Cerca

BUR 3 Novembre 2020, n.132

Art. 1

(Modifiche all’articolo 473 del r.r. 1/2002 e successive modificazioni)

Art. 1

(Modifiche all’articolo 473 del r.r. 1/2002 e successive modificazioni)

1. Il comma 1 dell’articolo 473 del r.r. 1/2002 e successive modificazioni è sostituito dal seguente:

“1. Il trattamento dei dati personali è effettuato dall’amministrazione secondo le norme contenute nel regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), di seguito RGPD, e nel decreto legislativo 20 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.) e successive modificazioni.”.

Art. 2

(Sostituzione dell’articolo 474 del r.r. 1/2002 e successive modificazioni)

1. L’articolo 474 del r.r. 1/2002 e successive modificazioni è sostituito dal seguente:

“Art.  474

(Disciplina organizzativa delle competenze e delle responsabilità

in materia di trattamento dei dati personali)

1. Il titolare del trattamento dei dati personali, ai sensi dell’articolo 4, n. 7), e dell’art. 24 del RGPD, è la Giunta regionale, cui spettano tutte le attività demandate al titolare dal RGPD e, in particolare, l’adozione di misure tecniche e organizzative idonee a garantire, nonché a consentire di dimostrare, che il trattamento dei dati personali è effettuato conformemente al RGPD. La Giunta regionale, ai sensi dell’articolo 30 del RGPD, mediante i soggetti designati di cui al comma 3, tiene e aggiorna il registro delle attività di trattamento svolte sotto la propria responsabilità, secondo il modello di cui all’allegato “II”.

2. I responsabili del trattamento dei dati personali di cui all’articolo 4, n. 8), e all’articolo 28 del RGPD sono individuati nella persona fisica o giuridica, nell’autorità pubblica, nel servizio o altro organismo, ai quali è affidato il trattamento dei dati personali di competenza regionale dal titolare del trattamento, che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del RGPD e garantisca la tutela dei diritti dell’interessato. Il titolare del trattamento, con specifico atto negoziale di incarico ai singoli responsabili del trattamento, secondo lo schema “G” dell’allegato “NN”, disciplina i trattamenti affidati al responsabile, i compiti e le istruzioni secondo quanto previsto dall’articolo 28, paragrafo 3, del RGPD e in coerenza con le indicazioni del Data Protection Officer (DPO). Nell’atto di incarico è, altresì, definita la possibilità di nomina di un sub-responsabile, secondo quanto previsto dall’articolo 28, paragrafi 2 e 4, del RGPD. I responsabili dei trattamenti, ai sensi dell’articolo 30 del RGPD, tengono e aggiornano un registro di tutte le categorie di attività relative al trattamento, svolte per conto del titolare del trattamento.

3. La Giunta regionale, in qualità di titolare del trattamento, può prevedere, ai sensi dell’articolo 2 quaterdecies del d.lgs. 196/2003 e successive modificazioni, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano conferiti a persone fisiche, che operano sotto la propria autorità, espressamente designate secondo lo schema “A” dell’allegato “NN”, da allegare quale addendum al contratto di lavoro. Nell’ambito delle strutture organizzative regionali, sono individuati, quali designati allo svolgimento di specifici compiti e funzioni connessi al trattamento di dati personali, ciascuno per le competenze loro attribuite:

a) il Capo dell’Ufficio di Gabinetto, per il proprio ambito di competenza e per il trattamento di dati personali effettuato direttamente dalle strutture di diretta collaborazione della Giunta;

b) i direttori regionali, per il proprio ambito di competenza;

c) i direttori delle Agenzie regionali, ciascuno per i trattamenti effettuati dall’Agenzia di pertinenza;

d) l’Avvocato coordinatore, per il proprio ambito di competenza;

e) il dirigente cui è attribuita la competenza relativamente alle funzioni previste dal decreto legislativo 6 settembre 1989, n. 322 (Norme sul Sistema statistico nazionale e sulla riorganizzazione dell’Istituto nazionale di statistica, ai sensi dell’art. 24 della legge 23 agosto 1988, n. 400) e alle convenzioni con l’ISTAT per l’attuazione del Programma Statistico Nazionale, per quanto riguarda i relativi trattamenti effettuati con finalità statistica.

4. La Giunta regionale, in qualità di titolare del trattamento, designa, ai sensi dell’articolo 37 del RGPD, un responsabile della protezione dati, Data Protection Officer, di seguito DPO, in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, nonché della capacità di assolvere ai compiti di cui all’articolo 39 del RGPD. Il DPO può essere un dipendente della Regione oppure un soggetto esterno selezionato attraverso una procedura a evidenza pubblica per l’affidamento di un contratto di servizi. E’ designato un unico DPO per tutte le strutture regionali.

5. La Giunta regionale, in qualità di titolare del trattamento e i soggetti designati di cui al comma 3 autorizzano, ai sensi degli articoli 28, paragrafo 3, lettera b), 29 e 32, paragrafo 4, del RGPD, alle operazioni di trattamento dei dati personali, con specifico atto di nomina, tutti i dipendenti o collaboratori a qualsiasi titolo, detti soggetti incaricati, che effettuano operazioni di trattamento dati sotto l’autorità diretta del titolare o del soggetto designato. Nell’atto di nomina, tra l’altro, è individuato puntualmente l’ambito del trattamento dei dati consentito. I soggetti designati procedono alla nomina di cui al presente comma con atto di organizzazione redatto secondo lo schema “B” dell’allegato “NN”.

6. I soggetti designati di cui al comma 3 nominano, nell’ambito dalla propria struttura, con atto di organizzazione, un referente privacy, per il necessario supporto nello svolgimento dei compiti e funzioni conferiti in materia di trattamento dei dati personali, in modo da garantire un presidio per gli adempimenti continuativi, lo studio e l’approfondimento degli aspetti normativi, organizzativi e procedurali nonché il costante coordinamento con le attività del DPO.

7. Qualora il trattamento dei dati personali venga effettuato con strumenti elettronici direttamente acquisiti dalla struttura di appartenenza, i soggetti designati di cui al comma 3 nominano gli amministratori di sistema con specifico atto di organizzazione,  redatto sulla base dello schema “C” dell’allegato “NN”, nel rispetto di quanto previsto dal Provvedimento del Garante della Protezione dei dati Personali 27 novembre 2008 (Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema) e successive modificazioni, nonché degli ulteriori criteri e modalità definiti dall’allegato “LL”.”.

