Piano triennale di prevenzione della corruzione 2017
annuncio pubblicitario
Piano Triennale di Prevenzione della Corruzione 2017 - 2019 Piano triennale di prevenzione della corruzione del Garante per la protezione dei dati personali Triennio 2017-2019 Indice Parte prima 1. Premessa - Il Piano triennale di prevenzione della corruzione 2017-2019 del Garante per la protezione dei dati personali. Il quadro normativo di riferimento in materia di prevenzione della corruzione 2. Il Responsabile della prevenzione e della corruzione e della trasparenza 3. Funzioni ed organizzazione del Garante per la protezione dei dati personali 4. Soggetti coinvolti e ruoli ai fini della prevenzione della corruzione 5. Entrata in vigore, validità, aggiornamenti 6. Metodologia adottata per la predisposizione del Piano 7. Segue. Processo di autoanalisi organizzativa e di mappatura dei processi 8. Segue. Analisi dei rischi 9. Segue. Individuazione delle misure di prevenzione del rischio 2 5 7 10 11 12 12 15 16 Parte seconda 10. Misure di prevenzione della corruzione. Misure generali 11. Segue. Misure specifiche 17 34 Parte terza 12. Trasparenza 13. Segue. Obblighi di trasparenza ulteriori rispetto a quelli previsti da disposizioni di legge 14. Accesso civico 15. Monitoraggio sull’attuazione del PTPC ALLEGATI - Allegato 1: - 2: 39 40 41 SCHEDA DI SINTESI - MAPPATURA DEI PROCESSI, ANALISI E VALUTAZIONE DEL RISCHIO Allegato 36 OBBLIGHI DI TRASPARENZA SULL’ORGANIZZAZIONE E SULL’ATTIVITÀ DEL GARANTE, AI SENSI DEL D.LGS. N. 33/2013 E ALTRE FONTI NORMATIVE (Sezione predisposta ai sensi dell'articolo 10, comma 1, d.lgs. n. 33/2013) PTPC Garante per la protezione dei dati personali 2017-2019 Parte I 1. - Premessa - Il Piano triennale di prevenzione della corruzione 2017-2019 del Garante per la protezione dei dati personali. Il quadro normativo di riferimento in materia di prevenzione della corruzione Il presente Piano triennale di prevenzione della corruzione (di seguito PTPC) è il primo predisposto e adottato dal Garante per la protezione dei dati personali (di seguito Garante) in conformità: alla legge 6 novembre 2012, n. 190, recante “Disposizioni per la prevenzione e la repressione della corruzione e dell'illegalità nella pubblica amministrazione”; al decreto legislativo 14 marzo 2013, n. 33, contenente il “Riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni”; al decreto-legge 24 giugno 2014, n. 90, recante “Misure urgenti per la semplificazione e la trasparenza amministrativa e per l'efficienza degli uffici giudiziari”, convertito in legge 11 agosto 2014, n. 114; al d.lgs. 25 maggio 2016, n. 97, recante “Revisione e semplificazione delle disposizioni in materia di prevenzione della corruzione pubblicità e trasparenza, correttivo della legge 6 novembre 2012, n. 190 e del decreto legislativo 14 marzo 2013, n. 33, ai sensi dell’articolo 7 della legge 7 agosto 2015, n. 124, in materia di riorganizzazione delle amministrazioni pubbliche”; nonché, infine, alla ulteriore articolata disciplina della materia. A tale riguardo, va rilevato che il Garante, a partire dal 1998 ha progressivamente introdotto nel proprio ordinamento stringenti misure di prevenzione della corruzione, fra l’altro adottando un analitico Codice etico - con delibera 4 giugno 1998, con definizione anche degli obblighi di condotta del dipendente che si trovi in situazione di conflitto di interessi -, prevedendo e attuando una disciplina strutturale sulla rotazione degli incarichi dirigenziali (art. 9, comma 2, Reg. 1/2000 del Garante, ai sensi del quale “Il Garante conferisce gli incarichi di direzione delle unità organizzative di primo livello di regola a personale compreso nel ruolo organico, per la durata non superiore al biennio e rinnovabile una sola volta, salvo casi motivati legati alla specifica professionalità richiesta per alcune unità organizzative”), regolando la procedura ed i limiti per l’autorizzazione ed il conferimento di incarichi estranei ai doveri d’ufficio (atto del Segretario generale del 5 aprile 2016, prot. n. 9639), attuando la legislazione in materia di inconferibilità ed incompatibilità per i dirigenti (l. n. 39/2013) e attuando la normativa in materia di obblighi di pubblicazione e di trasparenza di cui al d.lgs. n. 33/2013. In questo contesto, ancorché la l. n. 190/2012 (l’art. 1, comma 59) individui l’ambito soggettivo di diretta applicazione delle disposizioni di prevenzione della corruzione di cui ai commi da 1 a 57 dell’articolo 1 della stessa legge con riguardo alle “amministrazioni pubbliche di cui all’articolo 1, comma 2, del decreto legislative 30 marzo 2001, n. 165, e successive modificazioni”, nel cui novero non rientra il Garante, e ancorché l’articolo 1, comma 2-bis della citata legge n. 190/2012 faccia riferimento alle pubbliche amministrazioni di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 2 PTPC Garante per la protezione dei dati personali 2017-2019 165, […]” e agli “altri soggetti di cui all'articolo 2-bis, comma 2, del decreto legislativo 14 marzo 2013, n. 33” (articolo 2-bis, comma 2 che, a differenza del comma 1, non menziona le autorità amministrative indipendenti), il Collegio del Garante, con delibera n. 414 del 12 ottobre 2016, ha, comunque, ritenuto di dare attuazione “agli adempimenti previsti dalla normativa sulla prevenzione e repressione della corruzione e dell'illegalità”, e, in particolare, di provvedere alla nomina del “Responsabile della prevenzione della corruzione, nonché all'adozione di un proprio piano triennale per la prevenzione della corruzione” pur considerando “che, ai fini dell'adozione dei propri piani triennali di prevenzione della corruzione, il "Piano Nazionale Anticorruzione 2016", adottato dall'Anac con deliberazione n. 831 del 3 agosto 2016, costituisce atto di indirizzo per le pubbliche amministrazioni di cui all'art. 1 comma 2 del decreto legislativo 30 marzo 2001, n. 165, tra le quali non rientrano le autorità indipendenti”. La legge n. 190/2012, entrata in vigore il 28 novembre 2012, è diretta a rafforzare l’efficacia delle misure di contrasto del fenomeno corruttivo e a conformare l’ordinamento giuridico italiano agli atti internazionali volti a contrastare la corruzione già ratificati dal nostro Paese (Convezione ONU di Merida e Convenzione penale sulla corruzione di Strasburgo). Anche in considerazione delle raccomandazioni formulate all’Italia dai gruppi di lavoro in seno all’OCSE e al Consiglio d’Europa in sede di monitoraggio sulla conformità agli standard internazionali della normativa interna, il legislatore italiano ha scelto una strategia di contrasto della corruzione articolata su tre direttive: creare un contesto sfavorevole alla corruzione; aumentare la capacità di rilevare casi di corruzione; ridurre le opportunità che si manifestino casi di corruzione. In questo quadro normativo, la prevenzione della corruzione deve riguardare tutte quelle situazioni in cui, nel corso dell’attività amministrativa, si rischi l’abuso da parte di un soggetto del potere a lui affidato al fine di ottenere vantaggi privati. Le situazioni rilevanti sono, quindi, più ampie di quelle riconducibili alle fattispecie penali disciplinate nel Titolo II, Capo I, del codice penale, ricomprendendo situazioni in cui - a prescindere dalla loro rilevanza penale - venga in evidenza un malfunzionamento dell’amministrazione per l’uso a fini privati delle funzioni attribuite. L’Anac, con determinazione n. 12 del 28 ottobre 2015, ha in tal senso precisato che la definizione del fenomeno contenuta nel PNA, è “non solo più ampia dello specifico reato di corruzione e del complesso dei reati contro la pubblica amministrazione, ma coincidente con la “maladministration”, intesa come assunzione di decisioni (di assetto di interessi a conclusione di procedimenti, di determinazioni di fasi interne a singoli procedimenti, di gestione di risorse pubbliche) devianti dalla cura dell’interesse generale a causa del condizionamento improprio da parte di interessi particolari. Occorre, cioè, avere riguardo ad atti e comportamenti che, anche se non consistenti in specifici reati, contrastano con la necessaria cura dell’interesse pubblico e pregiudicano l’affidamento dei cittadini nell’imparzialità delle amministrazioni e dei soggetti che svolgono attività di 3 PTPC Garante per la protezione dei dati personali 2017-2019 pubblico interesse”. Nell’ambito di tale disciplina si colloca il Piano Triennale di Prevenzione della Corruzione (PTPC), documento di natura programmatica predisposto da ciascuna pubblica amministrazione, avente ad oggetto il complesso delle misure obbligatorie per legge nonché le misure specifiche adottate in funzione delle peculiarità di ciascuna di esse. Il Piano, che ha durata triennale, persegue, ai sensi dell’articolo 1, comma 9, della l. n. 190/2012 i seguenti obiettivi: “a) individuare le attività, tra le quali quelle di cui al comma 16, anche ulteriori rispetto a quelle indicate nel Piano nazionale anticorruzione, nell'ambito delle quali è piu' elevato il rischio di corruzione, e le relative misure di contrasto, anche raccogliendo le proposte dei dirigenti, elaborate nell'esercizio delle competenze previste dall'articolo 16, comma 1, lettera a-bis), del decreto legislativo 30 marzo 2001, n. 165; b) prevedere, per le attività individuate ai sensi della lettera a), meccanismi di formazione, attuazione e controllo delle decisioni idonei a prevenire il rischio di corruzione; c) prevedere, con particolare riguardo alle attività individuate ai sensi della lettera a), obblighi di informazione nei confronti del responsabile, individuato ai sensi del comma 7, chiamato a vigilare sul funzionamento e sull'osservanza del piano; d) definire le modalità di monitoraggio del rispetto dei termini, previsti dalla legge o dai regolamenti, per la conclusione dei procedimenti; e) definire le modalità di monitoraggio dei rapporti tra l'amministrazione e i soggetti che con la stessa stipulano contratti o che sono interessati a procedimenti di autorizzazione, concessione o erogazione di vantaggi economici di qualunque genere, anche verificando eventuali relazioni di parentela o affinità sussistenti tra i titolari, gli amministratori, i soci e i dipendenti degli stessi soggetti e i dirigenti e i dipendenti dell'amministrazione; f) individuare specifici obblighi di trasparenza ulteriori rispetto a quelli previsti da disposizioni di legge”. Il Piano triennale costituisce, inoltre, la sede in cui può essere assolto l’obbligo di pianificare la formazione del personale in materia di contrasto alla corruzione, ai sensi dell’art. 1, comma 8, l. n. 190/2012, definendo, entro il 31 gennaio di ogni anno, “procedure appropriate per selezionare e formare […] i dipendenti destinati ad operare in settori particolarmente esposti alla corruzione”. Ai fini della predisposizione del presente PTPC hanno, in ogni caso, costituito oggetto di esame, oltre alle principali fonti normative della materia (la legge n. 241/1990, recante “Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi” ed in particolare l’art. 6-bis; la citata legge n. 190/2012; il citato decreto-legge n. 90/2014; il d.lgs. n. 165/2001, applicabile al Garante nei limiti 4 PTPC Garante per la protezione dei dati personali 2017-2019 indicati dall’art. 155, comma 1, del d.lgs. n. 196/2003; il citato d.lgs. n. 33/2013; il d.lgs. n. 39/2013; il menzionato d.lgs. n. 97/2016), anche gli atti adottati dall’Anac e dal Dipartimento della Funzione pubblica nel settore di riferimento (il Piano Nazionale Anticorruzione (PNA) predisposto dal Dipartimento della Funzione Pubblica ed approvato in data 11 settembre 2013 con la delibera Civit n. 72/2013; l’Aggiornamento 2015 al PNA approvato in data 28 ottobre 2015 dall’Anac con la determinazione n. 12/2015; il PNA 2016 approvato dall’Anac con determinazione n. 831 del 3 agosto 2016; la delibera Anac n. 833/2016; la circolare del Dipartimento della Funzione Pubblica n. 1/2013; lo schema di «Linee guida recanti indicazioni sull’attuazione dell’art. 14 del d.lgs. 33/2013 «Obblighi di pubblicazione concernenti i titolari di incarichi politici, di amministrazione, di direzione o di governo e i titolari di incarichi dirigenziali» come modificato dall’art. 13 del d.lgs. 97/2016» adottato e messo in consultazione con la determinazione dell’Anac del 20 dicembre 2016; la determinazione dell’Anac n. 1310 del 28 dicembre 2016 avente ad oggetto “Prime linee guida recanti indicazioni sull’attuazione degli obblighi di pubblicità, trasparenza e diffusione di informazioni contenute nel d.lgs. 33/2013 come modificato dal d.lgs. 97/2016”). Il PTPC ha durata triennale e deve essere aggiornato entro il 31 gennaio di ogni anno, in ottemperanza a quanto previsto dall’art. 1, comma 8, l. n. 190/2012. Ai fini dell’aggiornamento si dovrà tenere conto dei seguenti fattori: - l’eventuale mutamento o integrazione della disciplina normativa in materia di prevenzione della corruzione; - i cambiamenti normativi e regolamentari che modificano le finalità istituzionali, le attribuzioni, l'attività o l'organizzazione dell'Autorità (per es.: l'attribuzione di nuove competenze); - l'emersione di nuovi fattori di rischio rispetto a quelli considerati in fase di predisposizione del precedente PTPC; - la sopravvenienza di elementi da cui derivi l’opportunità di modificare le misure predisposte o programmate dall'Autorità per prevenire il rischio di corruzione; - l’accertamento di significative violazioni delle prescrizioni dello stesso Piano. 