Anticorruzione trasparenza - privacy - Per gli Ordini Professionali

Gli adempimenti dei COA
su anticorruzione,
trasparenza e trattamento
dei dati personali.
Avv. Giovanni Battista Gallus - Avv. Francesco Paolo Micozzi
V CONGRESSO GIURIDICO DISTRETTUALE
V REGIONALER ANWALTSKONGRESS
Merano - Kurhaus – Meran
9-11 giugno / Juni 2016

PRIVACY

Fonti:
D.Lgs. 30/6/2003, n. 196 (Codice in materia di protezione
dei dati personali)
——
REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO
EUROPEO E DEL CONSIGLIO - del 27 aprile 2016,
relativo alla protezione delle persone ﬁsiche con riguardo
al trattamento dei dati personali, nonché alla libera
circolazione di tali dati e che abroga la direttiva 95/46/CE
(regolamento generale sulla protezione dei dati)
(Regolamento generale sulla protezione dei dati - GDPR)
La protezione dei dati personali
3

Parte I (disposizioni generali)
Principi fondamentali, adempimenti e regole di carattere generale
Regole ulteriori per i soggetti pubblici
Regole ulteriori per i privati e gli enti pubblici economici
Parte II – Disposizioni relative a settori specifici
Parte III (tutela dei diritti e sanzioni)
Tutela amministrativa e giurisdizionale
Ufficio del Garante
Sanzioni amministrative e penali
Norme transitorie
Il Codice della Privacy - Tripartizione Generale
4

Allegato A
CODICI DI DEONTOLOGIA
Allegato B
DISCIPLINARE TECNICO IN MATERIA DI
MISURE MINIME DI SICUREZZA
Allegato C
TRATTAMENTI NON OCCASIONALI
EFFETTUATI IN AMBITO GIUDIZIARIO O PER
FINI DI POLIZIA
Gli allegati al Codice Privacy
5

Art. 1 - Codice Privacy
Chiunque ha diritto alla protezione dei dati personali
che lo riguardano
“DATO PERSONALE", qualunque informazione
relativa a persona fisica, persona giuridica, ente od
associazione, identificata o identificabile, anche
indirettamente, mediante riferimento a qualsiasi altra
informazione, ivi compreso un numero di
identificazione personale
Il dato personale
6

“DATO ANONIMO”, il dato che in origine, o a seguito
di trattamento, non può essere associato ad un
interessato identificato o identificabile
Dati personali ≠ Dati anonimi
7

c) "dati identificativi", i dati personali che permettono
l'identificazione diretta dell'interessato;
Dati identiﬁcativi
8

d) "dati sensibili", i dati personali idonei a rivelare
l'origine razziale ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni politiche,
l'adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico
o sindacale, nonché i dati personali idonei a rivelare lo
stato di salute e la vita sessuale;
Dati sensibili
9

e) "dati giudiziari", i dati in materia di casellario
giudiziale, di anagrafe delle sanzioni amministrative
dipendenti da reato e dei relativi carichi pendenti, o la
qualità di imputato o di indagato …
Dati giudiziari
10

“TRATTAMENTO” qualunque operazione o complesso
di operazioni, effettuati anche senza l'ausilio di
strumenti elettronici, concernenti la raccolta, la
registrazione, l'organizzazione, la conservazione, la
consultazione, l'elaborazione, la modificazione, la
selezione, l'estrazione, il raffronto, l'utilizzo,
l'interconnessione, il blocco, la comunicazione, la
diffusione, la cancellazione e la distruzione di dati,
anche se non registrati in una banca di dati
Il Trattamento dei dati personali
11

I sistemi informativi e i programmi
informatici sono configurati riducendo al
minimo l'utilizzazione di dati personali e di
dati identificativi, in modo da escluderne il
trattamento quando le finalità perseguite
nei singoli casi possono essere realizzate
mediante, rispettivamente, dati anonimi od
opportune modalità che permettano di
identificare l'interessato solo in caso di
necessità.
Art. 3 - Principio di necessità
12

Art. 11. Modalità del trattamento e requisiti dei dati 
1. I dati personali oggetto di trattamento sono:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in
altre operazioni del trattamento in termini compatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono
raccolti o successivamente trattati;
e) conservati in una forma che consenta l'identificazione dell'interessato per un
periodo di tempo non superiore a quello necessario agli scopi per i quali essi
sono stati raccolti o successivamente trattati.
2. I dati personali trattati in violazione della disciplina rilevante in materia di
trattamento dei dati personali non possono essere utilizzati.
Modalità del trattamento
13

