Piano Triennale di Prevenzione
della Corruzione 2017 - 2019
Piano triennale di prevenzione della corruzione
del Garante per la protezione dei dati personali
Triennio 2017-2019
Indice
Parte prima
1. Premessa - Il Piano triennale di prevenzione della corruzione 2017-2019 del
Garante per la protezione dei dati personali. Il quadro normativo di riferimento
in materia di prevenzione della corruzione
2. Il Responsabile della prevenzione e della corruzione e della trasparenza
3. Funzioni ed organizzazione del Garante per la protezione dei dati personali
4. Soggetti coinvolti e ruoli ai fini della prevenzione della corruzione
5. Entrata in vigore, validità, aggiornamenti
6. Metodologia adottata per la predisposizione del Piano
7. Segue. Processo di autoanalisi organizzativa e di mappatura dei processi
8. Segue. Analisi dei rischi
9. Segue. Individuazione delle misure di prevenzione del rischio
2
5
7
10
11
12
12
15
16
Parte seconda
10. Misure di prevenzione della corruzione. Misure generali
11. Segue. Misure specifiche
17
34
Parte terza
12. Trasparenza
13. Segue. Obblighi di trasparenza ulteriori rispetto a quelli previsti da disposizioni di
legge
14. Accesso civico
15. Monitoraggio sull’attuazione del PTPC
ALLEGATI
- Allegato 1:
-
2:
39
40
41
SCHEDA DI SINTESI - MAPPATURA DEI PROCESSI, ANALISI E
VALUTAZIONE DEL RISCHIO
Allegato
36
OBBLIGHI DI TRASPARENZA SULL’ORGANIZZAZIONE E
SULL’ATTIVITÀ DEL GARANTE, AI SENSI DEL D.LGS. N. 33/2013 E ALTRE FONTI
NORMATIVE (Sezione predisposta ai sensi dell'articolo 10, comma 1, d.lgs. n.
33/2013)
PTPC Garante per la protezione dei dati personali 2017-2019
Parte I
1. - Premessa - Il Piano triennale di prevenzione della corruzione 2017-2019 del
Garante per la protezione dei dati personali. Il quadro normativo di riferimento
in materia di prevenzione della corruzione
Il presente Piano triennale di prevenzione della corruzione (di seguito PTPC) è il
primo predisposto e adottato dal Garante per la protezione dei dati personali (di seguito
Garante) in conformità: alla legge 6 novembre 2012, n. 190, recante “Disposizioni per la
prevenzione e la repressione della corruzione e dell'illegalità nella pubblica amministrazione”; al
decreto legislativo 14 marzo 2013, n. 33, contenente il “Riordino della disciplina riguardante
gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche
amministrazioni”; al decreto-legge 24 giugno 2014, n. 90, recante “Misure urgenti per la
semplificazione e la trasparenza amministrativa e per l'efficienza degli uffici giudiziari”, convertito in
legge 11 agosto 2014, n. 114; al d.lgs. 25 maggio 2016, n. 97, recante “Revisione e
semplificazione delle disposizioni in materia di prevenzione della corruzione pubblicità e trasparenza,
correttivo della legge 6 novembre 2012, n. 190 e del decreto legislativo 14 marzo 2013, n. 33, ai sensi
dell’articolo 7 della legge 7 agosto 2015, n. 124, in materia di riorganizzazione delle amministrazioni
pubbliche”; nonché, infine, alla ulteriore articolata disciplina della materia.
A tale riguardo, va rilevato che il Garante, a partire dal 1998 ha progressivamente
introdotto nel proprio ordinamento stringenti misure di prevenzione della corruzione,
fra l’altro adottando un analitico Codice etico - con delibera 4 giugno 1998, con
definizione anche degli obblighi di condotta del dipendente che si trovi in situazione di
conflitto di interessi -, prevedendo e attuando una disciplina strutturale sulla rotazione
degli incarichi dirigenziali (art. 9, comma 2, Reg. 1/2000 del Garante, ai sensi del quale
“Il Garante conferisce gli incarichi di direzione delle unità organizzative di primo livello di regola a
personale compreso nel ruolo organico, per la durata non superiore al biennio e rinnovabile una sola
volta, salvo casi motivati legati alla specifica professionalità richiesta per alcune unità organizzative”),
regolando la procedura ed i limiti per l’autorizzazione ed il conferimento di incarichi
estranei ai doveri d’ufficio (atto del Segretario generale del 5 aprile 2016, prot. n. 9639),
attuando la legislazione in materia di inconferibilità ed incompatibilità per i dirigenti (l. n.
39/2013) e attuando la normativa in materia di obblighi di pubblicazione e di trasparenza
di cui al d.lgs. n. 33/2013.
In questo contesto, ancorché la l. n. 190/2012 (l’art. 1, comma 59) individui l’ambito
soggettivo di diretta applicazione delle disposizioni di prevenzione della corruzione di cui
ai commi da 1 a 57 dell’articolo 1 della stessa legge con riguardo alle “amministrazioni
pubbliche di cui all’articolo 1, comma 2, del decreto legislative 30 marzo 2001, n. 165, e
successive modificazioni”, nel cui novero non rientra il Garante, e ancorché l’articolo 1,
comma 2-bis della citata legge n. 190/2012 faccia riferimento alle pubbliche
amministrazioni di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n.
2
PTPC Garante per la protezione dei dati personali 2017-2019
165, […]” e agli “altri soggetti di cui all'articolo 2-bis, comma 2, del decreto legislativo 14
marzo 2013, n. 33” (articolo 2-bis, comma 2 che, a differenza del comma 1, non
menziona le autorità amministrative indipendenti), il Collegio del Garante, con delibera
n. 414 del 12 ottobre 2016, ha, comunque, ritenuto di dare attuazione “agli adempimenti
previsti dalla normativa sulla prevenzione e repressione della corruzione e dell'illegalità”, e, in
particolare, di provvedere alla nomina del “Responsabile della prevenzione della corruzione,
nonché all'adozione di un proprio piano triennale per la prevenzione della corruzione” pur
considerando “che, ai fini dell'adozione dei propri piani triennali di prevenzione della corruzione, il
"Piano Nazionale Anticorruzione 2016", adottato dall'Anac con deliberazione n. 831 del 3 agosto
2016, costituisce atto di indirizzo per le pubbliche amministrazioni di cui all'art. 1 comma 2 del decreto
legislativo 30 marzo 2001, n. 165, tra le quali non rientrano le autorità indipendenti”.
La legge n. 190/2012, entrata in vigore il 28 novembre 2012, è diretta a rafforzare
l’efficacia delle misure di contrasto del fenomeno corruttivo e a conformare
l’ordinamento giuridico italiano agli atti internazionali volti a contrastare la corruzione
già ratificati dal nostro Paese (Convezione ONU di Merida e Convenzione penale sulla
corruzione di Strasburgo).
Anche in considerazione delle raccomandazioni formulate all’Italia dai gruppi di
lavoro in seno all’OCSE e al Consiglio d’Europa in sede di monitoraggio sulla
conformità agli standard internazionali della normativa interna, il legislatore italiano ha
scelto una strategia di contrasto della corruzione articolata su tre direttive: creare un
contesto sfavorevole alla corruzione; aumentare la capacità di rilevare casi di corruzione;
ridurre le opportunità che si manifestino casi di corruzione.
In questo quadro normativo, la prevenzione della corruzione deve riguardare tutte
quelle situazioni in cui, nel corso dell’attività amministrativa, si rischi l’abuso da parte di
un soggetto del potere a lui affidato al fine di ottenere vantaggi privati. Le situazioni
rilevanti sono, quindi, più ampie di quelle riconducibili alle fattispecie penali disciplinate
nel Titolo II, Capo I, del codice penale, ricomprendendo situazioni in cui - a prescindere
dalla loro rilevanza penale - venga in evidenza un malfunzionamento
dell’amministrazione per l’uso a fini privati delle funzioni attribuite.
L’Anac, con determinazione n. 12 del 28 ottobre 2015, ha in tal senso precisato che la
definizione del fenomeno contenuta nel PNA, è “non solo più ampia dello specifico
reato di corruzione e del complesso dei reati contro la pubblica amministrazione, ma
coincidente con la “maladministration”, intesa come assunzione di decisioni (di assetto di
interessi a conclusione di procedimenti, di determinazioni di fasi interne a singoli
procedimenti, di gestione di risorse pubbliche) devianti dalla cura dell’interesse generale a
causa del condizionamento improprio da parte di interessi particolari. Occorre, cioè,
avere riguardo ad atti e comportamenti che, anche se non consistenti in specifici reati,
contrastano con la necessaria cura dell’interesse pubblico e pregiudicano l’affidamento
dei cittadini nell’imparzialità delle amministrazioni e dei soggetti che svolgono attività di
3
PTPC Garante per la protezione dei dati personali 2017-2019
pubblico interesse”.
Nell’ambito di tale disciplina si colloca il Piano Triennale di Prevenzione della
Corruzione (PTPC), documento di natura programmatica predisposto da ciascuna
pubblica amministrazione, avente ad oggetto il complesso delle misure obbligatorie per
legge nonché le misure specifiche adottate in funzione delle peculiarità di ciascuna di
esse. Il Piano, che ha durata triennale, persegue, ai sensi dell’articolo 1, comma 9, della l.
n. 190/2012 i seguenti obiettivi:
“a) individuare le attività, tra le quali quelle di cui al comma 16, anche ulteriori rispetto
a quelle indicate nel Piano nazionale anticorruzione, nell'ambito delle quali è piu'
elevato il rischio di corruzione, e le relative misure di contrasto, anche
raccogliendo le proposte dei dirigenti, elaborate nell'esercizio delle competenze
previste dall'articolo 16, comma 1, lettera a-bis), del decreto legislativo 30 marzo
2001, n. 165;
b) prevedere, per le attività individuate ai sensi della lettera a), meccanismi di
formazione, attuazione e controllo delle decisioni idonei a prevenire il rischio di
corruzione;
c) prevedere, con particolare riguardo alle attività individuate ai sensi della lettera a),
obblighi di informazione nei confronti del responsabile, individuato ai sensi del
comma 7, chiamato a vigilare sul funzionamento e sull'osservanza del piano;
d) definire le modalità di monitoraggio del rispetto dei termini, previsti dalla legge o
dai regolamenti, per la conclusione dei procedimenti;
e) definire le modalità di monitoraggio dei rapporti tra l'amministrazione e i soggetti
che con la stessa stipulano contratti o che sono interessati a procedimenti di
autorizzazione, concessione o erogazione di vantaggi economici di qualunque
genere, anche verificando eventuali relazioni di parentela o affinità sussistenti tra i
titolari, gli amministratori, i soci e i dipendenti degli stessi soggetti e i dirigenti e i
dipendenti dell'amministrazione;
f) individuare specifici obblighi di trasparenza ulteriori rispetto a quelli previsti da
disposizioni di legge”.
Il Piano triennale costituisce, inoltre, la sede in cui può essere assolto l’obbligo di
pianificare la formazione del personale in materia di contrasto alla corruzione, ai sensi
dell’art. 1, comma 8, l. n. 190/2012, definendo, entro il 31 gennaio di ogni anno,
“procedure appropriate per selezionare e formare […] i dipendenti destinati ad operare in settori
particolarmente esposti alla corruzione”.
Ai fini della predisposizione del presente PTPC hanno, in ogni caso, costituito oggetto
di esame, oltre alle principali fonti normative della materia (la legge n. 241/1990, recante
“Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai
documenti amministrativi” ed in particolare l’art. 6-bis; la citata legge n. 190/2012; il
citato decreto-legge n. 90/2014; il d.lgs. n. 165/2001, applicabile al Garante nei limiti
4
PTPC Garante per la protezione dei dati personali 2017-2019
indicati dall’art. 155, comma 1, del d.lgs. n. 196/2003; il citato d.lgs. n. 33/2013; il d.lgs.
n. 39/2013; il menzionato d.lgs. n. 97/2016), anche gli atti adottati dall’Anac e dal
Dipartimento della Funzione pubblica nel settore di riferimento (il Piano Nazionale
Anticorruzione (PNA) predisposto dal Dipartimento della Funzione Pubblica ed
approvato in data 11 settembre 2013 con la delibera Civit n. 72/2013; l’Aggiornamento
2015 al PNA approvato in data 28 ottobre 2015 dall’Anac con la determinazione n.
12/2015; il PNA 2016 approvato dall’Anac con determinazione n. 831 del 3 agosto
2016; la delibera Anac n. 833/2016; la circolare del Dipartimento della Funzione
Pubblica n. 1/2013; lo schema di «Linee guida recanti indicazioni sull’attuazione dell’art.
14 del d.lgs. 33/2013 «Obblighi di pubblicazione concernenti i titolari di incarichi
politici, di amministrazione, di direzione o di governo e i titolari di incarichi dirigenziali»
come modificato dall’art. 13 del d.lgs. 97/2016» adottato e messo in consultazione con la
determinazione dell’Anac del 20 dicembre 2016; la determinazione dell’Anac n. 1310 del
28 dicembre 2016 avente ad oggetto “Prime linee guida recanti indicazioni sull’attuazione
degli obblighi di pubblicità, trasparenza e diffusione di informazioni contenute nel d.lgs.
33/2013 come modificato dal d.lgs. 97/2016”).
Il PTPC ha durata triennale e deve essere aggiornato entro il 31 gennaio di ogni anno,
in ottemperanza a quanto previsto dall’art. 1, comma 8, l. n. 190/2012.
Ai fini dell’aggiornamento si dovrà tenere conto dei seguenti fattori:
- l’eventuale mutamento o integrazione della disciplina normativa in materia di
prevenzione della corruzione;
- i cambiamenti normativi e regolamentari che modificano le finalità istituzionali, le
attribuzioni, l'attività o l'organizzazione dell'Autorità (per es.: l'attribuzione di nuove
competenze);
- l'emersione di nuovi fattori di rischio rispetto a quelli considerati in fase di
predisposizione del precedente PTPC;
- la sopravvenienza di elementi da cui derivi l’opportunità di modificare le misure
predisposte o programmate dall'Autorità per prevenire il rischio di corruzione;
- l’accertamento di significative violazioni delle prescrizioni dello stesso Piano.
