Regolamento privacy

COMUNE DI PONZA

REGOLAMENTO SULLA TUTELA
DELLA RISERVATEZZA DEI DATI PERSONALI
CONTENUTI IN ARCHIVI E BANCHE DATI COMUNALI

Approvato con delibarazione di consiglio comunale n.21 del 29/09/2005

Articolo 1 (Oggetto ed individuazione delle finalità istituzionali)..

Articolo 2 (Dati personali).

Articolo 3 (Dati sensibili).

Articolo 4 (Finalità e limiti del trattamento).

Articolo 5 (Finalità della trasmissione e dello scambio di dati con soggetti pubblici e privati).

Articolo 6 (Ricognizione delle banche dati).

Articolo 7 (Titolare – Responsabile - Incaricati).

Articolo 8 (Compiti del responsabile).

Articolo 9 (Rapporti con il Garante).

Articolo 10 (Affidamento all’esterno di servizi che implicano il trattamento dei dati).

Articolo 11 (Utilizzo interno dei dati)..

Articolo 12 (Utilizzo esterno dei dati).

Articolo 13 (Utilizzo dei dati da parte degli amministratori comunali).

Articolo 14 (Attività che perseguono rilevanti finalità di interesse pubblico).

Articolo 15 (Dati desunti dai registri dello stato civile e dell’anagrafe).

Articolo 16 (Misure di sicurezza)..

Articolo 17 (Diritti dell'interessato).

Articolo 18 (Consenso).

Articolo 19 (Controlli).

Articolo 20 (Informazione)..

Articolo 21 (Diritto di accesso).

Articolo 22 (Trattamento dei dati).

Articolo 23 (Protocollo d'intesa).

Articolo 24 (Norma transitoria).

Articolo 1
(Oggetto ed individuazione delle finalità istituzionali)

1. Il presente regolamento disciplina il trattamento dei dati personali contenuti nelle banche dati organizzate, gestite od utilizzate dall'Amministrazione comunale, in relazione allo svolgimento delle proprie finalità istituzionali, in attuazione dell'articolo 27 della legge 31 dicembre 1996, n. 675 e successive modifiche ed integrazioni.
2. Per finalità istituzionali, ai fini del presente regolamento, si intendono:
a) le funzioni previste dalla legge, dallo Statuto, dai regolamenti;
b) le funzioni svolte per mezzo di convenzioni, accordi, intese e mediante gli strumenti di programmazione negoziata previsti dalla legislazione vigente.
c) le funzioni collegate all'accesso ed all'erogazione dei servizi resi dal Comune alla cittadinanza.
3. Ai fini del presente regolamento, per le definizioni di banca dati, di trattamento, di titolare, di responsabile, di incaricato, di interessato, di comunicazione, di diffusione, di dato anonimo, di blocco e di Garante si fa riferimento a quanto previsto dall'articolo 1, comma 2, della legge 31 dicembre 1996, n. 675.

Articolo 2
(Dati personali)

1. Dato personale è qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.

Articolo 3
(Dati sensibili)

1. Sono definiti "dati sensibili" :
- i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale;
- i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
- ogni informazione attinente a provvedimenti giudiziari, qualificata e individuata con riferimento a quanto previsto dall'art. 24 della legge 675/96, nonché assoggettata al sistema di garanzie definito dal decreto legislativo 135/99.

Articolo 4
(Finalità e limiti del trattamento)

1. Il Comune detiene una serie di dati, relativi a persone fisiche, giuridiche o ad enti non riconosciuti, in archivi documentali oppure in banche dati elettroniche.
2. Il consenso dell'interessato al trattamento dei dati personali non è richiesto purché il trattamento medesimo sia conforme ai fini istituzionali dell'ente, alle leggi e ai regolamenti.
3. I dati sensibili possono essere oggetto di trattamento solo se autorizzati da espressa disposizione di legge, nella quale siano specificati i tipi di dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite. In mancanza di espressa disposizione di legge, e fuori dai casi previsti dai decreti legislativi di modificazione ed integrazione emanati in attuazione della legge 675/96, l'Amministrazione comunale può richiedere al Garante, nelle more della specificazione legislativa, l'individuazione delle attività, tra quelle demandate alla competenza dell'Amministrazione stessa, che perseguono rilevanti finalità di interesse pubblico e per le quali è conseguentemente autorizzato il trattamento.

