domenica 15 aprile 2018

Individuazione Responsabile Protezione Dati (RPD) - mediante procedura semplificata

Pubblichiamo un supporto operativo per il conferimento dell'incarico di Responsabile Protezione Dati, messo gentilmente a disposizione dalla d.ssa Silvia Salvai, segretario generale del comune di Saluzzo.


AVVISO DI INDAGINE INFORMALE DI MERCATO
PER IL CONFERIMENTO DELL’INCARICO PER L’ATTUAZIONE
DEL REGOLAMENTO U.E n. 679/2016 SULLA PROTEZIONE DEI DATI PERSONALI
  ED INDIVIDUAZIONE RESPONSABILE PROTEZIONE DATI (RPD)
AI SENSI DELL'ART. 36, C. 2, LETT. A) DEL D. LGS. N. 50/2016



Il Comune di    intende effettuare un’indagine informale di mercato finalizzata all'acquisizione di manifestazioni d'interesse per l'affidamento – ai sensi dell'art. 36, comma 2, lett. a) del  d. lgs. 18 aprile 2016 n. 50 [in seguito “Codice”] – dell'Incarico per l’attuazione del Regolamento U.E n. 679/2016 sulla protezione dei dati personali  ed individuazione responsabile protezione dati (RPD).
Il presente avviso non costituisce proposta contrattuale e non vincola in alcun modo il Comune di     il quale sarà libero di avviare altre procedure.
Il Comune di       si riserva di interrompere in qualsiasi momento, per ragioni di propria esclusiva competenza, il procedimento avviato, senza che i soggetti richiedenti possano vantare alcuna pretesa.
Al fine di potere effettuare le comunicazioni inerenti la procedura, si invitano gli operatori economici ad autorizzare il Comune di       ad utilizzare la posta P.E.C. [posta elettronica certificata] così come indicato nell’istanza di partecipazione. Pertanto, ogni trasmissione a mezzo P.E.C. avrà valore legale di comunicazione.
1. OGGETTO DELL’AFFIDAMENTO
L’affidamento ha per oggetto l'Incarico per l’attuazione del Regolamento U.E n. 679/2016 sulla protezione dei dati personali  ed individuazione responsabile protezione dati (RPD), come meglio indicato nell'allegato Disciplinare Tecnico.
Le attività che l’ente intende affidare all’esterno, nell’ambito dell’incarico di prestazione di servizi e sulla base delle quali dovrà essere formalizzata l’offerta, sono le seguenti:
A)
·   incarico di RDP per il periodo di due anni;
·   valutazione di impatto sulla protezione dei dati.
B)
·   mappatura  dei processi,  per individuare quelli collegati al trattamento  dei dati personali;
·   individuazione, tra i processi risultanti dalla mappatura, di quelli che presentano rischi, con una prima valutazione degli stessi i termini di maggiore o minore gravità;
·   mappatura degli incarichi dei soggetti coinvolti nel trattamento e dei livelli di responsabilità, ed eventuale aggiornamento;
·   elaborazione del piano di adeguamento complessivo, contenente le proposte di miglioramento del livello di sicurezza per i processi che presentano rischi, con stima dei costi (se necessario) e dei tempi previsti, nonché delle attività di monitoraggio;
·   predisposizione del registro dei trattamenti di dati personali e del registro delle categorie di attività;
C)
·   interventi formativi del personale;
·   proposta di adeguamento della modulistica in uso agli uffici, qualora non conforme alle nuove disposizioni.
2. SOGGETTI AMMESSI A PRESENTARE OFFERTA
Sono ammessi a presentare offerta gli operatori economici, anche stabiliti in altri Stati membri, secondo le disposizioni dell’art. 45 del Codice.
Sono esclusi dalla gara gli operatori economici per i quali sussistono cause di esclusione di cui all’art. 80 del Codice.
Sono comunque esclusi gli operatori economici che abbiano affidato incarichi in violazione dell’art. 53, comma 16-ter, del d.lgs. del 2001 n. 165.
Gli operatori economici aventi sede, residenza o domicilio nei paesi inseriti nelle c.d. black list di cui al decreto del Ministro delle finanze del 4 maggio 1999 e al decreto del Ministro dell’economia e delle finanze del 21 novembre 2001 devono, pena l’esclusione dalla gara, essere in possesso, dell’autorizzazione in corso di validità rilasciata ai sensi del d.m. 14 dicembre 2010 del Ministero dell’economia e delle finanze ai sensi (art. 37 del d.l. 3 maggio 2010 n. 78 conv. in l. 122/2010) oppure della domanda di autorizzazione presentata ai sensi dell’art. 1 comma 3 del DM 14 dicembre 2010.
3. PROCEDURA
I soggetti interessati devono far pervenire la propria manifestazione d'interesse esclusivamente a mezzo posta elettronica certificata [in seguito “PEC”] all’indirizzo protocollo@pec.comune.    .it entro le ore 12,00 del giorno 26.04.2018.
La PEC dovrà avere come oggetto «Comune di      — Offerta per l'Incarico per l’attuazione del Regolamento U.E n. 679/2016 sulla protezione dei dati personali  ed individuazione responsabile protezione dati (RPD)» e dovrà contenere:
A)manifestazione di interesse (redatta preferibilmente secondo il Modello A allegato al presente atto), in carta libera, recante:
      dichiarazione sostitutiva, ai sensi del D.P.R. 28 dicembre 2000, n. 445 s.m.i., circa la non sussistenza nei propri confronti delle cause di esclusione di cui all’art. 80 del Codice;
      dichiarazione relativa ai componenti del  gruppo di lavoro e a precedenti incarichi analoghi assunti presso aziende private o pubbliche amministrazioni;
B)apposito preventivo di spesa (redatto preferibilmente secondo il Modello B allegato al presente atto) con specifico riferimento alle attività di cui al precedente art. 1;
C) relazione tecnica contenente le modalità di svolgimento del servizio proposte, con specifico riferimento alle attività di cui al precedente art. 1.
La PEC dovrà altresì contenere i curriculum dei soggetti indicati come componenti del gruppo di lavoro.
Il recapito della PEC rimane a esclusivo rischio del mittente.
Il Comune di       prenderà in esame esclusivamente le istanze pervenute entro il termine sopra indicato.
4. RISERVATEZZA DEI DATI
I dati raccolti saranno trattati, ai sensi del d.lgs. 30 giugno 2003, n. 196 e ss.mm.ii, esclusivamente nell’ambito della gara regolata dal presente disciplinare di gara.
5.  RESPONSABILE UNICO DEL PROCEDIMENTO
Il Responsabile Unico del Procedimento è         .
Informazioni in merito alla presente procedura potranno essere richieste ai seguenti recapiti:
·   al numero telefonico:       ;
·   all'indirizzo e-mail: ;
·    all’indirizzo di PEC: protocollo@pec.comune.________.it.
Il presente avviso è pubblicato all’Albo Pretorio del Comune di