2. Il Responsabile della prevenzione della corruzione e della trasparenza Il Responsabile della prevenzione della corruzione e della trasparenza (di seguito RPCT), individuato tra i dirigenti del Garante, è nominato dal Collegio e, tenendo conto di quanto previsto dall’art. 1, commi 7, 8, 10 e 14, l. n. 190/2012 e dall’art. 43, comma 1, d.lgs.n. 33/2013, esercita i seguenti compiti: - propone al Collegio il PTPC sulla base degli obiettivi strategici in materia di prevenzione della corruzione e trasparenza definiti dall’organo di indirizzo che adotta il Piano entro il 31 gennaio di ogni anno e ne cura la trasmissione all’Anac (comma 8); 5 PTPC Garante per la protezione dei dati personali 2017-2019 - definisce entro il 31 gennaio di ogni anno le procedure appropriate per selezionare e formare i dipendenti destinati ad operare in settori particolarmente esposti alla corruzione (comma 8); - provvede alla verifica dell'efficace attuazione del piano e della sua idoneità (comma 10); - propone modifiche al Piano in caso di accertate significative violazioni delle prescrizioni ovvero quando intervengono mutamenti nell'organizzazione o nell'attività dell'amministrazione (comma 10); - verifica, d'intesa con il dirigente competente, l'effettiva rotazione degli incarichi negli uffici preposti allo svolgimento delle attività nel cui ambito è più elevato il rischio che siano commessi reati di corruzione e individua il personale da inserire nei programma di formazione (comma 10); - trasmette entro il 15 dicembre di ogni anno all’organo di indirizzo una relazione sui risultati dell’attività svolta e la pubblica sul sito web (comma 14); - svolge stabilmente un’attività di controllo sull'adempimento da parte dell'amministrazione degli obblighi di pubblicazione previsti dalla normativa vigente, assicurando la completezza, la chiarezza e l'aggiornamento delle informazioni pubblicate, nonché segnalando all’organo di indirizzo politico, all’Organismo indipendente di valutazione [alla data non istituito presso il Garante], all'Autorità nazionale anticorruzione e, nei casi più gravi, all'“ufficio di disciplina” i casi di mancato o ritardato adempimento degli obblighi di pubblicazione (art. 43, comma 1, d.lgs. n. 33/2013), nonché controlla e assicura la regolare attuazione dell'accesso civico. Con delibera n. 414 del 12 ottobre 2016, avente decorrenza dal 21 ottobre 2016, il Collegio ha nominato per la prima volta il Responsabile della prevenzione della corruzione e della trasparenza presso il Garante nella persona della dott.ssa Valentina Gagliardi, appartenente al ruolo dei dirigenti dell’Autorità e titolare anche del Servizio studi e documentazione, il cui nominativo è stato pubblicato sul sito istituzionale, nella sezione “Autorità trasparente” e comunicato all’Anac. L’Autorità ha, in tal modo, unificato in capo allo stesso dirigente l'incarico di Responsabile della prevenzione della corruzione e quello di Responsabile della trasparenza (incarico, quest’ultimo, precedentemente svolto, presso il Garante, dal dott. Roberto Lattanzi, nominato con delibera n. 29 del 22 gennaio 2015 e dal dott. Baldo Meo, nominato con delibera n. 580 del 18 dicembre 2013). Con la predetta delibera, oltre ai menzionati compiti previsti dalla legge n. 190/2012 e dal d.lgs. n. 33/2013, sono stati attribuiti al RPCT anche i seguenti compiti: - curare la diffusione della conoscenza dei codici di comportamento nell'amministrazione, il monitoraggio annuale della loro attuazione, ai sensi dell'art. 54 comma 7 del d.lgs. n. 165/2001, nonché la divulgazione secondo le disposizioni 6 PTPC Garante per la protezione dei dati personali 2017-2019 vigenti; - presentare tempestiva denuncia alla competente Procura della Corte dei conti per le eventuali iniziative in ordine all'accertamento del danno erariale (art. 20 d.P.R. n. 3 del 1957; art. 1 comma 3, legge n. 20 del 1994), ove riscontri dei fatti suscettibili di dar luogo a responsabilità amministrativa; - presentare denuncia alla Procura della Repubblica o ad un ufficiale di polizia giudiziaria con le modalità previste dalla legge (art. 331 c.p.p.), ove riscontri poi dei fatti che rappresentino notizia di reato; - riferire al Collegio per tutte le questioni di cui ai punti da a) a j) della stessa delibera n. 414/2016. Nell’ambito della struttura del Garante per l’espletamento delle proprie funzioni il RPCT si avvale di tre funzionarie individuate con ordine di servizio del Segretario generale, assegnate anche al Servizio studi e documentazione. Le attività di cui all'art. 2, lettere da a) a j) della citata delibera n. 414/2016 sono svolte secondo le modalità specificate nel PTPC, con il supporto di tutti i dirigenti ai quali sono affidati poteri propositivi e di controllo e attribuiti obblighi di collaborazione, di monitoraggio e di azione diretta di prevenzione della corruzione. L’art. 1, comma 7, della legge n. 190/2012 prevede altresì che il RPCT segnala all'organo di indirizzo e all'Organismo indipendente di valutazione le disfunzioni inerenti all'attuazione delle misure in materia di prevenzione della corruzione e di trasparenza e indica agli uffici competenti all'esercizio dell'azione disciplinare i nominativi dei dipendenti che non hanno attuato correttamente le misure in materia di prevenzione della corruzione e di trasparenza. Eventuali misure discriminatorie, dirette o indirette, nei confronti del Responsabile della prevenzione della corruzione e della trasparenza per motivi collegati, direttamente o indirettamente, allo svolgimento delle sue funzioni devono essere segnalate all'Autorità nazionale anticorruzione, che può chiedere informazioni all'organo di indirizzo e intervenire nelle forme di cui al comma 3, articolo 15, decreto legislativo 8 aprile 2013, n. 3. 3. Funzioni ed organizzazione del Garante per la protezione dei dati personali. Il Garante è un'autorità amministrativa indipendente istituita dalla legge 31 dicembre 1996, n. 675 – che ha attuato nell'ordinamento giuridico italiano la direttiva comunitaria 95/46/CE – e si occupa di tutti gli ambiti, pubblici e privati, nei quali occorre assicurare il corretto trattamento dei dati e il rispetto dei diritti delle persone connessi all'utilizzo delle informazioni personali. La complessiva materia è oggi disciplinata dal Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196). Il Garante è un organo collegiale, composto da quattro membri eletti dal Parlamento, i quali rimangono in carica per un mandato di sette anni non rinnovabile. L'attuale Collegio si è insediato il 19 giugno 2012 ed è composto da Antonello Soro (Presidente), 7 PTPC Garante per la protezione dei dati personali 2017-2019 Augusta Iannini (Vicepresidente), Giovanna Bianchi Clerici e Licia Califano (componenti). Il segretario generale è l’avvocato Giuseppe Busia. I compiti dell’Autorità sono definiti dal Codice e da altre fonti normative nazionali e comunitarie (anzitutto la direttiva 95/46/CE, ed in prospettiva dal regolamento (UE) 2016/679 e dalla direttiva (UE) 2016/680, ma deve altresì essere ricordato l’art. 8 della Carta dei diritti fondamentali dell'Unione europea secondo il quale il rispetto delle regole poste a presidio del diritto alla protezione dei dati personali “è soggetto al controllo di un’autorità indipendente”). In particolare, l’Autorità si occupa di: - controllare che i trattamenti di dati personali siano conformi a leggi e regolamenti e, eventualmente, prescrivere ai titolari o ai responsabili dei trattamenti le misure da adottare per svolgere correttamente il trattamento; - esaminare reclami e segnalazioni nonché decidere i ricorsi presentati ai sensi dell'art. 145 del Codice; - vietare in tutto od in parte, ovvero disporre il blocco del trattamento di dati personali che per la loro natura, per le modalità o per gli effetti del loro trattamento possano rappresentare un rilevante pregiudizio per l'interessato; - adottare i provvedimenti previsti dalla normativa in materia di dati personali, tra cui, in particolare, le autorizzazioni generali per il trattamento dei dati sensibili; - promuovere la sottoscrizione dei codici di deontologia e di buona condotta in vari ambiti (credito al consumo, attività giornalistica, ecc.); - segnalare, quando ritenuto opportuno, al Parlamento e al Governo l’opportunità di adottare provvedimenti normativi; - fornire elementi conoscitivi per l’istruttoria legislativa; - formulare i pareri richiesti dal Presidente del Consiglio o da ciascun ministro in ordine a regolamenti ed atti amministrativi suscettibili di incidere sulle materie disciplinate dal Codice; - predisporre una relazione annuale sull'attività svolta e sullo stato di attuazione della normativa sulla protezione dei dati personali da trasmettere al Parlamento, al Governo e alla Corte dei conti; - partecipare alle attività comunitarie ed internazionali di settore, anche quale componente del Gruppo Articolo 29 e delle Autorità comuni di controllo previste da convenzioni internazionali (Europol, Schengen, Sistema informativo doganale); - curare la tenuta del registro dei trattamenti formato sulla base delle notificazioni di cui all'articolo 37 del Codice in materia di protezione dei dati personali; - curare l'informazione e la sensibilizzazione dei cittadini in materia di trattamento dei dati personali, nonché sulle misure di sicurezza dei dati; 8 PTPC Garante per la protezione dei dati personali 2017-2019 - coinvolgere i cittadini e tutti i soggetti interessati con consultazioni pubbliche dei cui risultati si tiene conto per la predisposizione di provvedimenti a carattere generale; - formulare i pareri in materia di accesso civico ai sensi dell’art. 5, comma 8 d. lgs. n. 33/2013. Quanto all’autonomia normativa e organizzativa, la legge n. 675/1996 ha conferito al Garante la potestà di disciplinare, con propri regolamenti, il trattamento giuridico ed economico del personale1, l’organizzazione ed il funzionamento dell’ufficio2 strutturato secondo il seguente organigramma funzionale reso pubblico sul sito istituzionale dell’Autorità (cfr. art. 156, comma 3, Codice): L’Ufficio si articola in dipartimenti, servizi ed unità temporanee per le cui funzioni e responsabilità si rinvia a quanto previsto dal Regolamento di organizzazione e funzionamento. Al 31 dicembre 2016 il personale in servizio presso il Garante comprende: il Segretario generale e 15 dirigenti o equiparati (di cui 13 a tempo indeterminato e 2 fuori Regolamento n. 2-2000 concernente il trattamento giuridico ed economico del personale del Garante per la protezione dei dati personali (adottato con deliberazione 14 marzo 2001 e modificato da ultimo con delibera 3 aprile 2014). 2 Regolamento n. 1-2000 concernente l’organizzazione e il funzionamento dell'ufficio del Garante per la protezione dei dati personali (adottato con delibera 14 marzo 2001 e modificato da ultimo con delibera n. 374 del 25 giugno 2015 1 9 PTPC Garante per la protezione dei dati personali 2017-2019 ruolo); 107 unità di personale (di cui 95 a tempo indeterminato, 4 fuori ruolo e 8 a tempo determinato). 4. Soggetti coinvolti e ruoli ai fini della prevenzione della corruzione. Il PTPC costituisce lo strumento specifico adottato dall'Autorità per favorire il contrasto della corruzione e promuovere la legalità della propria attività allo scopo di prevenire le situazioni che possono provocarne un malfunzionamento. La strategia di prevenzione della corruzione prevede sinergie e collaborazione tra una pluralità di soggetti, nei termini di seguito illustrati: a. Collegio, quale “organo di indirizzo politico amministrativo”: - nomina il Responsabile della prevenzione della corruzione e della trasparenza; - definisce gli obiettivi strategici in materia di prevenzione della corruzione e trasparenza, che costituiscono contenuto necessario dei documenti di programmazione strategico-gestionale e del Piano triennale per la prevenzione della corruzione; nella redazione del presente PTPC si è tenuto conto degli obiettivi strategici definiti - per l’anno 2017 - con delibera n. 545 del 22 dicembre 2016; con quest’ultima delibera è stato approvato, in All. A, il documento contentente gli obiettivi programmatici del Garante per il 2017 ribandendosi l’obiettivo di attuare la disciplina in materia di trasparenza amministrativa e di prevenzione della corruzione presso il Garante e di svolgere attività di formazione del personale in materia di prevenzione della corruzione e trasparenza; si è tenuto altresì conto delle indicazioni contenute nel Documento programmatico 2017-2019 approvato in All. B alla predetta delibera; con delibera n. 512 del 15 dicembre 2016 erano stati definiti gli obiettivi strategici in materia di prevenzione della corruzione e trasparenza per l’anno 2016; - adotta, su proposta del RPCT, il PTPC da pubblicare sul sito istituzionale nella sezione “Autorità trasparente”, sottosezione “Altri contenuti - Corruzione” e ne cura la trasmissione ad Anac; - adotta tutti gli atti di indirizzo di carattere generale che siano direttamente o indirettamente finalizzati alla prevenzione della corruzione. b. Responsabile della prevenzione della corruzione e della trasparenza, individuato dal Collegio nella persona della dott.ssa Valentina Gagliardi (delibera n. 414 del 12 ottobre 2016): - propone l’adozione del PTPC al Collegio; - verifica l’efficace attuazione del PTPC e propone eventuali modifiche; - individua il personale da inserire nei programmi di formazione; - predispone la relazione annuale sull’attività svolta e la pubblica sul sito istituzionale 10 PTPC Garante per la protezione dei dati personali 2017-2019 nella sezione “Autorità trasparente”, sottosezione “Altri contenuti-Corruzione”; - svolge gli ulteriori compiti meglio individuati al par. 2. c. I referenti, individuati nel PTPC e corrispondenti ai dirigenti assegnati ai dipartimenti, servizi o unità temporanee: - svolgono attività informativa nei confronti del RPCT, affinché questi riceva adeguati elementi e riscontri sull’organizzazione e sull’attività dell’amministrazione; - supportano il Responsabile nel costante monitoraggio sull’attività svolta ai fini dell’attuazione del PTPC; - partecipano al processo di mappatura dei processi, valutazione e gestione del rischio nonchè di proposizione delle misure di prevenzione; - osservano le misure contenute nel PTPC; - assicurano l’osservanza del codice etico e segnalano eventuali ipotesi di violazione; d. I dipendenti partecipano al processo di gestione del rischio ed in particolare: - osservano le misure contenute nel PTPC; - osservano le disposizioni del codice etico; - segnalano situazioni di possibile illecito ed i casi di personale conflitto di interessi al proprio dirigente. e. I consulenti e collaboratori a qualsiasi titolo dell’Autorità: - osservano le misure contenute nel PTPC; - osservano gli obblighi previsti a loro carico dalla legge, ivi inclusi l’obbligo di non assumere l’incarico in presenza di situazioni di conflitto di interesse e gli obblighi di dichiarazione; - segnalano situazioni di illecito. La mancata risposta alle richieste di collaborazione del Responsabile della prevenzione della corruzione da parte dei Referenti per la prevenzione della corruzione è suscettibile di essere sanzionata disciplinarmente. 