DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 25 maggio 2018 Criteri e modalita' per l'individuazione del responsabile della protezione dei dati personali, mediante il quale la Presidenza del Consiglio dei ministri esercita le funzioni di titolare del trattamento dei dati personali, ai sensi del regolamento (UE) n. 2016/679. (18A04205) (GU n.139 del 18-6-2018)

DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 25 maggio 2018

Criteri e  modalita'  per  l'individuazione  del  responsabile  della
protezione dei dati personali, mediante il quale  la  Presidenza  del
Consiglio  dei  ministri  esercita  le  funzioni  di   titolare   del
trattamento dei dati personali, ai  sensi  del  regolamento  (UE)  n.
2016/679. (18A04205)
(GU n.139 del 18-6-2018)


                            IL PRESIDENTE
                     DEL CONSIGLIO DEI MINISTRI

  Vista  la  legge  23  agosto  1988,  n.  400,  recante   disciplina
dell'attivita'  di  governo  e  ordinamento  della   Presidenza   del
Consiglio dei ministri, e successive modificazioni;
  Visto il decreto  legislativo  30  luglio  1999,  n.  303,  recante
ordinamento della Presidenza del  Consiglio  dei  ministri,  a  norma
dell'art.  11  della  legge  15  marzo  1997,  n.  59,  e  successive
modificazioni;
  Visto il decreto legislativo 30 marzo 2001, n. 165,  recante  norme
generali  sull'ordinamento   del   lavoro   alle   dipendenze   selle
amministrazioni pubbliche, e successive modificazioni;
  Visto  il  decreto  legislativo  8  aprile  2013,  n.  39,  recante
«Disposizioni in materia di inconferibilita'  e  incompatibilita'  di
incarichi presso le  pubbliche  amministrazioni  e  presso  gli  enti
privati in controllo pubblico, a norma dell'art. 1, commi  49  e  50,
della legge 6 novembre 2012, n. 190»;
  Visto il decreto del  Presidente  del  Consiglio  dei  ministri  22
novembre 2010, recante la  disciplina  dell'autonomia  finanziaria  e
contabile della Presidenza del Consiglio dei ministri;
  Visto il decreto del  Presidente  del  Consiglio  dei  ministri  1°
ottobre 2012, e  successive  modificazioni  e  integrazioni,  recante
ordinamento delle strutture generali della Presidenza  del  Consiglio
dei ministri;
  Visto il decreto del  Presidente  del  Consiglio  dei  ministri  30
novembre 2006, n. 312, concernente il trattamento dei dati  sensibili
e giudiziari presso la Presidenza del Consiglio dei ministri;
  Visto il regolamento (UE) 2016/679 del  Parlamento  europeo  e  del
Consiglio del 27 aprile 2016, relativo alla protezione delle  persone
fisiche con riguardo al trattamento dei dati personali, nonche'  alla
libera circolazione di tali dati (di seguito regolamento);
  Considerato che l'art. 4 del regolamento  individua  come  titolare
del trattamento «la persona fisica o giuridica, l'autorita' pubblica,
il servizio o altro organismo che, singolarmente o insieme ad  altri,
determina le finalita' e i mezzi del trattamento dei dati personali»;
  Considerato, altresi', che l'art. 37, paragrafo 1, lettera a),  del
regolamento prevede l'obbligo per il titolare o il  responsabile  del
trattamento di designare il responsabile della  protezione  dei  dati
personali (di seguito RPD) «quando il trattamento  e'  effettuato  da
un'autorita' pubblica o da un organismo pubblico»;
  Considerato che l'art. 37 del Regolamento,  ai  paragrafi  5  e  6,
stabilisce che  il  RPD  e'  designato  in  funzione  delle  qualita'
professionali, in particolare della  conoscenza  specialistica  della
normativa e delle prassi in materia di  protezione  dei  dati,  della
capacita' di assolvere i compiti di  cui  all'art.  39,  e  che  puo'
essere anche  un  dipendente  del  titolare  del  trattamento  o  del
responsabile del trattamento oltre che assolvere i  suoi  compiti  in
base a un contratto di servizio;
  Considerato che la  Presidenza  del  Consiglio  dei  ministri,  nel
complesso delle sue  articolazioni  organizzative,  e'  titolare  del
trattamento dei dati personali;
  Considerata  l'autonomia  organizzativa  della   Scuola   nazionale
dell'amministrazione, posta sotto la vigilanza della  Presidenza  del
Consiglio dei ministri, le peculiarita' organizzative e le competenze
del  Dipartimento  della  protezione  civile,  nonche'   la   diversa
dislocazione territoriale oltre  alle  peculiarita'  organizzative  e
alle specifiche competenze dei commissari straordinari del Governo di
cui all'art. 11 della legge 23 agosto 1988, n.  400,  dei  commissari
straordinari  incaricati  sulla   base   di   leggi   speciali,   dei
rappresentanti del Governo nelle Regioni e delle Province autonome di
Trento e di Bolzano, e dell'Unita' tecnica amministrativa  (UTA)  con
competenze in materia di gestione del contenzioso  sullo  smaltimento
dei rifiuti in Campania;
  Ritenuto opportuno  procedere  alla  individuazione  dei  soggetti,
mediante i quali la Presidenza del Consiglio dei ministri esercita le
funzioni di titolare del trattamento dei dati personali;
  Ritenuto, altresi', necessario procedere  alla  individuazione  del
RPD della Presidenza del Consiglio dei ministri;
  Visti i decreti del Presidente della Repubblica 12  dicembre  2016,
di nomina del Governo;
  Visto il decreto del Presidente del Consiglio dei ministri in  data
16 dicembre 2016, con il quale alla  Sottosegretaria  di  Stato  alla
Presidenza del Consiglio dei ministri on. avv. Maria Elena Boschi  e'
stata delegata la firma dei decreti, degli atti e  dei  provvedimenti
di  competenza  del  Presidente  del  Consiglio  dei   ministri,   ad
esclusione di quelli che richiedono una preventiva deliberazione  del
Consiglio dei Ministri e di quelli relativi alle attribuzioni di  cui
all'art. 5 della legge 23 agosto 1988, n. 400;

