Regolamento26 ottobre 202137/RRegolamento di attuazione dell’articolo 1, comma 1, della legge regionale 3 aprile 2006, n. 13 (Trattamento delle categorie particolari di dati personali e di quelli relativi a condanne penali e ai reati da parte della Regione Toscana, aziende sanitarie, enti, aziende e agenzie regionali e soggetti pubblici nei confronti dei quali la Regione esercita poteri di indirizzo e controllo).REGIONE TOSCANA

Il PRESIDENTE DELLA GIUNTA

EMANA

il seguente regolamento

PREAMBOLO

Visto l' articolo 117, comma sesto, della Costituzione;

Visto l' articolo 42 dello Statuto;

Visto il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla libera circolazione di tali dati e che abroga la direttiva 95/46/CR (Regolamento generale sulla protezione dei dati);

Visto il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla libera circolazione di tali dati e che abroga la direttiva 95/46/CR), e in particolare la Parte I, Titolo I, Capo II;

Vista la legge regionale 3 aprile 2006, n. 13 (Trattamento delle categorie particolari di dati personali e di quelli relativi a condanne penali da parte della Regione Toscana, aziende sanitarie, enti, aziende e agenzie regionali e soggetti pubblici nei confronti dei quali la Regione esercita poteri di indirizzo e controllo), ed in particolare l'articolo 1, comma 1;

Visto il parere del Comitato di direzione espresso nella seduta del 20 maggio 2021;

Visto il parere della competente struttura di cui all’articolo 17, comma 4, del regolamento interno della Giunta regionale 19 luglio 2016, n. 5;

Vista la preliminare deliberazione n. 811 del 2 agosto 2021 di adozione dello schema di regolamento;

Visto il parere favorevole della Prima commissione consiliare, espresso nella seduta del 7 settembre 2021;

Visto l’ulteriore parere della competente struttura di cui all’articolo 17, comma 4 del regolamento interno della Giunta regionale 19 luglio 2016, n. 5;

Vista la deliberazione della Giunta regionale 18 ottobre 2021, n. 1069;

Considerato quanto segue:

1. in attuazione del d.lgs. 196/2003 la Regione Toscana ha approvato la l.r. 13/2006 e il regolamento attuativo della stessa l.r. 13/2006, emanato con decreto del Presidente della Giunta regionale 12 febbraio 2013, n. 6/R;

2. l’articolo 2 sexies, comma 1, del d.lgs. 196/2003, in seguito a modifica attuata dal d.lgs. 10 agosto 2018, n. 101 di adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679, prevede che i trattamenti delle categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, del citato Regolamento (UE) 2016/679, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo 9 del Regolamento (UE) 2016/679, sono ammessi qualora siano previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato, e l’articolo 2 octies, comma 5, del d.lgs. 196/2003, dispone che, quando il trattamento dei dati di cui allo stesso articolo (dati personali relativi a condanne penali e a reati) avviene sotto il controllo dell'autorità pubblica, si applicano le disposizioni previste dall'articolo 2 sexies dello stesso d.lgs. 196/2003;

3. nel 2018 ha trovato applicazione quindi la nuova normativa comunitaria e statale in materia di protezione dei dati ed inoltre negli ultimi anni si è verificata un'evoluzione del quadro normativo in vari settori di competenza delle regioni, delle aziende sanitarie e degli altri enti dipendenti o vigilati dalla Regione;

4. la l.r. 13/2006, così come adeguata alla normativa vigente nazionale ed europea dalla legge regionale 6 luglio 2020, n. 51 (Legge di manutenzione dell’ordinamento regionale 2019), all'articolo 1 prevede che il trattamento delle categorie particolari di dati personali e dei dati personali relativi a condanne penali e ai reati da parte della Giunta regionale, delle aziende sanitarie, degli enti, aziende e agenzie regionali, nonché degli altri soggetti pubblici nei confronti dei quali la Regione esercita poteri di indirizzo e controllo è disciplinato con regolamento regionale nel rispetto dei principi del Regolamento (UE) 2016/679 e del novellato d.lgs. 196/2003;

5. si rende necessario pertanto approvare un nuovo regolamento, in attuazione della l.r. 13/2006, così come modificata, provvedendo al tempo stesso ad abrogare il d.p.g.r. 6/R/2013;