5. Entrata in vigore, validità, aggiornamenti. Il PTPC entra in vigore successivamente alla pubblicazione sul sito istituzionale, nella sezione «Autorità Trasparente», ha una validità triennale e sarà aggiornato entro il 31 gennaio di ciascun anno. In ogni caso, esso potrà essere modificato su iniziativa del Responsabile, il quale ne proporrà la modifica al Collegio ogniqualvolta siano accertate significative violazioni delle prescrizioni in esso contenute, ovvero qualora ritenga che siano intervenuti mutamenti nell’organizzazione o nell’attività dell’Autorità tali da ridurre l'idoneità del Piano a prevenire il rischio di corruzione o da limitare la sua efficace attuazione. 11 PTPC Garante per la protezione dei dati personali 2017-2019 6. Metodologia adottata per la predisposizione del PTPC. Il processo di predisposizione del PTPC si è articolato in tre fasi: 1) processo di autoanalisi organizzativa e di mappatura dei processi; 2) analisi dei rischi; 3) individuazione delle misure di prevenzione del rischio. Per la predisposizione del PTPC sono stati coinvolti i titolari dei Dipartimenti, Servizi o Unità. In particolare il RPCT ha acquisito il contributo di ciascun dirigente in ordine ai compiti effettivamente svolti, nell’ordinamento del Garante, dal Dipartimento, Servizio o Unità da lui diretta, ai rischi di fenomeni corruttivi individuabili e alle misure di contrasto programmabili, fermo restando che l’attività di autoanalisi organizzativa e di mappatura dei processi - in ragione della estrema limitatezza del periodo di tempo di cui il RPCT ha potuto disporre per elaborare il Piano, essendo stato nominato per la prima volta con delibera 12 ottobre 2016, n. 414, con decorrenza 21 ottobre 2016 ed essendo stati definiti dal Garante gli obiettivi strategico-gestionali in materia di prevenzione della corruzione e di trasparenza con delibera n. 512 del 15 dicembre 2016 - necessiterà di ulteriore verifica e affinamento in sede di primo Aggiornamento del Piano. La predetta attività di autoanalisi e mappatura è stata effettuata sulla base di parametri qualitativi e quantitativi. In particolare, l’individuazione delle attività sensibili è stata attuata attraverso l’analisi della struttura organizzativa del Garante, allo scopo di individuare le modalità operative, la ripartizione delle competenze e la sussistenza o l’insussistenza di rischi di corruzione. Al fine di poter identificare le aree operative maggiormente esposte al rischio di corruzione, è stata svolta un’attività preliminare di mappatura del livello di esposizione delle singole Unità a rischio corruzione. Con riferimento a ciascuna funzione individuata è stato assegnato un indice di rischio corruzione selezionato tra i valori nullo, basso, medio, alto. Il valore è stato assegnato per ciascuna Unità a seguito dell’analisi effettuata e dei dati forniti dai dirigenti coinvolti e degli approfondimenti effettuati dal Responsabile della prevenzione, tenendo conto anche dei seguenti parametri: grado di discrezionalità amministrativa; entità e misura delle risorse finanziarie gestite, sia in forma di contributo che di corrispettivo, dall’Unità; presenza di precedenti casi e/o episodi che abbiano comportato l’avvio di procedimenti per responsabilità disciplinari, penali, civili, amministrativo-contabili, correlati ad attività di carattere corruttivo; disponibilità dei flussi informativi e trattamento dei dati; coinvolgimento di altre Unità nello svolgimento di una determinata funzione (controllo reciproco); coinvolgimento di soggetti esterni nello svolgimento di una determinata funzione. 7. Segue . Processo di autoanalisi organizzativa e di mappatura dei processi 12 PTPC Garante per la protezione dei dati personali 2017-2019 Prima di procedere all'analisi dei rischi di corruzione, si è provveduto ad una mappatura dei processi che caratterizzano l'attività dell'Autorità. Nell’operazione di definizione di tali processi, si è condotta una prima analisi dei procedimenti a più alto rischio corruttivo espressamente indicati dal legislatore. L’art. 1, comma 16, della Legge ha, infatti, individuato una serie di procedimenti che, per loro caratteristiche intrinseche, vengono considerati dal legislatore ad alto rischio di corruzione. Rientrano tra i procedimenti a più alto rischio corruttivo tipizzati dal legislatore i seguenti processi: a) processi volti al rilascio di autorizzazione o concessione; b) scelta del contraente per l’affidamento di lavori, servizi e forniture, anche con riferimento alle modalità di selezione prescelta ai sensi del codice dei contratti pubblici; c) processi volti alla concessione ed erogazione di sovvenzioni, contributi, sussidi, ausili finanziari, nonché attribuzioni di vantaggi economici di qualunque genere a persone ed enti pubblici privati; d) concorsi e prove preselettive per l’assunzione del personale e progressioni di carriera di cui all’art. 24 del decreto legislativo n. 150 del 2009. L’Anac, nell’Aggiornamento 2015 al PNA, oltre alle aree sopra elencate, definite “obbligatorie”, ha individuato ulteriori attività riconducibili ad aree con alto livello di probabilità di eventi rischiosi. Trattasi delle seguenti: - gestione delle entrate, delle spese e del patrimonio; - controlli, verifiche, ispezioni e sanzioni; - incarichi e nomine; - affari legali e contenzioso. Quanto ai procedimenti tipizzati dal legislatore come ad alto rischio (ai sensi dell’art. 1, comma 16, della l. n. 190/2016) nonostante la legge si riferisca testualmente ai procedimenti, si ritiene che la valutazione del rischio debba abbracciare l’area, evidentemente più ampia, del “processo”, inteso, quest’ultimo, come contesto in cui si valuta non solo l’attività di diritto pubblico ma anche quella di diritto privato dell’amministrazione (ad esempio la stipulazione e/o l’esecuzione di un contratto). La scelta di ricomprendere i provvedimenti concessori e/o autorizzatori tra gli “atti tipici” a rischio di corruzione va rinvenuta nella particolare natura dei medesimi provvedimenti. In entrambi i casi si tratta di provvedimenti ampliativi della sfera giuridica di un destinatario determinato, anche se diversa è poi la natura dei due provvedimenti; il Garante non adotta, comunque, provvedimenti concessori. Il provvedimento autorizzatorio, in particolare, rimuove un limite legale all’esercizio di un diritto già esistente nella sfera giuridica del destinatario. Nel caso dell’autorizzazione, dunque, il titolare del diritto è ab origine il privato, ma viene in considerazione un diritto il 13 PTPC Garante per la protezione dei dati personali 2017-2019 cui esercizio incide sul perseguimento di interessi pubblici. Si rinviene in capo all’Autorità l’esistenza di poteri autorizzatori, con particolare riguardo ai processi diretti all’adozione di autorizzazioni particolari o generali al trattamento di dati personali, previste e disciplinate dal Codice in materia di protezione dei dati personali (d.lgs. n. 196/2003). I processi individuati come ad alto rischio dall’art. 1, comma 16, lett. b) della Legge scelta del contraente per l’affidamento di lavori, servizi e forniture, anche con riferimento alle modalità di selezione prescelta ai sensi del codice dei contratti pubblici -, rilevano per l’Autorità principalmente con riguardo all’affidamento dei servizi e delle forniture, fermo restando che le medesime misure di garanzia dovranno adottarsi anche in caso di affidamento di lavori. A tale riguardo l’attività condotta ha consentito di evidenziare una serie potenziale di rischi di carattere generale, anch’essi comuni a quelli relativi alle altre amministrazioni pubbliche. I processi di cui alla successiva lettera c) dell’art. 1, comma 16, della Legge, non trovano, invece, riscontro nell’ordinamento dell’Autorità, in quanto il Garante non contempla fra le proprie attuali competenze la concessione ed erogazione di sovvenzioni, contributi, sussidi, ausili finanziari, o l’attribuzione di vantaggi economici di qualunque genere a persone ed enti pubblici e privati. Quanto ai processi di cui all’art. 1, comma 16, lettera d), della Legge - concorsi e prove preselettive per l’assunzione del personale e progressioni di carriera di cui all’art. 24 del decreto legislativo n. 150 del 2009 -, l’attività svolta ha consentito di evidenziare alcuni potenziali rischi comuni alle altre pubbliche amministrazioni, come descritto nell’Allegato 1. I processi “tipizzati” dalla legge come ad alto rischio di corruzione sono caratterizzati dal comportare l’ampliamento della sfera giuridica di destinatari determinati, di cui si è trattato sopra, o dall’essere suscettibili di produrre effetti economici diretti ed immediati per il destinatario. Le ragioni della loro inclusione tra i processi a più alto rischio sono evidenti. Le attività organizzative interne avviate per la completa mappatura dei processi, hanno, inoltre, evidenziato la sussistenza di una serie di processi di competenza dell’Autorità che presentano caratteri analoghi e/o affini a quelli tipizzati dal legislatore all’art. 1, comma 16, della legge n. 190/2012 e che, di conseguenza, sono stati classificati ad alto rischio di corruzione. Per quanto riguarda i processi che comportano l’ampliamento della sfera giuridica di destinatari determinati, oltre ai processi autorizzatori particolari e generali, già menzionati, occorre avere riguardo ai processi di verifica preliminare previsti dall’art. 17 del Codice in materia di protezione dei dati personali per i trattamenti che presentano rischi specifici, e, in generale, ai casi in cui il trattamento può essere effettuato solo nel 14 PTPC Garante per la protezione dei dati personali 2017-2019 rispetto di misure e accorgimenti prescritti dal Garante. Per quanto riguarda, invece, i processi caratterizzati dall’essere suscettibili di produrre effetti economici diretti ed immediati per il destinatario, anch’essi da considerarsi ad alto rischio, ci si riferisce, in particolare, ai processi finalizzati all’adozione di provvedimenti di tipo prescrittivo. Infatti tali provvedimenti, sebbene non producano un effetto ampliativo della sfera giuridica del privato, tuttavia presentano affinità con i provvedimenti autorizzativi, sotto il profilo della presenza dei medesimi rischi corruttivi poiché hanno la capacità di incidere sulla sfera giuridica di un destinatario determinato. Per tali ragioni, sono inclusi nell’alveo dei procedimenti a più alto rischio di corruzione dell’Autorità anche i processi diretti all’adozione di provvedimenti di natura prescrittiva. Ci si riferisce, in particolare, ai processi diretti all’adozione, oltre che dei cennati provvedimenti diretti a prescrivere anche d'ufficio ai titolari del trattamento le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti, ai sensi dell'articolo 143 del Codice, di provvedimenti sanzionatori, di divieto del trattamento e di blocco del trattamento. Anche nei richiamati provvedimenti sono insiti, pertanto, i medesimi rischi corruttivi già sopra evidenziati. Il rischio, cioè, dell’accettazione impropria di regalie, compensi o altri vantaggi al fine di condizionare illecitamente l’attività comunque preordinata all’adozione di tali atti. Gli esiti della mappatura dei processi, hanno condotto all’inclusione, nell’area dei processi ad alto rischio, anche dei processi che possono produrre effetti sfavorevoli di diversa intensità per i destinatari, quali sono i processi di controllo, di verifica, anche a seguito di segnalazione o reclamo, e di ispezione di competenza dell’Autorità. In questo ambito, la circostanza che il processo possa concludersi con l’adozione di un provvedimento sanzionatorio o di altro provvedimento sfavorevole per il destinatario e che può manifestare diversi gradi di impatto economico a seconda dell’entità della sanzione comminata, enfatizza i “rischi” di sviamento dalla funzione pubblica che si intendono prevenire con l’adozione del PTPC. Per tale ragioni si ritiene che anche i processi ricompresi in tale ambito siano tra quelli a maggior rischio di corruzione per l’Autorità. In linea con l’esperienza maturata da altre amministrazioni si sono, infine, ricompresi nell’area dei processi ad alto rischio anche i processi di gestione delle entrate, delle spese e del patrimonio; quelli diretti al conferimento di incarichi e nomine; nonché quelli espletati nel settore affari legali e contenzioso. 