D.G.R. 3 Giugno 2009, n. 1-11491

Ricognizione delle figure soggettive privacy per la Giunta Regionale del Piemonte. D.lgs. 196/2003 e s.m.i.. "Codice in materia di protezione dei dati personali".

A relazione della Presidente Bresso e del Vicepresidente Peveraro:
Il decreto legislativo 30 giugno 2003 n. 196 e s.m.i. recante "Codice in materia di protezione dei dati personali" (di seguito: Codice) prevede nell'articolo 4 e nel titolo IV della parte I (artt. 28-30) alcune figure soggettive alle quali sono imputate doveri, poteri e correlate responsabilità riferite all'applicazione all'interno delle strutture organizzate, pubbliche o private, della normativa a tutela della privacy.
La Regione Piemonte sin dal 1998 (deliberazione 10.3.1998, n. 16-24093) formalizzò le proprie figure soggettive privacy, individuandole tra gli organi di direzione politico-amministrativa e le strutture organizzative regionali quali previste dallo Statuto e dall'allora vigente legge regionale di organizzazione 8 agosto 1997, n. 51.
La direttiva ministeriale 11 febbraio 2005 della Funzione Pubblica recante "Misure finalizzate all'attuazione nelle pubbliche amministrazioni delle disposizioni contenute nel decreto legislativo 30 giugno 2003, n. 196, recante Codice in materia di protezione dei dati personali, con particolare riguardo alla gestione delle risorse umane" ha richiamato l'attenzione sulle prescrizioni del Codice che incidono maggiormente nel settore pubblico, richiedendo l'adozione di efficaci scelte organizzative per tradurre sul piano sostanziale le garanzie previste dal Codice, nonché sulle conseguenze connesse alla loro mancata attuazione. Infatti, le tematiche relative alla privacy investono le Pubbliche Amministrazioni nella quasi totalità delle loro attività, assumendo significativo rilievo nello svolgimento di molti dei compiti istituzionali loro affidati dall'Ordinamento.
Il Codice (art. 176) ha aggiunto all'art. 2 comma 1 del d.lgs. 30 marzo 2001, n. 165 recante "Norme generali sull'ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche", un comma 1 bis, il quale prevede che le Amministrazioni debbano attuare le linee fondamentali di organizzazione degli uffici anche nel rispetto della disciplina in materia di trattamento dei dati personali. Pertanto la tutela della privacy viene elevata al rango di fondamentale vincolo organizzativo generale delle attività delle Pubbliche Amministrazioni.
L'evoluzione della normativa privacy e della normativa regionale in materia di organizzazione dell'Ente rende quindi opportuno provvedere a un adeguamento delle precedenti statuizioni regionali, aggiornandole alla luce delle recenti modificazioni legislative e dell'evoluzione del dibattito dottrinale e giurisprudenziale in materia.
E'opportuno specificare che con questa deliberazione la Giunta regionale si limita ad individuare con effetto ricognitivo quali, tra gli organi di direzione politico-amministrativa previsti dallo Statuto e dall'art. 16 della legge regionale 28 luglio 2008, n. 23 (recante "Disciplina dell'organizzazione degli uffici regionali e disposizioni concernenti la dirigenza ed il personale") e le strutture organizzative regionali previste dal Capo II della citata l. r. 23/2008, posseggono le caratteristiche che il Codice richiede per permettere di individuare nelle medesime le figure soggettive privacy in esso disciplinate.
Le figure soggettive individuate dal Codice (articoli 4,28,29,30) sono il titolare, il responsabile e l'incaricato del trattamento.
E' utile rammentare, prima della disamina delle figure soggettive appena citate, che il Codice fornisce una definizione ampia e tendenzialmente onnicomprensiva, dal punto di vista delle attività concretamente svolte in una qualunque organizzazione complessa, del trattamento, che viene definito (art. 4, comma 1 lett. a)) come "qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca-dati".
