egolamento sulla tutela della riservatezza dei dati personali Regolamento sulla tutela della riservatezza dei dati personali
(Deliberazioni di g.c. n. 130/2000 e n. 200/2000)
Art. 1
Oggetto
1. Il presente regolamento disciplina il trattamento dei dati personali contenuti nelle banche dati organizzate, gestite od utilizzate dall’
amministrazione comunale in attuazione dell’art. 27 della Legge 31 dicembre 1996, n. 675.
2. Per finalità istituzionali, ai fini del presente regolamento si intendono:
a) le funzioni previste dalla Legge, dallo Statuto, dal regolamento;
b) le funzioni svolte per mezzo di intese, accordi di programma e convenzioni.
Art. 2
Finalità
1. Il Comune, garantendo che il trattamento dei dati personali si svolga nel rispetto del diritto alla riservatezza ed all’identità personale
delle persone fisiche e giuridiche, favorisce la trasmissione di dati o documenti tra le banche dati e gli archivi degli enti territoriali, degli enti
pubblici, dei gestori, degli esercenti degli incaricati di pubblico servizio, operanti nell’ambito dell’Unione Europea.
2. La trasmissione dei dati può avvenire anche attraverso sistemi informatici e telematici, reti civiche, nonché mediante l’utilizzo di reti di
trasmissione dati ad alta velocità.
Art. 3
Definizioni di riferimento
1. Ai fini del presente regolamento, per le definizioni di banca dati, di trattamento di dato personale, di titolare, di responsabile, di interessato,
di comunicazione, di diffusione, di dato anonimo, di blocco e di Garante si fa riferimento a quanto previsto dall’art. 1 comma 2 della Legge 31
dicembre 1996, n. 675.
Art. 4
Individuazione delle banche dati
1. Le banche dati gestite dall’amministrazione comunale sono individuate con provvedimento della Giunta municipale su proposta dei Responsabili
di settore e servizio.
2. Di norma le banche dati di cui al presente regolamento sono gestite in forma elettronica.
3. Responsabili di settore e servizio comunicano al Segretario comunale; anche ai fini della notificazione al Garante di cui all’art. 7 della Legge 31
dicembre 1996, n. 675, le banche dati tenute in forma cartacea o informatizzata.
Art. 5
Titolarità e responsabilità della banca dati
1. Il titolare delle banche dati di cui all’art. 3 del presente regolamento è il Comune di Granarolo dell’Emilia nella persona del Sindaco pro-tempore.
2. La Giunta nomina il responsabile delle singole banche dati con provvedimento motivato, sulla base di quanto previsto dall’art. 8, comma 1, della
Legge 31 dicembre 1996, n. 675, anche con contratto a termine di diritto privato.
3. Nel medesimo provvedimento di cui al precedente comma 1 può essere indicato un sostituto in caso di assenza o impedimento del responsabile della
banca dati.
4. Il Responsabile:
a) autorizza gli incaricati al trattamento dei dati e adotta tutti gli accorgimenti organizzativi e tecnici utili a garantire che gli incaricati abbiano accesso
ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere ai compiti loro assegnati;
b) cura il coordinamento di tutte le operazioni di trattamento di dati affidate ad operatori appartenenti al Settore o alle unità operative cui sovrintende;
c) provvede a dare istruzioni per la corretta elaborazione dei dati personali;
d) procede alle verifiche sulla metodologia di introduzione e di gestione dei dati, anche attraverso controlli a campione da eseguirsi periodicamente;
e) è responsabile dei procedimenti di rettifica dei dati;
f) impartisce le disposizioni operative per la sicurezza della banca dati e dei procedimenti di gestione e/o trattamento dei dati stessi
g) cura la realizzazione delle singole banche dati cui sovraintende con il Centro elaborazione dati del Comune;
h) cura la comunicazione agli interessati del trattamento dei dati e la loro diffusione;
i) dispone il blocco dei dati, qualora sia necessaria una sospensione temporanea delle operazioni di trattamento;
f) è responsabile dei procedimenti di cui all’art. 13 della Legge 31 dicembre 1996, n. 675.
5. Nella ipotesi di blocco dei dati o dell’accesso ai medesimi attraverso reti di trasmissione ad alta velocità o terminali accessibili al
pubblico, il Responsabile ne dà tempestiva comunicazione al Sindaco e al Segretario comunale.
