4.
TRASPARENZA E PRIVACY. LA LORO GESTIONE
NELL’AZIENDA OSPEDALIERA PISANA
SOMMARIO: 4.1 Il Codice e il Regolamento privacy dell’Azienda Ospedaliero Universitaria Pisana - 4.2 I compiti e le modalità di trattamento dei dati personali secondo il Codice e il Regolamento privacy interno Azienda Ospedaliero Universitaria Pisana - 4.3 La trasparenza. approvazione del piano triennale della trasparenza
In questo capitolo mi occuperò dell’organizzazione interna agli uffici am-ministrativi competenti in materia di privacy e trasparenza e delle modalità con le quali vengono trattati e gestiti i dati personali e sensibili dei fruitori del servi-zio sanitario locale. Preciso inoltre che il materiale e i documenti di cui sono ve-nuto in possesso e che mi hanno consentito di scrivere gran parte del capitolo in questione, mi sono stati forniti ed è stato possibile per me utilizzarli in seguito al tirocinio formativo presso l’ufficio affari generali dell’Azienda Ospedaliero Universitaria Pisana (A.O.U.P.), di seguito denominata Azienda.
4.1 Il Codice e il Regolamento privacy dell’Azienda Ospedaliero Univer-sitaria Pisana
4.1.1 I titolari del trattamento dei dati personali
In base al Regolamento del trattamento dei dati personali adottato dall’Azien-da Ospedall’Azien-daliero Universitaria Pisana, che segue le direttive del D.Lgs. 196/2003,
Codice in materia dei dati personali, la struttura e i soggetti titolari del
tratta-mento sono individuati all’interno del capo IV del Regolatratta-mento.
Secondo l’articolo 20 infatti, è titolare del trattamento dei dati personali il Direttore Generale, legale rappresentante dell’Azienda. Egli provvede, se-condo le disposizioni del Codice e del Regolamento:
a) ad esercitare, attraverso i competenti organismi aziendali, le attività di vigilanza, promozione culturale e miglioramento qualitativo san-cite dal Regolamento;
b) ad assolvere l’obbligo di notificazione dei trattamenti dei dati all’Au-torità Garante;
c) a nominare con provvedimento formale i responsabili del Trattamento; d) a nominare il Referente Aziendale per la Privacy (R.A.P.) ed il
Con-sulente Informatico per la privacy;
e) ad approvare il Documento programmatico per la sicurezza dei dati (D.P.S.);
f) a disporre la rilevazione periodica (censimento trattamenti o CE.TRA.) dei trattamenti dei dati effettuati in Azienda;
g ad operare, con proprio provvedimento, il blocco dei dati nei casi e con i limiti previsti dal Codice;
h) ad assicurare l’informazione e la formazione del personale sul tema della tutela della riservatezza dei dati personali;
i) ad esercitare ogni altra funzione connessa con la gestione di dati per-sonali prevista dalle proprie vigenti disposizioni.
Per l’esercizio degli adempimenti e delle attività sopra dettagliati il Diret-tore Generale si avvale del Referente Aziendale per la Privacy, del Referente Informatico per la Privacy e delle altre strutture e figure aziendali che riterrà opportuno coinvolgere.
All’atto di attribuzione delle relative funzioni, assumono la qualifica di responsabili del trattamento dei dati personali (art. 21 del Regolamento) le seguenti figure appartenenti all’Azienda:
a) i responsabili delle Unità Operative, Sezioni, Uffici presso le quali i trattamenti sono effettuati;
b) i direttori dei Dipartimenti ad Attività Integrata (D.A.I.) nei quali l’Azienda è articolata;
c) il Direttore Amministrativo ed il Direttore Sanitario per i trattamen-ti di datrattamen-ti necessari per lo svolgimento delle attrattamen-tività di rispettrattamen-tiva competenza.
La funzione di Responsabile del Trattamento è attribuita personalmente, non è suscettibile di delega e i responsabili effettuano il trattamento dei dati personali secondo i criteri e le modalità previsti dal Codice ed in conformità alle indicazioni fornite dal Regolamento aziendale; nonché si occupano della nomina, in forma scritta, con documento conservato presso le rispettive struttu-re, degli incaricati del trattamento dei dati personali, nell’ambito della propria struttura e per i trattamenti di dati di propria competenza, secondo livelli dif-ferenziati e profili omogenei; tra le figure degli incaricati di cui al precedente punto, un addetto alle seguenti attività: backup, aggiornamento degli antivirus e delle patches, aggiornamento dei sistemi utilizzati per il trattamento dei dati personali, gestione delle password e attrezzature informatiche. Sempre tra le figure degli incaricati, quelli specificamente addetti all’archivio cartaceo.
I responsabili, per l’ambito di loro competenza ed avvalendosi, se del caso, del supporto tecnico della Commissione Permanente di cui all’artico-lo 28 o di ogni altra competente struttura aziendale, adottano le misure di sicurezza dei dati personali, in base alle indicazioni impartite dal Titolare con l’adozione del Documento Programmatico di Sicurezza o con ogni altra direttiva aziendale; curano la diffusione delle norme, delle linee guida e di ogni altra disposizione impartita sull’argomento dall’Azienda fra i dipendenti incaricati del trattamento dei dati; adottano linee guida di sicurezza, istru-zioni interne, linee di comportamento per il personale, per i pazienti e per i visitatori; compilano la scheda aziendale di rilevazione dei trattamenti e delle banche dati che costituisce annualmente il Censimento Trattamenti Dati, di cui all’articolo 3239; verificano l’esattezza, l’aggiornamento, la pertinenza e
la congruità dei dati, in rapporto all’attività svolta, nei limiti ed in base a
39 È effettuato ogni anno, a cura del Referente Aziendale per la Privacy il censimento ufficiale dei trattamenti di
dati effettuati in Azienda, (C.E.T.R.A.), comprensivo di una puntuale rilevazione delle banche dati e degli archivi esistenti nell’Azienda.
quanto previsto dagli articoli 34 e 35; effettuano, limitatamente all’ambito e agli aspetti di competenza, l’analisi dei rischi che incombono nei trattamenti dei dati e nella conservazione dei medesimi; adottano registri degli accessi e di consultazione dei dati; partecipano alle iniziative aziendali di formazi-one sul campo e ne agevolano l’attuaziformazi-one e la partecipaziformazi-one del person-ale loro assegnato; danno seguito, nei limiti di quanto previsto dal comma 2 dell’articolo 10, alle eventuali istanze e richieste degli utenti in merito ai dati personali; provvedono a comunicare al Referente Aziendale per la Privacy l’inizio, la cessazione o la modifica dei trattamenti di dati, con le modalità di cui all’articolo 34; comunicano altre sì tempestivamente allo stesso Referente Aziendale tutte le questioni rilevanti ai fini dell’applicazione della Legge, richiedendo se del caso pareri ed indicazioni.
