Delibera n. 21025

Attribuzione di compiti e autorizzazione al trattamento dei dati personali, ai sensi del Regolamento (UE) n. 679/2016 e del d.lgs. 30 giugno 2003, n. 196

LA COMMISSIONE NAZIONALE PER LE SOCIETÀ E LA BORSA

VISTA la l. 7 giugno 1974, n. 216, di conversione in legge, con modificazioni, del d.l. 8 aprile 1974, n. 95, e successive modificazioni;

VISTO il d.lgs. 24 febbraio 1998, n. 58, recante il Testo unico delle disposizioni in materia di intermediazione finanziaria, e successive modificazioni;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito anche "GDPR");

VISTO il d.lgs. 30 giugno 2003, n. 196, e successive modificazioni, recante il "Codice in materia di protezione dei dati personali, come da ultimo modificato ed integrato dal decreto legislativo 10 agosto 2018, n. 101, recante "Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati";

VISTO il Regolamento di organizzazione e funzionamento della Consob, adottato con delibera n. 8674 del 17 novembre 1994, resa esecutiva con d.p.c.m. del 25 novembre 1994, e successive modificazioni;

VISTO il Regolamento del personale della Consob, approvato con delibera n. 13859 del 4 dicembre 2002, resa esecutiva con d.p.c.m. del 30 dicembre 2002, e successive modificazioni;

VISTO il Regolamento per l'amministrazione e la contabilità della Consob, adottato con delibera n. 18540 del 24 aprile 2013, resa esecutiva con d.p.c.m. del 22 maggio 2013;

VISTA la delibera n. 18697 del 13 novembre 2013, recante autorizzazione agli impegni di spesa;

VISTA la delibera 20885 del 18 aprile 2019, recante la nomina del Responsabile della Protezione dei dati personali della Consob, in conformità all'art. 37 del Regolamento (UE) 2016/679;

VISTO l'articolo 4, n. 7), del GDPR, ai sensi del quale il titolare del trattamento è "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali";

VISTO l'articolo 4, n. 8) del GDPR, ai sensi del quale il responsabile del trattamento è "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento";

VISTO l'art. 28, par. 3, del GDPR, ai sensi del quale i trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento;

CONSIDERATO che la Consob, quale persona giuridica di diritto pubblico, nel complesso delle Unità organizzative in cui si articola la sua struttura, è titolare del trattamento dei dati personali, ai sensi dell'art. 4, Regolamento (UE) 2016/679;

VISTO l'art. 2-quaterdecies, d.lgs. 30 giugno 2003, n. 196, ai sensi del quale "1. il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell'ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità. 2. Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento di dati personali le persone che operano sotto la propria autorità diretta»";

VISTO l'art. 4, co. 1 del Regolamento del Personale della Consob, ai sensi del quale "il Direttore Generale, ai sensi dell'art. 2, comma 4, sub art. 1 della legge 7 giugno 1974, n. 216, e successive modificazioni e integrazioni, assicura il coordinamento dell'intero operato dell'Amministrazione, secondo le direttive del Presidente e sulla base dei compiti e delle attribuzioni definiti nel Regolamento concernente l'organizzazione ed il funzionamento della CONSOB e nel Regolamento per l'amministrazione e la contabilità della CONSOB. Adotta i provvedimenti di cui ai successivi artt. 17, 22, 33, 81, 83, 84 e 86 e cura tutte le altre funzioni demandategli dal presente Regolamento, dai suddetti Regolamenti, ovvero da specifiche deliberazioni della Commissione;"

CONSIDERATO che, ai sensi dell'art. 26, co. 1, del Regolamento di organizzazione e funzionamento della Consob, le strutture dipendenti dalla Commissione si articolano in divisioni ed uffici;

CONSIDERATO altresì che, in base all'art. 4, co. 1, del Regolamento del Personale, Parte I, e all'art. 26, co. 4, del Regolamento di organizzazione e funzionamento della Consob, al Direttore Generale compete il coordinamento operativo delle strutture dipendenti della Commissione e che ai sensi dell'art. 27, dello stesso Regolamento di organizzazione e funzionamento, spetta al Direttore Generale assicurare lo svolgimento delle attività strumentali dell'Istituto, anche mediante istruzioni e direttive;

VISTA la delibera n. 19091 del 23 dicembre 2014 con la quale, in vigenza delle previsioni contenute negli artt. 29 e 30, d.lgs. n. 196/2003, oggi abrogati, la Consob aveva individuato, rispettivamente, quali "responsabili del trattamento dei dati personali" i Responsabili di Divisione e di Ufficio non coordinato (e, per le aree di rispettiva competenza, il Direttore Generale e il Segretario Generale) e, quali "incaricati del trattamento dei dati personali" i dipendenti in servizio presso l'Istituto;

RITENUTO necessario procedere all'aggiornamento delle previsioni contenute nella Delibera n. 19091/2014, tenuto conto del mutato quadro normativo;

