1 Nomina degli Incaricati del trattamento dei dati personali e Informativa

Organo: INAIL - DIREZIONE GENERALE - Direzione Centrale Programmazione Organizzazione e Controllo Documento: Circolare n. 40 del 5 ottobre 2007.

Oggetto: Misure finalizzate a dare attuazione alle disposizioni del Codice in materia di protezione dei dati personali. ¹

Nomina degli Incaricati del trattamento dei dati personali e Informativa. ²

Quadro Normativo

• Decreto legislativo 30 giugno 2003, n. 196 : “Codice in materia di protezione dei dati personali”

1. Premessa

Il Codice in materia di protezione dei dati personali - a decorrere dal 1° gennaio 2004, disciplina in maniera organica l'intera materia relativa alla tutela dei dati personali, raccogliendo in forma di testo unico tutte le disposizioni al riguardo.

Il testo rappresenta il primo modello di codificazione organica della privacy in Europa e regolamenta in modo dettagliato settori non contemplati o contemplati solo in parte dalla previgente normativa in materia e, nell'introdurre nel nostro ordinamento la normativa comunitaria ed internazionale, stabilisce³ il diritto soggettivo, per chiunque, alla protezione dei dati personali.

I soggetti pubblici, che effettuano trattamento dei dati, sia con l'ausilio di strumenti elettronici che mediante supporti cartacei, hanno l'obbligo di adottare misure di garanzia volte a tutelare la riservatezza delle informazioni di natura personale e sensibile in possesso degli stessi per l'espletamento dell'attività istituzionale

Pertanto, l'Istituto, quale soggetto pubblico che tratta dati personali, sensibili e giudiziari, ha provveduto a porre in essere gli adempimenti di seguito indicati:

• Adozione delle misure di sicurezza informatiche, organizzative, logistiche e procedurali atte a configurare elevati livelli di protezione ⁴;

• Adozione per l'esercizio 2006 del "Documento Programmatico sulla Sicurezza"⁵ redatto secondo le prescrizioni contenute nel “Disciplinare tecnico in materia di misure minime di sicurezza“ ed aggiornato al 30 marzo 2007;

• Predisposizione del “ Regolamento attuativo del Decreto legislativo 30 giugno 2003 n. 196”, approvato dall'Autorità Garante per la protezione dei dati personali in data 18 dicembre 2006 ed adottato dall' INAIL con deliberazione del Consiglio di Amministrazione n. 558 del 20 dicembre 2006;

• Adozione del nuovo modello organizzativo sulla privacy con deliberazione del Consiglio di Amministrazione n. 119 del 28 marzo 2007 .

2. Soggetti preposti al trattamento dei dati

Analogamente a quanto previsto dalla preesistente normativa, il Codice individua nel “titolare”, nel

“responsabile” e nell'incaricato” i soggetti cui fa capo il trattamento dei dati rispettivamente negli articoli 28, 29 e 30.

• Il Titolare del trattamento è l'INAIL nel suo complesso; l'articolo 28 chiarisce, infatti, che quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da qualsiasi altro ente, associazione od organismo, il titolare coincide con l'entità giuridica nel suo complesso ovvero con l'unità o l'organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza

• Il Responsabile del trattamento è il soggetto che, nominato per iscritto dal titolare, sovraintende

all'intero processo del trattamento dei dati, dalla iniziale acquisizione fino alla eventuale cessazione o distruzione, sulla base delle istruzioni impartitegli

• Incaricato del trattamento è il soggetto che esegue materialmente e sotto la diretta autorità del Titolare o del Responsabile, il trattamento dei dati con l'ausilio di strumenti informatici e/o mediante supporti cartacei.

3. Modello organizzativo privacy

L'entrata in vigore del Codice ha comportato per le pubbliche amministrazioni la necessità di riconsiderare le proprie attività e la propria organizzazione al fine di consentire una piena ed effettiva garanzia dei diritti e delle libertà fondamentali dell'interessato in esso affermati.

Le tematiche relative alla privacy investono infatti, le amministrazioni nella quasi totalità delle proprie attività, assumendo significativo rilievo nello svolgimento di molti dei compiti istituzionali loro affidati dall'ordinamento.

