DELIBERAZIONE DEL DIRETTORE GENERALE

Transcript

1 QUALITA' DELLE PRESTAZIONI, CONTROLLO DI GESTIONE, PERFORMANCE, DIGITALIZZAZIONE E INNOVAZIONE TECNOLOGICA REPERTORIO ANNO NUMERO DELIBERAZIONE DEL DIRETTORE GENERALE X ORIGINALE COPIA NUMERO 51 DATA DI ADOZIONE 24/05/2019 OGGETTO: ATTO DI DESIGNAZIONE DEL RESPONSABILE DELLA PROTEZIONE DEI DATI PERSONALI (RDP) AI SENSI DELL ART. 37 DEL REGOLAMENTO UE 2016/ Estensore Giovanni Tremante Responsabile del Procedimento Giovanni Tremante Dirigente Giovanni Tremante

2 Vista la L.R. 64/98 istitutiva dell Agenzia Regionale per la Tutela dell Ambiente ARTA Abruzzo così come modificata dalla L.R. 27/2010; Vista la DGR n del 1 dicembre 1999 con la quale è stata costituita l Agenzia con sede legale in Pescara; Visto il Regolamento ARTA approvato con DGR n. 689 del 30/09/2013; Vista la Delibera del Direttore Generale n.48 del 25/05/2018; Premesso che: - il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)» (di seguito RGPD), in vigore dal 24 maggio 2016, e applicabile a partire dal 25 maggio 2018, introduce la figura del Responsabile dei dati personali (RDP) (artt ); - il predetto Regolamento prevede l obbligo per il titolare o il responsabile del trattamento di designare il RPD «quando il trattamento è effettuato da un autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali» (art. 37, paragrafo 1, lett a); - le predette disposizioni prevedono che il RPD «può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi» (art. 37, paragrafo 6) e deve essere individuato «in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all articolo 39» (art. 37, paragrafo 5) e «il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento» (considerando n. 97 del RGPD); CONSIDERATO che l ARTA è tenuta alla designazione obbligatoria del RPD nei termini previsti, rientrando nella fattispecie prevista dall art. 37, par. 1, lett a) del RGPD; VISTO il Regolamento dell ARTA Abruzzo attuativo del Regolamento UE 2016/679 in materia di protezione dati personali approvato con delibera n. 47 del 25/5/2018; PRESO ATTO dei preventivi proposti dalla Ditta SI.NET Servizi Informatici Srl di Milano con prot. n del 23/5/2019 così articolati: 1. Attività di Responsabile della Protezione dei Dati: - supporto adeguato attraverso la costituzione di un ufficio composto da professionisti con competenze normative, tecnologiche e organizzative, in grado di garantire una presenza capillare sul territorio e fornire il supporto necessario in ogni specifico contesto. Lo staff è composto da soggetti con una pluriennale esperienza nel settore della pubblica amministrazione e conoscenze nell'ambito privacy e data protection, che si estendono a contesti strettamente correlati come la dematerializzazione documentale, l'analisi dei processi, la trasparenza amministrativa, la comunicazione on line e l'accessibilità web, la sicurezza informatica e l'analisi

3 del rischio; - un gruppo di lavoro con un docente universitario di Organizzazione aziendale per le pubbliche amministrazioni con certificazione PMI, un professionista ICT con certificazione Lead Autitor ISO 27001, 4 Senior ICT manager, 4 tecnici informatici. Tutti i componenti del gruppo di lavoro hanno diversi anni di esperienza nel settore della pubblica amministrazione. Tali soggetti, in caso di specifiche necessità, possono essere affiancati dal personale di SI.net che lavora quotidianamente presso enti pubblici, con diverse certificazioni tecniche e di project management; - la figura di capo progetto che verrà designato Responsabile della Protezione dei Dati; tale soggetto fungerà da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, come previsto dall'art. 39 del GDPR, sorveglierà l osservanza del GDPR presso l ARTA, fornirà assistenza tecnica sulla corretta applicazione del suddetto regolamento. La persona che svolgerà tale ruolo è l Ing. Aldo Lupi, che lavora da oltre 15 anni nel settore della Pubblica Amministrazione, occupandosi nello specifico di affiancamento agli enti sui temi della privacy e protezione dei dati, gestione dei sistemi informatici e sviluppo di progetti ad alta innovazione tecnologica; oltre alla laurea in Ingegneria Informatica ha conseguito una certificazione TUV per Privacy Officer e Consulente Privacy; - l aspetto economico che prevede per le predette prestazioni il costo annuo di euro 4.420,00 + iva, risultato compatibile e congruo per la tipologia di servizio offerto; 2. Servizio di mantenimento annuale adeguamento GDPR: - Definizione dello stato di applicazione e definizione delle possibili evoluzioni e miglioramenti. L attività consiste nell analisi dello stato di attuazione ed implementazione del sistema di gestione privacy dell organizzazione e l indicazione di possibili scenari di evoluzione e miglioramento. - Supporto per l approfondimento sulle modalità operative legate alla pubblicazione dei dati personali on-line e la redazione degli atti amministrativi destinati alla pubblicazione. L attività comprende 1 incontro annuale di 4 ore con i responsabili interni per approfondire i temi della pubblicazione dei dati personali on-line e la redazione degli atti amministrativi destinati alla pubblicazione. - Supporto per la revisione della documentazione di nomina dei responsabili e di autorizzazione dei dipendenti. L attività comprende 1 incontro annuale di 4 ore con i responsabili interni per rivedere le modalità di nomina dei responsabili esterni e degli soggetti autorizzati, approfondendo le modalità di lavoro ordinarie ed i casi specifici. - Revisione ed eventuale modifica dei processi per la redazione dell analisi di impatto privacy in caso di nuovi trattamenti e del Data Breach. L attività consiste nella revisione ed eventuale modifica del processo di Analisi di Impatto Privacy e del processo di Data Breach in base alle modificate esigenze dell ente. - Formazione generica al personale in ambito privacy e sicurezza. L attività consiste in 2 sessioni formative di 3,5 ore da svolgersi presso la sede dell ente. Tali incontri, a scelta dell ente, potranno vertere su seguenti temi: obblighi e responsabilità derivanti dal trattamento dei dati personali; politiche e modalità di lavoro adottate dall Ente in tema di protezione dati personali per tutto il personale; rischi e misure di sicurezza; pubblicazione dati personali on-line e redazione degli atti amministrativi; altri specifici temi concordati con l Ente. - Supporto all ente per l analisi di situazioni specifiche. L attività consiste nel supporto all Ente per analizzare ed approfondire specifiche esigenze o situazioni che si presenteranno. Le