8. Segue . Analisi dei rischi L'analisi dei rischi è consistita nell’identificazione dei rischi di corruzione che caratterizzano le attività ed i procedimenti dell'Autorità e nella valutazione del grado di esposizione ai rischi di cui, in parte, si è già accennato nel precedente paragrafo. L’art. 1, 15 PTPC Garante per la protezione dei dati personali 2017-2019 comma 9, della l. n. 190/2012 non definisce il concetto di “rischio di corruzione”, limitandosi a richiamarlo come evento da prevenire (cfr. art. 1, comma 9, lettera a). La dottrina, in coerenza con la finalità di assicurare la massima ampiezza possibile alle previsioni in tema di prevenzione alla corruzione, ritiene che il concetto di “corruzione” sia da intendere in modo estensivo, comprensivo delle varie ed eterogenee situazioni in cui, nel corso dell’attività amministrativa, si riscontri l’abuso e/o lo “sviamento della funzione” del potere affidato all’Amministrazione per il perseguimento degli interessi pubblici. Per “rischio” si intende l’effetto dell’incertezza sul corretto perseguimento dell’interesse pubblico e quindi, sul raggiungimento degli obiettivi per la cui realizzazione l’ente è preposto, dovuto alla possibilità che si verifichi un dato evento. Per “evento” si intende il verificarsi di un insieme di circostanze che si frappongono al perseguimento degli interessi pubblici. Rispetto alle attività rientranti nelle aree individuate come ad elevato rischio il PTPC identifica le caratteristiche del rischio, le azioni e gli strumenti per prevenire il rischio. 9. Segue . Individuazione delle misure di prevenzione del rischio La terza fase ha riguardato l’individuazione delle misure di prevenzione. Tale sistema comprende la definizione degli strumenti di risposta al rischio, la progettazione delle misure di prevenzione specifiche da attuare, “concrete, sostenibili e verificabili” e l’identificazione del responsabile, ovvero del soggetto che ha la responsabilità di attivare la misura descritta. L’analisi e mappatura delle attività relative ai processi, l’individuazione dei rischi specifici e la definizione delle relative misure di prevenzione ha portato ad esiti che sono dettagliatamente descritti nella tabella in Allegato 1 al presente Piano. 16 PTPC Garante per la protezione dei dati personali 2017-2019 Parte II 10. Misure di prevenzione della corruzione. Misure generali Le misure di carattere generale si riferiscono a tutte quelle azioni di prevenzione del rischio di corruzione che riguardano l'Autorità nel suo complesso e che definiscono le caratteristiche del contesto organizzativo, in cui operano le misure di prevenzione specifiche o particolari, che riguardano, invece, le singole attività riconducibili ai processi a rischio. Per facilità di consultazione dette misure sono riassunte nella seguente tabella riepilogativa e corredate da un codice identificativo in modo tale da consentirne il richiamo sintetico nella colonna “MISURE GENERALI INDIVIDUATE” della tabella “Scheda di sintesi - Mappatura dei processi, Analisi e Valutazione del rischio”, in Allegato 1. Misura di Contrasto Codice identificativo misura Adempimenti relativi alla trasparenza M01 Codice etico M02 Informatizzazione dei processi con monitoraggio termini M03 Obbligo di astensione in caso di conflitto di interesse M04 Meccanismi di controllo nella formazione delle decisioni dei M05 procedimenti a rischio: la separazione tra organo istruttorio ed organo decisorio Inconferibilità - incompatibilità di incarichi dirigenziali e di M06 incarichi amministrativi di vertice Conferimento e autorizzazione di incarichi ai dipendenti M07 Formazione di commissioni e assegnazioni agli uffici M08 Segnalazione di illeciti da parte dei dipendenti (whistleblowing) M09 Formazione M10A Formazione M10B Rotazione degli incarichi dirigenziali M11 SCHEDA MISURA M01 ADEMPIMENTI RELATIVI ALLA TRASPARENZA La trasparenza costituisce un importante strumento che caratterizza l’attività dell’Autorità per prevenire la corruzione e, più in generale, qualsiasi situazione che possa provocare un malfunzionamento. La pubblicazione costante e tempestiva sul sito web 17 PTPC Garante per la protezione dei dati personali 2017-2019 istituzionale di informazioni sulle attività poste in essere permette, infatti, di favorire forme di controllo diffuso anche da parte di soggetti esterni e di svolgere un’importante azione di deterrente per potenziali condotte illegali o irregolari. Il Garante ha adeguato il proprio ordinamento e ha assunto sin dal 2013 le iniziative necessarie per dare attuazione alla disciplina introdotta dal d.lgs. n. 33/2013 e agli altri obblighi di pubblicazione normativamente prescritti. Delle attività poste in essere e delle ulteriori azioni da intraprendere a seguito della successiva evoluzione del quadro normativo – azioni che in questo paragrafo ci si limita a compendiare nella scheda di sintesi di seguito esposta - si dà conto diffusamente nella Parte III del presente Piano triennale, alla quale si fa rinvio. - D.lgs. n. 33/2013 come modificato e integrato dal d.lgs. Riferimenti normativi 97/2016 - l. n. 190/2012 - Completamento dell’aggiornamento della struttura della Sezione Autorità trasparente per adeguarla al d.lgs. n. 97/2016 anche con riguardo ai “Dati ulteriori” indicati nel Azioni da intraprendere par. 13 del presente PTPC - Aggiornamento dei moduli per l’esercizio del diritto di accesso civico per adeguarli al d.lgs. n. 97/2016 - Responsabile della prevenzione della corruzione e della Soggetti competenti trasparenza all’adozione delle - Gruppo di lavoro sull’accesso civico misure - Dirigente del Servizio relazioni esterne e media - I dirigenti di tutte le unità organizzative Termine 2017 Misura comune a tutti i livelli di rischio individuati dal Note presente Piano SCHEDA MISURA M02 - CODICE ETICO Tra le misure di prevenzione della corruzione predisposte dall’Autorità, si evidenzia che il Garante, fin dal 4 giugno 1998, ha adottato un Codice etico che definisce i criteri e le modalità che i dipendenti del Garante devono rispettare nella loro attività conformemente alla posizione di indipendenza riconosciuta all'Autorità e ai compiti di garanzia ad essa affidati. Il Codice è attualmente pubblicato sul sito dell'Autorità, alla Sezione "Autorità trasparente" (sottosezione "Disposizioni generali" - "Atti generali") e l’obbligatoria adozione dello stesso è stata confermata dall’articolo 2, comma 1, lett. f), 18 PTPC Garante per la protezione dei dati personali 2017-2019 Regolamento n. 1/2000 del Garante adottato il 28 giugno 2000 “sull'organizzazione e il funzionamento dell'ufficio del Garante per la protezione dei dati personali”. Il rispetto del Codice etico è indicato espressamente come obbligo rientrante nei doveri d’ufficio del dipendente, ai sensi degli articoli 8, comma 1, e 9 del Regolamento n. 2/2000 del Garante “concernente il trattamento giuridico ed economico del personale del Garante per la protezione dei dati personali” (Art. 8. Obblighi: “1. Il dipendente deve prestare la propria attività con lealtà, diligenza e spirito di collaborazione, in conformità alle leggi, ai regolamenti, alle disposizioni interne e al codice etico, nell'interesse esclusivo dell'Autorità.”; Art. 9. Divieti e incompatibilità: “1. Il personale in servizio presso l'Autorità deve osservare i divieti e le incompatibilità stabiliti dalle leggi, dai regolamenti e dal codice etico approvato dal Garante.”). L’inserimento del rispetto del Codice etico fra i doveri d’ufficio del dipendente comporta, inoltre, che la violazione del Codice costituisce condotta sanzionabile anche disciplinarmente ai sensi dell’art. 24 dello stesso Reg. n. 2/2000. Il Codice etico contiene un’articolata disciplina in materia, fra l’altro, di: - rispetto degli orari di lavoro e utilizzo delle risorse dell’ufficio (art. 2); - doveri di imparzialità (art. 3: “Il dipendente opera con imparzialità, evita trattamenti di favore e disparità di trattamento, si astiene dall'effettuare pressioni indebite e le respinge, adotta iniziative e decisioni nella massima trasparenza ed evita di creare o di fruire di situazioni di privilegio. Nei rapporti con i soggetti interessati a qualunque titolo all'attività del Garante, il dipendente non assume impegni né fa promesse personali che possano condizionare l'adempimento dei doveri d'ufficio. Il dipendente, fermo il diritto di associazione e il diritto di adesione a partiti politici e sindacati, comunica al segretario generale l'adesione ad associazioni, circoli od altri organismi di qualsiasi natura i cui interessi possano influenzare lo svolgimento delle funzioni d'ufficio”); - doveri di integrità (art. 4: “Il dipendente non utilizza l'Ufficio per perseguire fini o per conseguire benefici privati e personali. Il dipendente non si avvale della posizione che ricopre nell'Ufficio per ottenere utilità o benefici nei rapporti esterni anche di natura privata. Nei rapporti privati, il dipendente evita di dichiarare o di lasciare intendere la propria posizione nei casi in cui tale menzione non risponda ad esigenze obiettive. Il dipendente non fa uso delle informazioni non disponibili al pubblico o non rese pubbliche, ottenute anche in via confidenziale nell'attività d'ufficio, per realizzare profitti o interessi privati. Il dipendente evita di ricevere benefici di ogni genere, anche in occasione di viaggi, seminari e convegni, che possano essere o apparire tali da influenzarne l'indipendenza di giudizio e l'imparzialità; inoltre non sollecita né accetta, per sé o per altri, alcun dono o altra utilità da parte di soggetti comunque interessati all'attività del Garante o che intendano entrare in rapporto con esso, con eccezione dei regali di modico valore. 19 PTPC Garante per la protezione dei dati personali 2017-2019 Nel caso in cui riceva pressioni illegittime o gli vengano offerti regali, benefici o altre utilità eccedenti un modico valore, il dipendente è tenuto a darne tempestiva comunicazione al segretario generale”); - regole particolari aventi ad oggetto, fra l’altro, le modalità di esercizio dei compiti d’ufficio (art. 5: “Fuori dell'ordinario procedimento di assegnazione delle pratiche, il dipendente non sollecita né riceve comunicazioni a lui destinate, né invia missive non autorizzate. Il dipendente partecipa ai soli incontri e riunioni, anche informali, rilevanti per l'attività d'ufficio cui è autorizzato a prendere parte; evita inoltre contatti non autorizzati con destinatari anche indiretti degli atti e dei provvedimenti in fase di adozione o con chi fornisce o intende fornire beni o servizi all'Ufficio […]”); - situazioni di conflitto di interessi (art. 6, per la cui analisi v. infra, Scheda M04); - riservatezza, rapporti con la stampa e svolgimento di attività collaterali (artt. 7, 8 e 9); - informative del Segretario generale al Collegio (art. 10). Anche il Presidente, i Componenti del Garante e il Segretario generale, ai sensi dell’art. 11 del cennato Codice etico, conformano la propria attività ai princìpi di tale Codice e si informano reciprocamente degli incontri anche informali cui prendono parte in materie rilevanti per l'attività del Garante. Nel corso dell’anno 2017 il RPTC ricordererà a tutti i dipendenti la necessità di rispettare le regole stabilite dal Codice etico, trasmettendo contestualmente copia del Codice stesso, ed inviterà i dirigenti a vigilare sulla sua effettiva applicazione e segnalare immediatamente al medesimo Responsabile - onde consentire l’attività di monitoraggio annuale - le eventuali violazione. Il Codice etico del Garante si colloca ora nell’ambito della generale disciplina dei codici di comportamento dei dipendenti pubblici introdotta dall’articolo 54 del d.lgs. n. 165/2001, così come sostituito dall’art. 1, comma 44, della l. n. 190/2012. Tale disposizione ha assegnato al Governo la competenza a definire un codice di comportamento dei dipendenti delle pubbliche amministrazioni, “al fine di assicurare la qualità dei servizi, la prevenzione dei fenomeni di corruzione, il rispetto dei doveri costituzionali di diligenza, lealtà, imparzialità e servizio esclusivo alla cura dell’interesse pubblico”. In attuazione di tale previsione, é stato adottato il d.P.R. n. 62/2013, “Regolamento recante codice di comportamento dei dipendenti pubblici, a norma dell’articolo 54 del decreto legislativo 30 marzo 2001, n. 165”, che ha sostituito il Codice di comportamento approvato con il decreto del Ministro per la funzione pubblica del 28 novembre 2000, prevedendo misure innovative in funzione della prevenzione della corruzione. Ancorché il citato articolo 54 del d.lgs. n. 165 del 2001, come sostituito, costituisca disposizione del d.lgs. n. 165/2001 non espressamente richiamata ai sensi dell'art. 155, comma 1, ultimo periodo, del Codice in materia di protezione dei dati personali (d.lgs. n. 196/2003) e come tale non direttamente applicabile al Garante, l’Autorità, nel corso del 20 PTPC Garante per la protezione dei dati personali 2017-2019 triennio 2017/2019 avvierà un’attività di studio volta all’eventuale aggiornamento del Codice etico del Garante, anche tenendo conto - per quanto compatibile con la propria autonomia organizzativa e struttura operativa - di quanto previsto dalla legge n. 190/2012 e dal d.P.R. n. 62/2013. - Artt. 8, comma 1, 9 e 24 del Reg. n. 2/2000 del Garante - Codice etico del Garante Riferimenti normativi - Articolo 54 del d. lgs. n. 165/2001 come