COMUNE DI SAN GIORGIO DELLA RICHINVELDA
PROVINCIA DI PORDENONE
AREA SERVIZI INTERNI
Determinazione nr. 192 Del 13/06/2018
OGGETTO: SERVIZIO DPO RESPONSABILE DELLA PROTEZIONE DEI DATI AI SENSI DELL’ART.37 DEL REGOLAMENTO UE 679/2016. AFFIDAMENTO ALLA DITTA BOXXAPPS S.R.L. CON SEDE A MESTRE (VE). CIG Z9823D67A6
IL RESPONSABILE DEL SERVIZIO PREMESSO che:
− con deliberazione del C.C. n.09 del 27.02.2018 è stato approvato il D.U.P. per il triennio 2018/2020;
− con deliberazione del C.C. n.10 del 27.02.2018 è stato approvato il Bilancio di previsione 2018/2020 e il programma triennale delle opere pubbliche 2018/2020;
− con deliberazione n.75 del 17.09.2014 la Giunta Comunale ha approvato il nuovo organigramma dell’Ente;
− con deliberazione della G.C. n.66 del 02.08.2017 è stato approvato il Piano operativo di gestione 2017/2019 ed assegnate le dotazioni finanziarie ai responsabili di servizio titolari di posizione organizzativa;
− con decreto sindacale n.95 del 04.01.2018 il dott. Umberto Lodi è stato nominato Responsabile dell’Area Servizi Interni con decorrenza dal 01.01.2018;
RICHIAMATA la circolare 18.04.2017 n.2/2017 dell’AGID, pubblicata in G.U. Serie Generale n.103 del 05.05.2017, che sostituisce la circolare n.1/2017 del 17.03.2017 recante “Misure minime di sicurezza ICT per le pubbliche amministrazioni” che ha come scopo di indicare le misure minime per la sicurezza ICT che devono essere adottate e stabilisce quali tempi di attuazione il 31.12.2017;
CONSIDERATO che il 25 maggio 2016 è entrato in vigore il Regolamento Europeo Privacy UE/2016/679 o GDPR (General Data Protection Regulation) che stabilisce le nuove norme in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché le norme relative alla libera circolazione di tali dati;
RILEVATO che il summenzionato Regolamento è direttamente applicabile in ciascuno degli Stati membri dell’UnioneEuropea ed è entrato in vigore il 25 maggio 2018;
CONSIDERATO che con il Regolamento Europeo Privacy UE/2016/679 viene recepito nel nostro ordinamento giuridico il “principio di accountability”(obbligo di rendicontazione) che impone alle Pubbliche Amministrazioni titolari del trattamento dei dati:
− di dimostrare di avere adottato le misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell’arte e dei costi di attuazione,nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche;
− che i trattamenti siano conformi ai principi e alle disposizioni del Regolamento, prevedendo, altresì, l’obbligo del titolare o del responsabile del trattamento della tenuta di apposito registro delle attività di trattamento,compresa la descrizione circa l’efficacia delle misure di sicurezza adottate;
− che il registro di cui al punto precedente, da tenersi in forma scritta o anche in formato elettronico, deve contenere una descrizione generale delle misure di sicurezza tecniche e organizzative e che su richiesta, il titolare del trattamento o il responsabile del trattamento sono tenuti a mettere il registro a disposizione dell’autorità di controllo;
TENUTO CONTO, inoltre, che il Regolamento Europeo Privacy UE/2016/679 ha:
− disciplinato la nuova figura del “Data Protection Officer” (DPO), responsabile della protezione dei dati personali che le pubbliche amministrazioni hanno l’obbligo di nominare al proprio interno e deve sempre essere “coinvolto in tutte le questioni riguardanti la protezione dei dati personali”;
− rafforzato i poteri delle Autorità Garanti nazionali ed inasprito le sanzioni amministrative a carico di imprese e pubbliche amministrazioni, in particolare, in caso di violazioni dei principi e disposizioni del Regolamento, le sanzioni possono arrivare fino a 10 milioni di euro o per le imprese fino al 2% - 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore;
DATO ATTO che la nuova normativa europea fa carico alle Pubbliche Amministrazioni di non limitarsi alla semplice osservanza di un mero adempimento formale in materia di privacy, conservazione e sicurezza dei dati personali, ma attua un profondo mutamento culturale con un rilevante impatto organizzativo da parte dell’Ente nell’ottica di adeguare le norme di protezione dei dati ai cambiamenti determinati dalla continua evoluzione delle tecnologie (cloud computing, digitalizzazione, social media, cooperazione applicativa, interconnessione di banche dati, pubblicazione automatizzata di dati on line) nelle amministrazioni pubbliche;