I responsabili direttori delle Unità Operative o Sezioni sanitarie dell’Azien-da sono, infine, preposti anche alla gestione dei dell’Azien-dati personali trattati nella struttura di propria competenza in attività libero professionale intra muraria, salvo il caso che tale attività sia esercitata in spazi esterni alle pertinenze ospedaliere, messi a disposizione da soggetti esterni a seguito di convenzione con l’Azienda.
L’articolo 22 prevede la possibilità per l’Azienda di avvalersi di figure esterne per il trattamento dei dati personali. L’individuazione di tali soggetti, quali responsabili del trattamento dati personali, è prevista e specificata nelle clausole dei contratti o degli atti convenzionali di volta in volta stipulati, e in forza dei quali sono effettuati trattamenti di dati personali.40
I responsabili esterni all’Azienda, in ogni momento del rapporto con essa, sono tenuti ad assicurare il rispetto delle misure di sicurezza dei dati e delle prescrizioni di legge.
40 Allegato B1 della Relazione annuale sulle procedure di sicurezza per il trattamento dei dati personali e sensibili.
4.1.2 I soggetti incaricati di effetuare il trattamento dei dati
Gli articoli 23, 24 e 25 si occupano rispettivamente dei soggetti incaricati del trattamento, della loro nomina e delle mansioni ad essi affidate.
Sono incaricati del trattamento di dati personali tutti i soggetti che mate-rialmente effettuano le operazioni di trattamento dei dati personali, che ope-rano sotto la diretta autorità del responsabile e sono dal medesimo nominati con il modulo allegato al Regolamento.
Gli incaricati trattano solo i dati personali strettamente necessari per l’at-tività alla quale sono preposti e limitatamente al livello di accesso conferitogli dal responsabile.
Le funzioni di incaricato al trattamento di dati personali sono svolte, per lo svolgimento di compiti e mansioni proprie e di responsabilità professionali previste per ogni figura dalla normativa vigente, da:
personale medico o dirigente sanitario del Servizio Sanitario Nazio-•
nale o universitario della Facoltà di Medicina e Chirurgia dell’Uni-versità degli Studi di Pisa;
personale sanitario professionale (infermieristico e tecnico sanitario); •
personale ausiliario di assistenza; personale dei ruoli tecnico e ammi-•
nistrativo del Servizio Sanitario Nazionale.
Nel caso in cui lo svolgimento di trattamenti di dati personali sia previsto nell’atto che autorizza la loro frequenza o collaborazione con l’Azienda, sono nominati incaricati:
i collaboratori esterni legati all’Azienda da contratti di consulenza o •
di collaborazione coordinata e continuativa;
i medici, i biologi, i chimici ed i farmacisti specializzandi universita-•
ri; i ricercatori appartenenti ad enti di ricerca o universitari;
le persone autorizzate a frequentare le strutture dell’Azienda per •
svolgimento di stages, tirocini formativi o di borse di studio;
gli studenti del triennio di formazione clinica e delle Lauree di primo •
livello della Facoltà di Medicina e Chirurgia, autorizzati alla frequen-za, limitatamente alla sola consultazione di dati;
i laureandi, sia delle Lauree di Primo Livello che delle Lauree Spe-•
cialistiche della Facoltà di Medicina e Chirurgia dell’Università di Pisa, autorizzati alla frequenza;
i laureandi esterni all’Università di Pisa, previa singola autorizzazio-•
ne del Direttore Medico di Presidio.
La qualifica di incaricato è limitata alla durata del rapporto di frequenza, di lavoro o di collaborazione con l’Azienda.
Per quanto concerne la nomina invece, il responsabile individua e nomina gli incaricati del trattamento dati nel proprio ambito di competenza con pro-prio provvedimento, da sottoporre ad aggiornamento annuale e da conservare in originale presso la struttura di appartenenza.
La determinazione di profili e responsabilità di ciascuna categoria di per-sonale in ordine al trattamento dei dati non può discostarsi da quanto stabilito dal Regolamento.
Sono altresì incaricati del trattamento di dati personali i soggetti per i quali il responsabile del trattamento dei dati abbia inoltrato richiesta di pas-sword personale di accesso ai software aziendali. In questo caso il trattamento del dato è limitato dal profilo di accesso assegnato all’Incaricato ed esclusiva-mente per il software di riferimento.
Gli incaricati, infine, possono effettuare operazioni di trattamento dei dati limitatamente a quanto previsto nei profili previsti per ciascuna categoria di appartenenza, secondo le indicazioni contenute rispettivamente nei moduli T.06/R.A.0141 e T.07/R.A.0142.
41 Provvedimento di nomina degli incaricati al trattamento dei dati personali (art. 30 D.Lgs. 196/2003) Unità
Operative sanitarie
42 Provvedimento di nomina degli incaricati al trattamento dei dati personali (art. 30 D.Lgs. 196/2003) Unità
Gli incaricati:
effettuano il trattamento attenendosi alle istruzioni impartite dal re-a)
sponsabile, anche con riferimento agli aspetti relativi alla sicurezza; sono personalmente responsabili della gestione della password loro b)
assegnata, nei casi in cui effettuano trattamento dei dati con l’ausilio di strumenti informatici. È fatto assoluto divieto di cedere la propria password personale ad altri incaricati del trattamento;
sono responsabili della custodia dei documenti cartacei loro affidati c)
per effettuare le operazioni di trattamento, con obbligo di restituirli al termine delle operazioni affidate. La custodia di documenti conte-nenti dati sensibili e sanitari deve avvenire in modo da preservare la riservatezza e l’accesso ai soli incaricati.
4.1.3 Nello specifico, il Referente Aziendale Privacy
Secondo l’articolo 26, l’Azienda individua un Referente Aziendale per la
Privacy e gli garantisce un adeguato supporto per lo svolgimento dei compiti
lui assegnati.
