SOMMARIO:
Premessa
Principi
generali per il trattamento dei dati personali e particolari regole per i
trattamenti;
Modello
organizzativo privacy in INPS - Soggetti coinvolti nel trattamento dei dati
personali:
-
Titolare
del trattamento
-
Responsabili
del trattamento
-
Incaricati
del trattamento
-
Responsabili
esterni per il trattamento dei dati
Sanzioni
Premessa
A
fronte delle nuove competenze che il legislatore ha attribuito all’INPS negli
ultimi anni e in considerazione degli ulteriori trattamenti di dati personali,
anche sensibili e giudiziari, acquisiti a seguito delle intervenute
integrazioni con altri Enti previdenziali (in particolare, con l’IPOST, ai
sensi dell’art. 7, co. 2, del decreto legge 31 maggio 2010, n. 78, convertito
con modificazioni in legge 30 luglio 2010, n. 122; con l’INPDAP e l’ENPALS, ai
sensi dell’articolo 21 del decreto legge n. 201/2011, convertito in legge n.
214/2011) e del nuovo conseguente modello organizzativo integrato, l’Istituto è
chiamato ad aggiornare la propria governance della privacy, ridefinendo
l’assetto dei ruoli, delle responsabilità, dei compiti attinenti alla protezione
dei dati personali rispetto a quanto era stato delineato con la circolare n. 50
del 2007, emanata alla luce del d. lgs. n. 196/2003, recante il “Codice in
materia di protezione dei dati personali” (d’ora in avanti soltanto “Codice”).
Principi
generali per il trattamento dei dati personali e regole particolari
In
attuazione dei principi dettati dal Codice, l’INPS è tenuto ad assicurare la
protezione dei dati personali trattati nell’ambito della propria attività
istituzionale. Tali dati, per la maggior parte, sono conferiti direttamente
dagli interessati (utenti, dipendenti, fornitori e quanti altri entrino in
contatto con l’Istituto) oppure possono essere acquisiti presso terzi nei casi
di legge. Al fine predetto, l’INPS adotta tutte le misure tecnologiche,
organizzative e logistiche più adeguate a garantire l’effettivo rispetto delle
garanzie e dei principi previsti dal Codice, nonché una appropriata copertura
dei rischi di perdita dell’integrità, della riservatezza e della disponibilità
delle informazioni di cui è in possesso.
Alla
luce di quanto sopra, l’Istituto definisce i processi di trattamento dei dati
personali in modo che le operazioni materiali di trattamento dei dati
(raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione,
modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione,
blocco, comunicazione, diffusione, cancellazione, distruzione) avvengano nel
rispetto dei principi generali in materia fissati dal Codice e da altre leggi,
i più rilevanti dei quali, sono qui di seguito sinteticamente descritti:
1.Il diritto
alla protezione dei dati personali
Si
tratta di una regola fondamentale, secondo la quale ogni individuo ha il
diritto che il trattamento dei suoi dati personali si svolga nel rispetto dei
suoi diritti e libertà fondamentali, nonché della sua dignità, con particolare
riferimento alla riservatezza, all’identità personale e al diritto alla
protezione dei dati personali. Nel rispetto di tali prerogative, pertanto, il
trattamento di dati dell’interessato da parte di tutti i soggetti coinvolti
deve avvenire con modalità che assicurino un elevato livello di tutela.
2.Il principio
di finalità
È
il principio secondo cui la raccolta dei dati deve essere collegata alla
finalità perseguita, che deve essere legittima, determinata e non incompatibile
con l’impiego dei dati. In particolare, per espressa previsione del Codice,
qualunque trattamento di dati personali da parte di soggetti pubblici è
consentito soltanto per lo svolgimento delle funzioni istituzionali.
3.Il principio
di necessità nel trattamento dei dati
Tale
regola impone che le raccolte e i trattamenti di dati siano limitati alle sole
informazioni necessarie all’attività, in modo da ridurre al minimo l’utilizzo
di dati personali e di dati identificativi; infatti, laddove le stesse finalità
possano essere perseguite anche senza l’uso di dati personali, il trattamento
deve riguardare solo dati anonimi oppure deve essere posto in essere adottando
opportune modalità che permettano di identificare l’interessato solo in caso di
necessità.