Pertanto, per la messa a regime della suddetta normativa l'Istituto ha adottato ⁶ un nuovo modello organizzativo sulla privacy, che prevede la nomina dei responsabili del trattamento dei dati personali.

4. Responsabili del trattamento

I responsabili sono designati ⁷ dal Titolare tra soggetti che per esperienza, capacità ed affidabilità forniscono idonea garanzia del pieno rispetto delle disposizioni in materia di trattamento compreso il profilo relativo alla sicurezza.

Per esigenze organizzative l'INAIL, con la citata deliberazione del Consiglio di Amministrazione, ha individuato responsabili del trattamento dei dati personali:

• Il Direttore Centrale Programmazione Organizzazione e Controllo

• Il Direttore Centrale Risorse Umane

• Il Direttore Centrale Ispettorato

• Il Direttore Centrale Ragioneria

• Il Direttore Centrale Sistemi Informativi e Telecomunicazioni

• Il Direttore Centrale Rischi

• Il Direttore Centrale Prestazioni

• Il Direttore Centrale Comunicazione

• Il Direttore Centrale Patrimonio

• Il Coordinatore della Sovrintendenza Medica Generale

• Il Coordinatore dell'Avvocatura Generale

• I Direttori Regionali

• Il Direttore del Centro Protesi Vigorso di Budrio

• Il Direttore del Centro di Riabilitazione Motoria di Volterra

• Il Direttore della Sede Regionale di Aosta

• Il Direttore della Direzione Provinciale di Trento

• Il Direttore della Direzione Provinciale di Bolzano

Per quanto concerne le Strutture territoriali, tenuto conto della capillare diffusione dell'Ente, ferme restando le competenze dei Direttori Regionali, la concreta attuazione della funzione di coordinamento, controllo e verifica dell'operato degli Incaricati e della correttezza del trattamento dei dati personali, è esercitata dai Dirigenti di II fascia nell'ambito delle loro competenze⁸.

I Responsabili designati nell'espletamento del compito attribuito, devono attenersi, oltre all'osservanza della normativa, alle indicazioni e specifiche istruzioni allegate alla lettera di nomina, già notificata con distinto atto a ciascun Responsabile in data 25 luglio 2007, della quale viene rilasciata attestazione di ricezione e presa visione.

5. Incaricati del trattamento

Gli Incaricati del trattamento sono i dipendenti che, nell'espletamento delle loro funzioni istituzionali, devono materialmente effettuare le operazioni di trattamento dei dati personali.

Gli incaricati devono essere individualmente designati per iscritto ⁹, tuttavia, il Codice prevede anche modalità semplificate di designazione.

Tali modalità – valide soprattutto all'interno delle pubbliche amministrazioni in considerazione dell'avvicendamento cui è soggetto in genere il personale – permettono di procedere alla nomina degli incaricati attraverso la documentata preposizione delle persone fisiche ad unità organizzative per le quali è stato individuato, per iscritto, l'ambito del trattamento consentito agli addetti.

Considerato il sistema organizzativo dell'Istituto basato sulla metodologia di lavoro per processi e tenuto conto della mobilità del personale all'interno delle Strutture dell'Istituto stesso, le nomine ad incaricato sono poste in relazione ai compiti ed alle funzioni svolte nell'ambito di ciascun processo.

Tutti i macro processi svolti dall'Istituto rilevanti ai fini della normativa di cui trattasi sono descritti nell'allegato 1.

Nella tabella esplicativa di ciascun macro processo sono indicate le diverse classi di incaricati, nonché le Strutture presso le quali svolgono la propria attività

Per ciascuna classe di incaricato sono, altresì, elencate le operazioni di trattamento necessarie per lo svolgimento dei compiti istituzionali e le relative tipologie dei dati utilizzati, distinti in comuni (C), sensibili (S) e giudiziari (G).

Pertanto, il Dirigente di ciascun Ufficio/Servizio o Sede individuerà, sulla base del suddetto allegato, i dipendenti che nello svolgimento della propria attività sono riconducibili alle classi di incaricati descritte.

