Online il sito www.foia.gov.it – Ministro per la Semplificazione e la Pubblica Amministrazione

Il nuovo diritto di accesso civico generalizzato dei cittadini è ancora più semplice grazie al lavoro del Dipartimento della funzione pubblica che ha predisposto un sito esplicativo di supporto per tutte le amministrazioni pubbliche. L’indirizzo è www.foia.gov.it ed all’interno sono illustrati strumenti e indicazioni operative relative all’attuazione della normativa comunemente conosciuta come Freedom of Information Act (FOIA).

Nel sito, costantemente aggiornato e ampliato dal Centro nazionale di Competenza FOIA istituito presso il Dipartimento della funzione pubblica, è possibile trovare:

  • i riferimenti normativi che a più livelli disciplinano l’istituto dell’accesso generalizzato e ne regolano l’attuazione;
  • le indicazioni operative, FAQ e strumenti a supporto della gestione delle diverse fasi del procedimento FOIA;
  • i risultati dell’attività di monitoraggio dell’attuazione della norma;
  • una raccolta dei pareri del Garante per la protezione dei dati personali e della giurisprudenza in materia.

Link al sito: http://www.foia.gov.it/

Annunci

Parere sullo schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 – 22 maggio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

Visto l’articolo 13 della legge 25 ottobre 2017, n. 163, recante “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea (Legge di delegazione europea 2016/2017)”;

Visto l’articolo 154 del decreto legislativo 30 giugno 2003, n. 196 recante Codice in materia di protezione dei dati personali (di seguito:  Codice);

Visto lo schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

La Presidenza del Consiglio dei Ministri ha chiesto il parere del Garante su uno schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), approvato dal Consiglio dei Ministri nella riunione del 21 marzo 2018.

Il provvedimento è redatto nell’esercizio della delega conferita al Governo dagli articoli 1 e 13 della legge 25 ottobre 2017, n. 163, recante “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea (Legge di delegazione europea 2016/2017)” ed è finalizzato ad adeguare il quadro normativo nazionale alle disposizioni del predetto Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (di seguito “Regolamento”).

La legge di delegazione europea stabilisce, all’articolo 13 comma 3, i seguenti criteri: a) abrogare espressamente le disposizioni del Codice in materia di trattamento dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, incompatibili con le disposizioni contenute nel Regolamento (UE) 2016/679; b) modificare il Codice “limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute” nel Regolamento; c) coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni recate dal Regolamento; d) prevedere, ove opportuno, il ricorso a specifici provvedimenti attuativi e integrativi adottati dal Garante nell’ambito e per le finalità previsti dal Regolamento; e) adeguare, nell’ambito delle modifiche al Codice, il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del Regolamento con previsione di “sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse”.

Continua a leggere

Aran e Organizzazioni sindacali hanno firmato in via definitiva il contratto collettivo nazionale di lavoro 2016-2018 del comparto Funzioni Locali

In data 21 maggio 2018 Aran e Organizzazioni sindacali hanno firmato in via definitiva il contratto collettivo nazionale di lavoro 2016-2018 per i circa 467.000 pubblici dipendenti appartenenti al comparto Funzioni locali, che comprende regioni, enti locali, camere di commercio e altri enti territoriali.

La firma è intervenuta dopo i prescritti pareri di legge e la positiva certificazione della Corte dei Conti.

Con la sottoscrizione definitiva, il contratto è dunque pienamente applicabile

Il contratto riconosce aumenti tabellari a regime, compresi tra 52 e 92 Euro al mese ed un elemento perequativo della retribuzione, corrisposto mensilmente fino al 31/12/2018, con valori più elevati per le categorie e posizioni economiche collocate nelle fasce più basse della scala parametrale, fino a 30 euro/mese. Sono riconosciuti anche gli arretrati contrattuali per il periodo 2016-2017.

