Osservatorio delle libertà ed istituzioni religiose

Olir

Osservatorio delle Libertà ed Istituzioni Religiose

Documenti • 24 Aprile 2007

Circolare 06 marzo 2007, n.50

Istituto Nazionale della Previdenza Sociale. Circolare 6 marzo 2007, n. 50: “Misure finalizzate a dare attuazione alle disposizioni del Codice in materia di protezione dei dati personali”.

Direzione Centrale
Organizzazione Direzione Centrale
Sviluppo e Gestione risorse umane
Direzione Centrale
Sistemi Informativi e Telecomunicazioni

Ai Dirigenti centrali e periferici
Ai Direttori delle Agenzie
Ai Coordinatori generali, centrali e periferici dei Rami professionali
Al Coordinatore generale Medico legale e Dirigenti Medici

e, per conoscenza,

Al Presidente
Ai Consiglieri di Amministrazione
Al Presidente e ai Membri del Consiglio di Indirizzo e Vigilanza
Al Presidente e ai Membri del Collegio dei Sindaci
Al Magistrato della Corte dei Conti delegato all’esercizio del controllo
Ai Presidenti dei Comitati amministratori di fondi, gestioni e casse
Al Presidente della Commissione centrale per l’accertamento e la riscossione dei contributi agricoli unificati
Ai Presidenti dei Comitati regionali
Ai Presidenti dei Comitati provinciali

Premessa

Il decreto legislativo 30 giugno 2003, n. 196 – “Codice in materia di protezione dei dati personali”, che ha sostituito la precedente normativa di cui alla legge n. 675/96 e successive integrazioni e modificazioni, ha disciplinato in maniera organica, a far tempo dal 1° gennaio 2004, l’intera materia relativa alla tutela dei dati personali, raccogliendo in forma di testo unico tutte le disposizioni al riguardo. Il testo rappresenta il primo modello di codificazione organica della privacy in Europa e tiene conto sia del quadro normativo comunitario (direttive n.95/46/CE e n.2002 /58/CE) che di quello internazionale.

L’innovazione di maggior portata del suddetto decreto – che ha dettagliatamente regolamentato la materia con riferimento a nuovi settori precedentemente non contemplati, o contemplati solo in parte (ambito giudiziario, sanitario, scolastico; forze di polizia; difesa e sicurezza dello Stato; controllo a distanza e telelavoro, sistemi di rilevazione biometrica, di videosorveglianza e localizzatori di persone, sistema bancario e assicurativo, comunicazione elettronica) – consiste nell’aver sancito, con l’articolo 1, il diritto per chiunque alla protezione dei dati personali. Detto diritto, quale prerogativa fondamentale della persona, è stato introdotto nell’ordinamento in attuazione dell’articolo 8 della Carta dei diritti fondamentali dell’Unione Europea del 7 dicembre 2000 e deve considerarsi autonomo e distinto rispetto al diritto alla riservatezza, consentendo al suo titolare di conoscere e controllare la circolazione delle informazioni che lo riguardano.

Altro elemento innovativo di carattere generale, che, posto a fondamento del sistema di garanzie approntato dal Codice, deve orientare l’azione amministrativa, è costituito dal principio di “necessità del trattamento dei dati personali”, che va ad integrare quelli di “pertinenza e di non eccedenza” dei dati trattati (già individuati dalla legge n. 675 del 1996) con particolare riferimento alla configurazione dei sistemi informativi e programmi informatici. In base a tale principio i sistemi informativi e i programmi informatici vanno predisposti così da ridurre al minimo l’utilizzo di dati personali ed identificativi, escludendone il trattamento ogni qual volta le finalità perseguite possono essere raggiunte mediante l’uso di dati anonimi, o di modalità che permettano di identificare l’interessato solo in caso di necessità (art. 3).

Il principio di necessità costituisce un presupposto di liceità del trattamento dei dati personali il cui mancato rispetto comporta, per le amministrazioni, l’impossibilità di utilizzare i dati stessi (articolo 11, comma 2 del Codice).