Viene nominato con provvedimento del Direttore Generale, su proposta del Direttore Amministrativo e svolge i seguenti compiti:
garantisce il supporto alla Direzione Aziendale nei rapporti con il a)
Garante e nei rapporti con altri soggetti pubblici o privati per quanto riguarda gli adempimenti derivanti dalla normativa in materia; provvede alla stesura della Relazione Annuale sulle Procedure di Si-b)
curezza e delle rilevazioni ad esso correlate (primo fra tutti il censi-mento trattamenti dati, di cui abbiamo fatto cenno precedentemente) avvalendosi della necessaria collaborazione del Consulente Informa-tico43 per la Privacy e dei responsabili del trattamento;
vigila sull’osservanza del Regolamento aziendale fornendo la necessa-c)
ria consulenza in ordine alle problematiche in tema di riservatezza; tiene ed aggiorna il censimento dei trattamenti dei dati personali sen-d)
sibili sulla base delle comunicazioni effettuate dai responsabili del trattamento;
tiene ed aggiorna l’elenco degli archivi cartacei, informatizzati, ma-e)
gnetici di dati personali e/o sensibili custoditi a livello aziendale, te-nendo aggiornato il relativo il basamento informativo aziendale; cura e mantiene l’aggiornamento della lista utenza;
f)
propone l’attività di formazione in tema di normativa sulla riserva-g)
tezza dei dati, assicurando la promozione della cultura della privacy a livello aziendale;
segue, nei termini di cui all’articolo 10, le istanze dell’interessato h)
sui dati personali, e più in generale in tema di riservatezza, avanzate dall’interessato al titolare del trattamento;
propone l’adeguamento dei percorsi e delle procedure aziendali per i)
quanto attiene l’aspetto della riservatezza dei dati;
si occupa dei conflitti tra diritto alla riservatezza dei dati e dovere di j)
garantire la trasparenza dell’attività amministrativa;
affianca gli organi ispettivi aziendali per gli aspetti relativi alla tutela k)
dei dati personali.
Il Referente Aziendale per la Privacy è supportato in tutte le attività di cui all’articolo 23 da una commissione aziendale sulla tutela dei dati personali, con carattere collegiale e multidisciplinare, istituita in ambito aziendale e da lui stesso presieduta. I componenti della commissione sono individuati con Esterne alla A.O.U.P., individuano al proprio interno una figura di Consulente Informatico per la Privacy, dotato di qualificazione e di professionalità specifica, incaricato di supportare sul piano tecnico il Referente Aziendale per la
Privacy nello svolgimento dei compiti a questi assegnati. Il Consulente Informatico per la Privacy viene nominato
provvedimento del direttore generale, ferma restando la presenza obbligatoria del consulente informatico per la privacy, dell’Unità Operativa legale e di un dirigente medico della direzione medica di presidio.
La commissione si riunisce con cadenza almeno trimestrale, su convoca-zione e ordine del giorno predisposti dal Referente Aziendale per la Privacy; può essere comunque da questi convocata ogni qualvolta si dimostri neces-sario. La partecipazione è estesa ad ogni figura aziendale competente sulle questioni in discussione, assicurando il fattivo contributo della componente sanitaria e professionale.
Per ogni incontro viene effettuata formale rilevazione delle presenze e viene prodotto un processo verbale. I documenti prodotti sono inoltrati alla direzione aziendale a cura del Referente Aziendale per la Privacy sotto forma di relazioni e di raccomandazioni.
4.2 I compiti e le modalità di trattamento dei dati personali secondo il Codice e il Regolamento privacy interno Azienda Ospedaliero Universitaria Pisana 4.2.1 Principi generali
Per quanto concerne invece gli adempimenti aziendali, i compiti e i do-veri cui sono tenuti i soggetti di cui al paragrafo precedente, i capi I e V del Regolamento individuano le categorie e lo spazio di intervento concreto dell’Unità Operativa in materia di trattamento dei dati personali. Prima di addentrarci nella specificità delle direttive aziendali, occorre fare una piccola premessa circa l’oggetto e i principi del Regolamento, nonché le finalità e la tipologia dei dati trattati.
Il Regolamento contiene le disposizioni attuative del Decreto Legislativo 30/06/2003 n. 196, e del Regolamento per il trattamento dei dati personali sensibili e giudiziari approvato ai sensi dell’articolo 20 del Codice con
Decre-to del Presidente della Giunta Regione Toscana n. 18/R del 16 maggio 2006, nell’ambito dell’Azienda Ospedaliero Universitaria Pisana.
L’Azienda garantisce che il trattamento dei dati personali avvenga nel ri-spetto dei diritti, delle libertà fondamentali, della dignità delle persone fisiche e giuridiche, con particolare riferimento alla riservatezza ed alla protezio-ne dei dati personali degli utenti, vigilando in merito con le modalità di cui all’articolo 14.
Tutte le figure aziendali coinvolte nel trattamento dei dati personali ope-rano nel rispetto del segreto professionale, del segreto d’ufficio e dei principi di correttezza, liceità e trasparenza, in applicazione di quanto disposto dal
Co-dice, dalla normativa vigente, dal presente Regolamento e dalle altre vigenti
disposizioni aziendali.
Le disposizioni del Regolamento non pregiudicano l’esercizio del diritto di accesso previsto dalla normativa vigente e dal Regolamento aziendale sul diritto d’accesso agli atti delle pubbliche amministrazioni.
I trattamenti di dati personali effettuati dall’Azienda sono finalizzati allo svolgimento dei compiti del Servizio Sanitario Nazionale annoverati tra le finalità di rilevante interesse pubblico dall’articolo 85 del Codice e all’esple-tamento delle seguenti funzioni istituzionali previste dalle normative vigenti: erogazione di prestazioni sanitarie specialistiche, sia istituzionali che di libera professione intramuraria, (comprensive di tutte le attività di supporto) volte alla tutela della salute e dell’incolumità fisica degli utenti, di terzi e della col-lettività; svolgimento, in modo unitario e coordinato con l’Università degli Studi di Pisa, di funzioni di assistenza sanitaria, didattica, formazione e ricer-ca scientifiricer-ca, statistiricer-ca ed epidemiologiricer-ca, finalizzata alla tutela della salute; tutela della sicurezza e della salute dei lavoratori e sorveglianza igienico-sanitaria delle proprie strutture. Alla gestione delle proprie risorse umane, tecnologiche, strumentali e patrimoniali in quanto soggetto aziendale e infine
alla video sorveglianza mediante videocamere a circuito chiuso all’interno delle pertinenze aziendali, per motivi di sicurezza e sorveglianza da attività illecite. L’eventuale utilizzo di videocamere per il controllo di ambienti sa-nitari e il monitoraggio di pazienti ricoverati in particolari ambienti devono essere limitati ai casi di stretta indispensabilità, circoscrivendo le riprese solo a determinati locali; è adottato ogni accorgimento necessario per garantire la tutela della riservatezza e della dignità delle persone malate; alle immagini può accedere solo il personale sanitario incaricato.
