito sia alle misure di sicurezza per il trattamento di dati personali in generale sia, soddisfacendo il dettato normativo, per quello di dati sensibili.

Tale documento ha valenza di piano operativo, raccogliendo una serie di soluzioni organizzative e di linee-guida tecniche generali: esso può essere quindi approvato dalla giunta, con propria deliberazione (si veda schema in basso). L'impostazione del documento programmatico - piano operativo può quindi essere utilmente sviluppata in tre parti:

a) la definizione del quadro di riferimento (non solo quello normativo, integrabile peraltro dai regolamenti dell'ente in materia, ma anche quello organizzativo e quello funzionale);

. b) la descrizione del contesto (nella quale devono essere riportati elementi essenziali come l'analisi dei rischi e le criticità organizzative);

c) la configurazione del quadro delle misure-base per garantire la sicurezza dei trattamenti di dati personali (devono essere peraltro intese come strutturazioni chiave, che una volta poste in essere concretamente assicurano standard minimi di sicurezza).

Gli sviluppi tecnologici e le specificità strutturali (si pensi agli enti che hanno più sedi decentrate) richiedono che il piano operativo sia opportunamente flessibilizzato attraverso singole determinazioni (a contenuto organizzativo e tecnico specifico) dei dirigenti dei servizi o dei responsabili dei trattamenti (ove nominati).

OGGETTO: approvazione del documento programmatico - piano operativo per le misure di sicurezza per il trattamento dei dati personali nell'ambito delle attività del comune di...................

LA GIUNTA

Premesso:

- che l'art. 15, comma 1, della legge 31 dicembre 1996, n. 675, stabilisce che i dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta;

- che il medesimo art. 15 al comma 2 demanda ad apposito regolamento l'individuazione degli standard ai quali i soggetti pubblici e privati che trattano dati personali devono attenersi nella determinazione delle misure minime di sicurezza;

- che il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza, che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti dall'art. 15, comma 1, della legge n. 675/1996, è stato definito con dpr 28 luglio 1999, n. 318;

Atteso che l'art. 15, comma 3, della richiamata legge 31 dicembre 1996, n. 675, prevede che le misure minime di sicurezza, individuate dal regolamento approvato con dpr n. 318/1999, siano adeguate, entro due anni dalla data di entrata in vigore della legge e successivamente con cadenza almeno biennale, con successivi regolamenti, in relazione all'evoluzione tecnica del settore e all'esperienza maturata;

Rilevato che l'art. 6 del suindicato dpr n. 318/1999 prevede che qualora il trattamento di dati sensibili sia realizzato mediante elaboratori o sistemi automatizzati, deve essere predisposto e aggiornato con cadenza annuale un documento programmatico sulla sicurezza dei dati per definire, sulla base dell'analisi dei rischi, della distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati stessi:

a) i criteri tecnici e organizzativi per la protezione delle aree e dei locali interessati dalle misure di sicurezza nonché le procedure per controllare l'accesso delle persone autorizzate ai locali medesimi;

b) i criteri e le procedure per assicurare l'integrità dei dati;

e) i criteri e le procedure per la sicurezza delle trasmissioni dei dati, ivi compresi quelli per le restrizioni di accesso per via telematica;

d) l'elaborazìone di un piano di formazione per rendere edotti gli incaricati del trattamento dei rischi individuati e dei modi per prevenire danni;

- che l'efficacia delle misure di sicurezza come sopra determinate deve essere oggetto di controlli periodici, da eseguirsi con cadenza almeno annuale;

Considerato:

- che l'articolazione dei trattamenti di dati personali, anche sensibili, nell'ambito dell'amministrazione comunale, nonché la complessità del sistema degli archivi e delle banche-dati informatizzate nei quali confluiscono le informazioni personali rendono necessaria la formalizzazione;