2. Il Responsabile della prevenzione della corruzione e della trasparenza
Il Responsabile della prevenzione della corruzione e della trasparenza (di seguito
RPCT), individuato tra i dirigenti del Garante, è nominato dal Collegio e, tenendo conto
di quanto previsto dall’art. 1, commi 7, 8, 10 e 14, l. n. 190/2012 e dall’art. 43, comma 1,
d.lgs.n. 33/2013, esercita i seguenti compiti:
- propone al Collegio il PTPC sulla base degli obiettivi strategici in materia di
prevenzione della corruzione e trasparenza definiti dall’organo di indirizzo che
adotta il Piano entro il 31 gennaio di ogni anno e ne cura la trasmissione all’Anac
(comma 8);
5
PTPC Garante per la protezione dei dati personali 2017-2019
- definisce entro il 31 gennaio di ogni anno le procedure appropriate per selezionare
e formare i dipendenti destinati ad operare in settori particolarmente esposti alla
corruzione (comma 8);
- provvede alla verifica dell'efficace attuazione del piano e della sua idoneità (comma
10);
- propone modifiche al Piano in caso di accertate significative violazioni delle
prescrizioni ovvero quando intervengono mutamenti nell'organizzazione o
nell'attività dell'amministrazione (comma 10);
- verifica, d'intesa con il dirigente competente, l'effettiva rotazione degli incarichi
negli uffici preposti allo svolgimento delle attività nel cui ambito è più elevato il
rischio che siano commessi reati di corruzione e individua il personale da inserire
nei programma di formazione (comma 10);
- trasmette entro il 15 dicembre di ogni anno all’organo di indirizzo una relazione sui
risultati dell’attività svolta e la pubblica sul sito web (comma 14);
- svolge stabilmente un’attività di controllo sull'adempimento da parte
dell'amministrazione degli obblighi di pubblicazione previsti dalla normativa
vigente, assicurando la completezza, la chiarezza e l'aggiornamento delle
informazioni pubblicate, nonché segnalando all’organo di indirizzo politico,
all’Organismo indipendente di valutazione [alla data non istituito presso il Garante],
all'Autorità nazionale anticorruzione e, nei casi più gravi, all'“ufficio di disciplina” i casi
di mancato o ritardato adempimento degli obblighi di pubblicazione (art. 43,
comma 1, d.lgs. n. 33/2013), nonché controlla e assicura la regolare attuazione
dell'accesso civico.
Con delibera n. 414 del 12 ottobre 2016, avente decorrenza dal 21 ottobre 2016, il
Collegio ha nominato per la prima volta il Responsabile della prevenzione della
corruzione e della trasparenza presso il Garante nella persona della dott.ssa Valentina
Gagliardi, appartenente al ruolo dei dirigenti dell’Autorità e titolare anche del Servizio
studi e documentazione, il cui nominativo è stato pubblicato sul sito istituzionale, nella
sezione “Autorità trasparente” e comunicato all’Anac. L’Autorità ha, in tal modo,
unificato in capo allo stesso dirigente l'incarico di Responsabile della prevenzione della
corruzione e quello di Responsabile della trasparenza (incarico, quest’ultimo,
precedentemente svolto, presso il Garante, dal dott. Roberto Lattanzi, nominato con
delibera n. 29 del 22 gennaio 2015 e dal dott. Baldo Meo, nominato con delibera n. 580
del 18 dicembre 2013).
Con la predetta delibera, oltre ai menzionati compiti previsti dalla legge n. 190/2012 e
dal d.lgs. n. 33/2013, sono stati attribuiti al RPCT anche i seguenti compiti:
- curare la diffusione della conoscenza dei codici di comportamento
nell'amministrazione, il monitoraggio annuale della loro attuazione, ai sensi dell'art.
54 comma 7 del d.lgs. n. 165/2001, nonché la divulgazione secondo le disposizioni
6
PTPC Garante per la protezione dei dati personali 2017-2019
vigenti;
- presentare tempestiva denuncia alla competente Procura della Corte dei conti per le
eventuali iniziative in ordine all'accertamento del danno erariale (art. 20 d.P.R. n. 3
del 1957; art. 1 comma 3, legge n. 20 del 1994), ove riscontri dei fatti suscettibili di
dar luogo a responsabilità amministrativa;
- presentare denuncia alla Procura della Repubblica o ad un ufficiale di polizia
giudiziaria con le modalità previste dalla legge (art. 331 c.p.p.), ove riscontri poi dei
fatti che rappresentino notizia di reato;
- riferire al Collegio per tutte le questioni di cui ai punti da a) a j) della stessa delibera
n. 414/2016.
Nell’ambito della struttura del Garante per l’espletamento delle proprie funzioni il
RPCT si avvale di tre funzionarie individuate con ordine di servizio del Segretario
generale, assegnate anche al Servizio studi e documentazione. Le attività di cui all'art. 2,
lettere da a) a j) della citata delibera n. 414/2016 sono svolte secondo le modalità
specificate nel PTPC, con il supporto di tutti i dirigenti ai quali sono affidati poteri
propositivi e di controllo e attribuiti obblighi di collaborazione, di monitoraggio e di
azione diretta di prevenzione della corruzione.
L’art. 1, comma 7, della legge n. 190/2012 prevede altresì che il RPCT segnala
all'organo di indirizzo e all'Organismo indipendente di valutazione le disfunzioni inerenti
all'attuazione delle misure in materia di prevenzione della corruzione e di trasparenza e
indica agli uffici competenti all'esercizio dell'azione disciplinare i nominativi dei
dipendenti che non hanno attuato correttamente le misure in materia di prevenzione
della corruzione e di trasparenza. Eventuali misure discriminatorie, dirette o indirette, nei
confronti del Responsabile della prevenzione della corruzione e della trasparenza per
motivi collegati, direttamente o indirettamente, allo svolgimento delle sue funzioni
devono essere segnalate all'Autorità nazionale anticorruzione, che può chiedere
informazioni all'organo di indirizzo e intervenire nelle forme di cui al comma 3, articolo
15, decreto legislativo 8 aprile 2013, n. 3.
3. Funzioni ed organizzazione del Garante per la protezione dei dati personali.
Il Garante è un'autorità amministrativa indipendente istituita dalla legge 31 dicembre
1996, n. 675 – che ha attuato nell'ordinamento giuridico italiano la direttiva comunitaria
95/46/CE – e si occupa di tutti gli ambiti, pubblici e privati, nei quali occorre assicurare
il corretto trattamento dei dati e il rispetto dei diritti delle persone connessi all'utilizzo
delle informazioni personali. La complessiva materia è oggi disciplinata dal Codice in
materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196).
Il Garante è un organo collegiale, composto da quattro membri eletti dal Parlamento, i
quali rimangono in carica per un mandato di sette anni non rinnovabile. L'attuale
Collegio si è insediato il 19 giugno 2012 ed è composto da Antonello Soro (Presidente),
7
PTPC Garante per la protezione dei dati personali 2017-2019
Augusta Iannini (Vicepresidente), Giovanna Bianchi Clerici e Licia Califano
(componenti).
Il segretario generale è l’avvocato Giuseppe Busia.
I compiti dell’Autorità sono definiti dal Codice e da altre fonti normative nazionali e
comunitarie (anzitutto la direttiva 95/46/CE, ed in prospettiva dal regolamento (UE)
2016/679 e dalla direttiva (UE) 2016/680, ma deve altresì essere ricordato l’art. 8 della
Carta dei diritti fondamentali dell'Unione europea secondo il quale il rispetto delle regole
poste a presidio del diritto alla protezione dei dati personali “è soggetto al controllo di
un’autorità indipendente”). In particolare, l’Autorità si occupa di:
- controllare che i trattamenti di dati personali siano conformi a leggi e regolamenti e,
eventualmente, prescrivere ai titolari o ai responsabili dei trattamenti le misure da
adottare per svolgere correttamente il trattamento;
- esaminare reclami e segnalazioni nonché decidere i ricorsi presentati ai sensi dell'art.
145 del Codice;
- vietare in tutto od in parte, ovvero disporre il blocco del trattamento di dati
personali che per la loro natura, per le modalità o per gli effetti del loro trattamento
possano rappresentare un rilevante pregiudizio per l'interessato;
- adottare i provvedimenti previsti dalla normativa in materia di dati personali, tra
cui, in particolare, le autorizzazioni generali per il trattamento dei dati sensibili;
- promuovere la sottoscrizione dei codici di deontologia e di buona condotta in vari
ambiti (credito al consumo, attività giornalistica, ecc.);
- segnalare, quando ritenuto opportuno, al Parlamento e al Governo l’opportunità di
adottare provvedimenti normativi;
- fornire elementi conoscitivi per l’istruttoria legislativa;
- formulare i pareri richiesti dal Presidente del Consiglio o da ciascun ministro in
ordine a regolamenti ed atti amministrativi suscettibili di incidere sulle materie
disciplinate dal Codice;
- predisporre una relazione annuale sull'attività svolta e sullo stato di attuazione della
normativa sulla protezione dei dati personali da trasmettere al Parlamento, al
Governo e alla Corte dei conti;
- partecipare alle attività comunitarie ed internazionali di settore, anche quale
componente del Gruppo Articolo 29 e delle Autorità comuni di controllo previste
da convenzioni internazionali (Europol, Schengen, Sistema informativo doganale);
- curare la tenuta del registro dei trattamenti formato sulla base delle notificazioni di
cui all'articolo 37 del Codice in materia di protezione dei dati personali;
- curare l'informazione e la sensibilizzazione dei cittadini in materia di trattamento
dei dati personali, nonché sulle misure di sicurezza dei dati;
8
PTPC Garante per la protezione dei dati personali 2017-2019
- coinvolgere i cittadini e tutti i soggetti interessati con consultazioni pubbliche dei
cui risultati si tiene conto per la predisposizione di provvedimenti a carattere
generale;
- formulare i pareri in materia di accesso civico ai sensi dell’art. 5, comma 8 d. lgs. n.
33/2013.
Quanto all’autonomia normativa e organizzativa, la legge n. 675/1996 ha conferito al
Garante la potestà di disciplinare, con propri regolamenti, il trattamento giuridico ed
economico del personale1, l’organizzazione ed il funzionamento dell’ufficio2 strutturato
secondo il seguente organigramma funzionale reso pubblico sul sito istituzionale
dell’Autorità (cfr. art. 156, comma 3, Codice):
L’Ufficio si articola in dipartimenti, servizi ed unità temporanee per le cui funzioni e
responsabilità si rinvia a quanto previsto dal Regolamento di organizzazione e
funzionamento.
Al 31 dicembre 2016 il personale in servizio presso il Garante comprende: il
Segretario generale e 15 dirigenti o equiparati (di cui 13 a tempo indeterminato e 2 fuori
Regolamento n. 2-2000 concernente il trattamento giuridico ed economico del personale del Garante per la protezione dei
dati personali (adottato con deliberazione 14 marzo 2001 e modificato da ultimo con delibera 3 aprile 2014).
2 Regolamento n. 1-2000 concernente l’organizzazione e il funzionamento dell'ufficio del Garante per la protezione dei dati
personali (adottato con delibera 14 marzo 2001 e modificato da ultimo con delibera n. 374 del 25 giugno 2015
1
9
PTPC Garante per la protezione dei dati personali 2017-2019
ruolo); 107 unità di personale (di cui 95 a tempo indeterminato, 4 fuori ruolo e 8 a tempo
determinato).
4. Soggetti coinvolti e ruoli ai fini della prevenzione della corruzione.
Il PTPC costituisce lo strumento specifico adottato dall'Autorità per favorire il
contrasto della corruzione e promuovere la legalità della propria attività allo scopo di
prevenire le situazioni che possono provocarne un malfunzionamento.
La strategia di prevenzione della corruzione prevede sinergie e collaborazione tra una
pluralità di soggetti, nei termini di seguito illustrati:
a. Collegio, quale “organo di indirizzo politico amministrativo”:
- nomina il Responsabile della prevenzione della corruzione e della trasparenza;
- definisce gli obiettivi strategici in materia di prevenzione della corruzione e
trasparenza, che costituiscono contenuto necessario dei documenti di
programmazione strategico-gestionale e del Piano triennale per la prevenzione della
corruzione; nella redazione del presente PTPC si è tenuto conto degli obiettivi
strategici definiti - per l’anno 2017 - con delibera n. 545 del 22 dicembre 2016; con
quest’ultima delibera è stato approvato, in All. A, il documento contentente gli
obiettivi programmatici del Garante per il 2017 ribandendosi l’obiettivo di attuare la
disciplina in materia di trasparenza amministrativa e di prevenzione della
corruzione presso il Garante e di svolgere attività di formazione del personale in
materia di prevenzione della corruzione e trasparenza; si è tenuto altresì conto delle
indicazioni contenute nel Documento programmatico 2017-2019 approvato in All.
B alla predetta delibera; con delibera n. 512 del 15 dicembre 2016 erano stati
definiti gli obiettivi strategici in materia di prevenzione della corruzione e
trasparenza per l’anno 2016;
- adotta, su proposta del RPCT, il PTPC da pubblicare sul sito istituzionale nella
sezione “Autorità trasparente”, sottosezione “Altri contenuti - Corruzione” e ne
cura la trasmissione ad Anac;
- adotta tutti gli atti di indirizzo di carattere generale che siano direttamente o
indirettamente finalizzati alla prevenzione della corruzione.
b. Responsabile della prevenzione della corruzione e della trasparenza, individuato dal
Collegio nella persona della dott.ssa Valentina Gagliardi (delibera n. 414 del 12 ottobre
2016):
- propone l’adozione del PTPC al Collegio;
- verifica l’efficace attuazione del PTPC e propone eventuali modifiche;
- individua il personale da inserire nei programmi di formazione;
- predispone la relazione annuale sull’attività svolta e la pubblica sul sito istituzionale
10
PTPC Garante per la protezione dei dati personali 2017-2019
nella sezione “Autorità trasparente”, sottosezione “Altri contenuti-Corruzione”;
- svolge gli ulteriori compiti meglio individuati al par. 2.
c. I referenti, individuati nel PTPC e corrispondenti ai dirigenti assegnati ai dipartimenti,
servizi o unità temporanee:
- svolgono attività informativa nei confronti del RPCT, affinché questi riceva
adeguati elementi e riscontri sull’organizzazione e sull’attività dell’amministrazione;
- supportano il Responsabile nel costante monitoraggio sull’attività svolta ai fini
dell’attuazione del PTPC;
- partecipano al processo di mappatura dei processi, valutazione e gestione del
rischio nonchè di proposizione delle misure di prevenzione;
- osservano le misure contenute nel PTPC;
- assicurano l’osservanza del codice etico e segnalano eventuali ipotesi di violazione;
d. I dipendenti partecipano al processo di gestione del rischio ed in particolare:
- osservano le misure contenute nel PTPC;
- osservano le disposizioni del codice etico;
- segnalano situazioni di possibile illecito ed i casi di personale conflitto di interessi al
proprio dirigente.
e. I consulenti e collaboratori a qualsiasi titolo dell’Autorità:
- osservano le misure contenute nel PTPC;
- osservano gli obblighi previsti a loro carico dalla legge, ivi inclusi l’obbligo di non
assumere l’incarico in presenza di situazioni di conflitto di interesse e gli obblighi di
dichiarazione;
- segnalano situazioni di illecito.