                              Decreta:

                               Art. 1

                             Definizioni

  1. Ai fini del presente decreto si intende per:
    a) dato personale: qualsiasi informazione riguardante una persona
fisica  identificata  o   identificabile   in   PCM;   si   considera
identificabile  la  persona  fisica  che  puo'  essere  identificata,
direttamente o  indirettamente,  con  particolare  riferimento  a  un
identificativo come il  nome,  un  numero  di  identificazione,  dati
relativi all'ubicazione,  un  identificativo  online  o  uno  o  piu'
elementi caratteristici  della  sua  identita'  fisica,  fisiologica,
genetica, psichica, economica, culturale o sociale;
    b) trattamento: qualsiasi operazione  o  insieme  di  operazioni,
compiute in PCM con o senza l'ausilio  di  processi  automatizzati  e
applicate a dati personali o  insiemi  di  dati  personali,  come  la
raccolta, la registrazione, l'organizzazione, la  strutturazione,  la
conservazione,  l'adattamento  o  la   modifica,   l'estrazione,   la
consultazione,  l'uso,  la   comunicazione   mediante   trasmissione,
diffusione o qualsiasi  altra  forma  di  messa  a  disposizione,  il
raffronto o l'interconnessione, la limitazione, la cancellazione o la
distruzione;
    c) titolare del trattamento:  la  Presidenza  del  Consiglio  dei
ministri nelle sue articolazioni organizzative;
    d) responsabile del trattamento: la persona fisica  o  giuridica,
estranea alla Presidenza del Consiglio dei ministri che  tratta  dati
personali per conto del titolare del trattamento;
    e) violazione dei dati personali: la violazione di sicurezza  che
comporta accidentalmente  o  in  modo  illecito  la  distruzione,  la
perdita, la modifica, la divulgazione non autorizzata o l'accesso  ai
dati personali trasmessi, conservati o comunque trattati.
                               Art. 2

