Anticorruzione trasparenza - privacy - Per gli Ordini Professionali

Gli adempimenti dei COA su anticorruzione,

trasparenza e trattamento dei dati personali.

Avv. Giovanni Battista Gallus - Avv. Francesco Paolo Micozzi

V CONGRESSO GIURIDICO DISTRETTUALE V REGIONALER ANWALTSKONGRESS

Merano - Kurhaus – Meran9-11 giugno / Juni 2016

PRIVACY



Fonti:

D.Lgs. 30/6/2003, n. 196 (Codice in materia di protezione dei dati personali)

——

REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO - del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

(Regolamento generale sulla protezione dei dati - GDPR)

La protezione dei dati personali

3



Parte I (disposizioni generali)

Principi fondamentali, adempimenti e regole di carattere generale

Regole ulteriori per i soggetti pubblici

Regole ulteriori per i privati e gli enti pubblici economici

Parte II – Disposizioni relative a settori specifici

Parte III (tutela dei diritti e sanzioni)

Tutela amministrativa e giurisdizionale

Ufficio del Garante

Sanzioni amministrative e penali

Norme transitorie

Il Codice della Privacy - Tripartizione Generale

4


Allegato A

CODICI DI DEONTOLOGIA

Allegato B

DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA

Allegato C

TRATTAMENTI NON OCCASIONALI EFFETTUATI IN AMBITO GIUDIZIARIO O PER FINI DI POLIZIA

Gli allegati al Codice Privacy

5


Art. 1 - Codice Privacy

Chiunque ha diritto alla protezione dei dati personali che lo riguardano

“DATO PERSONALE", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale

Il dato personale

6


“DATO ANONIMO”, il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile

Dati personali ≠ Dati anonimi

7


c) "dati identificativi", i dati personali che permettono l'identificazione diretta dell'interessato;

Dati identificativi

8


d) "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;

Dati sensibili

9


e) "dati giudiziari", i dati in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato …

Dati giudiziari

10


“TRATTAMENTO” qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati

Il Trattamento dei dati personali

11


I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità.

Art. 3 - Principio di necessità

12


Art. 11. Modalità del trattamento e requisiti dei dati

1. I dati personali oggetto di trattamento sono:

a) trattati in modo lecito e secondo correttezza;

b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;

c) esatti e, se necessario, aggiornati;

d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;

e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.

Modalità del trattamento

13


Rivelazioni biometriche per verificare la presenza a corsi di formazione (23 gennaio 2008)…“Alcuni praticanti avvocati… hanno presentato a questa Autorità una segnalazione in merito alla predisposizione, da parte del Consiglio, di un sistema di rilevazione di dati personali biometrici mediante il prelievo dell'impronta digitale, con finalità di verifica della presenza dei praticanti avvocati alle lezioni tenute presso la Scuola di formazione forense…”

Necessità e proporzionalità…

14


“…Il sistema deve essere, pertanto, valutato sul piano della conformità ai princìpi di liceità, necessità, proporzionalità, finalità e correttezza”

Il trattamento di dati personali da parte di un ordine professionale, quale il predetto Consiglio, ricade nell'ambito delle previsioni di legge relative al trattamento effettuato da soggetti pubblici, i quali possono trattare dati personali “soltanto per lo svolgimento delle funzioni istituzionali”…


15


“Può pertanto ritenersi che tra i compiti del Consiglio dell'Ordine rientri anche quello di sovraintendere al regolare espletamento dei corsi di formazione dei praticanti iscritti […] Pur riguardando una funzione istituzionale, il trattamento in esame non risulta però conforme ai princìpi di necessità e di proporzionalità…”