Dalla fine del 2018, con decorrenza 2019, è previsto, infine, un incremento dei Fondi destinati alla contrattazione integrativa.

L’accordo interviene sulle relazioni sindacali e su molti aspetti normativi (assenze, permessi e congedi, orario di lavoro ore, ferie, codici disciplinari, rapporti di lavoro flessibile). C’era infatti la necessità di riscrivere alcune parti del contratto superate dalle norme di legge vigenti o non più attuali.

Tra i nuovi istituti si segnalano: i permessi per l’effettuazione di terapie, visite specialistiche ed esami diagnostici; la disciplina delle ferie solidali, che consente ai dipendenti con figli minori in gravi condizioni di salute, che necessitino di una particolare assistenza, di poter utilizzare le ferie cedute da altri lavoratori

Altre novità rilevanti riguardano le tutele introdotte per le donne vittime di violenza le quali, oltre al riconoscimento di appositi congedi retribuiti, potranno avvalersi anche di una speciale aspettativa.

Per le stesse, viene altresì prevista la possibilità di ottenere il trasferimento ad altra sede in tempi rapidi e con procedure agevolate.

Sono state anche ampliate le tutele riconosciute in caso di malattie gravi che richiedano terapie salvavita (quali chemioterapia ed emodialisi): infatti, le condizioni di miglior favore, prima circoscritte ai soli giorni di assenza nei quali si effettuano le terapie, sono estese anche al periodo successivo nel quale sia impossibile tornare al lavoro, per gli effetti invalidanti dovuti alle terapie effettuate. Il contratto ha inoltre recepito le nuove disposizioni sulle Unioni civili, prevedendo che tutte le tutele del contratto riferite al matrimonio riguardino anche ciascuna delle parti dell’unione civile.

In materia di relazioni sindacali, il contratto definisce regole semplificate che valorizzano gli istituti della partecipazione sindacale, nel rispetto dei distinti ruoli dei datori di lavoro e delle organizzazioni sindacali. In questo ambito, è stato previsto un nuovo Organismo paritetico, per gli enti con più di 300 dipendenti, che ha il compito di instaurare un dialogo costruttivo e collaborativo con le organizzazioni sindacali. Sono state anche riviste ed aggiornate le materie attribuite alla contrattazione integrativa, con l’obiettivo di chiarirne il contenuto e la portata.

Si è provveduto, inoltre, ad aggiornare le tipologie di rapporto di lavoro flessibile con particolare riguardo ai contratti di lavoro a tempo determinato, in coerenza con i principi di non discriminazione più volte affermati anche a livello europeo e con le modifiche normative recentemente introdotte. A tal fine, sono state estese ai dipendenti con contratto a termine alcune tutele (ad esempio, in materia di ferie e di diritto allo studio). Presso ciascuna amministrazione, è stato inoltre previsto un tetto complessivo per i rapporti di lavoro flessibile.

Il nuovo contratto collettivo ha operato anche una revisione del codice disciplinare dei dipendenti pubblici, prevedendo specifiche sanzioni in caso di assenze ingiustificate in prossimità dei giorni festivi o per assenze collettive.

Alla luce delle recenti modifiche legislative, è stato individuato, un nuovo meccanismo per l’attribuzione degli incentivi economici

al personale, che ha l’obiettivo di riconoscere premi aggiuntivi a coloro che abbiano ottenuto le valutazioni più elevate.

In questo ambito, si è provveduto anche ad un riassetto organico delle disposizioni che regolano la costituzione e l’utilizzo dei fondi destinati alla contrattazione integrativa per l’erogazione dei trattamenti economici accessori.

E’ stata prevista una specifica sezione per la polizia locale, che riconosce e valorizza le peculiarità di questa tipologia di personale, attraverso la previsione di specifici trattamenti economici.

Il contratto è intervenuto, infine, sul sistema di classificazione professionale, con alcune modifiche della previgente disciplina, pur confermandone l’assetto complessivo e rinviando molte tematiche all’approfondimento di una Commissione paritetica, in vista di una più complessiva revisione dei suoi contenuti.