Rivelazioni biometriche per verificare la presenza a
corsi di formazione (23 gennaio 2008)…
“Alcuni praticanti avvocati… hanno presentato a
questa Autorità una segnalazione in merito alla
predisposizione, da parte del Consiglio, di un sistema
di rilevazione di dati personali biometrici mediante il
prelievo dell'impronta digitale, con finalità di verifica
della presenza dei praticanti avvocati alle lezioni
tenute presso la Scuola di formazione forense…”
Necessità e proporzionalità…
14

“…Il sistema deve essere, pertanto, valutato sul
piano della conformità ai princìpi di liceità,
necessità, proporzionalità, ﬁnalità e correttezza”
Il trattamento di dati personali da parte di un
ordine professionale, quale il predetto Consiglio,
ricade nell'ambito delle previsioni di legge
relative al trattamento effettuato da soggetti
pubblici, i quali possono trattare dati personali
“soltanto per lo svolgimento delle funzioni
istituzionali”…
15

“Può pertanto ritenersi che tra i
compiti del Consiglio dell'Ordine
rientri anche quello di sovraintendere
al regolare espletamento dei corsi di
formazione dei praticanti iscritti […]
Pur riguardando una funzione
istituzionale, il trattamento in esame
non risulta però conforme ai princìpi
di necessità e di proporzionalità…”
16

“Può pertanto ritenersi che tra i compiti del Consiglio
dell'Ordine rientri anche quello di sovraintendere al
regolare espletamento dei corsi di formazione dei praticanti
iscritti […] Pur riguardando una funzione istituzionale, il
trattamento in esame non risulta però conforme ai
princìpi di necessità e di proporzionalità…”
Non può invece ritenersi lecito l'uso dei dati biometrici
per generiche esigenze di sicurezza e di mero ausilio al
rispetto delle regole scolastiche e deontologiche, specie
laddove esso riguardi la raccolta di dati particolari, come le
impronte digitali, per i quali occorre peraltro individuare
speciﬁci accorgimenti volti a prevenire eventuali utilizzi
impropri e possibili abusi
17

TUTTO CIÒ PREMESSO, IL
GARANTE
a) vieta, ai sensi degli artt. 143, comma
1, lett. c) e 154, comma 1, lett. d), al
Consiglio dell'Ordine degli Avvocati di
XXX, in qualità di titolare del
trattamento, il trattamento in
qualunque forma, di dati personali
biometrici dei praticanti avvocati.
18

f) “titolare”, la persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione od organismo cui
competono, anche unitamente ad altro titolare, le decisioni in ordine
alle finalità, alle modalità del trattamento di dati personali e agli
strumenti utilizzati, ivi compreso il profilo della sicurezza;
g) “responsabile”, la persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione od organismo
preposti dal titolare al trattamento di dati personali;
h) “incaricati”, le persone fisiche autorizzate a compiere operazioni
di trattamento dal titolare o dal responsabile;
i) “interessato”, la persona fisica, la persona giuridica, l'ente o
l'associazione cui si riferiscono i dati personali
I soggetti
19

Art. 28. Quando il trattamento è effettuato da una
persona giuridica, da una PA o da un qualsiasi
altro ente, associazione od organismo, titolare del
trattamento è l'entità nel suo complesso o
l'unità o organismo periferico che esercita un
potere decisionale del tutto autonomo sulle
finalità e sulle modalità del trattamento, ivi
compreso il profilo della sicurezza.
Il Titolare…
20

Spetta al titolare
Nominare per iscritto il/i responsabile/i affidandogli in modo
analitico e dettagliato i compiti da svolgere nell'ambito del
trattamento dei dati
Art. 29 comma quarto. Il titolare impartisce per iscritto le
istruzioni al responsabile
Vigilare sul corretto espletamento dei compiti da parte del/dei
responsabile/i
Art. 37. Il titolare notifica al Garante il trattamento di dati
personali cui intenda procedere qualora riguardino dati indicati
dallo stesso articolo.
Eseguire le comunicazioni di cui all'art. 39 al Garante.
Compiti del titolare
21

Anche la designazione degli incaricati è fatta per
forma scritta ed individua in modo puntuale i
compiti loro spettanti.
I compiti possono essere circoscritti anche sulla
base delle attività spettanti all'unità organizzativa
cui sono preposti
Incaricati al trattamento
22