Ai sensi del combinato disposto degli articoli 4, comma 1 lett. f) e 28 del Codice privacy, il titolare è la persona fisica o giuridica cui competono, anche unitamente ad altro titolare, le decisioni in ordine a finalità e modalità dei trattamenti di dati personali, ivi compreso il profilo della sicurezza degli strumenti utilizzati per tali trattamenti. Secondo un'interpretazione risalente dell'Autorità Garante per la protezione dei dati personali e sempre confermata (v. comunicato stampa dell'11.12.1997, in "Boll" n. 2), ciò che rileva ai fini dell'individuazione del Titolare è che esso è il soggetto cui competono le scelte di fondo sulla raccolta e l'utilizzazione dei dati, e tale soggetto non può che essere, in un'Amministrazione pubblica, l'Ente nel suo complesso, che opera le citate scelte di fondo per il tramite del proprio rappresentante legale pro-tempore.
Considerato quanto appena illustrato, per la Giunta regionale del Piemonte il titolare dei trattamenti effettuati in occasione dello svolgimento delle attività istituzionali di competenza è il Presidente della Giunta regionale pro tempore, considerato che il Consiglio regionale, con deliberazione dell'Ufficio di Presidenza n. 61 del 27 aprile 2006, del contenuto della quale la Giunta regionale ha preso atto con deliberazione 22 maggio 2006, n. 4-2879, ha ritenuto di individuare, quale titolare autonomo dei trattamenti effettuati in occasione dello svolgimento delle attività istituzionali del Consiglio regionale, il Presidente del Consiglio regionale.
Altra figura soggettiva del Codice privacy è il responsabile dei trattamenti, che è la persona fisica o giuridica preposta dal titolare al trattamento di dati personali (articolo 4 comma 1,lett. g)). Dalla lettura del combinato disposto di tale norma e dell'articolo 29 del Codice emerge che il responsabile è una figura alla quale sono attribuite rilevanti responsabilità in ordine al trattamento dei dati personali di competenza, e quindi deve trattarsi di soggetto idoneo, per esperienza, capacità ed affidabilità professionale, a garantire il pieno rispetto di tutte le disposizioni del Codice privacy, ivi compreso il profilo delle misure di sicurezza.
Si ritiene che la figura di responsabile del trattamento vada individuata, per la rilevanza dei compiti loro attribuiti dalla l.r. 23/2008, in capo a:
- i soggetti incaricati di una posizione dirigenziale preposta alle strutture organizzative denominate direzioni regionali, ai sensi dell'art. 18 comma 1 lett. a) e 24 della l.r. 23/2008, esclusivamente per i trattamenti di dati personali strettamente connessi, in ossequio al principio di pertinenza, non eccedenza ed indispensabilità (artt. 3 e 11 del Codice) all'espletamento delle funzioni amministrative di staff di diretta competenza, come individuate dalle rispettive declaratorie di funzioni delle direzioni come da ultimo esplicitate dalla DGR. 2.9.2008, n. 2-9520, (e alle funzioni riferite a settori privi della figura di dirigente responsabile), nell'ambito delle competenze loro attribuite dagli artt.17 e 18 comma 2 della legge regionale n. 23/2008 e dall'art. 7 comma 1 lett. a) del provvedimento organizzativo approvato con DGR 1 agosto 2008, n. 10-9336;
- i soggetti incaricati di una posizione dirigenziale preposta alle strutture organizzative denominate settori, ovvero alle strutture temporanee e di progetto, ai sensi dell'art.18 comma 1 lett. b) e 24 della l.r. 23/2008, per i trattamenti di dati personali strettamente connessi, in ossequio al principio di pertinenza, non eccedenza ed indispensabilità (artt. 3 e 11 del Codice) all'espletamento delle funzioni amministrative di competenza, come individuate dalle rispettive declaratorie di funzioni dei settori esplicitate dalle DD.GG.RR. 2.9.2008, n. 2-9520, 22.9.2008, n. 33-9653, 24.11.2008, n. 4-10108, nell'ambito delle funzioni e competenze loro attribuite dall'art. 17 della l.r. 23/2008 e dall'art. 7 comma 1 lett. b) del provvedimento organizzativo approvato con DGR 1 agosto 2008, n. 10-9336.
