PRESIDENZA DEL CONSIGLIO DEI MINISTRI – Decreto 25 maggio 2018 – Criteri e modalità per l’individuazione del responsabile della protezione dei dati personali, mediante il quale la Presidenza del Consiglio dei ministri esercita le funzioni di titolare del trattamento dei dati personali, ai sensi del regolamento (UE) n. 2016/679

Criteri e modalità per l’individuazione del responsabile della protezione dei dati personali, mediante il quale la Presidenza del Consiglio dei ministri esercita le funzioni di titolare del trattamento dei dati personali, ai sensi del regolamento (UE) n. 2016/679

Art. 1

Definizioni

1. Ai fini del presente decreto si intende per:

a) dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile in PCM; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo on-line o uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

b) trattamento: qualsiasi operazione o insieme di operazioni, compiute in PCM con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

c) titolare del trattamento: la Presidenza del Consiglio dei ministri nelle sue articolazioni organizzative;

d) responsabile del trattamento: la persona fisica o giuridica, estranea alla Presidenza del Consiglio dei ministri che tratta dati personali per conto del titolare del trattamento;

e) violazione dei dati personali: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Art. 2

Oggetto e ambito di applicazione

1. La Presidenza del Consiglio dei ministri (di seguito PCM) è il titolare del trattamento dei dati personali.

2. Il presente decreto individua i soggetti medianti i quali la PCM esercita le funzioni di titolare del trattamento dei dati personali.

3. Le disposizioni del presente decreto si applicano alle seguenti articolazioni organizzative della PCM: dipartimenti e uffici autonomi, come individuati all’art. 2 del decreto del Presidente del Consiglio dei ministri 1° ottobre 2012, e gli organismi collegiali presso gli stessi istituiti, uffici di diretta collaborazione del Presidente e delle autorità politiche delegate dal Presidente del Consiglio, strutture di missione.

4. Sono autonomi titolari del trattamento dei dati personali le strutture dei commissari straordinari del Governo di cui all’art. 11 della legge 23 agosto 1988, n. 400, le strutture dei commissari straordinari incaricati sulla base di leggi speciali, le strutture dei rappresentanti del Governo nelle Regioni e nelle Province autonome di Trento e di Bolzano, nonché il Dipartimento della protezione civile, la Scuola nazionale dell’amministrazione e l’UTA.

5. Le strutture di cui al comma 4, provvedono in via autonoma a tutti gli adempimenti previsti dal regolamento, nonché alla designazione di un proprio RPD.

6. Ove ricorra l’ipotesi di contitolarità con la PCM, le rispettive responsabilità sono disciplinate dagli accordi previsti dall’art. 26 del regolamento.

Art. 3

Esercizio delle funzioni di titolare del trattamento dei dati personali

1. In conformità all’assetto organizzativo della PCM, nell’ambito delle strutture di cui all’art. 2, comma 3, i soggetti individuati per l’esercizio delle funzioni di titolare del trattamenti dei dati personali, ciascuno nel rispettivo ambito di competenza, sono:

a) i Capi dei Dipartimenti;

b) i Capi degli uffici autonomi;

c) i Capi degli uffici di diretta collaborazione del Presidente;

d) i Capi di Gabinetto degli uffici di diretta collaborazione dei Ministri e dei Sottosegretari;

e) i Coordinatori delle strutture di missione, qualora non istituite presso strutture generali della PCM;

f) il Coordinatore della Segreteria tecnica della Commissione per le adozioni internazionali il Coordinatore del Servizio per i voli di Stato, di Governo e umanitari, tenuto conto della particolare posizione di autonomia funzionale e gestionale delle unità organizzative cui sono preposti.

2. Il Segretario generale esercita le funzioni di titolare del trattamento dei dati personali di cui all’art. 4.

3. Per le attività a carattere trasversale, esercita le funzioni di titolare del trattamento dei dati il Capo della Struttura generale con competenza di coordinamento sulla materia.