• Cardine della disciplina (e
condizione per la prestazione del
consenso)
• Deve precedere il trattamento
• Può essere data sia oralmente
che per iscritto
Informativa (art. 13)
23

L'informativa deve contenere indicazioni circa:
le finalità e le modalità del trattamento;
la natura obbligatoria o facoltativa del conferimento dei
dati;
le conseguenze di un eventuale rifiuto di rispondere;
i soggetti o le categorie di soggetti ai quali i dati personali
possono essere comunicati o che possono venirne a
conoscenza in qualità di responsabili o incaricati, e l'ambito
di diffusione dei dati medesimi;
i diritti dell'interessato;
L'identificazione del titolare e del responsabile
Contenuto dell’informativa
24

(Segue)
Se sono designati più responsabili:
è indicato almeno uno di essi, indicando il sito
della rete di comunicazione o le modalità
attraverso le quali è conoscibile in modo agevole
l'elenco aggiornato dei responsabili.
Quando è stato designato un responsabile per il
riscontro all'interessato, deve essere indicato tale
responsabile.
L'informativa può non comprendere gli elementi già
noti alla persona che fornisce i dati
Contenuto dell’informativa
25

Il trattamento di dati personali da
parte di privati o di enti pubblici
economici è ammesso solo con il
consenso espresso dell'interessato.
Il consenso può riguardare l'intero
trattamento ovvero una o più
operazioni dello stesso.
Il Consenso
26

Il consenso è validamente prestato solo se
è espresso liberamente e speciﬁcamente in
riferimento ad un trattamento chiaramente
individuato, se è documentato per iscritto,
e se sono state rese all'interessato le
informazioni di cui all'articolo 13.
Il consenso è manifestato in forma scritta
quando il trattamento riguarda dati
sensibili.
Il Consenso
27

1. Le disposizioni del presente capo riguardano tutti i soggetti
pubblici, esclusi gli enti pubblici economici.
2. Qualunque trattamento di dati personali da parte di
soggetti pubblici è consentito soltanto per lo svolgimento
delle funzioni istituzionali.
3. Nel trattare i dati il soggetto pubblico osserva i
presupposti e i limiti stabiliti dal presente codice, anche in
relazione alla diversa natura dei dati, nonché dalla legge e
dai regolamenti.
4. Salvo quanto previsto nella Parte II per gli esercenti le
professioni sanitarie e gli organismi sanitari pubblici, i soggetti
pubblici non devono richiedere il consenso dell'interessato.
5. Si osservano le disposizioni di cui all'articolo 25 in tema di
comunicazione e diffusione.
Art. 18 - i trattamenti da soggetti pubblici…
28

Le “misure minime” sono una creazione del Legislatore
italiano
Occorre evitare qualunque confusione tra le due tipologie
Le misure minime sono indicate analiticamente nell'Allegato B
Le misure idonee sono quelle individuate dall'art. 31
l'inosservanza delle misure minime è
penalmente sanzionata, mentre la
mancata adozione delle misure
idonee potrebbe far sorgere una
responsabilità civile
Misure di sicurezza (minime/idonee)
29

(C) Confidentiality
L'accesso ai dati è riservato a chi ne ha diritto
(I) Integrity
I dati non devono essere danneggiati, manipolati, perduti
(A) Availability
I dati devono essere sempre disponibili continuità dei sistemi continuità della connettività
Punti fermi sulla sicurezza
30

Soft-ware
Hard-ware
Wet-ware
Punti fermi sulla sicurezza
31

I dati personali oggetto di trattamento sono custoditi e
controllati, anche in relazione alle conoscenze
acquisite in base al progresso tecnico, alla natura dei
dati e alle speciﬁche caratteristiche del trattamento, in
modo da ridurre al minimo, mediante l'adozione di
idonee e preventive misure di sicurezza, i rischi di
distruzione o perdita, anche accidentale, dei dati
stessi, di accesso non autorizzato o di trattamento
non consentito o non conforme alle ﬁnalità della
raccolta.
Obblighi di sicurezza - Art. 31(misure idonee)
32

Il trattamento di dati personali effettuato con strumenti elettronici è
consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico
contenuto nell'allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli
strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti
illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino
della disponibilità dei dati e dei sistemi;
[ g) tenuta di un aggiornato documento programmatico sulla sicurezza; ]
h) adozione di tecniche di cifratura o di codici identiﬁcativi per determinati
trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati
da organismi sanitari.
Obblighi di sicurezza - Art. 34 (misure minime)
33

