Il Garante per la protezione dei dati personali mette a disposizione l'aggiornamento 2018 della Guida all'applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali. Il documento - che traccia un quadro generale delle principali innovazioni introdotte dal Regolamento e fornisce indicazioni utili sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa - è stato in parte modificato e integrato alla luce dell'evoluzione della riflessione a livello nazionale ed europeo. Il testo potrà subire ulteriori aggiornamenti, allo scopo di offrire sempre nuovi contenuti e garantire un aggiornamento costante.

La Guida intende offrire un panorama delle principali problematiche che imprese e soggetti pubblici dovranno tenere presenti in vista della piena applicazione del regolamento, prevista il 25 maggio 2018. Attraverso raccomandazioni specifiche vengono suggerite alcune azioni che possono essere intraprese sin d’ora perché fondate su disposizioni precise del regolamento che non lasciano spazi a interventi del legislatore nazionale (come invece avviene per altre norme del regolamento, in particolare quelle che disciplinano i trattamenti per finalità di interesse pubblico ovvero in ottemperanza a obblighi di legge).

Vengono, inoltre, segnalate alcune delle principali novità introdotte dal regolamento rispetto alle quali sono suggeriti possibili approcci. La presente Guida è soggetta a integrazioni e modifiche alla luce dell’evoluzione della riflessione a livello nazionale ed europeo.

AdA

Scarica la Guida applicativa

Sul sito del Garante per la protezione dei dati personali sono disponibili nuove Faq sul Responsabile della Protezione dei Dati (RPD) in ambito privato (in aggiunta a quelle adottate dal Gruppo Art. 29 in Allegato alle Linee guida sul RPD):

1. Chi è il responsabile della protezione dei dati personali (RPD) e quali sono i suoi compiti?

Il responsabile della protezione dei dati personali (data protection officer – DPO) è una figura prevista dall'art. 37 del Regolamento (UE) 2016/679. Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all'applicazione del Regolamento medesimo. Coopera con l'Autorità (e proprio per questo, il suo nominativo va comunicato al Garante; (faq 6) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).

2. Quali requisiti deve possedere il responsabile della protezione dei dati personali?

Il responsabile della protezione dei dati personali, al quale non sono richieste specifiche attestazioni formali o l'iscrizione in appositi albi, deve possedere un'approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.

Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell'adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare. Deve inoltre agire in piena indipendenza (considerando 97 del Regolamento UE 2016/679) e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici.

Il responsabile della protezione dei dati personali deve poter disporre, infine, di risorse (personale, locali, attrezzature, ecc.) necessarie per l'espletamento dei propri compiti.

3. Chi sono i soggetti privati obbligati alla sua designazione?

Sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento che rientrino nei casi previsti dall'art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679. Si tratta di soggetti le cui principali attività (in primis, le attività c.d. di "core business") consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (per quanto attiene alle nozioni di "monitoraggio regolare e sistematico" e di "larga scala", v. le "Linee guida sui responsabili della protezione dei dati" del 5 aprile 2017, WP 243). Il diritto dell'Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati (art. 37, par. 4).

Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

4. Chi sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali?

Nei casi diversi da quelli previsti dall'art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679, la designazione del responsabile del trattamento non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: v. anche considerando 97 del Regolamento, in relazione alla definizione di attività "accessoria").

In ogni caso, resta comunque raccomandata, anche alla luce del principio di "accountability" che permea il Regolamento, la designazione di tale figura (v., in proposito, le menzionate linee guida), i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati.

5. È possibile nominare un unico responsabile della protezione dei dati personali nell'ambito di un gruppo imprenditoriale?

Il Regolamento (UE) 2016/679 prevede che un gruppo imprenditoriale (v. definizione di cui all'art. 4, n. 19) possa designare un unico responsabile della protezione dei dati personali, purché tale responsabile sia facilmente raggiungibile da ciascuno stabilimento (sul concetto di "raggiungibilità", v. punto 2.3 delle linee guida in precedenza menzionate). Inoltre, dovrà essere in grado di comunicare in modo efficace con gli interessati e di collaborare con le autorità di controllo.