4. I Capi delle strutture di cui al comma 3, impartiscono le necessarie istruzioni a tutti i dirigenti delle strutture della PCM coinvolte nel trattamento.

Art. 4

Attività di coordinamento

1. Il Segretario generale svolge funzioni di coordinamento, fornendo indicazioni di carattere generale alle strutture in termini di definizione delle policy in materia di trattamento dei dati personali.

2. Il Segretario generale nomina il RPD e ne dà comunicazione al Garante per la protezione dei dati personali e alle strutture interessate.

3. Per lo svolgimento delle funzioni di cui al comma 1, il Segretario generale si avvale di una struttura di supporto tecnico e metodologico posta nell’ambito dell’Ufficio del Segretario generale.

Art. 5

Funzioni del titolare

1. I soggetti di cui all’art. 3, nell’ambito delle strutture cui sono preposti, assicurano il rispetto di tutti gli obblighi previsti dal regolamento e dalla normativa nazionale in capo al titolare del trattamento.

2. I soggetti di cui al comma 1, sono tenuti anche a porre in essere, nell’ambito delle proprie Strutture e nel rispetto delle proprie competenze e, ove necessario, in collaborazione con il Dipartimento per i servizi strumentali – Ufficio Informatica e telematica, misure tecniche e organizzative adeguate per garantire e dimostrare che il trattamento dei dati personali è effettuato conformemente alle disposizioni del regolamento.

3. Ai soggetti di cui al comma 1 sono altresì affidati i seguenti compiti:

a) definire finalità, mezzi di trattamento e rispettive responsabilità in merito all’osservanza degli obblighi previsti in caso di contitolarità del dato personale ai sensi dell’art. 26 del regolamento;

b) designare gli autorizzati al trattamento dei dati personali sulla base delle proposte dei dirigenti responsabili del procedimento, fornendo adeguate istruzioni per il loro corretto trattamento;

c) stipulare i contratti di cui all’art. 28, paragrafo 3, del regolamento, per disciplinare il rapporto con il responsabile del trattamento di cui all’art. 7;

d) notificare al Garante della protezione dei dati personali le violazioni dei dati personali (data breach) e provvedere alla comunicazione della violazione agli interessati, ai sensi degli articoli 33 e 34 del Regolamento, secondo quanto disposto all’art. 9, e darne informativa al Segretario generale e al RPD;

e) nominare un «referente privacy» della struttura per il supporto all’esercizio delle funzioni di titolare del trattamento e alle attività di gestione degli adempimenti connessi alla protezione dei dati nonché come punto di contatto con il RPD;

f) effettuare l’analisi del rischio e la valutazione dell’impatto di cui all’art. 35 del regolamento;

g) adottare misure appropriate al fine di garantire l’esercizio dei diritti di coloro i cui dati personali sono oggetto di trattamento previsti agli articoli da 15 a 18 e da 20 a 22 del regolamento;

h) verificare la corretta predisposizione delle informative e curarne il costante aggiornamento.

Art. 6

Responsabile della protezione dei dati personali

1. Il Segretario generale nomina il RPD della PCM fra soggetti in possesso dei requisiti previsti dal regolamento e stabilisce la durata dell’incarico.

2. Il RPD assolve ai compiti previsti dall’art. 39 del Regolamento e agli eventuali altri compiti affidati allo stesso dal Segretario generale.

3. Per lo svolgimento dei compiti attribuiti, qualora non sia stata appositamente individuata, con contratto di servizi una società esterna, al RPD è assegnato personale di supporto con specifiche competenze giuridiche, informatiche, di analisi e reingegnerizzazione di processi, di risk assessment e risk management, anche ricorrendo ad esperti incaricati ai sensi dell’art. 9 del decreto legislativo 30 luglio 1999, n. 303.

4. Il personale di cui al comma 3 è collocato in una struttura, dotata di autonomia funzionale e gestionale, istituita con apposito decreto del Presidente del Consiglio dei ministri e posta presso l’Ufficio del Segretario generale.

