I ruoli privacy nell'amministrazione regionale

Con riferimento ai dati trattati dall’Amministrazione regionale, il titolare del trattamento è la Regione Autonoma della Sardegna.

Il Titolare del trattamento assicura il rispetto dei principi e delle disposizioni del Regolamento anche mediante delega delle relative funzioni ai direttori generali, ai coordinatori delle unità di progetto e ai responsabili apicali degli uffici, secondo le rispettive competenze e responsabilità. I direttori generali possono esercitare le predette funzioni anche delegandole, a propria volta, ai direttori di servizio secondo le relative competenze e responsabilità.

Il responsabile del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. E’ disciplinato dall’articolo 28 del Regolamento. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico in forma scritta, che vincola il responsabile del trattamento al titolare del trattamento e regolamenta la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare e del responsabile del trattamento. Con l’atto di designazione, il titolare impartisce le necessarie istruzioni al responsabile del trattamento.

I referenti privacy rappresentano il punto di contatto tra il RPD e le strutture e sono nominati formalmente. Supportano il delegato del Titolare e le persone autorizzate al trattamento nell’adempimento dei rispettivi compiti in materia di protezione dei dati personali e, in particolare, garantiscono:

• il supporto agli utenti abilitati al caricamento delle schede nella compilazione e aggiornamento del registro delle attività di trattamento;
• la gestione delle utenze applicative per la propria struttura di riferimento all’interno del registro delle attività di trattamento;
• il supporto all’interno della struttura di appartenenza nella gestione dei casi di possibile violazione dei dati personali e il necessario raccordo tra la struttura stessa, il referente per la violazione dei dati personali e il RPD;
• il supporto nei processi di analisi e valutazione dei rischi;
• • il raccordo tra il RPD e la struttura di appartenenza nella gestione delle istanze degli interessati per l’esercizio dei diritti ai sensi degli articoli da 15 a 22 del Regolamento;
• il supporto nella formulazione delle richieste di consulenza al RPD;
• la collaborazione con il RPD e con gli altri referenti privacy al fine di condividere problemi e soluzioni;
• con riferimento alle attività di sorveglianza svolte dal RPD, il raccordo tra la struttura di appartenenza e il RPD e il supporto alle attività svolte presso la sede della struttura;
• il raccordo tra il RPD e la struttura di appartenenza in caso di ispezioni da parte del Garante.

Sono incaricati/autorizzati del trattamento i dipendenti e collaboratori che agiscono sotto l’autorità del titolare del trattamento, i quali, hanno accesso ai dati personali e al loro trattamento previa formale designazione e dopo essere stati debitamente istruiti e formati (articolo 4, n. 10 del Regolamento e articolo 2-quaterdecies D.Lgs. 30 giugno 2003, n.196 recante il “Codice in materia di protezione dei dati personali”).

Il responsabile della protezione dei dati (RPD) della Regione Sardegna, con le competenze e le prerogative previste dagli articoli 37, 38 e 39 del Regolamento, è individuato tra i dipendenti dell'Amministrazione regionale o degli enti, agenzie, aziende e istituti regionali che costituiscono il Sistema regione, come definito dal comma 2 bis dell’articolo 1 della legge regionale 13 novembre 1998, n.31. Al responsabile della protezione dei dati sono delegate le funzioni di impulso, proposta e raccordo tra le strutture dell’Amministrazione regionale finalizzate all’attuazione dei compiti posti in capo al Titolare del trattamento dal Regolamento e la detenzione del registro delle attività di trattamento. All’ufficio del RPD compete, in particolare, la definizione delle politiche di accesso all’applicativo informatico del registro e lo sviluppo tecnologico, la gestione operativa e la manutenzione dell’applicativo stesso.

E’ il dirigente, designato dal titolare (o dal delegato del titolare) che svolge funzioni di referente per il supporto giuridico/procedurale per il data breach e per il cui tramite il delegato del titolare trasmette le notifiche in esito alla procedura di data breach (articolo 7 delle Direttive regionali in materia di attuazione del Regolamento (UE) 2016/679 del Parlamento e del Consiglio del 27 aprile 2016 allegate alla Deliberazione della Giunta regionale n. 21/8 del 24 aprile 2018 e modificate con la Deliberazione della Giunta regionale n. 51/3 del 16 ottobre 2018; Procedura Data breach allegata alla Deliberazione della Giunta regionale n. 51/3 del 2018; Decreto del Presidente n. 50 del 24 maggio 2018). Il Referente data breach trasmette al RPD la documentazione necessaria per procedere alla registrazione delle violazioni dei dati personali nell’apposita sezione del Registro delle attività di trattamento.

Il Decreto del Presidente del Consiglio dei Ministri 3 dicembre 2013, alla lettera c dell’articolo 3 prescrive di nominare, nelle amministrazioni con più aree organizzative omogenee, il coordinatore della gestione documentale che sovraintenda ai responsabili di ogni singola area, per assicurare una gestione documentale omogenea e coerente all’interno dello stesso ente. Nell’allegato al Decreto del Presidente della Regione n. 6, prot. n. 767 del 20 gennaio 2021 le competenze in materia di Coordinamento della gestione documentale e Responsabile della conservazione sono attribuite al Servizio supporti direzionali della stessa Direzione.

E’ la figura preposta alla gestione e supervisione del processo di conservazione dei documenti (digitali o cartacei). Nell’ambito dell’Amministrazione regionale, il ruolo di responsabile della conservazione viene svolto unitamente a quello di coordinatore della gestione documentale.