La mancata risposta alle richieste di collaborazione del Responsabile della prevenzione
della corruzione da parte dei Referenti per la prevenzione della corruzione è suscettibile
di essere sanzionata disciplinarmente.
5. Entrata in vigore, validità, aggiornamenti.
Il PTPC entra in vigore successivamente alla pubblicazione sul sito istituzionale, nella
sezione «Autorità Trasparente», ha una validità triennale e sarà aggiornato entro il 31
gennaio di ciascun anno.
In ogni caso, esso potrà essere modificato su iniziativa del Responsabile, il quale ne
proporrà la modifica al Collegio ogniqualvolta siano accertate significative violazioni
delle prescrizioni in esso contenute, ovvero qualora ritenga che siano intervenuti
mutamenti nell’organizzazione o nell’attività dell’Autorità tali da ridurre l'idoneità del
Piano a prevenire il rischio di corruzione o da limitare la sua efficace attuazione.
11
PTPC Garante per la protezione dei dati personali 2017-2019
6. Metodologia adottata per la predisposizione del PTPC.
Il processo di predisposizione del PTPC si è articolato in tre fasi:
1) processo di autoanalisi organizzativa e di mappatura dei processi;
2) analisi dei rischi;
3) individuazione delle misure di prevenzione del rischio.
Per la predisposizione del PTPC sono stati coinvolti i titolari dei Dipartimenti, Servizi
o Unità. In particolare il RPCT ha acquisito il contributo di ciascun dirigente in ordine ai
compiti effettivamente svolti, nell’ordinamento del Garante, dal Dipartimento, Servizio o
Unità da lui diretta, ai rischi di fenomeni corruttivi individuabili e alle misure di contrasto
programmabili, fermo restando che l’attività di autoanalisi organizzativa e di mappatura
dei processi - in ragione della estrema limitatezza del periodo di tempo di cui il RPCT ha
potuto disporre per elaborare il Piano, essendo stato nominato per la prima volta con
delibera 12 ottobre 2016, n. 414, con decorrenza 21 ottobre 2016 ed essendo stati
definiti dal Garante gli obiettivi strategico-gestionali in materia di prevenzione della
corruzione e di trasparenza con delibera n. 512 del 15 dicembre 2016 - necessiterà di
ulteriore verifica e affinamento in sede di primo Aggiornamento del Piano.
La predetta attività di autoanalisi e mappatura è stata effettuata sulla base di parametri
qualitativi e quantitativi. In particolare, l’individuazione delle attività sensibili è stata
attuata attraverso l’analisi della struttura organizzativa del Garante, allo scopo di
individuare le modalità operative, la ripartizione delle competenze e la sussistenza o
l’insussistenza di rischi di corruzione. Al fine di poter identificare le aree operative
maggiormente esposte al rischio di corruzione, è stata svolta un’attività preliminare di
mappatura del livello di esposizione delle singole Unità a rischio corruzione.
Con riferimento a ciascuna funzione individuata è stato assegnato un indice di rischio
corruzione selezionato tra i valori nullo, basso, medio, alto. Il valore è stato assegnato
per ciascuna Unità a seguito dell’analisi effettuata e dei dati forniti dai dirigenti coinvolti
e degli approfondimenti effettuati dal Responsabile della prevenzione, tenendo conto
anche dei seguenti parametri: grado di discrezionalità amministrativa; entità e misura
delle risorse finanziarie gestite, sia in forma di contributo che di corrispettivo, dall’Unità;
presenza di precedenti casi e/o episodi che abbiano comportato l’avvio di procedimenti
per responsabilità disciplinari, penali, civili, amministrativo-contabili, correlati ad attività
di carattere corruttivo; disponibilità dei flussi informativi e trattamento dei dati;
coinvolgimento di altre Unità nello svolgimento di una determinata funzione (controllo
reciproco); coinvolgimento di soggetti esterni nello svolgimento di una determinata
funzione.
7. Segue . Processo di autoanalisi organizzativa e di mappatura dei processi
12
PTPC Garante per la protezione dei dati personali 2017-2019
Prima di procedere all'analisi dei rischi di corruzione, si è provveduto ad una
mappatura dei processi che caratterizzano l'attività dell'Autorità.
Nell’operazione di definizione di tali processi, si è condotta una prima analisi dei
procedimenti a più alto rischio corruttivo espressamente indicati dal legislatore.
L’art. 1,
comma 16, della Legge ha, infatti, individuato una serie di procedimenti che, per loro
caratteristiche intrinseche, vengono considerati dal legislatore ad alto rischio di
corruzione. Rientrano tra i procedimenti a più alto rischio corruttivo tipizzati dal
legislatore i seguenti processi:
a)
processi volti al rilascio di autorizzazione o concessione; b)
scelta del contraente per l’affidamento di lavori, servizi e forniture, anche
con riferimento alle modalità di selezione prescelta ai sensi del codice dei
contratti pubblici; c)
processi volti alla concessione ed erogazione di sovvenzioni, contributi,
sussidi, ausili finanziari, nonché
attribuzioni di vantaggi economici di qualunque
genere a persone ed enti pubblici privati;
d)
concorsi e prove preselettive per l’assunzione del personale e progressioni
di carriera di cui all’art. 24 del decreto legislativo n. 150 del 2009.
L’Anac, nell’Aggiornamento 2015 al PNA, oltre alle aree sopra elencate, definite
“obbligatorie”, ha individuato ulteriori attività riconducibili ad aree con alto livello di
probabilità di eventi rischiosi. Trattasi delle seguenti:
- gestione delle entrate, delle spese e del patrimonio; - controlli, verifiche, ispezioni e sanzioni; - incarichi e nomine; - affari legali e contenzioso.
Quanto ai procedimenti tipizzati dal legislatore come ad alto rischio (ai sensi dell’art.
1, comma 16, della l. n. 190/2016) nonostante la legge si riferisca testualmente ai
procedimenti, si ritiene che la valutazione del rischio debba abbracciare l’area,
evidentemente più ampia, del “processo”, inteso, quest’ultimo, come contesto in cui si
valuta non solo l’attività di diritto pubblico ma anche quella di diritto privato
dell’amministrazione (ad esempio la stipulazione e/o l’esecuzione di un contratto). La scelta di ricomprendere i provvedimenti concessori e/o autorizzatori tra gli “atti
tipici” a rischio di corruzione va rinvenuta nella particolare natura dei medesimi
provvedimenti. In entrambi i casi si tratta di provvedimenti ampliativi della sfera
giuridica di un destinatario determinato, anche se diversa è poi la natura dei due
provvedimenti; il Garante non adotta, comunque, provvedimenti concessori.
Il provvedimento autorizzatorio, in particolare, rimuove un limite legale all’esercizio di
un diritto già esistente nella sfera giuridica del destinatario. Nel caso dell’autorizzazione,
dunque, il titolare del diritto è ab origine il privato, ma viene in considerazione un diritto il
13
PTPC Garante per la protezione dei dati personali 2017-2019
cui esercizio incide sul perseguimento di interessi pubblici. Si rinviene in capo
all’Autorità l’esistenza di poteri autorizzatori, con particolare riguardo ai processi diretti
all’adozione di autorizzazioni particolari o generali al trattamento di dati personali,
previste e disciplinate dal Codice in materia di protezione dei dati personali (d.lgs. n.
196/2003).
I processi individuati come ad alto rischio dall’art. 1, comma 16, lett. b) della Legge scelta del contraente per l’affidamento di lavori, servizi e forniture, anche con
riferimento alle modalità di selezione prescelta ai sensi del codice dei contratti pubblici -,
rilevano per l’Autorità principalmente con riguardo all’affidamento dei servizi e delle
forniture, fermo restando che le medesime misure di garanzia dovranno adottarsi anche
in caso di affidamento di lavori.
A tale riguardo l’attività condotta ha consentito di evidenziare una serie potenziale di
rischi di carattere generale, anch’essi comuni a quelli relativi alle altre amministrazioni
pubbliche.
I processi di cui alla successiva lettera c) dell’art. 1, comma 16, della Legge, non
trovano, invece, riscontro nell’ordinamento dell’Autorità, in quanto il Garante non
contempla fra le proprie attuali competenze la concessione ed erogazione di sovvenzioni,
contributi, sussidi, ausili finanziari, o l’attribuzione di vantaggi economici di qualunque
genere a persone ed enti pubblici e privati.
Quanto ai processi di cui all’art. 1, comma 16, lettera d), della Legge - concorsi e prove
preselettive per l’assunzione del personale e progressioni di carriera di cui all’art. 24 del
decreto legislativo n. 150 del 2009 -, l’attività svolta ha consentito di evidenziare alcuni
potenziali rischi comuni alle altre pubbliche amministrazioni, come descritto
nell’Allegato 1.
I processi “tipizzati” dalla legge come ad alto rischio di corruzione sono caratterizzati
dal comportare l’ampliamento della sfera giuridica di destinatari determinati, di cui si è
trattato sopra, o dall’essere suscettibili di produrre effetti economici diretti ed immediati
per il destinatario.
Le ragioni della loro inclusione tra i processi a più alto rischio sono
evidenti.
Le attività organizzative interne avviate per la completa mappatura dei processi,
hanno, inoltre, evidenziato la sussistenza di una serie di processi di competenza
dell’Autorità che presentano caratteri analoghi e/o affini a quelli tipizzati dal legislatore
all’art. 1, comma 16, della legge n. 190/2012 e che, di conseguenza, sono stati classificati
ad alto rischio di corruzione.
Per quanto riguarda i processi che comportano l’ampliamento della sfera giuridica di
destinatari determinati, oltre ai processi autorizzatori particolari e generali, già
menzionati, occorre avere riguardo ai processi di verifica preliminare previsti dall’art. 17
del Codice in materia di protezione dei dati personali per i trattamenti che presentano
rischi specifici, e, in generale, ai casi in cui il trattamento può essere effettuato solo nel
14
PTPC Garante per la protezione dei dati personali 2017-2019
rispetto di misure e accorgimenti prescritti dal Garante.
Per quanto riguarda, invece, i processi caratterizzati dall’essere suscettibili di produrre
effetti economici diretti ed immediati per il destinatario, anch’essi da considerarsi ad alto
rischio, ci si riferisce, in particolare, ai processi finalizzati all’adozione di provvedimenti
di tipo prescrittivo. Infatti tali provvedimenti, sebbene non producano un effetto
ampliativo della sfera giuridica del privato, tuttavia presentano affinità con i
provvedimenti autorizzativi, sotto il profilo della presenza dei medesimi rischi corruttivi
poiché hanno la capacità di incidere sulla sfera giuridica di un destinatario determinato.
Per tali ragioni, sono inclusi nell’alveo dei procedimenti a più alto rischio di corruzione
dell’Autorità anche i processi diretti all’adozione di provvedimenti di natura prescrittiva.
Ci si riferisce, in particolare, ai processi diretti all’adozione, oltre che dei cennati
provvedimenti diretti a prescrivere anche d'ufficio ai titolari del trattamento le misure
necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni
vigenti, ai sensi dell'articolo 143 del Codice, di provvedimenti sanzionatori, di divieto del
trattamento e di blocco del trattamento.
Anche nei richiamati provvedimenti sono insiti, pertanto, i medesimi rischi corruttivi
già sopra evidenziati. Il rischio, cioè, dell’accettazione impropria di regalie, compensi o
altri vantaggi al fine di condizionare illecitamente l’attività comunque preordinata
all’adozione di tali atti.
Gli esiti della mappatura dei processi, hanno condotto all’inclusione, nell’area dei
processi ad alto rischio, anche dei processi che possono produrre effetti sfavorevoli di
diversa intensità per i destinatari, quali sono i processi di controllo, di verifica, anche a
seguito di segnalazione o reclamo, e di ispezione di competenza dell’Autorità.
In questo
ambito, la circostanza che il processo possa concludersi con l’adozione di un
provvedimento sanzionatorio o di altro provvedimento sfavorevole per il destinatario e
che può manifestare diversi gradi di impatto economico a seconda dell’entità della
sanzione comminata, enfatizza i “rischi” di sviamento dalla funzione pubblica che si
intendono prevenire con l’adozione del PTPC. Per tale ragioni si ritiene che anche i
processi ricompresi in tale ambito siano tra quelli a maggior rischio di corruzione per
l’Autorità.
In linea con l’esperienza maturata da altre amministrazioni si sono, infine, ricompresi
nell’area dei processi ad alto rischio anche i processi di gestione delle entrate, delle spese
e del patrimonio; quelli diretti al conferimento di incarichi e nomine; nonché quelli
espletati nel settore affari legali e contenzioso.
8. Segue . Analisi dei rischi
L'analisi dei rischi è consistita nell’identificazione dei rischi di corruzione che
caratterizzano le attività ed i procedimenti dell'Autorità e nella valutazione del grado di
esposizione ai rischi di cui, in parte, si è già accennato nel precedente paragrafo.
