Decreto del Presidente del Consiglio dei Ministri 25 maggio 2018
Criteri e modalità per l’individuazione del responsabile della protezione dei dati personali, mediante il quale la Presidenza del Consiglio dei ministri esercita le funzioni di titolare del trattamento dei dati personali, ai sensi del regolamento (UE) n. 2016/679. (18A04205)
(GU Serie Generale n.139 del 18-06-2018)
IL PRESIDENTE
DEL CONSIGLIO DEI MINISTRI
Vista la legge 23 agosto 1988, n. 400, recante disciplina
dell’attivita’ di governo e ordinamento della Presidenza del
Consiglio dei ministri, e successive modificazioni;
Visto il decreto legislativo 30 luglio 1999, n. 303, recante
ordinamento della Presidenza del Consiglio dei ministri, a norma
dell’art. 11 della legge 15 marzo 1997, n. 59, e successive
modificazioni;
Visto il decreto legislativo 30 marzo 2001, n. 165, recante norme
generali sull’ordinamento del lavoro alle dipendenze selle
amministrazioni pubbliche, e successive modificazioni;
Visto il decreto legislativo 8 aprile 2013, n. 39, recante
«Disposizioni in materia di inconferibilita’ e incompatibilita’ di
incarichi presso le pubbliche amministrazioni e presso gli enti
privati in controllo pubblico, a norma dell’art. 1, commi 49 e 50,
della legge 6 novembre 2012, n. 190»;
Visto il decreto del Presidente del Consiglio dei ministri 22
novembre 2010, recante la disciplina dell’autonomia finanziaria e
contabile della Presidenza del Consiglio dei ministri;
Visto il decreto del Presidente del Consiglio dei ministri 1°
ottobre 2012, e successive modificazioni e integrazioni, recante
ordinamento delle strutture generali della Presidenza del Consiglio
dei ministri;
Visto il decreto del Presidente del Consiglio dei ministri 30
novembre 2006, n. 312, concernente il trattamento dei dati sensibili
e giudiziari presso la Presidenza del Consiglio dei ministri;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del
Consiglio del 27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche’ alla
libera circolazione di tali dati (di seguito regolamento);
Considerato che l’art. 4 del regolamento individua come titolare
del trattamento «la persona fisica o giuridica, l’autorita’ pubblica,
il servizio o altro organismo che, singolarmente o insieme ad altri,
determina le finalita’ e i mezzi del trattamento dei dati personali»;
Considerato, altresi’, che l’art. 37, paragrafo 1, lettera a), del
regolamento prevede l’obbligo per il titolare o il responsabile del
trattamento di designare il responsabile della protezione dei dati
personali (di seguito RPD) «quando il trattamento e’ effettuato da
un’autorita’ pubblica o da un organismo pubblico»;
Considerato che l’art. 37 del Regolamento, ai paragrafi 5 e 6,
stabilisce che il RPD e’ designato in funzione delle qualita’
professionali, in particolare della conoscenza specialistica della
normativa e delle prassi in materia di protezione dei dati, della
capacita’ di assolvere i compiti di cui all’art. 39, e che puo’
essere anche un dipendente del titolare del trattamento o del
responsabile del trattamento oltre che assolvere i suoi compiti in
base a un contratto di servizio;
Considerato che la Presidenza del Consiglio dei ministri, nel
complesso delle sue articolazioni organizzative, e’ titolare del
trattamento dei dati personali;
Considerata l’autonomia organizzativa della Scuola nazionale
dell’amministrazione, posta sotto la vigilanza della Presidenza del
Consiglio dei ministri, le peculiarita’ organizzative e le competenze
del Dipartimento della protezione civile, nonche’ la diversa
dislocazione territoriale oltre alle peculiarita’ organizzative e
alle specifiche competenze dei commissari straordinari del Governo di
cui all’art. 11 della legge 23 agosto 1988, n. 400, dei commissari
straordinari incaricati sulla base di leggi speciali, dei
rappresentanti del Governo nelle Regioni e delle Province autonome di
Trento e di Bolzano, e dell’Unita’ tecnica amministrativa (UTA) con
competenze in materia di gestione del contenzioso sullo smaltimento
dei rifiuti in Campania;
Ritenuto opportuno procedere alla individuazione dei soggetti,
mediante i quali la Presidenza del Consiglio dei ministri esercita le
funzioni di titolare del trattamento dei dati personali;
Ritenuto, altresi’, necessario procedere alla individuazione del
RPD della Presidenza del Consiglio dei ministri;
Visti i decreti del Presidente della Repubblica 12 dicembre 2016,
di nomina del Governo;
Visto il decreto del Presidente del Consiglio dei ministri in data
16 dicembre 2016, con il quale alla Sottosegretaria di Stato alla
Presidenza del Consiglio dei ministri on. avv. Maria Elena Boschi e’
stata delegata la firma dei decreti, degli atti e dei provvedimenti
di competenza del Presidente del Consiglio dei ministri, ad
