COMUNE DI SAN GIMIGNANO Provincia di Siena
VERBALE DI DELIBERAZIONE DELLA GIUNTA COMUNALE n. 79 del 15/05/2018
OGGETTO: ADEMPIMENTI REGOLAMENTO UE 2016/679 RELATIVO ALLA PROTEZIONE DELLE PERSONE FISICHE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI. ADESIONE AL PERCORSO DI AREA VASTA E DETERMINAZIONI..
L’anno duemiladiciotto, il giorno quindici del mese di maggio alle ore 15:00 presso questa sede comunale, a seguito di apposito invito diramato dal Sindaco, si è riunita la Giunta Comunale.
Dall'appello nominale risultano presenti:
BASSI GIACOMO
GUICCIARDINI NICCOLO' GAROSI ILARIA
TADDEI CAROLINA ANTONELLI MARCO
Sindaco Vice Sindaco Assessore Assessore Assessore
Presente Presente Presente Presente Presente
Presiede il Sig. BASSI GIACOMO, Sindaco.
Assiste e cura la redazione del presente verbale il Dott. GAMBERUCCI MARIO, in qualità di Segretario.
Essendo legale il numero degli intervenuti, il Sindaco dichiara aperta la seduta per la trattazione dell'oggetto sopra indicato.
Oggetto: ADEMPIMENTI REGOLAMENTO UE 2016/679 RELATIVO ALLA PROTEZIONE DELLE PERSONE FISICHE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI. ADESIONE AL PERCORSO DI AREA VASTA E DETERMINAZIONI.
LA GIUNTA COMUNALE
PRESO ATTO:
- Che il Parlamento europeo ed il Consiglio in data 27.4.2016 hanno approvato il Regolamento UE 679/2016 (GDPR- General Data Protection Regulation) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che abroga la direttiva 95/46/CE e che mira a garantire una disciplina uniforme ed omogenea in tutto il territorio dell’Unione europea;
- Che il testo, pubblicato nella Gazzetta Ufficiale dell’Unione Europea (GUUE) il 4 maggio 2016, diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018, dopo un periodo di transizione di due anni, in quanto non richiede alcuna forma di legislazione applicativa o attuativa da parte degli stati membri;
- Che il Garante per la protezione dei dati personali ha emanato una Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali che intende offrire un panorama delle principali problematiche che i soggetti pubblici, oltre alle imprese, dovranno tenere presenti in vista della piena applicazione del Regolamento, prevista il 25 maggio 2018;
- Che ai sensi dell’art.13 della Legge n.163/2017 il Governo è stato delegato ad adottare, entro sei mesi dalla sua entrata in vigore, uno o più decreti legislativi al fine di adeguare il quadro normativo nazionale alle disposizioni del Regolamento (UE) 2016/679 del 27 aprile 2016 di che trattasi;
RILEVATO:
- Che le norme introdotte dal Regolamento UE 2016/679 si traducono in obblighi organizzativi, documentali e tecnici che tutti i Titolari del trattamento dei dati personali devono, fin da subito, considerare e tenere presenti per consentire la piena e consapevole applicazione del nuovo quadro normativo in materia di privacy entro il 25 maggio 2018;
- Che appare necessario ed opportuno stabilire modalità organizzative, misure procedimentali e regole di funzionamento e organizzazione degli uffici e dei servizi, finalizzate anche ad omogeneizzare questioni interpretative, che permettano a questo Ente di poter agire con adeguata funzionalità ed efficacia nell’attuazione delle disposizioni introdotte dal nuovo Regolamento UE;
CONSTATATO che il regolamento introduce regole più chiare in materia di informativa e consenso, definisce limiti al trattamento automatizzato dei dati personali, pone le basi per l’esercizio di nuovi diritti, stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’UE e per i casi di violazione dei dati personali (data breach);
EVIDENZIATO che il GDPR ridisegna, in particolare, il ruolo, i compiti e le responsabilità del Titolare e del Responsabile del trattamento dei dati personali in relazione ai nuovi principi e strumenti introdotti dallo stesso e individua la nuova figura del responsabile della protezione dei dati (RPD);
ATTESO che l’Ente può avvalersi del soggetto idoneo alla nomina di RPD individuato dal Consorzio Terrecablate, nell’ambito dei servizi strumentali alle proprie attività e dello svolgimento esternalizzato di funzioni amministrative di competenza dello stesso Ente inerenti alle attività di progettazione, realizzazione, e fornitura di reti ed erogazione di servizi I.C.T. (Information and Communication Technology) nell’interesse e per conto delle amministrazioni consorziate;
CONSIDERATO che la normativa europea non sarà fonte unica in materia, residuando in capo a ciascuno degli Stati membri dell'Unione una potestà normativa limitata (v. artt. 23 e 17, par. 3, per