RITENUTO, pertanto, necessario realizzare un “modello organizzativo” da implementare in base ad una preliminare analisi dei rischi e ad un’autovalutazione finalizzata all’adozione delle migliori strategie volte a presidiare i trattamenti di dati effettuati, abbandonando l’approccio meramente formale del D.Lgs. 196/2003, limitato alla mera adozione di una lista “minima” di misure di sicurezza, realizzando, piuttosto, un sistema organizzativo caratterizzato da un’attenzione multidisciplinare alle specificità della struttura e della tipologia di trattamento, sia dal punto di vista della sicurezza informatica e in conformità agli obblighi legali, sia in considerazione del modello di archiviazione e gestione dei dati trattati. Tutto questo prevedendo, al contempo, non solo l’introduzione di nuove figure soggettive e professionali che dovranno presidiare i processi organizzativi interni per garantire un corretto trattamento dei dati personali, tra cui la figura del Responsabile della Protezione dei dati personali (DPO), ma altresì l’adozione di nuove misure tecniche ed organizzative volte a garantire l’integrità e la riservatezza dei dati, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico, nonché la verifica e la valutazione dell’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento;
CONSIDERATO che l’Ente non ha un ufficio informatico o personale specializzato in materia; che la convenzione con il CED del Comune di Spilimbergo non prevede tale servizio ed è in scadenza; che l’affidamento esterno di gestione del sistema informatico non prevede tale incarico;
VISTO che l’attuazione degli adempimenti previsti nel regolamento Europeo e nella suddetta circolare AGID richiede un supporto specialistico, qualificato nella fornitura di servizi professionali nel settore ICT;
RICHIAMATA la propria determinazione n.374 del 06.12.2017 con la quale è stato affidato alla ditta BOXXAPPS S.r.l. con sede legale in via Torino, 180 – 30172 Mestre (VE) c.f. e p.iva 04155080270 il progetto del Sistema di Gestione della Privacy relativo alla verifica della corretta applicazione delle Misure Minime di Sicurezza ICT e successiva stesura del Registro delle Attività di Trattamento secondo il Regolamento dell’Unione Europea;
VISTO che entro il termine del 31.12.2017 sono state adottate le Misure Minime di sicurezza indicate da AGID per il contrasto alle minacce cibernetiche;
VISTO che entro il termine del 25.05.2018, con prot.n.4245 del 21.05.2018, è stato predisposto il regolamento delle attività di trattamento come previsto dall’art.30 del Regolamento UE 679/2016 ed individuati i responsabili interni ed esterni del trattamento dei dati;
VISTA la necessità di nominare il Responsabile della protezione dei dati – Data Protection Officer DPO come previsto dall’art.37 del GDPR cui compiti sono disciplinati dall’art.39 di detto Regolamento;
VISTO che ai sensi dell’art.37 c.5 il Data Protection Officer “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i rispettivi compiti” di cui all’art. 39”;
VISTO che il servizio è presente a catalogo Mepa - Iniziativa/Lotto:Servizi/Servizi per l’Information &
Communication Technology;
RICHIAMATA la deliberazione della Giunta Comunale n.43 del 30.05.2018 con la quale è stato incrementato lo stanziamento al capitolo 236 (PCF 1.03.02.11.999);
RICHIAMATA la propria determinazione n.181 del 01.06.2018 con la quale si affidava alla ditta BOXXAPPS S.r.l. con sede legale in via Torino, 180 – 30172 Mestre (VE) c.f. e p.iva 04155080270 il servizio X-DPO di cui agli artt.37, 38 e 39 del GDPR per il periodo 2018/2019;
RICHIAMATA la determinazione n.191 del 13.06.2018 con la quale il suddetto atto è stato revocato per mancanza di copertura finanziaria nel bilancio pluriennale 2019, in base al riparto della spesa per obbligazione giuridica;
RICHIAMATA la trattativa diretta su Mepa n.522705 dell’08.06.2018 con la ditta BOXXAPPS S.r.l.
