Delibera n. 2019/00514 del 30/07/2019 Dirigente Proponente Maria Gelsomina Lauletta pag. 1/8
Istituto di Ricovero e Cura a Carattere Scientifico
CENTRO DI RIFERIMENTO ONCOLOGICO DELLA BASILICATA
Rionero in Vulture (PZ)
DELIBERAZIONE DEL DIRETTORE GENERALE
n. 2019/00514 del 30/07/2019
al Collegio Sindacale alla Giunta Regionale
OGGETTO
AFFIDAMENTO DELL’ INCARICO DI RESPONSABILE PROTEZIONE DEI DATI (DPO) AI SENSI DELL’ ART. 37 DEL REGOLAMENTO U.E n. 679/2016 SULLA PROTEZIONE DEI DATI PERSONALI ED AFFIDAMENTO – CIG : Z962949971.
Unità operativa proponente Gestione Tecnico Patrimoniale e Approvvigionamenti (UOC) Documenti integranti il provvedimento:
Descrizione Allegato Descrizione Allegato
ALL. 1_ Trattativa diretta MEPA n. 992069.pdf
ALL. 2_ -
TD992069_Offerta_STUDIO_TECNICO_ING.GI ANFRANCO_BRUNO_ID568029(1).pdf
Dichiarazione di immediata esecutività
Destinatari dell’atto per l’esecuzione Gestione Tecnico Patrimoniale e
Approvvigionamenti (UOC) Controllo di Gestione
Gestione Economico Finanziaria Servizio Pianificazione e Sistema Informativo (UOSD)
Destinatari dell’atto per conoscenza
Responsabile per la prevenzione della corruzione e della trasparenza
RISERVATO ALL’UNITA’ OPERATIVA PROPONENTE (IMPUTAZIONE BUDGET) CdR
PdC At / Pa / Ce Importo €
Delibera n. 2019/00514 del 30/07/2019 Dirigente Proponente Maria Gelsomina Lauletta pag. 2/8 La presente Deliberazione, tenuto conto delle fonti relative alla disciplina della privacy ovvero della tipologia degli atti allegati è assoggettata a:
pubblicazione integrale
pubblicazione della sola deliberazione pubblicazione del solo frontespizio
Delibera n. 2019/00514 del 30/07/2019 Dirigente Proponente Maria Gelsomina Lauletta pag. 3/8
IL DIRETTORE GENERALE PREMESSO CHE:
il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016
«relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)» (di seguito RGPD), in vigore dal 24 maggio 2016, e applicabile a partire dal 25 maggio 2018, all’articolo 4 – DEFINIZIONI – prevede le figure del Titolare del Trattamento, del Responsabile del Trattamento e del Responsabile dei dati personali (RDP);
il predetto Regolamento prevede l’obbligo per il titolare o il responsabile del trattamento di designare il RPD «quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali» (art. 37, paragrafo 1, lett a);
in particolare le predette disposizioni prevedono che il RPD:
a) «può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi» (art. 37, paragrafo 6),
b) deve essere individuato «in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39» (art. 37, paragrafo 5);
c) «il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento» (considerando n. 97 del RGPD);
d) non deve trovarsi in situazioni di conflitto di interesse con la posizione da ricoprire e i compiti e le funzioni da espletare; è tenuto al segreto o alla ris ervatezza in merito all’adempimento dei propri compiti e deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali (articolo 38);
EVIDENZIATO CHE:
ai sensi dell'art. 38, par. 3, del RGPD, il RPD «riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento». Tale rapporto diretto garantisce, in particolare, che il vertice amministrativo venga a conoscenza delle indicazioni e delle raccomandazioni fornite dal RPD nell'esercizio delle funzioni di informazione e consulenza a favore del titolare o del responsabile.
alla luce delle considerazioni di cui sopra, nel caso in cui si opti per un RPD interno, sarebbe quindi in linea di massima preferibile che, ove la struttura organizzativa lo consenta e tenendo conto della complessità dei trattamenti, la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità, che possa svolgere le proprie
Delibera n. 2019/00514 del 30/07/2019 Dirigente Proponente Maria Gelsomina Lauletta pag. 4/8
funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell'organizzazione.
