Accessibilità, scadenza 31/03/2018

Rimando l’adempimento a farsi, si ricorda che la scadenza è ordinatoria e non perentoria.

Si ripresenta la scadenza contenuta nell’articolo 9 comma 7 del DL 179/12

“. Entro il 31 marzo di ogni anno, le amministrazioni pubbliche di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, pubblicano nel proprio sito web, gli obiettivi di accessibilita’ per l’anno corrente ((e lo stato di attuazione del “piano per l’utilizzo del telelavoro” nella propria organizzazione, in cui identificano le modalita’ di realizzazione e le eventuali attivita’ per cui non e’ possibile l’utilizzo del telelavoro. La redazione del piano in prima versione deve essere effettuata entro sessanta giorni dalla data di entrata in vigore della legge di conversione del presente decreto)). La mancata pubblicazione e’ altresi’ rilevante ai fini della misurazione e valutazione della performance individuale dei dirigenti responsabili.”

 

Quest’anno però la modalità è semplificata grazie ad alcuni automatismi pensati dall’AGID.

Per Usare il wizard di compilazione occorre :

1) Registarrsi al sito agid per l’accessibilità andando sul seguente indirizzo http://accessibilita.agid.gov.it/

2) Terminare la registrazione  inserendo un password

3) Accedere e compialre gli obiettivi dati dal format elettronico

4) Pubblicare la pagina – report dell’accessibilità in amministrazioen tarsparente, altri contenuti, accessibilità.

Si ricorda che l’adempimento, deve essere scritto di concerto con il RTD ex art. 17 D.Lgs 82/05.

 …d) accesso dei soggetti disabili agli strumenti informatici e promozione dell’accessibilita’ anche in attuazione di quanto previsto dalla legge 9 gennaio 2004, n. 4;

j) pianificazione e coordinamento del processo di diffusione, all’interno dell’amministrazione, dei sistemi di ((identita’ e domicilio digitale,)) posta elettronica, protocollo informatico, firma digitale o firma elettronica qualificata e mandato informatico, e delle norme in materia di accessibilita’ e fruibilita’ ((nonche’ del processo di integrazione e interoperabilita’ tra i sistemi e servizi dell’amministrazione e quello di cui all’articolo 64-bis)).

Quaderno GDPR -PARTE 2- IL CONSENSO

Iniziamo con una domanda , ” il consenso ha un ruolo centrale ? “, se non volete leggere tutto il post la risposta immediata è  NO!!!.

ll trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.

Partendo dal quarto considerando è evidente l’equiparazione  della circolazione delle informazioni con la protezione dei dati personali, come gia detto nella parte prima del quaderno intitolato al GDPR il reg. 2016/679 deve essere considerato tutt’uno con il reg. 2014/910 , uniformare le informazioni elettroniche per farle circolare protette.

Alcuni principi sono elevati a “valoriali” , quasi simboli di libertà, ma la liberta deve essere proprozionata e bilanciata , proprio per questo il citato considerando recita che “ll trattamento dei dati personali dovrebbe essere al servizio dell’uomo”.

E’ opportuno osservare che anche l’articolo iniziale del GDPR al par 3 ricorda che

La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali

Il consenso, principio valore e principio da attuare, tra il dire ed il fare c’è di mezzo…

Il principio generale, enunciato dall’articolo 5 recita che  i dati deovono essere

trattati in modo lecito corretto e trasparente nei confronti dell’interessato

Ma quando c’è la liceità nel trattamento ? la norma da risposta in senso “esclusivo” e spostandoci dal principio – valore, astrattamente e difficilmente applicabile in un modello organizzativo dei trattament dei dati , ad un modello attuativo occorre utilizzare un processo di controllo bifasico.

Si parte dall’articolo 6 del Regolamento rubricato appunto Liceità del trattamento

1.   Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a)

l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

b)

il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c)

il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

d)

il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;

e)

il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

f)

il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

E’ chiaro, nella prima fase di accertamento che è condizione necessaria ma non sufficiente che si sia almeno una delle condizioni legittimanti.

Appurato il possesso di una condizione al processo del trattamento dei dati occorre verificare la fase n.2 di valutazione della liceità,  ed in aiuto ci viene l’articolo 5

1.   I dati personali sono:

a)

trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);

b)

raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);

c)

adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);

d)

esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);

e)

conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);

f)

trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

Pur non volendo approfondire , deve essere chiara una cosa, il consenso è solo una delle condizioni che legittimano il trattamento dei dati, le altre sono , cfr art 6 :

b)

il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c)

il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

d)

il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;

e)

il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

f)

il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

Il trattamento di particolari categorie di dati personali .