L’art. 1,
15
PTPC Garante per la protezione dei dati personali 2017-2019
comma 9, della l. n. 190/2012 non definisce il concetto di “rischio di corruzione”,
limitandosi a richiamarlo come evento da prevenire (cfr. art. 1, comma 9, lettera a). La
dottrina, in coerenza con la finalità di assicurare la massima ampiezza possibile alle
previsioni in tema di prevenzione alla corruzione, ritiene che il concetto di “corruzione” sia
da intendere in modo estensivo, comprensivo delle varie ed eterogenee situazioni in cui,
nel corso dell’attività amministrativa, si riscontri l’abuso e/o lo “sviamento della
funzione” del potere affidato all’Amministrazione per il perseguimento degli interessi
pubblici.
Per “rischio” si intende l’effetto dell’incertezza sul corretto perseguimento dell’interesse
pubblico e quindi, sul raggiungimento degli obiettivi per la cui realizzazione l’ente è
preposto, dovuto alla possibilità che si verifichi un dato evento. Per “evento” si intende il
verificarsi di un insieme di circostanze che si frappongono al perseguimento degli
interessi pubblici.
Rispetto alle attività rientranti nelle aree individuate come ad elevato rischio il PTPC
identifica le caratteristiche del rischio, le azioni e gli strumenti per prevenire il rischio.
9. Segue . Individuazione delle misure di prevenzione del rischio
La terza fase ha riguardato l’individuazione delle misure di prevenzione. Tale sistema
comprende la definizione degli strumenti di risposta al rischio, la progettazione delle
misure di prevenzione specifiche da attuare, “concrete, sostenibili e verificabili” e
l’identificazione del responsabile, ovvero del soggetto che ha la responsabilità di attivare
la misura descritta.
L’analisi e mappatura delle attività relative ai processi, l’individuazione dei rischi
specifici e la definizione delle relative misure di prevenzione ha portato ad esiti che sono
dettagliatamente descritti nella tabella in Allegato 1 al presente Piano.
16
PTPC Garante per la protezione dei dati personali 2017-2019
Parte II
10. Misure di prevenzione della corruzione. Misure generali
Le misure di carattere generale si riferiscono a tutte quelle azioni di prevenzione del
rischio di corruzione che riguardano l'Autorità nel suo complesso e che definiscono le
caratteristiche del contesto organizzativo, in cui operano le misure di prevenzione
specifiche o particolari, che riguardano, invece, le singole attività riconducibili ai processi
a rischio. Per facilità di consultazione dette misure sono riassunte nella seguente tabella
riepilogativa e corredate da un codice identificativo in modo tale da consentirne il
richiamo sintetico nella colonna “MISURE GENERALI INDIVIDUATE” della tabella
“Scheda di sintesi - Mappatura dei processi, Analisi e Valutazione del rischio”, in
Allegato 1.
Misura di Contrasto
Codice identificativo
misura
Adempimenti relativi alla trasparenza
M01
Codice etico
M02
Informatizzazione dei processi con monitoraggio termini
M03
Obbligo di astensione in caso di conflitto di interesse
M04
Meccanismi di controllo nella formazione delle decisioni dei M05
procedimenti a rischio: la separazione tra organo istruttorio
ed organo decisorio
Inconferibilità - incompatibilità di incarichi dirigenziali e di M06
incarichi amministrativi di vertice
Conferimento e autorizzazione di incarichi ai dipendenti
M07
Formazione di commissioni e assegnazioni agli uffici
M08
Segnalazione di illeciti da parte dei dipendenti (whistleblowing)
M09
Formazione
M10A
Formazione
M10B
Rotazione degli incarichi dirigenziali
M11
SCHEDA
MISURA
M01
ADEMPIMENTI
RELATIVI
ALLA
TRASPARENZA
La trasparenza costituisce un importante strumento che caratterizza l’attività
dell’Autorità per prevenire la corruzione e, più in generale, qualsiasi situazione che possa
provocare un malfunzionamento.
La pubblicazione costante e tempestiva sul sito web
17
PTPC Garante per la protezione dei dati personali 2017-2019
istituzionale di informazioni sulle attività poste in essere permette, infatti, di favorire
forme di controllo diffuso anche da parte di soggetti esterni e di svolgere un’importante
azione di deterrente per potenziali condotte illegali o irregolari.
Il Garante ha adeguato il proprio ordinamento e ha assunto sin dal 2013 le iniziative
necessarie per dare attuazione alla disciplina introdotta dal d.lgs. n. 33/2013 e agli altri
obblighi di pubblicazione normativamente prescritti.
Delle attività poste in essere e delle ulteriori azioni da intraprendere a seguito della
successiva evoluzione del quadro normativo – azioni che in questo paragrafo ci si limita
a compendiare nella scheda di sintesi di seguito esposta - si dà conto diffusamente nella
Parte III del presente Piano triennale, alla quale si fa rinvio.
- D.lgs. n. 33/2013 come modificato e integrato dal d.lgs.
Riferimenti normativi 97/2016
- l. n. 190/2012
- Completamento dell’aggiornamento della struttura della
Sezione Autorità trasparente per adeguarla al d.lgs. n.
97/2016 anche con riguardo ai “Dati ulteriori” indicati nel
Azioni da intraprendere
par. 13 del presente PTPC
- Aggiornamento dei moduli per l’esercizio del diritto di
accesso civico per adeguarli al d.lgs. n. 97/2016
- Responsabile della prevenzione della corruzione e della
Soggetti competenti
trasparenza
all’adozione delle
- Gruppo di lavoro sull’accesso civico
misure
- Dirigente del Servizio relazioni esterne e media
- I dirigenti di tutte le unità organizzative
Termine
2017
Misura comune a tutti i livelli di rischio individuati dal
Note
presente Piano
SCHEDA MISURA M02 - CODICE ETICO
Tra le misure di prevenzione della corruzione predisposte dall’Autorità, si evidenzia
che il Garante, fin dal 4 giugno 1998, ha adottato un Codice etico che definisce i criteri e
le modalità che i dipendenti del Garante devono rispettare nella loro attività
conformemente alla posizione di indipendenza riconosciuta all'Autorità e ai compiti di
garanzia ad essa affidati. Il Codice è attualmente pubblicato sul sito dell'Autorità, alla
Sezione "Autorità trasparente" (sottosezione "Disposizioni generali" - "Atti generali") e
l’obbligatoria adozione dello stesso è stata confermata dall’articolo 2, comma 1, lett. f),
18
PTPC Garante per la protezione dei dati personali 2017-2019
Regolamento n. 1/2000 del Garante adottato il 28 giugno 2000 “sull'organizzazione e il
funzionamento dell'ufficio del Garante per la protezione dei dati personali”.
Il rispetto del Codice etico è indicato espressamente come obbligo rientrante nei
doveri d’ufficio del dipendente, ai sensi degli articoli 8, comma 1, e 9 del Regolamento n.
2/2000 del Garante “concernente il trattamento giuridico ed economico del personale
del Garante per la protezione dei dati personali” (Art. 8. Obblighi: “1. Il dipendente deve
prestare la propria attività con lealtà, diligenza e spirito di collaborazione, in conformità
alle leggi, ai regolamenti, alle disposizioni interne e al codice etico, nell'interesse esclusivo
dell'Autorità.”; Art. 9. Divieti e incompatibilità: “1. Il personale in servizio presso
l'Autorità deve osservare i divieti e le incompatibilità stabiliti dalle leggi, dai regolamenti e
dal codice etico approvato dal Garante.”).
L’inserimento del rispetto del Codice etico fra i doveri d’ufficio del dipendente
comporta, inoltre, che la violazione del Codice costituisce condotta sanzionabile anche
disciplinarmente ai sensi dell’art. 24 dello stesso Reg. n. 2/2000.
Il Codice etico contiene un’articolata disciplina in materia, fra l’altro, di:
- rispetto degli orari di lavoro e utilizzo delle risorse dell’ufficio (art. 2);
- doveri di imparzialità (art. 3: “Il dipendente opera con imparzialità, evita trattamenti
di favore e disparità di trattamento, si astiene dall'effettuare pressioni indebite e le
respinge, adotta iniziative e decisioni nella massima trasparenza ed evita di creare o di
fruire di situazioni di privilegio.
Nei rapporti con i soggetti interessati a qualunque
titolo all'attività del Garante, il dipendente non assume impegni né fa promesse
personali che possano condizionare l'adempimento dei doveri d'ufficio.
Il
dipendente, fermo il diritto di associazione e il diritto di adesione a partiti politici e
sindacati, comunica al segretario generale l'adesione ad associazioni, circoli od altri
organismi di qualsiasi natura i cui interessi possano influenzare lo svolgimento delle
funzioni d'ufficio”);
- doveri di integrità (art. 4: “Il dipendente non utilizza l'Ufficio per perseguire fini o
per conseguire benefici privati e personali.
Il dipendente non si avvale della
posizione che ricopre nell'Ufficio per ottenere utilità o benefici nei rapporti esterni
anche di natura privata. Nei rapporti privati, il dipendente evita di dichiarare o di
lasciare intendere la propria posizione nei casi in cui tale menzione non risponda ad
esigenze obiettive.
Il dipendente non fa uso delle informazioni non disponibili al
pubblico o non rese pubbliche, ottenute anche in via confidenziale nell'attività
d'ufficio, per realizzare profitti o interessi privati. Il dipendente evita di ricevere
benefici di ogni genere, anche in occasione di viaggi, seminari e convegni, che
possano essere o apparire tali da influenzarne l'indipendenza di giudizio e
l'imparzialità; inoltre non sollecita né accetta, per sé o per altri, alcun dono o altra
utilità da parte di soggetti comunque interessati all'attività del Garante o che
intendano entrare in rapporto con esso, con eccezione dei regali di modico valore.
19
PTPC Garante per la protezione dei dati personali 2017-2019
Nel caso in cui riceva pressioni illegittime o gli vengano offerti regali, benefici o altre
utilità eccedenti un modico valore, il dipendente è tenuto a darne tempestiva
comunicazione al segretario generale”);
- regole particolari aventi ad oggetto, fra l’altro, le modalità di esercizio dei compiti
d’ufficio (art. 5: “Fuori dell'ordinario procedimento di assegnazione delle pratiche, il
dipendente non sollecita né riceve comunicazioni a lui destinate, né invia missive
non autorizzate.
Il dipendente partecipa ai soli incontri e riunioni, anche informali,
rilevanti per l'attività d'ufficio cui è autorizzato a prendere parte; evita inoltre contatti
non autorizzati con destinatari anche indiretti degli atti e dei provvedimenti in fase di
adozione o con chi fornisce o intende fornire beni o servizi all'Ufficio […]”);
- situazioni di conflitto di interessi (art. 6, per la cui analisi v. infra, Scheda M04);
- riservatezza, rapporti con la stampa e svolgimento di attività collaterali (artt. 7, 8 e 9);
- informative del Segretario generale al Collegio (art. 10).
Anche il Presidente, i Componenti del Garante e il Segretario generale, ai sensi dell’art.
11 del cennato Codice etico, conformano la propria attività ai princìpi di tale Codice e si
informano reciprocamente degli incontri anche informali cui prendono parte in materie
rilevanti per l'attività del Garante.
Nel corso dell’anno 2017 il RPTC ricordererà a tutti i dipendenti la necessità di
rispettare le regole stabilite dal Codice etico, trasmettendo contestualmente copia del
Codice stesso, ed inviterà i dirigenti a vigilare sulla sua effettiva applicazione e segnalare
immediatamente al medesimo Responsabile - onde consentire l’attività di monitoraggio
annuale - le eventuali violazione.
Il Codice etico del Garante si colloca ora nell’ambito della generale disciplina dei
codici di comportamento dei dipendenti pubblici introdotta dall’articolo 54 del d.lgs. n.
165/2001, così come sostituito dall’art. 1, comma 44, della l. n. 190/2012. Tale
disposizione ha assegnato al Governo la competenza a definire un codice di
comportamento dei dipendenti delle pubbliche amministrazioni, “al fine di assicurare la
qualità dei servizi, la prevenzione dei fenomeni di corruzione, il rispetto dei doveri
costituzionali di diligenza, lealtà, imparzialità e servizio esclusivo alla cura dell’interesse
pubblico”. In attuazione di tale previsione, é stato adottato il d.P.R. n. 62/2013,
“Regolamento recante codice di comportamento dei dipendenti pubblici, a norma
dell’articolo 54 del decreto legislativo 30 marzo 2001, n. 165”, che ha sostituito il Codice
di comportamento approvato con il decreto del Ministro per la funzione pubblica del 28
novembre 2000, prevedendo misure innovative in funzione della prevenzione della
corruzione.
Ancorché il citato articolo 54 del d.lgs. n. 165 del 2001, come sostituito, costituisca
disposizione del d.lgs. n. 165/2001 non espressamente richiamata ai sensi dell'art. 155,
comma 1, ultimo periodo, del Codice in materia di protezione dei dati personali (d.lgs. n.
196/2003) e come tale non direttamente applicabile al Garante, l’Autorità, nel corso del
20
PTPC Garante per la protezione dei dati personali 2017-2019
triennio 2017/2019 avvierà un’attività di studio volta all’eventuale aggiornamento del
Codice etico del Garante, anche tenendo conto - per quanto compatibile con la propria
autonomia organizzativa e struttura operativa - di quanto previsto dalla legge n.
190/2012 e dal d.P.R. n. 62/2013.
- Artt. 8, comma 1, 9 e 24 del Reg. n. 2/2000 del Garante
- Codice etico del Garante
Riferimenti normativi - Articolo 54 del d. lgs. n. 165/2001 come modificato
dall’articolo 1, comma 44, della l. n. 190/2012
- D.P.R. n. 62/2013
- Sensibilizzazione di tutti i dipendenti circa la necessità di
applicare il Codice etico, contestualmente trasmesso
- Verifica e segnalazione da parte dei dirigenti circa le
violazioni del Codice etico
Azioni da intraprendere
- Monitoraggio annuale da parte del RPCT delle eventuali
segnalazioni pervenute
- Eventuale aggiornamento del Codice etico dell’Autorità
entro la fine del triennio
Soggetti competenti - Collegio
all’adozione delle
- Responsabile della prevenzione della corruzione
misure
- I dirigenti di tutte le unità organizzative
Tempestivo per le misure di sensibilizzazione, verifica e
segnalazione. Annuale per il monitoraggio delle eventuali
Termine
segnalazioni. Entro la fine del Triennio 2017/2019 per
l’eventuale aggiornamento del Codice etico.