rispetto all'assenza di conflitto di interessi, occorre inoltre valutare se, come indicato nelle Linee guida, le eventuali ulteriori funzioni assegnate non comportino la definizione di finalità e modalità del trattamento dei dati. Ciò significa che, a grandi linee, in ambito pubblico, oltre ai ruoli manageriali di vertice, possono sussistere situazioni di conflitto di interesse rispetto a figure apicali dell'amministrazione investite di capacità decisionali in ordine alle finalità e ai mezzi del trattamento di dati personali posto in essere dall'ente pubblico, ivi compreso, ad esempio, il responsabile dei Sistemi informativi, chiamato ad individuare le misure di sicurezza necessarie;
DATO ATTO CHE:
l’IRCCS CROB di Rionero in Vulture è Ente del Servizio Sanitario Regionale, dotato di personalità giuridica pubblica e di autonomia organizzativa, amministrativa e contabile, ai sensi della L.R. della Basilicata n. 2 del 12 gennaio 2017 e del D. Lgs. di riordino degli IRCCS n.288/2003;
è tenuto alla designazione obbligatoria del RPD nei termini previsti, rientrando nella fattispecie prevista dall’art. 37, par. 1, lett a) del RGPD;
con Deliberazione n. 319 del 25/05/2018, l’Istituto ha affidato il Servizio di assistenza per l’
adeguamento delle procedure al regolamento U.E. n. 679/2016 sulla protezione dei dati personali l’incarico di responsabile protezione dei dati (DPO) a soggetto esterno, per un anno decorrente dalla data di stipula del relativo contratto, in quanto a seguito di verifica interna operata dalla direzione strategica, è emerso che l’Istituto non disponeva di personale in organico, dirigenziale o di comparto, con incarico di Posizione Organizzativa o dotato di adeguata autonomia ed indipendenza, in possesso dei previsti requisiti tecnico professionali e scevro da situazioni di incompatibilità come nel precedente “EVIDENZIATO”
sinteticamente descritte;
con Deliberazione n. 257 del 19/04/2019 è stato costituto un Gruppo di Lavoro per l’individuazione degli adempimenti ancora da porre in essere nell’ambito del servizio di assistenza per l’adeguamento delle procedure al regolamento U. E. N° 679/2016 sulla protezione dei dati personali, di cui alla deliberazione N° 319 del 25/05/2018;
CONSIDERATO CHE
il contratto di affidamento di responsabile protezione dei dati (DPO) a soggetto esterno, conferito con la richiamata deliberazione n. 319 del 25/05/2018, avente durata di un anno, è cessato;
allo stato, come accertato dalla Direzione strategica, permangono in Istituto le medesime condizioni già enucleate nella deliberazione n. 319 del 25/05/2018 e che pertanto si è ritenuto necessario, al fine di ottemperare al dettato normativo cogente, orientarsi nella scelta di un soggetto esterno in possesso del livello di conoscenza specialistica e delle competenze richieste dall’art. 37, par. 5, del RGPD, per la nomina a RPD, che non si trovi in situazioni di conflitto di interesse con la posizione da ricoprire e i compiti e le funzioni da
Delibera n. 2019/00514 del 30/07/2019 Dirigente Proponente Maria Gelsomina Lauletta pag. 5/8
espletare, al quale affidare tra l’altro il compito di adeguare le procedure al regolamento u.e n. 679/2016 sulla protezione dei dati personali;
il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all' articolo 39;
è stata valutata positivamente la possibilità di conferire l’incarico all’ing. Gianfranco Stefano Bruno, di consolidata esperienza in materia di Protezione dei Dati Personali, anche in ambito sanitario e già DPO di altre Aziende Sanitarie del SSR, in esito a procedura di gara esperita dalle stesse Aziende;
DATTO ATTO altresì che