16


“Può pertanto ritenersi che tra i compiti del Consiglio dell'Ordine rientri anche quello di sovraintendere al regolare espletamento dei corsi di formazione dei praticanti iscritti […] Pur riguardando una funzione istituzionale, il trattamento in esame non risulta però conforme ai princìpi di necessità e di proporzionalità…”Non può invece ritenersi lecito l'uso dei dati biometrici per generiche esigenze di sicurezza e di mero ausilio al rispetto delle regole scolastiche e deontologiche, specie laddove esso riguardi la raccolta di dati particolari, come le impronte digitali, per i quali occorre peraltro individuare specifici accorgimenti volti a prevenire eventuali utilizzi impropri e possibili abusi


17


TUTTO CIÒ PREMESSO, IL GARANTE a) vieta, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), al Consiglio dell'Ordine degli Avvocati di XXX, in qualità di titolare del trattamento, il trattamento in qualunque forma, di dati personali biometrici dei praticanti avvocati.


18


f) “titolare”, la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;

g) “responsabile”, la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;

h) “incaricati”, le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;

i) “interessato”, la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali

I soggetti

19


Art. 28. Quando il trattamento è effettuato da una persona giuridica, da una PA o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento è l'entità nel suo complesso o l'unità o organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza.

Il Titolare…

20


Spetta al titolare

Nominare per iscritto il/i responsabile/i affidandogli in modo analitico e dettagliato i compiti da svolgere nell'ambito del trattamento dei dati

Art. 29 comma quarto. Il titolare impartisce per iscritto le istruzioni al responsabile

Vigilare sul corretto espletamento dei compiti da parte del/dei responsabile/i

Art. 37. Il titolare notifica al Garante il trattamento di dati personali cui intenda procedere qualora riguardino dati indicati dallo stesso articolo.

Eseguire le comunicazioni di cui all'art. 39 al Garante.

Compiti del titolare

21


Anche la designazione degli incaricati è fatta per forma scritta ed individua in modo puntuale i compiti loro spettanti.

I compiti possono essere circoscritti anche sulla base delle attività spettanti all'unità organizzativa cui sono preposti

Incaricati al trattamento

22


• Cardine della disciplina (e condizione per la prestazione del consenso)

• Deve precedere il trattamento

• Può essere data sia oralmente che per iscritto

Informativa (art. 13)

23


L'informativa deve contenere indicazioni circa:

le finalità e le modalità del trattamento;

la natura obbligatoria o facoltativa del conferimento dei dati;

le conseguenze di un eventuale rifiuto di rispondere;

i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;

i diritti dell'interessato;

L'identificazione del titolare e del responsabile

Contenuto dell’informativa

24


(Segue)

Se sono designati più responsabili:

è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili.

Quando è stato designato un responsabile per il riscontro all'interessato, deve essere indicato tale responsabile.

L'informativa può non comprendere gli elementi già noti alla persona che fornisce i dati

Contenuto dell’informativa

25


Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato.

Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso.

Il Consenso

26


Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 13.

Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili.

Il Consenso

27


1. Le disposizioni del presente capo riguardano tutti i soggetti pubblici, esclusi gli enti pubblici economici.2. Qualunque trattamento di dati personali da parte di soggetti pubblici è consentito soltanto per lo svolgimento delle funzioni istituzionali. 3. Nel trattare i dati il soggetto pubblico osserva i presupposti e i limiti stabiliti dal presente codice, anche in relazione alla diversa natura dei dati, nonché dalla legge e dai regolamenti. 4. Salvo quanto previsto nella Parte II per gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, i soggetti pubblici non devono richiedere il consenso dell'interessato.5. Si osservano le disposizioni di cui all'articolo 25 in tema di comunicazione e diffusione.