                  Oggetto e ambito di applicazione

  1. La Presidenza del Consiglio dei ministri (di seguito PCM) e'  il
titolare del trattamento dei dati personali.
  2. Il presente decreto individua i soggetti medianti i quali la PCM
esercita le funzioni di titolare del trattamento dei dati personali.
  3. Le disposizioni del presente decreto si applicano alle  seguenti
articolazioni  organizzative  della  PCM:   dipartimenti   e   uffici
autonomi, come individuati all'art. 2 del decreto del Presidente  del
Consiglio dei ministri 1° ottobre 2012, e  gli  organismi  collegiali
presso gli stessi istituiti, uffici  di  diretta  collaborazione  del
Presidente e delle autorita' politiche delegate  dal  Presidente  del
Consiglio, strutture di missione.
  4. Sono autonomi titolari del trattamento  dei  dati  personali  le
strutture dei commissari straordinari del Governo di cui all'art.  11
della legge 23 agosto 1988,  n.  400,  le  strutture  dei  commissari
straordinari incaricati sulla base di leggi  speciali,  le  strutture
dei  rappresentanti  del  Governo  nelle  Regioni  e  nelle  Province
autonome di Trento  e  di  Bolzano,  nonche'  il  Dipartimento  della
protezione civile, la Scuola nazionale dell'amministrazione e l'UTA.
  5. Le strutture di cui al comma 4, provvedono  in  via  autonoma  a
tutti  gli  adempimenti  previsti  dal  regolamento,   nonche'   alla
designazione di un proprio RPD.
  6.  Ove  ricorra  l'ipotesi  di  contitolarita'  con  la  PCM,   le
rispettive responsabilita' sono disciplinate dagli  accordi  previsti
dall'art. 26 del regolamento.
                               Art. 3

                Esercizio delle funzioni di titolare
                 del trattamento dei dati personali

  1. In conformita' all'assetto organizzativo della PCM,  nell'ambito
delle strutture di cui all'art. 2, comma 3,  i  soggetti  individuati
per l'esercizio delle funzioni di titolare del trattamenti  dei  dati
personali, ciascuno nel rispettivo ambito di competenza, sono:
    a) i Capi dei Dipartimenti;
    b) i Capi degli uffici autonomi;
    c) i Capi degli uffici di diretta collaborazione del Presidente;
    d) i Capi di Gabinetto degli uffici di diretta collaborazione dei
Ministri e dei Sottosegretari;
    e) i  Coordinatori  delle  strutture  di  missione,  qualora  non
istituite presso strutture generali della PCM;
    f) il Coordinatore della Segreteria tecnica della Commissione per
le adozioni internazionali il Coordinatore del Servizio per i voli di
Stato,  di  Governo  e  umanitari,  tenuto  conto  della  particolare
posizione  di  autonomia  funzionale  e   gestionale   delle   unita'
organizzative cui sono preposti.
  2. Il Segretario generale esercita  le  funzioni  di  titolare  del
trattamento dei dati personali di cui all'art. 4.
  3. Per le attivita' a carattere trasversale, esercita  le  funzioni
di titolare del trattamento dei dati il Capo della Struttura generale
con competenza di coordinamento sulla materia.
  4. I Capi delle strutture  di  cui  al  comma  3,  impartiscono  le
necessarie istruzioni a tutti i dirigenti delle strutture  della  PCM
coinvolte nel trattamento.
                               Art. 4

                     Attivita' di coordinamento

  1.  Il  Segretario  generale  svolge  funzioni  di   coordinamento,
fornendo indicazioni di carattere generale alle strutture in  termini
di definizione delle  policy  in  materia  di  trattamento  dei  dati
personali.
  2. Il Segretario generale nomina il RPD e ne da'  comunicazione  al
Garante per  la  protezione  dei  dati  personali  e  alle  strutture
interessate.
  3. Per lo  svolgimento  delle  funzioni  di  cui  al  comma  1,  il
Segretario generale si avvale di una struttura di supporto tecnico  e
metodologico posta nell'ambito dell'Ufficio del Segretario generale.
                               Art. 5