quantificato in misura pari alla sanzione amministrativa pecuniaria irrogata dal Garante, ai sensi degli artt. 161-166 del citato Codice (Corte dei Conti-Sardegna, Sez. giurisdiz., sentenza 8 marzo-12 aprile 2018, n. 73);
ATTESO che la disciplina normativa in materia di trattamento e protezione dei dati personali è attualmente contenuta nell'apposito Codice, emanato con D.Lgs. n. 196 del 2003 e s.m.i;
RITENUTO pertanto di aderire al percorso per l’assolvimento degli obblighi previsti dal Regolamento UE 2016/679 in materia di protezione dati personali, riconoscendo la Provincia di Siena quale Ente attuatore in quanto esercente la funzione di assistenza tecnico amministrativa ai Comuni ai sensi dell’art. 1 comma 85 lettera d) della legge n. 56 del 7/04/2014, in collaborazione e con il supporto tecnico del Consorzio Terrecablate come previsto dall’art. 2 comma I lettera a) del vigente Statuto del Consorzio stesso;
PRECISATO che ai sensi dell’art. 5 del d. lgs. 50/2016 il Consorzio Terrecablate è stato iscritto nell’elenco delle amministrazioni aggiudicatrici che operano mediante affidamenti in house con domanda di iscrizione n. 838 del 24/04/2018;
Acquisiti, ai sensi dell'art. 49, comma 1, del D.Lgs. 267/2000, i pareri favorevoli espressi dal responsabile competente in ordine alla regolarità tecnica e dal responsabile dei servizi finanziari per la regolarità contabile;
Con voti favorevoli unanimi, espressi nelle forme di legge;
DELIBERA
1. di aderire al percorso per l’assolvimento degli obblighi previsti dal Regolamento UE 2016/679 in materia di protezione dati personali, riconoscendo la Provincia di Siena quale Ente attuatore in quanto esercente la funzione di assistenza tecnico amministrativa ai Comuni ai sensi dell’art. 1 comma 85 lettera d) della legge n. 56 del 7/04/2014, in collaborazione e con il supporto tecnico del Consorzio Terrecablate come previsto dall’art. 2 comma I lettera a) del vigente Statuto del Consorzio;
2. di approvare il progetto di adeguamento normativo e ripartizione costi di cui all’allegato B parte integrante e sostanziale del presente atto;
3. di precisare che restano ferme le misure di sicurezza attualmente previste per i trattamenti di dati sensibili per finalità di rilevante interesse pubblico nel rispetto degli specifici regolamenti attuativi (ex artt. 20 e 22, D. Lgs. n. 193/2006);
4. di dare mandato, al Consorzio Terrecablate di indire la procedura per l’individuazione del soggetto idoneo alla nomina di Responsabile della Protezione Dati secondo le disposizioni vigenti;
5. di demandare altresì al consorzio Terrecablate e alla provincia di Siena tutte le azioni necessarie all’attuazione di quanto previsto nel progetto di adeguamento normativo e ripartizione costi di cui all’allegato B sopra approvato;
6. di dare atto che con successivi provvedimenti, si procederà secondo la disciplina contenuta nel presente atto ed in conformità a quanto stabilito nel Regolamento UE 2016/679 ed in particolare spetterà:
alla Provincia di Siena:
- il coordinamento giuridico - amministrativo e la predisposizione degli atti propedeutici:
- alla nomina dei Responsabili del trattamento;
- alla designazione del Responsabile della Protezione Dati;
al Consorzio Terrecablate:
- l’esecuzione della procedura di individuazione del Responsabile della Protezione Dati:
- all’attività propedeutica all’istituzione dei registri delle attività di trattamento;
- all’attività propedeutica all’aggiornamento della documentazione in essere nell’Ente in relazione ai trattamenti dei dati personali;
ad ogni singolo Ente:
- la nomina del responsabile del trattamento e la designazione del Responsabile della protezione dati con atti del rappresentante legale secondo la modulistica predisposta dall’amministrazione provinciale con il supporto tecnico del Consorzio Terrecablate, in modo da garantire una costante assistenza tecnico giuridica in ogni fase degli adempimenti richiesti;
- la compartecipazione al percorso secondo la tabella di ripartizione di cui all’allegato B sopra approvato, pari ad Euro 6.000,00 Iva compresa per il Comune di San Gimignano;
7. di dare atto che l’approvazione del presente provvedimento, oltre a valore dispositivo, assume anche valore negoziale di accordo di collaborazione ai sensi dell’art. 15 della legge 241/1990;
8. di dichiarare la presente immediatamente eseguibile ex art. 134, comma 4, Tuel, vista la scadenza prevista dalla legge del 25/05/2018.