Art. 18 - i trattamenti da soggetti pubblici…

28


Le “misure minime” sono una creazione del Legislatore italiano

Occorre evitare qualunque confusione tra le due tipologie

Le misure minime sono indicate analiticamente nell'Allegato B

Le misure idonee sono quelle individuate dall'art. 31

l'inosservanza delle misure minime è penalmente sanzionata, mentre la mancata adozione delle misure idonee potrebbe far sorgere una responsabilità civile

Misure di sicurezza (minime/idonee)

29


(C) ConfidentialityL'accesso ai dati è riservato a chi ne ha diritto

(I) IntegrityI dati non devono essere danneggiati, manipolati, perduti

(A) AvailabilityI dati devono essere sempre disponibili continuità dei sistemi continuità della connettività

Punti fermi sulla sicurezza

30


Soft-ware

Hard-ware

Wet-ware

Punti fermi sulla sicurezza

31


I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

Obblighi di sicurezza - Art. 31(misure idonee)

32


Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; [ g) tenuta di un aggiornato documento programmatico sulla sicurezza; ] h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Obblighi di sicurezza - Art. 34 (misure minime)

33


Un essere umano può autenticarsi ad un sistema informatico in tre modi:

in base a quello che è: (DNA, impronte digitali, impronta vocale, schema retinico, stile della grafia…)

in base a quello che ha: (tesserino identificativo, badge, chiave hardware…) in base a quello che sa: (password, PIN…)

Non tutte le password vanno bene…

1) Autenticazione

34


Il titolare o il responsabile possono individuare, tra gli incaricati al trattamento diversi gradi di trattamento consentito. In questo caso deve essere apprestato un sistema di autorizzazione.

L'autorizzazione consente di differenziare i privilegi di accesso allo stesso sistema informatico da parte di più soggetti.

Il profilo di autorizzazione può essere creato anche per classi omogenee di soggetti prima dell'inizio del trattamento

2) Autorizzazione

35


L'all. B prevede, all'art. 16, che i dati siano protetti contro i rischi di intrusione, che verranno più dettagliatamente analizzati nel prosieguo di questa esposizione.

I dati devono, inoltre, essere protetti contro i programmi di cui al 615-quinquies c.p., ossia quelli potenzialmente idonei a danneggiare i sistemi informatici. Questi strumenti, come gli antivirus, devono essere aggiornati almeno ogni sei mesi

3) Virus & co…

36


Tutti i programmi e l'intero Sistema Operativo vanno aggiornati periodicamente (a cadenza almeno annuale) al fine di eliminare le vulnerabilità sfruttabili nei modi che vedremo e di correggerne i difetti

4) Aggiornamenti

37


Almeno una volta alla settimana deve essere eseguito il backup dei dati.

5) Backup

38


Le misure ulteriori sono previste in tutti i casi in cui si trattino dati sensibili o giudiziari.

Tali misure minime consistono in strumenti che elimino o limitino al massimo il pericolo di accesso abusivo a sistema informatico o telematico di cui all'art. 615-ter c.p.

6) Intrusioni…

39


CIFRATURA

DISPOSITIVI RIMOVIBILI E BYOD

WIPING

RESTORING

CAUTELE PER OUTSOURCING

7) Ulteriori misure…

40


Sono previste misure minime anche per le ipotesi in cui i trattamenti avvengano senza l’ausilio di strumenti informatici!

8) Non dimentichiamo la carta!

41


REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016

relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

entrato in vigore il 24 maggio 2016, si applica a decorrere dal 25 maggio 2018.

Prepariamoci al cambiamento

42


• 2 figure: il data controller (“titolare”) e il data processor (“responsabile”)

• Scompaiono gli incaricati

• Necessità di regolamentare puntualmente i rapporti tra data controller e data processor

Le novità

43


• Privacy by design e privacy by default

• Centralità dei meccanismi di certificazione e dei Codici di condotta

• Notificazione all'autorità di controllo (e anche all'interessato) delle violazioni dei dati personali (data breach)

Le novità

44


• Designazione del responsabile della protezione dei dati (data protection officer)

• Figura obbligatoria quando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (public authority or body)

Le novità

45


• Sanzioni amministrative pecuniarie pesantissime (fino a € 20.000.000,00, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore)