esclusione di quelli che richiedono una preventiva deliberazione del
Consiglio dei Ministri e di quelli relativi alle attribuzioni di cui
all’art. 5 della legge 23 agosto 1988, n. 400;
Decreta:
Art. 1
Definizioni
- Ai fini del presente decreto si intende per:
a) dato personale: qualsiasi informazione riguardante una persona
fisica identificata o identificabile in PCM; si considera
identificabile la persona fisica che puo’ essere identificata,
direttamente o indirettamente, con particolare riferimento a un
identificativo come il nome, un numero di identificazione, dati
relativi all’ubicazione, un identificativo online o uno o piu’
elementi caratteristici della sua identita’ fisica, fisiologica,
genetica, psichica, economica, culturale o sociale;
b) trattamento: qualsiasi operazione o insieme di operazioni,
compiute in PCM con o senza l’ausilio di processi automatizzati e
applicate a dati personali o insiemi di dati personali, come la
raccolta, la registrazione, l’organizzazione, la strutturazione, la
conservazione, l’adattamento o la modifica, l’estrazione, la
consultazione, l’uso, la comunicazione mediante trasmissione,
diffusione o qualsiasi altra forma di messa a disposizione, il
raffronto o l’interconnessione, la limitazione, la cancellazione o la
distruzione;
c) titolare del trattamento: la Presidenza del Consiglio dei
ministri nelle sue articolazioni organizzative;
d) responsabile del trattamento: la persona fisica o giuridica,
estranea alla Presidenza del Consiglio dei ministri che tratta dati
personali per conto del titolare del trattamento;
e) violazione dei dati personali: la violazione di sicurezza che
comporta accidentalmente o in modo illecito la distruzione, la
perdita, la modifica, la divulgazione non autorizzata o l’accesso ai
dati personali trasmessi, conservati o comunque trattati.
Art. 2
Oggetto e ambito di applicazione
- La Presidenza del Consiglio dei ministri (di seguito PCM) e’ il
titolare del trattamento dei dati personali. - Il presente decreto individua i soggetti medianti i quali la PCM
esercita le funzioni di titolare del trattamento dei dati personali. - Le disposizioni del presente decreto si applicano alle seguenti
articolazioni organizzative della PCM: dipartimenti e uffici
autonomi, come individuati all’art. 2 del decreto del Presidente del
Consiglio dei ministri 1° ottobre 2012, e gli organismi collegiali
presso gli stessi istituiti, uffici di diretta collaborazione del
Presidente e delle autorita’ politiche delegate dal Presidente del
Consiglio, strutture di missione. - Sono autonomi titolari del trattamento dei dati personali le
strutture dei commissari straordinari del Governo di cui all’art. 11
della legge 23 agosto 1988, n. 400, le strutture dei commissari
straordinari incaricati sulla base di leggi speciali, le strutture
dei rappresentanti del Governo nelle Regioni e nelle Province
autonome di Trento e di Bolzano, nonche’ il Dipartimento della
protezione civile, la Scuola nazionale dell’amministrazione e l’UTA. - Le strutture di cui al comma 4, provvedono in via autonoma a
tutti gli adempimenti previsti dal regolamento, nonche’ alla
designazione di un proprio RPD. - Ove ricorra l’ipotesi di contitolarita’ con la PCM, le
rispettive responsabilita’ sono disciplinate dagli accordi previsti
dall’art. 26 del regolamento.
Art. 3
Esercizio delle funzioni di titolare
del trattamento dei dati personali
- In conformita’ all’assetto organizzativo della PCM, nell’ambito
delle strutture di cui all’art. 2, comma 3, i soggetti individuati
per l’esercizio delle funzioni di titolare del trattamenti dei dati
personali, ciascuno nel rispettivo ambito di competenza, sono:
a) i Capi dei Dipartimenti;
b) i Capi degli uffici autonomi;
c) i Capi degli uffici di diretta collaborazione del Presidente;
d) i Capi di Gabinetto degli uffici di diretta collaborazione dei
Ministri e dei Sottosegretari;
e) i Coordinatori delle strutture di missione, qualora non
istituite presso strutture generali della PCM;
f) il Coordinatore della Segreteria tecnica della Commissione per
le adozioni internazionali il Coordinatore del Servizio per i voli di
Stato, di Governo e umanitari, tenuto conto della particolare
posizione di autonomia funzionale e gestionale delle unita’
organizzative cui sono preposti. - Il Segretario generale esercita le funzioni di titolare del
trattamento dei dati personali di cui all’art. 4. - Per le attivita’ a carattere trasversale, esercita le funzioni
di titolare del trattamento dei dati il Capo della Struttura generale
con competenza di coordinamento sulla materia. - I Capi delle strutture di cui al comma 3, impartiscono le
necessarie istruzioni a tutti i dirigenti delle strutture della PCM
coinvolte nel trattamento.