Articolo 5
(Finalità della trasmissione e dello scambio di dati con soggetti pubblici e privati)

1. Il Comune favorisce la trasmissione e lo scambio di dati o documenti tra le banche dati e gli archivi degli Enti territoriali, degli Enti pubblici, dei gestori, degli esercenti, degli incaricati di pubblico servizio, nonché di altri soggetti pubblici e privati, anche associativi, che sviluppino in collaborazione con l'Amministrazione comunale attività connesse alla realizzazione delle finalità istituzionali di cui al precedente articolo 1.
Garantisce, peraltro, il trattamento dei dati personali nel rispetto del diritto alla riservatezza ed all'identità personale delle persone fisiche e giuridiche.

Articolo 6
(Ricognizione delle banche dati)

1. Il Sindaco, su proposta del Segretario Generale, individua le banche-dati aventi le caratteristiche riportate nell'art. 1, comma 2, lett. a) della legge 675/96.
2. L'elenco contenente l'indicazione delle banche-dati di cui al primo comma, sarà affisso all'Albo Pretorio, inserito nella banca-dati dell'Ufficio per le Relazioni con il Pubblico e diffuso sul sito Internet del Comune di Ponza.
3. La formazione e l'aggiornamento dell'elenco saranno curati dal Servizio competente per la comunicazione istituzionale del Comune e sottoposti al Segretario Generale per la proposta di cui al primo comma.
4. Le banche dati di cui al presente regolamento possono essere gestite in forma elettronica e, se concernenti dati sensibili, previa adozione delle misure di sicurezza di cui all'art. 3, comma 4 del D. Lgs. 135/99.

Articolo 7
(Titolare - Responsabile - Incaricati)

1. Titolare delle banche dati del Comune è la stessa Amministrazione Civica nella persona del Sindaco o di un suo delegato.
2. Al Sindaco competono le decisioni in ordine alle modalità del trattamento dei dati personali, ivi compreso il profilo della sicurezza.
3. I dirigenti delle singole strutture in cui si articola l'organizzazione comunale sono preposti al trattamento dei dati contenuti nelle banche dati esistenti nelle articolazioni organizzative di loro competenza e ne sono responsabili.
4. L'incaricato del trattamento dei dati è la persona designata dal dirigente per compiere materialmente le operazioni nella struttura di appartenenza. Agli incaricati del trattamento si estende il regime dei requisiti richiesti dall'art. 8 della legge 675/96 per l'individuazione dei responsabili.

Articolo 8
(Compiti del responsabile)

1. Il Responsabile delle banche contenenti dati personali o suo delegato:
- provvede, sulla base delle direttive impartite dal titolare, a dare istruzioni per il corretto trattamento dei dati personali eseguendo a tal fine gli opportuni controlli;
- adotta le misure e dispone gli interventi necessari per la sicurezza della conservazione dei dati e per la correttezza dell'accesso;
- cura l'informazione agli interessati e la raccolta del loro consenso per il trattamento dei dati sensibili nei casi previsti;
- controlla che la comunicazione e la diffusione dei dati avvenga nei limiti indicati dagli artt. 22 e 27 L. 675/96;
- predispone le comunicazioni e le notificazioni previste dalla L. 675/96 che saranno inoltrate al Garante a cura del Servizio competente per la comunicazione istituzionale del Comune.

Articolo 9
(Rapporti con il Garante)

1. I rapporti con il Garante sono curati dal Servizio competente per la comunicazione istituzionale del Comune.
Ove previsto dalla normativa vigente, detto Servizio provvede a comunicare al Garante l'avvio di procedure che comportino il trattamento dei dati ovvero a richiedere allo stesso l'autorizzazione a trattamenti aventi particolari finalità.