Le novità

46

ANTICORRUZIONE



La legge n. 190 del 2012, ad avviso dell’Autorità, fa riferimento, invece, ad un concetto più ampio di corruzione, in cui rilevano non solo l’intera gamma dei reati contro la p.a. disciplinati dal Titolo II del Libro II del codice penale, ma anche le situazioni di “cattiva amministrazione”, nelle quali vanno compresi tutti i casi di deviazione significativa, dei comportamenti e delle decisioni, dalla cura imparziale dell’interesse pubblico, cioè le situazioni nelle quali interessi privati condizionino impropriamente l’azione delle amministrazioni o degli enti, sia che tale condizionamento abbia avuto successo, sia nel caso in cui rimanga a livello di tentativo

Delibera n. 8/2015 ANAC

Un concetto di corruzione più ampio

48


L. 190/12

49

NAZIONALE > PNA

DECENTRATO > PTPC

Direttrici d’azione


L. 190/12

50


Prevenzione a livello decentrato

51


• individua il responsabile della prevenzione della corruzione.

• su proposta del RPC, entro il 31 gennaio di ogni anno, adotta il piano triennale di prevenzione della corruzione, curandone la trasmissione all’ANAC

• adotta tutti gli atti di indirizzo di carattere generale, che siano direttamente o indirettamente finalizzati alla prevenzione della corruzione

Organo di indirizzo politico

52


• Coincide, di norma, con il responsabile della trasparenza

• Propone entro il 31 gennaio di ogni anno, il piano triennale di prevenzione della corruzione

• Entro il 15 dicembre di ogni anni fa la relazione sullo stato di attuazione del PTPC

• I compiti attribuiti al responsabile non sono delegabili, se non in caso di straordinarie e motivate necessità, riconducibili a situazioni eccezionali, mantenendosi comunque ferma nel delegante la responsabilità non solo in vigilando ma anche in eligendo

Responsabile Prevenzione Corruzione

53


DECRETO-LEGGE 31 agosto 2013, n. 101(Disposizioni urgenti per il perseguimento di obiettivi di razionalizzazione nelle pubbliche amministrazioni)

Art. 2, comma 2-bis. Gli ordini, i collegi professionali, i relativi organismi nazionali e gli enti aventi natura associativa, con propri regolamenti, si adeguano, tenendo conto delle relative peculiarità, ai principi del decreto legislativo 30 marzo 2001, n. 165, ad eccezione dell'articolo 4, del decreto legislativo 27 ottobre 2009, n. 150 [gestione della performance], ad eccezione dell'articolo 14 [Organismo Indipendente di Valutazione della performance] nonché delle disposizioni di cui al titolo III [merito e premi], e ai principi generali di razionalizzazione e contenimento della spesa, in quanto non gravanti sulla finanza pubblica.

O.I.V. ?

54


DL 101/13 - Art. 2, comma 2-bis. Gli ordini professionali, i relativi organismi nazionali e gli enti aventi natura associativa, con propri regolamenti, si adeguano, tenendo conto delle relative peculiarità, ai principi del decreto legislativo 30 marzo 2001, n. 165…

Art. 54 D.lgs. 165/2001 Codice di comportamento.

DPR 62/2013

Codice di comportamento?

55


mappatura dei processi attuati dall’amministrazione (il concetto di processo è più ampio di quello di procedimento amministrativo e ricomprende anche le procedure di natura privatistica - con la mappatura si fa una tomografia del singolo processo) valutazione del rischio per ciascun processo:

identificazione

analisi (individuazione delle misure di neutralizzazione del rischio)

ponderazione del rischio

trattamento del rischio.

Fasi della gestione del rischio

56


Approccio PDCA

57


Nuovo (9 giugno 2016) schema di PNA

58


L’ANAC ritiene applicabile, in via diretta, agli ordini e ai collegi professionali la normativa in materia di contrasto alla corruzione, con particolare riferimento alla l. 190/2012 e al d.lgs. 33/2013.