Con la notifica della presente Circolare i dipendenti di cui sopra sono nominati incaricati ¹⁰ del trattamento dei dati inerenti il processo o l'unità organizzativa nell'ambito della quale prestano la propria attività, tenendo conto della natura delle funzioni svolte.

Ciascuno degli incaricati deve puntualmente attenersi alle istruzioni impartite dal Responsabile del trattamento nonché alle più generali istruzioni e linee guida, valide per tutti gli incaricati del trattamento 11.

Inoltre ai criteri e alle modalità di trattamento dei dati devono attenersi anche quei soggetti che, pur non essendo dipendenti dell'Istituto,svolgono funzionalmente operazioni di trattamento su dati di cui l'Istituto ha la titolarità.

Vanno annoverati tra costoro: i medici specialistici convenzionati, i consulenti – limitatamente al periodo di collaborazione, gli addetti alla manutenzione e gli stagisti per la cui nomina a Responsabile o Incaricato seguiranno apposite istruzioni.

6. Informativa agli interessati

A tutela dell'esercizio del diritto alla protezione dei dati personali, i titolari del trattamento sono tenuti ad assicurare agli interessati un'adeguata informativa ¹².

L'interessato o la persona presso la quale sono raccolti i dati personali deve, pertanto, essere informato per iscritto delle finalità e delle modalità del trattamento dei dati, della eventuale obbligatorietà del loro conferimento, delle conseguenze relative al rifiuto di fornire i dati, dei diritti esercitabili dal medesimo interessato, nonché dei dati identificativi del Titolare e del Responsabile ¹³.

7. Modalità di notifica

La presente Circolare, completa degli allegati, dovrà essere portata a conoscenza con le modalità indicate nella circolare n. 3/1973 :

- al personale in forza;

- agli ex dipendenti, o loro superstiti, titolari di pensione a carico dei fondi interni di previdenza mediante raccomandata A/R a cura delle singole Unità di appartenenza.

Considerato che tutti gli appartenenti alle categorie sopra indicate sono “interessati” ai sensi della normativa di cui trattasi, mentre sono “incaricati del trattamento dei dati personali” solo i dipendenti individuati dal Dirigente sulla base dell' allegato 1, nel modulo di notifica dovranno essere indicati separatamente i diversi profili.

Ciascuna Struttura conserverà agli atti la documentazione dell'avvenuta notifica.

Si fa riserva di fornire ulteriori istruzioni operative in merito alle misure organizzative e comportamentali relative al trattamento dei dati personali e sensibili, con particolare riguardo all'area medica.

In considerazione della loro delicatezza si raccomanda la massima attenzione nel trattamento dei dati sensibili e giudiziari, in particolare per la loro circolazione all'interno dell'Istituto.

In tal senso dovranno essere adottate soluzioni che permettano di svolgere le funzioni istituzionali eliminando ogni occasione di superflua conoscibilità dei dati sensibili e giudiziari, anche da parte degli incaricati del trattamento.

L'Istituto in quanto Titolare può disporre verifiche periodiche sull'osservanza delle disposizioni impartite.

Allegati: 3

______________________________

1.Decreto legislativo 30 giugno 2003, n. 196.

2.Decreto legislativo 30 giugno 2003, n. 196: art. 13.

3.Decreto legislativo 30 giugno 2003, n. 196: art. 1.

4.Decreto legislativo 30 giugno 2003, n. 196: artt. 31-35, 5.Decreto legislativo 30 giugno 2003, n. 196: art. 34.

6.Delibera del Consiglio di Amministrazione n. 119 del 28 marzo 2007.

7.Decreto legislativo 30 giugno 2003, n. 196: art. 29.

8.Relazione del Direttore Generale al Consiglio di Amministrazione del 12 febbraio 2007.

9.Decreto legislativo 30 giugno 2003, n. 196: art. 30.

10.Decreto legislativo 30 giugno 2003, n, 196: art. 30.

11.Allegato 2.

12.Decreto legislativo 30 giugno 2003, n. 196: art. 13.

13.Allegato 3.

IL DIRETTORE GENERALE