Art. 4
Attivita’ di coordinamento
- Il Segretario generale svolge funzioni di coordinamento,
fornendo indicazioni di carattere generale alle strutture in termini
di definizione delle policy in materia di trattamento dei dati
personali. - Il Segretario generale nomina il RPD e ne da’ comunicazione al
Garante per la protezione dei dati personali e alle strutture
interessate. - Per lo svolgimento delle funzioni di cui al comma 1, il
Segretario generale si avvale di una struttura di supporto tecnico e
metodologico posta nell’ambito dell’Ufficio del Segretario generale.
Art. 5
Funzioni del titolare
- I soggetti di cui all’art. 3, nell’ambito delle strutture cui
sono preposti, assicurano il rispetto di tutti gli obblighi previsti
dal regolamento e dalla normativa nazionale in capo al titolare del
trattamento. - I soggetti di cui al comma 1, sono tenuti anche a porre in
essere, nell’ambito delle proprie Strutture e nel rispetto delle
proprie competenze e, ove necessario, in collaborazione con il
Dipartimento per i servizi strumentali – Ufficio Informatica e
telematica, misure tecniche e organizzative adeguate per garantire e
dimostrare che il trattamento dei dati personali e’ effettuato
conformemente alle disposizioni del regolamento. - Ai soggetti di cui al comma 1 sono altresi’ affidati i seguenti
compiti:
a) definire finalita’, mezzi di trattamento e rispettive
responsabilita’ in merito all’osservanza degli obblighi previsti in
caso di contitolarita’ del dato personale ai sensi dell’art. 26 del
regolamento;
b) designare gli autorizzati al trattamento dei dati personali
sulla base delle proposte dei dirigenti responsabili del
procedimento, fornendo adeguate istruzioni per il loro corretto
trattamento;
c) stipulare i contratti di cui all’art. 28, paragrafo 3, del
regolamento, per disciplinare il rapporto con il responsabile del
trattamento di cui all’art. 7;
d) notificare al Garante della protezione dei dati personali le
violazioni dei dati personali (data breach) e provvedere alla
comunicazione della violazione agli interessati, ai sensi degli
articoli 33 e 34 del Regolamento, secondo quanto disposto all’art. 9,
e darne informativa al Segretario generale e al RPD;
e) nominare un «referente privacy» della struttura per il
supporto all’esercizio delle funzioni di titolare del trattamento e
alle attivita’ di gestione degli adempimenti connessi alla protezione
dei dati nonche’ come punto di contatto con il RPD;
f) effettuare l’analisi del rischio e la valutazione dell’impatto
di cui all’art. 35 del regolamento;
g) adottare misure appropriate al fine di garantire l’esercizio
dei diritti di coloro i cui dati personali sono oggetto di
trattamento previsti agli articoli da 15 a 18 e da 20 a 22 del
regolamento;
h) verificare la corretta predisposizione delle informative e
curarne il costante aggiornamento.
Art. 6
Responsabile della protezione
dei dati personali
- Il Segretario generale nomina il RPD della PCM fra soggetti in
possesso dei requisiti previsti dal regolamento e stabilisce la
durata dell’incarico. - Il RPD assolve ai compiti previsti dall’art. 39 del Regolamento
e agli eventuali altri compiti affidati allo stesso dal Segretario
generale. - Per lo svolgimento dei compiti attribuiti, qualora non sia stata
appositamente individuata, con contratto di servizi una societa’
esterna, al RPD e’ assegnato personale di supporto con specifiche
competenze giuridiche, informatiche, di analisi e reingegnerizzazione
di processi, di risk assessment e risk management, anche ricorrendo
ad esperti incaricati ai sensi dell’art. 9 del decreto legislativo 30
luglio 1999, n. 303. - Il personale di cui al comma 3 e’ collocato in una struttura,
dotata di autonomia funzionale e gestionale, istituita con apposito
decreto del Presidente del Consiglio dei ministri e posta presso
l’Ufficio del Segretario generale. - La PCM sostiene il RPD nell’esecuzione dei compiti ad esso
affidati assicurando l’autonomia e le risorse necessarie per
assolverli come previsto dall’art. 38 del regolamento.