Misura comune a tutti i livelli di rischio individuati dal
Note
presente Piano
SCHEDA MISURA M03 - INFORMATIZZAZIONE DEI PROCESSI CON
MONITORAGGIO DEI TERMINI
L’informatizzazione dei processi rappresenta una misura trasversale di prevenzione e
contrasto particolarmente efficace dal momento che consente, per tutte le attività
dell’amministrazione, la tracciabilità dello sviluppo del processo e riduce quindi il rischio
di “blocchi” non controllabili con emersione delle responsabilità per ciascuna fase.
Inoltre, l’informatizzazione costituisce il principale strumento per consentire un effettivo
e costante monitoraggio sul rispetto dei termini di conclusione dei procedimenti,
prescritto dall’art. 1, comma 9, lett. d), l. n. 190/2012. L’informatizzazione dei processi si
21
PTPC Garante per la protezione dei dati personali 2017-2019
innesta nell’ambito delle misure per l’automazione, esecuzione, controllo e
ottimizzazione di processi interni all’amministrazione, quale mezzo principale per la
transizione dalla gestione analogica del procedimento amministrativo al digitale.
Già a partire dal 2015 il Garante si è impegnato in un’attività di analisi informatica dei
procedimenti amministrativi aventi rilevanza esterna, disciplinati da regolamenti
pubblicati, e dei procedimenti interni, propedeutica all’implementazione di un Sistema
informatizzato per la gestione dei procedimenti amministrativi.
Dopo una fase di sperimentazione di soluzioni informatiche settoriali (il sistema
informatico "@Doc" per la gestione dei flussi documentali riguardanti gli atti collegiali,
ottenuto in riuso dal Ministero degli affari esteri e della cooperazione internazionale,
sistema la cui operatività è sospesa per interventi tecnici) l’Autorità, tenuto conto degli
elementi utili acquisiti, è attualmente impegnata nella acquisizione del nuovo sistema di
protocollazione “Archiflow”, propedeutica alla realizzazione di un futuro e più ampio
Sistema di gestione dei procedimenti, in cui la componente di automazione documentale
sia strumentale alla gestione dei processi nell’ottica del Business Process Management (BPM).
Nel corso del triennio 2017-2019, il Garante proseguirà le attività di perfezionamento
dell’analisi informatica, al fine di poter procedere alla successiva realizzazione graduale
del predetto Sistema BPM per la gestione delle attività amministrative, orientato ai
processi. Si prevede che la piena informatizzazione dei procedimenti amministrativi e
delle altre attività, anche non procedimentalizzate, possa impegnare l’Autorità per un
intervallo temporale che ragionevolmente eccede il mandato dell’attuale Collegio.
Si ritiene, tuttavia, che la strada dell’informatizzazione sia obbligata, perché è la sola
che permette di raggiungere un elevato livello di efficienza, consentendo nel contempo
un più efficace controllo sulle prestazioni dell’ufficio, anche in termini di garanzia di
legittimità e correttezza degli atti e dell’azione amministrativa.
Lo sviluppo di funzionalità avanzate di BPM è comunque un’attività onerosa, che è
impossibile condurre “a costo zero” per l’amministrazione, poichè, oltre alla necessità di
impegnare risorse esterne per l’analisi e lo sviluppo del software (comprese eventuali
personalizzazioni o configurazioni di sistemi già disponibili sul mercato o tra le soluzioni
open source), è indispensabile dedicare risorse interne che seguano e contribuiscano
all’analisi dei sistemi in via di sviluppo, limitando talvolta la capacità lavorativa di alcune
unità organizzative.
Riferimenti normativi - Art. 1, comma 9, let. d), l. n. 190/2012
Prosecuzione delle attività di perfezionamento dell’analisi
Azioni da intraprendere informatica propedeutica alla progettazione e realizzazione di
un Sistema BPM
Soggetti competenti - Dirigente del Dipartimento tecnologie digitali e sicurezza
all’adozione delle
informatica
22
PTPC Garante per la protezione dei dati personali 2017-2019
misure
Termine
Note
2017/2019
Misura comune a tutti i livelli di rischio individuati dal
presente Piano
SCHEDA MISURA M04 – OBBLIGO DI ASTENSIONE IN CASO DI
CONFLITTO DI INTERESSE
In funzione di prevenzione e contrasto della corruzione si impone una particolare
attenzione da parte dei responsabili del procedimento sulle situazioni di conflitto di
interesse, che la legge ha valorizzato con l’inserimento di una nuova disposizione,
l’articolo 1, comma 41, della l. n. 190/2012 che ha introdotto l’articolo 6-bis nella legge n.
241 del 1990, rubricato “Conflitto di interessi”. La disposizione stabilisce che “Il
responsabile del procedimento e i titolari degli uffici competenti ad adottare i pareri, le
valutazioni tecniche, gli atti endoprocedimentali e il provvedimento finale devono
astenersi in caso di conflitto di interessi, segnalando ogni situazione di conflitto, anche
potenziale”.
Nell’ordinamento del Garante la materia dei conflitti di interesse è regolata dall’art. 6
del Codice etico adottato il 4 giugno 1998. Si ricorda, in proposito, che la violazione delle
disposizioni del Codice etico, ivi incluse le regole sui conflitti di interesse, è sanzionabile
disciplinarmente in base al combinato disposto degli articoli 8, comma 1, 9 e 24 del Reg.
n. 2/2000 del Garante (v. supra, Scheda M02).
Il citato art. 6 del Codice etico prevede in particolare che: “Il dipendente si adopera
per prevenire situazioni di conflitto d'interessi con l'Ufficio, ed informa il Segretario
generale degli eventuali interessi, anche di natura economica, che egli, il coniuge, i parenti
entro il quarto grado o i soggetti conviventi abbiano nelle attività o nelle decisioni di
propria competenza.
Il dipendente si astiene in ogni caso dal partecipare ad attività o
decisioni che determinano tale conflitto, e fornisce al Segretario generale ogni ulteriore
informazione richiesta.
Il dipendente si astiene dal partecipare, per un periodo di almeno
due anni, alla trattazione delle questioni di competenza del Garante che possano
coinvolgere interessi di propri precedenti soci in affari ovvero, fuori dei casi in cui è
autorizzato, di precedenti datori di lavoro.
Il dipendente si astiene in ogni altro caso in
cui sussistano gravi ragioni di convenienza o nei quali, anche in ragione di una grave
inimicizia, la propria partecipazione alla trattazione della questione possa ingenerare
sfiducia nell'imparzialità del Garante.
Il dipendente informa tempestivamente il
Segretario generale degli eventuali contatti avviati, ai fini dell'assunzione di incarichi o di
attività esterni all'Ufficio, con soggetti interessati anche solo potenzialmente all'attività
del Garante.
Il presente codice impegna il dipendente che cessi di prestare servizio
presso l'Ufficio a non trovarsi in una situazione di conflitto di interessi con il Garante
23
PTPC Garante per la protezione dei dati personali 2017-2019
per un periodo di almeno due anni”.
Rispetto alla finalità di prevenzione dei conflitti di interesse assumono rilevanza anche
le previsioni di cui all’art. 9 del Codice etico, in materia di svolgimento di “attività
collaterali” da parte dei dipendenti del Garante per cui: “Il dipendente informa il
Segretario generale degli eventuali scritti ed articoli che intenda pubblicare nelle materie
di competenza del Garante. Ferme restando le disposizioni di cui agli articoli 58 e 58-bis
del d.lg. 3 febbraio 1993, n. 29 e all'art. 1, commi 56 e seguenti, della legge 23 dicembre
1996, n. 662, il dipendente non presta altre attività di lavoro subordinato o autonomo
anche di consulenza in materie connesse con quelle di competenza del Garante. Il
dipendente non svolge ulteriori attività esterne che contrastano con i doveri o che
incidono sul corretto svolgimento dei compiti d'ufficio. Il dipendente dichiara al
Segretario generale le situazioni di cui ai commi 2 e 3 del presente articolo anche al fine
delle autorizzazioni e comunicazioni previste dalla legge.”. L’art. 10 del Codice etico
prevede, al riguardo che: “Il Segretario generale informa il collegio delle comunicazioni
ricevute e delle autorizzazioni rilasciate ai sensi del presente codice, e sottopone
preventivamente all'esame del Collegio i casi di cui all'articolo 9, commi 2 e 3.”.
In ottemperanza a quanto previsto dalle disposizioni sopra richiamate il Garante
verifica la sussistenza di ipotesi di conflitto d’interesse tipizzate dal Codice etico. In
particolare, ciascun dirigente per il settore di rispettiva competenza e il Segretario
generale verificano le ipotesi di violazione, adottano le iniziative conseguenti e, ai sensi
dell’art. 1, comma 9, lett. c), e e), l. n. 190/2012, segnalano i casi rilevati al RPTC per
consentire il complessivo monitoraggio sul rispetto del PTPC e il controllo sul rispetto
della disciplina della materia.
- Artt. 8, comma 1, 9 e 24 del Reg. n. 2/2000 del Garante
Riferimenti normativi - Artt. 6, 9 e 10 Codice etico del Garante
- Art. 6-bis l. n. 241/1990
- Verifica delle sussistenza di ipotesi di conflitto d’interesse
tipizzate dal Codice etico
- Segnalazione al Responsabile della prevenzione della
Azioni da intraprendere
corruzione e della trasparenza, da parte del Segretario
generale e dei singoli dirigenti, delle situazioni di conflitto di
interesse laddove rilevate
- Responsabile della prevenzione della corruzione e della
Soggetti competenti
trasparenza
all’adozione delle
- Segretario generale
misure
- Tutti i dirigenti, per l’area di rispettiva competenza
Termine
2017
24
PTPC Garante per la protezione dei dati personali 2017-2019
Note
Misura comune a tutti i livelli di rischio individuati dal
presente Piano
SCHEDA MISURA M05 - MECCANISMI DI CONTROLLO NELLA
FORMAZIONE DELLE DECISIONI DEI PROCEDIMENTI A RISCHIO:
SEPARAZIONE TRA ORGANO ISTRUTTORIO E ORGANO DECISORIO
I processi e le attività poste in essere dall’Autorità sono concepiti, in misura
largamente prevalente, in modo tale da non consentire che vi sia identità tra chi cura
l’istruttoria del procedimento e chi assume la decisione finale.
Per gli atti che sono adottati dal Collegio, detta separazione – in base alle previsioni
dei Regolamenti n. 1/2007 “concernente le procedure interne all'Autorità aventi
rilevanza esterna, finalizzate allo svolgimento dei compiti demandati al Garante per la
protezione dei dati personali” e n. 2/2007 “concernente l'individuazione dei termini e
delle unità organizzative responsabili dei procedimenti amministrativi presso il Garante
per la protezione dei dati personali”, adottati con delibere del 14 dicembre 2007 - è
rinvenibile nel distinguo tra l’Ufficio competente, da un lato, che propone l’adozione di
un determinato atto in coerenza con l’esito dell’istruttoria condotta, e il Collegio,
dall’altro, che adotta l’atto finale; occorre tenere conto che la proposta viene altresì
esaminata dal Segretario Generale, nella sua funzione di collegamento tra la struttura e il
Collegio dell’Autorità. Per i limitati casi in cui gli atti non siano adottati dal Collegio, e al
riguardo si rimanda a quanto previsto dai citati Regolamenti n. 1/2007 e n. 2/2007, bensì
dall’unità organizzativa competente, l’attività dell’unità competente vede normalmente, al
suo interno, il coinvolgimento di più figure: il funzionario che istruisce il procedimento e
il dirigente responsabile dell’Ufficio, fermo restando che in alcuni casi concreti tali ruoli
possono eccezionalmente sovrapporsi tra di loro.
In un contesto di complessiva adeguatezza della disciplina dei processi decisionali
presso il Garante, con specifico riguardo a questi ultimi limitati casi il Garante svolgerà,
nel corso del triennio 2017/2019, un’attività di studio volta a verificare la possibilità di
introdurre nell’ordinamento dell’Autorità ulteriori meccanismi di garanzia del processo
decisionale (es. introduzione, per tutte le ipotesi residuali, di meccanismi di
comunicazione al Segretario generale dell’atto adottato o introduzione di modelli di
“doppia firma decisionale”).
- Regolamento n. 1/2007 del Garante, del 14 dicembre 2007
- Regolamento n. 2/2007 del Garante, del 14 dicembre 2007
Svolgimento di un’attività di studio volta a verificare la
Azioni da intraprendere possibilità di introdurre, nell’ordinamento dell’Autorità,
ulteriori meccanismi di garanzia del processo decisionale
Riferimenti normativi
25
PTPC Garante per la protezione dei dati personali 2017-2019
Soggetti competenti
- Collegio
all’adozione delle
- Segretario generale
misure
Termine
2017/2019
Misura specifica per i livelli di rischio classificati dal presente
Note
Piano come “medio” e “alto”
SCHEDA MISURA M06 - INCONFERIBILITÀ - INCOMPATIBILITÀ DI
INCARICHI DIRIGENZIALI E DI INCARICHI AMMINISTRATIVI DI
VERTICE
Il d.lgs. 8 aprile 2013, n. 39, recante “Disposizioni in materia di inconferibilità e
incompatibilità di incarichi presso le pubbliche amministrazioni e presso gli enti privati in controllo
pubblico, a norma dell’articolo 1, commi 49 e 50, della legge 6 novembre 2012, n. 190” (di seguito:
d.lgs. n. 39/2013) ha introdotto una specifica disciplina in tema di inconferibilità e
incompatibilità di incarichi per le pubbliche amministrazioni, ivi comprese le autorità
amministrative indipendenti.
In particolare, in base a quanto richiesto dall’art. 20 del d.lgs. n. 39/2013, tutti i
Dirigenti dell’Autorità hanno sottoscritto apposita dichiarazione sull’insussistenza delle
cause di incompatibilità e inconferibilità previste dallo stesso decreto. Le dichiarazioni
sono disponibili sul sito web istituzionale dell’Autorità, nella sezione “Autorità –
Amministrazione trasparente – Personale – Dirigenti”.
