EntiOnLine
Categorie
indietro
12/06/2023 12/06/2023 - Verifiche OIV e verifiche DPO sul trattamento dei dati personali

Alla data del 30 giugno gli OIV o strutture con funzioni analoghe devono verificare e attestare l’esatto adempimento degli obblighi di pubblicazione.

Per le pubbliche amministrazioni, l'attestazione e le verifiche hanno per oggetto, sulla base del D.Lgs. 33/2013, le seguenti sotto sezioni di Amministrazione trasparente:

1) Disposizioni generali (artt. 10 e 12)

2) Personale (incarichi conferiti o autorizzati - art. 18)

3) Bandi di concorso (art. 19)

4) Provvedimenti (art. 23)

5) Bandi di gara e contratti (art. 37)

6) Bilanci (art. 29)

7) Opere pubbliche (art. 38)

8) Altri contenuti - Registro degli accessi (Linee guida ANAC determinazione n. 1309/2016)

9) Altri contenuti – Prevenzione della corruzione (art. 10 d.lgs. 33/2013, art. 18, co. 5, d.lgs. 39/2013, l. 190/2012).

Questi, e gli altri obblighi di pubblicazione, vengono imposti alle pubbliche amministrazioni, allo scopo di garantire la trasparenza, intesa come accessibilità totale dei dati e documenti detenuti dalle pubbliche amministrazioni, al fine di:

- tutelare i diritti dei cittadini;

- promuovere la partecipazione degli interessati all’attività amministrativa;

- favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche.

Per tutelare i diritti dei cittadini, gli obblighi di pubblicazione vanno attuati nel rigoroso rispetto delle disposizioni in materia di protezione dei dati personali.

Saper bilanciare trasparenza, da un lato e, protezione dei dati personali, dall’altro lato, è indispensabile per la regolarità delle pubblicazioni e per superare le verifiche al 30 giugno, sul corretto adempimento degli obblighi di pubblicazione, programmate in capo al RPCT, all’OIV o a strutture con funzioni analoghe e all’ANAC.

Tuttavia, quando il trattamento consiste nell'operazione di diffusione in rete, attraverso la pubblicazione in Amministrazione trasparente, di informazioni che contengono dati personali va chiarito chi deve effettuare le verifiche.

Va chiarito, in altri termini, se le verifiche sul diritto alla protezione dei dati vanno effettuate:

  • dall’’RPCT, dall’OIV o strutture con funzioni analoghe e dall’ANAC;
  • dal DPO e dal Garante;
  • da entrambi i suddetti soggetti.

Il confine tra vigilanza RPCT-OIV-ANAC da una parte e vigilanza DPO-Garante dall’altra parte è, infatti, poco chiaro e, spesso, fonte di fraintendimenti.

La scadenza del prossimo 30 giugno, per le attestazioni OIV o strutture con funzioni analoghe, costituisce l’occasione per chiarire le diverse competenze funzionali sulle verifiche in materia di trasparenza e di trattamento dei dati personali nell’ambito delle pubblicazioni ai fini di trasparenza.

FUNZIONI ANAC PER LE VERIFICHE SUL RISPETTO DEGLI OBBLIGHI DI PUBBLICAZIONE E SULLA PUBBLICAZIONE DEI DATI PERSONALI

In via generale, le competenze funzionali sono così suddivise:

  • il RPCT, l’OIV o strutture con funzioni analoghe e l'ANAC sorvegliano e vigilano sull’esatto adempimento delle pubblicazioni (qualità delle informazioni diffuse, rispetto del formato aperto e della disciplina in materia di protezione dei dati personali);
  • il DPO e il Garante sorvegliano e vigilano sul lecito trattamento dei dati personali e sul diritto dei cittadini alla protezione dei dati medesimi.

Sulla base di questa generale suddivisione, l’RPCT, l’OIV o strutture con funzioni analoghe e l'ANAC sono chiamati a vigilare sulla qualità delle pubblicazioni, intesa come completezza di ogni pubblicazione e, per l’effetto, intesa come:

  • esattezza e accuratezza di ogni informazione, dato e documento.

In concreto, la pubblicazione è verificata positivamente, dai predetti organi di controllo interni ed esterni, soltanto se il dato è da ritenersi pubblicato in maniera esatta ed accurata ed è riferito a tutti gli uffici.

L’RPCT, l’OIV o strutture con funzioni analoghe e l'ANAC verificano, in primo luogo, la capacità del dato di rappresentare correttamente il fenomeno che intende descrivere e, secondariamente, la capacità del dato di riportare tutte le informazioni richieste dalle previsioni normative.