****

CONFERIMENTO DELL’INCARICO PER L’ATTUAZIONE DEL REGOLAMENTO U.E n. 679/2016 SULLA PROTEZIONE DEI DATI PERSONALI  ED INDIVIDUAZIONE RESPONSABILE PROTEZIONE DATI (RPD)
Disciplinare tecnico


1. Indicazioni generali
Il Regolamento Generale sulla Protezione dei dati personali (Regolamento UE 679/2016 detto anche  “RGPD”)  è un atto con il quale la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali dei cittadini, sia  all’interno che all’esterno dei confini dell’Unione europea
Il testo, pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 4 maggio 2016, diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018.

Le disposizioni contenute nel nuovo Regolamento europeo per la protezione dei dati  personali impongono alle Pubbliche Amministrazioni di assicurare, entro  il 25 maggio 2018, l’applicazione tassativa della normativa europea sul trattamento dei dati, la cui responsabilità ultima cade sul titolare del trattamento, figura che negli enti locali è ricoperta dal Sindaco.

L’adozione delle disposizioni contenute nel Regolamento  europeo inciderà notevolmente sull’organizzazione interna e richiederà la ricognizione, la valutazione e l’eventuale adeguamento  delle misure di sicurezza normative, organizzative e tecnologiche, già adottate dagli enti a tutela  della privacy.
Il modello immaginato dal legislatore Europeo ripercorre la strada già tracciata dalle norme in materia di sicurezza del lavoro, e passa attraverso le seguenti fasi:
- un’analisi del contesto, con la mappatura dei processi soggetti a rischio, e rilevazione dei livelli di sicurezza oggi esistenti, sia dal punto di vista informatico sia dal punto di vista analogico;
- la definizione e pianificazione delle misure necessarie al raggiungimento di un adeguato livello di sicurezza, conforme agli standards previsti;
- l’implementazione di un sistema di “autocontrollo”, che preveda il continuo monitoraggio, l’aggiornamento e l’implementazione  delle misure di sicurezza, e la documentazione di tutta l’attività che viene svolta a tali fini;
- la formazione periodica degli operatori dei diversi settori interessati, al fine di accrescere la consapevolezza dei rischi ed  aumentare la capacità di prevenzione.
- l’individuazione e nomina del RPD (Responsabile Protezione Dati)

L’adeguamento alle nuove norme deve essere inteso non come mero “adempimento” ma come occasione di riflessione  sull’organizzazione dell’ente, e sul livello di sicurezza del trattamento dei dati attualmente in essere, al fine di apportare i correttivi ed i miglioramenti necessari. L’attività da svolgere presuppone quindi  l’incrocio di competenze informatiche e giuridiche difficilmente riscontrabili  in una sola professionalità. Si ritiene quindi necessario che il gruppo di lavoro da adibire all’incarico sia composto da soggetti in possesso delle seguenti competenze:
- comprovate competenze giuridiche, con particolare riguardo al diritto amministrativo, alla legislazione degli enti locali ed alle norme sulla tutela dei dati personali; le competenze sono documentabili dal possesso della laurea in materie giuridiche, e dall’esperienza lavorativa  maturata presso enti locali o altre pubbliche amministrazioni, in qualità di dipendenti, consulenti o collaboratori.
- comprovate competenze informatiche,  con particolare riguardo alla gestione di sistemi informativi complessi, afferenti alla gestione di servizi pubblici o privati comportanti il trattamento di dati personali;  le competenze sono documentabili dal possesso di titolo di studio adeguato, e dall’esperienza lavorativa  maturata presso aziende private,  enti locali o altre pubbliche amministrazioni, in qualità di dipendenti, consulenti o collaboratori nel settore informatico.

2. Organizzazione amministrativa dell’ente:

L’ente è organizzato in ___ settori, a capo dei quali sono posti dei dirigenti o responsabili di servizio:

Settore I^ Servizi Amministrativi di Staff compresi gli uffici autonomi di staff
Settore II^ Finanziario
Settore III^ Servizi Demografici
Settore IV^ Servizi alla Persona
Settore V^.1 Sviluppo Compatibile del Territorio
Settore V^.2 Governo del Territorio
Settore VI^ Corpo Polizia Municipale

L’ente è dotato di un Centro Elaborazione Dati (Ced) incardinato nel settore servizi amministrativi di staff, al quale sono addetti due dipendenti con qualifica tecnica.