Art. 6
Soggetti incaricati del trattamento dei dati
1. A cura del Responsabile della banca dati, vengono individuati in apposito elenco i soggetti incaricati e responsabili del trattamento, da svolgersi
secondo le modalità di cui agli artt. 9 e 10 della Legge 31 dicembre 1996 n. 675.
2. Per il trattamento dei dati sensibili e per gli altri dati di cui all’art. 24 della Legge 31 dicembre 1996 n. 675, effettuati mediante elaboratori accessibili
in rete, l’accesso è determinato sulla base di autorizzazioni assegnate agli incaricati del trattamento o della manutenzione nel rispetto di
quanto previsto
all’art. 5 del D.P.R 318/99.
Art. 7
Trattamento dei dati
1. I dati in possesso dell’amministrazione sono di norma trattati in forma elettronica o mediante l’ausilio di sistemi automatizzati.
2. Le disposizioni del presente regolamento si applicano, in quanto compatibili, anche al trattamento dei dati in forma non automatizzata.
3. Ad eccezione delle ipotesi di trasferimento di dati tra enti pubblici, è esclusa la messa a disposizione o la consultazione di dati in
blocco o la ricerca per nominativo di tutte le informazioni contenute nella banca dati, senza limiti di procedimento o di settore salvo i casi
previsti da legge, regolamento o norma comunitaria.
4. A cura di ciascun Responsabile di cui all’art. 5 del presente regolamento vengono dettate opportune istruzioni per garantire la riservatezza degli oggetti iscritti al Protocollo generale nella successiva fase di trasformazione in dati.
Art. 8
Trattamento di dati sensibili
1. Il trattamento di dati sensibili avviene nel rispetto dei principi generali sanciti nel D.lgs. 135/99 ed esclusivamente per le rilevanti finalità di interesse
pubblico individuate dalla legge o da provvedimenti del Garante per la protezione dei dati personali. Il tipo di dati necessari e le operazioni pertinenti
sono individuate in norme di legge o in provvedimenti normativi adottati dagli enti competenti. Le riproduzioni di dati su supporti non informatici,
gli atti, i documenti sono trattati e conservati in conformità a quanto previsto all’art. 9 del D.P.R. 318/99.
Art. 9
Informazione
1. A cura del Responsabile della banca dati o di un suo delegato, viene data ampia diffusione degli obblighi informativi di cui all’art. 10 della Legge
31 dicembre 1996, n. 675.
2. I Responsabili dei servizi favoriscono a tal fine l’introduzione, anche in via elettronica, di modulistica che contenga un breve prospetto informativo e dichiarazioni facoltative di consenso alla circolazione, ad eccezione delle ipotesi previste dall’art. 12 della Legge 31 dicembre 1996, n. 675.
Art. 10
Diritti dell’interessato
1. Le richieste per l’esercizio dei diritti di cui all’art. 13 della Legge 31 dicembre 1996, n. 675 sono presentate all’Ufficio Relazioni con il Pubblico
del Comune.
2. Per ciascuna richiesta di cui all’art. 13 comma 1, lettera c), numero 1) della Legge 31 dicembre 1996, n. 675 da cui non risulta confermata l’esistenza
di dati che riguardano l’interessato, è determinato il contributo spese a carico del richiedente nella misura prevista all’art. 17, comma 7 del D.P.R. 501/1998.
3. Nelle ipotesi in cui per la sensibilità dei dati sia necessario il consenso dell’interessato, il medesimo consenso è prestato in forma scritta,
anche mediante l’utilizzo di strumenti informatici e telematici.
Art. 11
Rapporti con il Garante
1. Il responsabile della banca dati è tenuto ad inviare al Garante le comunicazioni e le notificazioni previste dalla Legge 31 dicembre 1996, n. 675.
Art. 12
Sicurezza
1. Per le banche dati residenti su elaboratori viene assegnato agli incaricati del trattamento una parola chiave per l’accesso ai dati.
2. Nel caso di banche dati residenti su elaboratori accessibili da altri elaboratori attraverso reti interne (non disponibili al pubblico), oltre a quanto previsto al comma precedente, viene assegnato a ciascun utente o incaricato del trattamento un codice identificativo personale per l’utilizzazione dell’elaboratore ai sensi dell’art. 4 comma 1 del D.P.R. 318/99.
3. Nel caso di banche dati residenti su elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico, si osservano le disposizioni di cui agli artt. 4,5 e 6 del D.P.R. 318/99. La Giunta Comunale approva il relativo documento sulla sicurezza, redatto a cura del Centro Elaborazione Dati, per le banche dati rientranti nella fattispecie di cui al comma precedente che contengono dati di cui agli artt. 22 e 24 della Legge 31 dicembre 1996, n. 675.