                        Funzioni del titolare

  1. I soggetti di cui all'art. 3, nell'ambito  delle  strutture  cui
sono preposti, assicurano il rispetto di tutti gli obblighi  previsti
dal regolamento e dalla normativa nazionale in capo al  titolare  del
trattamento.
  2. I soggetti di cui al comma 1,  sono  tenuti  anche  a  porre  in
essere, nell'ambito delle proprie  Strutture  e  nel  rispetto  delle
proprie competenze  e,  ove  necessario,  in  collaborazione  con  il
Dipartimento per  i  servizi  strumentali  -  Ufficio  Informatica  e
telematica, misure tecniche e organizzative adeguate per garantire  e
dimostrare che  il  trattamento  dei  dati  personali  e'  effettuato
conformemente alle disposizioni del regolamento.
  3. Ai soggetti di cui al comma 1 sono altresi' affidati i  seguenti
compiti:
    a)  definire  finalita',  mezzi  di  trattamento   e   rispettive
responsabilita' in merito all'osservanza degli obblighi  previsti  in
caso di contitolarita' del dato personale ai sensi dell'art.  26  del
regolamento;
    b) designare gli autorizzati al trattamento  dei  dati  personali
sulla  base   delle   proposte   dei   dirigenti   responsabili   del
procedimento, fornendo  adeguate  istruzioni  per  il  loro  corretto
trattamento;
    c) stipulare i contratti di cui all'art.  28,  paragrafo  3,  del
regolamento, per disciplinare il rapporto  con  il  responsabile  del
trattamento di cui all'art. 7;
    d) notificare al Garante della protezione dei dati  personali  le
violazioni  dei  dati  personali  (data  breach)  e  provvedere  alla
comunicazione della  violazione  agli  interessati,  ai  sensi  degli
articoli 33 e 34 del Regolamento, secondo quanto disposto all'art. 9,
e darne informativa al Segretario generale e al RPD;
    e)  nominare  un  «referente  privacy»  della  struttura  per  il
supporto all'esercizio delle funzioni di titolare del  trattamento  e
alle attivita' di gestione degli adempimenti connessi alla protezione
dei dati nonche' come punto di contatto con il RPD;
    f) effettuare l'analisi del rischio e la valutazione dell'impatto
di cui all'art. 35 del regolamento;
    g) adottare misure appropriate al fine di  garantire  l'esercizio
dei  diritti  di  coloro  i  cui  dati  personali  sono  oggetto   di
trattamento previsti agli articoli da 15 a  18  e  da  20  a  22  del
regolamento;
    h) verificare la corretta  predisposizione  delle  informative  e
curarne il costante aggiornamento.
                               Art. 6

                    Responsabile della protezione
                         dei dati personali

  1. Il Segretario generale nomina il RPD della PCM fra  soggetti  in
possesso dei requisiti  previsti  dal  regolamento  e  stabilisce  la
durata dell'incarico.
  2. Il RPD assolve ai compiti previsti dall'art. 39 del  Regolamento
e agli eventuali altri compiti affidati allo  stesso  dal  Segretario
generale.
  3. Per lo svolgimento dei compiti attribuiti, qualora non sia stata
appositamente individuata, con  contratto  di  servizi  una  societa'
esterna, al RPD e' assegnato personale  di  supporto  con  specifiche
competenze giuridiche, informatiche, di analisi e reingegnerizzazione
di processi, di risk assessment e risk management,  anche  ricorrendo
ad esperti incaricati ai sensi dell'art. 9 del decreto legislativo 30
luglio 1999, n. 303.
  4. Il personale di cui al comma 3 e' collocato  in  una  struttura,
dotata di autonomia funzionale e gestionale, istituita  con  apposito
decreto del Presidente del Consiglio  dei  ministri  e  posta  presso
l'Ufficio del Segretario generale.
  5. La PCM sostiene il  RPD  nell'esecuzione  dei  compiti  ad  esso
affidati  assicurando  l'autonomia  e  le  risorse   necessarie   per
assolverli come previsto dall'art. 38 del regolamento.
                               Art. 7

               Registro delle attivita' di trattamento

  1. Il Segretario generale indica  alle  strutture  della  PCM,  con
proprio  atto,  le  modalita'  operative  per  l'organizzazione   del
registro delle attivita' di trattamento ai  sensi  dell'art.  30  del
regolamento.
  2.  I  soggetti  di  cui  all'art.  3,  provvedono  alla  tenuta  e
all'aggiornamento del registro delle attivita'  di  trattamento,  con
riferimento agli  ambiti  di  competenza  delle  strutture  cui  sono
preposti.
  3.  Il  Dipartimento  per  i  servizi   strumentali   assicura   la
disponibilita' di una procedura informatizzata di cui le strutture si
avvalgono  per  la  gestione  del   registro   delle   attivita'   di
trattamento.
                               Art. 8