con sede legale in via Torino, 180 – 30172 Mestre (VE) c.f. e p.iva 04155080270 per il servizio in argomento per la sola annualità 2018;
VISTI:
− l’art. 36, comma 2, lettera a), del D. Lgs 50/2016 il quale prevede che le stazioni appaltanti procedono all'affidamento di lavori, servizi e forniture di importo inferiore a 40.000 euro, mediante affidamento diretto, adeguatamente motivato o per i lavori in amministrazione diretta;
− l’art. 37, comma 1, del D. Lgs 50/2016 il quale recita che le stazioni appaltanti, fermi restando gli obblighi di utilizzo di strumenti di acquisto e di negoziazione, anche telematici, previsti dalle vigenti disposizioni in materia di contenimento della spesa, possono procedere direttamente e
autonomamente all’acquisizione di forniture e servizi di importo inferiore a 40.000 euro senza la necessaria qualificazione di cui all’articolo 38 del D.Lgs. citato;
− il valore contrattuale del servizio in argomento è inferiore alla soglia di rilevanza comunitaria ed in particolare inferiore ad € 40.000.=;
RICHIAMATO quanto disposto dalla Legge di stabilità 2016 (L. 23 dicembre 2015 n.208), art.1 comma 501, modificando l'articolo 23-ter, comma 3, del decreto-legge 24 giugno 2014, n. 90, convertito, con modificazioni, dalla legge 11 agosto 2014, n. 114, consente ai Comuni di procedere autonomamente agli acquisti di beni, servizi e lavori di valore inferiore a € 40.000;
RITENUTO:
− di affidare alla ditta BOXXAPPS S.r.l. con sede legale in via Torino, 180 – 30172 Mestre (VE) c.f.
e p.iva 04155080270 il servizio X-DPO di cui agli artt.37, 38 e 39 del GDPR per l’anno 2018 per un corrispettivo complessivo di € 2.000,00 IVA escl. per un totale di € 2.440,00;
− di impegnare la spesa complessiva di euro 2.440,00 sui capitoli di seguito elencati:
Eser. EPF CIG Cap/Art M - P cofog Piano dei conti Finanziario Importo
(eu) Soggetto UE
2018 2018 Z9823D67A6 236/0 1-11 13 1 3 2 11 999 2.440,00 BOXXAPPS SRL cod.fisc.
04155080270/ p.i. IT
04155080270 8
ACQUISITO il DURC On Line regolare nei confronti di INPS e INAIL, scadenza validità 23.06.2018;
PRESO ATTO degli adempimenti posti sulla tracciabilità dei flussi finanziari dall’art. 3, comma 5 della Legge n. 136 del 13.08.2010 così come modificato dal D.L. 187/2010 il Codice Identificativo di Gara – CIG è il seguente: Z9823D67A6;
DATO ATTO che il programma dei pagamenti conseguente al presente provvedimento è compatibile con i relativi stanziamenti di cassa e con le regole del patto di stabilità interno;
DATO ATTO che, ai sensi dell'art. 9 del D.L. 01.07.2009, n.78, convertito nella L. 03.08.2009, n.102, che i pagamenti conseguenti al presente provvedimento sono compatibili con gli stanziamenti indicati nel PRO e con i vincoli di finanza pubblica;
VISTO l’articolo 151, comma 4 del D.Lgs. 18 agosto 2000 n. 267, che sancisce l’esecutività dei provvedimenti dei responsabili dei servizi, che comportano impegni di spesa, previa apposizione da parte del responsabile del servizio finanziario del visto di regolarità contabile attestante la copertura finanziaria;
DATO ATTO che la sottoscrizione del presente atto costituisce parere favorevole di regolarità tecnica, attestante la regolarità e la correttezza dell’azione amministrativa, ai sensi dell’art. 147 bis del TUEL 267/2000, come introdotto dal D.L. 174/2012;
VISTI:
- gli artt.107, 109 e 151 del D.Lgs. 267/2000 per i quali spetta ai responsabili di servizio assumere l’impegno di spesa;
- il Regolamento di contabilità approvato con delibera consiliare n.62 del 28.09.1999;
- il Regolamento comunale sull'ordinamento degli uffici e dei servizi approvato con delibera giuntale n.137 del 18.10.2000;
ACCERTATA la disponibilità finanziaria;
D E T E R M I N A Per le motivazioni in premessa:
− di affidare alla ditta BOXXAPPS S.r.l. con sede legale in via Torino, 180 – 30172 Mestre (VE) c.f.