Sotto entrambi i profili, della esattezza e accuratezza, esempi di pubblicazioni non esatte e/o non accurate, con riferimento alle tipologie di dati che saranno oggetto di verifica alla data del 30 giugno, sono i seguenti.

1) Disposizioni generali (artt. 10 e 12): mancata pubblicazione delle circolari, dei programmi e delle istruzioni, emanati dall'amministrazione, e ogni atto, previsto dalla legge o comunque adottato, che dispone in generale sulla organizzazione, sulle funzioni, sugli obiettivi, sui procedimenti ovvero nei quali si determina l'interpretazione di norme giuridiche che le riguardano o si dettano disposizioni per l'applicazione di esse, ivi compresi i codici di condotta.

2) Personale (incarichi conferiti o autorizzati - art. 18): mancanza degli estremi dell’atto di conferimento dell’incarico e/o della durata e/o il compenso relativo all’incarico, mancanza di curricula di coloro che hanno ricevuto incarichi. In questi casi l’assolvimento degli obblighi di pubblicazione non può dirsi accurato: Curricula pubblicati con dati personali eccedenti e/o non pertinenti ovvero con la firma autografa del soggetto a cui si riferisce il curriculum.

3) Bandi di concorso (art. 19): mancata pubblicazione dei criteri di valutazione della Commissione e/o delle tracce delle prove; pubblicazione dei verbali contenenti l'esito delle prove intermedie; pubblicazione di graduatorie finali con dati personali eccedenti e non pertinenti (dati dei concorrenti che si sono utilmente collocati in graduatoria ma non sono vincitori);

4) Provvedimenti (art. 23): pubblicazione degli elenchi dei provvedimenti adottati dagli organi di indirizzo politico e dai dirigenti recanti, nell'oggetto, dati personali eccedenti e non pertinenti;

5) Altri contenuti - Registro degli accessi (Linee guida ANAC determinazione n. 1309/2016): pubblicazione di dati personali dei soggetti richiedenti

Dall'esame di questi esempi si ricava chiaramente che, in definitiva, la funzione di vigilanza sulle pubblicazioni, demandata alla scadenza 30 giugno all’RPCT e agli OIV o strutture con funzioni analoghe e, successivamente, all’ANAC consiste nella verifica del rispetto della normativa in materia di trasparenza, la quale include anche la verifica sul rispetto della normativa in materia di protezione dei dati personali.

La correttezza della conclusione secondo cui le verifiche in materia di trasparenza includono il controllo sulla liceità del trattamento dei dati personali, relativamente alle operazioni di pubblicazione oggetto di verifica, è comprovata anche dalla circostanza che:

  • è l’ANAC a definire i criteri, i modelli e gli schemi standard per l’organizzazione, la codificazione e la rappresentazione dei documenti, delle informazioni e dei dati oggetto di pubblicazione obbligatoria.

In particolare, secondo quanto indicato sul sito dell’Autorità, le modalità attraverso le quali si svolge la vigilanza dell’ANAC sono:

  • vigilanza sull’inserimento, nel PTPC, di un’apposita sezione dedicata alla trasparenza (Programma trasparenza);
  • definizione, d’intesa con il Garante della Protezione dei Dati Personali, di Linee guida sulle esclusioni e sui limiti all’esercizio dell’accesso (c.d. FOIA);
  • esercizio del potere di ordine e del potere sanzionatorio in caso di mancata adozione/pubblicazione della sezione dedicata alla trasparenza;
  • vigilanza sul rispetto degli obblighi di pubblicazione;
  • definizione di criteri, modelli e schemi standard per l’organizzazione, la codificazione e la rappresentazione dei documenti, delle informazioni e dei dati oggetto di pubblicazione obbligatoria.

MODALITÀ DI VERIFICA ANAC SUL RISPETTO DEGLI OBBLIGHI DI PUBBLICAZIONE E SULLA PUBBLICAZIONE DEI DATI PERSONALI

Appurato che è l’ANAC a definire criteri, modelli e schemi standard per l’organizzazione, la codificazione e la rappresentazione dei documenti, delle informazioni e dei dati oggetto di pubblicazione obbligatoria, sentiti il Garante per la protezione dei dati personali, la Conferenza unificata, l'Agenzia Italia Digitale e l'ISTAT, le pubbliche amministrazioni sono tenute a conformarsi agli standard, ai modelli ed agli schemi deliberati dall'ANAC, nell'adempimento degli obblighi di pubblicazione previsti dalla normativa vigente.

A tal fine, sono tenute a trattare i dati personali da far confluire all’interno dei modelli e schemi standard, rispettando il GDPR e la normativa in materia di protezione dei dati personali.