3. Ubicazione fisica degli uffici e servizi

Gli uffici ed i servizi dell’ente sono dislocati in diverse strutture:

INDICARE LE SEDI


4. Trattamenti di dati

Ciascuno degli uffici e servizi indicati svolge  attività e compiti che comportano il trattamento di dati personali di cittadini, utenti, contribuenti, fornitori, dipendenti. In alcuni, limitati, casi, vengono trattati anche dati sensibili.
Il trattamento viene effettuato per lo più con modalità informatizzate, con specifici programmi gestionali in rete, ma in molti casi è presente anche un archivio cartaceo.
I trattamenti più importanti e significativi vengono effettuati a prescindere dal consenso degli interessati per l’esercizio di funzioni istituzionali o previste per legge: anagrafe, stato civile, elettorale, leva militare, statistica e censimenti; tributi; edilizia ed urbanistica, raccolta rifiuti;
Altri trattamenti avvengono su base volontaria, in relazione alla richiesta di determinati servizi da parte dei cittadini/utenti: servizi scolastici, asilo nido, servizi sociali, servizi culturali e turistici, servizi finanziari, da cui emergono talvolta anche dati sensibili.
Altri ancora sono connessi alla necessità di utilizzare determinate procedure previste per legge, che richiedono il trattamento di dati sensibili o giudiziari (es: gare di appalto).
Infine, vi è tutto  l’universo dei dati personali trattati nella gestione del proprio personale, che contengono al loro interno anche dati sensibili.


5. Organizzazione informatica

Il sistema informatico comunale consta di un centinaio  di computer con sistemi operativi _____ distribuiti sui vari uffici comunali.
Nella sede centrale si trovano la maggior parte dei computer,  collegati in rete per mezzo di  switch dislocati su ___ piani differenti.

La sede di ____  è collegata attraverso fibra ottica e vede pc dislocati su due piani collegati in rete attraverso switch installati al piano dei demografici (piano terra).

La sede di ____ ha ___ pc collegati alla rete comunale attraverso una serie di ponti radio con velocità approssimativa di 80 Mbps.

La sede  di _____ non è collegata in rete con la sede centrale,  ha __ computer utilizzati dai dipendenti comunalicollegati in rete tra loro e 1 pc portatile.

Sala macchine
In una sala adiacente al ced accessibile solo con codice e protetta da un sistema antincendio con gas argon, sono ospitati i server comunali , alcuni fisici  ed altri virtualizzati, quest’ultimi installati su un sistema clustering vmware.
I server virtualizzati sono 3:
  1. server con i programmi della sipal informatica e technicaldesign per la gestione di tutte le attività comunali. Risiede sullo stesso il database oracle contenente tutti i dati comunali (windows 2017).
  2. Server contenente un db sqlserver express con i dati per la gestione del personale e i relativi programmi (windows 2017).
  3. server per la gestione dell’active directory (windows 2017)

Abbiamo poi una serie di server fisici:
  1. nas per la gestione del sito ftp
  2. nas per la gestione dei documenti per il programma dei flussi documentali
  3. nas di appoggio per attività ced

Due piani sotto il ced negli uffici della protezione civile ci sono altri due server nas, uno per i salvataggi dei dati comunali e personali e un altro contenete tutti i documenti condivisi degli uffici

Sempre al ced abbiamo un server autoassemblato su cui abbiamo installato un altro sistema di virtualizzazione vmware con le seguenti macchine virtuali:
  1. pensioni (pc windows xp contenente gestionale per le pensioni del personale)
  2. ina-saia (pc windows 7 per la gestione di ina-saia)
  3. anagaire (pc windows 7 per la gestione di anagaire)
  4. intranet (server  ubuntu contenente l’intranet comunale sviluppato wordpress)
  5. webapps (server windows 2017 per lo sviluppo di applicativi web)

Infine sempre nella sala macchina è installato un server firewall (watchguard) di ultima generazione attraverso cui avviene la navigazione di tutti i pc e server del dominio comunale.

Esistono due servizi esternalizzati: il sito internet attualmente in hosting presso la ditta ____ che non prevede raccolte di dati personali e il servizio email gestito dalla ditta ____ attraverso l’applicativo Zimbra.

Il palazzo comunale  è dotato di un sistema di videosorveglianza a presidio degli accessi; alcune telecamere sono altresì installate sul territorio comunale, per il controllo del territorio e la prevenzione di illeciti.
Al ced è   “ospitato” un server per la videosorveglianza,  su cui gli addetti del Ced non hanno accesso e l’unica attività consentita è quella di verificare lo stato di accensione. L’accesso ai dati registrati dal sistema di videosorveglianza è disciplinata da apposito regolamento.



6. Oggetto dell’incarico

Le attività che l’ente intende affidare all’esterno, nell’ambito dell’incarico di prestazione di servizi e sulla base delle quali dovrà essere formalizzata l’offerta, sono le seguenti:

  1. nomina del RDP per il periodo di due anni:
  2. supporto e assistenza alla mappatura  dei processi,  per individuare quelli collegati al trattamento  dei dati personali;
  3. individuazione, tra i processi risultanti dalla mappatura, di quelli che presentano rischi, con una prima valutazione degli stessi i termini di maggiore o minore gravità
  4. supporto e assistenza alla mappatura degli incarichi dei soggetti coinvolti nel trattamento e dei livelli di responsabilità, ed eventuale aggiornamento
  5. elaborazione del piano di adeguamento complessivo, contenente le proposte di miglioramento del livello di sicurezza per i processi che presentano rischi, con stima dei costi (se necessario) e dei tempi previsti, nonché delle attività di monitoraggio;
  6. interventi formativi del personale
  7. predisposizione del registro dei trattamenti di dati personali e del registro delle categorie di attività
  8. proposta di adeguamento della modulistica in uso agli uffici, qualora non conforme alle nuove disposizioni
  9. Valutazione di impatto sulla protezione dei dati


7. Contenuti e tempistica

            7.1. Nomina del RDP

La nomina del RDP avrà decorrenza dalla data di conferimento dell’incarico e durata biennale.