RITENUTO che il Direttore Generale, in ragione delle funzioni attribuitegli dal Regolamento di organizzazione e dal Regolamento del personale della Consob, possa altresì sottoscrivere gli atti di incarico di Responsabile del trattamento dei dati personali affidati ai sensi dell'art. 28 Regolamento (UE) 2016/679 e che tali incarichi, ove connessi o conferiti nell'ambito di contratti per l'affidamento di lavori, servizi o forniture, possano essere altresì sottoscritti dal soggetto cui compete, in base alla normativa della Consob, la potestà di firma degli atti negoziali;

RITENUTO altresì che il Direttore Generale, in ragione delle funzioni attribuitegli dal Regolamento di organizzazione e funzionamento e dal Regolamento del personale della Consob, sia il soggetto cui compete, in linea con gli indirizzi della Commissione e anche con il supporto del Responsabile per la protezione dei dati personali, il compito di fornire istruzioni ed indicazioni generali in materia di trattamento dei dati personali;

RITENUTO altresì di individuare nelle figure del responsabile di Divisione e del responsabile di Ufficio non coordinato i soggetti che, per ruolo, esperienza, capacità ed affidabilità, forniscono idonea garanzia del rispetto delle vigenti disposizioni in materia di trattamento dei dati personali, ivi compreso il profilo relativo alla sicurezza;

D E L I B E R A:

Art. 1
(Attribuzione di compiti e autorizzazione al trattamento di dati personali)

1. Ai responsabili delle Divisioni e degli Uffici non coordinati è attribuita la vigilanza sull'osservanza, da parte del personale addetto alle unità organizzative cui ciascuno di essi è preposto, della normativa europea e nazionale in materia di trattamento dei dati personali e delle connesse disposizioni e procedure interne.

2. Al Direttore Generale e al Segretario Generale, in relazione alle operazioni di trattamento dei dati personali eseguite, rispettivamente, presso la Direzione Generale e presso il Segretario Generale, è attribuita la vigilanza sull'osservanza, da parte del personale addetto, della normativa europea e nazionale in materia di trattamento dei dati personali e delle connesse disposizioni e procedure interne.

3. Il personale in servizio presso l'Istituto a qualunque titolo, incluso il personale comandato/distaccato da altre amministrazioni, è autorizzato al trattamento dei dati personali effettuato nell'ambito delle competenze dell'unità organizzativa alla quale è assegnato, nel rispetto della normativa europea e nazionale in materia di trattamento dei dati personali e delle connesse disposizioni e procedure interne.

Art. 2
(Istruzioni del titolare)

1. Nell'effettuare il trattamento dei dati personali i soggetti di cui all'articolo 1 si attengono ai seguenti principi:

• il trattamento deve essere lecito, corretto e trasparente (principio di liceità, correttezza e trasparenza);

• le finalità del trattamento dei dati personali devono essere determinate, esplicite e legittime e i dati devono essere trattati in modo non incompatibile con tali finalità (principio di limitazione delle finalità);

• i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (principio di minimizzazione dei dati);

• i dati personali devono essere esatti e, se necessario, aggiornati anche prevedendo misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (principio di esattezza);

• i dati personali devono essere conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (principio di limitazione della conservazione);

• il trattamento deve avvenire in modo da garantire un'adeguata protezione dei dati personali, mediante ricorso a misure tecniche e organizzative idonee a presidiarli dal rischio di trattamenti non autorizzati o illeciti, dalla perdita o dalla distruzione, nonché dal danno accidentale (principio di integrità e riservatezza).

2. I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite possono essere realizzate mediante dati anonimi ovvero con modalità che permettono di identificare l'interessato solo in caso di necessità.

3. In conformità con i principi descritti nel presente articolo, con la normativa in materia di protezione di dati personali e con gli indirizzi della Commissione, il Direttore Generale, nell'esercizio delle funzioni di coordinamento affidategli dal Regolamento di Organizzazione e funzionamento, fornisce indicazioni di carattere generale e definisce le misure organizzative e di sicurezza nonché le procedure interne in materia di trattamento dei dati personali.

Art. 3
(Responsabile del trattamento)

1. Per Responsabile del Trattamento si intende il soggetto, pubblico o privato, esterno alla Consob, che, ai sensi dell'art. 28, Regolamento (UE) 2016/679, effettua il trattamento dei dati personali per conto della Consob.

2. L'incarico di Responsabile del trattamento dei dati personali, predisposto in conformità con quanto previsto dall'art. 28 dello stesso Regolamento (UE) 2016/679, è sottoscritto dal Direttore Generale ovvero, qualora inserito nell'ambito di un contratto per l'affidamento di lavori, servizi o forniture, dal soggetto al quale compete la firma del contratto, in base al Regolamento per l'amministrazione e la contabilità ed alla normativa in materia di impegni di spesa.

Art. 4
(Pubblicazione ed entrata in vigore)

1. La presente delibera è pubblicata nel Bollettino della Consob ed entra in vigore il giorno successivo alla sua pubblicazione.

2. A tale data è altresì, abrogata la delibera n. 19091 del 23 dicembre 2014.

1 agosto 2019

IL PRESIDENTE
Paolo Savona