3. E’ cura del Centro Elaborazione Dati garantire la protezione degli elaboratori contro il rischio di intrusione ad opera di programmi di cui all’art. 615-quinquies del codice penale, mediante procedure aggiornate con cadenza semestrale.
4. Gli atti ed i documenti contenenti i dati personali disciplinati dal presente regolamento sono conservati in archivi ad accesso selezionato con controllo, a cura del servizio competente, degli accessi all’archivio e con identificazione e registrazione dei soggetti ammessi dopo l’orario di chiusura degli archivi stessi.
Art. 13
Controlli
1. A cura del Responsabile della banca dati sono periodicamente attivati controlli, anche a campione, al fine di garantire la sicurezza della
banca dati e l’attendibilità dei dati inseriti.
Art. 14
Disposizioni finali e transitorie
1. Il regolamento entra in vigore contestualmente alla sua pubblicazione all’Albo pretorio.
2. Per quanto non previsto nel presente regolamento, si applicano le disposizioni di cui alla Legge 31 dicembre 1996, n. 675 e successive modificazioni ed integrazioni.
3. L’armonizzazione delle disposizioni recate dal presente regolamento con le norme previste dagli artt. 22 e seguenti della Legge 7 agosto
1990 , n. 241 e le conseguenti modalità operative, saranno assunte con apposito deliberativo di modifica del vigente regolamento comunale
per la partecipazione e l’accesso.
4. Fino all’entrata in vigore delle disposizioni di cui al precedente comma 3 del presente articolo, i responsabili delle banche dati, individuati ai sensi del precedente art. 5, assumeranno ogni necessario provvedimento atto a garantire che la comunicazione e diffusione dei dati ai privati avvenga nel rispetto delle disposizioni recate dalla Legge 31 dicembre 1996, n. 675 e successive modificazioni ed integrazioni.
In particolare la comunicazione a privati di dati di cui agli artt. 22 e 24 della Legge 31 dicembre 1996, n. 675 è di norma consentita per la
tutela di posizioni giuridiche soggettive.
Quali amministratori di sistema vengono identificati:
il responsabile del servizio autonomo sistemi informativi e telematici, per l’espletamento del compito di sovrintendere alle risorse dei sistemi operativi comunali e dei relativi sistemi di base dati;
il responsabile del I settore funzionale, per l’espletamento del compito di sovrintendere ai sistemi di base dati comunali e di consentirne l’utilizzazione.
In fase di prima applicazione della presente normativa, l’individuazione degli incaricati del trattamento dei dati verrà effettuata con provvedimento del Segretario Generale.
TRATTAMENTO DATI - ADOZIONE MISURE MINIME DI SICUREZZA AI FINI DEL RISPETTO DELLA NORMATIVA
IN MATERIA DI PRIVACY (D.P.R. 318/99)
DESCRIZIONE DEL SISTEMA
Il sistema informativo del Comune di Granarolo si basa su una rete privata locale che utilizza come sistema operativo di rete Windows NT 4.0. I server attualmente operativi sono due, uno dedicato alla gestione degli applicativi e dei dati e uno dedicato alla gestione della posta elettronica (sia interna che esterna) e alla navigazione Internet, che avviene utilizzando il proxy server Microsoft. Il server di posta viene altresì utilizzato come server per l’applicativo Sebina (gestione del catalogo librario della biblioteca) e come server per le leggi d’Italia.
Il collegamento fisico sulla rete è assicurato attraverso un cablaggio strutturato fonia-dati a 100Mb, che garantisce via fibra ottica anche il collegamento con la biblioteca e con il locale attiguo al Municipio in cui si trova la sala consiliare.
La gestione "fisica" dei collegamenti avviene tramite l’armadio situato al secondo piano nello stanzino attiguo all’ufficio personale.
Attualmente sono collegati in rete 52 personal computer distribuiti tra la sede e la biblioteca, a cui vanno aggiunti 2 PC
non in rete utilizzati uno per la gestione delle caselle vocali e del centralino e uno utilizzato all’ufficio anagrafe. Tutti i personal computer sono dotati di sistema operativo Win95/98.