I dati personali trattati comprendono anche le seguenti tipologie di dati sensibili: dati idonei a rivelare lo stato di salute e la vita sessuale, dati geneti-ci, dati biometrigeneti-ci, nei casi in cui questi siano necessari per l’erogazione delle prestazioni sanitarie di competenza.
Nei casi e con i limiti previsti dalle normative settoriali vigenti sono al-tresì effettuati trattamenti di dati personali e sensibili per la rilevazione delle malattie mentali, delle malattie infettive e diffusive, della sieropositività, a fini di indagini epidemiologiche, a fini di trapianto di organi e tessuti, a fini di monitoraggio della spesa sanitaria.
4.2.2 La disciplina regolamentare interna
Iniziando ora ad addentrarci concretamente nelle modalità di gestione dei dati personali e sensibili da parte dell’Azienda, non si può non menzionare l’art.4 del Regolamento, secondo il quale è consentito il trattamento dei dati essenziali allo svolgimento delle attività istituzionali indicate dal precedente articolo 2 che non possono essere adempiute mediante il trattamento di dati anonimi o di dati personali di natura diversa. È fatto salvo in ogni caso il di-ritto all’anonimato nei casi previsti da normative vigenti.
I dati vengono raccolti prioritariamente presso l’interessato; possono ve-nire raccolti anche presso persone diverse dall’interessato nei casi in cui
que-sti sia minorenne o incapace o non sia in grado di fornirli, nelle forme e nei limiti di quanto previsto dagli articoli 24, comma 1, lett. e, ed 82 del Codice.
Dati personali potranno essere altresì raccolti presso enti del Servizio Sanitario Nazionale, presso altri enti e amministrazioni pubbliche, presso pubblici registri, o presso altri esercenti professioni sanitarie, nei casi, con i limiti, nelle forme e con le modalità stabilite dalle normative vigenti. Per tutti i trattamenti, l’Azienda utilizza sistemi informatici e telematici e conserva i dati sia su supporti cartacei che su supporti informatici.
L’eventuale utilizzazione dei dati personali per fini di ricerca scientifica o statistica viene effettuato soltanto con il consenso dell’interessato o solo dopo che i dati siano stati resi anonimi. I risultati della ricerca pubblicati o comun-que resi noti non possono contenere dati personali che rendano identificabili i soggetti ai quali si riferiscono.
L’articolo 5 è dedicato alla comunicazione dei dati personali all’esterno, comunicazione che l’Azienda effettua solo nei seguenti casi:
ad enti o aziende del Servizio Sanitario Nazionale, della Pubblica •
Amministrazione e ad altri soggetti di natura pubblica, in esecuzione di obblighi derivanti da normative vigenti o per lo svolgimento delle funzioni istituzionali di cui al precedente articolo 2;
ad altro soggetto pubblico che non sia prevista da normativa vigente e •
sia effettuata a seguito di convenzione è effettuata solo se prevista dal Regolamento per il Trattamento dei Dati Personali Sensibili e Giudizia-ri approvato con Decreto del Presidente della Giunta Regione Toscana n. 18/R del 16 maggio 2006 ovvero previa comunicazione al Garante; a soggetti privati diversi dal diretto interessato solo nei casi previsti •
da normative vigenti e nel rispetto di quanto previsto dall’articolo 12 del Regolamento in merito alla consultazione di dati o alla fornitura di documentazione sanitaria;
ad aziende private o associazioni di natura privata nel quadro di rap-•
porti contrattuali o convenzionali, la cui stipula sia formalizzata nei limiti e nelle forme previste da normativa vigente, previa comunica-zione al Garante.
L’affidamento di trattamenti di dati a soggetti esterni è regolato dal Capo VI del Regolamento.
La trasmissione dei dati avviene in forma scritta o telematica e il mezzo di trasmissione utilizzato deve dare idonea garanzia che i dati stessi siano ricevuti dai soggetti aventi diritto, elencati ai punti precedenti.
4.2.3 I dati che riguardano lo stato di salute del paziente e modalità di trattamento
Un aspetto molto importante e delicato è quello che riguarda le informa-zioni sullo stato di salute del paziente, della sua presenza in ospedale nonché, della trasmissione e diffusione di tali dati.
È proprio l’articolo 7 del Regolamento che ci dice che viene fornita in-formazione sulla presenza dei pazienti nei reparti ospedalieri, esclusivamente nel caso in cui il paziente stesso o suo delegato, all’atto dell’accettazione am-ministrativa, abbia espressamente autorizzato che la sua presenza in ospedale sia resa nota. Il Paziente deve essere posto in condizione di fornire indicazioni circa i soggetti che possono venire a conoscenza del ricovero e del reparto di degenza. A tal fine l’Azienda predispone appositi moduli (T.01/R.A.01)44,
an-che globali, di consenso, dei quali dovrà essere conservato l’originale in car-tella clinica. Il Pronto Soccorso può fornire informazioni in merito all’even-tuale accesso di pazienti alle prestazioni in emergenza o urgenza, anche per via telefonica, nelle prime 48 ore dall’accesso stesso. Il paziente deve essere
posto in condizione di fornire indicazioni circa i soggetti che possono venire a conoscenza del ricovero in pronto soccorso. A tal fine l’Azienda predispone appositi moduli, di cui alla nota 6, anche globali, di consenso, dei quali dovrà essere conservato l’originale in cartella clinica ovvero allegato alla scheda di triage. Nel caso in cui l’interessato/paziente non sia in grado di rilasciare il proprio consenso, l’informazione potrà essere fornita, ai soli terzi legittimati, quali possono essere familiari, parenti o conviventi, previa identificazione del richiedente da riportare sulla cartella clinica o sulla scheda di triage.
In caso di richiesta di informazioni telefonica, salvo diverse disposizione del Paziente, l’operatore del Pronto Soccorso verificherà che il richiedente sia a co-noscenza di informazioni sul paziente tali da far ragionevolmente presumere la legittimità della richiesta (es. conoscenza dei dati anagrafici esatti del paziente).
Per quanto concerne poi l’interscambio di dati tra strutture dell’Azienda, stando a quanto affermato dall’art.8 non configura processo di comunicazione, ai sensi del Codice la trasmissione dei dati personali all’interno dell’Azienda, che avvenga tra i Responsabili del trattamento (anche mediante l’operato di
Incaricati) per l’espletamento delle finalità istituzionali di cui al precedente
articolo 2.
L’Azienda assicura comunque che la comunicazione interna avvenga nell’osservanza delle disposizioni del Regolamento e delle misure di sicurez-za previste dal Codice.
