I soggetti privacy all'interno dell'Ente locale, ai fini del trattamento dei dati, possono essere:
1. Il titolare del trattamento
E' la persona che ha la legale rappresentanza pro tempore dell'Ente locale, ad es. il Sindaco per il Comune, il Presidente della Provincia, ecc.
Compiti:
Decide in ordine alle finalità e alle modalità del trattamento dei dati personali, nonché ai profili della sicurezza;
Stabilisce e specifica le linee strategiche per quanto attiene l'applicazione della legge e definisce l'organizzazione della privacy nella struttura.
Compiti esclusivi:
Notificazione al Garante;
Nomina dei responsabili;
Nomina degli incaricati se non è designato alcun responsabile;
Controllo e verifica dell'operato dei responsabili;
Cessazione del trattamento dei dati.
Responsabilità:
Penale, civile, amministrativa
2. Il responsabile del trattamento
La persona preposta dal titolare con atto formale. E' responsabile del trattamento dei dati per il proprio ambito di attribuzioni, funzioni e compiti (ad esempio Dirigenti e Funzionari).
I compiti sono analiticamente specificati nel decreto di nomina del titolare.
In particolare, il responsabile:
Nomina gli incaricati del trattamento dei dati;
Impartisce disposizioni organizzative e operative per il corretto e lecito trattamento dei dati e per la sicurezza degli stessi;
Propone al titolare la nomina di soggetti esterni, quali responsabili del trattamento dei dati;
Nomina i soggetti esterni quali incaricati del trattamento dei dati.
Responsabilità
In relazione ai compiti e alle funzioni ha la responsabilità penale, civile e amministrativa.
3. L'incaricato del trattamento
Chi è?
Ogni dipendente che nell'esercizio delle mansioni assegnate tratta dati personali.
La sua designazione a incaricato è contenuta in un atto formale contrattuale e di nomina.
I compiti sono spiegati e specificati dal Responsabile e descritti nell'atto di nomina.
In particolare:
Tratta i dati nel rispetto dei principi di legittimità, pertinenza e stretta necessità, ponendo particolare attenzione all?informativa ai cittadini e alle operazioni di comunicazione e diffusione dei dati;
Osserva le disposizioni organizzative e operative impartite;
Adotta le misura e gli interventi per la sicurezza del trattamento dei dati.
Responsabilità
In relazione alla sua autonomia gestionale e alle funzioni svolte ha responsabilità penale, civile e amministrativa.
4. Il responsabile e l'incaricato "esterni"
Chi sono?
Soggetti di cui l'Ente locale si avvale per lo svolgimento di determinate attività tramite convenzione, concessioni, ecc. e che trattano dati di cui è titolare l'Ente locale.
Il responsabile esterno
E' nominato dal Titolare con atto formale;
Assume rispettivamente gli stessi compiti e responsabilità dei dipendenti incaricati, in relazione alle funzioni svolte.
5. Amministratore di sistema
Chi è?
L' Amministratore di sistema non è obbligatoriamente previsto dalla legge. Si tratta di un soggetto che può essere d'ausilio al titolare del trattamento specie in materia di sicurezza del trattamento dei dati.
6. Clausola privacy per i contratti
Clausola privacy per i contratti di affidamento ad un soggetto esterno di un servizio o di un incarico con trattamento di dati personali di cui è titolare l'ente locale.
Ai sensi del d.lgs. 196/2003, quando l'Amministrazione comunale affida ad un soggetto esterno servizi o incarichi che comportino il trattamento di dati personali di cui la stessa è titolare, è necessario disciplinare in apposite clausole i reciproci impegni discendenti dalla legislazione sulla tutela della riservatezza.
In concreto, quindi, è necessario aggiungere al contratto di affidamento del servizio o dell'incarico alcune disposizioni per gestire i rapporti privacy, oltre e distintamente dall'atto di nomina a responsabile/incaricato del trattamento.
Specificare tali obblighi nel contratto è fonte di certezza giuridica e di selezione delle responsabilità (con tale modalità si acquisisce l'assunzione di formale responsabilità, a fronte dell'atto di nomina, che, invece, si sostanzia in informazione/autorizzazione).
La clausola contrattuale tipo che deve essere inserita nel contratto di affidamento è la seguente:
Art. XXX
Ai sensi dell'art. 29 (se responsabile esterno) 30 (se incaricato esterno) del d.lgs. 196/2003, l'associazione/la società/il signor ecc., assume la qualifica di responsabile/incaricato del trattamento.
La designazione è effettuata per iscritto con atto che specifica i compiti
Il soggetto contraente:
- dichiara di essere consapevole che i dati che tratta nell'espletamento del servizio/incarico ricevuto sono dati personali (anche sensibili e giudiziari), e come tali soggetti all'applicazione del Codice per la protezione dei dati personali;
- si obbliga ad ottemperare agli obblighi previsti dal Codice per la protezione dei dati personali oltre che dalle vigenti disposizioni in materia di tutela della riservatezza;
- si impegna ad adottare le istruzioni specifiche ricevute o di integrarle nelle procedure già in essere;
- si impegna a relazionare annualmente sullo stato del trattamento dei dati personali e sulle misure di sicurezza adottate e si obbliga ad allertare immediatamente il proprio committente in caso di situazioni anomale o di emergenze;
consente l'accesso del committente o di suo fiduciario al fine di effettuare verifiche periodiche in ordine alle modalità dei trattamenti ed all'applicazione delle norme di sicurezza adottate.