Presso l’Urp è altresì posizionato il router che tramite una linea ISDN appositamente dedicata allo scopo, consente l’accesso alla rete Tamtel della Provincia di Bologna
Tipologia di archivi Strumenti tecnici
Misure minime adottate
Elaboratori singoli non collegati in rete
Attualmente non esistono presso questo Ente PC che pur essendo terminali della rete, abbiano installato procedure sul disco locale, a parte il PC utilizzato all’ufficio tecnico per la contabilità delle opere pubbliche, e per il quale occorre prevedere apposita metedologia per il salvataggio periodico dei dati.
Elaboratori collegati in reti aziendali (reti non pubbliche)
Tutto il nostro sistema si basa su questo tipo di collegamento. Tutti i PC sono in rete con i due server posti presso il CED, e tutte le elaborazioni e i dati sono centralizzati.
Per quanto riguarda l’accesso al sistema, tutti gli utenti sono dotati di proprio codice identificativo univoco e di propria password.
I diritti di accesso ai dati a livello di sistema sono configurati in maniera da garantire i diversi livelli di utilizzo dei dati a seconda dei diversi livelli di trattamento che gli utenti devono eseguire sui dati. (Sola lettura, lettura/scrittura, pieno controllo)
Anche per l’accesso alle procedure, almeno le più importanti, viene richiesto un ulteriore identificazione dell’utilizzatore, all’ingresso del programma, che serve per stabilire il livello dei diritti nell’utilizzo dei dati da parte dell’operatore.
Allo stato dell’arte occorre:
che le password (sia del log al sistema che per l’accesso agli applicativi) vengano periodicamente cambiate, forzando l’utente a farlo con cadenza almeno mensile, e stabilendo una lunghezza minima di 8 caratteri per la password stessa.
che vengano stabilite e rispettate regole per l’attribuzione delle password stesse evitando l’uso di password facilmente riconoscibili (es . utente Luca password Luca)
I due server sono situati presso il locale del ced, in un apposito locale condizionato e chiuso a chiave. Questo locale però non garantisce assolutamente da atti vandalici, per cui si suggerisce di blindare il locale, visto che danni ai server comporterebbero pesanti conseguenze sull’attività degli uffici.
Il salvataggio dei dati avviene in maniera automatica ogni giorno, con turnazione settimanale della cassetta Dat, e con turnazione mensile della cassetta utilizzata al sabato. Le cassette vengono altresì conservate in luogo diverso da quello in cui si trovano i server di rete.
Su tutti i PC e sul server dati è installato un programma Antivirus i cui pattern vengono peridicamente aggiornati.
Attualmente abbiamo due PC connessi alla rete che non vengono mai spenti, rimanendo connessi alla rete anche nel momento in cui gli uffici sono deserti. Si tratta del PC in dotazione al responsabile dell’ufficio personale, che viene utilizzato per lo scarico delle timbrature sui terminali remoti, e del PC che ha le funzioni di fax server. Attualmente sono entrambi protetti da password sullo screen saver, anche se si suggerisce di spostarli entrambi nella stanza del Ced, in maniera che siano anche fisicamente non raggiungibili.
L’utilizzo di una password sullo screen saver è altresì consigliabile per ogni PC della rete, per evitare problemi in caso d abbandono temporaneo della postazione di lavoro da parte di qualche operatore.
Elaboratori collegati accessibili da reti pubbliche
Nessun elaboratore ricade in questa casistica
Elenco banche dati personali comunali e indicazione del responsabile
Descrizione del contenuto della banca dati Responsabile della banca dati Servizio di riferimento Tipi di dati
(sensibili o non sensibili)
I^ SETTORE: AFFARI GENERALI E ISTITUZIONALI
Resp. I^ S.F.
designazione e nomina dei rappresentanti nelle commissioni consiliari
Servizi Segreteria Generale e Personale non sensibili
trattamento di dati contenuti in verbali relativi all’attività delle commissioni
" " non sensibili
applicazione della legge in materia di obiezione di coscienza
" " non sensibili
attività dirette all’instaurazione ed alla gestione di rapporti di lavoro di
qualunque tipo, dipendente o autonomo, anche non retribuito o onorario o
a tempo parziale o temporaneo
" " non sensibili
accertamento del possesso di determinati requisiti previsti per l’accesso a
specifici impieghi
" " non sensibili
tenuta degli atti e dei registri dello stato civile-delle anagrafi della
popolazione residente in Italia-dei cittadini italiani residenti all’estero-delle
liste elettorali
Servizi demografici e statistici sensibili
Descrizione del contenuto della banca dati Responsabile della banca dati Servizio di riferimento Tipi di dati
(sensibili o non sensibili)
Resp. I^ S.F.