Il Presidente della Giunta regionale pro-tempore, in qualità di titolare dei trattamenti, può nominare quali responsabili anche altri dipendenti regionali per i quali, in casi particolari, per la qualità, rilevanza e delicatezza dei tipi di trattamenti di dati effettuati e a loro affidati per particolari incarichi di servizio formalizzati, si renda necessaria tale nomina, al fine di permettere alla Giunta regionale del Piemonte di ottemperare correttamente alle disposizioni prescritte dal Codice.
L'Autorità Garante, a partire dalle decisioni 29 luglio 1998, in "Boll" n. 5, e 12 luglio 2000, in "Boll."n. 13, ha affermato che, per quanto riguarda le Amministrazioni pubbliche, possono essere nominati responsabili anche soggetti esterni alla struttura dell'Ente, quali consulenti esterni dell'Ente o appaltatori di servizi, laddove costoro siano affidatari da parte delle Amministrazioni di compiti che implicano il trattamento di dati personali dei quali sia titolare l'Amministrazione medesima. In questo caso il Presidente della Giunta regionale in qualità di titolare, cui esclusivamente compete la nomina dei responsabili, anche esterni, autorizzerà esplicitamente i responsabili interni dei trattamenti, nell'ambito del decreto di nomina dei medesimi, alla nomina dei responsabili esterni, in tutti in casi in cui questo si renderà necessario per garantire il rispetto della normativa privacy.
Il combinato disposto degli artt. 4 comma 1 lett. h) e 30 del Codice descrive la disciplina della terza fondamentale figura soggettiva privacy, l'incaricato del trattamento, che è la persona fisica autorizzata dal titolare o dal responsabile a compiere le operazioni di trattamento. Possono essere nominati incaricati solo persone fisiche e non entità personificate, come può invece avvenire per i responsabili. Devono essere nominati incaricati tutti i soggetti che, all'interno della struttura del titolare, hanno anche solo la possibilità di effettuare trattamenti di dati personali. Ne consegue che, in un'Amministrazione Pubblica come la Regione Piemonte, la latitudine della definizione di trattamento fornita dal citato art. 4 comma 1 lett. a) del Codice, induce a ritenere opportuna la nomina di pressocchè tutti i dipendenti dell'Ente. La nomina andrà effettuata per iscritto da parte dei singoli soggetti incaricati di una posizione dirigenziale preposta alle strutture organizzative denominate settori, ovvero alle strutture temporanee e di progetto nei confronti dei dipendenti dei settori o strutture di riferimento e dai soggetti incaricati di una posizione dirigenziale preposta alle strutture organizzative denominate direzioni regionali nei confronti dei dipendenti collocati in staff alle direzioni. Il Presidente della Giunta regionale pro-tempore, in quanto titolare, può nominare quali responsabili o incaricati i soggetti dipendenti dalle strutture di supporto agli organi di direzione politico-amministrativa di cui all'art. 13 della l.r. 23/2008. La forma scritta della nomina risponde da un lato all'esigenza di individuare un mezzo attraverso il quale siano fornite indicazioni precise all'incaricato, e, dall'altro, di dare certezza dell'adempimento da parte del titolare o del responsabile.
L'atto di nomina dei responsabili e degli incaricati del trattamento viene qualificato dalla dottrina maggioritaria come atto unilaterale recettizio di competenza del titolare e (per quanto riguarda gli incaricati) anche del responsabile, che non richiede necessariamente, per la sua validità, una specifica accettazione da parte del responsabile o dell'incaricato designato, ma solo, in quanto atto recettizio, una presa d'atto del medesimo.
In considerazione del contenuto dello schema tipo di manuale di gestione documentale, previsto dall'art. 5 del DPCM 31 ottobre 2000, redatto dallo CNIPA - Centro nazionale per l'informatica nella Pubblica Amministrazione, il presente atto deliberativo si ritiene compreso nel manuale di gestione documentale della Giunta regionale del Piemonte.