Art. 3

(Inserimento degli articoli 474 bis, 474 ter, 474 quater, 474 quinquies, 474 sexies, 474 septies, 474 octies e 474 nonies al r.r. 1/2002 e successive modificazioni)

1. Dopo l’articolo 474 del r.r. 1/2002 e successive modificazioni sono inseriti i seguenti:

“Art. 474 bis

(Competenze della Giunta regionale in qualità di

titolare del trattamento dei dati personali)

1. Spettano alla Giunta regionale, in qualità di titolare del trattamento dei dati personali:

a) la nomina del responsabile del trattamento;

b) la nomina del responsabile della protezione dei dati (DPO);

c) il conferimento di specifici compiti e funzioni ai soggetti designati in materia di trattamento di dati personali, ai sensi dell’articolo 2 quaterdecies del d.lgs. 196/2003 e successive modificazioni;

d) l’emanazione di direttive ai responsabili di cui all’articolo 474, comma 2, e ai soggetti designati di cui al comma 3 del medesimo articolo, per lo svolgimento delle attività di rispettiva competenza, in conformità a quanto previsto nel RGPD e nel d.lgs. 196/2003 e successive modificazioni;

e) la definizione delle politiche regionali in materia di trattamento dei dati personali e, in particolare, l’adozione di disciplinari tecnici di settore specifici o trasversali, per stabilire e dettagliare le modalità per effettuare particolari trattamenti di dati personali, con riferimento alle misure di sicurezza da adottarsi nonché istruzioni operative, modelli, software necessari  per garantire ed essere in grado di dimostrare che il trattamento dei dati personali è effettuato conformemente al RGPD;

f) l’allocazione di adeguate risorse economiche e strutturali al fine di un costante adeguamento alla normativa vigente in materia di trattamento dei dati personali, ivi incluso quanto necessario per la formazione dei dipendenti e dei collaboratori regionali in materia di protezione dei dati personali;

g) la definizione e gestione, attraverso i soggetti designati di cui all’articolo 474, comma 3, del registro delle attività di trattamento svolte sotto la propria responsabilità;

h) la definizione e gestione del registro delle possibili violazioni dei dati personali, ivi incluse le relative valutazioni di rischio, attraverso la direzione regionale competente in materia di sistemi informativi.

Art. 474 ter

(Competenze dei soggetti designati)

1. Ai soggetti designati di cui all’articolo 474, comma 3, sono conferiti i seguenti compiti e funzioni connessi al trattamento di dati personali:

a) verificare la legittimità dei trattamenti di dati personali effettuati dalla struttura di riferimento, siano essi di titolarità della Giunta regionale o in contitolarità con altri enti;

b) disporre, in conseguenza alla verifica di cui alla lettera a), le modifiche necessarie al trattamento affinché lo stesso sia conforme alla normativa vigente, ovvero disporre la cessazione di qualsiasi trattamento effettuato in violazione alla stessa;

c) richiamare obbligatoriamente, nella definizione delle attività di trattamento oltre che nella definizione dei requisiti dei sistemi informatici di supporto, quanto previsto dalle politiche per la sicurezza del trattamento e per lo sviluppo sicuro delle applicazioni software, in modo da dimostrare di aver ottemperato a quanto previsto dagli articoli 25 e 32 del RGPD;

d) tenere costantemente aggiornato il registro delle attività di trattamento per la struttura di competenza secondo quanto previsto dall’articolo 30 del RGPD;

e) predisporre le informative e i consensi, ove previsto dalla normativa, relative al trattamento dei dati personali nel rispetto dell’articolo 13 del RGPD;

f) individuare e nominare i referenti privacy e i soggetti incaricati a compiere operazioni di trattamento fornendo agli stessi istruzioni per il corretto trattamento dei dati; tale individuazione deve essere svolta anche nella costituzione di gruppi di lavoro comportanti il trattamento di dati personali, specificando, nell’atto di costituzione, le relative istruzioni;

g) sovrintendere e vigilare sui corretti comportamenti e sull’attuazione delle istruzioni impartite ai referenti privacy e agli incaricati del trattamento, anche quando questi operino all’interno di gruppi di lavoro specificatamente costituiti dalla struttura di appartenenza;

h) predisporre ogni adempimento organizzativo necessario per garantire agli interessati l’esercizio dei diritti previsti dalla normativa, secondo quanto previsto dalla politica regionale in materia;

i) adottare tutte le azioni richieste da provvedimenti dell’Autorità Garante aventi impatto sui trattamenti della struttura di riferimento, quali provvedimenti ostativi all’esecuzione di un trattamento ancora in fase di progettazione oppure il blocco di un trattamento in essere, in modo da soddisfare quanto previsto dal provvedimento e rendere evidenza della loro adeguata esecuzione;

l) collaborare con il DPO al fine di consentire allo stesso l’esecuzione dei compiti e delle funzioni assegnate, con particolare riferimento al necessario riscontro alle istanze degli interessati inerenti all’esercizio dei diritti previsti dalla normativa, secondo quanto previsto dalle politiche regionali in materia;

m) garantire l’accesso ai dati e ai sistemi che erogano le attività di trattamento, qualora acquisiti direttamente dalla struttura di appartenenza, per effettuare tutte le verifiche necessarie, in particolare a seguito di incidenti di sicurezza; l’accesso deve essere consentito alla direzione regionale competente in materia di sistemi informativi e al DPO, con i privilegi necessari allo svolgimento delle verifiche sopramenzionate;

n) effettuare una preventiva valutazione d’impatto ai sensi dell’articolo 35 del RGPD nei casi in cui un trattamento, allorché preveda in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche;

o) trasmettere al DPO le evidenze della valutazione di impatto di cui alla lettera n), ai fini della consultazione preventiva prevista dall’articolo 36 del RGPD;

p) comunicare al DPO le evidenze delle violazioni dei dati personali verificatesi per consentirne la valutazione e l’eventuale comunicazione all’Autorità Garante e agli interessati, in conformità con quanto previsto dalle procedure regionali che disciplinano la materia, oltre che con quanto già previsto dalle lettere l) e m);

q) proporre al Titolare la designazione di eventuali ulteriori Responsabili del trattamento individuati in conformità alle relative disposizioni del RGPD;

r) designare gli amministratori di sistema della struttura di appartenenza, nel rispetto di quanto previsto dal Provvedimento del Garante della Protezione dei dati Personali 27 novembre 2008  e successive  modificazioni, nonché degli ulteriori criteri e modalità definiti dall’allegato “LL” e darne comunicazione alla direzione regionale competente in materia di sistemi informativi.

2. Le funzioni e i compiti di cui al comma 1 sono conferiti al direttore della direzione regionale competente in materia di sistemi informativi anche relativamente ai trattamenti dei quali la Giunta regionale ha la contitolarità e che non sono riconducibili ad alcuna delle strutture regionali.