è stato demandato al Dirigente dell’U.O. Gestione Tecnico Patrimoniale e Approvvigionamenti, il compito di attivare la relativa procedura per negoziare con il soggetto sopra individuato l’eventuale affidamento dell’incarico di cui trattasi;
all’uopo si è provveduto dunque a redigere specifiche tecniche per l’affidamento dell’incarico di responsabile protezione dei dati (DPO)”, da affidare all’esterno per un ulteriore anno, stimando una spesa di importo pari ad Euro 12.000,00;
VISTO
l’art. 36, comma 2, lett.a del D. lgs. 50/2016;
l’ ’articolo 1, comma 450, della legge 27 dicembre 2006, n. 296, come modificato dall’
articolo 502 della legge 208/2015 (legge di stabilità 2016) che testualmente recita: “Fermi restando gli obblighi e le facolta’ previsti al comma 449 del presente articolo, le altre amministrazioni pubbliche di cui all’articolo 1 del decreto legislativo 30 marzo 2001, n. 165, nonche’ le autorita’ indipendenti, per gli acquisti di beni e servizi di importo pari o superiore a 1.000 euro e inferiore alla soglia di rilievo comunitario sono tenute a fare ricorso al mercato elettronico della pubblica amministrazione ovvero ad altri mercati elettronici istituiti ai sensi del medesimo articolo 328 ovvero al sistema telematico messo a disposizione dalla centrale regionale di riferimento per lo svolgimento delle relative procedure”;
l’art. 1, comma 130, della Legge N. 145 del 30/12/2018, che all’art. 1, comma 450 della Legge 296/2006, ha sostituito le parole “1.000 euro”, ovunque ricorrono con le seguenti
“5.000 euro”;
DATO ATTO che
sul Mercato della Pubblica Amministrazione nell’ambito del Bando Servizi è prevista la categoria “Servizi di supporto specialistico” nell’ambito dei quali è presente la sottocategoria “Supporto specialistico GDPR (General Data Protection Regulation) e DPO (Data Protection Officer)”;
per tutto quanto innanzi visto e considerato si è proceduto ad inviare tramite MEPA la trattativa diretta n. 992069, in data 23/07/2019, invitando lo STUDIO TECNICO ING.GIANFRANCO BRUNO, abilitato nell’ambito del bando beni alla categoria merceologica di riferimento, a presentare propria offerta al ribasso sull’importo di Euro 12.000,00, in conformità alle specifiche tecniche alla stessa trattativa allegate (allegato 1);
Delibera n. 2019/00514 del 30/07/2019 Dirigente Proponente Maria Gelsomina Lauletta pag. 6/8
entro il termine di presentazione dell’offerta e secondo le modalità richieste nella trattativa è pervenuta l’offerta n. 568029, di importo pari ad Euro 11.900, oltre IVA e oneri, come per legge (allegato 2);
CONSIDERATO che l’offerta pervenuta, è stata valutata aderente alle esigenze dell’Istituto e coerente con le specifiche tecniche del servizio richieste;
RITENUTO di dover dunque approvare l’offerta n. 568029 dello STUDIO TECNICO ING.GIANFRANCO BRUNO – partita IVA 00116050774 e per l’effetto, affidare il servizio di che trattasi allo stesso soggetto, che lo svolgerà in conformità alle specifiche tecniche richieste, che controfirmate digitalmente sono state restituite per accettazione in uno con l’offerta (vedasi allegato n. 2);
RITENUTO altresì di dare atto che il rapporto contrattuale con l’affidatario sarà formalizzato mediante sottoscrizione digitale del documento di stipula generato dalla Piattaforma MEPA, con decorrenza dalla stipula stessa;
Acquisiti i pareri favorevoli del Direttore Amministrativo e del Direttore Sanitario;
D E L I B E R A
Per i motivi che si intendono espressi in premessa, che si intendono integralmente riportati:
1. APPROVARE la trattativa diretta n. 992069 del 23/07/2019 con i relativi allegati (allegato n.
1) e l’offerta n. 568029 dello STUDIO TECNICO ING.GIANFRANCO BRUNO – partita IVA
00116050774 (allegato 2), e per gli effetti di affidare all’ ING.GIANFRANCO BRUNO – partita IVA 02940471200.