Adempimenti

Con l’introduzione del diritto alla protezione dei dati personali sono state previste garanzie ancor più ampie rispetto a quelle già contemplate dalla legge n.675/1996, abrogata dal Codice.

Coerentemente con il riconoscimento di tale diritto, il decreto in oggetto ha posto infatti a carico dei soggetti pubblici, che effettuano trattamento dei dati, sia con l’ausilio di strumenti elettronici che mediante supporti cartacei, l’onere di adottare misure atte a rendere sempre più garantite e riservate le informazioni di natura personale e sensibile in possesso degli stessi.

In virtù della nuova normativa, pertanto, l’Istituto, quale soggetto pubblico che tratta dati personali, sensibili e giudiziari ha provveduto a:
· Introdurre ulteriori misure di sicurezza: informatiche, organizzative, logistiche e procedurali atte a configurare più elevati livelli di protezione così come previsti agli articoli 31-35 del Codice;
· Aggiornare il “documento programmatico sulla sicurezza” di cui all’art.34 del Codice. Di detta operazione, da effettuarsi entro il 31 marzo di ogni anno, si riferirà nella relazione accompagnatoria al bilancio dell’Istituto.

Il documento programmatico sulla sicurezza, approvato dal Consiglio di Amministrazione con deliberazione n. 99 del 29 marzo 2006 contiene in osservanza delle vigenti disposizioni legislative:

1. L’elenco dei trattamenti di dati personali;
2. I compiti e le responsabilità di chi effettua il trattamento dei dati, nell’ambito delle strutture preposte a tale trattamento;
3. L’analisi dei rischi;
4. I criteri e le procedure per assicurare l’integrità e la disponibilità dei dati;
5. I criteri tecnici ed organizzativi per la protezione delle aree e dei locali interessati dalle misure di sicurezza;
6. Le procedure per controllare l’accesso delle persone autorizzate nei locali destinati al trattamento dei dati e le relative precauzioni;
7. I criteri e la descrizione delle procedure per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
8. L’elaborazione di un piano di formazione per rendere gli incaricati del trattamento edotti dei rischi individuati e dei modi per prevenire i danni;
9. I criteri da adottare per garantire l’adozione delle misure di sicurezza in caso di trattamenti affidati all’esterno;
10. I criteri da adottare per la cifratura o per la separazione dei dati sensibili o giudiziari dagli altri dati personali dell’interessato in caso di trattamento elettronico di tali dati;
11. L’individuazione di idonee modalità di trattamento e conservazione dei dati sensibili o giudiziari in caso di trattamento cartaceo di tali dati;
12. La realizzazione di quanto previsto dai punti dal 20 al 24 del Disciplinare Tecnico del Codice in materia di ulteriori misure in caso di trattamento di dati sensibili o giudiziari;
13. I criteri e le procedure per la sicurezza delle trasmissioni dei dati e per le restrizioni di accesso per via telematica.

· Predisporre un testo aggiornato e integrato del regolamento per la disciplina dei dati sensibili.

Soggetti preposti al trattamento dei dati
Analogamente a quanto previsto dalla preesistente normativa, il Codice individua nel “titolare” nel “responsabile” e nell’incaricato” i soggetti cui fa capo il trattamento dei dati; ad essi si fa specifico riferimento rispettivamente negli articoli 28, 29 e 30.

· Titolare del trattamento è l’INPS nel suo complesso.
L’articolo 28 chiarisce infatti che, quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da qualsiasi altro ente, associazione od organismo, il titolare coincide con l’entità giuridica nel suo complesso ovvero con l’unità o l’organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza.
· Responsabile del trattamento è il soggetto che, nominato per iscritto dal titolare, sovraintende all’intero processo del trattamento dei dati, dalla iniziale acquisizione fino alla eventuale cessazione o distruzione, sulla base delle istruzioni impartitegli.
· Incaricato del trattamento è qualsiasi soggetto che esegue materialmente sotto la diretta autorità del Titolare o del Responsabile il trattamento dei dati sia con l’ausilio di strumenti informatici che mediante supporti cartacei.