Art. 474 quater

(Competenze dei referenti privacy)

1. I soggetti designati di cui all’articolo 474, comma 3, individuano con atto di organizzazione nell’ambito dalla propria struttura, un referente privacy, per il necessario supporto nello svolgimento dei compiti e funzioni conferiti in materia di trattamento dei dati personali, in modo da garantire un presidio per gli adempimenti continuativi, lo studio e l’approfondimento degli aspetti normativi, organizzativi e procedurali nonché il costante coordinamento con le attività del DPO. I referenti privacy operano sotto l’autorità del soggetto designato e svolgono, in particolare, i seguenti compiti:

a) supportano il soggetto designato della struttura di appartenenza nell’adozione delle misure adeguate ed efficaci per la tutela della riservatezza, integrità e disponibilità del patrimonio informativo, anche a seguito di analisi e approfondimenti richiesti formalmente al DPO dalla struttura;

b) supportano il soggetto designato nella puntuale revisione periodica delle nomine degli incaricati del trattamento e degli amministratori di sistema nonché dei relativi privilegi assegnati a questi ultimi, nell’ambito delle strutture di appartenenza;

c) supportano il soggetto designato nell’aggiornamento del Registro dei trattamenti di dati personali effettuati per la parte di sua competenza, sulla base delle misure organizzative e delle risorse messe a disposizione dallo stesso;

d) forniscono supporto alle verifiche di sicurezza nell’ambito della struttura di riferimento, svolte dalla direzione regionale competente in materia di sistemi informativi, eventualmente coadiuvata dal Responsabile del Trattamento e dal DPO;

e) supportano il soggetto designato nella gestione delle richieste di parere al DPO e assicurano il coordinamento tecnico con lo stesso DPO;

f) costituiscono il riferimento principale nell’ambito della struttura di appartenenza nell’esecuzione delle attività sopraelencate, nonché per tutte le questioni che riguardano il trattamento dei dati personali.

Art. 474 quinquies

(Soggetti incaricati)

1. La Giunta regionale, in qualità di titolare del trattamento e i soggetti designati di cui al comma 3 autorizzano, ai sensi degli articoli 28, paragrafo 3, lettera b), 29 e 32, paragrafo 4, del RGPD, alle operazioni di trattamento dei dati personali, con specifico atto di nomina, tutti i dipendenti o collaboratori, detti soggetti incaricati, che, a qualsiasi titolo, effettuano operazioni di trattamento dati sotto l’autorità diretta del titolare o del soggetto designato. I soggetti designati procedono alla nomina di cui al presente comma con atto di organizzazione redatto secondo lo schema “B” dell’allegato “NN”. Nell’atto di nomina, tra l’altro, è individuato puntualmente l’ambito del trattamento consentito. Nelle istruzioni deve sempre essere riportato quanto segue:

a) devono essere trattati solo i dati personali necessari per ogni specifica finalità del trattamento;

b) non devono essere poste in atto attività non previste nelle istruzioni al fine di non pregiudicare la legittimità e correttezza dei trattamenti.

2. Le istruzioni di cui al comma 1, oltre a riguardare eventuali aspetti di dettaglio da diversificarsi in relazione alle specificità dei singoli trattamenti, devono contenere un espresso richiamo alle politiche regionali in materia di sicurezza informatica e protezione dei dati personali in essere nonché alle modalità e procedure definite dall’amministrazione per l’assegnazione e l’utilizzo delle dotazioni ICT per il personale in servizio.

3. Nell’atto di nomina i soggetti incaricati sono individuati nominativamente, attraverso nome, cognome e codice fiscale, specificando, per ciascun nominativo, i trattamenti che lo stesso è autorizzato ad effettuare.

Art. 474 sexies

(Competenze del DPO)

1. Il DPO, designato ai sensi dell’articolo 474, comma 4, in conformità agli articoli 37 e seguenti del RGPD, svolge i seguenti compiti e funzioni:

a) informa e fornisce consulenza alla Giunta regionale e alle altre strutture regionali in merito agli obblighi derivanti dalla normativa in materia di protezione dei dati personali;

b) sorveglia l’osservanza della normativa in materia di protezione dei dati personali nonché delle modalità e procedure definite dall’amministrazione per l’assegnazione e l’utilizzo delle dotazioni ICT per il personale in servizio oltre che delle altre eventuali politiche regionali in materia di sicurezza informatica e protezione dei dati personali, ivi incluse l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) coopera con l’Autorità Garante per la protezione dei dati personali;  

d) funge da punto di contatto per l’Autorità Garante per questioni connesse ai trattamenti delle strutture regionali ed effettua, se necessario, consultazioni relativamente a qualunque altra questione;

e) sottoscrive e comunica all’Autorità Garante gli atti di notifica e di consultazione preventiva in accordo con il soggetto designato competente per lo specifico trattamento;

f) sottoscrive e comunica, nell’ambito della procedura regionale di gestione delle violazioni di dati personali, le violazioni dei dati personali all'Autorità Garante ai sensi degli articoli 33 e 34 del RGPD, in accordo con il soggetto designato competente;

g) partecipa allo svolgimento delle verifiche di sicurezza eseguite dalla direzione competente in materia di sistemi informativi o dal Responsabile del Trattamento o ne richiede di specifiche;

h) promuove la formazione di tutto il personale della Regione in materia di protezione dei dati personali e sicurezza informatica, anche formulando proposte alla competente struttura regionale per un piano di comunicazione e divulgazione all’interno delle strutture;

i) partecipa alla gestione degli incidenti di sicurezza secondo le modalità previste dalle specifiche politiche regionali o dal Responsabile del trattamento;

l) propone alla Giunta regionale gli indirizzi per la realizzazione ed il mantenimento del Registro delle attività di trattamento di cui all’articolo 30 del RGPD;

m) fornisce i pareri richiesti dalle strutture secondo quanto previsto dall’articolo 474 septies.

Art. 474 septies

(Pareri del DPO)

1. Il DPO esprime parere obbligatorio al Titolare o ai designati in ordine alla legittimità e alla correttezza dei trattamenti di dati personali in relazione alle seguenti questioni:

a) individuazione delle misure che abbiano un significativo impatto sulla protezione dei dati personali che la struttura regionale intende adottare ai fini della tutela della riservatezza, integrità e disponibilità del patrimonio informativo regionale, anche a seguito di incidenti di sicurezza o analisi dei rischi;

b) adozione di politiche specifiche in materia di protezione dei dati personali e sicurezza delle informazioni nonché redazione e aggiornamento di eventuali regolamenti tecnici con impatto sulla sicurezza delle informazioni o definizione di misure di sicurezza da adottarsi quale impostazione predefinita;

c) individuazione di misure poste a mitigazione del rischio delle criticità emerse dall’analisi dei rischi, che abbiano un significativo impatto sulla protezione dei dati personali;

d) esiti della valutazione d’impatto sulla protezione dei dati ai sensi dell’articolo 35 del RGPD;

e) progettazione di nuove applicazioni o modifica sostanziale di quelle esistenti, in aderenza al principio della privacy by design e by default;

2. Il DPO esprime pareri facoltativi alle strutture regionali in relazione alla:

a) valutazione dell’eventuale pregiudizio che l’accesso civico potrebbe comportare agli interessi dei controinteressati, nella misura in cui questi afferiscono alle tutele dei propri dati personali ai sensi dell’articolo 5 bis, comma 2, del d.lgs. 33/2013 e successive modificazioni;

b) opposizione formulata dai controinteressati nella misura in cui questa sia riferibile ad elementi afferenti alla protezione dei dati personali, valutando la probabilità e la serietà del danno agli interessi degli opponenti; in questo caso il parere va reso entro tre giorni dalla richiesta.