Articolo 10
(Affidamento all'esterno di servizi che implicano il trattamento dei dati)

1. Nell'ipotesi di affidamento a terzi di servizi che implichino il trattamento dei dati personali, il relativo contratto deve essere integrato con norme specifiche che obblighino l'incaricato -nella sua qualità di soggetto esterno- all'osservanza delle prescrizioni di cui alla legge 675/95 e succ. mod. ed int. e del presente Regolamento.
2. In caso di affidamento a terzi della gestione del sistema informativo, nell'atto di affidamento dovrà essere individuato il Servizio deputato a porre in essere le modalità tecniche per l'attuazione delle misure di sicurezza di cui al successivo articolo 16, nonché alla verifica delle stesse nel corso della gestione. Detto Servizio provvede inoltre al coordinamento complessivo dei rapporti con il concessionario.

Articolo 11
(Utilizzo interno dei dati)

1. La comunicazione dei dati all'interno della struttura organizzativa del Comune, per ragioni d'ufficio e nell'ambito delle specifiche competenze dei servizi richiedenti, non è soggetta a limitazioni particolari.
2. Il Responsabile, specie se la comunicazione concerne dati sensibili, può tuttavia disporre motivatamente per le misure ritenute necessarie alla tutela della riservatezza degli interessati.

Articolo 12
(Utilizzo esterno dei dati)

1. La comunicazione e la diffusione dei dati ad altri soggetti pubblici, sono ammesse quando siano previste da norme di legge e di regolamento o risultino, comunque, necessarie per lo svolgimento delle loro funzioni istituzionali. In quest'ultimo caso dovrà essere data comunicazione all'Autorità garante, il quale potrà vietarle in caso di violazione della stessa legge 675/96, art. 27, co. 2.
2. La comunicazione e la diffusione dei dati nei confronti di soggetti privati o enti pubblici economici sono ammesse solo se previste da norme di legge o di regolamento.
3. La comunicazione e la diffusione dei dati sono comunque permesse quando siano necessarie per finalità di ricerca scientifica e di statistica e si tratti di dati anonimi e quando siano richieste dai soggetti di cui all'art. 4, comma 1, lettere b), d), ed e) della legge 675/96, per finalità di difesa e sicurezza dello Stato e di prevenzione o repressione dei reati, con l'osservanza delle norme che regolano la materia.

Articolo 13
(Utilizzo dei dati da parte degli amministratori comunali)

1. I Consiglieri comunali e circoscrizionali hanno diritto di accedere a documenti contenenti dati personali detenuti dall'Amministrazione comunale.
2. I dati così acquisiti devono essere utilizzati esclusivamente per le finalità pertinenti al loro mandato, rispettando il dovere di segreto nei casi espressamente determinati dalla legge nonché i divieti di divulgazione dei dati personali.

Articolo 14
(Attività che perseguono rilevanti finalità di interesse pubblico)

1. Ai fini del presente regolamento si intendono per attività che perseguono rilevanti finalità di interesse pubblico tutte quelle svolte dal Comune in relazione a funzioni e compiti ad esso attribuiti, delegati o conferiti dalla normativa statale e regionale vigente, nonché quelle inerenti all'organizzazione dell'Amministrazione e allo sviluppo dell'attività amministrativa, nei suoi vari profili.
2. Le attività che perseguono rilevanti finalità di interesse pubblico sono individuate, per il trattamento dei dati sensibili, dal decreto legislativo 135/99, da altre leggi e dall'autorità garante, in base a quanto previsto dall'art. 22 della legge 675/96.
3. La Giunta, con proprio atto, indica i tipi di dati sensibili correlati alle rilevanti finalità di interesse pubblico individuate dalla legge o dall'Autorità garante e definisce le relative operazioni eseguibili.

Articolo 15
(Dati desunti dai registri dello stato civile e dell'anagrafe)

1. È vietata al pubblico la consultazione dei registri dello stato civile e dei fogli di famiglia anagrafici; ai soli fini di pubblica utilità l'accesso è consentito esclusivamente a coloro i quali siano muniti della specifica autorizzazione prevista dalla legge.
2. Possono essere rilasciati a chiunque ne faccia richiesta i certificati d'anagrafe e di stato civile nel rispetto della vigente normativa di legge che regola la materia.
3. Possono essere rilasciati dati anagrafici diversi da quelli di cui al comma precedente a chi ne faccia richiesta al solo fine di ricerche o statistiche e solo se gli stessi dati sono resi anonimi ed aggregati.