applicazione della disciplina in materia di cittadinanza-di immigrazione-di
asilo-di condizione dello straniero e di profugo e sullo stato di rifugiato
Servi demografici e statistici sensibili
rilascio di visti, permessi, attestazioni, autorizzazioni e documenti nonché
tenuta dei relativi registri
non sensibili
applicazione della disciplina in materia di elettorato attivo e passivo e di
esercizio di altri diritti politici: lo svolgimento delle consultazioni elettorali e
verifica della relativa regolarità; richieste di referendum, relative
consultazioni e verifica della relativa regolarità
sensibili
accertamento delle cause di ineleggibilità, incompatibilità o di decadenza o di rimozione o di sospensione da cariche pubbliche ovvero di sospensione o di scioglimento degli organi
non sensibili
applicazione della disciplina in materia di documentazione dell’attività
istituzionale di organi pubblici
non sensibili
trattamenti che fanno parte del sistema statistico nazionale
non sensibili
II^ SETTORE: SERVIZI ALLA PERSONA
Resp. II^ S.F.
utenti dei servizi scolastici (utilizzata per l’emissione delle bollette)
Servizio Istruzione e sport
non sensibili
Descrizione del contenuto della banca dati Responsabile della banca dati Servizio di riferimento Tipi di dati
(sensibili o non sensibili)
Resp. II^ S.F.
personale assunto per sostituzioni di insegnanti ed educatori (scuole materne e asilo nido)
Servizio Istruzione e sport " " non sensibili
graduatorie di accesso ai servizi (nido, materne)
" "
sensibili
graduatoria insegnanti ed educatori per sostituzioni
" "
non sensibili
elenco personale fornito dall’Ufficio di Collocamento per sostituzioni di bidelli
" " non sensibili
utenti
Servizio Biblioteca
non sensibili
schede prestito
" "
non sensibili
concessioni cimiteriali
Servizio Cimiteriale
non sensibili
vaccinazioni
Servizio Sanità
sensibili
rette assistenza domiciliare
Servizio Assistenza
sensibili
graduatoria assegnazione alloggi IACP
" "
sensibili
assegnatari orti
" "
non sensibili
assegni nucleo familiare e maternità
" "
sensibili
contributi in conto affitto
" " non sensibili
Descrizione del contenuto della banca dati
Responsabile della banca dati Servizio di riferimento Tipi di dati
(sensibili o non sensibili)
Resp. II^ S.F.
cartelle per contributi economici, richieste di assistenza e di benefici vari
Servizio Assistenza
sensibili
cartelle utenti
Servizio Casa Albergo
non sensibili
cartelle sanitarie utenti
" "
sensibili
elenco personale dipendente
" "
non sensibili
III^ SETTORE: SERVIZI FINANZIARI E TRIBUTARI
Resp.III^ S.F.
fornitori all’Ente di beni e servizi (per movimenti di carattere finanziario)
Servizi finanziari
non sensibili
versanti (per movimenti di carattere finanziario relativi a utenti di servizi comunali)
" "
non sensibili
contribuenti del servizio smaltimento rifiuti (per quanto riguarda l’iscrizione a ruolo della relativa tassa)
Servizio Entrate
non sensibili
contribuenti dell’imposta comunale sugli immobili
" "
non sensibili
IV^ SETTORE: PIANIFICAZIONE E GESTIONE DEL TERRITORIO
Resp. IV^ S.F.
archivio concessioni edilizie
Servizio Urbanistica
non sensibili
Descrizione del contenuto della banca dati
Responsabile della banca dati Servizio di riferimento
Resp.IV^ S.F.
archivio ditte
Servizio Attività produttive
non sensibili
SERVIZI AUTONOMI: SERVIZIO SEGRETERIA ORGANI ISTITUZIONALI
UFFICIO PER LE RELAZIONI CON IL PUBBLICO
Resp. Servizio comunicazioni
rubrica telefonica di utilizzo del Sindaco
Servizio Segreteria organi istituzionali
non sensibili
SERVIZI AUTONOMI: SERVIZIO POLIZIA MUNICIPALE
Resp. Servizio Polizia Municipale
gestione contravvenzioni
Servizio Polizia Municipale
non sensibili
denunce cessione fabbricati
" " "
non sensibili
denunce infortuni
" " "
non sensibili
anagrafe canina
" " "
non sensibili
extracomunitari (per assunzione-ospitalità)
" " "
non sensibili