3. I pareri del DPO sono espressi nel rispetto delle seguenti codifiche:

a) NC - non conformità, nei casi in cui siano rilevati elementi di non conformità alla normativa vigente e alle politiche regionali in materia di protezione dei dati personali;

b) OS – osservazioni, nei casi in cui vi siano elementi di miglioramento che garantiscono una maggiore aderenza alla normativa vigente e alle politiche regionali in materia di protezione dei dati personali, non costituendo vincolo di attuazione;

c) PO – positivo, nei casi in cui siano prospettati elementi valutati come conformi alla normativa vigente e alle politiche regionali in materia di protezione dei dati personali.

4. Nei casi in cui il DPO esprima parere non conforme (NC) o con osservazioni (OS), il soggetto designato, laddove ritenesse di mantenere l’originaria decisione, deve formalizzare le motivazioni che giustificano, in caso di parere NC, l’esecuzione dell’attività o l’implementazione della soluzione tecnologica in maniera non conforme alla normativa e alle politiche regionali in essere, ovvero, in caso di parere OS, in maniera difforme rispetto alle osservazioni del DPO.

Art. 474 octies

(Collaborazioni per l’accesso civico)

1. Il DPO, oltre ad esprimere i pareri di cui all’articolo 474 septies, fornisce, altresì, supporto:

a) congiuntamente con i responsabili del trattamento, alle strutture regionali competenti sulle richieste di accesso civico, nella fase di individuazione dei soggetti da ritenersi controinteressati e comunque per tutti gli aspetti relativi alla protezione dei dati personali inerenti alle richieste di accesso civico generalizzato;

b) al responsabile della prevenzione della corruzione e della trasparenza nei casi di riesame di istanze di accesso negato o differito a tutela dell’interesse alla protezione dei dati personali, avvalendosi, ove necessario, delle competenze dei responsabili del trattamento.

Art. 474 nonies

(Amministratori di sistema)

1. L’amministratore di sistema è individuato dai soggetti designati di cui all’articolo 474, comma 3, tra i soggetti della propria struttura che per esperienza, capacità tecniche ed affidabilità forniscano idonea garanzia del pieno rispetto delle disposizioni di legge vigenti in materia, ivi compreso il profilo relativo alla sicurezza. L’atto di nomina, redatto secondo lo schema “C” dell’allegato “NN”, contiene l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

2. L’amministratore di sistema sovrintende alle risorse del sistema informativo afferenti alla struttura di appartenenza, consente agli utenti l’utilizzo delle funzioni disponibili e svolge tutte le funzioni previste dalla normativa vigente.

3. La direzione regionale competente in materia di sistemi informativi provvede a implementare e manutenere l’elenco degli amministratori di sistema e agli ulteriori adempimenti previsti dal Provvedimento del Garante della Protezione dei dati Personali 27 novembre 2008 e successive modificazioni, nonché dall’allegato “LL”.

4. La Giunta regionale verifica annualmente la rispondenza dell’operato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza previste dalla normativa vigente.”.

Art. 4

(Sostituzione dell’articolo 476 del r.r. 1/2002 e successive modificazioni)

1. L’articolo 476 del r.r. 1/2002 e successive modificazioni è sostituito dal seguente:

“Art.  476

(Struttura regionale per i sistemi informativi – ICT)

1. La struttura regionale competente in materia di sistemi informativi, di seguito struttura ICT, svolge un ruolo di supporto al titolare del trattamento, ai soggetti designati e al DPO in tema di risorse strumentali e di competenze.

2. La struttura ICT, in materia di gestione della sicurezza delle informazioni, svolge le seguenti funzioni:

a) individua le misure più adeguate ed efficaci per la tutela della riservatezza, integrità e disponibilità del patrimonio informativo della Regione; tutte le soluzioni che abbiano un significativo impatto sulla protezione dei dati personali sono sottoposte a parere preventivo obbligatorio del DPO;

b) provvede, ogni qualvolta venga avvertito un problema di sicurezza a:

1) attivare la struttura cui sono demandati i compiti relativi alla gestione degli incidenti di sicurezza, assicurando la partecipazione del DPO;

2) individuare misure idonee al miglioramento della sicurezza dei trattamenti dei dati personali, previo parere obbligatorio del DPO;

3) segnalare al direttore regionale competente in materia di sistemi informativi e al DPO le violazioni dei dati personali ai fini della notifica, ai sensi dell’articolo 33 del RGPD, all’Autorità Garante per la protezione dei dati personali;

c) svolge verifiche sulla puntuale osservanza della normativa vigente e delle policy regionali in materia di sicurezza delle informazioni e di trattamento di dati personali, prevedendo la partecipazione del DPO e realizza le verifiche specifiche richieste dallo stesso;

d) promuove la formazione di tutto il personale dell’Ente in materia di sicurezza informatica, anche attraverso un piano di comunicazione e divulgazione all’interno della Giunta regionale, coordinandosi con le azioni promosse dal DPO;

e) garantisce il rispetto delle procedure relative alle autorizzazioni per l’accesso ai varchi controllati della Giunta regionale, a tutela del patrimonio e delle persone e a protezione dei dati personali e del patrimonio informativo della Regione.”.

Art. 5

(Inserimento degli articoli 476 bis e ter al r.r. 1/2002 e successive modificazioni)

1. Dopo l’articolo 476 del r.r. 1/2002 e successive modificazioni sono inseriti i seguenti:

“Art. 476 bis

(Diritti degli interessati)

1. Ai sensi dell’articolo 12 del RGPD, ai fini della corretta gestione delle richieste ricevute da parte dei soggetti interessati per l’esercizio dei diritti previsti dal capo III del medesimo regolamento nei confronti del titolare del trattamento, relativi alla possibilità di accesso, verifica e controllo, cancellazione dei propri dati personali, sono adottate le misure di cui all’allegato “MM”.

Art. 476 ter

(Adempimenti in materia di privacy. Adozione di schemi tipo)

1. Per garantire l’applicazione uniforme della disciplina in materia di privacy sono adottati gli schemi tipo di cui all’allegato “NN” relativamente alla nomina dei soggetti di cui all’articolo 474, commi 2, 3, 5 e 7, all’inserimento di specifiche clausole nei disciplinari di gara, nonché all’adozione delle varie informative finalizzate al rispetto degli obblighi di cui al RGPD. Gli schemi tipo di cui all’allegato “NN” possono essere adeguati dai soggetti competenti in relazione alle specificità dei particolari settori di afferenza e dei correlati trattamenti.”.

Art. 6

(Inserimento degli allegati II, LL, MM e NN al r.r.1/2002 e successive modificazioni) ([1])

Art. 7

(Entrata in vigore)

1. Il presente regolamento è pubblicato sul Bollettino Ufficiale della Regione Lazio ed entra in vigore dal giorno successivo alla data della sua pubblicazione.