Compiti del Responsabile della Protezione dei Dati
L’istituzione della nuova figura del Responsabile della protezione dei dati (in seguito indicato con “RPD”) è la principale novità normativa del Regolamento europeo che mira la potenziamento del controllo dell’efficacia e della sicurezza dei sistemi di protezione dei dati personali.
Il Responsabile della protezione dei dati è incaricato dei seguenti compiti:
a) informare e fornire consulenza al Titolare ed al Responsabile nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal RGPD e dalle altre normative relative alla protezione dei dati. Ai fini del presente compito  il RPD deve indicare al Titolari e/o al Responsabile i settori funzionali ai quali riservare un audit interno o esterno in tema di protezione dei dati, le attività di formazione interna per il personale che tratta dati personali, e a quali trattamenti dedicare maggiori risorse e tempo in relazione al rischio riscontrato;
b) sorvegliare l’osservanza del RGPD e delle altre normative relative alla protezione dei dati, fermo restando le responsabilità del Titolare e del Responsabile del trattamento.  Fanno parte di questi compiti la raccolta di informazioni per individuare i trattamenti svolti, l’analisi e la verifica dei trattamenti in termini di loro conformità, l’attività di informazione, consulenza e indirizzo nei confronti del Titolare e del Responsabile del trattamento;
c) sorvegliare sulle attribuzioni delle responsabilità, sulle attività di sensibilizzazione, formazione e controllo poste in essere dal Titolare e dal Responsabile del trattamento;
d) fornire parere in merito alla valutazione di impatto sulla protezione dei dati (DPIA), fornire  gli opportuni suggerimenti per lo svolgimento delle attività nel modo più sicuro e meno impattante,  sorvegliarne lo svolgimento;
e) cooperare con il Garante per la protezione dei dati personali e fungere da punto di
contatto per detta Autorità;
f) provvedere alla  tenuta dei registri del Titolare e del/dei Responsabili sul trattamento.
g) supportare il Titolare e i Responsabili del trattamento nell’individuare processi organizzativi idonei a contemperare le esigenze della gestione delle attività di competenza e le esigenze di tutela dei dati;

            7.2; 7.3; 7.4 -  Mappatura dei processi, individuazione dei rischi e mappatura degli incarichi

L’attività di mappatura dei processi, degli incaricati  e l’individuazione del livello di protezione o di rischio sono il punto di partenza per definire la situazione di partenza e la strada da percorrere per raggiungere gli obiettivi previsti dal legislatore europeo.
L’indagine deve essere quindi svolta in maniera accurata, settore per settore, sulla base di check list fornite dai professionisti incaricati; i dirigenti ed i responsabili dei singoli servizi, nonché gli addetti a Centro elaborazione dati,  forniranno il supporto necessario, fornendo tutte le informazioni richieste, acquisendole a loro volta dai fornitori esterni, qualora non siano a disposizione dell’ente.
Le attività previste ai punti 2, 3 e 4 devono concludersi entro 15 giorni  naturali e consecutivi dal conferimento dell’incarico.

            7.5. elaborazione del piano di adeguamento

Il piano di adeguamento contiene le proposte di miglioramento del livello di sicurezza per i processi che presentano rischi, con stima dei costi (se necessario) e dei tempi previsti, nonché delle attività di monitoraggio e le tempistiche.

Le misure tecniche ed organizzative di sicurezza da mettere in atto per ridurre i rischi del trattamento ricomprendono: la pseudonimizzazione; la minimizzazione; la cifratura dei dati personali; la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico; una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Costituiscono altresì misure tecniche ed organizzative i sistemi di autenticazione; i sistemi di autorizzazione; sistemi di protezione (antivirus; firewall; antintrusione; altro); le misure antincendio; i sistemi di rilevazione di intrusione; i sistemi di sorveglianza; sistemi di protezione con videosorveglianza; registrazione accessi; porte, armadi e contenitori dotati di serrature e ignifughi; sistemi di copiatura e conservazione di archivi elettronici; altre misure per ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico.

L’ attività prevista al  punto 5 deve  essere presentata al responsabile del procedimento entro 20 giorni naturali e consecutivi  dalla scadenza del termine di cui al punto precedente; entro 10 giorni naturali e consecutivi devono essere apportate le eventuali modifiche ed integrazioni concordate, e consegnata la relazione definitiva.

            7.6. Interventi formativi del personale

Gli interventi formativi del personale devono prevedere una formazione di base, da impartire a tutti i dipendenti, e di una formazione specialistica per i dipendenti che svolgono attività classificate a rischio più elevato. Il piano di formazione dovrà essere presentato in contemporanea al piano di adeguamento di cui al punto 5, e dovrà essere programmato in modo da fare fronte alle carenze riscontrate nell’ambito della mappatura. Il calendario e le modalità di articolazione della formazione saranno concordati con il Titolare del trattamento o suo delegato, e/o, in caso di formazione riguardante specifici settori, con il dirigente competente.

            7.7. predisposizione e tenuta del registro dei trattamenti di dati personali e del registro delle categorie di attività

Il Registro delle attività di trattamento dovrà prevedere almeno le seguenti informazioni:
a) il nome ed i dati di contatto del Comune, eventualmente del Contitolare del trattamento, del RPD;
b) le finalità del trattamento;
c) la sintetica descrizione delle categorie di interessati (cittadini, residenti, utenti, dipendenti, amministratori, parti, altro), nonché le categorie di dati personali (dati identificativi, dati genetici, dati biometrici, dati relativi alla salute);
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati: persona fisica o giuridica; autorità pubblica; altro organismo destinatario;
e) l’eventuale trasferimento di dati personali verso un paese terzo od organizzazione internazionale;
f) ove stabiliti, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) il richiamo alle misure di sicurezza tecniche ed organizzative del trattamento adottate.
h) Registro delle categorie di attività

Il Registro delle categorie di attività, trattate da ciascun Responsabile del trattamento dovrà prevedere  le seguenti informazioni:
a) il nome ed i dati di contatto del Responsabile del trattamento e del RPD;
b) le categorie di trattamenti effettuati da ciascun Responsabile: raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica, estrazione, consultazione, uso, comunicazione, raffronto, interconnessione, limitazione, cancellazione, distruzione;
c) l’eventuale trasferimento di dati personali verso un paese terzo od organizzazione
internazionale;
d) il richiamo alle misure di sicurezza tecniche ed organizzative del trattamento adottate.