Come per il vecchio codice, anche nel GDPR c’è una forte attenzione ad alcuni particolari dati personali, vediamo l’articolo 9

  È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

2.   Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:

a)

l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;

b)

il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;

c)

il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;

d)

il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato;

e)

il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;

f)

il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;

g)

il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato;

h)

il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;

i)

il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale;

j)

il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

E’ evidente che da un’apertura semanticamente riduttiva del paragrafo 1 si passa ad una copiosa serie di condizioni legittimanti.

Caratteristiche del consenso, la forma dello stesso.

L’articolo 7 del GDPR recita

Condizioni per il consenso

1.   Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.

2.   Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante.

3.   L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato.

4.   Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.

Il consenso è qualsiasi manifestazione di volontà chiara ed incontrovertibile di accettazione delle condizioni di trasparenza ( l’informativa) porposta dal titolare del trattamento dei dati , per meglio capire del consenso e della forma è necessario prendere in esama anche il 32 ° considerando

Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.

Quindi  :

  • il consenso è  atto di accettazione del trattamento dei dati
  • la forma del consenso non deve essere necessariamente scritto, l’importante è la chiara manifestazione di volontà adesiva al trattamento
  • il consenso dovrebbe essere inizialmente espresso per ogni finalità di trattamento specifico, con la trasparenza sull’oggetto, le mdalità di trattamento, la circolazione delle informazioni, la durata, etc

Importante è non sottovalutare la disciplina della durata del trattamento nella nota alla trasparenza sul trattamento dei dati, essendo da un punto di vista giuridico, secondo la classificazione del Galgano , un contratto di durata ( atto negoziale recettizio unilaterale). Tuttavia la durata può anche essere sine die .

Forma scritta ab substantiam ? ad probationem ? .NO ! come detto l’importante è la chiarezza della volontà nel formare un atto di autodeterminazione da chi può agire ( con la specialità dell’eta nell’agire dato dall’articolo 8, eccezionalmente 16 anni).

Tuttavia conviene focalizzarci nuovamente sull’articolo 5 par. 2

Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo

e sull’articolo 7 par 1

.   Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali

da qui si evince che la dimostrazione di un fatto scritto è racomandabile ,

Le nuove LL.GG. 4 ” PROCEDURE PER L’AFFIDAMENTO DEI CONTRATTI PUBBLICI DI IMPORTO INFERIORE ALLE SOGLIE DI RILEVANZA…

In questo breve post ci limiteremo a trattare degli affidamenti inferiori ad € 40.000, anche perchè proprio in questa fascia di prezzo troeveremo le novità piiù rilevanti .

Sorvolando le ormai più o meno abitudini consolidate, ad esempio la determinazione degli importi ex articolo 35 del Codice, i requisiti CAM dell’articolo 34 e la norma sui conflitti ex articolo 42 , ci soffermeremo sull’annosa questione degli inviti e defli affidamenti, che ad oggi sembrerebbe trovare una risoluzione nella motivazione forte finalizzata ad attuare il principio della concorrenza nell’accezione più amplia, a tal proproposito può essere di spunto la sentenza del TAR TOSCANA del 21/02/2018, che in sintesi riporto appresso e che allego integralmente :

Nel merito, il motivo è invece infondato; sul punto, è sufficiente richiamare la giurisprudenza, anche di questa Sezione (sentenza 22.12.2017 n. 1665), secondo cui: il principio di rotazione non ha carattere assoluto ma relativo, altrimenti esso limiterebbe il potere della stazione appaltante di garantire la massima partecipazione alla procedura di gara; si tratta di un principio servente e strumentale rispetto a quello della concorrenza (“Il principio di rotazione è servente e strumentale rispetto a quello di concorrenza e deve quindi trovare applicazione nei limiti in cui non incida su quest’ultimo. Nel caso di specie, all’avviso esplorativo hanno fornito riscontro due operatori di cui uno era il gestore uscente, e pertanto l’esclusione di quest’ultimo avrebbe limitato e non promosso la concorrenza nel mercato”, cfr. T.A.R. Toscana, II, 12.06.2017 n. 816); anche nella fattispecie, in presenza di due sole imprese (compreso il gestore uscente) la S.A. ha legittimamente deciso di ammettere Supermatic alla gara al fine di far prevalere l’esigenza del confronto concorrenziale rispetto al principio di rotazione.