Il testo non ha valore legale; rimane, dunque, inalterata l’efficacia degli atti normativi originari.

1. Il comma 1 dell’articolo 473 del r.r. 1/2002 e successive modificazioni è sostituito dal seguente:

“1. Il trattamento dei dati personali è effettuato dall’amministrazione secondo le norme contenute nel regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), di seguito RGPD, e nel decreto legislativo 20 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.) e successive modificazioni.”.

Art. 2

(Sostituzione dell’articolo 474 del r.r. 1/2002 e successive modificazioni)

1. L’articolo 474 del r.r. 1/2002 e successive modificazioni è sostituito dal seguente:

“Art.  474

(Disciplina organizzativa delle competenze e delle responsabilità

in materia di trattamento dei dati personali)

1. Il titolare del trattamento dei dati personali, ai sensi dell’articolo 4, n. 7), e dell’art. 24 del RGPD, è la Giunta regionale, cui spettano tutte le attività demandate al titolare dal RGPD e, in particolare, l’adozione di misure tecniche e organizzative idonee a garantire, nonché a consentire di dimostrare, che il trattamento dei dati personali è effettuato conformemente al RGPD. La Giunta regionale, ai sensi dell’articolo 30 del RGPD, mediante i soggetti designati di cui al comma 3, tiene e aggiorna il registro delle attività di trattamento svolte sotto la propria responsabilità, secondo il modello di cui all’allegato “II”.

2. I responsabili del trattamento dei dati personali di cui all’articolo 4, n. 8), e all’articolo 28 del RGPD sono individuati nella persona fisica o giuridica, nell’autorità pubblica, nel servizio o altro organismo, ai quali è affidato il trattamento dei dati personali di competenza regionale dal titolare del trattamento, che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del RGPD e garantisca la tutela dei diritti dell’interessato. Il titolare del trattamento, con specifico atto negoziale di incarico ai singoli responsabili del trattamento, secondo lo schema “G” dell’allegato “NN”, disciplina i trattamenti affidati al responsabile, i compiti e le istruzioni secondo quanto previsto dall’articolo 28, paragrafo 3, del RGPD e in coerenza con le indicazioni del Data Protection Officer (DPO). Nell’atto di incarico è, altresì, definita la possibilità di nomina di un sub-responsabile, secondo quanto previsto dall’articolo 28, paragrafi 2 e 4, del RGPD. I responsabili dei trattamenti, ai sensi dell’articolo 30 del RGPD, tengono e aggiornano un registro di tutte le categorie di attività relative al trattamento, svolte per conto del titolare del trattamento.

3. La Giunta regionale, in qualità di titolare del trattamento, può prevedere, ai sensi dell’articolo 2 quaterdecies del d.lgs. 196/2003 e successive modificazioni, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano conferiti a persone fisiche, che operano sotto la propria autorità, espressamente designate secondo lo schema “A” dell’allegato “NN”, da allegare quale addendum al contratto di lavoro. Nell’ambito delle strutture organizzative regionali, sono individuati, quali designati allo svolgimento di specifici compiti e funzioni connessi al trattamento di dati personali, ciascuno per le competenze loro attribuite:

a) il Capo dell’Ufficio di Gabinetto, per il proprio ambito di competenza e per il trattamento di dati personali effettuato direttamente dalle strutture di diretta collaborazione della Giunta;

b) i direttori regionali, per il proprio ambito di competenza;

c) i direttori delle Agenzie regionali, ciascuno per i trattamenti effettuati dall’Agenzia di pertinenza;

d) l’Avvocato coordinatore, per il proprio ambito di competenza;

e) il dirigente cui è attribuita la competenza relativamente alle funzioni previste dal decreto legislativo 6 settembre 1989, n. 322 (Norme sul Sistema statistico nazionale e sulla riorganizzazione dell’Istituto nazionale di statistica, ai sensi dell’art. 24 della legge 23 agosto 1988, n. 400) e alle convenzioni con l’ISTAT per l’attuazione del Programma Statistico Nazionale, per quanto riguarda i relativi trattamenti effettuati con finalità statistica.

4. La Giunta regionale, in qualità di titolare del trattamento, designa, ai sensi dell’articolo 37 del RGPD, un responsabile della protezione dati, Data Protection Officer, di seguito DPO, in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, nonché della capacità di assolvere ai compiti di cui all’articolo 39 del RGPD. Il DPO può essere un dipendente della Regione oppure un soggetto esterno selezionato attraverso una procedura a evidenza pubblica per l’affidamento di un contratto di servizi. E’ designato un unico DPO per tutte le strutture regionali.

5. La Giunta regionale, in qualità di titolare del trattamento e i soggetti designati di cui al comma 3 autorizzano, ai sensi degli articoli 28, paragrafo 3, lettera b), 29 e 32, paragrafo 4, del RGPD, alle operazioni di trattamento dei dati personali, con specifico atto di nomina, tutti i dipendenti o collaboratori a qualsiasi titolo, detti soggetti incaricati, che effettuano operazioni di trattamento dati sotto l’autorità diretta del titolare o del soggetto designato. Nell’atto di nomina, tra l’altro, è individuato puntualmente l’ambito del trattamento dei dati consentito. I soggetti designati procedono alla nomina di cui al presente comma con atto di organizzazione redatto secondo lo schema “B” dell’allegato “NN”.

6. I soggetti designati di cui al comma 3 nominano, nell’ambito dalla propria struttura, con atto di organizzazione, un referente privacy, per il necessario supporto nello svolgimento dei compiti e funzioni conferiti in materia di trattamento dei dati personali, in modo da garantire un presidio per gli adempimenti continuativi, lo studio e l’approfondimento degli aspetti normativi, organizzativi e procedurali nonché il costante coordinamento con le attività del DPO.

7. Qualora il trattamento dei dati personali venga effettuato con strumenti elettronici direttamente acquisiti dalla struttura di appartenenza, i soggetti designati di cui al comma 3 nominano gli amministratori di sistema con specifico atto di organizzazione,  redatto sulla base dello schema “C” dell’allegato “NN”, nel rispetto di quanto previsto dal Provvedimento del Garante della Protezione dei dati Personali 27 novembre 2008 (Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema) e successive modificazioni, nonché degli ulteriori criteri e modalità definiti dall’allegato “LL”.”.