La predisposizione dei registri sarà a cura del RDP, non appena conclusa la fase di mappatura prevista al punto 2.
La tenuta e l’aggiornamento dei registri sarà a cura del RDP che dovrà provvedervi tempestivamente; con cadenza semestrale  i registri dovranno essere sottoposti  al controllo ed alla vidimazione, rispettivamente:
- per quanto riguarda il registro dei trattamenti, al titolare del trattamento o suo delegato
- per quanto riguarda il registro delle categorie di attività trattate, ai dirigenti dei servizi competenti

            7.8. proposta di adeguamento della modulistica in uso agli uffici, qualora non conforme alle nuove disposizioni

La proposta di adeguamento della modulistica in uso agli uffici, se non conforme alle nuove disposizioni, dovrà essere completata entro due  mesi dalla data di scadenza dei termini per la mappatura di cui al punto 2.        


            7.9. Valutazione di impatto sulla protezione dei dati

Nel caso in cui un tipo di trattamento, specie se prevede in particolare l’uso di nuove tecnologie, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare, su segnalazione del Responsabile del trattamento, prima di effettuare il trattamento, deve effettuare una valutazione dell’impatto del medesimo trattamento ai sensi dell’art. 35, RGDP, considerati la natura, l’oggetto, il contesto e le finalità dello stesso trattamento. 
Il Titolare si avvale della consulenza tecnica del RDP, il quale dovrà fornire i seguenti elementi, entro 15 giorni dalla richiesta:
- descrivere il trattamento,  valutarne necessità e proporzionalità, individuare le migliori modalità di gestione dei rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento dei loro dati personali e permette di realizzare e dimostrare la conformità alle norme del trattamento di cui trattasi.


8. Inadempimento e ritardo – penalità

Il ritardo nell’esecuzione delle prestazioni indicate ai paragrafi 7.2, 7,3, 7,4, 7.5 e nella predisposizione dei registri previsti dal 7.7 comporterà l’applicazione di una penale giornaliera di € 100,00 per ogni giorno lavorativo  di ritardo.
Il ritardo nell’esecuzione delle altre prestazioni previste dal capitolato comporterà l’applicazione di una penale giornaliera di € 50,00 per ogni giorno lavorativo  di ritardo.
In ogni caso, qualora il ritardo superi i 15 giorni, si farà luogo alla risoluzione del contratto,   ai sensi degli articoli 1453 e 1454 del codice civile, con richiesta di risarcimento dei danni. 
L’applicazione della penale sarà preceduta da formale contestazione scritta;  l’aggiudicatario avrà la facoltà di presentare le proprie contro-deduzioni nel termine indicato nella contestazione, non inferiore a 10 giorni dalla data del ricevimento della contestazione stessa.
Qualora entro il termine stabilito l’aggiudicatario  non fornisca alcuna motivata giustificazione scritta, ovvero qualora le stesse non fossero ritenute accoglibili, il Comune applicherà le penali previste, motivando adeguatamente in ordine al mancato accoglimento delle giustificazioni.
Non è comunque precluso al Comune il diritto di sanzionare eventuali casi non espressamente contemplati, ma comunque rilevanti rispetto alla corretta erogazione del servizio.
L’importo complessivo delle penali irrogate ai sensi dei commi precedenti non può superare il 10 % dell’importo contrattuale aggiudicato. Qualora le inadempienze siano tali da comportare il superamento di tale importo trova applicazione quanto previsto in materia di risoluzione del contratto.
Il provvedimento applicativo della penale sarà assunto dall’Amministrazione  e comunicato all’Aggiudicatario.  L’importo relativo all’applicazione della penale, esattamente quantificato nel provvedimento applicativo della stessa penalità, verrà detratto dal pagamento della fattura emessa.

9. Risoluzione per grave inadempienza – clausola risolutiva espressa
Nel caso di inadempienze gravi e/o ripetute agli obblighi previsti dal presente capitolato, diversi da quelli già previsti dall’articolo precedente,  il Comune ha la facoltà, previa contestazione  scritta, di risolvere il contratto,  ai sensi degli articoli 1453 e 1454 del codice civile, con tutte le conseguenze di legge che la risoluzione comporta. Ai fini del presente comma, si intendono inadempienze gravi:
- l’inosservanza degli obblighi derivanti dalla qualifica di RDP di cui al punto 7.1;
- il mancato e reiterato aggiornamento tempestivo dei registri di cui al punto 7.7;
- lo svolgimento dei doveri derivanti dal presente incarico senza la necessaria diligenza e perizia tecnica e giuridica, richiesta dalla peculiarità del servizio, che abbia comportato rilievi o sanzioni ad opera delle Autorità competenti al controllo;
- la cessazione o la  sostituzione del RDP;
Si applicano alla risoluzione del contratto i principi del giusti procedimenti già previsti nell’articolo precedente in materia di irrogazione delle penali.

10. Obbligo di tracciabilità dei flussi finanziari

L’aggiudicatario  assume tutti gli obblighi di tracciabilità dei flussi finanziari di cui all’articolo 3 della legge 13 agosto 2010, n. 136 e successive modifiche e si impegna a dare immediata comunicazione alla stazione appaltante ed alla Prefettura-Ufficio Territoriale del Governo della provincia di ____ della notizia dell’inadempimento della propria controparte (subappaltatore/subcontraente) agli obblighi di tracciabilità finanziaria.