4.Principio di
proporzionalità
Tale
principio prevede che una volta riscontrata, osservando il principio di
necessità, la possibilità di trattare dati personali, occorre altresì
verificare, in ogni fase del trattamento, se le singole operazioni siano in
concreto pertinenti e non eccedenti le finalità perseguite.
5.Il principio
di liceità e correttezza
E’
la regola che impone al soggetto che agisce sui dati personali che il
trattamento posto in essere sia conforme alla legge e che la raccolta e le
altre operazioni avvengano in modo trasparente per l’interessato e non mediante
ricorso ad artifizi e raggiri.
6.Divieto di
utilizzo
Il
Codice prevede che i dati personali trattati in violazione della disciplina
rilevante in materia di trattamento dei dati personali non possono essere
utilizzati.
7.Il principio
di prevenzione a tutela dell’integrità del dato e degli abusi
I
dati personali oggetto di trattamento devono essere custoditi e controllati,
anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla
natura dei dati e alle specifiche caratteristiche del trattamento, in modo da
ridurre al minimo, mediante l'adozione di idonee e preventive misure di
sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati
stessi, di accesso non autorizzato o di trattamento non consentito o non
conforme alle finalità della raccolta.
In
coerenza con questi principi fondamentali, il Codice fissa esplicitamente le
modalità a cui devono attenersi tutti i soggetti che, a qualsiasi titolo,
compiono materialmente operazioni di trattamento sulle informazioni che
l’Istituto ha a disposizione.
In
particolare i dati personali oggetto di trattamento devono essere:
-
trattati
in modo lecito e secondo correttezza;
-
raccolti
e registrati per scopi determinati, espliciti e legittimi, e utilizzati in
altre operazioni del trattamento in termini compatibili con tali scopi;
-
esatti
e, se necessario, aggiornati;
-
pertinenti,
completi e non eccedenti rispetto alle finalità per le quali sono raccolti o
successivamente trattati;
-
conservati
in una forma che consenta l’identificazione dell’interessato per un periodo di
tempo non superiore a quello necessario agli scopi per i quali essi sono stati
raccolti o successivamente trattati.
Il
Codice, inoltre, detta specifiche regole di trattamento con riferimento alle
diverse tipologie di dati trattati, a particolari tipi di trattamento oppure,
ancora, con riguardo al soggetto Titolare, differenziando se si tratti di un
soggetto pubblico o privato. In tali ambiti, è utile sottolineare quanto
rilevante per l’INPS:
1.Distinzione
tra dati comuni e dati sensibili e giudiziari: all’interno della categoria dei
dati personali, riferiti alle sole informazioni relative a persone fisiche
(identificate o identificabili) ai sensi dell’art. 4, comma 1, lettera b) del
d.lgs. n. 196/2003 e s.m.i., la normativa individua in modo specifico i “dati
sensibili” e i “dati giudiziari”. Infatti l’art. 4, comma 1, lettera d) del
Codice definisce dati sensibili “i dati personali idonei a rivelare l’origine
razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le
opinioni politiche, l’adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché
i dati personali idonei a rivelare lo stato di salute e la vita sessuale”. E
sempre l’art. 4, comma 1, alla lettera e) del Codice definisce “dati
giudiziari” i dati personali idonei a rivelare provvedimenti iscrivibili nel
casellario giudiziale indicati dall’articolo 3, comma 1, lettere da a) ad o) e
da r) ad u) del d.P.R. del 14 novembre 2002, n. 313, o la qualità di imputato o
di indagato ai sensi degli articolo 60 e 61 del codice di procedura penale.