Art. 3

(Inserimento degli articoli 474 bis, 474 ter, 474 quater, 474 quinquies, 474 sexies, 474 septies, 474 octies e 474 nonies al r.r. 1/2002 e successive modificazioni)

1. Dopo l’articolo 474 del r.r. 1/2002 e successive modificazioni sono inseriti i seguenti:

“Art. 474 bis

(Competenze della Giunta regionale in qualità di

titolare del trattamento dei dati personali)

1. Spettano alla Giunta regionale, in qualità di titolare del trattamento dei dati personali:

a) la nomina del responsabile del trattamento;

b) la nomina del responsabile della protezione dei dati (DPO);

c) il conferimento di specifici compiti e funzioni ai soggetti designati in materia di trattamento di dati personali, ai sensi dell’articolo 2 quaterdecies del d.lgs. 196/2003 e successive modificazioni;

d) l’emanazione di direttive ai responsabili di cui all’articolo 474, comma 2, e ai soggetti designati di cui al comma 3 del medesimo articolo, per lo svolgimento delle attività di rispettiva competenza, in conformità a quanto previsto nel RGPD e nel d.lgs. 196/2003 e successive modificazioni;

e) la definizione delle politiche regionali in materia di trattamento dei dati personali e, in particolare, l’adozione di disciplinari tecnici di settore specifici o trasversali, per stabilire e dettagliare le modalità per effettuare particolari trattamenti di dati personali, con riferimento alle misure di sicurezza da adottarsi nonché istruzioni operative, modelli, software necessari  per garantire ed essere in grado di dimostrare che il trattamento dei dati personali è effettuato conformemente al RGPD;

f) l’allocazione di adeguate risorse economiche e strutturali al fine di un costante adeguamento alla normativa vigente in materia di trattamento dei dati personali, ivi incluso quanto necessario per la formazione dei dipendenti e dei collaboratori regionali in materia di protezione dei dati personali;

g) la definizione e gestione, attraverso i soggetti designati di cui all’articolo 474, comma 3, del registro delle attività di trattamento svolte sotto la propria responsabilità;

h) la definizione e gestione del registro delle possibili violazioni dei dati personali, ivi incluse le relative valutazioni di rischio, attraverso la direzione regionale competente in materia di sistemi informativi.

Art. 474 ter

(Competenze dei soggetti designati)

1. Ai soggetti designati di cui all’articolo 474, comma 3, sono conferiti i seguenti compiti e funzioni connessi al trattamento di dati personali:

a) verificare la legittimità dei trattamenti di dati personali effettuati dalla struttura di riferimento, siano essi di titolarità della Giunta regionale o in contitolarità con altri enti;

b) disporre, in conseguenza alla verifica di cui alla lettera a), le modifiche necessarie al trattamento affinché lo stesso sia conforme alla normativa vigente, ovvero disporre la cessazione di qualsiasi trattamento effettuato in violazione alla stessa;

c) richiamare obbligatoriamente, nella definizione delle attività di trattamento oltre che nella definizione dei requisiti dei sistemi informatici di supporto, quanto previsto dalle politiche per la sicurezza del trattamento e per lo sviluppo sicuro delle applicazioni software, in modo da dimostrare di aver ottemperato a quanto previsto dagli articoli 25 e 32 del RGPD;

d) tenere costantemente aggiornato il registro delle attività di trattamento per la struttura di competenza secondo quanto previsto dall’articolo 30 del RGPD;

e) predisporre le informative e i consensi, ove previsto dalla normativa, relative al trattamento dei dati personali nel rispetto dell’articolo 13 del RGPD;

f) individuare e nominare i referenti privacy e i soggetti incaricati a compiere operazioni di trattamento fornendo agli stessi istruzioni per il corretto trattamento dei dati; tale individuazione deve essere svolta anche nella costituzione di gruppi di lavoro comportanti il trattamento di dati personali, specificando, nell’atto di costituzione, le relative istruzioni;

g) sovrintendere e vigilare sui corretti comportamenti e sull’attuazione delle istruzioni impartite ai referenti privacy e agli incaricati del trattamento, anche quando questi operino all’interno di gruppi di lavoro specificatamente costituiti dalla struttura di appartenenza;

h) predisporre ogni adempimento organizzativo necessario per garantire agli interessati l’esercizio dei diritti previsti dalla normativa, secondo quanto previsto dalla politica regionale in materia;

i) adottare tutte le azioni richieste da provvedimenti dell’Autorità Garante aventi impatto sui trattamenti della struttura di riferimento, quali provvedimenti ostativi all’esecuzione di un trattamento ancora in fase di progettazione oppure il blocco di un trattamento in essere, in modo da soddisfare quanto previsto dal provvedimento e rendere evidenza della loro adeguata esecuzione;

l) collaborare con il DPO al fine di consentire allo stesso l’esecuzione dei compiti e delle funzioni assegnate, con particolare riferimento al necessario riscontro alle istanze degli interessati inerenti all’esercizio dei diritti previsti dalla normativa, secondo quanto previsto dalle politiche regionali in materia;

m) garantire l’accesso ai dati e ai sistemi che erogano le attività di trattamento, qualora acquisiti direttamente dalla struttura di appartenenza, per effettuare tutte le verifiche necessarie, in particolare a seguito di incidenti di sicurezza; l’accesso deve essere consentito alla direzione regionale competente in materia di sistemi informativi e al DPO, con i privilegi necessari allo svolgimento delle verifiche sopramenzionate;

n) effettuare una preventiva valutazione d’impatto ai sensi dell’articolo 35 del RGPD nei casi in cui un trattamento, allorché preveda in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche;

o) trasmettere al DPO le evidenze della valutazione di impatto di cui alla lettera n), ai fini della consultazione preventiva prevista dall’articolo 36 del RGPD;

p) comunicare al DPO le evidenze delle violazioni dei dati personali verificatesi per consentirne la valutazione e l’eventuale comunicazione all’Autorità Garante e agli interessati, in conformità con quanto previsto dalle procedure regionali che disciplinano la materia, oltre che con quanto già previsto dalle lettere l) e m);

q) proporre al Titolare la designazione di eventuali ulteriori Responsabili del trattamento individuati in conformità alle relative disposizioni del RGPD;

r) designare gli amministratori di sistema della struttura di appartenenza, nel rispetto di quanto previsto dal Provvedimento del Garante della Protezione dei dati Personali 27 novembre 2008  e successive  modificazioni, nonché degli ulteriori criteri e modalità definiti dall’allegato “LL” e darne comunicazione alla direzione regionale competente in materia di sistemi informativi.

2. Le funzioni e i compiti di cui al comma 1 sono conferiti al direttore della direzione regionale competente in materia di sistemi informativi anche relativamente ai trattamenti dei quali la Giunta regionale ha la contitolarità e che non sono riconducibili ad alcuna delle strutture regionali.