Per ciascuna dichiarazione di assenza di cause di inconferibilità e di incompatibilità
sono stati acquisiti dal DRUS, in modo sistematico e standardizzato, da ogni singolo
dirigente, ulteriori elementi informativi in ordine alle condanne riportate per reati contro
la pubblica amministrazione e alle sentenze di applicazione della pena riportate ai sensi
dell’art. 444 c.p.p. per i medesimi reati, agli incarichi ricoperti in enti di diritto privato o
finanziati, alle attività professionali svolte e alle cariche di Governo o di componente del
Collegio del Garante eventualmente ricoperte. In questa prima fase, in base alle
informazioni rese, non sono state accertate violazioni e le iniziative intraprese appaiono
utili.
Tali dati sono sono utilizzati ai fini dell’applicazione del d.lgs. n. 39/2013.
Riferimenti normativi D.lgs. n. 39/2013
- Obbligo di autocertificazione per i dirigenti all'atto del
conferimento dell'incarico circa l’insussistenza delle cause di
Azioni da intraprendere
inconferibilità e di incompatibilità previste dal decreto
citato, con dichiarazioni acquisite dal DRUS
26
PTPC Garante per la protezione dei dati personali 2017-2019
- Obbligo di dichiarazione annuale nel corso dell'incarico sulla
insussistenza delle cause di incompatibilità, con
dichiarazioni acquisite dal DRUS
- Acquisizione da parte del DRUS, da ogni singolo dirigente,
in modo sistematico e standardizzato, di schede con cui
sono resi ulteriori elementi informativi e loro valutazione
- Collegio
Soggetti competenti - Segretario generale
all’adozione delle - Dirigente del Dipartimento risorse umane e strumentali
misure
(DRUS)
- I dirigenti di tutte le unità organizzative
Termine
Annuale, ricorrente
Misura comune a tutti i livelli di rischio individuati dal
Note
presente Piano
SCHEDA MISURA M07 - CONFERIMENTO E AUTORIZZAZIONE DI
INCARICHI AI DIPENDENTI
Con atto del Segretario generale del 5 aprile 2016, prot. n. 9639, concernente il regime
degli incarichi conferiti o autorizzati ai sensi dell'art. 53 del d.lgs. n. 165/2001 e s.m.i. e
del Codice etico del Garante, è stato regolato il procedimento di conferimento o di
autorizzazione di incarichi per i dipendenti del Garante, in conformità alla previsione
dell’art. 9, comma 2 del Codice etico. I predetti incarichi sono assumibili solo a seguito di
visto del Segretario generale e sono consentiti solo ove si tratti di incarichi saltuari e
occasionali non compresi nei compiti e doveri d’ufficio, che non configurino un
conflitto di interesse con l’Autorità, entro precisi limiti quantitativi e tenuto altresì conto
del numero e della qualità degli incarichi annualmente svolti, dell’impegno da essi
richiesto nonché della specifica professionalità, nell’interesse del buon andamento
dell’amministrazione. Le richieste di autorizzazione, così come quelle per le quali è
sufficiente una comunicazione, devono essere corredate da documentazione sulla natura
dell’evento e sul progetto promotore; ciò “al fine di consentire la necessaria istruttoria e
di valutare, anche alla luce delle modifiche introdotte dalla legge n. 190/2012, la
sussistenza di eventuali situazioni, anche potenziali, di conflitto di interesse che
potrebbero configurarsi”.
L’elenco degli incarichi conferiti o autorizzati, con l’indicazione della durata e del
compenso spettante per ogni incarico, è predisposto dal DRUS e trasmesso per la
pubblicazione ai sensi dell’art. 18 del d.lgs. n. 33/2013.
27
PTPC Garante per la protezione dei dati personali 2017-2019
- Atto del Segretario generale del 5 aprile 2016, prot. n. 9639
Riferimenti normativi - Art. 9 Codice etico del Garante
- Art. 53 D.lgs. n. 165/2001
Verifica del rispetto del procedimento previsto per il
Azioni da intraprendere
conferimento o l’autorizzazione dell’incarico
- Segretario generale
Soggetti competenti - Tutti i dipendenti
all’adozione delle misure - Dirigente del Dipartimento risorse umane e strumentali
(DRUS)
Termine
Annuale, ricorrente
Misura comune a tutti i livelli di rischio individuati dal
Note
presente Piano
SCHEDA MISURA M08 – FORMAZIONE DI COMMISSIONI E
ASSEGNAZIONI AGLI UFFICI
La sussistenza di condanne penali, anche non passate in giudicato, per delitti contro la
p.a. non rileva solo in caso di conferimento di incarichi dirigenziali ma, altresì, al
momento della formazione di commissioni per l’accesso o la selezione a pubblici
impieghi, così come di commissioni per la scelta del contraente, nonché all’atto
dell’assegnazione, anche con funzioni direttive, ad uffici operanti nelle cd. aree a rischio.
Ciò, fatta salva la successiva pronuncia di assoluzione per lo stesso reato.
Tali principi sono sanciti dall’articolo 35-bis, comma 1, del d.lgs. n. 165/2001,
introdotto dall’art. 1, comma 46, l. n. 190/2012, diretto a prevenire il fenomeno della
corruzione nella formazione di commissioni e nelle assegnazioni agli uffici, ai sensi del
quale: “Coloro che sono stati condannati, anche con sentenza non passata in giudicato,
per i reati previsti nel capo I del titolo II del libro secondo del codice penale:
a) non possono fare parte, anche con compiti di segreteria, di commissioni per l'accesso o la
selezione a pubblici impieghi;
b) non possono essere assegnati, anche con funzioni direttive, agli uffici preposti alla gestione
delle risorse finanziarie, all'acquisizione di beni, servizi e forniture, nonché alla concessione o
all'erogazione di sovvenzioni, contributi, sussidi, ausili finanziari o attribuzioni di
vantaggi economici a soggetti pubblici e privati;
c) non possono fare parte delle commissioni per la scelta del contraente per l'affidamento di
lavori, forniture e servizi, per la concessione o l'erogazione di sovvenzioni, contributi,
sussidi, ausili finanziari, nonché per l'attribuzione di vantaggi economici di qualunque
genere”.
Il comma 2 dello stesso articolo stabilisce che “La disposizione prevista al comma 1
28
PTPC Garante per la protezione dei dati personali 2017-2019
integra le leggi e regolamenti che disciplinano la formazione di commissioni e la nomina
dei relativi segretari”.
Se all’esito della verifica risultano a carico del personale interessato dei precedenti
penali per delitti contro la pubblica amministrazione, l’amministrazione ovvero l’ente
pubblico ovvero l’ente di diritto privato in controllo pubblico si astiene dal conferire
l’incarico o dall’effettuare l’assegnazione.
Ancorché la suddetta disciplina sia prevista da una disposizione del d.lgs. n. 165/2001
(l'art. 35-bis) non espressamente richiamata ai sensi dell'art. 155, comma 1, ultimo
periodo, del Codice (d.lgs. n. 196/2003) e come tale non direttamente applicabile al
Garante, l’Autorità intende adeguare il proprio ordinamento a tali regole.
A tal fine nel corso dell’anno il RPCT procederà a definire le modalità tecniche per
applicare la suddetta misura, ed in particolare il modello di dichiarazione sostitutiva di
certificazione resa dall’interessato nei termini e alle condizioni dell’art. 46 del d.P.R. n.
445 del 2000 e le modalità di verifica delle dichiarazioni, anche attraverso l’acquisizione
in modo sistematico e standardizzato ulteriori elementi informativi, in modo da rendere
possibile l’impletazione della misura da parte del Dipartimento risorse umane e
strumentali al più tardi nell’anno 2018.
La predetta misura sarà adottata:
1) ai fini della nomina, anche con compiti di segreteria, a commissioni per l'accesso
o la selezione a impieghi presso il Garante;
2) ai fini dell’assegnazione, anche con funzioni direttive, a Dipartimenti, Servizi o
Uffici dell’Autorità preposti alla gestione delle risorse finanziarie e
all'acquisizione di beni, servizi e forniture (Dipartimento amministrazione e
contabilità-DAC, Dipartimento risorse umane e strumentali-DRUS,
Dipartimento tecnologie digitali e sicurezza informatica-DTDSI);
3) ai fini della nomina quale componente di commissioni per la scelta del
contraente per l'affidamento di lavori, forniture e servizi (il Garante non
contempla, invece fra i suoi compiti, la concessione o l'erogazione di
sovvenzioni, contributi, sussidi, ausili finanziari, o l'attribuzione di vantaggi
economici di qualunque genere).
Riferimenti normativi Art. 35-bis D.lgs. n. 165/2001
Definizione delle modalità tecniche per applicare la suddetta
Azioni da intraprendere
misura
Soggetti competenti
all’adozione delle
RPCT
misure
Termine
- 2017 Definizione delle modalità tecniche
29
PTPC Garante per la protezione dei dati personali 2017-2019
Note
- 2018 Implementazione della misura
Misura comune a tutti i livelli di rischio individuati dal
presente Piano, limitatamento ai settori di riferimento
SCHEDA MISURA M09 - LA SEGNALAZIONE DI ILLECITI DA PARTE
DEI DIPENDENTI (whistleblowing )
L’art. 1, comma 51, della legge n. 190/2012 ha introdotto l’art. 54-bis del d.lgs. n. 165
del 2001, rubricato “Tutela del dipendente pubblico che segnala illeciti” (c.d.
whistleblower). Tale disposizione prescrive di tutelare l’anonimato del dipendente
segnalante e vieta discriminazioni nei suoi confronti. È, inoltre, previsto che la denuncia
sia sottratta al diritto di accesso, fatta esclusione delle ipotesi eccezionali descritte nel
comma 2 dello stesso art. 54-bis correlate alla necessità di disvelare l’identità del
denunciante.
Il Garante – pur trattandosi di una misura prevista da una disposizione del d.lgs. n.
165/2001 (l'art. 54-bis del d.lgs. n. 165/2001, come introdotto dall'art. 1, comma 51 della
l. n. 190/2012) non richiamata ai sensi dell'art. 155, comma 1, ultimo periodo, del Codice
(d.lgs. n. 196/2003) – intende implementare anche questa misura di prevenzione del
rischio di corruzione.
L’introduzione della misura – che non ha ad oggetto segnalazioni anonime - postula,
tuttavia, l’adozione di procedure e mezzi idonei a garantire la riservatezza del segnalante.
Occorre, pertanto, redigere una procedura (organizzativa, supportata da una procedura
informatica) per la gestione delle segnalazioni che stabilisca le modalità e i mezzi di
inoltro delle stesse da parte dei dipendenti, i ruoli e le responsabilità dei soggetti coinvolti
e le misure da attuare per ottemperare agli obblighi di riservatezza.
Tale misura ha carattere trasversale e si attua in tutti i processi analizzati nell’ambito
della mappatura del rischio, dal momento che intende evitare innanzitutto che i
dipendenti possano non sentirsi liberi di segnalare situazioni anche solo potenzialmente
illecite o dannose per l’Autorità.
L’implementazione della misura è prevista nel triennio 2017-2019: in particolare, nel
2017 il RPCT avvierà lo studio del modello organizzativo adottabile, valutata l’esperienza
di altre amministrazioni e acquisito il parere del Dipartimento tecnologie digitali e
sicurezza informatica; nel 2018 verranno sottoposti al Collegio la scelta in ordine al
predetto modello organizzativo con riguardo alla procedura che descriverà il flusso
informativo, ai canali comunicativi e alla modulistica da utilizzare per le segnalazioni; nel
2019, infine, verrà implementata la procedura, che potrebbe comportare l’attivazione di
una casella di posta elettronica dedicata.
30
PTPC Garante per la protezione dei dati personali 2017-2019
Riferimenti normativi Art. 54-bis, d.lgs. n. 165/2001
Studio del modello organizzativo adottabile, valutata
Azioni da intraprendere l’esperienza di altre amministrazioni e acquisito il parere del
Dipartimento tecnologie digitali e sicurezza informatica
Soggetti competenti
all’adozione delle
RPCT
misure
- 2017 studio del modello
- 2018: sottoposizione al Collegio della scelta in ordine al
predetto modello organizzativo con riguardo alla procedura
Termine
che descriverà il flusso informativo, ai canali comunicativi e
alla modulistica da utilizzare per le segnalazioni;
- 2019: implementazione della procedura
Misura comune a tutti i livelli di rischio individuati dal
Note
presente Piano
SCHEDA MISURA M10 A e B - FORMAZIONE
La formazione del personale costituisce una componente fondamentale del sistema di
prevenzione della corruzione. In tal senso il Garante intende pore in essere un doppio
ordine di interventi, di cui alle misure generali M10A e M10B.
M10A: Tramite l'attività di formazione l'Autorità intende assicurare la corretta e piena
conoscenza dei princìpi, delle regole e delle misure contemplate dal PTPC da parte del
personale a rischio, in funzione del livello di coinvolgimento nei processi esposti al
rischio di corruzione. A tal fine il Garante si avvarrà preferibilmente, come stabilito
dall’art. 1, comma 11, della l. n. 190/2012, dei corsi organizzati dalla Scuola Nazionale
dell’Amministrazione (SNA). La formazione sarà erogata prioritariamente al personale
maggiormente coinvolto nei processi a rischio corruzione. In particolare, nell’arco del
triennio 2017/2019 sarà prevista la frequenza di corsi specifici, con preferenza per quelli
organizzati dalla SNA, da parte di dirigenti e dipendenti dei Dipartimenti, Servizi e Unità
che operano in settori qualificati come ad elevato rischio di corruzione, secondo
modalità e tempistiche che saranno definite dal RPCT avendo riguardo alle risorse
disponibili ed alle complessive esigenze di funzionamento dell’Autorità; il RPCT, in base
ai suddetti criteri, provvederà a selezionare il personale da avviare ai corsi di formazione
(Misura generale M10A).
Queste iniziative, a seguito della nomina del RPCT, sono già state avviate nell’ultimo
trimestre del 2016. In particolare, è stata completata una prima fase di attività di
31
PTPC Garante per la protezione dei dati personali 2017-2019
formazione, che ha interessato il RPCT e le funzionarie della struttura di supporto, con
la frequenza di un "Corso specialistico per responsabili e referenti della prevenzione della
corruzione", della durata di giorni 4, organizzato dalla SNA. Con riguardo al restante
personale operante in settori ad elevato rischio dovrà procedersi progressivamente nel
corso del biennio 2017/2018, in modo da coprire larga parte delle unità di personale
interessate.