Rispetto
ai dati comuni, il trattamento dei dati sensibili e dei dati giudiziari è
sottoposto ad una specifica disciplina e a particolari cautele sia che avvenga
con strumenti elettronici sia in formato cartaceo, e ciò si riflette anche
sulle più rafforzate misure di sicurezza dettate dalla legge a tutela di tale
tipologia di dati. In generale il Codice legittima il trattamento dei soli dati
sensibili e giudiziari indispensabili a svolgere le attività istituzionali che,
caso per caso, non possono essere realizzate mediante il trattamento di dati
anonimi o di dati personali di diversa natura. Inoltre, il Codice impone che il
trattamento dei dati sensibili e giudiziari da parte di un soggetto pubblico
debba essere previsto da espressa disposizione di legge, che indichi i dati che
possono essere trattati, le operazioni eseguibili sugli stessi e le finalità di
rilevante interesse pubblico perseguite. In linea con la normativa di
riferimento l’INPS si è dotato di un proprio Regolamento per il trattamento dei
dati sensibili e giudiziari, adottato con deliberazione del Consiglio di
Amministrazione n. 343 del 13 dicembre 2006. Detto Regolamento è reperibile
sulla INTRANET dell’Istituto, alla sezione Direzione generale - Ufficio
centrale di monitoraggio e coordinamento in materia di protezione dei dati
personali e accesso alle banche dati – Documentazione – Documentazione in
materia di protezione dei dati personali. Nella stessa sezione sono pubblicati
altresì i Regolamenti afferenti ex INPDAP, ENPALS e IPOST.
La
consultazione dei Regolamenti predetti è utile per gli operatori poiché essi
delimitano i confini del trattamento dei dati sensibili e giudiziari in
Istituto; i Regolamenti, infatti, effettuano una ricognizione alla data odierna
di tutte le attività istituzionali dell’INPS che implicano il trattamento di
dati sensibili e, per ciascuna di esse, indicano le disposizioni di legge che
autorizzano il trattamento e individuano le finalità di rilevante interesse
pubblico perseguite dall’Inps, identificando i tipi di dati sensibili e le
operazioni eseguibili.
Pertanto,
non è consentito effettuare trattamenti di dati sensibili e giudiziari al di
fuori delle ipotesi contemplate nei suddetti Regolamenti e il trattamento
eventualmente posto in essere in violazione dei Regolamenti configura un
illecito che può avere conseguenze penali, civili e amministrative.
Per
quanto attiene alle modalità prescritte dall’INPS per effettuare il trattamento
di tale particolare tipologia di dati personali, si rinvia alle istruzioni per
gli incaricati di cui all’Allegato 2 alla presente circolare.
Regola
generale, per i dati idonei a rivelare lo stato di salute e la vita sessuale, è
che devono essere conservati separatamente dagli altri dati personali trattati
per finalità che non richiedono il loro utilizzo.
2.Strumenti
cartacei e strumenti elettronici: le operazioni di trattamento dei dati
personali possono essere effettuate in forma cartacea (in realtà sempre meno in
uso in Istituto) oppure con l’ausilio di strumenti elettronici e il Codice
detta precise regole con riferimento a ciascuno dei casi per l’adozione di
apposite misure di sicurezza volte ad assicurare la protezione dei dati
personali e, quindi, ridurre al minimo i rischi di distruzione o perdita dei
dati stessi, di accessi abusivi o non conformi alle finalità della raccolta. Le
istruzioni operative per entrambi i trattamenti sono contenute nell’Allegato 2
alla presente circolare.
3.Consenso:
ai sensi dell’art. 18, comma 4, del Codice, l’INPS, in quanto soggetto
pubblico, agisce senza il consenso degli interessati, rendendo loro, secondo
quanto previsto dall’art. 13 del medesimo testo, una informativa circa le
modalità dei trattamenti effettuati. A tal fine l’Istituto ha predisposto
un’informativa generale sul trattamento dei dati (accessibile dalla home page
del sito istituzionale e disponibile presso tutte le Sedi territoriali aperte
al pubblico), nonché informative specifiche relative ai diversi procedimenti amministrativi,
apposte di norma in calce ai moduli di domanda di prestazioni.
Modello
organizzativo privacy in INPS - Soggetti coinvolti nel trattamento dei dati
personali
Come
è noto, il Codice individua tre principali figure - il “Titolare del
trattamento”, il “Responsabile del trattamento” e l’ “Incaricato del
trattamento” - a diverso titolo e con differenti responsabilità coinvolte nelle
operazioni sui dati personali; alle stesse fanno riferimento rispettivamente
gli articoli 28, 29 e 30 del Codice. Di seguito si rappresenta l’organizzazione
dell’Istituto con riferimento a tali soggetti.
-
Titolare del trattamento è l’INPS nel suo
complesso.