Sul principio di rotazione degli inviti e degli affidamenti le LLGG 4 proposte, consigliano l’adozione di un regolamento che meglio disciplini le diverse casistiche in funzione di una ripartizione servizi/lavori/forniture sulle fasce di prezzo.

L’avvio della procedura .

Si ricorda che lavvio della procedura inizia con la determina a contrarre ( che deve essere corretta, svuotata di inutili richiami normativi , si può partire ad esempio dall’articolo 192 del D.lgs 267/00 nota dello scrivente ).

I requisiti generali e speciali

L’OE deve essere in possesso dei requisiti  di cui all’articolo 80 del D.Lgs 50/16, sommariamente:

  • idoneità professionale
  • capacita economica e finanziaria
  • capacità tecniche

A tal proposito, ricordo che vige ( e nel proseguire sarà ancora più chiaro ) l’articolo 15 del D.lgs 183/11.

Iniziamo ora a vedere qualche verà novità, i controlli sulle dichiarazioni rese per importo fino a 5000 euro, in caso di affidamento diretto, il RUP  proceduralmente stipulerà il contratto :

  • Dietro presentazione  di autocertificazione DPR 445/00 di possesso dei requisiti generali ( ed eventualmente anche speciali ex art 80)
  • Richiesta del DURC
  • Consultazione casellario ANAC

Per importi tra 5000 e 20000 € :

  • Acquisisce autocertificazioen 445/00
  • Consulta casellario ANAC con verifica dettagliata dei requisti dell’articolo 80 commi 1,4 e 5 lettera bcsul casellario ANAC

Per importi superiori ad € 20000 :

  • Procede come consuetudine di legge

In ogni caso queste semplificazioni sono facoltative, ed in fase di verifica successiva alla stipulazione, qualora le dichiarazioni fossero false si procederà con pronta comunicazione all’ANAC dell’illecito ( oltre che per dichiarazioni non vere) , si pagheranno solo i corrispettivi effettivamente maturati nei limiti dell’utilità ricevuta .TARTOSCANAROTAZIONE21FEBBRAIO2018

Controlli Agente delle Riscossioni, dal 1 Marzo il limite scende ad euro 5000.

L’articolo 1 comma  986 della L. 205/17  dimezza il limite dal quale iniziare interrogare la’gente delle riscossioni prima di pagare un proprio fornitore ( 48 bis DRP 602/73- DM 40/08),

quindi a partire dal primo Marzo occorre fare l’interrogazione con la procedura Controllo Inadempienze di Consip ( acquistinretepa.it) a partire da € 5000 .

All’articolo 48-bis, comma 1, del decreto del Presidente della Repubblica 29 settembre 1973, n. 602, la parola: « diecimila » e’ sostituita dalla seguente: « cinquemila »

Quaderno GDPR – PARTE I-

Strutturalmente  il General Data Protection Regulation – Regolamento Generale sulla Protezione dei Dati

non si allontana molto dal nostro vecchio Codice del trattamento, salvo alcune specificità :

  • L’informativa
  • La modalità del consenso ( e  la liceità del trattamento in forza del consenso bifasico )
  • Sanzioni più incisive
  • Consenso del minore

da un punto di vista formale, e da un punto di vista operativo l’introduzione del principio dell’ ACCOUNTABILITY, la vera rivoluzione .

Cosa cambia ?

E’ cambiata la società, sono cambiati i tempi sono cambiate le aspettative verso l’informazione .

La norma comunitaria, come quella nostrana , no è intitolata alla PRIVACY, ma al corretto trattamento dei dati, e soprattutto occorre fare una precisazione fondamentale di politica regolamentare , il Reg. 2016/679 ed il Reg . 2014/910 devono essere letti come una complessiva idea comunitaria con l’obiettivo di uniformare il modo di generare le informazioni e di farle circolare liberamente nel mercato .

Infatti l’informazione ( il dato personale riferibile ad una persona fisica ) è definito come

bene giuridico , economicamente valutabile ed oggetto di scambio .

Tuttavia per ben approfondire la nuova norma rcordiamo anche che l‘informazione ed il dato personale  oltre ad avere una definizione economica hanno anche una definzione data dalla carat Europea dei Diritti Fondamentale , infatti l’articolo 8 recita:

Protezione dei dati di carattere personale

1.   Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

2.   Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica.

3.   Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente.