M10B: Per quanto riguarda la comunicazione interna, al fine di favorire la diffusione
della conoscenza del PTPC e delle misure in esso contenute, sarà anche inviata una
comunicazione a tutto il personale dell'Autorità, affinché i dipendenti conformino i loro
comportamenti al PTPC; ai medesimi sarà altresì trasmesso il testo integrale del PTPC e
del Codice etico (Misura generale M10B).
Sul piano della comunicazione esterna il PTPC, una volta adottato, sarà pubblicato sul
sito dell’Autorità nella sezione “Amministrazione Trasparente”; della pubblicazione è
data notizia con un comunicato pubblicato in evidenza sulla homepage del sito web
istituzionale dell’Autorità.
Riferimenti normativi - Articolo 1, commi 5 lett. b), 8, 10 lett. c), 11 l. n. 190/2012
- M10A: Formare dirigenti e dipendenti operanti nei settori ad
elevato rischio di corruzione mediante la frequenza di corsi
specifici, anche in collaborazione con S.N.A.
- M10B: Invio di una comunicazione interna, al fine di
Azioni da intraprendere
favorire la diffusione della conoscenza del PTPC e delle
misure in esso contenute, a tutto il personale dell'Autorità,
con trasmissione del testo integrale del PTPC e del Codice
etico
Soggetti competenti
all’adozione delle
- Responsabile della prevenzione della corruzione
misure
Termine
2017/2018
Misura M10A per I livello di rischio elevato;
Note
Misura M10B comune a tutti i livelli di rischio
SCHEDA MISURA M11 - ROTAZIONE DEGLI INCARICHI DIRIGENZIALI
Ancorchè la rotazione dei dirigenti e dei funzionari nei settori particolarmente esposti
alla corruzione sia misura prevista dall’art. 1, comma 5, let. b), l. n. 190/2012 per le
pubbliche amministrazioni centrali, nel cui novero non rientra il Garante, la rotazione
degli incarichi dirigenziali è misura strutturalmente già prevista dall'art. 9, comma 2, Reg.
32
PTPC Garante per la protezione dei dati personali 2017-2019
1/2000 del Garante.
In particolare, la citata disposizione prevede che “Il Garante conferisce gli incarichi di
direzione delle unità organizzative di primo livello di regola a personale compreso nel ruolo organico, per
la durata non superiore al biennio e rinnovabile una sola volta, salvo casi motivati legati alla specifica
professionalità richiesta per alcune unità organizzative”.
La misura trova già attuazione presso il Garante, in quanto, con delibere del Collegio
n. 323 del 26 giugno 2014 e n. 505 del 1° ottobre 2015 sono stati ruotati 13 incarichi su
17 posizioni di titolarità di Dipartimenti, Servizi o Unità previste dall’ordinamento
dell’Autorità. Con riguardo alle quattro posizioni non oggetto di rotazione nel termine
massimo di quattro anni indicato dal Reg. 1/2000 è stata richiamata la cennata previsione
circa la sussistenza di motivi legati alla specifica professionalità richiesta. Va osservato, in
particolare, che per due delle suddette posizioni (titolarità del Dipartimento
amministrazione e contabilità e Dipartimento tecnologie digitali e sicurezza informatica)
non appaiono rinvenibili nel ruolo organico dell’Autorità altri dirigenti, diversi dagli
attuali titolari dei due incarichi dirigenziali, che indichino nel rispettivo curriculum
analoghe effettive esperienze in materia di contabilità pubblica e, rispettivamente, di
informatica. Le restanti due posizioni (titolarità del Servizio relazioni esterne e media e del
Servizio segreteria del Collegio) – anche prescindendo dagli specifici requisiti di
professionalità richiesti - non sono allo stato individuate come ad alto rischio di
corruzione (v. Allegato 1).
Nel triennio di riferimento si provvederà a monitorare che la citata previsione dell'art.
9, comma 2, Reg. 1/2000 del Garante continui a trovare effettiva applicazione.
La rotazione dei funzionari sarà attuata entro il 2018 per il personale che svolge
funzioni e/o mansioni a rischio corruzione avendo cura, tuttavia, di non compromettere
la funzionalità e l’efficienza delle unità organizzative dell’Autorità.
Riferimenti normativi Articolo 1, commi 4, lett. e), 5 lett. b), 10 lett. b) l. n. 190/2012
Monitoraggio sul fatto che la previsione dell'art. 9, comma 2,
Reg. 1/2000 del Garante continui a trovare effettiva
Azioni da intraprendere
applicazione, con eventuale adozione delle misure per la sua
applicazione
Soggetti competenti - Collegio (per i dirigenti)
all’adozione delle
- Segretario generale (per i funzionari)
misure
- Responsabile della prevenzione della corruzione
Prosecuzione del monitoraggio sulla applicazione, per i
Termine
dirigenti
Entro il 2018, per i funzionari
Misura specifica per il livello di rischio classificato dal presente
Note
Piano come “alto”
33
PTPC Garante per la protezione dei dati personali 2017-2019
11. Segue . Misure specifiche
Le misure di prevenzione della corruzione specifiche sono quelle che riguardano,
invece, i singoli processi dell’Autorità.
In particolare, rispetto ai rischi di fenomeni corruttivi propri dei processi di vigilanza e
dei procedimenti sanzionatori, come indicati nella Scheda di sintesi in Allegato 1,
nell’ordinamento del Garante misure specifiche di mitigazione del rischio sono
rappresentate, fra l’altro:
- dalla previsione di modalità procedurali ispirate alla massima trasparenza e al
contraddittorio con il soggetto competente e al principio di separazione tra l’Ufficio che
effettua la verifica e quello che, in caso di avvio del procedimento sanzionatorio, conduce
l’istruttoria del procedimento sanzionatorio stesso (art. 16, commi 2 e 3, Reg. n. 1/2007
del Garante);
- dall’obbligo di esame dei reclami e delle segnalazioni, in conformità alle previsioni
del citato Reg. n. 1/2007.
Con riguardo, poi, ai rischi specificamente inerenti alla gestione del contenzioso,
misure molto incisive di mitigazione del rischio corruttivo sono rappresentate:
dalla previsione dell’art. 17 del Reg. n. 1/2000 del Garante, per cui “Fermo restando
quanto previsto dall'art. 23 della legge 24 novembre 1981, n. 689, la rappresentanza e la difesa in
giudizio del Garante è assunta dall'Avvocatura dello Stato ai sensi dell'art. 43 del regio decreto 30
settembre 1933, n. 1611, e successive modificazioni ed integrazioni, recante il testo unico delle leggi e
delle norme giuridiche sulla rappresentanza e difesa in giudizio dello Stato e sull'ordinamento
dell'Avvocatura dello Stato”;
dalla regola di cui all’art. 28, comma 2, del Reg. n. 3/2000 del Garante
“concernente la gestione amministrativa e la contabilità”, secondo la quale “Per la
definizione dei contratti di transazione è richiesto il parere preventivo dell'Avvocatura dello Stato”.
Passando a considerare i rischi che specificamente connotano la gestione del
personale, come identificati nell’Allegato 1, misure specifiche di contrasto del rischio
corruttivo sono rappresentate:
- nelle procedure concorsuali, dalla previsione di cui all’art. 5, comma 5, Reg. n.
2/2000 del Garante, che impone particolari requisiti di competenza e indipendenza in
capo ai componenti delle commissioni di esame, nonché, in termini strutturali, dalla
disciplina introdotta dall’art. 22, comma 4, del d.l. 24 giugno 2014, n. 90, convertito in
legge 11 agosto 2014, n. 114, per cui “Le procedure concorsuali per il reclutamento di personale
degli organismi di cui al comma 1 sono gestite unitariamente, previa stipula di apposite convenzioni tra
gli stessi organismi, che assicurino la trasparenza e l’imparzialità delle procedure e la specificità delle
professionalità di ciascun organismo. Sono nulle le procedure concorsuali avviate dopo l’entrata in vigore
del presente decreto e prima della stipula delle convenzioni o poste in essere, successivamente alla predetta
34
PTPC Garante per la protezione dei dati personali 2017-2019
stipula, in violazione degli obblighi di cui al presente comma e le successive eventuali assunzioni. […]”;
- in sede di valutazione del personale, dalle disposizioni regolamentari che impongono
di effettuare la valutazione sulla base di criteri normativamente predeterminati, definiti
dal Reg. n. 2/2000.
In funzione di contrasto dei rischi peculiari dell’attività di gestione contabile e
aministrativa rilevante strumento specifico di riduzione del rischio è rappresentato
dall’istituzione, nell’ordinamento dell’Autorità, ai sensi dell’art. 30, Reg. n. 3/2000, del
Servizio di controllo interno, cui è affidato “il controllo di regolarità amministrativo-contabile”.
Ai sensi del comma 2 dello stesso articolo “L'organo di controllo, composto da tre componenti
effettivi, di cui uno con funzioni di Presidente, è nominato con deliberazione del Garante e resta in carica
per un quadriennio decorrente dalla data di insediamento. Ai sensi dell'art. 16, comma 1, della legge 31
dicembre 2009, n. 196 è assicurata la presenza di un rappresentante del Ministero dell'economia e delle
finanze”.
Per prevenire i rischi di corruzione propri delle procedure di affidamento di servizi,
lavori e furniture sono state attivate le seguenti misure specifiche:
- adesione alle Convenzioni Consip S.p.A.;
- possibilità di utilizzo del Mercato Elettronico della Pubblica Amministrazione
(MEPA) essendo “sempre consentito il ricorso al Mercato Elettronico della Pubblica
Amministrazione, per acquisti di importo non superiore alla soglia comunitaria […]” (art. 26,
comma 1, Reg. n. 3/2000 del Garante).
Va, inoltre, valutato lo specifico impatto, anche in termini di prevenzione di fenomeni
corruttivi, delle previsioni di cui ai commi 7 e 9 del citato art. 22, d.l. n. 90/2014, che
definiscono le modalità di gestione dei servizi strumentali da parte delle autorità
amministrative indipendenti limitando la possibilità di comportamenti non rispondenti
all’interesse pubblico.
35
PTPC Garante per la protezione dei dati personali 2017-2019
Parte III
12. Trasparenza
In questo parte del PTPC vengono individuate le iniziative finalizzate a garantire un
adeguato livello di trasparenza ai sensi di quanto previsto dal d.lgs. n. 33/2013, come
modificato dal d.lgs. n. 97/2016 e nel rispetto della complessiva disciplina in materia di
obblighi di pubblicazione. L’applicazione dei princìpi in materia di trasparenza
costituisce, infatti, una delle misure generali volte a prevenire la corruzione e, più in
generale, qualsiasi situazione che possa provocare un malfunzionamento dell’attività
svolta dall’Autorità. A questi fini si rinvia alla descrizione delle funzioni e dell’assetto
organizzativo dell’Autorità riportata nella Parte I.
Occorre preliminarmente ricordare che, con la modifica dell’art. 11 del d.lgs. n.
33/2013, introdotta dal d.l. 24 giugno 2014, n. 90, convertito in legge, con modificazioni,
dall’art. 1, comma 1, della legge 11 agosto 2014, n. 114, e la successive introduzione
dell’articolo 2-bis dello stesso d.lgs. n. 33/2013, disposta dal d.lgs. n. 97/2016 è stato
ampliato l’ambito soggettivo di applicazione diretta del d.lgs. n. 33/2013, prevedendosi
ora, al comma 1 del citato art. 2-bis, che “Ai fini del presente decreto, per ‘pubbliche
amministrazioni’ si intendono tutte le amministrazioni di cui all’articolo 1, comma 2, del decreto
legislativo 30 marzo 2001, n. 165, e successive modificazioni, ivi comprese [...] le autorità
amministrative indipendenti di garanzia, vigilanza e regolazione”.
Con gli interventi normativi da ultimo segnalati è stato modificato in modo
significativo il contenuto degli obblighi di trasparenza a carico delle autorità
amministrative indipendenti, prevedendosi – come si è detto - l’applicazione diretta alle
stesse del d.lgs. n. 33/2013 e superando il modello indicato dal testo originario dello
stesso decreto che, all’ormai abrogato art. 11, comma 3, stabiliva che “Le autorità
indipendenti di garanzia, vigilanza e regolazione provvedono all'attuazione di quanto previsto dalla
normativa vigente in materia di trasparenza secondo le disposizioni dei rispettivi ordinamenti.”.
L’Autorità si era adeguata alle previgenti prescrizioni normative, mediante l’adozione
del “Regolamento sugli obblighi di pubblicità e trasparenza relativi all'organizzazione e
all'attività del Garante per la protezione dei dati personali (Articoli 154 e 156, comma 3,
decreto legislativo 30 giugno 2003, n. 196)” - 1 agosto 2013”, nonché mediante la
nomina del Responsabile della trasparenza e la costituzione della sezione “Autorità
Trasparente” all’interno del proprio sito istituzionale. A seguito di tali sopravvenienze,
dal 19 agosto 2014 le disposizioni del predetto Regolamento n. 1/2013, devono ritenersi,
ad eccezione dell'art. 24, tacitamente abrogate alla luce dell'art. 11 così come modificato
dall'art. 24-bis del citato d.l. n. 90/2014 come convertito in legge.
L’Autorità aveva, inoltre, adottato, con la deliberazione n. 581 del 18 dicembre 2013, il
Programma Triennale per la Trasparenza e l’Integrità 2014/2016 ed aveva, altresì,
36
PTPC Garante per la protezione dei dati personali 2017-2019
adottato, con delibera n. 659 del 17 dicembre 2015 l’Aggiornamento 2015 del predetto
P.T.T.I.
Le modiche apportate al d.lgs. n. 33/2013 dal d.lgs. n. 97/2016 comportano che
l’Autorità non adotti più un autonomo Programma triennale in materia di trasparenza,
ma definisca i propri interventi in tale materia direttamente nell’ambito del Piano
triennale per la prevenzione della corruzione (cfr. art. 10, comma 1, d.lgs. n. 33/2013).