Un essere umano può autenticarsi ad un
sistema informatico in tre modi:
in base a quello che è: (DNA, impronte
digitali, impronta vocale, schema retinico,
stile della graﬁa…)
in base a quello che ha: (tesserino
identiﬁcativo, badge, chiave hardware…)
in base a quello che sa: (password,
PIN…)
Non tutte le password vanno bene…
1) Autenticazione
34

Il titolare o il responsabile possono
individuare, tra gli incaricati al trattamento
diversi gradi di trattamento consentito. In
questo caso deve essere apprestato un
sistema di autorizzazione.
L'autorizzazione consente di differenziare i
privilegi di accesso allo stesso sistema
informatico da parte di più soggetti.
Il profilo di autorizzazione può essere
creato anche per classi omogenee di
soggetti prima dell'inizio del trattamento
2) Autorizzazione
35

L'all. B prevede, all'art. 16, che i dati siano
protetti contro i rischi di intrusione, che
verranno più dettagliatamente analizzati nel
prosieguo di questa esposizione.
I dati devono, inoltre, essere protetti contro i
programmi di cui al 615-quinquies c.p., ossia
quelli potenzialmente idonei a danneggiare i
sistemi informatici. Questi strumenti, come
gli antivirus, devono essere aggiornati
almeno ogni sei mesi
3) Virus & co…
36

Tutti i programmi e l'intero Sistema Operativo
vanno aggiornati periodicamente (a cadenza almeno
annuale) al fine di eliminare le vulnerabilità
sfruttabili nei modi che vedremo e di correggerne i
difetti
4) Aggiornamenti
37

Almeno una volta alla settimana deve essere
eseguito il backup dei dati.
5) Backup
38

Le misure ulteriori sono previste in tutti i casi in cui
si trattino dati sensibili o giudiziari.
Tali misure minime consistono in strumenti che
elimino o limitino al massimo il pericolo di accesso
abusivo a sistema informatico o telematico di cui
all'art. 615-ter c.p.
6) Intrusioni…
39

CIFRATURA
DISPOSITIVI RIMOVIBILI E BYOD
WIPING
RESTORING
CAUTELE PER OUTSOURCING
7) Ulteriori misure…
40

Sono previste misure minime anche per le ipotesi in
cui i trattamenti avvengano senza l’ausilio di
strumenti informatici!
8) Non dimentichiamo la carta!
41

REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO
EUROPEO E DEL CONSIGLIO del 27 aprile 2016
relativo alla protezione delle persone ﬁsiche con riguardo
al trattamento dei dati personali, nonché alla libera
circolazione di tali dati e che abroga la direttiva 95/46/CE
(regolamento generale sulla protezione dei dati)
entrato in vigore il 24 maggio 2016, si applica a
decorrere dal 25 maggio 2018.
Prepariamoci al cambiamento
42

• 2 ﬁgure: il data controller
(“titolare”) e il data processor
(“responsabile”)
• Scompaiono gli incaricati
• Necessità di regolamentare
puntualmente i rapporti tra data
controller e data processor
Le novità
43

• Privacy by design e privacy by default
• Centralità dei meccanismi di
certiﬁcazione e dei Codici di condotta
• Notiﬁcazione all'autorità di controllo
(e anche all'interessato) delle
violazioni dei dati personali (data
breach)
Le novità
44

• Designazione del responsabile della
protezione dei dati (data protection
ofﬁcer)
• Figura obbligatoria quando il
trattamento è effettuato da un'autorità
pubblica o da un organismo pubblico
(public authority or body)
Le novità
45

• Sanzioni amministrative pecuniarie
pesantissime (ﬁno a € 20.000.000,00,
o per le imprese, ﬁno al 4 % del
fatturato mondiale totale annuo
dell'esercizio precedente, se
superiore)
Le novità
46

ANTICORRUZIONE

La legge n. 190 del 2012, ad avviso dell’Autorità, fa
riferimento, invece, ad un concetto più ampio di
corruzione, in cui rilevano non solo l’intera gamma dei
reati contro la p.a. disciplinati dal Titolo II del Libro II
del codice penale, ma anche le situazioni di “cattiva
amministrazione”, nelle quali vanno compresi tutti i casi di
deviazione signiﬁcativa, dei comportamenti e delle decisioni,
dalla cura imparziale dell’interesse pubblico, cioè le
situazioni nelle quali interessi privati condizionino
impropriamente l’azione delle amministrazioni o degli
enti, sia che tale condizionamento abbia avuto successo, sia
nel caso in cui rimanga a livello di tentativo
Delibera n. 8/2015 ANAC
Un concetto di corruzione più ampio
48