6. i tipi di dati e di operazioni individuati nel presente regolamento non riguardano i dati non compresi tra quelli riconducibili alle categorie particolari di dati personali e a quelli relativi a condanne penali e a reati o a connesse misure di sicurezza e i trattamenti individuati non concernono:

- i trattamenti effettuati per finalità di tutela della salute o dell’incolumità fisica dell’interessato, di un terzo o della collettività;

- i trattamenti effettuati per finalità di ricerca medica, biomedica o epidemiologica;

- i trattamenti già adeguatamente regolati a livello legislativo o regolamentare per ciò che concerne i tipi di dati e le operazioni eseguibili;

- i trattamenti di dati relativi a condanne penali e a reati o a connesse misure di sicurezza ai fini dell’applicazione della normativa in materia di comunicazioni e certificazioni antimafia o in materia di prevenzione della delinquenza di tipo mafioso e di altre gravi forme di manifestazione di pericolosità sociale;

7. il regolamento riveste carattere di urgenza per consentire il sollecito adeguamento dell'ordinamento regionale ai mutamenti del quadro normativo della materia.

Si approva il presente regolamento

Art. 1 Oggetto1.

Il presente regolamento identifica i tipi di dati che possono essere trattati, le operazioni eseguibili su tali dati, il motivo di interesse pubblico rilevante e le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato da parte della Giunta Regionale, delle aziende sanitarie della Regione, degli enti e agenzie regionali e degli altri enti per i quali la Regione esercita poteri di indirizzo e controllo, nello svolgimento delle loro funzioni istituzionali, con riferimento ai trattamenti delle categorie particolari di dati personali e dei dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza effettuati per il perseguimento delle rilevanti finalità di interesse pubblico individuate da espressa disposizione di legge, ove non siano legislativamente specificati i tipi di dati e le operazioni eseguibili.

2.

Per gli enti per i quali i poteri di indirizzo e controllo sono esercitati dalla Regione Toscana congiuntamente con altre Regioni, il presente regolamento si applica salvo successiva diversa intesa con le Regioni interessate.

Art. 2 Disposizioni generali1.

Ai fini del presente regolamento si applicano le definizioni contenute nell’articolo 4 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla libera circolazione di tali dati e che abroga la direttiva 95/46/CR (Regolamento generale sulla protezione dei dati), nonchè dell’art. 2 ter, comma 4, del decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla libera circolazione di tali dati e che abroga la direttiva 95/46/CR).

2.

Il trattamento dei dati avviene nel rispetto dei diritti e delle libertà fondamentali dell’interessato ed è compiuto quando, per lo svolgimento delle finalità di rilevante interesse pubblico, non è possibile il trattamento dei dati anonimi oppure di dati personali non riconducibili alle categorie particolari di dati personali o ai dati relativi a condanne penali e a reati o a connesse misure di sicurezza.

Art. 3 Tipi di dati, operazioni eseguibili, motivo di interesse pubblico rilevante, misure appropriate e specifiche per la tutela dei diritti fondamentali e degli interessi dell’interessato1.

I dati riconducibili alle categorie particolari di dati personali e i dati relativi a condanne penali e a reati o a connesse misure di sicurezza oggetto di trattamento, le finalità di rilevante interesse pubblico perseguite ai sensi di legge, nonché le operazioni eseguibili sono individuati, per i soggetti titolari di cui all’articolo 1, nelle schede contenute negli allegati al presente regolamento, di seguito elencati:

a)

ALLEGATO A (schede da A1 a A34) Regione Toscana-Giunta regionale; enti, aziende e agenzie regionali, enti vigilati e controllati dalla Regione Toscana:

1.

Giunta regionale

2.

Agenzia regionale per la protezione ambientale della Toscana (ARPAT)

3.

Agenzia regionale di sanità (ARS)

4.

Istituto per lo studio, la prevenzione e la rete oncologica (ISPRO)

5.

Ente di supporto tecnico amministrativo regionale

6.

Istituto Zooprofilattico sperimentale Regioni Lazio Toscana

7.

Agenzia regionale toscana per le erogazioni in agricoltura (ARTEA)

8.

Toscana Promozione Turistica - Agenzia regionale Toscana Promozione Turistica

9.

Azienda regionale per il diritto allo studio della Toscana (DSU Toscana)

10.