Salvo quanto previsto nei successivi articoli 17 e18, è fatto divieto di costituire Dossier Sanitari di fatto per mezzo di sistemi informatici condivisi tra due o più strutture Aziendali che consentano
l’interscambio di dati dei pazienti, in modo costante e continuativo. La diffusione di qualsiasi dato personale di natura sensibile è vietato. La diffu-sione di ogni altro dato personale è operata solo per adempiere ad obblighi previsti dalle normative vigenti e nelle forme previste dal Codice.
La Direzione Aziendale regola, con proprie disposizioni, l’eventuale dif-fusione di informazioni personali inerenti il personale aziendale, che sia ef-fettuata nell’ambito di attività di comunicazione istituzionale con l’utenza, con altri enti della Pubblica Amministrazione o con altri soggetti aziendali; tali attività devono comunque svolgersi previo consenso dell’interessato, nel rispetto del Codice e delle altre norme di Legge.
4.3 La trasparenza. approvazione del piano triennale della trasparenza Il paragrafo che segue è dedicato all’aspetto che fa da contraltare alla materia della privacy, la trasparenza, come disciplinata dal piano triennale per la trasparenza e l’integrità 2014-2016 dell’Azienda Ospedaliero Universitaria Pisana.
Il D.Lgs. n. 33/2013 “Riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni”, riorganizzando i vari obblighi di pubblicazione dei dati sui siti web degli enti pubblici, precedentemente previsti da diverse normative, ha reso obbligatorio, anche per gli enti del servizio sanitario, l’adozione di un Programma triennale per la trasparenza e l’integrità, da aggiornare annual-mente, dove vengono indicate le iniziative previste per garantire un adeguato livello di trasparenza, e per diffondere la cultura della legalità e dell’integrità, attraverso la definizione di misure, modalità e iniziative volte all’attuazione degli obblighi di pubblicazione previsti dalla normativa vigente.
Con delibera del direttore Generale dell’A.O.U.P. n. 802 del 22/08/2013 è stato nominato il responsabile della trasparenza dell’Azienda.
L’Azienda ha quindi adempiuto all’obbligo normativo con l’adozione del Programma Triennale per la Trasparenza e l’integrità 2014-2016 con deli-bera del Direttore Generale n. 55 del 31 gennaio 2014 impegnandosi ad
ag-giornalo annualmente. Il programma è stato redatto in linea con le direttive emanate dalla Commissione Indipendente per la Valutazione, l’Integrità e la Trasparenza, CIVIT (ora ANAC), con Delibera n. 105 del 15 Ottobre 2010, Delibera n. 2 del 05 Gennaio 2012 e Delibera n. 50 del 04 luglio 2013. In esso sono state specificate tutte le azioni da intraprendere per garantire i suddetti obiettivi (con individuazione delle strutture competenti, modalità e tempi di attuazione, ecc.)
Il Programma triennale per la trasparenza e l’integrità è adottato con De-libera della Direzione dell’Azienda su proposta del Responsabile della Tra-sparenza, che ne cura la predisposizione e la successiva pubblicazione sul sito web dell’Azienda stessa. Successivamente alla sua adozione ciascun re-sponsabile di struttura, oltre a garantire il tempestivo e regolare flusso delle informazioni da pubblicare, è responsabile dell’attuazione della parte del Pro-gramma triennale per la trasparenza e l’integrità con riferimento alle informa-zioni di propria competenza.
4.3.1 Il piano triennale della trasparenza. Una delle armi contro la cor-ruzione delle PA
La Legge 6 novembre 2012, n. 190 “Disposizioni per la prevenzione e la repressione della corruzione e dell’illegalità nella pubblica amministrazione”, ha fatto del principio di trasparenza uno degli assi portanti delle politiche di pre-venzione della corruzione conferendo al Governo una delega ai fini dell’ado-zione di un Decreto legislativo per il riordino della disciplina riguardante gli obblighi di pubblicità e trasparenza da parte delle pubbliche amministrazioni.
Successivamente il Governo ha adottato il D.Lgs. 14 marzo 2013, n. 33 (pubblicato su G.U. del 5 aprile 2013) “Riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni” in cui, ribadendo che la trasparenza è
ac-cessibilità totale delle informazioni concernenti l’organizzazione e l’attività delle pubbliche amministrazioni, è stato evidenziato che la trasparenza è fi-nalizzata alla realizzazione di una amministrazione aperta e al servizio del cittadino (art. 1, c. 2 del D.Lgs. n. 33/2013).
Nel Decreto è specificato che le misure del Programma triennale per la tra-sparenza e l’integrità sono collegate al Piano triennale della prevenzione della corruzione costituendone, a tal fine, di norma, una sezione di detto Piano.
Il D.Lgs. n. 33/2013 ha complessivamente riorganizzato i principali ob-blighi di pubblicazione vigenti, introducendone anche di nuovi; ha discipli-nato per la prima volta l’istituto dell’accesso civico (art. 5); è intervenuto sui Programmi triennali per la trasparenza e l’integrità, modificando la disci-plina recata dall’articolo 11 del D.Lgs. n. 150/2009; ha precisato compiti e funzioni dei Responsabili della trasparenza e degli Organismi Indipendenti di Valutazione (OIV); ed ha previsto la creazione, sui siti web istituzionali, della sezione “Amministrazione Trasparente” che sostituisce la precedente sezione “Trasparenza, valutazione e merito” contemplata dall’art. 11, c. 8 del D. Lgs.n. 150/2009. La nuova sezione è articolata in sotto-sezioni di primo e secondo livello corrispondenti a tipologie di dati da pubblicare, come indicato nell’allegato “A” del D.Lgs. n. 33/2013.
4.3.2 Il documento
Il documento ha lo scopo di definire modalità, strumenti e tempistica con cui l’Azienda intende favorire la trasparenza e l’integrità della propria azione amministrativa.
Il principio di trasparenza, dunque, presenta un duplice profilo: un profilo “statico” e un profilo “dinamico”.
Il profilo “statico”, consistente essenzialmente nella pubblicità di cate-gorie di dati attinenti alle pubbliche amministrazioni, ha essenzialmente una
finalità di controllo sociale. Il profilo “dinamico” della trasparenza è invece direttamente correlato alla performance. La pubblicità dei dati inerenti all’or-ganizzazione e all’erogazione dei servizi al pubblico, infatti, si inserisce stru-mentalmente nell’ottica di fondo del “miglioramento continuo” dei servizi pubblici, connaturato al ciclo della performance anche grazie al necessario apporto partecipativo dei portatori di interessi (stakeholders).