Il presente comunicato viene pubblicato sul sito dell’Agenzia anche ai sensi e per gli effetti di quanto previsto dall’art. 2, comma 2 del contratto sottoscritto.

Il contratto diviene efficace dalla giornata del 22/5/2018.

Link al documento: https://www.aranagenzia.it/comunicati/9015-aran-e-organizzazioni-sindacali-hanno-firmato-in-via-definitiva-il-contratto-collettivo-nazionale-di-lavoro-2016-2018-del-comparto-funzioni-locali.html

Nuovo Regolamento Ue sulla privacy. Online l’aggiornamento 2018 della Guida applicativa – GARANTE PER LA PRIVACY

Nuovo Regolamento Ue sulla privacy. Online l’aggiornamento 2018 della Guida applicativa

Il Garante per la protezione dei dati personali mette a disposizione l’aggiornamento 2018 della Guida all’applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali.

Il documento – che traccia un quadro generale delle principali innovazioni introdotte dal Regolamento e fornisce indicazioni utili sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa – è stato in parte modificato e integrato alla luce dell’evoluzione della riflessione a livello nazionale ed europeo. Il testo potrà subire ulteriori aggiornamenti, allo scopo di offrire sempre nuovi contenuti e garantire un aggiornamento costante.

Link al documento: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8135449

Nuove Faq sul Responsabile della Protezione dei Dati (RPD) in ambito privato – GARANTE PRIVACY

1. Chi è il responsabile della protezione dei dati personali (RPD) e quali sono i suoi compiti?

2. Quali requisiti deve possedere il responsabile della protezione dei dati personali?

3. Chi sono i soggetti privati obbligati alla sua designazione?

4. Chi sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali?

5. È possibile nominare un unico responsabile della protezione dei dati personali nell’ambito di un gruppo imprenditoriale?

6. Il responsabile della protezione dei dati personali deve essere un soggetto interno o può essere anche un soggetto esterno? Quali sono le modalità per la sua designazione?

7. Il  ruolo di responsabile della protezione dei dati personali è compatibile con altri incarichi?

8. Il responsabile della protezione dei dati personali è una persona fisica o può essere anche un soggetto diverso?

 

1. Chi è il responsabile della protezione dei dati personali (RPD) e quali sono i suoi compiti?

Il responsabile della protezione dei dati personali (anche conosciuto con la dizione in lingua inglese data protection officer – DPO) è una figura prevista dall’art. 37 del Regolamento (UE) 2016/679. Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo. Coopera con l’Autorità (e proprio per questo, il suo nominativo va comunicato al Garante; v. faq 6) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).

2. Quali requisiti deve possedere il responsabile della protezione dei dati personali?

Il responsabile della protezione dei dati personali, al quale non sono richieste specifiche attestazioni formali o l’iscrizione in appositi albi, deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.

Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare. Deve inoltre agire in piena indipendenza (considerando 97 del Regolamento UE 2016/679) e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici.

Il responsabile della protezione dei dati personali deve poter disporre, infine, di risorse (personale, locali, attrezzature, ecc.) necessarie per l’espletamento dei propri compiti.

3. Chi sono i soggetti privati obbligati alla sua designazione?

Sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento che rientrino nei casi previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679. Si tratta di soggetti le cui principali attività (in primis, le attività c.d. di “core business”) consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (per quanto attiene alle nozioni di “monitoraggio regolare e sistematico” e di “larga scala”, v. le “Linee guida sui responsabili della protezione dei dati” del 5 aprile 2017, WP 243). Il diritto dell’Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati (art. 37, par. 4).

Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

4. Chi sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali?

Nei casi diversi da quelli previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679, la designazione del responsabile del trattamento non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: v. anche considerando 97 del Regolamento, in relazione alla definizione di attività “accessoria”).