modificato dall’articolo 1, comma 44, della l. n. 190/2012 - D.P.R. n. 62/2013 - Sensibilizzazione di tutti i dipendenti circa la necessità di applicare il Codice etico, contestualmente trasmesso - Verifica e segnalazione da parte dei dirigenti circa le violazioni del Codice etico Azioni da intraprendere - Monitoraggio annuale da parte del RPCT delle eventuali segnalazioni pervenute - Eventuale aggiornamento del Codice etico dell’Autorità entro la fine del triennio Soggetti competenti - Collegio all’adozione delle - Responsabile della prevenzione della corruzione misure - I dirigenti di tutte le unità organizzative Tempestivo per le misure di sensibilizzazione, verifica e segnalazione. Annuale per il monitoraggio delle eventuali Termine segnalazioni. Entro la fine del Triennio 2017/2019 per l’eventuale aggiornamento del Codice etico. Misura comune a tutti i livelli di rischio individuati dal Note presente Piano SCHEDA MISURA M03 - INFORMATIZZAZIONE DEI PROCESSI CON MONITORAGGIO DEI TERMINI L’informatizzazione dei processi rappresenta una misura trasversale di prevenzione e contrasto particolarmente efficace dal momento che consente, per tutte le attività dell’amministrazione, la tracciabilità dello sviluppo del processo e riduce quindi il rischio di “blocchi” non controllabili con emersione delle responsabilità per ciascuna fase. Inoltre, l’informatizzazione costituisce il principale strumento per consentire un effettivo e costante monitoraggio sul rispetto dei termini di conclusione dei procedimenti, prescritto dall’art. 1, comma 9, lett. d), l. n. 190/2012. L’informatizzazione dei processi si 21 PTPC Garante per la protezione dei dati personali 2017-2019 innesta nell’ambito delle misure per l’automazione, esecuzione, controllo e ottimizzazione di processi interni all’amministrazione, quale mezzo principale per la transizione dalla gestione analogica del procedimento amministrativo al digitale. Già a partire dal 2015 il Garante si è impegnato in un’attività di analisi informatica dei procedimenti amministrativi aventi rilevanza esterna, disciplinati da regolamenti pubblicati, e dei procedimenti interni, propedeutica all’implementazione di un Sistema informatizzato per la gestione dei procedimenti amministrativi. Dopo una fase di sperimentazione di soluzioni informatiche settoriali (il sistema informatico "@Doc" per la gestione dei flussi documentali riguardanti gli atti collegiali, ottenuto in riuso dal Ministero degli affari esteri e della cooperazione internazionale, sistema la cui operatività è sospesa per interventi tecnici) l’Autorità, tenuto conto degli elementi utili acquisiti, è attualmente impegnata nella acquisizione del nuovo sistema di protocollazione “Archiflow”, propedeutica alla realizzazione di un futuro e più ampio Sistema di gestione dei procedimenti, in cui la componente di automazione documentale sia strumentale alla gestione dei processi nell’ottica del Business Process Management (BPM). Nel corso del triennio 2017-2019, il Garante proseguirà le attività di perfezionamento dell’analisi informatica, al fine di poter procedere alla successiva realizzazione graduale del predetto Sistema BPM per la gestione delle attività amministrative, orientato ai processi. Si prevede che la piena informatizzazione dei procedimenti amministrativi e delle altre attività, anche non procedimentalizzate, possa impegnare l’Autorità per un intervallo temporale che ragionevolmente eccede il mandato dell’attuale Collegio. Si ritiene, tuttavia, che la strada dell’informatizzazione sia obbligata, perché è la sola che permette di raggiungere un elevato livello di efficienza, consentendo nel contempo un più efficace controllo sulle prestazioni dell’ufficio, anche in termini di garanzia di legittimità e correttezza degli atti e dell’azione amministrativa. Lo sviluppo di funzionalità avanzate di BPM è comunque un’attività onerosa, che è impossibile condurre “a costo zero” per l’amministrazione, poichè, oltre alla necessità di impegnare risorse esterne per l’analisi e lo sviluppo del software (comprese eventuali personalizzazioni o configurazioni di sistemi già disponibili sul mercato o tra le soluzioni open source), è indispensabile dedicare risorse interne che seguano e contribuiscano all’analisi dei sistemi in via di sviluppo, limitando talvolta la capacità lavorativa di alcune unità organizzative. Riferimenti normativi - Art. 1, comma 9, let. d), l. n. 190/2012 Prosecuzione delle attività di perfezionamento dell’analisi Azioni da intraprendere informatica propedeutica alla progettazione e realizzazione di un Sistema BPM Soggetti competenti - Dirigente del Dipartimento tecnologie digitali e sicurezza all’adozione delle informatica 22 PTPC Garante per la protezione dei dati personali 2017-2019 misure Termine Note 2017/2019 Misura comune a tutti i livelli di rischio individuati dal presente Piano SCHEDA MISURA M04 – OBBLIGO DI ASTENSIONE IN CASO DI CONFLITTO DI INTERESSE In funzione di prevenzione e contrasto della corruzione si impone una particolare attenzione da parte dei responsabili del procedimento sulle situazioni di conflitto di interesse, che la legge ha valorizzato con l’inserimento di una nuova disposizione, l’articolo 1, comma 41, della l. n. 190/2012 che ha introdotto l’articolo 6-bis nella legge n. 241 del 1990, rubricato “Conflitto di interessi”. La disposizione stabilisce che “Il responsabile del procedimento e i titolari degli uffici competenti ad adottare i pareri, le valutazioni tecniche, gli atti endoprocedimentali e il provvedimento finale devono astenersi in caso di conflitto di interessi, segnalando ogni situazione di conflitto, anche potenziale”. Nell’ordinamento del Garante la materia dei conflitti di interesse è regolata dall’art. 6 del Codice etico adottato il 4 giugno 1998. Si ricorda, in proposito, che la violazione delle disposizioni del Codice etico, ivi incluse le regole sui conflitti di interesse, è sanzionabile disciplinarmente in base al combinato disposto degli articoli 8, comma 1, 9 e 24 del Reg. n. 2/2000 del Garante (v. supra, Scheda M02). Il citato art. 6 del Codice etico prevede in particolare che: “Il dipendente si adopera per prevenire situazioni di conflitto d'interessi con l'Ufficio, ed informa il Segretario generale degli eventuali interessi, anche di natura economica, che egli, il coniuge, i parenti entro il quarto grado o i soggetti conviventi abbiano nelle attività o nelle decisioni di propria competenza. Il dipendente si astiene in ogni caso dal partecipare ad attività o decisioni che determinano tale conflitto, e fornisce al Segretario generale ogni ulteriore informazione richiesta. Il dipendente si astiene dal partecipare, per un periodo di almeno due anni, alla trattazione delle questioni di competenza del Garante che possano coinvolgere interessi di propri precedenti soci in affari ovvero, fuori dei casi in cui è autorizzato, di precedenti datori di lavoro. Il dipendente si astiene in ogni altro caso in cui sussistano gravi ragioni di convenienza o nei quali, anche in ragione di una grave inimicizia, la propria partecipazione alla trattazione della questione possa ingenerare sfiducia nell'imparzialità del Garante. Il dipendente informa tempestivamente il Segretario generale degli eventuali contatti avviati, ai fini dell'assunzione di incarichi o di attività esterni all'Ufficio, con soggetti interessati anche solo potenzialmente all'attività del Garante. Il presente codice impegna il dipendente che cessi di prestare servizio presso l'Ufficio a non trovarsi in una situazione di conflitto di interessi con il Garante 23 PTPC Garante per la protezione dei dati personali 2017-2019 per un periodo di almeno due anni”. Rispetto alla finalità di prevenzione dei conflitti di interesse assumono rilevanza anche le previsioni di cui all’art. 9 del Codice etico, in materia di svolgimento di “attività collaterali” da parte dei dipendenti del Garante per cui: “Il dipendente informa il Segretario generale degli eventuali scritti ed articoli che intenda pubblicare nelle materie di competenza del Garante. Ferme restando le disposizioni di cui agli articoli 58 e 58-bis del d.lg. 3 febbraio 1993, n. 29 e all'art. 1, commi 56 e seguenti, della legge 23 dicembre 1996, n. 662, il dipendente non presta altre attività di lavoro subordinato o autonomo anche di consulenza in materie connesse con quelle di competenza del Garante. Il dipendente non svolge ulteriori attività esterne che contrastano con i doveri o che incidono sul corretto svolgimento dei compiti d'ufficio. Il dipendente dichiara al Segretario generale le situazioni di cui ai commi 2 e 3 del presente articolo anche al fine delle autorizzazioni e comunicazioni previste dalla legge.”. L’art. 10 del Codice etico prevede, al riguardo che: “Il Segretario generale informa il collegio delle comunicazioni ricevute e delle autorizzazioni rilasciate ai sensi del presente codice, e sottopone preventivamente all'esame del Collegio i casi di cui all'articolo 9, commi 2 e 3.”. In ottemperanza a quanto previsto dalle disposizioni sopra richiamate il Garante verifica la sussistenza di ipotesi di conflitto d’interesse tipizzate dal Codice etico. In particolare, ciascun dirigente per il settore di rispettiva competenza e il Segretario generale verificano le ipotesi di violazione, adottano le iniziative conseguenti e, ai sensi dell’art. 1, comma 9, lett. c), e e), l. n. 190/2012, segnalano i casi rilevati al RPTC per consentire il complessivo monitoraggio sul rispetto del PTPC e il controllo sul rispetto della disciplina della materia. - Artt. 8, comma 1, 9 e 24 del Reg. n. 2/2000 del Garante Riferimenti normativi - Artt. 6, 9 e 10 Codice etico del Garante - Art. 6-bis l. n. 241/1990 - Verifica delle sussistenza di ipotesi di conflitto d’interesse tipizzate dal Codice etico - Segnalazione al Responsabile della prevenzione della Azioni da intraprendere corruzione e della trasparenza, da parte del Segretario generale e dei singoli dirigenti, delle situazioni di conflitto di interesse laddove rilevate - Responsabile della prevenzione della corruzione e della Soggetti competenti trasparenza all’adozione delle - Segretario generale misure - Tutti i dirigenti, per l’area di rispettiva competenza Termine 2017 24 PTPC Garante per la protezione dei dati personali 2017-2019 Note Misura comune a tutti i livelli di rischio individuati dal presente Piano SCHEDA MISURA M05 - MECCANISMI DI CONTROLLO NELLA FORMAZIONE DELLE DECISIONI DEI PROCEDIMENTI A RISCHIO: SEPARAZIONE TRA ORGANO ISTRUTTORIO E ORGANO DECISORIO I processi e le attività poste in essere dall’Autorità sono concepiti, in misura largamente prevalente, in modo tale da non consentire che vi sia identità tra chi cura l’istruttoria del procedimento e chi assume la decisione finale. Per gli atti che sono adottati dal Collegio, detta separazione – in base alle previsioni dei Regolamenti n. 1/2007 “concernente le procedure interne all'Autorità aventi rilevanza esterna, finalizzate allo svolgimento dei compiti demandati al Garante per la protezione dei dati personali” e n. 2/2007 “concernente l'individuazione dei termini e delle unità organizzative responsabili dei procedimenti amministrativi presso il Garante per la protezione dei dati personali”, adottati con delibere del 14 dicembre 2007 - è rinvenibile nel distinguo tra l’Ufficio competente, da un lato, che propone l’adozione di un determinato atto in coerenza con l’esito dell’istruttoria condotta, e il Collegio, dall’altro, che adotta l’atto finale; occorre tenere conto che la proposta viene altresì esaminata dal Segretario Generale, nella sua funzione di collegamento tra la struttura e il Collegio dell’Autorità. Per i limitati casi in cui gli atti non siano adottati dal Collegio, e al riguardo si rimanda a quanto previsto dai citati Regolamenti n. 1/2007 e n. 2/2007, bensì dall’unità organizzativa competente, l’attività dell’unità competente vede normalmente, al suo interno, il coinvolgimento di più figure: il funzionario che istruisce il procedimento e il dirigente responsabile dell’Ufficio, fermo restando che in alcuni casi concreti tali ruoli possono eccezionalmente sovrapporsi tra di loro. In un contesto di complessiva adeguatezza della disciplina dei processi decisionali presso il Garante, con specifico riguardo a questi ultimi limitati casi il Garante svolgerà, nel corso del triennio 2017/2019, un’attività di studio volta a verificare la possibilità di introdurre nell’ordinamento dell’Autorità ulteriori meccanismi di garanzia del processo decisionale (es. introduzione, per tutte le ipotesi residuali, di meccanismi di comunicazione al Segretario generale dell’atto adottato o introduzione di modelli di “doppia firma decisionale”). - Regolamento n. 1/2007 del Garante, del 14 dicembre 2007 - Regolamento n. 2/2007 del Garante, del 14 dicembre 2007 Svolgimento di un’attività di studio volta a verificare la Azioni da intraprendere possibilità di introdurre, nell’ordinamento dell’Autorità, ulteriori meccanismi di garanzia del processo decisionale Riferimenti normativi 25 PTPC Garante per la protezione dei dati personali 2017-2019 Soggetti competenti - Collegio all’adozione delle - Segretario generale misure Termine 2017/2019 Misura specifica per i livelli di rischio classificati dal presente Note Piano come “medio” e “alto” SCHEDA MISURA M06 - INCONFERIBILITÀ - INCOMPATIBILITÀ DI INCARICHI DIRIGENZIALI E DI INCARICHI AMMINISTRATIVI DI VERTICE Il d.lgs. 8 aprile 2013, n. 39, recante “Disposizioni in materia di inconferibilità e incompatibilità di incarichi presso le pubbliche amministrazioni e presso gli enti privati in controllo pubblico, a