Nel suo profilo “statico” la trasparenza è intesa come accessibilità to-tale alle informazioni inerenti ogni aspetto dell’organizzazione finalizzata a consentire l’accesso da parte dell’intera collettività a tutte le “informazioni pubbliche” e a favorire forme diffuse di controllo sul buon andamento e im-parzialità della gestione. Strumento fondamentale di forme diffuse di con-trollo è l’istituto dello “accesso civico” che comporta il diritto di chiunque di richiedere la pubblicazione di dati nei casi in cui sia stata omessa la loro pubblicazione.
La richiesta di accesso civico non è sottoposta ad alcuna limitazione quan-to alla legittimazione soggettiva del richiedente, non deve essere motivata, è gratuita e va presentata al Responsabile per la trasparenza che si pronuncia sulla stessa nei termini di legge.
Nel suo profilo “dinamico” la pubblicazione di determinate informazio-ni è un’importante spia dell’andamento della performance dell’Azienda e del raggiungimento degli obiettivi espressi nel più generale ciclo di gestione della performance. Con riferimento a quest’ultimo, occorre sottolineare che il Programma per la trasparenza, da un lato, rappresenta uno degli aspetti fondamentali della fase di pianificazione strategica all’interno del ciclo del-la performance, dall’altro, permette di rendere pubblici agli stakeholders di riferimento, con particolare attenzione agli out come e ai risultati desiderati/ conseguiti, i contenuti del Piano e della Relazione sulla performance. Per tale motivazione l’obbligo di pubblicazione dei dati è finalizzato ad assicurare
la conoscenza dell’azione dell’Azienda a tutti gli stakeholders allo scopo di instaurare una più consapevole partecipazione della collettività.
4.3.3 Trasparenza e performance
Sotto tale aspetto il Programma per la trasparenza e l’integrità, costitu-isce parte integrante dell’intera pianificazione operativa dell’Azienda. In-fatti la promozione dei maggiori livelli di trasparenza, tradotta in azioni nel presente piano, costituisce un’area strategica nel piano della performance 2014-2016, unitamente alla relazione finale sul 2014, che sarà pubblicata sul sito web terminato l’anno 2014. Inoltre la realizzazione di tali azioni contribuirà a rendere pubblici agli stakeholders di riferimento gli obiettivi aziendali e il loro livello di raggiungimento e più in generale l’intero ciclo della performance. Performance che è intesa come “il contributo che cia-scun soggetto (definito come sistema, unità organizzativa, team, singolo individuo) apporta attraverso la propria azione al raggiungimento delle fi-nalità e degli obiettivi ed alla soddisfazione dei bisogni per i quali l’orga-nizzazione è stata creata”.
Per le aziende sanitarie quindi la performance è il contributo che le stesse apportano, attraverso la trasformazione degli obiettivi posti in risultati, alla soddisfazione dei bisogni di salute della collettività di riferimento. Ne sono assi portanti il piano della performance e la relazione della performance che, negli ambiti temporali di riferimento definiscono, rappresentano, descrivono e rendono conto della performance. Il piano della performance, coerentemen-te con quanto sopra, costituisce il documento programmatico attraverso il quale, conformemente alle risorse assegnate e nel rispetto della programma-zione sanitaria regionale e dei vincoli di bilancio, sono individuati gli obiet-tivi strategici e operaobiet-tivi, gli indicatori, i risultati attesi (target di riferimento) dell’Azienda.
Con tale documento vengono definiti, inoltre, gli elementi fondamentali su cui si imposterà la misurazione, la valutazione e la rendicontazione della
performance.
Il piano esplicita dunque, su un orizzonte temporale triennale, le linee strategiche dell’Azienda e, su orizzonti temporali di breve termine, la loro declinazione in obiettivi operativi, oggetto di scorrimento annuale, mediante aggiornamento del piano della performance.
La relazione sulla performance è il documento che evidenzia, a con-suntivo, con riferimento all’anno precedente, i risultati raggiunti rispetto ai singoli obiettivi programmati ed alle risorse disponibili, con rilevazione degli eventuali scostamenti.
4.3.4 Il web quale strumento per la presentazione delle direttive aziendali in materia di trasparenza
Il principale strumento che le pubbliche amministrazioni utilizzano con crescente diffusione, per ampliare il proprio livello di trasparenza, è quello di veicolare le informazioni ed i servizi resi ai cittadini/utenti attraverso i siti
web istituzionali.
I siti web istituzionali hanno acquisito una sempre maggiore importanza, diventando, di fatto, il principale front-office di ogni Amministrazione, per tale motivazione è importante porre l’accento sulla protezione dei dati perso-nali in modo tale che i dati pubblicati e i modi di pubblicazione risultino per-tinenti e non eccedenti rispetto alle finalità indicate dalla legge, in ossequio alla disciplina in materia di protezione dei dati personali (D.Lgs. 30 giugno 2003, n. 196 e successive modifiche e integrazioni).
L’aggiornamento dei dati contenuti nella sezione “Amministrazione Tra-sparente” avverrà ogni qualvolta si rendano necessarie modifiche significa-tive dei dati o pubblicazione di documenti urgenti. La struttura responsabile della pubblicazione provvederà ad effettuare le modifiche necessarie.
4.3.5 I soggetti responsabili della trasparenza
Questo paragrafo, l’ultimo del capitolo dedicato all’organizzazione in ma-teria di privacy e trasparenza dell’Azienda, è dedicato all’individuazione dei dirigenti responsabili della produzione, dell’aggiornamento, della trasmissione e della pubblicazione dei dati nonché, alle modalità di scelta degli obiettivi del programma e alla sua fattuale messa in opera attraverso una implementazione al programma stesso attraverso l’adozione di misure di monitoraggio e di vigi-lanza volte ad assicurare la regolarità e la tempestività dei flussi informativi e l’attuazione degli obblighi di trasparenza a supporto dell’attività di controllo, quali ad esempio il monitoraggio interno e l’audit dell’OIV.
Il Responsabile della Trasparenza per l’Azienda si rapporta, nell’esercizio delle sue funzioni, con il responsabile della prevenzione della corruzione.
I compiti del Responsabile della Trasparenza sono principalmente i seguenti: svolge stabilmente un’attività di controllo sull’adempimento da parte •
dell’amministrazione degli obblighi di pubblicazione previsti dalla normativa vigente, assicurandone completezza, chiarezza e aggior-namento;
provvede all’aggiornamento del Programma triennale per la traspa-•
renza e l’integrità;
controlla e assicura la regolare attuazione dell’accesso civico; •
segnala all’organo di vertice, all’OIV, all’Autorità nazionale Anti cor-•
ruzione, e nei casi più gravi, all’ufficio di disciplina, i casi di mancato o ritardato adempimento degli obblighi di pubblicazione.
