Circolare n. 123/2015, l’INPS aggiorna il suo Modello Organizzativo sulla Privacy
Nella circolare n. 123 del 18/06/2015, dopo aver menzionato i principi, gli obblighi e i limiti imposti dal Codice Privacy (D. Lgs. n. 196/2003), in particolare per quanto concerne il trattamento di dati sensibili e giudiziari, l’INPS ricorda di essersi dotata di un proprio Regolamento con deliberazione del 13 Dicembre 2006 n. 343, in relazione al trattamento di questa delicata tipologia di dati personali e invita i suoi dipendenti a prenderne visione. Il Regolamento specifica le attività istituzionali dell’INPS che implicano il trattamento di dati sensibili, individuando, per ciascuna di esse, le disposizioni di legge che autorizzano il trattamento e individuano le finalità di rilevante interesse pubblico perseguite dall’Inps, differenziando i tipi di dati sensibili e le operazioni eseguibili. Non è consentito effettuare trattamenti di dati sensibili e giudiziari, al di fuori delle ipotesi contemplate da tale Regolamento e il trattamento che viola tali disposizioni, configura un illecito che può avere conseguenze penali, civili e amministrative.
L’INPS, in quanto soggetto pubblico (art. 18, comma 4), agisce senza necessità di chiedere il consenso agli interessati, ma è tenuto a rispettare l’obbligo di fornire l’informativa ex art. 13 del Codice Privacy. Per rispettare tale dovere, l’ente ha predisposto un’informativa generica disponibile sul sito web e informative specifiche, diverse in base al tipo di trattamento, esse sono apposte di norma in calce ai moduli di domanda delle prestazioni e presenti presso le sedi territoriali.
Nel suo modello organizzativo, l’INPS individua le figure principali coinvolte nel trattamento dei dati personali:
- IL TITOLARE, ovvero l’Inps nel suo complesso, secondo quanto disposto dall’art. 28 del Codice Privacy, che esercita il potere decisionale e autonomo sulle modalità e finalità del trattamento dei dati, anche in relazione al profilo relativo alla sicurezza;
- IL/I RESPONSABILE/I, ovvero i soggetti che sovraintendono all’intero processo di trattamento nel rispetto di quanto impartito dal titolare. Sono designati responsabili i Direttori generali delle strutture di livello dirigenziale, relativamente al complesso di attività e alle operazioni svolte nell’ambito della struttura cui sono preposti;
- GLI INCARICATI, ovvero coloro che materialmente effettuano il trattamento dei dati, quindi in sostanza tutti i dipendenti INPS , i quali sono nominati incaricati con l’ordine di servizio con cui il Direttore della struttura assegna loro ad una unità organizzativa. Possono svolgere operazioni di trattamento limitatamente alle attività connesse al loro ruolo e all’ unità operativa cui sono stati assegnati.
- RESPONSABILI ESTERNI, anche l’INPS mediante contratto o convenzione opera in collaborazione con outsourcers che vengono nominati quali responsabili esterni, cui sono impartite dall’INPS direttive e istruzioni cui attenersi nel trattamento dei dati personali. L’INPS, inoltre, provvede a verificare periodicamente che il loro operato rispetti le regole impartite e le norme con l’intervento dell’Ufficio Centrale di monitoraggio e coordinamento in materia di protezione dei dati personali e accesso alle banche dati, istituito presso l’ente.
La circolare ricorda ai propri dipendenti e collaboratori le sanzioni previste dal Codice Privacy, nello specifico menziona quelle
- penali, in particolare, l’art. 167: chi agisca al fine di trarne per sé o per altri profitto o di recare ad altri un danno, trattando dati personali in violazione della normativa, è punito con pene detentive che possono arrivare anche a tre anni di reclusione;
- e civili, art. 15: chiunque cagioni “danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile” e “il danno non patrimoniale è risarcibile anche in caso di violazione dell'articolo 11” che definisce le modalità generali cui attenersi nel trattamento e i requisiti dei dati.
Il trattamento dei dati personali, come peraltro ricorda anche la presente circolare, è qualificato come attività pericolosa ai sensi dell’art. 2050 c.c., pertanto, da questo deriva un’inversione dell’onere della prova nell’eventuale azione risarcitoria. Seguono la circolare due allegati, in cui l’INPS fornisce istruzioni specifiche rispettivamente a Responsabili Interni e Incaricati.