Considerato superato dal contenuto della presente deliberazione la citata DGR 10.3.1998, n. 16-24093;
tutto quanto sopra premesso;
la Giunta Regionale;
visti gli artt. 4, 28,29,30 del d.lgs. n. 196/2003 e s.m.i.;
visto l'art. 5 del DPCM 31.10.2000;
unanime,
delibera
1. Di individuare per la Giunta regionale del Piemonte le figure soggettive privacy previste dal decreto legislativo 30 giugno 2003, n. 196 e s.m.i., recante "Codice in materia di protezione dei dati personali", nel modo seguente:
a) Titolare dei trattamenti:
Presidente della Giunta regionale pro-tempore;
b) Responsabili dei trattamenti:
- i soggetti incaricati di una posizione dirigenziale preposta alle strutture organizzative denominate direzioni regionali, ai sensi dell'art. 18 comma 1 lett. a) e 24 della l.r. 23/2008, esclusivamente per i trattamenti di dati personali strettamente connessi, in ossequio al principio di pertinenza, non eccedenza ed indispensabilità (artt. 3 e 11 del Codice) all'espletamento delle funzioni amministrative di staff di diretta competenza, come individuate dalle rispettive declaratorie di funzioni delle direzioni come da ultimo esplicitate dalla DGR. 2.9.2008, n. 2-9520, (e alle funzioni riferite a settori privi della figura di dirigente responsabile), nell'ambito delle competenze loro attribuite dagli artt. 17 e 18 comma 2 della legge regionale n. 23/2008 e dall'art. 7 comma 1 lett. a) del provvedimento organizzativo approvato con DGR 1 agosto 2008, n. 10-9336;
- i soggetti incaricati di una posizione dirigenziale preposta alle strutture organizzative denominate settori, ovvero alle strutture temporanee e di progetto, ai sensi dell'art.18 comma 1 lett. b) e 24 della l.r. 23/2008, per i trattamenti di dati personali strettamente connessi, in ossequio al principio di pertinenza, non eccedenza ed indispensabilità (artt. 3 e 11 del Codice) all'espletamento delle funzioni amministrative di competenza, come individuate dalle rispettive declaratorie di funzioni dei settori esplicitate dalle DD.GG.RR. 2.9.2008, n. 2-9520, 22.9.2008, n. 33-9653, 24.11.2008, n. 4-10108, nell'ambito delle funzioni e competenze loro attribuite dall'art. 17 della l.r. 23/2008 e dall'art. 7 comma 1 lett. b) del provvedimento organizzativo approvato con DGR 1 agosto 2008, n. 10-9336;
c) Incaricati dei trattamenti:
i dipendenti regionali eventualmente nominati tali, con atto scritto di nomina del titolare o del responsabile di riferimento, per i trattamenti di dati personali strettamente connessi, in ossequio al principio di pertinenza, non eccedenza ed indispensabilità (artt. 3 e 11 del Codice) allo svolgimento di attività di servizio.
2. Di dare mandato alla Presidente della Giunta regionale, in qualità di titolare di tutti i trattamenti effettuati nell'ambito delle attività istituzionali della Giunta della Regione Piemonte, di nominare con proprio decreto responsabili dei trattamenti i soggetti indicati al punto 1. b), ed eventualmente di nominare responsabili o incaricati altri soggetti, interni o esterni all'Ente, in occasione e a causa del trattamento di dati personali da costoro effettuati in esecuzione di contratti di lavoro o di servizio intercorrenti con la Giunta regionale del Piemonte, come in premessa analiticamente definito.
3. Di dare mandato ai responsabili dei trattamenti, regolarmente nominati dal titolare, di individuare con atto scritto e protocollato, ove necessario, gli incaricati, interni o esterni, dei trattamenti di rispettivo riferimento.
4. Di dare mandato alle direzioni regionali competenti di portare a conoscenza del contenuto della presente deliberazione i dipendenti della Giunta regionale del Piemonte.
La presente deliberazione sarà integralmente pubblicata sul Bollettino Ufficiale della Regione Piemonte, edizioni analogica e Internet, ai sensi dell'art. 61 dello Statuto e dell'art. 14 del D.P.G.R. n. 8/R/2002.
(omissis)