In ogni caso, resta comunque  raccomandata, anche alla luce del principio di “accountability” che permea il Regolamento, la designazione di tale figura (v., in proposito, le menzionate linee guida), i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati.

5. È possibile nominare un unico responsabile della protezione dei dati personali nell’ambito di un gruppo imprenditoriale?

Il Regolamento (UE) 2016/679 prevede che un gruppo imprenditoriale (v. definizione di cui all’art. 4, n. 19) possa designare un unico responsabile della protezione dei dati personali, purché tale responsabile sia facilmente raggiungibile da ciascuno stabilimento (sul concetto di “raggiungibilità”, v. punto 2.3 delle linee guida in precedenza menzionate). Inoltre, dovrà essere in grado di comunicare in modo efficace con gli interessati e di collaborare con le autorità di controllo.

6. Il responsabile della protezione dei dati personali deve essere un soggetto interno o può essere anche un soggetto esterno? Quali sono le modalità per la sua designazione?

Il ruolo di responsabile della protezione dei dati personali può essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti; l’incarico può essere anche affidato a soggetti esterni, a condizione che garantiscano l’effettivo assolvimento dei compiti che il Regolamento (UE) 2016/679 assegna a tale figura. Il responsabile della protezione dei dati scelto all’interno andrà nominato mediante specifico atto di designazione, mentre quello scelto all’esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto di servizi. Tali atti, da redigere in forma scritta, dovranno indicare espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.

Nell’esecuzione dei propri compiti, il responsabile della protezione dei dati personali (interno o esterno) dovrà ricevere supporto adeguato in termini di risorse finanziarie, infrastrutturali e, ove opportuno, di personale. Il titolare o il responsabile del trattamento che abbia designato un responsabile per la protezione dei dati personali resta comunque pienamente responsabile dell’osservanza della normativa in materia di protezione dei dati e deve essere in grado di dimostrarla (art. 5, par. 2, del Regolamento; v. anche i punti 3.2 e 3.3. delle linee guida sopra richiamate).

I dati di contatto del responsabile designato dovranno essere infine pubblicati dal titolare o responsabile del trattamento. Non è necessario – anche se potrebbe rappresentare una buona prassi – pubblicare anche il nominativo del responsabile della protezione dei dati: spetta al titolare o al responsabile e allo stesso responsabile della protezione dei dati, valutare se, in base alle specifiche circostanze, possa trattarsi di un’informazione utile o necessaria. Il nominativo  del responsabile della protezione dei dati e i relativi dati di contatto vanno invece comunicati all’Autorità di controllo. A tal fine, allo stato, è possibile utilizzare il modello di cui al seguente link:http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/7322292

7. Il  ruolo di responsabile della protezione dei dati personali è compatibile con altri incarichi?

Si, a condizione che non sia in conflitto di interessi. In tale prospettiva, appare preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT ecc.). Da valutare, in assenza di conflitti di interesse e in base al contesto di riferimento, l’eventuale assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale).

8. Il responsabile della protezione dei dati personali è una persona fisica o può essere anche un soggetto diverso?

Il Regolamento (UE) 2016/679 prevede espressamente che il responsabile della protezione dei dati personali possa essere un “dipendente” del titolare o del responsabile del trattamento (art. 37, par. 6, del Regolamento); ovviamente, nelle realtà organizzative di medie e grandi dimensioni, il responsabile della protezione dei dati personali, da individuarsi comunque in una persona fisica, potrà essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell’assolvimento dei propri compiti.

Qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest’ultimo potrà essere anche una persona giuridica (v. il punto 2.4 delle suddette Linee guida).

Si raccomanda, in ogni caso, di procedere a una chiara ripartizione di competenze, individuando una sola persona fisica atta a fungere da punto di contatto con gli interessati e l’Autorità di controllo.

Link al documento: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8036793