L'articolo
28 del Codice chiarisce, infatti, che quando il trattamento è effettuato da una
pubblica amministrazione, il Titolare coincide con l'entità giuridica nel suo
complesso ovvero con l'unità o l'organismo periferico che esercita un potere
decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento,
ivi compreso il profilo della sicurezza. Pertanto, l’INPS, a livello centrale,
pianifica ed attua le linee strategiche ed organizzative per quanto attiene al
governo dei trattamenti dei dati e ne fissa criteri di attuazione circa la
raccolta, l’utilizzo e l’elaborazione, l’individuazione degli scopi pertinenti
e l’implementazione delle misure di sicurezza.
A
questo ampio potere di direzione corrisponde, a norma del Codice, un’articolata
serie di responsabilità ed adempimenti, che investono i rapporti con gli
interessati e con il Garante.
-
Responsabile
del trattamento, a norma dell’art. 29 del Codice, è il soggetto designato dal
Titolare che sovraintende all’intero processo del trattamento dei dati, dalla
iniziale acquisizione fino alla eventuale cessazione o distruzione, sulla base
delle istruzioni impartitegli dal Titolare stesso. In linea con tali funzioni,
in Istituto sono designati Responsabili tutti i Direttori delle strutture di
livello dirigenziale (generale e non) centrali e territoriali e i Coordinatori
generali delle attività professionali, relativamente al complesso di attività e
alle operazioni svolte nell’ambito delle unità organizzative di cui sono
responsabili.
Nell’attuale
assetto organizzativo, ai sensi della determina n. 10 del 2 aprile 2015, in
dettaglio, risultano designati Responsabili i soggetti titolari pro tempore
delle seguenti funzioni: Direttori centrali, dirigenti titolari di funzione di
livello dirigenziale generale e di funzioni specifiche centrali, Coordinatori
generali delle attività professionali, titolari degli uffici centrali di
supporto agli organi, Direttori regionali, Direttori provinciali / di Aree
Metropolitane e Direttori delle filiali di coordinamento.
I
Responsabili designati, oltre che al rispetto delle prescrizioni del Codice, si
attengono alle istruzioni specificate dal Titolare, a partire da quanto
contenuto nell’Allegato 1 alla presente circolare.
-
Incaricato
del trattamento, secondo la previsione del Codice, è la persona fisica che
esegue materialmente le operazioni di trattamento dei dati, con l’ausilio di
strumenti informatici e/o mediante supporti cartacei, sotto la diretta autorità
del Titolare o del Responsabile.
L’INPS,
in considerazione della complessità della propria organizzazione e del
rilevante numero dei dipendenti, applicando il meccanismo della designazione
“con modalità semplificata” previsto dall’articolo 30 del Codice, nomina
ciascun dipendente “Incaricato del trattamento dei dati”, anche sensibili o
giudiziari, attraverso “la documentata preposizione della persona fisica ad una
unità per la quale è individuato, per iscritto, l'ambito del trattamento
consentito agli addetti all'unità medesima”.
In
tal senso occorre, anzitutto, riferirsi all’ordine di servizio con il quale il
Direttore della struttura di livello dirigenziale di appartenenza, come sopra
individuato quale Responsabile del trattamento, nel disporre l’assegnazione del
singolo dipendente ad una unità organizzativa, nel contempo, nomina, ai sensi
della citata norma del Codice, detto dipendente incaricato del trattamento dei
dati personali.
L’ambito
del trattamento di dati personali consentito all’operatore incaricato è
specificato e circoscritto attraverso l’individuazione del complesso delle
attività correlate allo svolgimento dell’attività lavorativa all’interno
dell’unità organizzativa a cui è assegnato e, in tale cornice, sono individuati
i tipi di dati personali che lo stesso è abilitato a trattare e le singole
operazioni che può eseguire.
Inoltre,
anche per fare fronte ai casi in cui siano da disciplinare profili di
autorizzazione trasversali rispetto a più unità funzionali, resta comunque
nella facoltà del Direttore della struttura di livello dirigenziale di
individuare puntualmente le possibilità di trattamento consentite ai dipendenti
interessati.
Con
le modalità sopra descritte tutti i dipendenti dell’INPS sono nominati, ai
sensi e per gli effetti dell’art. 30 del Codice, Incaricati del trattamento dei
dati personali, compresi quelli di natura sensibile o giudiziaria, necessari
allo svolgimento delle attività lavorative alle quali sono addetti.