L. 190/12
49
NAZIONALE > PNA
DECENTRATO > PTPC
Direttrici d’azione

L. 190/12
50

Prevenzione a livello decentrato
51

• individua il responsabile della prevenzione
della corruzione.
• su proposta del RPC, entro il 31 gennaio di ogni
anno, adotta il piano triennale di prevenzione
della corruzione, curandone la trasmissione
all’ANAC
• adotta tutti gli atti di indirizzo di carattere
generale, che siano direttamente o indirettamente
ﬁnalizzati alla prevenzione della corruzione
Organo di indirizzo politico
52

• Coincide, di norma, con il responsabile della
trasparenza
• Propone entro il 31 gennaio di ogni anno, il piano
triennale di prevenzione della corruzione
• Entro il 15 dicembre di ogni anni fa la relazione sullo
stato di attuazione del PTPC
• I compiti attribuiti al responsabile non sono delegabili,
se non in caso di straordinarie e motivate necessità,
riconducibili a situazioni eccezionali, mantenendosi
comunque ferma nel delegante la responsabilità non
solo in vigilando ma anche in eligendo
Responsabile Prevenzione Corruzione
53

DECRETO-LEGGE 31 agosto 2013, n. 101(Disposizioni urgenti per il
perseguimento di obiettivi di razionalizzazione nelle pubbliche
amministrazioni)
Art. 2, comma 2-bis.
Gli ordini, i collegi professionali, i relativi organismi nazionali e gli
enti aventi natura associativa, con propri regolamenti, si
adeguano, tenendo conto delle relative peculiarità, ai principi
del decreto legislativo 30 marzo 2001, n. 165, ad eccezione
dell'articolo 4, del decreto legislativo 27 ottobre 2009, n. 150
[gestione della performance], ad eccezione dell'articolo 14
[Organismo Indipendente di Valutazione della performance]
nonché delle disposizioni di cui al titolo III [merito e premi], e ai
principi generali di razionalizzazione e contenimento della
spesa, in quanto non gravanti sulla ﬁnanza pubblica.
O.I.V. ?
54

DL 101/13 - Art. 2, comma 2-bis.
Gli ordini professionali, i relativi organismi nazionali e gli enti
aventi natura associativa, con propri regolamenti, si adeguano,
tenendo conto delle relative peculiarità, ai principi del
decreto legislativo 30 marzo 2001, n. 165…
Art. 54 D.lgs. 165/2001 Codice di
comportamento.
DPR 62/2013
Codice di comportamento?
55

mappatura dei processi attuati
dall’amministrazione(il concetto di processo è più ampio
di quello di procedimento amministrativo e ricomprende anche le procedure di
natura privatistica - con la mappatura si fa una tomograﬁa del singolo processo)
valutazione del rischio per ciascun
processo:
identiﬁcazione
analisi (individuazione delle misure di neutralizzazione
del rischio)
ponderazione del rischio
trattamento del rischio.
Fasi della gestione del rischio
56

Approccio PDCA
57

Nuovo (9 giugno 2016) schema di PNA
58

L’ANAC ritiene applicabile, in via
diretta, agli ordini e ai collegi
professionali la normativa in materia di
contrasto alla corruzione, con
particolare riferimento alla l. 190/2012
e al d.lgs. 33/2013.
Schema ANAC per il PNA 2016
59

Con Deliberazione 21 ottobre 2014, n. 145, l’Autorità
ha affermato l’applicabilità a detti enti di tutta la
normativa anticorruzione, in ragione della più volte
ribadita natura associativo - rappresentativa degli stessi
- unitamente alle loro caratteristiche organizzative e
ﬁnalità istituzionali. Si deve ritenere, pertanto, che gli
ordini siano tenuti all’adozione di un PTPC, PTTI
(!), codice di comportamento, alla nomina di RPC,
al rispetto dei divieti in tema di inconferibilità e
incompatibilità degli incarichi di cui al d.lgs.
39/2013 e agli adempimenti degli obblighi in
materia di trasparenza di cui al d.lgs. 33/2013.
Schema ANAC per il PNA 2016
60

