Servizi di Consulenza alla Pubblica Amministrazione

Tutti gli Enti Locali sono obbligati a pubblicare le attività di governo ai sensi del D.lgs 33/2013 e 97/2016 FOIA. Inoltre devono redigere il Piano Anticorruzione ai sensi dell’art. 1, comma 2 lett. b) della legge n. 190/2012.

La mia attività di consulenza supporta il Segretario Comunale (che è il Responsabile della Trasparenza Amministrativa e Anticorruzione) ad essere conforme ai requisiti imposti dalla legge con le seguenti attività:

• Raccolta documentale

• Audit per la redazione della mappatura dei processi e la valutazione dei rischi secondo l’allegato 5 del PNA

• Gestione degli aggiornamenti come stabilito per legge

• Pubblicazione nelle rispettive sezioni dell’albero della Trasparenza

• Formazione obbligatoria

IL 25 maggio 2018 entra in vigore l’obbligo per imprese e la Pubblica Amministrazione dell’applicazione del Regolamento Europeo indicato in oggetto.
In sintesi tale Regolamento stabilisce nuovi criteri per il trattamento dei dati personali così sotto indicati:
• I Fodamenti di liceità del trattamento: ogni trattamento deve trovare fondamento in un’idonea base giuridica; i fondamenti di liceità del trattamento sono indicati all’art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati).
• Informativa: il titolare DEVE SEMPRE specificare i dati di contatto del RPD-DPO, ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.). Il regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo. Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato
• Diritti degli interessati (accesso, cancellazione-oblio, limitazione del trattamento, opposizione, portabilità): Le modalità per l’esercizio di tutti i diritti da parte degli interessati sono stabilite, in via generale, negli artt. 11 e 12 del regolamento
• Titolare, responsabile, incaricato del trattamento: Il regolamento definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE (e, quindi, al Codice italiano)
• Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili (valutazione di impatto, registro dei trattamenti, misure di sicurezza, violazioni dei dati personali, nomina di un RDP-DPO): Il regolamento pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento

• Trasferimenti internazionali di dati: Il RGPD (si veda Capo V) ha confermato l’approccio attualmente vigente in base alla direttiva 95/46 e al Codice italiano per quanto riguarda i flussi di dati al di fuori dell’Unione europea e dello spazio economico europeo
In merito a quanto suindicato per la Pubblica Amministrazione e per le imprese con oltre 250 dipendenti è obbligatorio designare il “responsabile della protezione dati” (RPD, ovvero DPO se si utilizza l’acronimo inglese: Data Protection Officer)(si veda art. 37) riflette l’approccio responsabilizzante che è proprio del regolamento (si veda art. 39), essendo finalizzata a facilitare l’attuazione del regolamento da parte del titolare/del responsabile. Non è un caso, infatti, che fra i compiti del RPD rientrino “la sensibilizzazione e la formazione del personale” e la sorveglianza sullo svolgimento della valutazione di impatto di cui all’art. 35. Il regolamento tratteggia le caratteristiche soggettive e oggettive di questa figura (indipendenza, autorevolezza, competenze manageriali: si vedano artt. 38 e 39) in termini che il WP29 ha ritenuto opportuno chiarire attraverso alcune linee-guida di recente pubblicazione, disponibili anche sul sito del Garante, e alle quali si rinvia per maggiori delucidazioni.
Il DPO potrà essere una figura scelta dal titolare del trattamento tra il personale interno all’organizzazione oppure affidarsi ad’ una Società di Servizi che dovrà avere i seguenti requisiti:
1. possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali;
2. adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse;
3. operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio (RPD/DPO esterno)
Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della protezione dei dati le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.
Dovrà svolgere i seguenti compiti:
a) sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità;
b) collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA);
c) informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati;
d) cooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento;
e) supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento.
L’inosservanza a tale obbligo prevede sanzioni in capo al Titolare del trattamento dei dati e al DPO imposte dall’autorità di controllo capofila (Lead Supervisory Authority) in aggiunta a quelle stabilite già dal Codice della Privacy di natura penale, che (per le imprese in particolare) sanzioni amministrative pari al 4% del fatturato fino a 20 MLN di Euro.
In considerazione di ciò ( come previsto dal regolamento europeo 2016/679) Il DPO dovrà accertare e monitorare che il livello di sicurezza informatica sia adeguata per la protezione e la conservazione dei dati.
A tal proposito l’AgID ha predisposto il documento che contiene le indicazioni ufficiali per valutare e innalzare il livello di sicurezza informatica delle PA stabilendo i requisiti minimi che obbligatoriamente dovranno osservare entro la data del 31/12/2017.

In particolare offriamo i seguenti strumenti e servizi per il DPO:

1. Software certificato per gli adempimenti previsti dalla Privacy 2016/679, ovvero Accountability e Compliance, Registri dei trattamenti, mansionari, informative, analisi dei rischi.

2. Formazione per l’utilizzo

3. Assistenza e aggiornamenti

4. Eventuale gestione del servizio in outsourcing dietro affidamento diretto da parte del titolare del trattamento dei dati e del DPO.

5. Fornire la gestione completa come previsto dal Regolamento con esperti del settore Privacy come DPO per i singoli Comuni o consorziati, qualora la si voglia affidare all’esterno.

Per quanto attiene la parte relativa alla sicurezza informatica, offriamo i seguenti servizi.

1. VulnerabilIty Assessment per valutare lo stato di sicurezza della Vostra infrastruttura informatica con eventuale attività di Penetration Testing (Hacking Etico) ovvero test di intrusione da eventuali attacchi Informatici (Black Hat Hacker) dietro consenso sottoscritto dell’attività. Il report prodotto sarà consegnato ai vostri sistemisti per adottare gli accorgimenti previsti dall’AgID

2. Attività sistemistica per il ripristino della messa a norma dell’infrastruttura informatica secondo le linee guida imposte dall’AgID, se sprovvisti di personale interno specializzato;

3. Eventuali attività di recupero dati e archiviazione con sistemi avanzati di crittografazione oppure in Cloud.

4. Formazione