Articolo 16
(Misure di sicurezza)

1. Il Sindaco individua, con apposito atto, i soggetti in grado di garantire, anche in relazione alle conoscenze acquisite in base al progresso tecnologico, lo sviluppo delle misure di sicurezza previste dall'articolo 15 della legge 31 dicembre 1996, n. 675 e dal regolamento recante norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali emanato con D.P.R. 28 luglio 1999 n. 318.
2. Le misure di sicurezza di cui al precedente comma devono avere la finalità di:
a) ridurre al minimo il rischio di distruzione o perdita, anche accidentale, dei dati memorizzati su supporti magnetici e ottici gestiti, nonché delle banche-dati e dei locali ove esse sono collocate;
b) evitare l'accesso non autorizzato alle banche dati, alla rete e, in generale, ai servizi informatici del Comune;
c) prevenire:
1) trattamenti dei dati non conformi alla legge od ai regolamenti;
2) la cessione o la distribuzione dei dati in caso di cessazione del trattamento.

Articolo 17
(Diritti dell'interessato)

1. Il Comune di Ponza, nel trattare i dati personali, assicura la tutela dei diritti dell'interessato previsti dall'articolo 13 della legge 31 dicembre 1996, n. 675.
2. Al di fuori delle ipotesi previste dall'art. 4, comma 2 del presente Regolamento, quando per il trattamento dei dati sia prevista l'acquisizione del consenso dell'interessato, gli uffici comunali provvedono preventivamente all'acquisizione dello stesso utilizzando il modulo riportato all' "Allegato A" del presente Regolamento.
3. Ai fini della divulgazione dei dati personali, surroga il consenso dell'interessato la pubblicità dei dati o la necessità di salvaguardare la vita o l'incolumità fisica dell'interessato o di un terzo che non si trovi in condizione di poterlo prestare.

Articolo 18
(Consenso)

1. Qualora gli uffici comunali raccolgono, al di fuori dell'ipotesi di cui al precedente art.4, comma 2, dati personali anche presso gli interessati, procedono, contestualmente, all'acquisizione del consenso al trattamento dei dati utilizzando il modulo riportato all' "Allegato A" del presente Regolamento.
2. I dati personali e/o sensibili contenuti in domande di partecipazione ad appalti, a concorsi pubblici, in istanze di ammissione ai servizi erogati dal Comune di Ponza, in richieste di rilascio di autorizzazioni, concessioni, ecc., da parte di persone fisiche e persone giuridiche, possono essere trattati, nel rispetto della normativa vigente, prescindendo dal consenso dei soggetti che li hanno conferiti.

Articolo 19
(Controlli)

1. A cura del Titolare, sono periodicamente attivati controlli, anche a campione, al fine di garantire la sicurezza della banca-dati, e l'attendibilità dei dati inseriti.

Articolo 20
(Informazione)

1. Ogni qual volta l'Amministrazione comunale procede al trattamento di dati sensibili, provvede ad informarne gli interessati, nei casi previsti dalla legge, utilizzando il modulo allegato sub B) al presente Regolamento.
2. Ai soggetti che conferiscono dati all'Amministrazione comunale, è comunque garantita ogni necessaria informazione, favorendo la conoscenza delle modalità di gestione a tal fine adottate.