****
Modello A

Comune di ____

via ____ n. __

Cap____


INDAGINE INFORMALE DI MERCATO PER IL CONFERIMENTO DELL’INCARICO PER L’ATTUAZIONE DEL REGOLAMENTO U.E n. 679/2016 SULLA PROTEZIONE DEI DATI PERSONALI ED INDIVIDUAZIONE RESPONSABILE PROTEZIONE DATI (RPD) AI SENSI DELL'ART. 36, C. 2, LETT. A) DEL D. LGS. N. 50/2016
DICHIARAZIONI DI CUI ALL'ART.  3, LETT. A),  DELL'AVVISO
Il/La sottoscritto/a .........................................................................................
nato/a a......................................................................................... il ….................................
residente nel Comune di …..................................... C.A.P.  …..........  Provincia ….................
Stato  …...................................  Via/Piazza ….......................................................................
nella sua qualità di  ….......................................................................................
dell’impresa:
·        Denominazione: .........................................................................................
·        Sede legale: .........................................................................................
·        Sede operativa: .........................................................................................
·        Codice fiscale: .........................................................................................
·        Partita I.V.A.: .........................................................................................
·        Numero di recapito telefonico: .........................................................................................
·        Numero fax: .........................................................................................
·        E-mail: .........................................................................................
·        Casella posta elettronica certificata (P.E.C.): .........................................................................................
·        Iscrizione al Registro delle Imprese della C.C.I.A.A.            ….............................. al numero …..........
·        Codice di attività conforme ai valori dell’Anagrafe Tributaria (6 cifre indicate nell’ultima dichiarazione I.V.A.): …...........................................................
  • Agenzia delle entrate di competenza: Città …........... Via …............ Fax  ….....................      Codice Ufficio …....................................................
·        INAIL: codice impresa e relative PAT (Posizioni assicurative territoriali): ….............................
·        INPS: matricola azienda e sede competente: …....................................................................