                    Responsabile del trattamento

  1.  La  funzione  di  responsabile  del  trattamento  discende   da
contratto o altro  atto  giuridico,  sottoscritto  dal  titolare  del
trattamento ossia da chi ne esercita le funzioni, ai sensi  dell'art.
3.
  2. Il responsabile del  trattamento  tratta  i  dati  personali  in
applicazione di quanto espressamente  previsto  nel  contratto  o  in
altro atto giuridico di cui al comma 1, e ai sensi degli articoli 28,
29, 30 e 31 del regolamento, in ordine a:
    a) materia disciplinata e durata del trattamento;
    b) natura e le finalita' del trattamento;
    c) tipo di dati personali;
    d) categorie di interessati;
    e) obblighi e i diritti del titolare del trattamento.
                               Art. 9

                    Violazione dei dati personali

  1. Chiunque venga a conoscenza di una violazione dei dati personali
e'  tenuto  a  segnalarlo,  per  il  tramite  del  proprio  superiore
gerarchico, al soggetto che esercita  le  funzioni  di  titolare  del
trattamento che deve provvedere tempestivamente ai sensi del presente
articolo.
  2. Il responsabile del trattamento informa il soggetto che esercita
le funzioni di titolare del trattamento tempestivamente, dopo  essere
venuto a conoscenza della violazione.
  3.  Il  soggetto  che  esercita  le  funzioni   di   titolare   del
trattamento, ove possibile, notifica la violazione dei dati personali
al Garante della protezione dei  dati  personali  entro  72  ore  dal
momento in cui ne sia venuto a conoscenza, a meno che sia improbabile
che la stessa violazione  presenti  un  rischio  per  la  tutela  dei
diritti e delle liberta' delle persone  fisiche.  La  notifica  viene
effettuata, prevedendo almeno gli elementi indicati  al  paragrafo  3
dell'art. 33 del regolamento.
  4. La notifica al  Garante  della  protezione  dei  dati  personali
effettuata oltre le 72 ore, deve essere motivata.
  5. Le segnalazioni e le notifiche dei casi di violazione  dei  dati
personali  sono  comunicati  dai  soggetti  di  cui  all'art.  3,  al
Segretario generale e al RPD.
  6. Ulteriori, specifiche modalita' operative per la segnalazione  e
gestione dei casi di violazione dei  dati  personali  possono  essere
disciplinate  mediante  linee  guida  e   supportate   da   soluzioni
applicative messe a  disposizione  dal  Dipartimento  per  i  servizi
strumentali.
                               Art. 10

                     Autorizzati al trattamento

  1. I dirigenti della Presidenza  del  Consiglio  dei  ministri  che
trattano dati personali in relazione  alle  competenze  attribuite  o
comunque esercitate presso gli  uffici  cui  sono  preposti,  secondo
l'ordinamento della PCM, sono autorizzati al trattamento nel rispetto
delle misure e delle istruzioni adottate da chi esercita le  funzioni
di titolare del trattamento dei dati personali.
  2. E' autorizzato  al  trattamento  dei  dati  personali  tutto  il
personale in servizio presso la PCM  che  tratta  dati  personali  in
relazione alle competenze della unita' organizzativa  alla  quale  e'
stato assegnato, salvo eventuali diverse determinazioni adottate  dai
soggetti di cui all'art. 3.
                               Art. 11

                      Formazione del personale

  1. Il Dipartimento per il personale assicura  la  programmazione  e
l'organizzazione delle  attivita'  formative  del  personale  per  la
corretta applicazione delle disposizioni in  materia  di  trattamento
dei dati personali.
                               Art. 12

                                Oneri

  1. Gli oneri  aggiuntivi  derivanti  dall'attuazione  del  presente
decreto gravano sui pertinenti capitoli del  bilancio  di  previsione
della PCM, nei limiti delle risorse ivi disponibili.
  Il presente decreto e' trasmesso ai competenti organi di  controllo
ed e' pubblicato nella Gazzetta Ufficiale della Repubblica italiana.
    Roma, 25 maggio 2018

                                               p. Il Presidente     
                                          del Consiglio dei ministri 
                                          La Sottosegretaria di Stato
                                                    Boschi           

Registrato alla Corte dei conti il 5 giugno 2018
Ufficio controllo atti P.C.M. Ministeri giustizia  e  affari  esteri,
reg.ne prev. n. 1196