2. DI AFFIDARE l’incarico di responsabile protezione dei dati (DPO) all’Ing. ING.GIANFRANCO BRUNO – partita IVA 00116050774, per un anno decorrente dalla data di stipula del relativo contratto e per un importo pari ad Euro 11.900,00, oltre IVA ed oneri professionali come per Legge.
3. DI DARE ATTO che la relativa spesa, pari ad Euro 11.900,00, IVA inclusa, è da imputarsi sul Conto Economico B.2.B.2.3.A) – Consulenze non sanitarie da privato sul bilancio di servizio degli anni di rispettiva competenza (in alternativa il Conto Economico B.2. B.1.12.C.10 – Altri servizi non sanitari da privato).
4. DI DARE ATTO che la tutta la documentazione richiamata nel presente atto, anche se non materialmente allegata, è custodita agli atti dell’UO Gestione Tecnico Patrimoniale e
Delibera n. 2019/00514 del 30/07/2019 Dirigente Proponente Maria Gelsomina Lauletta pag. 7/8
Approvvigionamenti, e/o disponibili anche in formato elettronico nella sezione “Documenti visibili all’Ufficio” sul sistema “Atti Digitali”, in uso presso l’istituto.
5. DI DARE ATTO che il Ruolo di Responsabile del Procedimento è svolto dall’Ing. Maria Lauletta, Dirigente dell’U.O. Gestione Tecnico Patrimoniale e Approvvigionamenti.
6. DI NOMINARE Direttore dell’esecuzione del contratto la Dott.ssa Angela Capuano, già coordinatrice del gruppo di lavoro costituito con Deliberazione n. 257 del 19/04/2019.
7. DI AUTORIZZARE il Punto ordinante alla Stipula del contratto secondo le modalità offerte dal MEPA.
8. DI NOTIFICARE il presente atto alle UU.OO. in frontespizio indicate a mezzo del sistema
“Atti Digitali” in uso presso l’Istituto, per gli adempimenti conseguenti, all’U.O. Economico Finanziaria e all’U.O. Controllo di Gestione.
9. DI NOTIFICARE il presente atto all’Ing. ING. GIANFRANCO BRUNO – partita IVA
00116050774.
10. DI DICHIARARE il presente provvedimento immediatamente esecutivo, attesa l’urgenza di adempiere alle previsioni del Regolamento U.E. n. 679/2016 sulla protezione dei dati personali.
Il presente atto comporta oneri NON comporta oneri
Delibera n. 2019/00514 del 30/07/2019 Dirigente Proponente Maria Gelsomina Lauletta pag. 8/8
L’Istruttore Il Dirigente
Maria Gelsomina Lauletta Il Dirigente Responsabile
Cristiana Mecca Antonio Prospero Colasurdo
Il Direttore Amministrativo Il Direttore Sanitario
Cristiana Mecca Il Direttore Scientifico Il Direttore Generale F.F.
Il presente atto è trasmesso per l’imputazione dei conseguenti costi all’U.O.C. Gestione Economico Finanziaria e all'U.O.C. Controllo di Gestione
CERTIFICATO DI PUBBLICAZIONE
Si certifica che la presente deliberazione è pubblicata all’albo pretorio informatico dell’ Istituto di Ricovero e Cura a Carattere Scientifico CROB di Rionero inVulture e che vi rimarrà per cinque giorni consecutivi. Gli allegati cartacei sono disponibili per l’eventuale consultazione agli atti di ufficio.
La stessa, ove non assoggettata al controllo regionale e ove non sia stata dichiarata immediatamente eseguibile, diviene esecutiva, ai sensi dell’art. 11, comma 11 e dell’art. 44 comma 8 della L.R. n. 39/2001, decorsi cinque giorni consecutivi dalla sua pubblicazione.
Rionero in V.re lì, 30/07/2019