Modello organizzativo privacy

L’entrata in vigore del Codice ha comportato per le pubbliche amministrazioni la necessità di riconsiderare le proprie attività e la propria organizzazione al fine di consentire una piena ed effettiva garanzia dei diritti e delle libertà fondamentali dell’interessato in esso affermati. Le tematiche relative alla privacy investono infatti, le amministrazioni nella quasi totalità delle proprie attività, assumendo significativo rilievo nello svolgimento di molti dei compiti istituzionali loro affidati dall’ordinamento.

Pertanto, in armonia con quanto previsto dal Codice, il Consiglio di Amministrazione dell’Istituto, con deliberazione n. 251 del 21 dicembre 2004, ha adottato un nuovo modello organizzativo sulla privacy, che prevede un organismo denominato “coordinamento privacy” con compiti di indirizzo, pianificazione e promozione delle attività in materia di protezione dei dati personali, e la nomina dei responsabili interni del trattamento.

Responsabili deltrattamento

Ai sensi dell’articolo 29 del Codice i responsabili sono designati dal titolare tra soggetti che per esperienza, capacità ed affidabilità forniscono idonea garanzia del pieno rispetto delle disposizioni in materia di trattamento compreso il profilo relativo alla sicurezza.

Per esigenze organizzative l’INPS, con deliberazione del Consiglio di Amministrazione n. 251 del 21 dicembre 2004 ha nominato responsabili del trattamento dei dati personali:

· Il Direttore centrale organizzazione
· Il Direttore centrale sviluppo e gestione risorse umane
· Il Direttore centrale sistemi informativi e telecomunicazioni
· Il Direttore centrale approvvigionamenti, logistica e gestione patrimonio
· Il Coordinatore generale medico – legale
· I Direttori regionali
· I Direttori provinciali

In considerazione di quanto stabilito dal Consiglio di Amministrazione con la deliberazione n. 251 del 21 dicembre 2004 e tenuto conto che nell’organizzazione dell’Istituto le stesse funzioni esercitate dai Direttori provinciali sono conferite anche ai Direttori subprovinciali (articolo 20 del Regolamento di organizzazione) e che in tal senso il Consiglio di Amministrazione, con deliberazione n. 174 del 7 giugno 2006, ha individuato le Direzioni provinciali e le Direzioni subprovinciali quali centri di responsabilità di secondo livello, sono parimenti designati responsabili del trattamento anche i Direttori subprovinciali.

I responsabili designati devono attenersi a quanto prescritto dalla legge e alle istruzioni specificate dal titolare nell’Allegato 1 alla presente circolare.

Incaricati del trattamento

Sono i dipendenti che possono materialmente effettuare le operazioni di trattamento dei dati personali.

Ai sensi dell’articolo 30 del Codice gli incaricati debbono essere individualmente designati per iscritto. Tuttavia, il Codice prevede anche modalità semplificate di designazione – valide soprattutto all’interno delle pubbliche amministrazioni in considerazione dell’avvicendamento cui è soggetto in genere il personale – che permettono di procedere alla nomina degli incaricati attraverso la documentata preposizione delle persone fisiche ad unità organizzative per le quali è stato individuato, per iscritto, l’ambito del trattamento consentito agli addetti.

Considerato il sistema organizzativo dell’Istituto basato sulla metodologia di lavoro per processi e tenuto conto della mobilità del personale all’interno delle strutture dell’Istituto stesso, le nomine ad incaricato sono poste in relazione ai compiti ed alle funzioni svolte nell’ambito di ciascun processo.