Schema ANAC per il PNA 2016

59


Con Deliberazione 21 ottobre 2014, n. 145, l’Autorità ha affermato l’applicabilità a detti enti di tutta la normativa anticorruzione, in ragione della più volte ribadita natura associativo - rappresentativa degli stessi - unitamente alle loro caratteristiche organizzative e finalità istituzionali. Si deve ritenere, pertanto, che gli ordini siano tenuti all’adozione di un PTPC, PTTI (!), codice di comportamento, alla nomina di RPC, al rispetto dei divieti in tema di inconferibilità e incompatibilità degli incarichi di cui al d.lgs. 39/2013 e agli adempimenti degli obblighi in materia di trasparenza di cui al d.lgs. 33/2013.

Schema ANAC per il PNA 2016

60


1. adozione di un PTPC 2. PTTI (!) 3. codice di comportamento 4. nomina di RPC 5. rispetto dei divieti in tema di

inconferibilità e incompatibilità degli incarichi di cui al d.lgs. 39/2013

6. adempimenti degli obblighi in materia di trasparenza di cui al d.lgs. 33/2013.

Obblighi per CNF e COA

61


1. presenza di ordini e collegi territoriali di dimensioni particolarmente ridotte, sforniti di personale dirigenziale.

2. incertezza circa i soggetti titolati all’approvazione del PTPC e del PTTI (o relativo Piano unico), in particolar modo con riferimento alla corretta individuazione dell’organo di “indirizzo politico”

3. rischio di duplicazione tra il PTPC dei COA e il PTPC del CNF

4. individuazione di aree di rischio specifiche

Criticità individuate

62


1. RPC non può essere individuato in un soggetto esterno all’ente

2. Se COA e CNF non hanno dirigenti, il RPC potrà essere individuato in un profilo non dirigenziale, che garantisca comunque le idonee competenze e professionalità, fermo restando che tale ruolo non può essere attribuito a soggetti appartenenti a categorie che svolgono funzioni meramente operative.

3. Solo in via residuale e con atto motivato, il RPC potrà coincidere con un consigliere eletto dell’ente, purché questi sia privo di deleghe gestionali. In tal senso, dovranno essere escluse le figure di Presidente, Consigliere segretario o Consigliere tesoriere.

Quale RPC?

63


CNF / COA

Chi adotta il PTPC?

64


1. formazione professionale continua; 2. rilascio di pareri di congruità

(nell’eventualità dello svolgimento di tale attività da parte di ordini e collegi territoriali in seguito all’abrogazione delle tariffe professionali);

3. indicazione di professionisti per l’affidamento di incarichi specifici.

Aree a rischio tipiche

65


1. esame e valutazione, da parte dei Consigli nazionali, della domanda di autorizzazione degli “enti terzi” diversi dagli ordini e collegi, erogatori dei corsi di formazione (ex art. 7, co. 2, d.p.r. 137/2012);

2. esame e valutazione delle offerte formative e attribuzione dei crediti formativi professionali (CFP) agli iscritti;

3. vigilanza sugli “enti terzi” autorizzati all’erogazione della formazione ai sensi dell’art. 7, co. 2, d.P.R. 137 del 2012, svolta in proprio da parte dei Consigli nazionali o dagli ordini e collegi territoriali;

4. organizzazione e svolgimento di eventi formativi da parte del Consiglio nazionale e degli ordini e collegi territoriali.

Area 1: FORMAZIONE CONTINUA

66


Eventi rischiosi… 1. alterazioni documentali volte a favorire l’accreditamento di

determinati soggetti; 2. mancata valutazione di richieste di autorizzazione, per

carenza o inadeguatezza di controlli e mancato rispetto dei regolamenti interni;

3. mancata o impropria attribuzione di crediti formativi professionali agli iscritti;

4. mancata o inefficiente vigilanza sugli “enti terzi” autorizzati all’erogazione della formazione;

5. inefficiente organizzazione e svolgimento delle attività formative da parte del Consiglio nazionale e/o degli ordini e collegi territoriali.