Proprio da questo richiamo ( non solitario ed univoco come vedremo nei prossimi approfondimenti ) , è chiaro che la norma non è intitlata ed intitolabile alla PRIVACY o RISERVATEZZA , ma al corretto trattamento dei DATI, come chiarito fin dal titolo “Regolamento Generale sulla Protezione dei Dati”

Il diritto alla protezione dei dati tutela l’informazioen riferita ( ed anche riferibile) ad un individuo, non tutela la personalità complessiva, solo una parte .
Anzi , occorre ribadire, che la tutela dell’identità personale è un istituto molto presente nel nostro ordinamento a differenza di quello europeo e pur essendo di creazione giurisprudenziale ha ben raccolto favori e successi, uno fra tutti il diritto all’oblio, non sempre conosciuto e disciplinato in altre realtà tranfrontaliere.

Ora conviene fermarci un moemnto e vedere le differenze tra il diritto alla protezione dei dati ed il diritto alla riservatezza.

Il primo diritto , quello alla protezione dei dati personali, consiste nella possibilità in capo al soggetto i cui dati si riferiscono,di esercitare un controllo, e come detto trova fonte primaria nell’articolo 8 della Carta dei Diritti Fondamentali dell’UE .

Il diritto alla riservatezza , invece , si concretizza nell’escludere la conoscenza di vicende personali e familiari , e trae evidentemente origine proprio dalla pietra miliare della PRIVACY, l’articolo WARREN – BRANDEIS  sul

“RIGHT TO BE LET ALONE ” e sul ” JUS SOLITUDINES” .

Enunciati che ritroviamo all’aritolo 7 della Carta Europea :

Rispetto della vita privata e della vita familiare

Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni.

In Italia il diritto alla riservatezza è stato riconosciuto dalla Corte di Cassazione con pronuncia 2129/1975.

In estrema sintesi, il diritto alla protzione dei dati ed il diritto alla riservatezza hanno oggetto diverso, possono talvolta coincidere, esempio classico è LA CARTELLA CLINICA.

Spostiamo ora l’attenzione sul perchè nasce l’esigenza del GDPR, la risposta è chiara ed univoca , contenuta nel considerando n. 9 ;

Sebbene i suoi obiettivi e principi rimangano tuttora validi, la direttiva 95/46/CE non ha impedito la frammentazione dell’applicazione della protezione dei dati personali nel territorio dell’Unione, né ha eliminato l’incertezza giuridica o la percezione, largamente diffusa nel pubblico, che in particolare le operazioni online comportino rischi per la protezione delle persone fisiche. La compresenza di diversi livelli di protezione dei diritti e delle libertà delle persone fisiche, in particolare del diritto alla protezione dei dati personali, con riguardo al trattamento di tali dati negli Stati membri può ostacolare la libera circolazione dei dati personali all’interno dell’Unione. Tali differenze possono pertanto costituire un freno all’esercizio delle attività economiche su scala dell’Unione, falsare la concorrenza e impedire alle autorità nazionali di adempiere agli obblighi loro derivanti dal diritto dell’Unione. Tale divario creatosi nei livelli di protezione è dovuto alle divergenze nell’attuare e applicare la direttiva 95/46/CE.

Inoltre come all’inizio scritto bisogna ben ricordare che il GDPR è il completamento naturale e fisiologico dell’ EIDAS, letti assieme hanno l’obiettivo di creare il MERCATO UNICO DIGITALE delle informazioni.

Ovviamente i dati trattati non possono essere utilizzati senza nessuna regola, e di queste regole bisogna tenerne conto, da qui il principio dell’ACCOUNTABILITY , articolo 32 GDPR .

Sicurezza del trattamento

1.   Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a)

la pseudonimizzazione e la cifratura dei dati personali;

b)

la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c)

la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

d)

una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

2.   Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

3.   L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

4.   Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

L’articolo parla chairamente di misure :

  • TECNICHE
  • ORGANIZZATIVE
  • GESTIONALI

indi è necessario non commettere l’errore di delegare le politiche di sicurezza dei dati alla funzione informatica e basta.

La valutazione tecnico – gestionale deve avere le connotazioni proprie dei modelli organizzativi, dell’as is anlisys , della ricerca del gap, del management , dell’assessment, delle politica correttive, dei risultati attesi e dei correttivi sulla dispersione da questi.

Solo partendo dalla suddetta valutazione contempliamo  l’acconutability, che viaggerà su due livelli :

1) Misure obbligatorie e prova dell’attuazione

2) Misure e sistemi volontaristici.

La valutazione dell’impatto .

Ancor prima di iniziare un trattamento il titolare deve valutare i rischi e decidere le politiche ( policy, presidi, controlli e rendicontazione ) per minimizzare l’uso illecito dei dati personali .

Qualora siano i rischi residuali ( terminologia ISO 31000 ) siano elevati occorre la consultazione preventiva coll’Autorità Amministrativa Indipendente.