Letto, approvato e sottoscritto digitalmente ai sensi dell'art. 21 D.L.gs n 82/2005 e s.m.i.
IL Sindaco BASSI GIACOMO
IL Vice Segretario GAMBERUCCI MARIO
Allegato B
GDPR – progetto di adeguamento normativo e ripartizione costi Il progetto è diviso in due fasi:
Fase n. 1 (interamente gestito dal consorzio Terrecablate): necessario per la fase iniziale del progetto. Di immediata attuazione, comprende un primo essenziale insieme di attività di adempimento degli obblighi previsti del GDPR (Regolamento U.E.
N.679/2016):
a. servizio di “Responsabile Protezione Dati”, di seguito anche “RPD”, ai sensi degli artt. 37 e segg. del Regolamento UE 2016/679: Nomina RDP in forma congiunta, individuato dal Consorzio Terrecablate;
b. Definizione di linee guida e fornitura e/o sviluppo software (o altri strumenti) per la compilazione del registro delle attività di trattamento e del registro delle categorie di attività trattate da ciascun Responsabile;
c. Valutazione di impatto sulla protezione dei dati.
Fase n. 2 : a seguire, e sulla base delle caratteristiche di ogni ente, del suo grado di autonomia e degli aspetti critici emersi nella fase iniziale, comprende le seguenti eventuali attività:
a. macroanalisi dei flussi informativi legata al trattamento dei dati e supporto al referente di ogni ente nella mappatura dei processi;
b. supporto alla compilazione del registro dei trattamenti di dati personali e del registro delle categorie di attività con validazione finale;
c. interventi formativi collettivi per i referenti degli enti;
d. Valutazione delle vulnerabilità;
e. Compilazione DPIA;
f. Identificazione e valutazione degli scostamenti dagli obblighi normativi (gap analisys);
g. elaborazione del piano di adeguamento complessivo, contenente le proposte di miglioramento del livello di sicurezza per i processi che presentano rischi, con stima dei costi (se necessario) e dei tempi previsti, nonché delle attività di monitoraggio.
Le attività relative alla fase n. 2 verranno svolte presso il Consorzio o, quando necessario (e comunque almeno 1 sopralluogo nelle fasi iniziali ed un audit finale per la verifica della corretta adozione del sistema di data protection), presso la sede dell’ente e dovrà essere ultimata entro 6 mesi dal suo formale avvio. Il Consorzio procederà alle necessarie esternalizzazioni per garantire l’esecuzione della fase n. 2 nel rispetto delle procedure previste dalla legge. A questo seguiranno altri 6 mesi per l’attività di monitoraggio e manutenzione ordinaria del sistema di gestione implementato. La Provincia, per queste attività, garantirà il proprio supporto riservandosi anche di procedere con eventuali esternalizzazioni a norma di legge, con particolare riferimento alle attività di cui alla lettere a), b) e c) della fase n. 2. In relazione agli interventi formativi la stessa Provincia promuoverà eventuali intese anche con l’Università di Siena e con l’Unione delle Province.
Per l’esecuzione delle attività sopra descritte, a partire dalla fase iniziale, ogni ente deve nominare un referente, la cui figura può coincidere con il responsabile o i responsabili del trattamento di ciascun ente, che dovrà essere caratterizzato da un’ampia visione delle articolazioni del suo Ente e delle attività svolte all’interno.
Dovrà fornire informazioni sulla struttura organizzativa dell’ente e sulle modalità con cui quest’ultimo svolge la propria attività per consentire di individuare le tipologie di dati trattati e le categorie di attività di trattamento; dovrà inoltre interagire con il RDP per permettergli di svolgere la propria attività relativa all’ente.
In particolare sarà chiamato a individuare, sotto la supervisione del RDP e con gli strumenti contemplati nella fase n. 1, contando anche sul supporto della provincia di Siena, la mappatura dei processi per individuare quelli collegati al trattamento dei dati personali e alla compilazione del registro delle attività di trattamento e del registro delle categorie di attività trattate da ciascun Responsabile.