Area 1: FORMAZIONE CONTINUA

67


Eventi rischiosi… 1. effettuazione di una istruttoria

lacunosa e/o parziale per favorire l’interesse del professionista;

2. valutazione erronea delle indicazioni in fatto e di tutti i documenti a corredo dell’istanza e necessari alla corretta valutazione dell’attività professionale.

Area 2: PARERI DI CONGRUITA’

68


Eventi rischiosi… Nomina di professionisti in violazione dei principi di terzietà, imparzialità e concorrenza.

AD ESEMPIO: nomina di professionisti che abbiamo interessi personali o professionali in comune con i componenti dell’ordine o collegio incaricato della nomina, con i soggetti richiedenti e/o con i destinatari delle prestazioni professionali, o di professionisti che siano privi dei requisiti tecnici idonei ed adeguati allo svolgimento dell’incarico.

Area 3: INDICAZIONE DI PROFESSIONISTI

69

TRASPARENZA



La trasparenza è uno degli assi portanti della politica anticorruzione impostata dalla l. 190/2012. Essa è fondata su obblighi di pubblicazione previsti per legge ma anche su ulteriori misure di trasparenza che ogni ente, in ragione delle proprie caratteristiche strutturali e funzionali, dovrebbe individuare in coerenza con le finalità della l. 190/2012. A questo fine si raccomanda di inserire il Programma per la trasparenza all’interno del PTPC, come specifica sezione, circostanza attualmente prevista solo come possibilità dalla legge (art. 10 co. 2 del decreto legislativo 14 marzo 2013, n. 33). (PNA - Aggiornamento 2015)

Trasparenza secondo il PNA

71


Pubblicato in GU il giorno 8 giugno 2016Entra in vigore il 23 giugno 2016Scadenza semestre adeguamento: 23 dicembre 2016

I soggetti di cui all’articolo 2-bis del decreto legislativo n. 33 del 2013 si adeguano alle modifiche allo stesso decreto legislativo, introdotte dal presente decreto, e assicurano l'effettivo esercizio del diritto di cui all'articolo 5, comma 2, del decreto legislativo n.33 del 2013, come modificato dall'articolo 6 del presente decreto, entro sei mesi dalla data di entrata in vigore del presente decreto.

L’ultimo arrivato: d.lgs. 97/16

72


dPRINCIPI GENERALI OBBLIGHI DI PUBBLICAZIONE

VIGILANZA, SANZIONI E

ALTRE DISPOSIZIONI

FINALI

Tomografia del d.lgs. 33/2013

73


La trasparenza è intesa come accessibilità totale dei dati e documenti detenuti dalle pubbliche amministrazioni, allo scopo di tutelare i diritti dei cittadini, promuovere la partecipazione degli interessati all’attività amministrativa e favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche.

Principio di trasparenza (1)

74


Accesso ai documenti amministrativi. Artt. 22 e ss L. 241/1990

Non sono ammissibili istanze di accesso preordinate ad un controllo generalizzato dell'operato delle pubbliche amministrazioni.

(Art. 24, comma 3)

Un’inversione di tendenza?

75


Dalla 241/90 al 97/2016

76

TRASPARENZA

1990 2009 2013 2016


1. Le disposizioni del presente decreto disciplinano la libertà di accesso di chiunque ai dati e ai documenti detenuti dalle pubbliche amministrazioni e dagli altri soggetti di cui all'articolo 2-bis, garantita, nel rispetto dei limiti relativi alla tutela di interessi pubblici e privati giuridicamente rilevanti, tramite l'accesso civico e tramite la pubblicazione di documenti, informazioni e dati concernenti l’organizzazione e l’attività delle pubbliche amministrazioni e le modalità per la loro realizzazione

2. Ai fini del presente decreto, per pubblicazione si intende la pubblicazione, in conformità alle specifiche e alle regole tecniche di cui all'allegato A, nei siti istituzionali delle pubbliche amministrazioni dei documenti, delle informazioni e dei dati concernenti l'organizzazione e l'attività delle pubbliche amministrazioni, cui corrisponde il diritto di chiunque di accedere ai siti direttamente ed immediatamente, senza autenticazione ed identificazione.