Art. 7
Registro delle attivita’ di trattamento
- Il Segretario generale indica alle strutture della PCM, con
proprio atto, le modalita’ operative per l’organizzazione del
registro delle attivita’ di trattamento ai sensi dell’art. 30 del
regolamento. - I soggetti di cui all’art. 3, provvedono alla tenuta e
all’aggiornamento del registro delle attivita’ di trattamento, con
riferimento agli ambiti di competenza delle strutture cui sono
preposti. - Il Dipartimento per i servizi strumentali assicura la
disponibilita’ di una procedura informatizzata di cui le strutture si
avvalgono per la gestione del registro delle attivita’ di
trattamento.
Art. 8
Responsabile del trattamento
- La funzione di responsabile del trattamento discende da
contratto o altro atto giuridico, sottoscritto dal titolare del
trattamento ossia da chi ne esercita le funzioni, ai sensi dell’art. - Il responsabile del trattamento tratta i dati personali in
applicazione di quanto espressamente previsto nel contratto o in
altro atto giuridico di cui al comma 1, e ai sensi degli articoli 28,
29, 30 e 31 del regolamento, in ordine a:
a) materia disciplinata e durata del trattamento;
b) natura e le finalita’ del trattamento;
c) tipo di dati personali;
d) categorie di interessati;
e) obblighi e i diritti del titolare del trattamento.
Art. 9
Violazione dei dati personali
- Chiunque venga a conoscenza di una violazione dei dati personali
e’ tenuto a segnalarlo, per il tramite del proprio superiore
gerarchico, al soggetto che esercita le funzioni di titolare del
trattamento che deve provvedere tempestivamente ai sensi del presente
articolo. - Il responsabile del trattamento informa il soggetto che esercita
le funzioni di titolare del trattamento tempestivamente, dopo essere
venuto a conoscenza della violazione. - Il soggetto che esercita le funzioni di titolare del
trattamento, ove possibile, notifica la violazione dei dati personali
al Garante della protezione dei dati personali entro 72 ore dal
momento in cui ne sia venuto a conoscenza, a meno che sia improbabile
che la stessa violazione presenti un rischio per la tutela dei
diritti e delle liberta’ delle persone fisiche. La notifica viene
effettuata, prevedendo almeno gli elementi indicati al paragrafo 3
dell’art. 33 del regolamento. - La notifica al Garante della protezione dei dati personali
effettuata oltre le 72 ore, deve essere motivata. - Le segnalazioni e le notifiche dei casi di violazione dei dati
personali sono comunicati dai soggetti di cui all’art. 3, al
Segretario generale e al RPD. - Ulteriori, specifiche modalita’ operative per la segnalazione e
gestione dei casi di violazione dei dati personali possono essere
disciplinate mediante linee guida e supportate da soluzioni
applicative messe a disposizione dal Dipartimento per i servizi
strumentali.
Art. 10
Autorizzati al trattamento
- I dirigenti della Presidenza del Consiglio dei ministri che
trattano dati personali in relazione alle competenze attribuite o
comunque esercitate presso gli uffici cui sono preposti, secondo
l’ordinamento della PCM, sono autorizzati al trattamento nel rispetto
delle misure e delle istruzioni adottate da chi esercita le funzioni
di titolare del trattamento dei dati personali. - E’ autorizzato al trattamento dei dati personali tutto il
personale in servizio presso la PCM che tratta dati personali in
relazione alle competenze della unita’ organizzativa alla quale e’
stato assegnato, salvo eventuali diverse determinazioni adottate dai
soggetti di cui all’art. 3.
Art. 11
Formazione del personale
- Il Dipartimento per il personale assicura la programmazione e
l’organizzazione delle attivita’ formative del personale per la
corretta applicazione delle disposizioni in materia di trattamento
dei dati personali.
Art. 12
Oneri
- Gli oneri aggiuntivi derivanti dall’attuazione del presente
decreto gravano sui pertinenti capitoli del bilancio di previsione
della PCM, nei limiti delle risorse ivi disponibili.
Il presente decreto e’ trasmesso ai competenti organi di controllo
ed e’ pubblicato nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 25 maggio 2018
p. Il Presidente
del Consiglio dei ministri
La Sottosegretaria di Stato
Boschi
Registrato alla Corte dei conti il 5 giugno 2018
Ufficio controllo atti P.C.M. Ministeri giustizia e affari esteri,
reg.ne prev. n. 1196
Versione per la stampa