norma dell’articolo 1, commi 49 e 50, della legge 6 novembre 2012, n. 190” (di seguito: d.lgs. n. 39/2013) ha introdotto una specifica disciplina in tema di inconferibilità e incompatibilità di incarichi per le pubbliche amministrazioni, ivi comprese le autorità amministrative indipendenti. In particolare, in base a quanto richiesto dall’art. 20 del d.lgs. n. 39/2013, tutti i Dirigenti dell’Autorità hanno sottoscritto apposita dichiarazione sull’insussistenza delle cause di incompatibilità e inconferibilità previste dallo stesso decreto. Le dichiarazioni sono disponibili sul sito web istituzionale dell’Autorità, nella sezione “Autorità – Amministrazione trasparente – Personale – Dirigenti”. Per ciascuna dichiarazione di assenza di cause di inconferibilità e di incompatibilità sono stati acquisiti dal DRUS, in modo sistematico e standardizzato, da ogni singolo dirigente, ulteriori elementi informativi in ordine alle condanne riportate per reati contro la pubblica amministrazione e alle sentenze di applicazione della pena riportate ai sensi dell’art. 444 c.p.p. per i medesimi reati, agli incarichi ricoperti in enti di diritto privato o finanziati, alle attività professionali svolte e alle cariche di Governo o di componente del Collegio del Garante eventualmente ricoperte. In questa prima fase, in base alle informazioni rese, non sono state accertate violazioni e le iniziative intraprese appaiono utili. Tali dati sono sono utilizzati ai fini dell’applicazione del d.lgs. n. 39/2013. Riferimenti normativi D.lgs. n. 39/2013 - Obbligo di autocertificazione per i dirigenti all'atto del conferimento dell'incarico circa l’insussistenza delle cause di Azioni da intraprendere inconferibilità e di incompatibilità previste dal decreto citato, con dichiarazioni acquisite dal DRUS 26 PTPC Garante per la protezione dei dati personali 2017-2019 - Obbligo di dichiarazione annuale nel corso dell'incarico sulla insussistenza delle cause di incompatibilità, con dichiarazioni acquisite dal DRUS - Acquisizione da parte del DRUS, da ogni singolo dirigente, in modo sistematico e standardizzato, di schede con cui sono resi ulteriori elementi informativi e loro valutazione - Collegio Soggetti competenti - Segretario generale all’adozione delle - Dirigente del Dipartimento risorse umane e strumentali misure (DRUS) - I dirigenti di tutte le unità organizzative Termine Annuale, ricorrente Misura comune a tutti i livelli di rischio individuati dal Note presente Piano SCHEDA MISURA M07 - CONFERIMENTO E AUTORIZZAZIONE DI INCARICHI AI DIPENDENTI Con atto del Segretario generale del 5 aprile 2016, prot. n. 9639, concernente il regime degli incarichi conferiti o autorizzati ai sensi dell'art. 53 del d.lgs. n. 165/2001 e s.m.i. e del Codice etico del Garante, è stato regolato il procedimento di conferimento o di autorizzazione di incarichi per i dipendenti del Garante, in conformità alla previsione dell’art. 9, comma 2 del Codice etico. I predetti incarichi sono assumibili solo a seguito di visto del Segretario generale e sono consentiti solo ove si tratti di incarichi saltuari e occasionali non compresi nei compiti e doveri d’ufficio, che non configurino un conflitto di interesse con l’Autorità, entro precisi limiti quantitativi e tenuto altresì conto del numero e della qualità degli incarichi annualmente svolti, dell’impegno da essi richiesto nonché della specifica professionalità, nell’interesse del buon andamento dell’amministrazione. Le richieste di autorizzazione, così come quelle per le quali è sufficiente una comunicazione, devono essere corredate da documentazione sulla natura dell’evento e sul progetto promotore; ciò “al fine di consentire la necessaria istruttoria e di valutare, anche alla luce delle modifiche introdotte dalla legge n. 190/2012, la sussistenza di eventuali situazioni, anche potenziali, di conflitto di interesse che potrebbero configurarsi”. L’elenco degli incarichi conferiti o autorizzati, con l’indicazione della durata e del compenso spettante per ogni incarico, è predisposto dal DRUS e trasmesso per la pubblicazione ai sensi dell’art. 18 del d.lgs. n. 33/2013. 27 PTPC Garante per la protezione dei dati personali 2017-2019 - Atto del Segretario generale del 5 aprile 2016, prot. n. 9639 Riferimenti normativi - Art. 9 Codice etico del Garante - Art. 53 D.lgs. n. 165/2001 Verifica del rispetto del procedimento previsto per il Azioni da intraprendere conferimento o l’autorizzazione dell’incarico - Segretario generale Soggetti competenti - Tutti i dipendenti all’adozione delle misure - Dirigente del Dipartimento risorse umane e strumentali (DRUS) Termine Annuale, ricorrente Misura comune a tutti i livelli di rischio individuati dal Note presente Piano SCHEDA MISURA M08 – FORMAZIONE DI COMMISSIONI E ASSEGNAZIONI AGLI UFFICI La sussistenza di condanne penali, anche non passate in giudicato, per delitti contro la p.a. non rileva solo in caso di conferimento di incarichi dirigenziali ma, altresì, al momento della formazione di commissioni per l’accesso o la selezione a pubblici impieghi, così come di commissioni per la scelta del contraente, nonché all’atto dell’assegnazione, anche con funzioni direttive, ad uffici operanti nelle cd. aree a rischio. Ciò, fatta salva la successiva pronuncia di assoluzione per lo stesso reato. Tali principi sono sanciti dall’articolo 35-bis, comma 1, del d.lgs. n. 165/2001, introdotto dall’art. 1, comma 46, l. n. 190/2012, diretto a prevenire il fenomeno della corruzione nella formazione di commissioni e nelle assegnazioni agli uffici, ai sensi del quale: “Coloro che sono stati condannati, anche con sentenza non passata in giudicato, per i reati previsti nel capo I del titolo II del libro secondo del codice penale: a) non possono fare parte, anche con compiti di segreteria, di commissioni per l'accesso o la selezione a pubblici impieghi; b) non possono essere assegnati, anche con funzioni direttive, agli uffici preposti alla gestione delle risorse finanziarie, all'acquisizione di beni, servizi e forniture, nonché alla concessione o all'erogazione di sovvenzioni, contributi, sussidi, ausili finanziari o attribuzioni di vantaggi economici a soggetti pubblici e privati; c) non possono fare parte delle commissioni per la scelta del contraente per l'affidamento di lavori, forniture e servizi, per la concessione o l'erogazione di sovvenzioni, contributi, sussidi, ausili finanziari, nonché per l'attribuzione di vantaggi economici di qualunque genere”. Il comma 2 dello stesso articolo stabilisce che “La disposizione prevista al comma 1 28 PTPC Garante per la protezione dei dati personali 2017-2019 integra le leggi e regolamenti che disciplinano la formazione di commissioni e la nomina dei relativi segretari”. Se all’esito della verifica risultano a carico del personale interessato dei precedenti penali per delitti contro la pubblica amministrazione, l’amministrazione ovvero l’ente pubblico ovvero l’ente di diritto privato in controllo pubblico si astiene dal conferire l’incarico o dall’effettuare l’assegnazione. Ancorché la suddetta disciplina sia prevista da una disposizione del d.lgs. n. 165/2001 (l'art. 35-bis) non espressamente richiamata ai sensi dell'art. 155, comma 1, ultimo periodo, del Codice (d.lgs. n. 196/2003) e come tale non direttamente applicabile al Garante, l’Autorità intende adeguare il proprio ordinamento a tali regole. A tal fine nel corso dell’anno il RPCT procederà a definire le modalità tecniche per applicare la suddetta misura, ed in particolare il modello di dichiarazione sostitutiva di certificazione resa dall’interessato nei termini e alle condizioni dell’art. 46 del d.P.R. n. 445 del 2000 e le modalità di verifica delle dichiarazioni, anche attraverso l’acquisizione in modo sistematico e standardizzato ulteriori elementi informativi, in modo da rendere possibile l’impletazione della misura da parte del Dipartimento risorse umane e strumentali al più tardi nell’anno 2018. La predetta misura sarà adottata: 1) ai fini della nomina, anche con compiti di segreteria, a commissioni per l'accesso o la selezione a impieghi presso il Garante; 2) ai fini dell’assegnazione, anche con funzioni direttive, a Dipartimenti, Servizi o Uffici dell’Autorità preposti alla gestione delle risorse finanziarie e all'acquisizione di beni, servizi e forniture (Dipartimento amministrazione e contabilità-DAC, Dipartimento risorse umane e strumentali-DRUS, Dipartimento tecnologie digitali e sicurezza informatica-DTDSI); 3) ai fini della nomina quale componente di commissioni per la scelta del contraente per l'affidamento di lavori, forniture e servizi (il Garante non contempla, invece fra i suoi compiti, la concessione o l'erogazione di sovvenzioni, contributi, sussidi, ausili finanziari, o l'attribuzione di vantaggi economici di qualunque genere). Riferimenti normativi Art. 35-bis D.lgs. n. 165/2001 Definizione delle modalità tecniche per applicare la suddetta Azioni da intraprendere misura Soggetti competenti all’adozione delle RPCT misure Termine - 2017 Definizione delle modalità tecniche 29 PTPC Garante per la protezione dei dati personali 2017-2019 Note - 2018 Implementazione della misura Misura comune a tutti i livelli di rischio individuati dal presente Piano, limitatamento ai settori di riferimento SCHEDA MISURA M09 - LA SEGNALAZIONE DI ILLECITI DA PARTE DEI DIPENDENTI (whistleblowing ) L’art. 1, comma 51, della legge n. 190/2012 ha introdotto l’art. 54-bis del d.lgs. n. 165 del 2001, rubricato “Tutela del dipendente pubblico che segnala illeciti” (c.d. whistleblower). Tale disposizione prescrive di tutelare l’anonimato del dipendente segnalante e vieta discriminazioni nei suoi confronti. È, inoltre, previsto che la denuncia sia sottratta al diritto di accesso, fatta esclusione delle ipotesi eccezionali descritte nel comma 2 dello stesso art. 54-bis correlate alla necessità di disvelare l’identità del denunciante. Il Garante – pur trattandosi di una misura prevista da una disposizione del d.lgs. n. 165/2001 (l'art. 54-bis del d.lgs. n. 165/2001, come introdotto dall'art. 1, comma 51 della l. n. 190/2012) non richiamata ai sensi dell'art. 155, comma 1, ultimo periodo, del Codice (d.lgs. n. 196/2003) – intende implementare anche questa misura di prevenzione del rischio di corruzione. L’introduzione della misura – che non ha ad oggetto segnalazioni anonime - postula, tuttavia, l’adozione di procedure e mezzi idonei a garantire la riservatezza del segnalante. Occorre, pertanto, redigere una procedura (organizzativa, supportata da una procedura informatica) per la gestione delle segnalazioni che stabilisca le modalità e i mezzi di inoltro delle stesse da parte dei dipendenti, i ruoli e le responsabilità dei soggetti coinvolti e le misure da attuare per ottemperare agli obblighi di riservatezza. Tale misura ha carattere trasversale e si attua in tutti i processi analizzati nell’ambito della mappatura del rischio, dal momento che intende evitare innanzitutto che i dipendenti possano non sentirsi liberi di segnalare situazioni anche solo potenzialmente illecite o dannose per l’Autorità. L’implementazione della misura è prevista nel triennio 2017-2019: in particolare, nel 2017 il RPCT avvierà lo studio del modello organizzativo adottabile, valutata l’esperienza di altre amministrazioni e acquisito il parere del Dipartimento tecnologie digitali e sicurezza informatica; nel 2018 verranno sottoposti al Collegio la scelta in ordine al predetto modello organizzativo con riguardo alla procedura che descriverà il flusso informativo, ai canali comunicativi e alla modulistica da utilizzare per le segnalazioni; nel 2019, infine, verrà implementata la procedura, che potrebbe comportare l’attivazione di una casella di posta elettronica dedicata. 