Dichiara
ai sensi degli articoli 46 e 47 del d.P.R. 28 dicembre 2000, n. 445 e ss.mm. ii.
1. di non essere stato condannato con sentenza definitiva o decreto penale di condanna divenuto irrevocabile o sentenza di applicazione della pena su richiesta ai sensi dell’articolo 444 del codice di procedura penale per uno dei reati previsti nell’art. 80, comma 1, lettere  a), b), c), d), e), f), g) del Codice e precisamente:
a) delitti, consumati o tentati, di cui agli articoli 416, 416-bis del codice penale ovvero delitti commessi avvalendosi delle condizioni previste dal predetto articolo 416-bis ovvero al fine di agevolare l'attività delle associazioni previste dallo stesso articolo, nonché per i delitti, consumati o tentati, previsti dall'articolo 74 del decreto del Presidente della Repubblica 9 ottobre 1990, n. 309, dall’articolo 291-quater del decreto del Presidente della Repubblica 23 gennaio 1973, n. 43 e dall'articolo 260 del decreto legislativo 3 aprile 2006, n. 152, in quanto riconducibili alla partecipazione a un'organizzazione criminale, quale definita all'articolo 2 della decisione quadro 2008/841/GAI del Consiglio;
b) delitti, consumati o tentati, di cui agli articoli 317, 318, 319, 319-ter, 319-quater, 320, 321, 322, 322-bis, 346-bis, 353, 353-bis, 354, 355 e 356 del codice penale nonché all’articolo 2635 del codice civile;
b-bis) false comunicazioni sociali di cui agli articoli 2621 e 2622 del codice civile;
c) frode ai sensi dell'articolo 1 della convenzione relativa alla tutela degli interessi finanziari delle Comunità europee;
d) delitti, consumati o tentati, commessi con finalità di terrorismo, anche internazionale, e di eversione dell'ordine costituzionale, reati terroristici o reati connessi alle attività terroristiche;
e) delitti di cui agli articoli 648-bis, 648-ter e 648-ter.1 del codice penale, riciclaggio di proventi di attività criminose o finanziamento del terrorismo, quali definiti all'articolo 1 del decreto legislativo 22 giugno 2007, n. 109 e successive modificazioni;
f) sfruttamento del lavoro minorile e altre forme di tratta di esseri umani definite con il decreto legislativo 4 marzo 2014, n. 24;
g) ogni altro delitto da cui derivi, quale pena accessoria, l'incapacità di contrattare con la pubblica amministrazione.
2. di non trovarsi nelle condizioni previste nell’art. 80, comma 2, del Codice e precisamente che: nei propri confronti non sussistono cause di decadenza, di sospensione o di divieto previste dall'articolo 67 del decreto legislativo 6 settembre 2011, n. 159 ovvero un tentativo di infiltrazione mafiosa di cui all'articolo 84, comma 4, del medesimo decreto.
3. di non trovarsi nelle condizioni previste nell’art. 80, comma 4, del Codice e precisamente di non aver commesso violazioni gravi, definitivamente accertate, rispetto agli obblighi relativi al pagamento delle imposte e tasse o dei contributi previdenziali, secondo la legislazione italiana o quella dello Stato in cui sono stabiliti. [N.B.: Costituiscono gravi violazioni quelle che comportano un omesso pagamento di imposte e tasse superiore all'importo di cui all'articolo 48-bis, commi 1 e 2-bis, del decreto del Presidente della Repubblica 29 settembre 1973, n. 602. Costituiscono gravi violazioni quelle che comportano un omesso pagamento di imposte e tasse superiore all'importo di cui all'articolo 48-bis, commi 1 e 2-bis, del decreto del Presidente della Repubblica 29 settembre 1973, n. 602. Costituiscono violazioni definitivamente accertate quelle contenute in sentenze o atti amministrativi non più soggetti ad impugnazione. Costituiscono gravi violazioni in materia contributiva e previdenziale quelle ostative al rilascio del documento unico di regolarità contributiva (DURC), di cui all'articolo 8 del decreto del Ministero del lavoro e delle politiche sociali 30 gennaio 2015, pubblicato sulla Gazzetta Ufficiale n. 125 del 1° giugno 2015, ovvero delle certificazioni rilasciate dagli enti previdenziali di riferimento non aderenti al sistema dello sportello unico previdenziale. Le disposizioni di cui all’art. 80, comma 4, del Codice non si applicano quando l'operatore economico ha ottemperato ai suoi obblighi pagando o impegnandosi in modo vincolante a pagare le imposte o i contributi previdenziali dovuti, compresi eventuali interessi o multe, purché il pagamento o l'impegno siano stati formalizzati prima della scadenza del termine per la presentazione delle domande.].
4. di non trovarsi nelle condizioni previste nell’art. 80, comma 5, lettere  a), b), c), d), e), f), f-bis), f-ter) g), h), i), l), m),  del Codice e precisamente:
a) di non aver commesso gravi infrazioni debitamente accertate alle norme in materia di salute e sicurezza sul lavoro nonché agli obblighi di cui all'articolo 30, comma 3, del Codice;
b) di non trovarsi in stato di fallimento, di liquidazione coatta, di concordato preventivo e che nei suoi riguardi non è in corso un procedimento per la dichiarazione di una di tali situazioni;
(oppure, in caso di concordato preventivo con continuità aziendale)
b) di avere depositato il ricorso per l’ammissione alla procedura di concordato preventivo con continuità aziendale, di cui all’art. 186-bis del R.D. 16 marzo 1942, n. 267, oppure domanda di concordato preventivo ex art. 161, comma 6, del R.D. 16 marzo 1942 n. 267 (c.d. concordato in bianco) e di essere stato autorizzato alla partecipazione a procedure per l’affidamento di contratti pubblici dal Tribunale di … [inserire riferimenti autorizzazione, n., data, ecc., …]: per tale motivo, dichiara di non partecipare alla presente gara quale impresa mandataria di un raggruppamento di imprese; [N.B.: alla suddetta dichiarazione deve essere allegata relazione di un professionista in possesso dei requisiti di cui all’art. 67, lett. d), del R.D. 16 marzo 1942, n. 267, che attesti la conformità al piano di risanamento e la ragionevole capacità di adempimento del contratto];
(oppure)
b) di trovarsi in stato di concordato preventivo con continuità aziendale, di cui all’art. 186-bis del R.D. 16 marzo 1942, n. 267, giusto decreto del Tribunale di ……..[inserire riferimenti n., data, ecc., …]: per tale motivo, dichiara di non partecipare alla presente gara quale impresa mandataria di un raggruppamento di imprese; [N.B.: alla suddetta dichiarazione deve essere allegata relazione di un professionista in possesso dei requisiti di cui all’art. 67, lett. d), del R.D. 16 marzo 1942, n. 267, che attesti la conformità al piano di risanamento e la ragionevole capacità di adempimento del contratto];
c) di non essersi reso colpevole di gravi illeciti professionali, tali da rendere dubbia la sua integrità o affidabilità. [N.B.: Tra questi rientrano: le significative carenze nell'esecuzione di un precedente contratto di appalto o di concessione che ne hanno causato la risoluzione anticipata, non contestata in giudizio, ovvero confermata all'esito di un giudizio, ovvero hanno dato luogo ad una condanna al risarcimento del danno o ad altre sanzioni; il tentativo di influenzare indebitamente il processo decisionale della stazione appaltante o di ottenere informazioni riservate ai fini di proprio vantaggio; il fornire, anche per negligenza, informazioni false o fuorvianti suscettibili di influenzare le decisioni sull'esclusione, la selezione o l'aggiudicazione ovvero l'omettere le informazioni dovute ai fini del corretto svolgimento della procedura di selezione];
d) di non essere a conoscenza di una situazione di conflitto di interesse ai sensi dell'articolo 42, comma 2, del Codice non diversamente risolvibile;
e) di non essere stato coinvolto con altri operatori economici nella preparazione della procedura d'appalto di cui all'articolo 67 del Codice;
f) di non essere stato soggetto alla sanzione interdittiva di cui all'articolo 9, comma 2, lettera c) del decreto legislativo 8 giugno 2001, n. 231 o ad altra sanzione che comporta il divieto di contrarre con la pubblica amministrazione, compresi i provvedimenti interdittivi di cui all'articolo 14 del decreto legislativo 9 aprile 2008, n. 81;
f-bis) di non aver presentato nella procedura di gara in corso e negli affidamenti di subappalti documentazione o dichiarazioni non veritiere;
f-ter)  che nel casellario informatico tenuto dall'Osservatorio dell'ANAC non risulta nessuna iscrizione per aver presentato false dichiarazioni o falsa documentazione nelle procedure di gara e negli affidamenti di subappalti
g) che nel casellario informatico tenuto dall'Osservatorio dell'ANAC non risulta nessuna iscrizione per aver presentato false dichiarazioni o falsa documentazione ai fini del rilascio dell'attestazione di qualificazione;
h) di non aver violato il divieto di intestazione fiduciaria di cui all'articolo 17 della legge 19 marzo 1990, n. 55 [N.B.: l'esclusione ha durata di un anno decorrente dall'accertamento definitivo della violazione e va comunque disposta se la violazione non è stata rimossa];
i) di essere in regola con le norme che disciplinano il diritto al lavoro dei disabili, ai sensi della l. 12 marzo 1999, n. 68;
l) di non essere stato vittima dei reati previsti e puniti dagli articoli 317 e 629 del codice penale aggravati ai sensi dell'articolo 7 del decreto-legge 13 maggio 1991, n. 152, convertito, con modificazioni, dalla legge 12 luglio 1991, n. 203;
(oppure)
l) di essere stato vittima dei reati previsti e puniti dagli articoli 317 e 629 del codice penale aggravati ai sensi dell'articolo 7 del decreto-legge 13 maggio 1991, n. 152, convertito, con modificazioni, dalla legge 12 luglio 1991, n. 203 e di avere denunciato i fatti all'autorità giudiziaria;
m) di non trovarsi rispetto ad un altro partecipante alla medesima procedura di affidamento, in una situazione di controllo di cui all'articolo 2359 del codice civile o in una qualsiasi relazione, anche di fatto, tale da comportare che le offerte siano imputabili ad un unico centro decisionale.
5. che il gruppo di lavoro sarà formato dai seguenti soggetti
…...............................................
…...............................................
…...............................................
[Indicare nominativo del soggetto, qualifica, funzione all'interno del gruppo di lavoro]
[Allegare curriculum dei soggetti indicati]
6. di avere svolto con buon esito i seguenti incarichi analoghi presso aziende private o pubbliche amministrazioni:
…............................
…............................
[Indicare committente, oggetto dell'affidamento, periodo di esecuzione, importo]
…………………………………., …..……………………..
[Luogo]                                   [Data]
……………………………………
[Firma leggibile]

