Regione Lombardia ha diffuso le modalità con cui i Comuni del territorio tratteranno i dati in nome e per suo conto, in qualità di responsabili del trattamento. Vediamo a quali adempimenti i comuni lombardi andranno incontro in questo contesto.
In relazione alla Misura Nidi Gratis 2019-2020 – POR FSE 2014-2020 (ASSE II – AZIONE 9.3.3), Regione Lombardia ha pubblicato l’avviso di adesione all’iniziativa da parte dei Comuni.
Nel relativo procedimento l’ente regionale – titolare del trattamento dei dati – si avvarrà dei Comuni in qualità di responsabili, tramite specifico atto di designazione (il cui modello è scaricabile a questo link) ai sensi dell’art. 28 del Regolamento UE 2016/679, di seguito denominato RGPD. Tramite tale atto Regione Lombardia impartisce ai responsabili le istruzioni per il corretto trattamento dei dati.
In qualità di responsabile, il Comune è pertanto tenuto all’osservanza delle istruzioni impartite.
In particolare, è tenuto a garantire che il trattamento venga effettuato adottando adeguate misure di sicurezza ai sensi dell’art. 32 RGPD. L’allegato A.1.2 del modello definisce specifiche misure tecniche (in tema di gestione delle credenziali, degli antivirus, dei backup, di utilizzo dei supporti di memorizzazione, di cifratura dei dati nella comunicazioni, ecc) ed organizzative (dalla gestione dei documenti cartacei all’individuazione scritta e formazione dei soggetti autorizzati al trattamento dei dati, individuati fra il personale comunale).
Nel documento (allegato A.1.1) viene anche definito il trattamento dei dati di Regione Lombardia, ai sensi dell’art. 30 par. 1 RGPD. Da questo deriva un’attività del trattamento per i Comuni responsabili, che deve essere mappata all’interno del proprio registro ai sensi dell’art. 30 par. 2). I dati per la mappatura dell’attività di trattamento sono i seguenti:
TITOLARE: Regione Lombardia
TRATTAMENTO: NIDI GRATIS 2019- 2020 – POR FSE 2014-2020
FINALITA’: Amministrativa
DESCRIZIONE: Azzeramento della retta per la frequenza del bambino al nido/micronido pubblico/privato, come prevista dal regolamento comunale in relazione al proprio ISEE familiare
TIPO DI DATI TRATTATI: Comuni, sensibili
MODALITÀ DI TRATTAMENTO: Elettronico
CATEGORIE DI INTERESSATI: Bambini frequentanti nidi e micronidi pubblici/privati e i loro genitori (aventi i requisiti richiesti)
DURATA DELL’INCARICO: 10 anni (tenendo conto di tale aspetto vanno calcolati i tempi di cancellazione dei dati, in considerazione dell’attività amministrativa effettuata).
Infine, una precisazione importante sui sub-responsabili. Il Titolare (Regione) autorizza il Responsabile (Comune) a ricorrere a sub-responsabili per lo svolgimento di tutte o parte delle attività di trattamento, previa comunicazione a Regione Lombardia, la quale può opporsi entro 15 giorni dalla comunicazione effettuata dal Comune. In questo contesto, è bene focalizzarsi su due aspetti:
1) Il documento definisce sub-responsabile “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo, soggetto terzo (fornitore) rispetto alle Parti, a cui il Responsabile del trattamento abbia eventualmente affidato parte della prestazione oggetto della Convenzione, e che quindi tratta dati personali, previa autorizzazione del Titolare secondo le modalità di cui all’art. 28 del GDPR e con separato Atto di Nomina da parte del Responsabile del Trattamento”. Si parla pertanto di fornitori, non di soggetti che operano all’interno della struttura organizzativa dell’ente (per essere chiari, i dirigenti/ titolari di P.O. non sono sub-responsabili bensì soggetti debitamente autorizzati dal Responsabile, cioè il Comune);
2) Il trattamento oggetto della nomina non è la gestione dei nidi, bensì la gestione del procedimento amministrativo correlato al pagamento della retta di frequenza a nidi/micronidi pubblici/privati da parte dei bambini. Lo si comprende analizzando le specifiche del trattamento di cui all’allegato A.1.1. I gestori di tali strutture non necessariamente fanno parte di tale procedimento, qualora siano esclusi non dovranno essere designati sub-responsabili del trattamento. In caso contrario, è fondamentale comunicare a Regione Lombardia che ci si avvarrà di tali soggetti prima che questi avviino le attività correlate a detto procedimento.
Per i Comuni che si avvalgono di SI.net in qualità di Responsabile Protezione Dati, è disponibile in fondo all’apposita pagina dedicata alla designazione dei responsabili la bozza dell’atto di designazione.
Contatta SI.net Servizi Informatici per informazioni sui servizi dedicati a PA e Aziende: scrivi a comunicazione@blog.sinetinformatica.it o telefona allo 0331.576848.
Per ricevere aggiornamenti sulle tematiche relative all’innovazione nell’ICT iscriviti alla nostra newsletter.
Segui SI.net anche su Twitter, Facebook, YouTube e LinkedIn