Il Bilanciamento degli interessi .

Fin dal 2003, con il D.Lgs 196/03 ho rappresentato una parte minoritaria della dottrina che considerava il diritto alla protezioen dei dati un diritto “fondamentale ma non troppo” , ma lottavo in un’arena dove la norma era intitolata alla PRIVACY ( o meglio PRAIVACI , scusatemi la poca aleganza ) , prendendomi sempre qualche bella soddisfazione .

Già si considerava l’informazione un bene economico, era quindi chiara la tendenza normativa, poi con il Reg.  UE 2014/910 sempre più mi son fatto forte del fatto che anche il legislatore stava correndo ai ripari ( lessicali , l’intento era chiaro anche nella direttiva 95/46/CE ) , poi nel 2015 una chiara sentenza della Corte di Cassazione, n. 10280/15 sez III recita e sancisce

IL DIRITTO ALLA PROTEZIONE DEI DATI PUR RIENTRANDO NEI DIRITTI FONDAMENTALI NON E’ UN “TOTEM AL QUALE POSSONO SACRIFICARSI ALTRI DIRITTI COSTITUZIONALMENTE GARANTITI” …IL DIRITTO ALLA PROTEZIONE DEI DATI DEVE ESSERE ” COORDINATO E BILANCIATO” CON LE NORME DI CARATTERE PUBBLICISTICO E PRIVATISTICO.

Poi, nel 2016 con il GDPR la massima chiarezza nella lettera del 4 ° considerando :

Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.

La norma sembrerà complessa, ma è chiara, ancora una volta avremo come interocutori faccendieri improvvisati che non hanno la minima conoscenza di norme pubbliche e di gestione organizzativa dell’azienda, ma quando sentite parlare di PRAIVACI scappate, chiedete di discutere sul Corretto Trattamento dei Dati..

Continua la nostra DIGITAL COMMEDIA .

A presto

WHISTLEBLOWER

Applicativo segnalazione di  illeciti

https://servizi.anticorruzione.it/segnalazioni/#/

 

Segnalazioni degli illeciti

Appresso il comunicato ANAC

 

Segnalazioni  di illeciti presentate dal dipendente pubblico (c.d. Whistleblower)

L’Autorità comunica che a partire dall’  8 febbraio 2018 sarà operativa l’applicazione informatica Whistleblower per l’acquisizione e la gestione, nel rispetto delle  garanzie di riservatezza previste dalla normativa vigente, delle segnalazioni  di illeciti da parte dei pubblici dipendenti, come definiti dalla nuova  versione dell’art. 54 bis del d.lgs.165/2001 e ss.mm.. Al fine, quindi, di  garantire la tutela della riservatezza, in sede di acquisizione della  segnalazione, l’identità del segnalante verrà segregata e lo stesso, grazie  all’utilizzo di un codice identificativo univoco generato dal sistema, potrà “dialogare”  con l’ANAC in maniera spersonalizzata, tramite la piattaforma informatica.
Quanto sopra per evidenziare che a  partire dalla entrata in esercizio del suddetto portale, potrà essere garantita  la massima riservatezza esclusivamente alle segnalazioni pervenute tramite il descritto  sistema. Conseguentemente, le segnalazioni inoltrate, a partire dall’entrata in  vigore della legge n. 179/2017, tramite ogni altro canale (telefono, posta  elettronica, certificata e non, protocollo generale), dovranno essere  nuovamente inoltrate utilizzando solo e unicamente la piattaforma

Incontro di (in)formazione in materia di sicurezza dei dati. Il 25 maggio è davvero prossimo!

C.A. Dirigenti Scolastici e Direttori S.G.A.

Oggetto: Incontro di (in)formazione su temi normativi cogenti

La Consulenti Associati S.a.s. di Elisa Carotenuto ed il dott. Vincenzo De Prisco di pregiano di invitarVi all’incontro che si terrà il giorno 22 febbraio p.v. alle ore 10.00 presso l’I.C. “Amalfi Massa” di Piano di Sorrento, via Ciampa.

Il programma dell’incontro verterà sui seguenti argomenti:

  • Il Codice dell’Amministrazione Digitale, tra modifiche, riedizioni ed il D.Lgs. 217/17
  • Il Corretto Trattamento dei Dati tra social e privacy
  • Il Regolamento Europeo 2016/679. Cosa cambia?
  • La sicurezza informatica tra Agid e GDPR. Minima o adeguata?

Vi aspettiamo!

Cordialmente, Elisa e Vincenzo