La liceità del trattamento dei dati personali, nei modelli e schemi standard determina, a cascata, esattezza e accuratezza della pubblicazione per quanto concerne la privacy, ferma restando la verifica della regolarità della pubblicazione anche con riferimento a tutti gli altri contenuti del singolo obbligo di pubblicazione.

Nello svolgimento della funzione di controllo sull'esattezza e accuratezza delle pubblicazioni, l’ANAC, effettua le verifiche imposte dalla normativa vigente ai sensi art. 45 d.lgs. 33/2013:

  1. esercitando poteri ispettivi mediante richiesta di notizie, informazioni, atti e documenti alle amministrazioni pubbliche;
  2. ordinando di procedere, entro un termine non superiore a trenta giorni:
  1. alla pubblicazione di dati, documenti e informazioni,
  2. all'adozione di atti o provvedimenti richiesti dalla normativa vigente
  3. alla rimozione di comportamenti contrastanti con i piani e le regole sulla trasparenza.
  4. alla rimozione di atti contrastanti con i piani e le regole sulla trasparenza.

L’ ANAC ha anche il compito di controllare:

  • l'operato dei responsabili per la trasparenza, richiedendo il rendiconto sui risultati del controllo svolto all'interno delle amministrazioni.

Può inoltre:

  • chiedere all'organismo indipendente di valutazione (OIV), o strutture con funzioni analoghe, ulteriori informazioni sul controllo dell'esatto adempimento degli obblighi di trasparenza previsti dalla normativa vigente;
  • avvalersi delle banche dati istituite presso la Presidenza del Consiglio dei Ministri - Dipartimento della funzione pubblica, per il monitoraggio degli adempimenti degli obblighi di pubblicazione previsti dalla normativa vigente.

SEGNALAZIONI ANAC PER MANCATO RISPETTO DEGLI OBBLIGHI DI PUBBLICAZIONE

Il mancato rispetto dell'obbligo di pubblicazione costituisce illecito disciplinare quando l’ordine di pubblicare proviene dall’ANAC, a seguito di verifica di inadempimento. In questi casi, l'ANAC segnala:

- l'illecito all'ufficio disciplinare dell'amministrazione interessata, ai fini dell'attivazione del procedimento disciplinare a carico del responsabile della pubblicazione o del dirigente tenuto alla trasmissione delle informazioni.

- gli inadempimenti ai vertici politici delle amministrazioni, agli OIV e, se del caso, alla Corte dei conti, ai fini dell'attivazione delle altre forme di responsabilità.

I relativi provvedimenti sono resi pubblici.

Infine, si ricorda che il controllo dell’ANAC concerne anche:

- i casi di mancata attuazione degli obblighi di pubblicazione relativi ai titolari di incarichi politici, di amministrazione, di direzione o di governo e ai titolari di incarichi dirigenziali.

Tali dati vengono resi pubblici, su iniziativa dell’Autorità, attraverso la pubblicazione dei nominativi dei soggetti interessati, per i quali non si è proceduto alla pubblicazione.

RESPONSABILITA' DERIVANTE DALLA VIOLAZIONE DELLE DISPOSIZIONI IN MATERIA DI OBBLIGHI DI PUBBLICAZIONE E DI ACCESSO CIVICO

L'inadempimento degli obblighi di pubblicazione previsti dalla normativa vigente e, per l'effetto, la mancata esattezza e accuratezza delle pubblicazioni nonché il rifiuto, il differimento e la limitazione dell'accesso civico, al di fuori delle ipotesi previste dalla legge, costituiscono:

  • elemento di valutazione negativa della responsabilità dirigenziale;
  • eventuale causa di responsabilità per danno all'immagine dell'amministrazione, valutata ai fini della corresponsione della retribuzione di risultato e del trattamento accessorio collegato alla performance individuale dei responsabili.

In relazione alle suddette responsabilità, vige il regime dell'inversione dell'onere della prova secondo il quale il responsabile non risponde dell'inadempimento degli obblighi di pubblicazione soltanto se prova che tale inadempimento è dipeso da causa a lui non imputabile.

FUNZIONI DEL GARANTE SULLA PUBBLICAZIONE DEI DATI PERSONALI

A rigore, non rientrerebbe nella competenza funzionale del DPO e del Garante la sorveglianza sulla regolarità delle pubblicazioni in “Amministrazione trasparente” e sull'esatto adempimento dei singoli obblighi di pubblicazione (qualità delle informazioni diffuse, rispetto del formato aperto e della disciplina in materia di protezione dei dati personali).

Tuttavia, occorre tenere presente che, sin dal 2014, il Garante ha adottato le:

  • "Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati".