L’inserimento dei documenti e dei dati nell’apposita sezione del sito web istituzionale avviene in forma decentrata.
Ai responsabili delle strutture dell’Azienda, o ai propri collaboratori, sono state attribuite apposite credenziali per l’accesso e l’utilizzo degli strumenti di pubblicazione e successivo aggiornamento/monitoraggio.
Pertanto i Dirigenti Aziendali coinvolti nell’ambito del processo di pub-blicazione dei dati:
individuano, ciascuno per le proprie competenze e materie, i conte-•
nuti del programma e i dati oggetto di pubblicazione, nonché i termi-ni temporali di pubblicazione e di aggiornamento;
adempiono agli obblighi di pubblicazione, di cui all’allegato “A” del •
programma;
garantiscono il tempestivo e regolare flusso delle informazioni da •
pubblicare ai fini del rispetto dei termini stabiliti dalla legge;
garantiscono l’integrità, il costante aggiornamento, la completezza, •
la tempestività, la semplicità di consultazione, la comprensibilità, l’omogeneità, la facile accessibilità, nonché la conformità ai docu-menti originali in possesso dell’amministrazione, l’indicazione della loro provenienza e la riutilizzabilità delle informazioni pubblicate; individuano all’interno della propria struttura, il personale che colla-•
borerà all’esercizio delle suddette funzioni.
Nell’Allegato “A”del Programma sono indicati tutti gli obblighi di pub-blicazione previsti dal D.Lgs. n. 33/2013 e organizzati secondo quanto di-sposto dalla Delibera CIVIT n. 50/2013; accanto a ciascun obbligo è indicata l’Unità Operativa responsabile della relativa pubblicazione alla luce dell’at-tuale assetto organizzativo aziendale e delle indicazioni fornite dalle medesi-me Unità Operative alle quali la predetta griglia è stata fornita. Detta griglia, in caso di modifiche del quadro normativo (nuovi obblighi, interpretazioni della Autorità Nazionale Anti corruzione. e/o evoluzioni legislative) e del contesto organizzativo interno aziendale, potrà essere oggetto di modifiche/ adeguamenti che saranno rese pubbliche con la pubblicazione della griglia adeguata nell’apposita sezione della”amministrazione trasparente”.
4.3.6 Schema esemplificativo obiettivi del Programma triennale
Per quanto concerne invece la scelta degli obiettivi del Programma trien-nale, per una maggiore chiarezza espositiva, propongo nelle pagine seguenti una tabella schematica che ne individua chiaramente gli elementi chiave.
Programma obiettivi
2014-2016 Obiettivi 2014 Obiettivi 2015 Obiettivi 2016
Diffusione all’interno dell’Azienda del piano della performance e de-gli obiettivi di budget e dei relativi esiti
Pubblicazione piano e relazione della perfor-mance nell’apposita se-zione nell’ambito della quale sarà pubblicata anche la delibera di ap-provazione del budget e gli esiti
Comunicato stampa a tutto il personale per informare dell’avvenuta pubblicazione
Proseguimento Proseguimento
Riorganizzazione dei dati già oggetto di ob-blighi di pubblicità pre-viste da altre normativa; razionalizzazione delle informazioni presenti sul sito al fine di evitare duplicazioni di dati o ri-durre la presenza di più sezioni in cui compare la stessa tipologia di in-formazione
Analisi dei dati presenti e verifica delle modali-tà di razionalizzazione; analisi delle proposte e necessità delle varie UU.OO.
Programma obiettivi
2014-2016 Obiettivi 2014 Obiettivi 2015 Obiettivi 2016
Informatizzazione/rior-ganizzazione di alcuni processi in modo da rendere meno gravosa la produzione dei dati da pubblicare (curriculum di più di 1000 dirigenti, aggiornamento e man-tenimento in relazione agli assunti e cessati, curriculum del perso-nale titolare di posizioni organizzative, conte-nuti dei provvedimenti dell’Azienda) stante l’obbligo di operare a parità di risorse disponi-bili e senza aggravio di costi per l’Azienda
Proposta da parte dell’UO Politiche e gestione delle risorse umane per l’acquisizio-ne dei CV e avvio del processo
Proposta da parte dell’UO Affari generali per la pubblicazione dei provvedimenti
Completamento del pro-cesso di pubblicazione dei CV e manutenzione Pubblicazione del con-tenuto dei provvedi-menti
Manutenzione
Implementazione della chiarezza, l’organicità e la fruibilità dei dati e documenti oggetto di pubblicazione nella se-zione amministrase-zione trasparente, previo ne-cessario supporto infor-matico
Collegamento organi-gramma con articola-zione uffici
Impostazione di mo-tori di ricerca (di CV di provvedimenti, di per-sonale)
Sviluppo e affinamento Sviluppo e affinamento ulteriore
Programma obiettivi
2014-2016 Obiettivi 2014 Obiettivi 2015 Obiettivi 2016
Completamento delle sottosezioni con i dati eventualmente man-canti o aggiunti con nuovi provvedimenti normativi arricchendo così gradualmente la quantità d’informazioni a disposizione del citta-dino, al fine di garantire una sempre maggio-re conoscenza degli aspetti riguardanti l’at-tività dell’Azienda. Tale attività è di competenza dei vari Dirigenti degli Uffici competenti, i quali dovranno provvedere - sotto la loro respon-sabilità - a curare l’inse-rimento di dati e il loro monitoraggio al fine di assicurare l’effettivo ag-giornamento delle infor-mazioni.
Approfondimenti ob-blighi di pertinenza da parte delle singole strut-ture e adeguamento
Approfondimenti ob-blighi di pertinenza da parte delle singole strut-ture e adeguamento
Approfondimenti ob-blighi di pertinenza da parte delle singole strut-ture e adeguamento
Ricognizione degli sta-keholders (soggetti portatori di interessi) e degli strumenti di con-fronto e partecipazione della cittadinanza In tale settore sarà fon-damentale il contributo dell’URP (ufficio relazio-ni con il pubblico) pres-so il quale può essere rinforzata la funzione di ascolto
Studio di misure di ri-levazione del livello di soddisfazione degli utenti in relazione all’ac-cesso, alla chiarezza ed alla utilizzabilità dei dati pubblicati
Attivazione Implementazione
Relazione sullo stato di attuazione del program-ma triennale e suo ade-guamento
Pubblicazione entro il
31 dicembre 2014 Pubblicazione entro il………. Pubblicazione entro il………. Misure interne di
pro-mozione della cultura della trasparenza
Corsi da sviluppare in accordo con il respon-sabile anti corruzione
Programma obiettivi
2014-2016 Obiettivi 2014 Obiettivi 2015 Obiettivi 2016
Organizzazione
“giorna-ta evento trasparenza” Entro ottobre 2014 Incontri periodici con il
personale dell’Azienda volti a illustrare le mo-dalità di redazione dei dati e documenti da pubblicare, al fine di garantire la qualità ed usabilità degli stessi, af-finché si possa accede-re in modo agevole alle informazioni in essi con-tenuti e se ne possa ap-prendere il significato.