5. La PCM sostiene il RPD nell’esecuzione dei compiti ad esso affidati assicurando l’autonomia e le risorse necessarie per assolverli come previsto dall’art. 38 del regolamento.

Art. 7

Registro delle attività di trattamento

1. Il Segretario generale indica alle strutture della PCM, con proprio atto, le modalità operative per l’organizzazione del registro delle attività di trattamento ai sensi dell’art. 30 del regolamento.

2. I soggetti di cui all’art. 3, provvedono alla tenuta e all’aggiornamento del registro delle attività di trattamento, con riferimento agli ambiti di competenza delle strutture cui sono preposti.

3. Il Dipartimento per i servizi strumentali assicura la disponibilità di una procedura informatizzata di cui le strutture si avvalgono per la gestione del registro delle attività di trattamento.

Art. 8

Responsabile del trattamento

1. La funzione di responsabile del trattamento discende da contratto o altro atto giuridico, sottoscritto dal titolare del trattamento ossia da chi ne esercita le funzioni, ai sensi dell’art. 3.

2. Il responsabile del trattamento tratta i dati personali in applicazione di quanto espressamente previsto nel contratto o in altro atto giuridico di cui al comma 1, e ai sensi degli articoli 28, 29, 30 e 31 del regolamento, in ordine a:

a) materia disciplinata e durata del trattamento;

b) natura e le finalità del trattamento;

c) tipo di dati personali;

d) categorie di interessati;

e) obblighi e i diritti del titolare del trattamento.

Art. 9

Violazione dei dati personali

1. Chiunque venga a conoscenza di una violazione dei dati personali è tenuto a segnalarlo, per il tramite del proprio superiore gerarchico, al soggetto che esercita le funzioni di titolare del trattamento che deve provvedere tempestivamente ai sensi del presente articolo.

2. Il responsabile del trattamento informa il soggetto che esercita le funzioni di titolare del trattamento tempestivamente, dopo essere venuto a conoscenza della violazione.

3. Il soggetto che esercita le funzioni di titolare del trattamento, ove possibile, notifica la violazione dei dati personali al Garante della protezione dei dati personali entro 72 ore dal momento in cui ne sia venuto a conoscenza, a meno che sia improbabile che la stessa violazione presenti un rischio per la tutela dei diritti e delle libertà delle persone fisiche. La notifica viene effettuata, prevedendo almeno gli elementi indicati al paragrafo 3 dell’art. 33 del regolamento.

4. La notifica al Garante della protezione dei dati personali effettuata oltre le 72 ore, deve essere motivata.

5. Le segnalazioni e le notifiche dei casi di violazione dei dati personali sono comunicati dai soggetti di cui all’art. 3, al Segretario generale e al RPD.

6. Ulteriori, specifiche modalità operative per la segnalazione e gestione dei casi di violazione dei dati personali possono essere disciplinate mediante linee guida e supportate da soluzioni applicative messe a disposizione dal Dipartimento per i servizi strumentali.

Art. 10

Autorizzati al trattamento

1. I dirigenti della Presidenza del Consiglio dei ministri che trattano dati personali in relazione alle competenze attribuite o comunque esercitate presso gli uffici cui sono preposti, secondo l’ordinamento della PCM, sono autorizzati al trattamento nel rispetto delle misure e delle istruzioni adottate da chi esercita le funzioni di titolare del trattamento dei dati personali.

2. E’ autorizzato al trattamento dei dati personali tutto il personale in servizio presso la PCM che tratta dati personali in relazione alle competenze della unità organizzativa alla quale è stato assegnato, salvo eventuali diverse determinazioni adottate dai soggetti di cui all’art. 3.

Art. 11

Formazione del personale

1. Il Dipartimento per il personale assicura la programmazione e l’organizzazione delle attività formative del personale per la corretta applicazione delle disposizioni in materia di trattamento dei dati personali.

Art. 12

Oneri

1. Gli oneri aggiuntivi derivanti dall’attuazione del presente decreto gravano sui pertinenti capitoli del bilancio di previsione della PCM, nei limiti delle risorse ivi disponibili.