1. adozione di un PTPC
2. PTTI (!)
3. codice di comportamento
4. nomina di RPC
5. rispetto dei divieti in tema di
inconferibilità e incompatibilità degli
incarichi di cui al d.lgs. 39/2013
6. adempimenti degli obblighi in materia
di trasparenza di cui al d.lgs. 33/2013.
Obblighi per CNF e COA
61

1. presenza di ordini e collegi territoriali di
dimensioni particolarmente ridotte, sforniti
di personale dirigenziale.
2. incertezza circa i soggetti titolati
all’approvazione del PTPC e del PTTI (o
relativo Piano unico), in particolar modo con
riferimento alla corretta individuazione
dell’organo di “indirizzo politico”
3. rischio di duplicazione tra il PTPC dei COA
e il PTPC del CNF
4. individuazione di aree di rischio speciﬁche
Criticità individuate
62

1. RPC non può essere individuato in un soggetto
esterno all’ente
2. Se COA e CNF non hanno dirigenti, il RPC potrà
essere individuato in un proﬁlo non dirigenziale, che
garantisca comunque le idonee competenze e
professionalità, fermo restando che tale ruolo non può
essere attribuito a soggetti appartenenti a categorie
che svolgono funzioni meramente operative.
3. Solo in via residuale e con atto motivato, il RPC potrà
coincidere con un consigliere eletto dell’ente, purché
questi sia privo di deleghe gestionali. In tal senso,
dovranno essere escluse le ﬁgure di Presidente,
Consigliere segretario o Consigliere tesoriere.
Quale RPC?
63

CNF / COA
Chi adotta il PTPC?
64

1. formazione professionale continua;
2. rilascio di pareri di congruità
(nell’eventualità dello svolgimento di
tale attività da parte di ordini e collegi
territoriali in seguito all’abrogazione
delle tariffe professionali);
3. indicazione di professionisti per
l’afﬁdamento di incarichi speciﬁci.
Aree a rischio tipiche
65

1. esame e valutazione, da parte dei Consigli nazionali, della
domanda di autorizzazione degli “enti terzi” diversi dagli
ordini e collegi, erogatori dei corsi di formazione (ex art. 7, co.
2, d.p.r. 137/2012);
2. esame e valutazione delle offerte formative e
attribuzione dei crediti formativi professionali (CFP) agli
iscritti;
3. vigilanza sugli “enti terzi” autorizzati all’erogazione della
formazione ai sensi dell’art. 7, co. 2, d.P.R. 137 del 2012, svolta
in proprio da parte dei Consigli nazionali o dagli ordini e
collegi territoriali;
4. organizzazione e svolgimento di eventi formativi da parte
del Consiglio nazionale e degli ordini e collegi territoriali.
Area 1: FORMAZIONE CONTINUA
66

Eventi rischiosi…
1. alterazioni documentali volte a favorire l’accreditamento di
determinati soggetti;
2. mancata valutazione di richieste di autorizzazione, per
carenza o inadeguatezza di controlli e  
mancato rispetto dei regolamenti interni;
3. mancata o impropria attribuzione di crediti formativi
professionali agli iscritti;
4. mancata o inefﬁciente vigilanza sugli “enti terzi” autorizzati
all’erogazione della formazione;
5. inefﬁciente organizzazione e svolgimento delle attività
formative da parte del Consiglio nazionale e/o degli ordini
e collegi territoriali.
Area 1: FORMAZIONE CONTINUA
67

Eventi rischiosi…
1. effettuazione di una istruttoria
lacunosa e/o parziale per favorire
l’interesse del professionista;
2. valutazione erronea delle indicazioni in
fatto e di tutti i documenti a corredo
dell’istanza e necessari alla corretta
valutazione dell’attività professionale.
Area 2: PARERI DI CONGRUITA’
68

Eventi rischiosi…
Nomina di professionisti in violazione dei principi
di terzietà, imparzialità e concorrenza.
AD ESEMPIO: nomina di professionisti che abbiamo
interessi personali o professionali in comune con i
componenti dell’ordine o collegio incaricato della
nomina, con i soggetti richiedenti e/o con i
destinatari delle prestazioni professionali, o di
professionisti che siano privi dei requisiti tecnici
idonei ed adeguati allo svolgimento dell’incarico.
Area 3: INDICAZIONE DI PROFESSIONISTI
69

TRASPARENZA

La trasparenza è uno degli assi portanti della politica
anticorruzione impostata dalla l. 190/2012.