Art. 474 quater

(Competenze dei referenti privacy)

1. I soggetti designati di cui all’articolo 474, comma 3, individuano con atto di organizzazione nell’ambito dalla propria struttura, un referente privacy, per il necessario supporto nello svolgimento dei compiti e funzioni conferiti in materia di trattamento dei dati personali, in modo da garantire un presidio per gli adempimenti continuativi, lo studio e l’approfondimento degli aspetti normativi, organizzativi e procedurali nonché il costante coordinamento con le attività del DPO. I referenti privacy operano sotto l’autorità del soggetto designato e svolgono, in particolare, i seguenti compiti:

a) supportano il soggetto designato della struttura di appartenenza nell’adozione delle misure adeguate ed efficaci per la tutela della riservatezza, integrità e disponibilità del patrimonio informativo, anche a seguito di analisi e approfondimenti richiesti formalmente al DPO dalla struttura;

b) supportano il soggetto designato nella puntuale revisione periodica delle nomine degli incaricati del trattamento e degli amministratori di sistema nonché dei relativi privilegi assegnati a questi ultimi, nell’ambito delle strutture di appartenenza;

c) supportano il soggetto designato nell’aggiornamento del Registro dei trattamenti di dati personali effettuati per la parte di sua competenza, sulla base delle misure organizzative e delle risorse messe a disposizione dallo stesso;

d) forniscono supporto alle verifiche di sicurezza nell’ambito della struttura di riferimento, svolte dalla direzione regionale competente in materia di sistemi informativi, eventualmente coadiuvata dal Responsabile del Trattamento e dal DPO;

e) supportano il soggetto designato nella gestione delle richieste di parere al DPO e assicurano il coordinamento tecnico con lo stesso DPO;

f) costituiscono il riferimento principale nell’ambito della struttura di appartenenza nell’esecuzione delle attività sopraelencate, nonché per tutte le questioni che riguardano il trattamento dei dati personali.

Art. 474 quinquies

(Soggetti incaricati)

1. La Giunta regionale, in qualità di titolare del trattamento e i soggetti designati di cui al comma 3 autorizzano, ai sensi degli articoli 28, paragrafo 3, lettera b), 29 e 32, paragrafo 4, del RGPD, alle operazioni di trattamento dei dati personali, con specifico atto di nomina, tutti i dipendenti o collaboratori, detti soggetti incaricati, che, a qualsiasi titolo, effettuano operazioni di trattamento dati sotto l’autorità diretta del titolare o del soggetto designato. I soggetti designati procedono alla nomina di cui al presente comma con atto di organizzazione redatto secondo lo schema “B” dell’allegato “NN”. Nell’atto di nomina, tra l’altro, è individuato puntualmente l’ambito del trattamento consentito. Nelle istruzioni deve sempre essere riportato quanto segue:

a) devono essere trattati solo i dati personali necessari per ogni specifica finalità del trattamento;

b) non devono essere poste in atto attività non previste nelle istruzioni al fine di non pregiudicare la legittimità e correttezza dei trattamenti.

2. Le istruzioni di cui al comma 1, oltre a riguardare eventuali aspetti di dettaglio da diversificarsi in relazione alle specificità dei singoli trattamenti, devono contenere un espresso richiamo alle politiche regionali in materia di sicurezza informatica e protezione dei dati personali in essere nonché alle modalità e procedure definite dall’amministrazione per l’assegnazione e l’utilizzo delle dotazioni ICT per il personale in servizio.

3. Nell’atto di nomina i soggetti incaricati sono individuati nominativamente, attraverso nome, cognome e codice fiscale, specificando, per ciascun nominativo, i trattamenti che lo stesso è autorizzato ad effettuare.

Art. 474 sexies

(Competenze del DPO)

1. Il DPO, designato ai sensi dell’articolo 474, comma 4, in conformità agli articoli 37 e seguenti del RGPD, svolge i seguenti compiti e funzioni:

a) informa e fornisce consulenza alla Giunta regionale e alle altre strutture regionali in merito agli obblighi derivanti dalla normativa in materia di protezione dei dati personali;

b) sorveglia l’osservanza della normativa in materia di protezione dei dati personali nonché delle modalità e procedure definite dall’amministrazione per l’assegnazione e l’utilizzo delle dotazioni ICT per il personale in servizio oltre che delle altre eventuali politiche regionali in materia di sicurezza informatica e protezione dei dati personali, ivi incluse l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) coopera con l’Autorità Garante per la protezione dei dati personali;  

d) funge da punto di contatto per l’Autorità Garante per questioni connesse ai trattamenti delle strutture regionali ed effettua, se necessario, consultazioni relativamente a qualunque altra questione;

e) sottoscrive e comunica all’Autorità Garante gli atti di notifica e di consultazione preventiva in accordo con il soggetto designato competente per lo specifico trattamento;

f) sottoscrive e comunica, nell’ambito della procedura regionale di gestione delle violazioni di dati personali, le violazioni dei dati personali all'Autorità Garante ai sensi degli articoli 33 e 34 del RGPD, in accordo con il soggetto designato competente;

g) partecipa allo svolgimento delle verifiche di sicurezza eseguite dalla direzione competente in materia di sistemi informativi o dal Responsabile del Trattamento o ne richiede di specifiche;

h) promuove la formazione di tutto il personale della Regione in materia di protezione dei dati personali e sicurezza informatica, anche formulando proposte alla competente struttura regionale per un piano di comunicazione e divulgazione all’interno delle strutture;

i) partecipa alla gestione degli incidenti di sicurezza secondo le modalità previste dalle specifiche politiche regionali o dal Responsabile del trattamento;

l) propone alla Giunta regionale gli indirizzi per la realizzazione ed il mantenimento del Registro delle attività di trattamento di cui all’articolo 30 del RGPD;

m) fornisce i pareri richiesti dalle strutture secondo quanto previsto dall’articolo 474 septies.

Art. 474 septies

(Pareri del DPO)

1. Il DPO esprime parere obbligatorio al Titolare o ai designati in ordine alla legittimità e alla correttezza dei trattamenti di dati personali in relazione alle seguenti questioni:

a) individuazione delle misure che abbiano un significativo impatto sulla protezione dei dati personali che la struttura regionale intende adottare ai fini della tutela della riservatezza, integrità e disponibilità del patrimonio informativo regionale, anche a seguito di incidenti di sicurezza o analisi dei rischi;

b) adozione di politiche specifiche in materia di protezione dei dati personali e sicurezza delle informazioni nonché redazione e aggiornamento di eventuali regolamenti tecnici con impatto sulla sicurezza delle informazioni o definizione di misure di sicurezza da adottarsi quale impostazione predefinita;

c) individuazione di misure poste a mitigazione del rischio delle criticità emerse dall’analisi dei rischi, che abbiano un significativo impatto sulla protezione dei dati personali;

d) esiti della valutazione d’impatto sulla protezione dei dati ai sensi dell’articolo 35 del RGPD;

e) progettazione di nuove applicazioni o modifica sostanziale di quelle esistenti, in aderenza al principio della privacy by design e by default;

2. Il DPO esprime pareri facoltativi alle strutture regionali in relazione alla:

a) valutazione dell’eventuale pregiudizio che l’accesso civico potrebbe comportare agli interessi dei controinteressati, nella misura in cui questi afferiscono alle tutele dei propri dati personali ai sensi dell’articolo 5 bis, comma 2, del d.lgs. 33/2013 e successive modificazioni;

b) opposizione formulata dai controinteressati nella misura in cui questa sia riferibile ad elementi afferenti alla protezione dei dati personali, valutando la probabilità e la serietà del danno agli interessi degli opponenti; in questo caso il parere va reso entro tre giorni dalla richiesta.