2) Oggetto

77


2. La medesima disciplina prevista per le pubbliche amministrazioni ... si applica anche, in quanto compatibile:

a) agli enti pubblici economici e agli ordini professionali;

L'art. 1, comma 2bis della L. 190/2012 (anch'esso inserito dal D.lgs 97/2016) richiama l'art. 2 bis anche per quanto riguarda la valenza (e l'applicabilità soggettiva) del Piano Nazionale Anticorruzione, che ha funzione di atto di indirizzo ai fini dell’adozione di misure di prevenzione della corruzione di cui alla l. 190/2012

Ambito soggettivo di applicazione (2-bis)

78


Art. 7-bis (Riutilizzo dei dati pubblicati)

1.Gli obblighi di pubblicazione dei dati personali diversi dai dati sensibili e dai dati giudiziari, di cui all’articolo 4, comma 1, lettere d) ed e), del decreto legislativo 30 giugno 2003, n. 196, comportano la possibilità di una diffusione dei dati medesimi attraverso siti istituzionali, nonché il loro trattamento secondo modalità che ne consentono la indicizzazione e la rintracciabilità tramite i motori di ricerca web ed il loro riutilizzo ai sensi dell'articolo 7 nel rispetto dei principi sul trattamento dei dati personali.

Limiti alla trasparenza (nuovo 7-bis)

79



2. La pubblicazione nei siti istituzionali, in attuazione del presente decreto, di dati relativi a titolari di organi di indirizzo politico e di uffici o incarichi di diretta collaborazione, nonché a dirigenti titolari degli organi amministrativi è finalizzata alla realizzazione della trasparenza pubblica, che integra una finalità di rilevante interesse pubblico nel rispetto della disciplina in materia di protezione dei dati personali.


80



3.Le pubbliche amministrazioni possono disporre la pubblicazione nel proprio sito istituzionale di dati, informazioni e documenti che non hanno l’obbligo di pubblicare ai sensi del presente decreto o sulla base di specifica previsione di legge o regolamento, nel rispetto dei limiti indicati dall'articolo 5-bis, procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti.


81



4. Nei casi in cui norme di legge o di regolamento prevedano la pubblicazione di atti o documenti, le pubbliche amministrazioni provvedono a rendere non intelligibili i dati personali non pertinenti o, se sensibili o giudiziari, non indispensabili rispetto alle specifiche finalità di trasparenza della pubblicazione.


82



5. Le notizie concernenti lo svolgimento delle prestazioni di chiunque sia addetto a una funzione pubblica e la relativa valutazione sono rese accessibili dall'amministrazione di appartenenza. Non sono invece ostensibili, se non nei casi previsti dalla legge, le notizie concernenti la natura delle infermità e degli impedimenti personali o familiari che causino l'astensione dal lavoro, nonché le componenti della valutazione o le notizie concernenti il rapporto di lavoro tra il predetto dipendente e l'amministrazione, idonee a rivelare taluna delle informazioni di cui all’articolo 4, comma1,lettera d), del decreto legislativo n. 196 del 2003.


83



6.Restano fermi i limiti all'accesso e alla diffusione delle informazioni di cui all’articolo 24,commi 1 e 6, della legge 7 agosto1990,n 241, e successive modifiche, di tutti i dati di cui all’articolo 9 del decreto legislativo 6 settembre1989,n. 322, di quelli previsti dalla normativa europea in materia di tutela del segreto statistico e di quelli che siano espressamente qualificati come riservati dalla normativa nazionale ed europea in materia statistica, nonche' quelli relativi alla diffusione dei dati idonei a rivelare lo stato di salute e la vita sessuale.


84



7. La Commissione di cui all'articolo 27 della legge 7 agosto 1990, n.241, continua ad operare anche oltre la scadenza del mandato prevista dalla disciplina vigente, senza oneri a carico del bilancio dello Stato.