3 o 4 incontri Verifica fabbisogno Verifica fabbisogno
Individuazione dei cri-teri di pubblicazione in ordine ai documenti contenenti dati coperti da privacy, individuan-do modalità che tutelino l’anonimato
Incontri formativi coa-diuvati dal responsabile aziendale privacy
Verifica fabbisogno Verifica fabbisogno
Definizione di moda-lità di pubblicazione uniformi di dati del me-desimo genere, ma di competenza di diverse strutture aziendali, con il necessario supporto informatico.
Predisposizione di for-mat unici per la pubbli-cazione di dati prove-nienti da uffici diversi
Sviluppo e affinamento Sviluppo e affinamento
4.3.7 Monitoraggio per il corretto flusso informativo
Passando infine a trattare le misure di monitoraggio e di vigilanza, volte ad assicurare la regolarità e la tempestività dei flussi informativi e l’attuazio-ne degli obblighi di trasparenza a supporto dell’attività di controllo, non si può non fare un breve accenno al monitoraggio interno e all’audit di OIV.
L’Azienda individua per il tramite dei Dirigenti responsabili delle Strut-ture e dei loro collaboratori coinvolti nell’attuazione del Programma triennale
per la trasparenza e l’integrità, le misure più idonee ad assicurare la tempesti-vità dei flussi informativi.
Sono quindi i Dirigenti, in relazione ai propri adempimenti, ad indivi-duare ed attuare le misure per assicurare i flussi informativi nel rispetto delle linee organizzative in cui si struttura la sezione amministrazione trasparente e dei vincoli normativi di pubblicità.
Vengono altresì intraprese iniziative di coordinamento con le altre azien-de sanitarie d’Area Vasta e con la Regione in tema di aazien-dempimento agli obbli-ghi di trasparenza e integrità, al fine di uniformare, laddove possibile e utile, il sistema di informazioni oggetto di pubblicazione.
Il Programma triennale per la trasparenza e l’integrità richiede una attivi-tà di monitoraggio periodico sia da parte dei soggetti interni all’amministra-zione sia da parte di soggetti esterni (OIV).
Con particolare riferimento al monitoraggio eseguito da soggetti interni, la Direzione Aziendale ha individuato nella persona del Responsabile della Trasparenza il soggetto incaricato di effettuare il monitoraggio interno delle attività del Programma triennale per la trasparenza e l’integrità.
Il monitoraggio avrà cadenza semestrale e riguarderà il processo di at-tuazione del Programma attraverso la scansione delle attività e l’indicazione degli scostamenti dal piano originario e sarà supportato anche dalla redazio-ne di apposito report al firedazio-ne di monitorare sia il processo di attuazioredazio-ne del Programma sia l’utilità ed usabilità dei dati inseriti andando ad analizzare i seguenti fattori: costante aggiornamento • completezza • tempestività • comprensibilità • omogeneità •
attestazione della conformità ai documenti originali in possesso •
dell’Azienda
formato dei dati pubblicati: aperto o ri-elaborabile •
All’OIV sono invece attribuiti importanti compiti in materia di verifica de-gli adempimenti dede-gli obblighi di trasparenza e di integrità da parte dell’Azien-da. Secondo il quarto paragrafo della delibera n°23/2013 della CIVIT, infatti, ai sensi dell’articolo 14, comma 4, lettera a, del D.Lgs. n. 150/2009, l’OIV “monitora il funzionamento complessivo del sistema della valutazione, della
trasparenza e integrità dei controlli interni ed elabora una relazione annuale sullo stato dello stesso”.
Nella Relazione l’OIV riferisce sul funzionamento complessivo del Si-stema di valutazione, trasparenza e integrità dei controlli interni, mettendone in luce gli aspetti positivi e negativi. La finalità è quella di evidenziarne le criticità e i punti di forza, al fine di presentare proposte per svilupparlo e inte-grarlo ulteriormente. Il ruolo dell’OIV è quello di garantire sia la correttezza dei processi di misurazione e valutazione, sia l’applicazione delle linee guida, delle metodologie e degli strumenti predisposti dalla CIVIT. La Relazione è un documento snello, chiaro e di facile intelligibilità, in cui l’OIV presenta in modo sintetico - non più di dieci pagine - le principali evidenze ed even-tuali criticità. La Relazione è corredata da un allegato in cui l’OIV fornisce, in modo strutturato, elementi informativi a supporto delle valutazioni in essa contenute, ponendo enfasi su particolari ambiti ritenuti prioritari e di seguito esposti.
Gli ambiti sui quali si focalizzerà l’attenzione sono i seguenti: a) Performance organizzativa;
b) Performance individuale;
c) Processo di attuazione del ciclo della performance; d) Infrastruttura di supporto;
e) Sistemi informativi e informatici a supporto dell’attuazione del Pro-gramma triennale per la trasparenza e l’integrità e per il rispetto degli obblighi di pubblicazione;
f) Definizione e gestione degli standard di qualità;
g) Utilizzo dei risultati del Sistema di misurazione e valutazione; h) Descrizione delle modalità del monitoraggio dell’OIV.
Nella Relazione l’OIV riassume le criticità riscontrate per ogni ambito nel corso delle proprie analisi e, alla luce di queste, propone miglioramenti. Inoltre, valuta come le proposte contenute nella precedente Relazione si siano tradotte in azioni di miglioramento da parte dell’amministrazione e, più in generale, sottolinea le variazioni intervenute nell’effettivo funzionamento del Sistema rispetto alla precedente Relazione.
La verifica è svolta attraverso un’attività di audit il cui risultato è pub-blicato in un’apposita sezione sul sito web dell’Azienda in Amministrazione Trasparenza, nella sezione di I livello “Disposizioni Generali”, nella sezione di II livello, “ attestazioni OIV o di struttura analoga”.
Nel corso dell’anno 2013, stante le indicazioni della CIVIT, le succi-tate verifiche sono ssucci-tate effettuate dall’OIV aziendale in data 30 settembre 2013 e 31 dicembre 2013 e prontamente pubblicate nella parte del sito web dell’Azienda sopra citato.