3. I pareri del DPO sono espressi nel rispetto delle seguenti codifiche:

a) NC - non conformità, nei casi in cui siano rilevati elementi di non conformità alla normativa vigente e alle politiche regionali in materia di protezione dei dati personali;

b) OS – osservazioni, nei casi in cui vi siano elementi di miglioramento che garantiscono una maggiore aderenza alla normativa vigente e alle politiche regionali in materia di protezione dei dati personali, non costituendo vincolo di attuazione;

c) PO – positivo, nei casi in cui siano prospettati elementi valutati come conformi alla normativa vigente e alle politiche regionali in materia di protezione dei dati personali.

4. Nei casi in cui il DPO esprima parere non conforme (NC) o con osservazioni (OS), il soggetto designato, laddove ritenesse di mantenere l’originaria decisione, deve formalizzare le motivazioni che giustificano, in caso di parere NC, l’esecuzione dell’attività o l’implementazione della soluzione tecnologica in maniera non conforme alla normativa e alle politiche regionali in essere, ovvero, in caso di parere OS, in maniera difforme rispetto alle osservazioni del DPO.

Art. 474 octies

(Collaborazioni per l’accesso civico)

1. Il DPO, oltre ad esprimere i pareri di cui all’articolo 474 septies, fornisce, altresì, supporto:

a) congiuntamente con i responsabili del trattamento, alle strutture regionali competenti sulle richieste di accesso civico, nella fase di individuazione dei soggetti da ritenersi controinteressati e comunque per tutti gli aspetti relativi alla protezione dei dati personali inerenti alle richieste di accesso civico generalizzato;

b) al responsabile della prevenzione della corruzione e della trasparenza nei casi di riesame di istanze di accesso negato o differito a tutela dell’interesse alla protezione dei dati personali, avvalendosi, ove necessario, delle competenze dei responsabili del trattamento.

Art. 474 nonies

(Amministratori di sistema)

1. L’amministratore di sistema è individuato dai soggetti designati di cui all’articolo 474, comma 3, tra i soggetti della propria struttura che per esperienza, capacità tecniche ed affidabilità forniscano idonea garanzia del pieno rispetto delle disposizioni di legge vigenti in materia, ivi compreso il profilo relativo alla sicurezza. L’atto di nomina, redatto secondo lo schema “C” dell’allegato “NN”, contiene l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

2. L’amministratore di sistema sovrintende alle risorse del sistema informativo afferenti alla struttura di appartenenza, consente agli utenti l’utilizzo delle funzioni disponibili e svolge tutte le funzioni previste dalla normativa vigente.

3. La direzione regionale competente in materia di sistemi informativi provvede a implementare e manutenere l’elenco degli amministratori di sistema e agli ulteriori adempimenti previsti dal Provvedimento del Garante della Protezione dei dati Personali 27 novembre 2008 e successive modificazioni, nonché dall’allegato “LL”.

4. La Giunta regionale verifica annualmente la rispondenza dell’operato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza previste dalla normativa vigente.”.

Art. 4

(Sostituzione dell’articolo 476 del r.r. 1/2002 e successive modificazioni)

1. L’articolo 476 del r.r. 1/2002 e successive modificazioni è sostituito dal seguente:

“Art.  476

(Struttura regionale per i sistemi informativi – ICT)

1. La struttura regionale competente in materia di sistemi informativi, di seguito struttura ICT, svolge un ruolo di supporto al titolare del trattamento, ai soggetti designati e al DPO in tema di risorse strumentali e di competenze.

2. La struttura ICT, in materia di gestione della sicurezza delle informazioni, svolge le seguenti funzioni:

a) individua le misure più adeguate ed efficaci per la tutela della riservatezza, integrità e disponibilità del patrimonio informativo della Regione; tutte le soluzioni che abbiano un significativo impatto sulla protezione dei dati personali sono sottoposte a parere preventivo obbligatorio del DPO;

b) provvede, ogni qualvolta venga avvertito un problema di sicurezza a:

1) attivare la struttura cui sono demandati i compiti relativi alla gestione degli incidenti di sicurezza, assicurando la partecipazione del DPO;

2) individuare misure idonee al miglioramento della sicurezza dei trattamenti dei dati personali, previo parere obbligatorio del DPO;

3) segnalare al direttore regionale competente in materia di sistemi informativi e al DPO le violazioni dei dati personali ai fini della notifica, ai sensi dell’articolo 33 del RGPD, all’Autorità Garante per la protezione dei dati personali;

c) svolge verifiche sulla puntuale osservanza della normativa vigente e delle policy regionali in materia di sicurezza delle informazioni e di trattamento di dati personali, prevedendo la partecipazione del DPO e realizza le verifiche specifiche richieste dallo stesso;

d) promuove la formazione di tutto il personale dell’Ente in materia di sicurezza informatica, anche attraverso un piano di comunicazione e divulgazione all’interno della Giunta regionale, coordinandosi con le azioni promosse dal DPO;

e) garantisce il rispetto delle procedure relative alle autorizzazioni per l’accesso ai varchi controllati della Giunta regionale, a tutela del patrimonio e delle persone e a protezione dei dati personali e del patrimonio informativo della Regione.”.

Art. 5

(Inserimento degli articoli 476 bis e ter al r.r. 1/2002 e successive modificazioni)

1. Dopo l’articolo 476 del r.r. 1/2002 e successive modificazioni sono inseriti i seguenti:

“Art. 476 bis

(Diritti degli interessati)

1. Ai sensi dell’articolo 12 del RGPD, ai fini della corretta gestione delle richieste ricevute da parte dei soggetti interessati per l’esercizio dei diritti previsti dal capo III del medesimo regolamento nei confronti del titolare del trattamento, relativi alla possibilità di accesso, verifica e controllo, cancellazione dei propri dati personali, sono adottate le misure di cui all’allegato “MM”.

Art. 476 ter

(Adempimenti in materia di privacy. Adozione di schemi tipo)

1. Per garantire l’applicazione uniforme della disciplina in materia di privacy sono adottati gli schemi tipo di cui all’allegato “NN” relativamente alla nomina dei soggetti di cui all’articolo 474, commi 2, 3, 5 e 7, all’inserimento di specifiche clausole nei disciplinari di gara, nonché all’adozione delle varie informative finalizzate al rispetto degli obblighi di cui al RGPD. Gli schemi tipo di cui all’allegato “NN” possono essere adeguati dai soggetti competenti in relazione alle specificità dei particolari settori di afferenza e dei correlati trattamenti.”.

Art. 6

(Inserimento degli allegati II, LL, MM e NN al r.r.1/2002 e successive modificazioni) ([1])

Art. 7

(Entrata in vigore)

1. Il presente regolamento è pubblicato sul Bollettino Ufficiale della Regione Lazio ed entra in vigore dal giorno successivo alla data della sua pubblicazione.

Il testo non ha valore legale; rimane, dunque, inalterata l’efficacia degli atti normativi originari.