e p.iva 04155080270 il servizio X-DPO di cui agli artt.37, 38 e 39 del GDPR per l’anno 2018 per un corrispettivo complessivo di € 2.000,00 IVA escl. per un totale di € 2.440,00;
− di impegnare la spesa complessiva di euro 2.440,00 sui capitoli di seguito elencati:
Eser. EPF CIG Cap/Art M - P cofog Piano dei conti Finanziario Importo
(eu) Soggetto UE
2018 2018 Z9823D67A6 236/0 1-11 13 1 3 2 11 999 2.440,00 BOXXAPPS SRL cod.fisc.
04155080270/ p.i. IT
04155080270 8
− di dare atto altresì che l’obbligazione giuridica assunta con il presente atto, tenuto conto dei principi contabili in materia di imputazione delle spese di cui al punto 5 dell’allegato n. 4/2 al D.Lgs.
118/2011, sarà esigibile nell’anno 2018;
− di dare atto che è stato accertato che il programma dei pagamenti è compatibile con gli stanziamenti di bilancio e con le regole di finanza pubblica ai sensi dell’art. 9 D.L. 78/2009 convertito in L.
102/2009.
IL RESPONSABILE DELL’AREA SERVIZI INTERNI
(dott. Umberto Lodi)
COMUNE DI SAN GIORGIO DELLA RICHINVELDA
PROVINCIA DI PORDENONE
N.RO DETERMINA DATA PROPOSTA DA DATA ESECUTIVITA’
192 13/06/2018
Area servizi interni 14/06/2018OGGETTO: SERVIZIO DPO RESPONSABILE DELLA PROTEZIONE DEI DATI AI SENSI DELL’ART.37 DEL REGOLAMENTO UE 679/2016. AFFIDAMENTO ALLA DITTA
BOXXAPPS S.R.L. CON SEDE A MESTRE (VE). CIG Z9823D67A6
Ai sensi dell’art. 151, comma 4° del D.Lgs.267 18.08.2000, si appone il visto di regolarità contabile e l’attestazione della copertura finanziaria.
IL RESPONSABILE DELL’UFFICIO RAGIONERIA
(F.toGiacomina PRADOLIN)
Riferimento pratica finanziaria : 2018/388
Impegna la spesa complessiva di euro 2.440,00 sui capitoli di seguito elencati:
Eser. EPF CIG Cap/Art M - P Cofog Piano dei conti Finanziario Importo (eu) Soggetto UE Num.
Impegno 2018 2018 Z9823D67A6 236/0 1-11 13 1 3 2 11 999 2.440,00 BOXXAPPS SRL cod.fisc.
04155080270/ p.i. IT
04155080270 8 444
COMUNE DI SAN GIORGIO DELLA RICHINVELDA
PROVINCIA DI PORDENONE
N.RO DETERMINA DATA PROPOSTA DA DATA ESECUTIVITA’
192 13/06/2018
Area servizi interni 14/06/2018OGGETTO: SERVIZIO DPO RESPONSABILE DELLA PROTEZIONE DEI DATI AI SENSI DELL’ART.37 DEL REGOLAMENTO UE 679/2016. AFFIDAMENTO ALLA DITTA BOXXAPPS S.R.L. CON SEDE A MESTRE (VE). CIG Z9823D67A6
CERTIFICATO DI PUBBLICAZIONE
Il sottoscritto impiegato responsabile certifica che copia della presente determina viene affissa all’Albo Pretorio on line il 14/06/2018 e vi rimarrà per 15 (quindici) giorni consecutivi, fino al 29/06/2018.
[--OLE_LINK13--]Addì 14/06/2018 L’IMPIEGATO RESPONSABILE F.toDott. Umberto Lodi