Per finalità di trasparenza, le Linee guida trattano, in particolare:

  • i principi, i limiti generali, la pubblicazione di dati ulteriori, la qualità delle informazioni, le modalità di pubblicazione online dei dati personali, i limiti al riutilizzo dei dati personali, la durata degli obblighi di pubblicazione, l'indicizzazione, le indicazioni per specifici opere di pubblicazione.

Per finalità diverse dalla trasparenza, le Linee guida trattano:

  • i limiti alla diffusione dei dati personali nella pubblicazione di atti e documenti sul web, gli accorgimenti tecnici in relazione alle finalità perseguite e alle fattispecie esemplificative costituite dall’Albo Pretorio on-line degli enti locali e dalle graduatorie.

Per l’attuazione e il rispetto delle predette Linee guida, le verifiche del DPO e del Garante possono concorrere con le verifiche dell’ANAC, realizzando una commissione di controlli che, per contro, è inesistente per quanto concerne le verifiche in ordine al trattamento dei dati personali all’albo pretorio on-line, rientranti esclusivamente nella competenza funzionale del DPO e del Garante.

ANAC, infatti, non è competente in ordine alla pubblicazione di documenti, informazioni e dati nell’albo pretorio on line.

Infatti, la tenuta dell’albo pretorio on line, non rientra direttamente nell’ambito di applicazione delle norme in materia di trasparenza amministrativa di cui al D.lgs. 33/2013.

Di conseguenza, non compete ad ANAC la vigilanza sulla pubblicazione dei documenti e delle informazioni pubblicate nell’albo pretorio on-line.

REGOLE TECNICHE ORGANIZZAZIONE AMMINISTRAZIONE TRASPARENTE

Ai fini di superare le verifiche del 30 giugno, si ricorda la rigorosa applicazione delle regole tecniche imposte dal D.lgs. 33/2013, sotto riportate, secondo le quali:

- la sezione "Amministrazione trasparente" deve essere organizzata in modo che cliccando sull'identificativo di una sotto-sezione sia possibile accedere ai contenuti della sotto-sezione stessa, o all'interno della stessa pagina "Amministrazione trasparente" o in una pagina specifica relativa alla sotto-sezione.

L'obiettivo di questa organizzazione è l'associazione univoca tra una sotto-sezione e uno specifico obbligo in modo che sia possibile raggiungere direttamente dall'esterno la sotto-sezione di interesse. A tal fine è necessario che i collegamenti ipertestuali associati alle singole sotto-sezioni siano mantenute invariate nel tempo, per evitare situazioni di "collegamento non raggiungibile" da parte di accessi esterni.

- L'elenco dei contenuti indicati per ogni sotto-sezione sono da considerarsi i contenuti minimi che devono essere presenti nella sotto-sezione stessa, ai sensi del decreto D.lgs. 33/2013.

In ogni sotto-sezione possono essere comunque inseriti altri contenuti, riconducibili all'argomento a cui si riferisce la sotto-sezione stessa, ritenuti utili per garantire un maggior livello di trasparenza. Eventuali ulteriori contenuti, da pubblicare ai fini di trasparenza e non riconducibili a nessuna delle sotto-sezioni indicate, devono essere pubblicati nella sotto-sezione "Altri contenuti".

I limiti alla pubblicazione dei c.d. “dati ulteriori” sono quelli relativi alla tutela di interessi giuridicamente rilevanti espressamente previsti dall'articolo 5-bis e alla tutela dei dati personali eventualmente presenti.

- Nel caso in cui sia necessario pubblicare nella sezione "Amministrazione trasparente" informazioni, documenti o dati che sono già pubblicati in altre parti del sito, e' possibile inserire, all'interno della sezione "Amministrazione trasparente", un collegamento ipertestuale ai contenuti stessi, in modo da evitare duplicazione di informazioni all'interno del sito dell'amministrazione.

L'utente deve comunque poter accedere ai contenuti di interesse dalla sezione "Amministrazione trasparente" senza dover effettuare operazioni aggiuntive.

- Non possono essere disposti filtri o altre soluzioni tecniche per impedire ai motori di ricerca web di indicizzare ed effettuare ricerche all’interno della sezione “Amministrazione trasparente” (art. 9, co. 1, del d.lgs. 33/2013). I dati personali diversi da quelli sensibili e giudiziari comportano la possibilità di una diffusione attraverso i siti istituzionali e un loro trattamento secondo modalità che ne consentono la indicizzazione e la rintracciabilità tramite i motori di ricerca web e il loro riutilizzo ai sensi dell’art. 7 del d.lgs. 33/2013, nel rispetto dei principi sul trattamento dei dati personali.

Team Entionline

Servizio di supporto specialistico All privacy Entionline

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

Parole chiave
Banca dati