30 PTPC Garante per la protezione dei dati personali 2017-2019 Riferimenti normativi Art. 54-bis, d.lgs. n. 165/2001 Studio del modello organizzativo adottabile, valutata Azioni da intraprendere l’esperienza di altre amministrazioni e acquisito il parere del Dipartimento tecnologie digitali e sicurezza informatica Soggetti competenti all’adozione delle RPCT misure - 2017 studio del modello - 2018: sottoposizione al Collegio della scelta in ordine al predetto modello organizzativo con riguardo alla procedura Termine che descriverà il flusso informativo, ai canali comunicativi e alla modulistica da utilizzare per le segnalazioni; - 2019: implementazione della procedura Misura comune a tutti i livelli di rischio individuati dal Note presente Piano SCHEDA MISURA M10 A e B - FORMAZIONE La formazione del personale costituisce una componente fondamentale del sistema di prevenzione della corruzione. In tal senso il Garante intende pore in essere un doppio ordine di interventi, di cui alle misure generali M10A e M10B. M10A: Tramite l'attività di formazione l'Autorità intende assicurare la corretta e piena conoscenza dei princìpi, delle regole e delle misure contemplate dal PTPC da parte del personale a rischio, in funzione del livello di coinvolgimento nei processi esposti al rischio di corruzione. A tal fine il Garante si avvarrà preferibilmente, come stabilito dall’art. 1, comma 11, della l. n. 190/2012, dei corsi organizzati dalla Scuola Nazionale dell’Amministrazione (SNA). La formazione sarà erogata prioritariamente al personale maggiormente coinvolto nei processi a rischio corruzione. In particolare, nell’arco del triennio 2017/2019 sarà prevista la frequenza di corsi specifici, con preferenza per quelli organizzati dalla SNA, da parte di dirigenti e dipendenti dei Dipartimenti, Servizi e Unità che operano in settori qualificati come ad elevato rischio di corruzione, secondo modalità e tempistiche che saranno definite dal RPCT avendo riguardo alle risorse disponibili ed alle complessive esigenze di funzionamento dell’Autorità; il RPCT, in base ai suddetti criteri, provvederà a selezionare il personale da avviare ai corsi di formazione (Misura generale M10A). Queste iniziative, a seguito della nomina del RPCT, sono già state avviate nell’ultimo trimestre del 2016. In particolare, è stata completata una prima fase di attività di 31 PTPC Garante per la protezione dei dati personali 2017-2019 formazione, che ha interessato il RPCT e le funzionarie della struttura di supporto, con la frequenza di un "Corso specialistico per responsabili e referenti della prevenzione della corruzione", della durata di giorni 4, organizzato dalla SNA. Con riguardo al restante personale operante in settori ad elevato rischio dovrà procedersi progressivamente nel corso del biennio 2017/2018, in modo da coprire larga parte delle unità di personale interessate. M10B: Per quanto riguarda la comunicazione interna, al fine di favorire la diffusione della conoscenza del PTPC e delle misure in esso contenute, sarà anche inviata una comunicazione a tutto il personale dell'Autorità, affinché i dipendenti conformino i loro comportamenti al PTPC; ai medesimi sarà altresì trasmesso il testo integrale del PTPC e del Codice etico (Misura generale M10B). Sul piano della comunicazione esterna il PTPC, una volta adottato, sarà pubblicato sul sito dell’Autorità nella sezione “Amministrazione Trasparente”; della pubblicazione è data notizia con un comunicato pubblicato in evidenza sulla homepage del sito web istituzionale dell’Autorità. Riferimenti normativi - Articolo 1, commi 5 lett. b), 8, 10 lett. c), 11 l. n. 190/2012 - M10A: Formare dirigenti e dipendenti operanti nei settori ad elevato rischio di corruzione mediante la frequenza di corsi specifici, anche in collaborazione con S.N.A. - M10B: Invio di una comunicazione interna, al fine di Azioni da intraprendere favorire la diffusione della conoscenza del PTPC e delle misure in esso contenute, a tutto il personale dell'Autorità, con trasmissione del testo integrale del PTPC e del Codice etico Soggetti competenti all’adozione delle - Responsabile della prevenzione della corruzione misure Termine 2017/2018 Misura M10A per I livello di rischio elevato; Note Misura M10B comune a tutti i livelli di rischio SCHEDA MISURA M11 - ROTAZIONE DEGLI INCARICHI DIRIGENZIALI Ancorchè la rotazione dei dirigenti e dei funzionari nei settori particolarmente esposti alla corruzione sia misura prevista dall’art. 1, comma 5, let. b), l. n. 190/2012 per le pubbliche amministrazioni centrali, nel cui novero non rientra il Garante, la rotazione degli incarichi dirigenziali è misura strutturalmente già prevista dall'art. 9, comma 2, Reg. 32 PTPC Garante per la protezione dei dati personali 2017-2019 1/2000 del Garante. In particolare, la citata disposizione prevede che “Il Garante conferisce gli incarichi di direzione delle unità organizzative di primo livello di regola a personale compreso nel ruolo organico, per la durata non superiore al biennio e rinnovabile una sola volta, salvo casi motivati legati alla specifica professionalità richiesta per alcune unità organizzative”. La misura trova già attuazione presso il Garante, in quanto, con delibere del Collegio n. 323 del 26 giugno 2014 e n. 505 del 1° ottobre 2015 sono stati ruotati 13 incarichi su 17 posizioni di titolarità di Dipartimenti, Servizi o Unità previste dall’ordinamento dell’Autorità. Con riguardo alle quattro posizioni non oggetto di rotazione nel termine massimo di quattro anni indicato dal Reg. 1/2000 è stata richiamata la cennata previsione circa la sussistenza di motivi legati alla specifica professionalità richiesta. Va osservato, in particolare, che per due delle suddette posizioni (titolarità del Dipartimento amministrazione e contabilità e Dipartimento tecnologie digitali e sicurezza informatica) non appaiono rinvenibili nel ruolo organico dell’Autorità altri dirigenti, diversi dagli attuali titolari dei due incarichi dirigenziali, che indichino nel rispettivo curriculum analoghe effettive esperienze in materia di contabilità pubblica e, rispettivamente, di informatica. Le restanti due posizioni (titolarità del Servizio relazioni esterne e media e del Servizio segreteria del Collegio) – anche prescindendo dagli specifici requisiti di professionalità richiesti - non sono allo stato individuate come ad alto rischio di corruzione (v. Allegato 1). Nel triennio di riferimento si provvederà a monitorare che la citata previsione dell'art. 9, comma 2, Reg. 1/2000 del Garante continui a trovare effettiva applicazione. La rotazione dei funzionari sarà attuata entro il 2018 per il personale che svolge funzioni e/o mansioni a rischio corruzione avendo cura, tuttavia, di non compromettere la funzionalità e l’efficienza delle unità organizzative dell’Autorità. Riferimenti normativi Articolo 1, commi 4, lett. e), 5 lett. b), 10 lett. b) l. n. 190/2012 Monitoraggio sul fatto che la previsione dell'art. 9, comma 2, Reg. 1/2000 del Garante continui a trovare effettiva Azioni da intraprendere applicazione, con eventuale adozione delle misure per la sua applicazione Soggetti competenti - Collegio (per i dirigenti) all’adozione delle - Segretario generale (per i funzionari) misure - Responsabile della prevenzione della corruzione Prosecuzione del monitoraggio sulla applicazione, per i Termine dirigenti Entro il 2018, per i funzionari Misura specifica per il livello di rischio classificato dal presente Note Piano come “alto” 33 PTPC Garante per la protezione dei dati personali 2017-2019 11. Segue . Misure specifiche Le misure di prevenzione della corruzione specifiche sono quelle che riguardano, invece, i singoli processi dell’Autorità. In particolare, rispetto ai rischi di fenomeni corruttivi propri dei processi di vigilanza e dei procedimenti sanzionatori, come indicati nella Scheda di sintesi in Allegato 1, nell’ordinamento del Garante misure specifiche di mitigazione del rischio sono rappresentate, fra l’altro: - dalla previsione di modalità procedurali ispirate alla massima trasparenza e al contraddittorio con il soggetto competente e al principio di separazione tra l’Ufficio che effettua la verifica e quello che, in caso di avvio del procedimento sanzionatorio, conduce l’istruttoria del procedimento sanzionatorio stesso (art. 16, commi 2 e 3, Reg. n. 1/2007 del Garante); - dall’obbligo di esame dei reclami e delle segnalazioni, in conformità alle previsioni del citato Reg. n. 1/2007. Con riguardo, poi, ai rischi specificamente inerenti alla gestione del contenzioso, misure molto incisive di mitigazione del rischio corruttivo sono rappresentate: dalla previsione dell’art. 17 del Reg. n. 1/2000 del Garante, per cui “Fermo restando quanto previsto dall'art. 23 della legge 24 novembre 1981, n. 689, la rappresentanza e la difesa in giudizio del Garante è assunta dall'Avvocatura dello Stato ai sensi dell'art. 43 del regio decreto 30 settembre 1933, n. 1611, e successive modificazioni ed integrazioni, recante il testo unico delle leggi e delle norme giuridiche sulla rappresentanza e difesa in giudizio dello Stato e sull'ordinamento dell'Avvocatura dello Stato”; dalla regola di cui all’art. 28, comma 2, del Reg. n. 3/2000 del Garante “concernente la gestione amministrativa e la contabilità”, secondo la quale “Per la definizione dei contratti di transazione è richiesto il parere preventivo dell'Avvocatura dello Stato”. Passando a considerare i rischi che specificamente connotano la gestione del personale, come identificati nell’Allegato 1, misure specifiche di contrasto del rischio corruttivo sono rappresentate: - nelle procedure concorsuali, dalla previsione di cui all’art. 5, comma 5, Reg. n. 2/2000 del Garante, che impone particolari requisiti di competenza e indipendenza in capo ai componenti delle commissioni di esame, nonché, in termini strutturali, dalla disciplina introdotta dall’art. 22, comma 4, del d.l. 24 giugno 2014, n. 90, convertito in legge 11 agosto 2014, n. 114, per cui “Le procedure concorsuali per il reclutamento di personale degli organismi di cui al comma 1 sono gestite unitariamente, previa stipula di apposite convenzioni tra gli stessi organismi, che assicurino la trasparenza e l’imparzialità delle procedure e la specificità delle professionalità di ciascun organismo. Sono nulle le procedure concorsuali avviate dopo l’entrata in vigore del presente decreto e prima della stipula delle convenzioni o poste in essere, successivamente alla predetta 34 PTPC Garante per la protezione dei dati personali 2017-2019 stipula, in violazione degli obblighi di cui al presente comma e le successive eventuali assunzioni. […]”; - in sede di valutazione del personale, dalle disposizioni regolamentari che impongono di effettuare la valutazione sulla base di criteri normativamente predeterminati, definiti dal Reg. n. 2/2000. In funzione di contrasto dei rischi peculiari dell’attività di gestione contabile e aministrativa rilevante strumento specifico di riduzione del rischio è rappresentato dall’istituzione, nell’ordinamento dell’Autorità, ai sensi dell’art. 30, Reg. n. 3/2000, del Servizio di controllo interno, cui è affidato “il controllo di regolarità amministrativo-contabile”. Ai sensi del comma 2 dello stesso articolo “L'organo di controllo, composto da tre componenti effettivi, di cui uno con funzioni di Presidente, è nominato con deliberazione del Garante e resta in carica per un quadriennio decorrente dalla data di insediamento. Ai sensi dell'art. 16, comma 1, della legge 31 dicembre 2009, n. 196 è assicurata la presenza di un rappresentante del Ministero dell'economia e delle finanze”. Per prevenire i rischi di corruzione propri delle procedure di affidamento di servizi, lavori e furniture sono state attivate le seguenti misure specifiche: - adesione alle Convenzioni Consip S.p.A.; - possibilità di utilizzo del Mercato Elettronico della Pubblica Amministrazione (MEPA) essendo “sempre consentito il ricorso al Mercato Elettronico della Pubblica Amministrazione, per acquisti di importo non superiore alla soglia comunitaria […]” (art. 26, comma 1, Reg. n. 3/2000 del Garante). Va, inoltre, valutato lo specifico impatto, anche in termini di prevenzione di fenomeni corruttivi, delle previsioni di cui ai commi 7 e 9 del citato art. 22, d.l. n. 90/2014, che definiscono le modalità di gestione dei servizi strumentali da parte delle autorità amministrative indipendenti limitando la possibilità di comportamenti non rispondenti all’interesse pubblico. 35 PTPC Garante per la protezione dei dati personali 2017-2019 Parte III 12. Trasparenza In questo parte del PTPC vengono individuate le iniziative finalizzate a garantire un adeguato livello di trasparenza ai sensi di quanto previsto dal d.lgs. n. 33/2013, come modificato dal d.lgs. n. 97/2016 e nel rispetto della complessiva disciplina in materia di obblighi di pubblicazione. L’applicazione dei princìpi in materia di trasparenza costituisce, infatti, una delle misure generali volte a prevenire la corruzione e, più in generale, qualsiasi situazione che possa provocare un malfunzionamento dell’attività svolta dall’Autorità. A questi fini si rinvia alla descrizione delle funzioni e dell’assetto organizzativo dell’Autorità riportata nella Parte I. Occorre preliminarmente ricordare che, con la modifica dell’art. 11 del d.lgs. n. 33/2013, introdotta dal d.l. 24 giugno 2014, n. 90, convertito in legge, con modificazioni, dall’art. 1, comma 1, della legge 11 agosto 2014, n. 114, e la successive introduzione dell’articolo 2-bis dello stesso d.lgs. n. 33/2013, disposta dal d.lgs. n. 97/2016 è stato ampliato l’ambito soggettivo di applicazione diretta del d.lgs. n. 33/2013, prevedendosi ora, al comma 1 del citato art. 2-bis, che “Ai fini del presente decreto, per ‘pubbliche amministrazioni’ si intendono tutte le amministrazioni di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, e successive modificazioni, ivi comprese [...] le autorità amministrative indipendenti di garanzia, vigilanza e regolazione”. Con gli interventi normativi da ultimo segnalati è stato modificato in modo significativo il contenuto degli obblighi di trasparenza a carico delle autorità amministrative indipendenti, prevedendosi – come si è detto - l’applicazione diretta alle stesse del d.lgs. n. 33/2013 e superando il modello indicato dal testo originario dello stesso decreto che, all’ormai abrogato art. 11, comma 3, stabiliva che “Le autorità indipendenti di garanzia, vigilanza e regolazione provvedono all'attuazione di quanto previsto dalla normativa vigente in materia di trasparenza secondo le disposizioni dei rispettivi ordinamenti.”