Ciascun dipendente viene nominato, con la notifica della presente circolare a cura del responsabile, ai sensi e per gli effetti dell’art. 30 del Codice, incaricato del trattamento dei dati che ineriscono il processo o l’unità organizzativa nell’ambito della quale presta la propria attività, tenendo conto dei mezzi richiesti dalla natura delle funzioni svolte.

L’ambito del trattamento consentito a ciascun incaricato, specificato a cura del responsabile, è pertanto costituito dall’insieme delle attività attraverso le quali all’interno di ciascuna unità organizzativa (UdP, processi abilitanti, Agenzie, team,) si realizza il compimento sia delle richieste di servizio che delle richieste di consulenza.

Ciascuno degli incaricati deve puntualmente attenersi alle istruzioni impartite dal responsabile del trattamento nonché alle più generali istruzioni e linee guida, valide per tutti gli incaricati del trattamento, indicate in allegato alla presente circolare.

La presente circolare, completa degli allegati, deve essere pertanto consegnata, secondo le consuete modalità, a cura di ciascun responsabile, a tutti i dipendenti i quali sono tenuti a fornire attestazione di ricezione e presa visione degli adempimenti nella stessa contenuti con specifico riferimento alle istruzioni che, in quanto incaricati del trattamento, direttamente li riguardano.

Si fa ancora presente che ai criteri e alle modalità di trattamento dei dati, secondo le istruzioni di cui all’Allegato 2, debbono attenersi anche quei soggetti che, pur non essendo dipendenti dell’Istituto, svolgono funzionalmente operazioni di trattamento su dati di cui l’Istituto ha la titolarità.

Vanno annoverati tra costoro: i medici specialistici convenzionati, i medici della ASL che effettuano visite di controllo per conto dell’Istituto, i medici competenti convenzionati (art.17 D.Lgs. n. 626/94), i consulenti – limitatamente al periodo di collaborazione -, gli addetti alla manutenzione, gli stagisti.

Per la nomina a Responsabile del trattamento o Incaricato di tutti i sopraindicati soggetti esterni all’Istituto seguiranno apposite istruzioni.

Si raccomanda particolare attenzione nel trattamento dei dati sensibili e giudiziari in considerazione della loro delicatezza e si rinvia al riguardo alle modalità operative del trattamento descritte nella circolare n. 145 del 25 agosto 2003.

Massima attenzione si richiama, altresì, in merito alla circolazione dei dati sensibili e giudiziari all’interno dell’Istituto. In tal senso dovranno essere adottate soluzioni che permettano di svolgere le funzioni istituzionali eliminando ogni occasione di superflua conoscibilità dei dati sensibili e giudiziari, anche da parte degli incaricati del trattamento.

Anche in questo caso si fa riferimento a quanto già previsto nella già citata circolare 145 del 25 agosto 2003 sul principio di separatezza, di cui all’art. 3, comma 5 del decreto legislativo 135/99, che è stato ribadito ed ulteriormente precisato dal Garante per la tutela dei dati.

Si rammenta che l’Istituto – in quanto titolare – in esecuzione degli obblighi derivanti dal Codice, può disporre verifiche periodiche sull’osservanza delle disposizioni di cui alle istruzioni impartite.

Misure di sicurezza

Le misure di sicurezza richieste dal Codice e adottate dall’Istituto sono articolate in due gruppi:

· misure “minime”, la cui mancata adozione comporta sanzioni penali per chiunque, pur essendovi tenuto, ometta di adottarle;

· misure più ampie o “idonee”, decise in autonomia dal titolare in relazione alle specificità della propria attività e che, se non adottate, in caso di danno concorreranno all’individuazione delle responsabilità e del conseguente risarcimento economico. In questo ambito restano da attivare la classificazione dei dati ed il sistema di monitoraggio che , a compimento, andranno a rafforzare le misure già esistenti.

Si invitano le SS.LL. a dare attuazione quanto prima, secondo le modalità indicate, alle disposizioni contenute nella presente circolare.

Roma, 6 marzo 2007

Il Direttore Generale
Crecco