[Allegare copia fotostatica non autenticata del documento di identità del sottoscrittore]

****

Modello B


Comune di ____

via ____ n. __

Cap____ 

INDAGINE INFORMALE DI MERCATO PER IL CONFERIMENTO DELL’INCARICO PER L’ATTUAZIONE DEL REGOLAMENTO U.E n. 679/2016 SULLA PROTEZIONE DEI DATI PERSONALI   ED INDIVIDUAZIONE RESPONSABILE PROTEZIONE DATI (RPD) AI SENSI DELL'ART. 36, C. 2, LETT. A) DEL D. LGS. N. 50/2016
PREVENTIVO DI SPESA
Il/La sottoscritto/a .........................................................................................
nato/a a......................................................................................... il ….................................
residente nel Comune di …..................................... C.A.P.  …..........  Provincia ….................
Stato  …...................................  Via/Piazza ….......................................................................
nella sua qualità di  ….......................................................................................
dell’impresa:
·        Denominazione: .........................................................................................
·        Sede legale: .........................................................................................
·        Sede operativa: .........................................................................................
·        Codice fiscale: .........................................................................................
·        Partita I.V.A.: .........................................................................................
·        Numero di recapito telefonico: .........................................................................................
·        Numero fax: .........................................................................................
·        E-mail: .........................................................................................
·        Casella posta elettronica certificata (P.E.C.): .........................................................................................
·        Iscrizione al Registro delle Imprese della C.C.I.A.A.            ….............................. al numero …..........
·        Codice di attività conforme ai valori dell’Anagrafe Tributaria (6 cifre indicate nell’ultima dichiarazione I.V.A.): …...........................................................
  • Agenzia delle entrate di competenza: Città …........... Via …............ Fax  ….....................      Codice Ufficio …....................................................
·        INAIL: codice impresa e relative PAT (Posizioni assicurative territoriali): ….............................
·        INPS: matricola azienda e sede competente: …....................................................................
Dichiara

1. di avere preso visione del Disciplinare Tecnico allegato all'Avviso di Indagine informale di mercato per il conferimento dell’Incarico per l’attuazione del Regolamento U.E. n. 679/2016 sulla protezione dei dati personali ed individuazione Responsabile Protezione Dati (RPD) ai sensi dell'art. 36, c. 2, lett. a) del d. lgs. n. 50/2016;
2. di chiedere quale corrispettivo per l'esecuzione della prestazione in oggetto – secondo le modalità dichiarate nella Relazione tecnica – i seguenti importi:
·        Attività di cui all'art. 1 lett. A) dell'Avviso:
      incarico di RDP per il periodo di due anni;
      valutazione di impatto sulla protezione dei dati;
€ ….............................................................................................. [in cifre], dicasi euro ………………………...virgola……………………….  [in lettere] IVA esclusa;
·        Attività di cui all'art. 1 lett. B) dell'Avviso:
      supporto e assistenza alla mappatura  dei processi,  per individuare quelli collegati al trattamento  dei dati personali;
      individuazione, tra i processi risultanti dalla mappatura, di quelli che presentano rischi, con una prima valutazione degli stessi i termini di maggiore o minore gravità;
      supporto e assistenza alla mappatura degli incarichi dei soggetti coinvolti nel trattamento e dei livelli di responsabilità, ed eventuale aggiornamento;
      elaborazione del piano di adeguamento complessivo, contenente le proposte di miglioramento del livello di sicurezza per i processi che presentano rischi, con stima dei costi (se necessario) e dei tempi previsti, nonché delle attività di monitoraggio;
      predisposizione del registro dei trattamenti di dati personali e del registro delle categorie di attività;
€ ….............................................................................................. [in cifre], dicasi euro ………………………...virgola……………………….  [in lettere] IVA esclusa;
·        Attività di cui all'art. 1 lett. C) dell'Avviso:
      interventi formativi del personale;
      proposta di adeguamento della modulistica in uso agli uffici, qualora non conforme alle nuove disposizioni;
€ ….............................................................................................. [in cifre], dicasi euro ………………………...virgola……………………….  [in lettere] IVA esclusa.

…………………………………., …..……………………..
[Luogo]                                   [Data]
……………………………………
[Firma leggibile]

[Allegare copia fotostatica non autenticata del documento di identità del sottoscrittore]


2 commenti:

  1. Oltre venti pagine di atti... e meno male che è una procedura semplificata!

    RispondiElimina
  2. Lo trovo sempre utile....ma è lett. a) o lett.b) ?non c'è trasparenza sui criteri di selezione... sembra in bilico tra procedura negoziata e aff. diretto. Non scrivo per criticare ma perchè è il problema che devo affrontare in questi giorni

    RispondiElimina