Inoltre, il dl.lgs. n. 33/2013 ha introdotto una nuova disciplina dell’accesso civico
(artt. 5 e 5-bis) e numerosi nuovi obblighi di pubblicazione, ad esempio con riguardo: ad
ulteriori informazioni relative ai titolari di incarichi dirigenziali e di vertice
amministrativo, allineandoli all’organo di indirizzo politico (art. 14); alla gestione
finanziaria (artt. 4-bis e 31) e all’implementazione di future banche dati in vigore dal
prossimo 23 giugno (art. 9-bis). Va, in particolare, evidenziato che è stata prevista la
creazione di diverse banche dati (All. B, d.lgs. n. 97/2016) ed i soggetti destinatari del
d.lgs. n. 33/2013 “adempiono agli obblighi di pubblicazione previsti dal presente decreto, indicati
nell'Allegato B, mediante la comunicazione dei dati, delle informazioni o dei documenti dagli stessi
detenuti all'amministrazione titolare della corrispondente banca dati e con la pubblicazione sul proprio
sito istituzionale, nella sezione "Amministrazione trasparente", del collegamento ipertestuale,
rispettivamente, alla banca dati contenente i relativi dati, informazioni o documenti, ferma restando la
possibilità per le amministrazioni di continuare a pubblicare sul proprio sito i predetti dati purché
identici a quelli comunicati alla banca dati”. Le previsioni relative alle suddette banche dati
acquistano efficacia decorso un anno dalla data di entrata in vigore del d.lg. n. 97/2016
(art. 42).
In considerazione delle rilevanti novità introdotte dal citato d.lgs. n. 97/2016, con
delibera del 28 dicembre 2016, n. 1310 l’Anac ha, inoltre, recentemente adottato, a
seguito di consultazione pubblica, le «Prime linee guida recanti indicazioni sull’attuazione
degli obblighi di pubblicità, trasparenza e diffusione di informazioni contenute nel d.lgs.
33/2013 come modificato dal d.lgs. 97/2016», recanti in Allegato 1) un nuovo elenco
degli obblighi di pubblicazione nella Sezione “Amministrazione trasparente”, che
sostituisce la mappa ricognitiva degli obblighi di pubblicazione previsti per le pubbliche
amministrazioni dal d.lgs. 33/2013, contenuta nell’Allegato 1) della delibera n. 50/2013.
Con le predette Prime linee guida si precisa, altresì, che “La tabella recepisce le
modifiche introdotte dal d.lgs. 97/2016 relativamente ai dati da pubblicare e introduce le
conseguenti modifiche alla struttura della sezione dei siti web denominata
«Amministrazione trasparente»”.
Premesso che il Garante aveva conformato la struttura della sezione alla previgente
disciplina della materia, si rende necessaria ora una azione complessiva di adeguamento
della struttura del sito alle novità intervenute. Sono, inoltre, integralmente abrogati il
citato Programma Triennale per la Trasparenza e l’Integrità (di seguito: P.T.T.I.), il
relativo Aggiornamento e i relativi Allegati, sostituiti dal presente Piano e dai relativi
37
PTPC Garante per la protezione dei dati personali 2017-2019
Allegati.
La verifica sugli interventi da effettuare a seguito del d.lgs. n. 97/2016 è stata posta in
essere partendo da un accurato confronto dei dati presenti nella sezione “Autorità
trasparente” con quelli previsti dal d.lgs. n. 97/2016, modificativo del d.lgs. n. 33/2013, e
rappresentati nell’allegato n. 1 allo Schema di linee guida Anac del 25 novembre 2016 e
del successivo Allegato 1 al testo definitivo approvato con la cennata delibera Anac n.
1310 del 28 dicembre 2016.
In tale fase si è proceduto ad uno studio sia della nuova disciplina introdotta dal d.lgs.
n. 97/2016 che della regolamentazione ad essa collegata.
In particolare, oltre alla predetta delibera Anac n. 1310/2016 sono state esaminate:
- lo schema di Linee guida Anac recanti indicazioni sull’attuazione dell’art. 14 del
d.lgs. 33/2013 «Obblighi di pubblicazione concernenti i titolari di incarichi politici, di
amministrazione, di direzione o di governo e i titolari di incarichi dirigenziali come modificato
dall’art. 13 del d.lgs. 97/2016», messo in consultazione online il 20 dicembre 2016;
- la determinazione Anac n. 1309 del 28 dicembre 2016 “Linee guida recanti
indicazioni operative ai fini della definizione delle esclusioni e dei limiti
all’accesso civico di cui all’art. 5, comma 2, del d.lgs. n. 33/2013”.
Dalla ricognizione effettuate si è evidenziata la necessità di modifica della struttura del
layout “Autorità trasparente” che ricomprende nuove sezioni sia di primo che di secondo
livello come da Allegato 2.
A seguito di tali verifiche, con nota del Segretario generale del 16 dicembre 2016, prot.
n. 38050/113240 è stato inviato ai dirigenti di tutte le unità organizzative lo Schema di
linee guida Anac messo in consultazione il 25 novembre 2016 e il testo provvisorio
dell’Allegato 1, al fine di informarli in tempo utile e sensibilizzarli ai nuovi obblighi
previsti dal d.lgs. n. 97/2016. A seguito dell’adozione del testo definitivo delle Linee
guida, avvenuta con la citata delibera Anac n. 1310/2016, sarà trasmesso a tutti i
dipendenti il testo finale delle Linee guida e del relativo Allegato 1, nonché il presente
PTPC (che recepisce già, nella sezione in Allegato 2, i testi definitive approvati
dall’Anac).
Quanto al processo di attuazione degli adempimenti in materia di trasparenza, un
ruolo centrale è svolto dal Responsabile della trasparenza. L’incarico di responsabile della
trasparenza era stato conferito inizialmente al dott. Baldo Meo, nominato con delibera n.
580 del 18 dicembre 2013, e successivamente al dott. Roberto Lattanzi, nominato con
delibera n. 29 del 22 gennaio 2015. A seguito della nomina, per la prima volta, del
Responsabile della prevenzione della corruzione presso il Garante, i due incarichi sono
stati unitariamente conferiti alla dott.ssa Valentina Gagliardi – quale Responsabile della
prevenzione della corruzione e della trasparenza - con delibera n. 414 del 12 ottobre
2016, avente decorrenza dal 21 ottobre 2016.
Il RPCT, ai sensi dell’art. 43, comma 1, d.lgs. n. 33/2013 e successive modificazioni,
38
PTPC Garante per la protezione dei dati personali 2017-2019
svolge stabilmente un'attività di controllo sull'adempimento degli obblighi di
pubblicazione previsti dalla normativa vigente, assicurando la completezza, la chiarezza e
l'aggiornamento delle informazioni pubblicate, nonché segnalando al Collegio,
all’Organismo indipendente di valutazione (alla data non istituito presso l’Autorità) e
all’Anac e, nei casi più gravi, alla struttura competente in materia di provvedimenti
disciplinari i casi di mancato o ritardato adempimento dei suddetti obblighi. Con la citata
delibera n. 29/2015, richiamata nella delibera n. 414/2016, è stato, in tal senso, affidato
al RPCT il compito di: 1) attuare per quanto di sua competenza, ovvero proporre ai
competenti organi e uffici del Garante le soluzioni più idonee al fine di assicurare la
migliore attuazione del d.lgs. n. 33/2013, tenendo costantemente informato il Collegio;
2) svolgere ogni altro compito previsto dall'art. 43 del medesimo d.lgs. n. 33/2013.
Al fine di agevolare il monitoraggio periodico da parte del RPCT la Redazione web
comunica tempestivamente al Responsabile l’avvenuto inserimento di dati, informazioni
e documenti nella Sezione “Autorità trasparente”.
I dirigenti responsabili degli Uffici, ai sensi dell’art. 43, comma 3, d.lgs. n. 33/2013,
garantiscono l’acquisizione e il tempestivo e regolare flusso delle informazioni da
pubblicare ai fini del rispetto dei termini stabiliti dalla legge. La competenza, attribuita al
dirigente pro tempore dellUfficio indicato, comprende anche le attività previste dagli artt. 6,
7, 7-bis, 8 e 9-bis, d. lgs. n. 33/2013.
In Allegato 2 viene aggiornata la sezione di cui all’art. 10, comma 1, del d.lgs. n.
33/2013 tenendo conto delle citate «Prime linee guida recanti indicazioni sull’attuazione
degli obblighi di pubblicità, trasparenza e diffusione di informazioni contenute nel d.lgs.
33/2013 come modificato dal d.lgs. 97/2016».
Sono, inoltre, da osservarsi le “Linee guida in materia di trattamento di dati personali,
contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul
web da soggetti pubblici e da altri enti obbligati” adottate dal Garante per la protezione dei dati
personali con delibera n. 243 del 15 maggio 2014, pubblicate sulla Gazzetta Ufficiale n.
134 del 12 giugno 2014.
La pubblicazione dei dati, delle informazioni e dei documenti previsti dal PTPC nella
sezione “Autorità trasparente” del sito istituzionale del Garante è a cura del Servizio
Relazione esterne e media.
13. Segue . Obblighi di trasparenza ulteriori rispetto a quelli previsti da
disposizioni di legge.
In adempimento della previsione di cui all’art. 1, comma 9, lett. f), l. n. 190/2012 con
il presente PTPC il Garante individua “obblighi di trasparenza ulteriori rispetto a quelli previsti
da disposizioni di legge”.
In particolare, tenuto conto del particolare interesse che rivestono tali atti nell’ambito
dei lavori parlamentari e dell’attenzione che l’opinione pubblica presta al loro contenuto
39
PTPC Garante per la protezione dei dati personali 2017-2019
si dispone la pubblicazione obbligatoria nella Sezione “Autorità trasparente”, anche
mediante collegamento ipertestuale ad altra sezione del sito in cui siano presenti i relativi
dati (art. 9, comma 1, d.lgs. n. 33/2013) del testo delle audizioni effettuate dal Presidente
del Garante presso la Camera dei deputati e il Senato della Repubblica, nel rispetto dei
limiti indicate dall’art. 5-bis, d.lgs. n. 33/2013 e procedendo alla indicazione in forma
anonima dei dati personali eventualmente presenti (art. 7-bis, d.lgs. n. 33/2013).
14. Accesso civico.
Il RPCT e i dirigenti controllano e assicurano la regolare attuazione dell’accesso civico
sulla base di quanto stabilito dal d.lgs. n. 33/2013.
A tale riguardo il decreto legislativo n. 33/2013, come modificato dal d.lgs. n.
97/2016, disciplina, al Capo I-bis, il diritto di accesso civico a dati e documenti.
In particolare, tale normativa riconosce in termini generali, all'articolo 5, comma 2,
che “allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni
istituzionali e sull'utilizzo delle risorse pubbliche e di promuovere la partecipazione al
dibattito pubblico, chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle
pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del
presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente
rilevanti secondo quanto previsto dall'articolo 5-bis.”.
Le istanze di accesso presentate ai sensi dell’art. 5, comma 2, vanno inoltrate, a scelta
dell'istante, per via telematica, sottoscritte e presentate unitamente alla copia del
documento d'identità:
a) o al singolo Ufficio del Garante che detiene gli specifici dati, informazioni o
documenti oggetto di accesso, al relativo indirizzo di posta elettronica indicato
nella
seguente
area
della
Sezione
“Autorità
trasparente”:
http://www.garanteprivacy.it/home/autorita/ufficio;
b) o all'Ufficio relazioni con il pubblico del Garante, all'indirizzo di posta
elettronica [email protected].
Il decreto legislativo n. 33/2013 e successive modificazioni prevede, inoltre,
all'articolo 5, comma 1, che “L'obbligo previsto dalla normativa vigente in capo alle
pubbliche amministrazioni di pubblicare documenti, informazioni o dati comporta il
diritto di chiunque di richiedere i medesimi, nei casi in cui sia stata omessa la loro
pubblicazione.”.
Le istanze di accesso presentate ai sensi dell'articolo 5, comma 1, ossia aventi ad
oggetto specificamente documenti, informazioni o dati oggetto di obbligo di
pubblicazione e per i quali sia stata omessa la pubblicazione, devono essere presentate,
per via telematica, sottoscritte e presentate unitamente alla copia del documento
40
PTPC Garante per la protezione dei dati personali 2017-2019
d'identità, al Responsabile della prevenzione della corruzione e della trasparenza del
Garante, dott.ssa Valentina Gagliardi, al seguente indirizzo di posta elettronica:
[email protected].
Al suddetto Responsabile, all'indicato indirizzo di posta elettronica, devono, inoltre,
essere inoltrate, per via telematica, le richieste di riesame avverso il diniego totale o
parziale dell'accesso civico, o di mancata risposta entro il termine indicato, di istanze di
accesso presentate ai sensi dell'articolo 5, comma 2.
Nel corso del 2017 dovrà provvedesi all’aggiornamento dei moduli per l’esercizio del
diritto di accesso civico, tenendosi conto delle novità introdotte dal d.lgs. n.97/2016 e
determinazione Anac n. 1309 del 28 dicembre 2016 “Linee guida recanti indicazioni
operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui
all’art. 5, comma 2, del d.lgs. n. 33/2013”.
15. Monitoraggio sull’attuazione del PTPC
Il monitoraggio è condotto dal RPCT. Rientrano tra le attività di monitoraggio, a
titolo esemplificativo:
1. la verifica dell'attuazione delle misure definite nel PTPC e del rispetto della
tempistica prevista;
2. l'esame delle segnalazioni di gravi irregolarità pervenute dai dirigenti e dal
Segretario generale, o comunque altrimenti acquisite;
3. la verifica dell’adeguatezza delle misure previste dal PTPC sulla base di eventuali
segnalazioni pervenute al RPCT o degli esiti dell’attività di monitoraggio. Il
RPCT riferisce al Collegio dell’Autorità, con la Relazione di cui all’art. 1, comma
14, l. n. 190/2012 sull’esito dell’attività di monitoraggio svolta nel corso
dell’anno e delle iniziative adottate e ogni qualvolta sia necessaria una
tempestività nell’informazione non compatibile con le suddette scadenze.
La Relazione annuale predisposta dal RPCT entro il 15 dicembre di ogni anno,
secondo quanto previsto dalla Legge, è presentata al Collegio e pubblicata sul sito
istituzionale.
41