6. Il responsabile della protezione dei dati personali deve essere un soggetto interno o può essere anche un soggetto esterno? Quali sono le modalità per la sua designazione?

Il ruolo di responsabile della protezione dei dati personali può essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti; l'incarico può essere anche affidato a soggetti esterni, a condizione che garantiscano l'effettivo assolvimento dei compiti che il Regolamento (UE) 2016/679 assegna a tale figura. Il responsabile della protezione dei dati scelto all'interno andrà nominato mediante specifico atto di designazione, mentre quello scelto all'esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto di servizi. Tali atti, da redigere in forma scritta, dovranno indicare espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.

Nell'esecuzione dei propri compiti, il responsabile della protezione dei dati personali (interno o esterno) dovrà ricevere supporto adeguato in termini di risorse finanziarie, infrastrutturali e, ove opportuno, di personale. Il titolare o il responsabile del trattamento che abbia designato un responsabile per la protezione dei dati personali resta comunque pienamente responsabile dell'osservanza della normativa in materia di protezione dei dati e deve essere in grado di dimostrarla (art. 5, par. 2, del Regolamento; v. anche i punti 3.2 e 3.3. delle linee guida sopra richiamate).

I dati di contatto del responsabile designato dovranno essere infine pubblicati dal titolare o responsabile del trattamento. Non è necessario - anche se potrebbe rappresentare una buona prassi - pubblicare anche il nominativo del responsabile della protezione dei dati: spetta al titolare o al responsabile e allo stesso responsabile della protezione dei dati, valutare se, in base alle specifiche circostanze, possa trattarsi di un'informazione utile o necessaria. Il nominativo del responsabile della protezione dei dati e i relativi dati di contatto vanno invece comunicati all'Autorità di controllo.

7. Il ruolo di responsabile della protezione dei dati personali è compatibile con altri incarichi?

Si, a condizione che non sia in conflitto di interessi. In tale prospettiva, appare preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero nell'ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT ecc.). Da valutare, in assenza di conflitti di interesse e in base al contesto di riferimento, l'eventuale assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale).

8. Il responsabile della protezione dei dati personali è una persona fisica o può essere anche un soggetto diverso?

Il Regolamento (UE) 2016/679 prevede espressamente che il responsabile della protezione dei dati personali possa essere un "dipendente" del titolare o del responsabile del trattamento (art. 37, par. 6, del Regolamento); ovviamente, nelle realtà organizzative di medie e grandi dimensioni, il responsabile della protezione dei dati personali, da individuarsi comunque in una persona fisica, potrà essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell'assolvimento dei propri compiti.

Qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest'ultimo potrà essere anche una persona giuridica (v. il punto 2.4 delle suddette Linee guida).

Si raccomanda, in ogni caso, di procedere a una chiara ripartizione di competenze, individuando una sola persona fisica atta a fungere da punto di contatto con gli interessati e l'Autorità di controllo.

AdA

Scarica le Linee guida sul RPD

fonte Garante Privacy

Con la delibera ANAC n. 318 del 28 marzo 2018 sono state emanate definitivamente le Linee Guida n. 9, sul monitoraggio delle amministrazioni aggiudicatrici sull’attività dell’operatore economico nei contratti di partenariato pubblico privato (PPP).

L’ANAC prima di procedere all’approvazione della delibera in argomento ha acquisito il parere obbligatorio del Ministero dell’economia e delle finanze, dell’Autorità di regolazione dei trasporti, dell’Autorità di regolazione per energia, reti e ambiente e dell’Autorità per le garanzie nelle comunicazioni mentre il Consiglio di Stato ha espresso il proprio parere n. 755 del 29 marzo 2017.

Nella prima parte del documento sono contenute indicazioni per l’identificazione e l’accurata valutazione dei rischi connessi ai contratti di PPP a partire dalla fase che precede l’indizione della procedura di gara.

Nella seconda parte sono riportate le prescrizioni sulle modalità di controllo dell’attività svolta dagli operatori economici in esecuzione di un contratto di PPP, da considerarsi vincolanti per le amministrazioni aggiudicatrici.

