Modello organizzativo per la protezione dei dati personali

Ultimo aggiornamento: 05 Ottobre 2022

L'organizzazione privacy regionale

In ottemperanza al Regolamento 2016/679/UE del Parlamento Europeo e del Consiglio del 27 aprile 2016, noto anche come General Data Protection Regulation (GDPR), relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati e che abroga la direttiva 1995/46/CE, la Regione Abruzzo si è data la seguente organizzazione, individuando le figure indicate di seguito, con compiti, poteri e responsabilità differenti.

La Regione Abruzzo è impegnata affinché tutti i trattamenti di dati personali, operati dalle strutture regionali, rispettino le garanzie previste dalla normativa in materia di "protezione dei dati personali", a tutela delle persone fisiche. A tal fine, con Deliberazione di Giunta Regionale n. 41/2021, è stato adottato il Disciplinare per l’attuazione del Regolamento in materia di protezione di dati personali.

L'adozione di idonei provvedimenti in materia, l'acquisizione di strumenti necessari a proteggere i dati, nonché l'adozione di adeguate misure tecniche ed organizzative, testimoniano l'attenzione di Regione Abruzzo per l'argomento "privacy".

Titolari del trattamento dei dati personali

Il Titolare del trattamento è la Regione Abruzzo con sede in Via Leonardo da Vinci 6 - 67100 L’Aquila (AQ), CF 80003170661, nella persona del suo Presidente pro-tempore.

Soggetto Autorizzato al Trattamento dei dati con Delega (DAT)

Tutti i Dirigenti ed i Direttori in servizio presso i Dipartimenti della Giunta Regionale, ognuno per dati di rispettiva competenza e sulla base di quanto previsto dal rispettivo contratto individuale di lavoro, sono delegati dal Titolare, dalla data di adozione del Disciplinare adottato con DGR 41/2021, al trattamento di dati personali inerenti lo svolgimento dell'incarico ricevuto.

Soggetto Autorizzato al Trattamento dei dati (SAT)

Tutti i dipendenti regionali del comparto non dirigenziale di ruolo, che trattano dati personali per lo svolgimento delle attività loro assegnate, sono stati nominati  “soggetti autorizzati al trattamento dei dati personali (SAT)” sulla base di designazione specifica da parte del DAT di riferimento.

Responsabile esterno del trattamento

L’articolo 28 del GDPR prevede che "qualora un trattamento debba essere effettuato per conto del titolare, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato". Prevede inoltre che, sulla base del contratto esistente, “il responsabile del trattamento tratti i dati personali soltanto su istruzione documentata del titolare del trattamento….”

Alla luce di ciò il Disciplinare regionale, approvato con DGR 41/2021, ha previsto gli allegati B1, B2 e B3, per dare concreta applicazione all'articolo 28 del GDPR, nel contesto di quelle attività di trattamento dati che siano svolte da operatori esterni all'organico della Giunta Regionale, per conto del Titolare.

Responsabile della Protezione dei dati personali

Il Responsabile della Protezione dei dati personali, meglio noto come "Data Protection Officer" (DPO) è una figura nuova, trasversale all'organizzazione, con compiti di consulenza e sorveglianza, indicati più sotto.

Figura nuova, prevista dal Regolamento 2016/679/UE - GDPR, individuata in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati, costituisce il fulcro del processo di attuazione del principio di "responsabilizzazione" introdotto dal GDPR.

Il Responsabile della Protezione dei dati per la Regione Abruzzo è la Dottoressa Filomena Ibello.

Il diretto coinvolgimento del Responsabile della Protezione dei dati personali in tutte le questioni che riguardano la protezione dei dati personali, sin dalla fase transitoria, è garanzia di qualità del risultato del processo di adeguamento in atto.

La designazione di un “responsabile della protezione dati” (RPD) è finalizzata a facilitare l’attuazione della normativa da parte del titolare/responsabile (articolo 39). Non è un caso, infatti, che fra i compiti del RPD rientrino “la sensibilizzazione e la formazione del personale” e la sorveglianza sullo svolgimento della valutazione di impatto di cui all’articolo 35, oltre alla funzione di punto di contatto per gli interessati e per il Garante rispetto a ogni questione attinente l’applicazione del Regolamento.  Gli interessati (coloro ai quali i dati si riferiscono) possono contattare il Responsabile della Protezione dei dati personali per tutte le questioni relative al trattamento dei loro dati personali e all'esercizio dei loro diritti derivanti dal Regolamento 2016/679/UE del Parlamento Europeo e del Consiglio del 27 aprile 2016.

Normativa di riferimento