4 richieste di supporto gestite tramite sistema di ticketing ed effettuate da remoto. - Servizio newsletter informativa GDPR. Per tutta la durata del canone il servizio prevede l invio periodico di newsletter informative di approfondimento sui temi maggiormente di interesse e le novità. - Portale documentazione, modelli, procedure. Per tutta la durata del canone il servizio prevede la diponibilità di un portale ad accesso controllato contenente materiale: esempi atti; esempi modelli nomine responsabili esterni; esempi clausole contrattuali in tema di protezione dati; esempi modelli informative; esempi modelli nomina autorizzati; webinar registrati e sempre disponibili per la visione; esempi di procedure operative; documentazione di approfondimento. Il contenuto del portale verrà costantemente aggiornato ed integrato; - l aspetto economico che prevede per le predette prestazioni il costo annuo di euro 3.220,00 + iva, risultato compatibile e congruo per la tipologia di servizio offerto. RITENUTO che il capoprogetto designato dalla predetta Società sia in possesso del livello di conoscenza specialistica e delle competenze richieste dall art. 37, par. 5, del RGPD, per la nomina a RPD, e non si trovi in situazioni di conflitto di interesse con la posizione da ricoprire e i compiti e le funzioni da espletare; VISTO il parere favorevole di regolarità amministrativa espresso dal Direttore Amministrativo; VISTO il parere favorevole di regolarità tecnica espresso dal Direttore Tecnico; DELIBERA Le premesse costituiscono parte integrale e sostanziale del presente atto. 1) Di designare la Ditta SI.NET Servizi Informatici Srl di Milano Responsabile della protezione dei dati personali (RPD) per l ARTA Abruzzo, nella figura del capo progetto Ing. Aldo Lupi, Responsabile della protezione dei dati personali (RPD) per l ARTA Abruzzo per il periodo di una anno, con decorrenza dalla data di esecutività della presente delibera. 2) Di precisare che il predetto, nel rispetto di quanto previsto dall art. 39, par. 1, del RGPD è incaricato di svolgere, in piena autonomia e indipendenza, i seguenti compiti e funzioni: a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal RGPD, nonché da altre disposizioni nazionali o dell Unione relative alla protezione dei dati; b) sorvegliare l osservanza del RGPD, di altre disposizioni nazionali o dell Unione relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo; c) fornire, se richiesto, un parere in merito alla valutazione d impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell articolo 35 del RGPD; d) cooperare con il Garante per la protezione dei dati personali; e) fungere da punto di contatto con il Garante per la protezione dei dati personali per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all articolo

5 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione; 3) Di evidenziare che l ARTA si impegna a: a) mettere a disposizione del RPD le risorse umane e finanziarie necessarie al fine di consentire l ottimale svolgimento dei compiti e delle funzioni assegnate; b) non rimuovere o penalizzare il RPD in ragione dell adempimento dei compiti affidati nell esercizio delle sue funzioni; c) garantire che il RPD eserciti le proprie funzioni in autonomia e indipendenza e in particolare, non assegnando allo stesso attività o compiti che risultino in contrasto o conflitto di interesse. 4) Di disporre che il nominativo e i dati di contatto del RPD (recapito postale, telefono, ) siano resi disponibili sul sito istituzionale dell Agenzia e comunicati al Garante per la protezione dei dati personali; 5) Di incaricare il Dirigente della Sezione "Qualità delle prestazioni, controllo di gestione, performance, digitalizzazione e innovazione tecnologica" a provvedere agli adempienti necessari per il relativo impegno di spesa; 6) Di rendere il presente atto immediatamente esecutivo. Data, 24/05/2019 IL DIRETTORE GENERALE CHIAVAROLI FRANCESCO / ArubaPEC S.p.A.