Essa è fondata su obblighi di pubblicazione previsti per
legge ma anche su ulteriori misure di trasparenza che
ogni ente, in ragione delle proprie caratteristiche
strutturali e funzionali, dovrebbe individuare in coerenza
con le finalità della l. 190/2012.

A questo fine si raccomanda di inserire il Programma per
la trasparenza all’interno del PTPC, come specifica
sezione, circostanza attualmente prevista solo come
possibilità dalla legge (art. 10 co. 2 del decreto legislativo
14 marzo 2013, n. 33).

(PNA - Aggiornamento 2015)
Trasparenza secondo il PNA
71

Pubblicato in GU il giorno 8 giugno 2016
Entra in vigore il 23 giugno 2016
Scadenza semestre adeguamento: 23 dicembre 2016
I soggetti di cui all’articolo 2-bis del decreto legislativo n.
33 del 2013 si adeguano alle modiﬁche allo stesso decreto
legislativo, introdotte dal presente decreto, e assicurano
l'effettivo esercizio del diritto di cui all'articolo 5, comma
2, del decreto legislativo n.33 del 2013, come modiﬁcato
dall'articolo 6 del presente decreto, entro sei mesi dalla
data di entrata in vigore del presente decreto.
L’ultimo arrivato: d.lgs. 97/16
72

d
PRINCIPI
GENERALI
OBBLIGHI DI PUBBLICAZIONE
VIGILANZA,
SANZIONI E
ALTRE
DISPOSIZIONI
FINALI
Tomografia del d.lgs. 33/2013
73

La trasparenza è intesa come
accessibilità totale dei dati e documenti
detenuti dalle pubbliche amministrazioni,
allo scopo di tutelare i diritti dei
cittadini, promuovere la partecipazione
degli interessati all’attività amministrativa
e favorire forme diffuse di controllo sul
perseguimento delle funzioni istituzionali
e sull'utilizzo delle risorse pubbliche.
Principio di trasparenza (1)
74

Accesso ai documenti amministrativi. Artt. 22 e
ss L. 241/1990

Non sono ammissibili istanze di accesso
preordinate ad un controllo generalizzato
dell'operato delle pubbliche
amministrazioni.
(Art. 24, comma 3)
Un’inversione di tendenza?
75

Dalla 241/90 al 97/2016
76
TRASPARENZA
1990 2009 2013 2016

1. Le disposizioni del presente decreto disciplinano la libertà di
accesso di chiunque ai dati e ai documenti detenuti dalle
pubbliche amministrazioni e dagli altri soggetti di cui all'articolo
2-bis, garantita, nel rispetto dei limiti relativi alla tutela di
interessi pubblici e privati giuridicamente rilevanti, tramite
l'accesso civico e tramite la pubblicazione di documenti,
informazioni e dati concernenti l’organizzazione e l’attività delle
pubbliche amministrazioni e le modalità per la loro realizzazione

2. Ai fini del presente decreto, per pubblicazione si intende la
pubblicazione, in conformità alle specifiche e alle regole
tecniche di cui all'allegato A, nei siti istituzionali delle
pubbliche amministrazioni dei documenti, delle informazioni e
dei dati concernenti l'organizzazione e l'attività delle pubbliche
amministrazioni, cui corrisponde il diritto di chiunque di
accedere ai siti direttamente ed immediatamente, senza
autenticazione ed identificazione.
2) Oggetto
77

2. La medesima disciplina prevista per le pubbliche
amministrazioni ... si applica anche, in quanto compatibile:
a) agli enti pubblici economici e agli ordini
professionali;
L'art. 1, comma 2bis della L. 190/2012 (anch'esso inserito
dal D.lgs 97/2016) richiama l'art. 2 bis anche per quanto
riguarda la valenza (e l'applicabilità soggettiva) del Piano
Nazionale Anticorruzione, che ha funzione di atto di
indirizzo ai ﬁni dell’adozione di misure di prevenzione
della corruzione di cui alla l. 190/2012
Ambito soggettivo di applicazione (2-bis)
78