In ciascuna delle aree organizzative omogenee (AOO), il Responsabile della gestione documentale, con compiti connessi alla responsabilità e al coordinamento su tutte le fasi di gestione dei documenti, è individuato nel Dirigente nel cui Servizio è ricompresa la competenza sugli archivi correnti e di deposito.

Il Garante della privacy, nel provvedimento “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008” (G.U. n. 300 del 24 dicembre 2008), poi modificato dal provvedimento del 25 giugno 2009, ha precisato che con la definizione di "amministratore di sistema" si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti, ma ha esteso il concetto ricomprendendovi anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati personali, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.

L´attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell’esperienza, della capacità e dell’affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Nell’ambito del modello organizzativo adottato, i direttori generali, in qualità di delegati del Titolare del trattamento, nel designare un amministratore di sistema devono tener presente che la designazione è individuale e deve recare l'elencazione analitica degli ambiti di operatività consentiti.

L’articolo 17 del Decreto Legislativo n. 7 marzo 2005, n. 82 (Codice dell’Amministrazione Digitale-CAD) stabilisce che le pubbliche amministrazioni sono tenute a garantire l’attuazione delle linee strategiche per la riorganizzazione e la digitalizzazione dell’amministrazione definite dal Governo in coerenza con le Linee guida dell’AGID; a tal fine, ciascuna pubblica amministrazione è tenuta ad affidare ad un unico ufficio dirigenziale generale responsabile la transizione alla modalità operativa digitale e i conseguenti processi di riorganizzazione finalizzati alla realizzazione di un’amministrazione digitale e aperta, in grado di erogare servizi facilmente utilizzabili e di qualità, attraverso una maggiore efficienza ed economicità. La novella al CAD operata con il Decreto Legislativo n. 179/2016 ha istituito la figura del Responsabile per la transizione digitale (RTD).
Per quanto concerne la Regione Sardegna, con il Decreto dell’Assessore degli Affari Generali n. 1102/1 del 26 aprile 2017 si è proceduto alla nomina del Responsabile della Transizione al Digitale incardinando tale funzione nella Direzione generale degli Affari Generali e Società dell’Informazione.

Al Direttore del Servizio Sicurezza IT della Direzione generale dell’Innovazione e Sicurezza IT compete: il coordinamento della realizzazione degli interventi e attività che mirano ad assicurare la protezione dei sistemi informatici dell’Amministrazione regionale a livello di disponibilità, confidenzialità e integrità dei dati; la progettazione, lo sviluppo e la gestione dei sistemi di sicurezza informatica a tutela dell’infrastruttura dell’Amministrazione regionale; l’attuazione delle azioni del CAD e dell’Agenda digitale dell’Amministrazione regionale inerenti alla sicurezza informatica del cittadino e del territorio; la gestione e il coordinamento del cert (computer emergency response team) dell’Amministrazione regionale e del certPA regionale ai sensi della Direttiva 2016/1148 (c.d. Direttiva NIS) e del Decreto Legislativo n. 65/2018. Il Direttore del Servizio IT fa parte del gruppo competente a gestire le violazione di dati personali quando attengono a problemi collegati alla sicurezza informatica

L’Autorità di controllo di cui all’articolo 51 del Regolamento è individuata nel Garante per la protezione dei dati personali (articolo 2-bis D.Lgs. n. 196/2003 e ss.mm.ii.). La composizione e i compiti del Garante sono disciplinati, rispettivamente, dagli articoli 153 e 154 del D.Lgs. n. 196/2003 e ss.mm.ii.

Tra i compiti principali del Garante si annoverano i seguenti:

• controllare se i trattamenti di dati personali sono effettuati nel rispetto della disciplina applicabile e prescrivere, ove necessario, ai titolari o ai responsabili dei trattamenti le misure da adottare per svolgere correttamente il trattamento nel rispetto dei diritti e delle libertà fondamentali degli individui dando idonea attuazione al Regolamento e al D.Lgs. n. 196/2003 e ss.mm.ii.;

• trattare i reclami presentati ai sensi del Regolamento e delle disposizioni del D.Lgs. n. 196/2003 e ss.mm.ii.;

• promuovere l’adozione di regole deontologiche;

• nel caso di trattamenti che violano le disposizioni del Regolamento, rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento e ingiungere di conformare i trattamenti alle disposizioni del Regolamento, imporre una limitazione provvisoria o definitiva del trattamento incluso il divieto di trattamento, ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento;

• adottare i provvedimenti previsti dalla normativa in materia di protezione dei dati personali;

• segnalare, anche di propria iniziativa, al Parlamento e altri organismi e istituzioni l’esigenza di adottare atti normativi e amministrativi relativi alle questioni riguardanti la protezione dei dati personali;

• formulare pareri su proposte di atti normativi e amministrativi;

• predisporre una relazione annuale sull’attività svolta e sullo stato di attuazione della normativa sulla privacy da trasmettere al Parlamento e al Governo;

• svolgere l’attività di controllo o assistenza in materia di trattamento dei dati personali prevista da leggi di ratifica di accordi o convenzioni internazionali o da atti comunitari o dell’Unione Europea;

• collaborare con le altre autorità di controllo e prestare assistenza reciproca al fine di garantire l’applicazione e l’attuazione coerente del Regolamento