- che a fronte delle finalità delle misure di sicurezza date dall'art. 15, comma 1, della legge n. 675/1996, nonché degli standard minimi delineati dal dpr n. 318/1999, risulta opportuno riportare in un unico documento programmatico a contenuto organizzativo-operativo gli elementi di riferimento necessari per l'adozione, l'adeguamento, lo sviluppo, l'implementazione gestionale di misure di sicurezza incidenti su:

a) trattamenti di dati personali ordinari (riferiti a dati senza particolare rilevanza caratteristica), di dati personali particolari (riferiti all'ambito fiscale-tributario), di dati personali sensibili (con riguardo a quanto previsto dagli artt. 22 e 24 della legge n. 675/1996);

b) gestione di archivi cartacei (correnti, di deposito, storici) e di banche-dati conservate su supporti informatizzati-automatizzati (memorie di rete, hard-disk, floppy-disk cd-rom);

c) gestione di archivi contenenti documenti particolari;

- che tali elementi si configurano come componenti costitutive di un documento programmatico, rispondente a quanto previsto dall'art. 6 del dpr n. 318/1999, volto a fornire adeguate garanzie di fondo per il trattamento dei dati personali da parte degli operatori dell'amministrazione comunale, attraverso la definizione di misure di sicurezza organizzative, fisiche e logiche;

che tali misure di sicurezza, periodicamente riviste e comunque soggette a reimpostazione complessiva annualmente, costituiscono il riferimento per la definizione, mediante apposite determinazioni dirigenziali, di soluzioni operative dettagliate, correlate alle specificità e alla complessità dei singoli settori;

• che l'assetto del quadro di misure riportato nel documento programmatico a valenza operativo-organizzativa, contenuto nell'allegato A (omissis), è definito:

a) con riguardo allo stato dell'informatizzazione del comune;

b) con riguardo alla gestione dei flussi documentali attraverso un sistema informatizzato di protocollazione generale;

c) con riguardo all'articolazione organizzativo-strutturale degli archivi correnti, di deposito e storici;

Rilevato che l'art. 41, comma 3, della legge n. 675/1996, stabilisce che le misure di sicurezza definite in base al regolamento di cui all'art. 15 devono essere effettivamente e concretamente adottate entro un termine di sei mesi decorrente dalla data di entrata in vigore del regolamento stesso, quindi entro il 29 marzo 2000, stante la vigenza del dpr n. 318/1999 a far data dal 29 settembre 1999;

Valutati i contenuti del provvedimento del garante per la protezione dei dati personali del 29 febbraio 2000, finalizzato a sollecitare tutti i soggetti pubblici e privati al rispetto di quanto previsto dal dpr n. 31811999;

Tenuto conto che risulta necessario conferire al presente provvedimento immediata eseguibilità, al fine di poter attivare tempestivamente e comunque entro il 29 marzo 2000 i processi di definizione e di applicazione delle misure di sicurezza per i trattamenti di dati personali sviluppati dai settori dell’amministrazione comunale;

Dato atto che, ai sensi dell'art. 53 della legge n. 142/1990, è stato richiesto e formalmente acquisito agli atti il parere favorevole espresso dal responsabile del servizio interessato in ordine alla regolarità tecnica del presente provvedimento;

l. - di approvare il documento programmatico - piano operativo per le misure di sicurezza minime inerenti l'attività dei settori del comune di........... in ordine al trattamento di dati personali, come configurato nell'allegato A (omissis), parte integrante e sostanziale del presente atto;

2. - di dare atto che ciascun direttore di settore, nonché per essi ciascun dirigente delegato, provvederà, con propria determinazione, a definire, nel rispetto del documento programmatico riportato in allegato, soluzioni operative per l'applicazione delle misure di sicurezza, con particolare attenzione per eventuali specificità o complessità strutturali dell'articolazione organizzativa cui risultano essere preposti;

3. - di dichiarare, ai sensi dell'art. 47 della legge n. 142/1990, la presente deliberazione immediatamente eseguibile, per le motivazioni esplicitate in premessa.