L’attività di RDP verrà svolta ordinariamente presso il Consorzio Terrecablate da un soggetto esterno qualificato e avrà durata pari ad un anno. Il Consorzio metterà a disposizione la propria sede e gli strumenti necessari alla esecuzione della funzione di RDP. Saranno previste visite periodiche programmate presso le sedi degli enti per la verifica della corretta adozione del modello di funzionamento della protezione dei dati oltre a quelle necessarie in seguito a fatti straordinari quali, a titolo meramente semplificativo, eventi di data breach, visite ispettive, cambiamenti sostanziali della struttura organizzativa, ecc…
La Provincia di Siena, promuovendo anche tavoli tecnici o gruppi di lavoro si occuperà dell’adeguamento della modulistica in uso agli uffici, qualora non conforme alle nuove disposizioni o stesura ex novo della documentazione e avvio della relativa adozione.
Sempre la Provincia faciliterà, in collaborazione con il Consorzio Terrecablate ed i referenti designati da ogni ente e sulle base delle indicazioni fornite dal RDP, un percorso per l’individuazione, tra i processi risultanti dalla mappatura, di quelli che presentano rischi, con una prima valutazione degli stessi in termini di maggiore o minore gravità nonché la mappatura degli incarichi dei soggetti coinvolti nel trattamento e dei livelli di responsabilità, ed eventuale aggiornamento.
Il Consorzio metterà a disposizione le proprie conoscenze relative all’infrastruttura informatica utilizzata dagli enti nelle fasi di:
- macroanalisi dei flussi informativi legata al trattamento dei dati e supporto al referente di ogni ente nella mappatura dei processi;
- di valutazione delle vulnerabilità;
- stesura del piano di adeguamento.
Si farà carico, inoltre, di attivare e rendere disponibili gli strumenti informatici per l’automatizzazione della raccolta e gestione dei dati per la stesura del registro delle attività di trattamento e del registro delle categorie di attività trattate da ciascun ente.
Il costo stimato del progetto, comprensivo delle due fasi sopra descritte per ogni ente, è il seguente:
ENTE totale PdL fascia Fase n. 1 (€/anno)
Fase n. 2 (€)
AMM.NE PROVINCIALE 125 E 2000 6500
ABBADIA S.SALVATORE 38 C 1200 2500
ASCIANO
BUONCONVENTO 23 B 900 2000
CASOLE D'ELSA
CASTELLINA IN CHIANTI 22 B 900 2000
CASTELNUOVO BERARDENGA 37 C 1200 2500
CASTIGLIONE D'ORCIA 18 A 800 2000
CETONA 27 B 900 2000
CHIANCIANO TERME 56 D 1500 4500
CHIUSDINO
CHIUSI 48 C 1200 2500
COLLE DI VAL D'ELSA
GAIOLE IN CHIANTI 18 A 800 2000
MONTALCINO 34 C 1200 2500
MONTEPULCIANO 72 D 1500 4500
MONTERIGGIONI 44 C 1200 2500
MONTERONI D'ARBIA 33 C 1200 2500
MONTICIANO
MURLO
PIANCASTAGNAIO 18 A 800 2000
PIENZA 17 A 800 2000
POGGIBONSI 147 E 2000 6500
RADDA IN CHIANTI 19 A 800 2000
RADICOFANI 12 A 800 2000
RADICONDOLI 0 A 800 2000
RAPOLANO TERME 21 B 900 2000
SAN CASCIANO DEI BAGNI 19 A 800 2000
SAN GIMIGNANO 55 D 1500 4500
SAN QUIRICO D'ORCIA 18 A 800 2000
SARTEANO 44 C 1200 2500
SIENA 630 G 4000 12000
SINALUNGA 60 D 1500 4500
SOVICILLE
TORRITA DI SIENA 33 C 1200 2500
TREQUANDA 15 A 800 2000
UNIONE DEI COMUNI AMIATA
VALDORCIA 30 B
900 2000 UNIONE DEI COMUNI VALDICHIANA
SENESE 47 C
1200 2500
CONSORZIO TERRECABLATE 8 A 800 2000
TERRE DI SIENA LAB 8 A 800 2000
1655 38900 99500
N.B. Il percorso sarà effettivamente attuabile se ciascun Ente fornirà idoneo supporto mettendo a disposizione uno o più referenti in modo da facilitare l’espletamento del servizio.
Per le attività della fase n. 2 si precisa che i costi sono solo stimati e che probabilmente si potranno avere delle economie a seguito delle procedure di scelta del contraente e del supporto soprattutto in ambito formativo che la Provincia di Siena riuscirà ad attivare. Pertanto non si esclude che a rendicontazione le spese per ciascun Comune potranno essere inferiori a quelle stimate.