Per
le materiali operazioni sui dati, ciascuno degli Incaricati deve puntualmente
attenersi alle istruzioni impartite dal Responsabile del trattamento nonché
alle più generali istruzioni e linee guida, valide per tutti gli incaricati del
trattamento, indicate in allegato alla presente circolare (Allegato 2).
-
Responsabili esterni. Per lo svolgimento della
propria azione amministrativa, l’INPS, con contratto o mediante convenzione,
può affidare l’esercizio di alcune attività, operazioni e servizi a soggetti
esterni che, a tal fine, vengono designati, ai sensi dell’art. 29 del Codice,
quali Responsabili esterni dei trattamenti dei dati.
In
tali casi l’INPS mantiene l’autonomia decisionale in qualità di Titolare dei
dati ed esercita l’autorità e il potere di controllo sui trattamenti effettuati
dagli outsourcers.
Contestualmente
all’atto di nomina a Responsabile esterno, l’Istituto impartisce le istruzioni
alle quali il Responsabile medesimo deve attenersi nell’effettuazione delle
operazioni poste in essere per suo conto e, in ogni caso, poiché mantiene la
titolarità dei trattamenti esternalizzati, è tenuto a vigilare sulla puntuale
osservanza delle proprie prescrizioni, anche tramite verifiche periodiche.
Si
fa presente che la normativa prevede che la designazione dei Responsabili
(anche esterni) sia atto del Titolare, dunque dell’INPS nel suo complesso, e,
pertanto, in tale ambito è fatta salva esclusivamente la possibilità di una
delega da parte del Presidente alla sola firma degli atti di nomina per i
Responsabili esterni.
Al
fine poi di garantire un unitario punto di raccordo e di riferimento nel
processo continuo di adeguamento dell’attività dell’Istituto alle norme
contenute nel Codice, è stato istituito, presso la Direzione generale,
l’Ufficio centrale di monitoraggio e coordinamento in materia di protezione dei
dati personali e accesso alle banche dati, con il compito di sovraintendere
alla corretta applicazione della normativa in argomento allo scopo di evitare
che un uso improprio delle informazioni possa recare danno o ledere i diritti,
le libertà fondamentali e la dignità delle persone interessate a cui le stesse
si riferiscono. Detto Ufficio coordina l’attività di tutti i soggetti coinvolti
nelle operazioni di trattamento di dati personali e accesso alle banche dati,
assicurando alle questioni di particolare rilievo una specifica trattazione, e,
in tali ambiti, intrattiene a livello unitario i rapporti con il Garante per la
protezione dei dati, il Ministero vigilante e tutti gli altri soggetti pubblici
e privati interessati nell’applicazione della normativa in questione.
Sanzioni
Il
Codice prevede illeciti penali, violazioni amministrative e responsabilità
civile per danni collegati ai trattamenti illegittimi di dati o non conformi
alla normativa di riferimento.
Molte
delle norme in tema di sanzioni si applicano al Titolare, ma è opportuno in
questa sede segnalare che sono previste ipotesi di responsabilità direttamente
in capo ai soggetti che materialmente compiono le operazioni di trattamento dei
dati.
Tra
gli illeciti penali, si segnala l’articolo 167 del Codice, a norma del quale,
chi agisca al fine di trarne per sé o per altri profitto o di recare ad altri
un danno, trattando dati personali in violazione della normativa, è punito con
pene detentive che possono arrivare anche a tre anni di reclusione.
Per
quel che concerne la responsabilità civile per danni, il Codice, all’articolo
15, dispone che chiunque cagioni “danno ad altri per effetto del trattamento di
dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice
civile” e che “il danno non patrimoniale è risarcibile anche in caso di
violazione dell'articolo 11”.
In
tale ambito, pertanto, il trattamento dei dati personali è qualificato come
attività pericolosa ai sensi dell’art. 2050 c.c. ed è da evidenziare come ciò
comporti un’inversione dell'onere della prova nell'azione risarcitoria.
La
presente circolare e le istruzioni allegate, che abrogano le precedenti
disposizioni dettate dall’Istituto in materia, devono essere notificate, con le
consuete modalità, a tutto il personale, ai collaboratori a qualsiasi titolo,
ai membri dei comitati centrali e periferici e notificate al personale assente
dal servizio per periodi di lunga durata mediante raccomandata con avviso di ricevimento.
Nessun commento:
Posta un commento