Menù di navigazione

Regolamento 26 ottobre 2021, n. 37/R

Regolamento di attuazione dell’articolo 1, comma 1, della legge regionale 3 aprile 2006, n. 13 (Trattamento delle categorie particolari di dati personali e di quelli relativi a condanne penali e ai reati da parte della Regione Toscana, aziende sanitarie, enti, aziende e agenzie regionali e soggetti pubblici nei confronti dei quali la Regione esercita poteri di indirizzo e controllo).

Bollettino Ufficiale n. 92, parte prima, del 29 ottobre 2021

Art. 3
Tipi di dati, operazioni eseguibili, motivo di interesse pubblico rilevante, misure appropriate e specifiche per la tutela dei diritti fondamentali e degli interessi dell’interessato
1. I dati riconducibili alle categorie particolari di dati personali e i dati relativi a condanne penali e a reati o a connesse misure di sicurezza oggetto di trattamento, le finalità di rilevante interesse pubblico perseguite ai sensi di legge, nonché le operazioni eseguibili sono individuati, per i soggetti titolari di cui all’articolo 1, nelle schede contenute negli allegati al presente regolamento, di seguito elencati:
a) ALLEGATO A (schede da A1 a A34) Regione Toscana-Giunta regionale; enti, aziende e agenzie regionali, enti vigilati e controllati dalla Regione Toscana:
1. Giunta regionale
2. Agenzia regionale per la protezione ambientale della Toscana (ARPAT)
3. Agenzia regionale di sanità (ARS)
4. Istituto per lo studio, la prevenzione e la rete oncologica (ISPRO)
5. Ente di supporto tecnico amministrativo regionale
6. Istituto Zooprofilattico sperimentale Regioni Lazio Toscana
7. Agenzia regionale toscana per le erogazioni in agricoltura (ARTEA)
8. Toscana Promozione Turistica - Agenzia regionale Toscana Promozione Turistica
9. Azienda regionale per il diritto allo studio della Toscana (DSU Toscana)
10. Istituto regionale per la programmazione economica della Toscana (IRPET)
11. Istituto degli Innocenti di Firenze
12. Autorità di bacino di rilievo regionale
13. Autorità di bacino di rilievo interregionale
14. Consorzi di bonifica interregionali
15. Enti parco regionali
16. Aziende per i servizi alla persona (ex IPAB)
17. Agenzia regionale toscana per l’impiego (ARTI)
18. Autorità portuale regionale porti di Viareggio, Porto Santo Stefano, Giglio, Marina di Campo
19. Ente terre regionali toscane
20. Consorzio Laboratorio di Monitoraggio e Modellistica Ambientale (La.MMA) per lo sviluppo sostenibile
b) ALLEGATO B (scheda da B1 a B40):
1. Aziende Unità sanitarie Locali
2. Aziende Ospedaliere
3. Istituti di Ricerca e Cura a carattere scientifico
4. Aziende Universitarie di qualsiasi tipo e natura operanti nell’ambito del Servizio Sanitario Nazionale.
2. Le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato sono definite dai Titolari con apposito atto e comprendono, se del caso:
a) Misure organizzative
- assetto organizzativo interno all’Ente per la gestione della protezione dei dati personali e la definizione dei ruoli e delle responsabilità dei soggetti coinvolti nel trattamento (soggetti designati e soggetti autorizzati a trattare i dati);
- gestione delle autorizzazioni all’accesso ai dati;
- interventi posti in essere per la formazione del personale;
- monitoraggio e aggiornamento del Registro dei trattamenti ai sensi dell’articolo 30 del Regolamento (EU) 2016/679;
- pianificazione di controlli interni periodici;
- adesione a codici di condotta e a meccanismi di certificazione;
- modalità di conferimento dell’incarico di responsabile del trattamento in caso di ricorso a società/ente esterno per effettuare operazioni di trattamento dei dati personali per proprio conto;
- registrazione degli accessi delle persone nei locali in cui sono posti i server e le banche dati e la protezione degli stessi;
- modalità di conferimento delle informazioni ex articoli 13 e 14 del Regolamento (UE) n. 2016/679 (“informazioni agli interessati”);
- in caso di contitolarità del trattamento, sottoscrizione di un accordo interno con il contitolare ai sensi dell’articolo 26 del Regolamento (UE) n. 2016/679;
- adozione di specifiche misure organizzative per garantire l’esercizio dei diritti degli interessati;
- adozione di specifiche misure per la comunicazione o la custodia dei dati in caso di trattamenti che prevedono l’utilizzo di supporti cartacei;
- adozione di specifiche misure in presenza di categorie vulnerabili di interessati o in relazione alla particolare natura dei dati trattati.
b) Misure tecniche
- sistema di autenticazione individuale degli utenti;
- sistema di tracciamento degli accessi;
- adozione di misure per garantire la sicurezza delle postazioni fisiche di lavoro;
- adozione di sistemi perimetrali di controllo;
- utilizzo di tecniche di cifratura e/o pseudonimizzazione;
- adozione di specifiche misure in presenza di categorie vulnerabili di interessati o in relazione alla particolare natura dei dati trattati;
- adozione di misure per garantire la qualità e la correttezza dei dati;
- predisposizione di un sistema di monitoraggio e di segnalazione degli incidenti, degli eventi anomali e delle violazioni dei dati personali (data breach) ai sensi dell’articolo 33 del Regolamento (UE) 2016/679;
- adozione di modalità di ripristino della disponibilità dei dati e dell’accesso nei casi di incidente fisico o tecnico (perdita o furto);
- modalità di cancellazione sicura dei dati in caso di dismissione delle apparecchiature elettroniche;
- modalità di trasmissione dei dati all’interno e all’esterno dell’Ente che garantiscano l’integrità, la disponibilità e la riservatezza delle informazioni.

Il presente testo non ha valore legale ed ufficiale.
Solo i testi pubblicati sul Bollettino Ufficiale della Regione Toscana hanno valore legale.