Articolo 21
(Tutela della riservatezza e diritto di accesso)

1. Qualora l'esercizio del diritto di accesso comporti la comunicazione dei dati personali di terzi, deve essere limitato a quei dati strettamente necessari a soddisfare il diritto stesso.
2. Il diritto di accesso prevale sul diritto di riservatezza qualora sia finalizzato alla tutela di un interesse giuridico, semplice, collettivo o diffuso giuridicamente protetto, e nei limiti in cui esso è necessario alla tutela di quell'interesse.
3. Al termine della relativa procedura, i partecipanti ad un concorso pubblico, al fine di tutelare la loro posizione, possono prendere visione degli atti delle relative procedure concorsuali, ivi compresi gli elaborati degli altri concorrenti.
4. Al termine delle relative procedure, i partecipanti a gare espletate dall'Amministrazione comunale, possono prendere visione degli atti delle procedure stesse, sempre che l'accesso non sia escluso ai sensi dell'art. 24 della legge 241/90.
5. Per quanto non espressamente previsto nel presente articolo, si applicano le disposizioni di cui al vigente Regolamento per l'accesso ai documenti del Comune di Ponza

Articolo 22
(Trattamento dei dati)

1. I dati personali oggetto del trattamento devono essere:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti e successivamente trattati;
e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
2. Il trattamento dei dati avviene mediante strumenti idonei a garantirne la sicurezza e la riservatezza e può essere effettuato anche attraverso strumenti automatizzati atti a memorizzare, gestire e trasmettere i dati medesimi.
3. Le modalità di trattamento dei dati possono prevedere l'utilizzo di strumenti idonei a collegare i dati stessi a dati provenienti da altri soggetti.
4. La trasmissione di dati o documenti alle banche dati di cui sono titolari i soggetti diversi dal Comune di cui all'articolo 12 del presente regolamento è preceduta da uno specifico protocollo d'intesa che contenga, di norma, l'indicazione del titolare e del responsabile della banca dati e delle operazioni di trattamento, nonché le modalità di connessione, di trasferimento e di comunicazione dei dati e delle misure di sicurezza adottate.
5. Nelle ipotesi in cui la legge, lo statuto o il regolamento prevedano pubblicazioni obbligatorie, il responsabile del procedimento può adottare opportune misure atte a garantire la riservatezza dei dati sensibili di cui all'Articolo22 della legge n. 675/96.
6. Il trattamento dei dati personali acquisiti nell'ambito dell'attività del Comune o forniti dagli interessati, può essere effettuato:
a) da società, enti o consorzi che per conto del Comune forniscono specifici servizi o che svolgono attività connesse, strumentali o di supporto a quelle del Comune, ovvero attività necessarie all'esecuzione delle prestazioni e dei servizi imposti da leggi, regolamenti, norme comunitarie o che vengono attivati al fine di soddisfare bisogni e richieste dei cittadini;
b) dai soggetti ai quali la comunicazione dei dati personali risulti necessaria per lo svolgimento delle attività, loro affidate dal Comune;
c) dai soggetti a cui la facoltà di accedere ai dati personali sia riconosciuta da disposizione di legge o di regolamento.
7. Nell'ambito dei servizi istituzionali dell'Ente rientrano anche le funzioni svolte su delega, convenzione o concessione da soggetti pubblici o privati, nonché dagli Istituti di Credito che operano come Tesoriere ed Esattore Comunale.
8. Nei casi di cui al comma precedente, il soggetto che effettua il trattamento è tenuto ad osservare gli obblighi e le misure di sicurezza previste dalla legge 675/96. A tal fine procede alla nomina di un responsabile, dandone comunicazione al titolare della banca dati.

Articolo 23
(Protocollo d'intesa)

1. La trasmissione di dati o documenti alle banche dati di cui sono titolari i soggetti pubblici e privati indicati al precedente articolo 2 è preceduta da uno specifico protocollo d'intesa che contenga, di norma, l'indicazione del titolare e del responsabile della banca dati e delle operazioni di trattamento, nonché le modalità di connessione, di trasferimento e di comunicazione dei dati.

Articolo 24
(Norma transitoria)

1. Il regolamento entra in vigore quindici giorni dopo l'intervenuta esecutività della deliberazione approvata del Consiglio comunale.
2. Per quanto non previsto nel presente regolamento, si applicano le disposizioni di cui alla legge 31 dicembre 1996, n. 675 e al Regolamento per l'accesso del Comune di Ponza.
3. La Giunta adotta specifiche disposizioni organizzative discendenti dal presente regolamento per la tutela dei dati personali e sensibili nell'ambito dell'Amministrazione comunale