. L’Autorità si era adeguata alle previgenti prescrizioni normative, mediante l’adozione del “Regolamento sugli obblighi di pubblicità e trasparenza relativi all'organizzazione e all'attività del Garante per la protezione dei dati personali (Articoli 154 e 156, comma 3, decreto legislativo 30 giugno 2003, n. 196)” - 1 agosto 2013”, nonché mediante la nomina del Responsabile della trasparenza e la costituzione della sezione “Autorità Trasparente” all’interno del proprio sito istituzionale. A seguito di tali sopravvenienze, dal 19 agosto 2014 le disposizioni del predetto Regolamento n. 1/2013, devono ritenersi, ad eccezione dell'art. 24, tacitamente abrogate alla luce dell'art. 11 così come modificato dall'art. 24-bis del citato d.l. n. 90/2014 come convertito in legge. L’Autorità aveva, inoltre, adottato, con la deliberazione n. 581 del 18 dicembre 2013, il Programma Triennale per la Trasparenza e l’Integrità 2014/2016 ed aveva, altresì, 36 PTPC Garante per la protezione dei dati personali 2017-2019 adottato, con delibera n. 659 del 17 dicembre 2015 l’Aggiornamento 2015 del predetto P.T.T.I. Le modiche apportate al d.lgs. n. 33/2013 dal d.lgs. n. 97/2016 comportano che l’Autorità non adotti più un autonomo Programma triennale in materia di trasparenza, ma definisca i propri interventi in tale materia direttamente nell’ambito del Piano triennale per la prevenzione della corruzione (cfr. art. 10, comma 1, d.lgs. n. 33/2013). Inoltre, il dl.lgs. n. 33/2013 ha introdotto una nuova disciplina dell’accesso civico (artt. 5 e 5-bis) e numerosi nuovi obblighi di pubblicazione, ad esempio con riguardo: ad ulteriori informazioni relative ai titolari di incarichi dirigenziali e di vertice amministrativo, allineandoli all’organo di indirizzo politico (art. 14); alla gestione finanziaria (artt. 4-bis e 31) e all’implementazione di future banche dati in vigore dal prossimo 23 giugno (art. 9-bis). Va, in particolare, evidenziato che è stata prevista la creazione di diverse banche dati (All. B, d.lgs. n. 97/2016) ed i soggetti destinatari del d.lgs. n. 33/2013 “adempiono agli obblighi di pubblicazione previsti dal presente decreto, indicati nell'Allegato B, mediante la comunicazione dei dati, delle informazioni o dei documenti dagli stessi detenuti all'amministrazione titolare della corrispondente banca dati e con la pubblicazione sul proprio sito istituzionale, nella sezione "Amministrazione trasparente", del collegamento ipertestuale, rispettivamente, alla banca dati contenente i relativi dati, informazioni o documenti, ferma restando la possibilità per le amministrazioni di continuare a pubblicare sul proprio sito i predetti dati purché identici a quelli comunicati alla banca dati”. Le previsioni relative alle suddette banche dati acquistano efficacia decorso un anno dalla data di entrata in vigore del d.lg. n. 97/2016 (art. 42). In considerazione delle rilevanti novità introdotte dal citato d.lgs. n. 97/2016, con delibera del 28 dicembre 2016, n. 1310 l’Anac ha, inoltre, recentemente adottato, a seguito di consultazione pubblica, le «Prime linee guida recanti indicazioni sull’attuazione degli obblighi di pubblicità, trasparenza e diffusione di informazioni contenute nel d.lgs. 33/2013 come modificato dal d.lgs. 97/2016», recanti in Allegato 1) un nuovo elenco degli obblighi di pubblicazione nella Sezione “Amministrazione trasparente”, che sostituisce la mappa ricognitiva degli obblighi di pubblicazione previsti per le pubbliche amministrazioni dal d.lgs. 33/2013, contenuta nell’Allegato 1) della delibera n. 50/2013. Con le predette Prime linee guida si precisa, altresì, che “La tabella recepisce le modifiche introdotte dal d.lgs. 97/2016 relativamente ai dati da pubblicare e introduce le conseguenti modifiche alla struttura della sezione dei siti web denominata «Amministrazione trasparente»”. Premesso che il Garante aveva conformato la struttura della sezione alla previgente disciplina della materia, si rende necessaria ora una azione complessiva di adeguamento della struttura del sito alle novità intervenute. Sono, inoltre, integralmente abrogati il citato Programma Triennale per la Trasparenza e l’Integrità (di seguito: P.T.T.I.), il relativo Aggiornamento e i relativi Allegati, sostituiti dal presente Piano e dai relativi 37 PTPC Garante per la protezione dei dati personali 2017-2019 Allegati. La verifica sugli interventi da effettuare a seguito del d.lgs. n. 97/2016 è stata posta in essere partendo da un accurato confronto dei dati presenti nella sezione “Autorità trasparente” con quelli previsti dal d.lgs. n. 97/2016, modificativo del d.lgs. n. 33/2013, e rappresentati nell’allegato n. 1 allo Schema di linee guida Anac del 25 novembre 2016 e del successivo Allegato 1 al testo definitivo approvato con la cennata delibera Anac n. 1310 del 28 dicembre 2016. In tale fase si è proceduto ad uno studio sia della nuova disciplina introdotta dal d.lgs. n. 97/2016 che della regolamentazione ad essa collegata. In particolare, oltre alla predetta delibera Anac n. 1310/2016 sono state esaminate: - lo schema di Linee guida Anac recanti indicazioni sull’attuazione dell’art. 14 del d.lgs. 33/2013 «Obblighi di pubblicazione concernenti i titolari di incarichi politici, di amministrazione, di direzione o di governo e i titolari di incarichi dirigenziali come modificato dall’art. 13 del d.lgs. 97/2016», messo in consultazione online il 20 dicembre 2016; - la determinazione Anac n. 1309 del 28 dicembre 2016 “Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5, comma 2, del d.lgs. n. 33/2013”. Dalla ricognizione effettuate si è evidenziata la necessità di modifica della struttura del layout “Autorità trasparente” che ricomprende nuove sezioni sia di primo che di secondo livello come da Allegato 2. A seguito di tali verifiche, con nota del Segretario generale del 16 dicembre 2016, prot. n. 38050/113240 è stato inviato ai dirigenti di tutte le unità organizzative lo Schema di linee guida Anac messo in consultazione il 25 novembre 2016 e il testo provvisorio dell’Allegato 1, al fine di informarli in tempo utile e sensibilizzarli ai nuovi obblighi previsti dal d.lgs. n. 97/2016. A seguito dell’adozione del testo definitivo delle Linee guida, avvenuta con la citata delibera Anac n. 1310/2016, sarà trasmesso a tutti i dipendenti il testo finale delle Linee guida e del relativo Allegato 1, nonché il presente PTPC (che recepisce già, nella sezione in Allegato 2, i testi definitive approvati dall’Anac). Quanto al processo di attuazione degli adempimenti in materia di trasparenza, un ruolo centrale è svolto dal Responsabile della trasparenza. L’incarico di responsabile della trasparenza era stato conferito inizialmente al dott. Baldo Meo, nominato con delibera n. 580 del 18 dicembre 2013, e successivamente al dott. Roberto Lattanzi, nominato con delibera n. 29 del 22 gennaio 2015. A seguito della nomina, per la prima volta, del Responsabile della prevenzione della corruzione presso il Garante, i due incarichi sono stati unitariamente conferiti alla dott.ssa Valentina Gagliardi – quale Responsabile della prevenzione della corruzione e della trasparenza - con delibera n. 414 del 12 ottobre 2016, avente decorrenza dal 21 ottobre 2016. Il RPCT, ai sensi dell’art. 43, comma 1, d.lgs. n. 33/2013 e successive modificazioni, 38 PTPC Garante per la protezione dei dati personali 2017-2019 svolge stabilmente un'attività di controllo sull'adempimento degli obblighi di pubblicazione previsti dalla normativa vigente, assicurando la completezza, la chiarezza e l'aggiornamento delle informazioni pubblicate, nonché segnalando al Collegio, all’Organismo indipendente di valutazione (alla data non istituito presso l’Autorità) e all’Anac e, nei casi più gravi, alla struttura competente in materia di provvedimenti disciplinari i casi di mancato o ritardato adempimento dei suddetti obblighi. Con la citata delibera n. 29/2015, richiamata nella delibera n. 414/2016, è stato, in tal senso, affidato al RPCT il compito di: 1) attuare per quanto di sua competenza, ovvero proporre ai competenti organi e uffici del Garante le soluzioni più idonee al fine di assicurare la migliore attuazione del d.lgs. n. 33/2013, tenendo costantemente informato il Collegio; 2) svolgere ogni altro compito previsto dall'art. 43 del medesimo d.lgs. n. 33/2013. Al fine di agevolare il monitoraggio periodico da parte del RPCT la Redazione web comunica tempestivamente al Responsabile l’avvenuto inserimento di dati, informazioni e documenti nella Sezione “Autorità trasparente”. I dirigenti responsabili degli Uffici, ai sensi dell’art. 43, comma 3, d.lgs. n. 33/2013, garantiscono l’acquisizione e il tempestivo e regolare flusso delle informazioni da pubblicare ai fini del rispetto dei termini stabiliti dalla legge. La competenza, attribuita al dirigente pro tempore dellUfficio indicato, comprende anche le attività previste dagli artt. 6, 7, 7-bis, 8 e 9-bis, d. lgs. n. 33/2013. In Allegato 2 viene aggiornata la sezione di cui all’art. 10, comma 1, del d.lgs. n. 33/2013 tenendo conto delle citate «Prime linee guida recanti indicazioni sull’attuazione degli obblighi di pubblicità, trasparenza e diffusione di informazioni contenute nel d.lgs. 33/2013 come modificato dal d.lgs. 97/2016». Sono, inoltre, da osservarsi le “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” adottate dal Garante per la protezione dei dati personali con delibera n. 243 del 15 maggio 2014, pubblicate sulla Gazzetta Ufficiale n. 134 del 12 giugno 2014. La pubblicazione dei dati, delle informazioni e dei documenti previsti dal PTPC nella sezione “Autorità trasparente” del sito istituzionale del Garante è a cura del Servizio Relazione esterne e media. 13. Segue . Obblighi di trasparenza ulteriori rispetto a quelli previsti da disposizioni di legge. In adempimento della previsione di cui all’art. 1, comma 9, lett. f), l. n. 190/2012 con il presente PTPC il Garante individua “obblighi di trasparenza ulteriori rispetto a quelli previsti da disposizioni di legge”. In particolare, tenuto conto del particolare interesse che rivestono tali atti nell’ambito dei lavori parlamentari e dell’attenzione che l’opinione pubblica presta al loro contenuto 39 PTPC Garante per la protezione dei dati personali 2017-2019 si dispone la pubblicazione obbligatoria nella Sezione “Autorità trasparente”, anche mediante collegamento ipertestuale ad altra sezione del sito in cui siano presenti i relativi dati (art. 9, comma 1, d.lgs. n. 33/2013) del testo delle audizioni effettuate dal Presidente del Garante presso la Camera dei deputati e il Senato della Repubblica, nel rispetto dei limiti indicate dall’art. 5-bis, d.lgs. n. 33/2013 e procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti (art. 7-bis, d.lgs. n. 33/2013). 14. Accesso civico. Il RPCT e i dirigenti controllano e assicurano la regolare attuazione dell’accesso civico sulla base di quanto stabilito dal d.lgs. n. 33/2013. A tale riguardo il decreto legislativo n. 33/2013, come modificato dal d.lgs. n. 97/2016, disciplina, al Capo I-bis, il diritto di accesso civico a dati e documenti. In particolare, tale normativa riconosce in termini generali, all'articolo 5, comma 2, che “allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico, chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall'articolo 5-bis.”. Le istanze di accesso presentate ai sensi dell’art. 5, comma 2, vanno inoltrate, a scelta dell'istante, per via telematica, sottoscritte e presentate unitamente alla copia del documento d'identità: a) o al singolo Ufficio del Garante che detiene gli specifici dati, informazioni o documenti oggetto di accesso, al relativo indirizzo di posta elettronica indicato nella seguente area della Sezione “Autorità trasparente”: http://www.garanteprivacy.it/home/autorita/ufficio; b) o all'Ufficio relazioni con il pubblico del Garante, all'indirizzo di posta elettronica [email protected]. Il decreto legislativo n. 33/2013 e successive modificazioni prevede, inoltre, all'articolo 5, comma 1, che “L'obbligo previsto dalla normativa vigente in capo alle pubbliche amministrazioni di pubblicare documenti, informazioni o dati comporta il diritto di chiunque di richiedere i medesimi, nei casi in cui sia stata omessa la loro pubblicazione.”. Le istanze di accesso presentate ai sensi dell'articolo 5, comma 1, ossia aventi ad oggetto specificamente documenti, informazioni o dati oggetto di obbligo di pubblicazione e per i quali sia stata omessa la pubblicazione, devono essere presentate, per via telematica, sottoscritte e presentate unitamente alla copia del documento 40 PTPC Garante per la protezione dei dati personali 2017-2019 d'identità, al Responsabile della prevenzione della corruzione e della trasparenza del Garante, dott.ssa Valentina Gagliardi, al seguente indirizzo di posta elettronica: [email protected]. Al suddetto Responsabile, all'indicato indirizzo di posta elettronica, devono, inoltre, essere inoltrate, per via telematica, le richieste di riesame avverso il diniego totale o parziale dell'accesso civico, o di mancata risposta entro il termine indicato, di istanze di accesso presentate ai sensi dell'articolo 5, comma 2. Nel corso del 2017 dovrà provvedesi all’aggiornamento dei moduli per l’esercizio del diritto di accesso civico, tenendosi conto delle novità introdotte dal d.lgs. n.97/2016 e determinazione Anac n. 1309 del 28 dicembre 2016 “Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5, comma 2, del d.lgs. n. 33/2013”. 15. Monitoraggio sull’attuazione del PTPC Il monitoraggio è condotto dal RPCT. Rientrano tra le attività di monitoraggio, a titolo esemplificativo: 1. la verifica dell'attuazione delle misure definite nel PTPC e del rispetto della tempistica prevista; 2. l'esame delle segnalazioni di gravi irregolarità pervenute dai dirigenti e dal Segretario generale, o comunque altrimenti acquisite; 3. la verifica dell’adeguatezza delle misure previste dal PTPC sulla base di eventuali segnalazioni pervenute al RPCT o degli esiti dell’attività di monitoraggio. Il RPCT riferisce al Collegio dell’Autorità, con la Relazione di cui all’art. 1, comma 14, l. n. 190/2012 sull’esito dell’attività di monitoraggio svolta nel corso dell’anno e delle iniziative adottate e ogni qualvolta sia necessaria una tempestività nell’informazione non compatibile con le suddette scadenze. La Relazione annuale predisposta dal RPCT entro il 15 dicembre di ogni anno, secondo quanto previsto dalla Legge, è presentata al Collegio e pubblicata sul sito istituzionale. 41