C O M U N E D I SAN GIMIGNANO
PROVINCIA DI SIENA
SERVIZIO SEGRETERIA, AFFARI GENERALI, CONTRATTI E UFFICIO CASA
PARERE DI REGOLARITA' TECNICA
Sulla proposta n. 555/2018 del SERVIZIO SEGRETERIA, AFFARI GENERALI, CONTRATTI E UFFICIO CASA ad oggetto: ADEMPIMENTI REGOLAMENTO UE 2016/679 RELATIVO ALLA PROTEZIONE DELLE PERSONE FISICHE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI. ADESIONE AL PERCORSO DI AREA VASTA E DETERMINAZIONI. si esprime ai sensi dell’art.49, 1° comma del Decreto legislativo n. 267 del 18 agosto 2000, parere FAVOREVOLE in ordine alla regolarità tecnica.
15/05/2018
Sottoscritto dal Responsabile (BARTOLONI VALERIO)
con firma digitale
C O M U N E D I SAN GIMIGNANO
PROVINCIA DI SIENA
SETTORE SETTORE SERVIZI FINANZIARI, MOBILITA' E FARMACIA PARERE DI REGOLARITA' CONTABILE
Sulla proposta n. 555/2018 ad oggetto: ADEMPIMENTI REGOLAMENTO UE 2016/679 RELATIVO ALLA PROTEZIONE DELLE PERSONE FISICHE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI. ADESIONE AL PERCORSO DI AREA VASTA E DETERMINAZIONI. si esprime ai sensi dell’art. 49, 1° comma del Decreto legislativo n.
267 del 18 agosto 2000, parere FAVOREVOLE in ordine alla regolarita' contabile.
Note:
15/05/2018
Sottoscritto dal Responsabile (GAMBERUCCI MARIO)
con firma digitale
COMUNE DI SAN GIMIGNANO Provincia di Siena
Relazione di Pubblicazione
Delibera di Giunta N. 79 del 15/05/2018
SEGRETERIA, AFFARI GENERALI, CONTRATTI E UFFICIO CASA
Oggetto: ADEMPIMENTI REGOLAMENTO UE 2016/679 RELATIVO ALLA
PROTEZIONE DELLE PERSONE FISICHE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI. ADESIONE AL PERCORSO DI AREA VASTA E DETERMINAZIONI..
La su estesa delibera viene oggi pubblicata all’Albo Pretorio per quindici giorni consecutivi.
li, 25/05/2018
Il Responsabile della Pubblicazione (COPPOLA ELEONORA) (Sottoscritto digitalmente ai sensi dell'art. 21 D.L.gs n 82/2005 e s.m.i.)
COMUNE DI SAN GIMIGNANO Provincia di Siena
Certificato di Esecutività
Deliberazione di Giunta Comunale N. 79 del 15/05/2018
SEGRETERIA, AFFARI GENERALI, CONTRATTI E UFFICIO CASA
Oggetto: ADEMPIMENTI REGOLAMENTO UE 2016/679 RELATIVO ALLA
PROTEZIONE DELLE PERSONE FISICHE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI. ADESIONE AL PERCORSO DI AREA VASTA E DETERMINAZIONI..
Si dichiara che la presente deliberazione è divenuta esecutiva decorsi 10 giorni dall'inizio della pubblicazione all’Albo Pretorio on-line di questo Comune.
Li, 05/06/2018 L’INCARICATO DELLA PUBBLICAZIONE
COPPOLA ELEONORA (Sottoscritto digitalmente
ai sensi dell'art. 21 D.L.gs. n. 82/2005 e s.m.i.)
COMUNE DI SAN GIMIGNANO Provincia di Siena
Certificato di Avvenuta Pubblicazione
Deliberazione di Giunta Comunale N. 79 del 15/05/2018
Oggetto: ADEMPIMENTI REGOLAMENTO UE 2016/679 RELATIVO ALLA
PROTEZIONE DELLE PERSONE FISICHE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI. ADESIONE AL PERCORSO DI AREA VASTA E DETERMINAZIONI..
Si dichiara l’avvenuta regolare pubblicazione della presente deliberazione all’Albo Pretorio on-line di questo Comune a partire dal 25/05/2018 per 15 giorni consecutivi, ai sensi dell’art 124 del D.lgs 18.08.2000, n. 267 e la contestuale comunicazione ai capigruppo consiliari ai sensi dell’art. 125 del D.lgs 18.08.2000, n. 267.
Li, 13/06/2018 L’INCARICATO DELLA PUBBLICAZIONE
COPPOLA ELEONORA (Sottoscritto digitalmente
ai sensi dell'art. 21 D.L.gs. n. 82/2005 e s.m.i.)