Istituto regionale per la programmazione economica della Toscana (IRPET)

11.

Istituto degli Innocenti di Firenze

12.

Autorità di bacino di rilievo regionale

13.

Autorità di bacino di rilievo interregionale

14.

Consorzi di bonifica interregionali

15.

Enti parco regionali

16.

Aziende per i servizi alla persona (ex IPAB)

17.

Agenzia regionale toscana per l’impiego (ARTI)

18.

Autorità portuale regionale porti di Viareggio, Porto Santo Stefano, Giglio, Marina di Campo

19.

Ente terre regionali toscane

20.

Consorzio Laboratorio di Monitoraggio e Modellistica Ambientale (La.MMA) per lo sviluppo sostenibile

b)

ALLEGATO B (scheda da B1 a B40):

1.

Aziende Unità sanitarie Locali

2.

Aziende Ospedaliere

3.

Istituti di Ricerca e Cura a carattere scientifico

4.

Aziende Universitarie di qualsiasi tipo e natura operanti nell’ambito del Servizio Sanitario Nazionale.

2.

Le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato sono definite dai Titolari con apposito atto e comprendono, se del caso:

a)

Misure organizzative

- assetto organizzativo interno all’Ente per la gestione della protezione dei dati personali e la definizione dei ruoli e delle responsabilità dei soggetti coinvolti nel trattamento (soggetti designati e soggetti autorizzati a trattare i dati);

- gestione delle autorizzazioni all’accesso ai dati;

- interventi posti in essere per la formazione del personale;

- monitoraggio e aggiornamento del Registro dei trattamenti ai sensi dell’articolo 30 del Regolamento (EU) 2016/679;

- pianificazione di controlli interni periodici;

- adesione a codici di condotta e a meccanismi di certificazione;

- modalità di conferimento dell’incarico di responsabile del trattamento in caso di ricorso a società/ente esterno per effettuare operazioni di trattamento dei dati personali per proprio conto;

- registrazione degli accessi delle persone nei locali in cui sono posti i server e le banche dati e la protezione degli stessi;

- modalità di conferimento delle informazioni ex articoli 13 e 14 del Regolamento (UE) n. 2016/679 (“informazioni agli interessati”);

- in caso di contitolarità del trattamento, sottoscrizione di un accordo interno con il contitolare ai sensi dell’articolo 26 del Regolamento (UE) n. 2016/679;

- adozione di specifiche misure organizzative per garantire l’esercizio dei diritti degli interessati;

- adozione di specifiche misure per la comunicazione o la custodia dei dati in caso di trattamenti che prevedono l’utilizzo di supporti cartacei;

- adozione di specifiche misure in presenza di categorie vulnerabili di interessati o in relazione alla particolare natura dei dati trattati.

b)

Misure tecniche

- sistema di autenticazione individuale degli utenti;

- sistema di tracciamento degli accessi;

- adozione di misure per garantire la sicurezza delle postazioni fisiche di lavoro;

- adozione di sistemi perimetrali di controllo;

- utilizzo di tecniche di cifratura e/o pseudonimizzazione;

- adozione di specifiche misure in presenza di categorie vulnerabili di interessati o in relazione alla particolare natura dei dati trattati;

- adozione di misure per garantire la qualità e la correttezza dei dati;

- predisposizione di un sistema di monitoraggio e di segnalazione degli incidenti, degli eventi anomali e delle violazioni dei dati personali (data breach) ai sensi dell’articolo 33 del Regolamento (UE) 2016/679;

- adozione di modalità di ripristino della disponibilità dei dati e dell’accesso nei casi di incidente fisico o tecnico (perdita o furto);

- modalità di cancellazione sicura dei dati in caso di dismissione delle apparecchiature elettroniche;

- modalità di trasmissione dei dati all’interno e all’esterno dell’Ente che garantiscano l’integrità, la disponibilità e la riservatezza delle informazioni.

Art. 4 Abrogazione1.

E’ abrogato il regolamento emanato con decreto del Presidente della Giunta regionale 12 febbraio 2013, n. 6/R.

Art. 5 Entrata in vigore1.

Il presente regolamento è pubblicato sul Bollettino Ufficiale della Regione Toscana ed entra in vigore il giorno successivo alla sua pubblicazione.

Firenze