8. Sono esclusi dall’ambito di applicazione del presente decreto i servizi di aggregazione, estrazione e trasmissione massiva degli atti memorizzati in banche dati rese disponibili sul web.


85


12) Obblighi di pubblicazione concernenti gli atti di carattere normativo e amministrativo generale

86

Avv. Francesco Paolo Micozzi


12) Obblighi di pubblicazione concernenti gli atti di carattere normativo e amministrativo generale

87

Avv. Francesco Paolo Micozzi

PUBBLICAZIONEDEFICITARIA(trasparenza)

PUBBLICAZIONEECCESSIVA

(dati personali)

PUBBLICAZIONECORRETTA


Un veloce riepilogo

88

Pubblicazione obbligatoria?

Pubblicazione di dati, informazioni e documenti che contengono dati personali

SI

DATI COMUNI

DATI SENSIBILI

Rispettare principi di necessità, pertinenza e non eccedenza

NO

Anonimizzazione

STATO DI SALUTE

VITA SESSUALE

DIVIETO DI PUBBLICAZIONE

DIVIETO DI PUBBLICAZIONE PER FINALITÀ DI TRASPARENZA

Pubblicabili solo se indispensabili alle

finalità di trasparenza


1. I documenti, le informazioni e i dati oggetto di pubblicazione obbligatoria ai sensi della normativa vigente, resi disponibili anche a seguito dell'accesso civico di cui all'articolo 5, sono pubblicati in formato di tipo aperto ai sensi dell'articolo 68 del Codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, e sono riutilizzabili ai sensi del decreto legislativo 24 gennaio 2006, n. 36, del decreto legislativo 7 marzo 2005, n. 82, e del decreto legislativo 30 giugno 2003, n. 196, senza ulteriori restrizioni diverse dall'obbligo di citare la fonte e di rispettarne l'integrità.

7) Dati aperti e riutilizzo

89


Dati personali e riutilizzo

90AMMINISTRAZIONE TRASPARENTE

DATI, INFORMAZIONI E DOCUMENTI

DATI PERSONALI

ALTRE INFORMAZIONI

RIUSO CONSENTITO

RIUSO CONSENTITO IN TERMINI COMPATIBILI CON FINALITÀ PER LE QUALI I DATI PERSONALI SONO

STATI RACCOLTI


2. Allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico, chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall’articolo 5-bis.

Nessuna necessità di motivazione per l'accesso e nessuna limitazione soggettiva

Il FOIA all’italiana (5)

91


2. L’accesso di cui all’articolo 5, comma 2, è altresì rifiutato se il diniego è necessario per evitare un pregiudizio alla tutela di uno dei seguenti interessi privati:

a) la protezione dei dati personali, in conformità con la disciplina legislativa in materia;

FOIA e Privacy

92


Se i limiti di [...] riguardano soltanto alcuni dati o alcune parti del documento richiesto, deve essere consentito l’accesso agli altri dati o alle altre parti

FOIA e Privacy

93


FOIA e Privacy

94


Obblighi di pubblicazione concernenti i titolari di incarichi politici, di amministrazione, di direzione o di governo e i titolari di incarichi dirigenziali

Estensione dell'obbligo di pubblicazione dell'atto di conferimento, del curriculum, dei compensi, delle cariche e degli incarichi, nonché della situazione reddituale, anche ai titolari di incarichi dirigenziali

Esclusione della pubblicazione per i titolari di incarichi o cariche di amministrazione, di direzione o di governo attribuiti a titolo gratuito

Altri profili rilevanti

95


E’ stato espressamente abolito dal d.lgs. 97/2016

Che fine ha fatto il PTTI?

96


GRAZIE PER L’ATTENZIONE!

97

Anticorruzione trasparenza - privacy - Per gli Ordini Professionali

Law

Transcript of Anticorruzione trasparenza - privacy - Per gli Ordini Professionali