Le nuove Linee guida sono costituite da due parti contenenti l’Analisi e l’allocazione dei rischi (la prima) ed il monitoraggio dell’attività dell’operatore economico (la seconda).

AdA

Scarica le linee guida ANAC n. 9

Sono state pubblicate sulla Gazzetta Ufficiale n. 69 del 23 marzo 2018 le due delibere ANAC contenenti le linee guida ANAC n. 1, contenente gli indirizzi generali sull’affidamento dei Servizi attinenti all’ingegneria e all’architettura (SIA), e le linee guida ANAC n. 4, con le procedure per l’affidamento dei contratti pubblici di importo inferiore alle soglie di rilevanza comunitaria, indagini di mercato e formazione e gestione degli elenchi di operatori economici (sottosoglia), entrambe aggiornate al D.lgs. n. 56/2017 (c.d. Decreto correttivo). Le due nuove linee guida, che erano state già pubblicate sul sito dell'ANAC, entreranno in vigore il 7 aprile 2018.

In occasione dell’entrata in vigore del d.lgs. 56/2017, l’Autorità ha ritenuto opportuno procedere all’aggiornamento delle Linee guida n. 1, al fine di tener conto delle modifiche normative introdotte dal citato decreto e di alcune osservazioni e richieste di chiarimenti pervenute dalle stazioni appaltanti e dai professionisti. Inoltre, nell’ottica di tendere all’adozione di testi unici integrati, organici e omogenei per materia, si è ritenuto opportuno recepire all’interno delle Linee guida anche i chiarimenti forniti con il Comunicato del Presidente del 14 dicembre 2016.

L’aggiornamento è intervenuto a seguito di una consultazione pubblica che ha visto la partecipazione di 2 amministrazioni, 2 dipendenti pubblici, 6 associazioni di categoria, 3 società di ingegneria, 3 liberi professionisti e 2 altri soggetti, per un totale di 18 partecipanti.

Sempre sulla Gazzetta Ufficiale Serie Generale n.69 del 23 marzo 2018 è stata pubblicata anche la Delibera Anac numero 206 del 1 marzo 2018 che aggiorna al Decreto Legislativo 19 aprile 2017, n. 56 le Linee Guida n. 4, di attuazione del Decreto Legislativo 18 aprile 2016, n. 50, recanti “Procedure per l’affidamento dei contratti pubblici di importo inferiore alle soglie di rilevanza comunitaria, indagini di mercato e formazione e gestione degli elenchi di operatori economici”.

Queste Linee guida n. 4 aggiornate entrano in vigore il 7 aprile 2018 e sono redatte ai sensi dell’articolo 36, comma 7, del Codice dei contratti pubblici che affida all’Anac la definizione delle modalità di dettaglio per supportare le stazioni appaltanti nelle attività relative ai contratti di importo inferiore alla soglia di rilevanza europea e migliorare la qualità delle procedure, delle indagini di mercato nonché la formazione e gestione degli elenchi degli operatori economici.

A seguito della modifica introdotta con il decreto legislativo 19 aprile 2017, n. 56 (cd. decreto correttivo), l’Autorità è altresì chiamata ad indicare specifiche modalità di rotazione degli inviti e degli affidamenti e di attuazione delle verifiche sull’affidatario scelto senza gara, nonché di effettuazione degli inviti in caso di esclusione automatica delle offerte anormalmente basse.

L'Anac ha recepito nel testo alcune osservazioni del Consiglio di Stato. Tra le principali novità, sono previste più verifiche sugli affidamenti senza gara e, per agevolare le piccole e medie imprese, viene incentivata la rotazione degli inviti. Viene chiarito che, per quanto riguarda gli affidamenti sottosoglia, le procedure aperte ai soggetti interessati consentono la non applicazione del principio di rotazione.

AdA

Scarica le linee guida ANAC n. 1 “Indirizzi generali sull’affidamento dei servizi attinenti all’architettura e all’ingegneria”

Scarica le Linee Guida n. 4 “Procedure per l’affidamento dei contratti pubblici di importo inferiore alle soglie di rilevanza comunitaria, indagini di mercato e formazione e gestione degli elenchi di operatori economici”