Delibera n. 037 del 27 marzo 2000.

PREMESSO:

- che l'art. 15, comma 1, della legge 31 dicembre 1996, n. 675, stabilisce che i dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta;

- che il medesimo art. 15 al comma 2 demanda ad apposito regolamento l'individuazione degli standard ai quali i soggetti pubblici e privati che trattano dati personali devono attenersi nella determinazione delle misure minime di sicurezza;

- che il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza, che configurano il livello minino di protezione richiesto in relazione ai rischi previsti dall'art. 15, comma 1, della legge n. 675/1996, è stato definito con D.P.R. 28 luglio 1999, n. 318;

ATTESO che l'art. 15, comma 3, della richiamata legge 31 dicembre 1996, n. 675, prevede che le misure minime di sicurezza, individuate dal regolamento approvato con D.P.R. n. 318/1999, siano adeguate, entro due anni dalla data di entrata in vigore della legge e successivamente con cadenza almeno biennale, con successivi regolamenti, in relazione all'evoluzione tecnica del settore e all'esperienza maturata;

RILEVATO che l’art. 6 del suindicato D.P.R. n. 318/1999 prevede che qualora il trattamento di dati sensibili sia realizzato mediante elaboratori o sistemi automatizzati, deve essere predisposto e aggiornato con cadenza annuale un documento programmatico sulla sicurezza dei dati per definire, sulla base dell'analisi dei rischi, della distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati stessi:

i criteri tecnici e organizzativi per la protezione delle aree e dei locali interessati dalle misure di sicurezza nonché le procedure per controllare l'accesso delle persone autorizzate ai locali medesimi;

i criteri e le procedure per assicurare l'integrità dei dati;

i criteri e le procedure per la sicurezza delle trasmissioni dei dati, ivi compresi quelli per le restrizioni di accesso per via telematica;

l'elaborazione di un piano di formazione per rendere edotti gli incaricati del trattamento dei rischi individuati e dei modi per prevenire danni;

che l’efficacia delle misure di sicurezza come sopra determinate deve essere oggetto di controlli periodici, da eseguirsi con cadenza almeno annuale;

CONSIDERATO:

- che l'articolazione dei trattamenti di dati personali, anche sensibili, nell'ambito dell'amministrazione comunale, nonché la complessità del sistema degli archivi e delle banche dati informatizzate nei quali confluiscono le informazioni personali rendono necessaria la formalizzazione;

- che a fronte delle finalità delle misure di sicurezza date dall'art. 15, comma 1, della legge n. 67511996, nonché degli standard minimi delineati dal D.P.R. n. 318/1999, risulta opportuno riportare in un unico documento programmatico a contenuto organizzativo operativo gli elementi di riferimento necessari per l'adozione, l'adeguamento, lo sviluppo, l'implementazione gestionale di misure di sicurezza incidenti su:

trattamenti di dati personali ordinari (riferiti a dati senza particolare rilevanza caratteristica), di dati personali particolari (riferiti all'ambito fiscale tributario), di dati personali sensibili (con riguardo a quanto previsto dagli artt. 22 e 24 della legge n. 675/1996);

gestione di archivi cartacei (correnti, di deposito, storici) e di banche dati conservate su supporti informatizzati automatizzati (memorie di rete, dischi fissi, dischetti, cd;

gestione di archivi contenenti documenti particolari;

- che tali elementi si configurano come componenti costitutive di un documento programmatico, rispondente a quanto previsto dall'art. 6 del D.P.R. n. 318/1999, volto a fornire adeguate garanzie di fondo per il trattamento dei dati personali da parte degli operatori dell'amministrazione comunale, attraverso la definizione di misure di sicurezza organizzative, fisiche e logiche;

- che tali misure di sicurezza, periodicamente riviste e comunque soggette a reimpostazione complessiva annualmente, costituiscono il riferimento per la definizione, mediante apposite determinazioni dirigenziali, di soluzioni operative dettagliate, correlate alle specificità e alla complessità dei singoli settori;

- che l'assetto del quadro di misure riportato nel documento programmatico a valenza operativa organizzativa, contenuto nell'allegato A, è definito:

con riguardo allo stato dell'informatizzazione del comune;

con riguardo alla gestione dei flussi documentali attraverso un sistema informatizzato di protocollazione generale;

con riguardo all'articolazione organizzativa strutturale degli archivi correnti, di deposito e storici;

RILEVATO che l'art. 41, comma 3, della legge n. 675/1996, stabilisce che le misure di sicurezza definite in base al regolamento di cui all'art. 15 devono essere effettivamente e concretamente adottate entro un termine di sei mesi decorrente dalla data di entrata in vigore del regolamento stesso, quindi entro il 29 marzo 2000, stante la vigenza del D.P.R. n. 318/1999 a far data dal 29 settembre 1999;

VALUTATI i contenuti del provvedimento del garante per la protezione dei dati personali del 29 febbraio 2000, finalizzato a sollecitare tutti i soggetti pubblici e privati al rispetto di quanto previsto dal D.P.R. n. 318/1999;

RILEVATA l’indispensabilità di armonizzare e contemperare i principi della riservatezza e sicurezza dei dati personali con quelli altrettanto importanti di economicità e massima semplicità dell’azione amministrativa stabiliti dall’art. 1 della legge regionale 31 luglio 1993, n. 13

TENUTO conto che risulta necessario conferire al presente provvedimento immediata eseguibilità, al fine di poter attivare tempestivamente e comunque entro il 29 marzo 2000 i processi di definizione e di applicazione delle misure di sicurezza per i trattamenti di dati personali sviluppati dai settori dell'amministrazione comunale;

Visto il nuovo Testo Unico delle Leggi Regionali sull’Ordinamento dei Comuni della Regione Autonoma Trentino Alto Adige, approvato con D.P.G.R. 27 febbraio 1995, n. 4/L;

Acquisiti i pareri di regolarità tecnica amministrativa espresso dal responsabile dell’istruttoria e di regolarità contabile espresso dal ragioniere, come prescritto dall’art. 101 del nuovo T.U.LL.RR.O.C., approvato con D.P.G.R. 27 febbraio 1995, n. 4/L come modificato dall’art. 16, comma 16 della L.R. 23 ottobre 1998, n. 10;