Art. 7-bis (Riutilizzo dei dati pubblicati)
1.Gli obblighi di pubblicazione dei dati personali
diversi dai dati sensibili e dai dati giudiziari, di cui
all’articolo 4, comma 1, lettere d) ed e), del decreto
legislativo 30 giugno 2003, n. 196, comportano la
possibilità di una diffusione dei dati medesimi
attraverso siti istituzionali, nonché il loro trattamento
secondo modalità che ne consentono la indicizzazione
e la rintracciabilità tramite i motori di ricerca web ed
il loro riutilizzo ai sensi dell'articolo 7 nel rispetto dei
principi sul trattamento dei dati personali.
Limiti alla trasparenza (nuovo 7-bis)
79

2. La pubblicazione nei siti istituzionali, in
attuazione del presente decreto, di dati relativi
a titolari di organi di indirizzo politico e di uffici
o incarichi di diretta collaborazione, nonché a
dirigenti titolari degli organi amministrativi è
finalizzata alla realizzazione della trasparenza
pubblica, che integra una finalità di rilevante
interesse pubblico nel rispetto della disciplina in
materia di protezione dei dati personali.
80

3.Le pubbliche amministrazioni possono
disporre la pubblicazione nel proprio sito
istituzionale di dati, informazioni e documenti
che non hanno l’obbligo di pubblicare ai sensi
del presente decreto o sulla base di speciﬁca
previsione di legge o regolamento, nel
rispetto dei limiti indicati dall'articolo 5-bis,
procedendo alla indicazione in forma anonima
dei dati personali eventualmente presenti.
81

4. Nei casi in cui norme di legge o di
regolamento prevedano la pubblicazione
di atti o documenti, le pubbliche
amministrazioni provvedono a rendere
non intelligibili i dati personali non
pertinenti o, se sensibili o giudiziari, non
indispensabili rispetto alle speciﬁche
ﬁnalità di trasparenza della pubblicazione.
82

5. Le notizie concernenti lo svolgimento delle prestazioni di
chiunque sia addetto a una funzione pubblica e la relativa
valutazione sono rese accessibili dall'amministrazione di
appartenenza. Non sono invece ostensibili, se non nei casi
previsti dalla legge, le notizie concernenti la natura delle
infermità e degli impedimenti personali o familiari che
causino l'astensione dal lavoro, nonché le componenti della
valutazione o le notizie concernenti il rapporto di lavoro
tra il predetto dipendente e l'amministrazione, idonee a
rivelare taluna delle informazioni di cui all’articolo 4,
comma1,lettera d), del decreto legislativo n. 196 del 2003.
83

6.Restano fermi i limiti all'accesso e alla diffusione
delle informazioni di cui all’articolo 24,commi 1 e 6,
della legge 7 agosto1990,n 241, e successive modiﬁche,
di tutti i dati di cui all’articolo 9 del decreto legislativo
6 settembre1989,n. 322, di quelli previsti dalla
normativa europea in materia di tutela del segreto
statistico e di quelli che siano espressamente
qualiﬁcati come riservati dalla normativa nazionale ed
europea in materia statistica, nonche' quelli relativi alla
diffusione dei dati idonei a rivelare lo stato di salute e
la vita sessuale.
84

7. La Commissione di cui all'articolo 27 della legge
7 agosto 1990, n.241, continua ad operare anche
oltre la scadenza del mandato prevista dalla
disciplina vigente, senza oneri a carico del bilancio
dello Stato.
8. Sono esclusi dall’ambito di applicazione del
presente decreto i servizi di aggregazione,
estrazione e trasmissione massiva degli atti
memorizzati in banche dati rese disponibili sul web.
85

12) Obblighi di pubblicazione concernenti gli atti di carattere
normativo e amministrativo generale
86
Avv. Francesco Paolo Micozzi

12) Obblighi di pubblicazione concernenti gli atti di carattere
normativo e amministrativo generale
87
Avv. Francesco Paolo Micozzi
PUBBLICAZIONE
DEFICITARIA
(trasparenza)
PUBBLICAZIONE
ECCESSIVA
(dati personali)
PUBBLICAZIONE
CORRETTA

Un veloce riepilogo
88
Pubblicazione
obbligatoria?
Pubblicazione di dati, informazioni e
documenti che contengono dati personali
SI
DATI COMUNI
DATI
SENSIBILI
Rispettare principi di necessità,
pertinenza e non eccedenza
NO
Anonimizzazione
STATO DI SALUTE
VITA SESSUALE
DIVIETO DI PUBBLICAZIONE
DIVIETO DI PUBBLICAZIONE PER
FINALITÀ DI TRASPARENZA
Pubblicabili solo se
indispensabili alle
ﬁnalità di trasparenza

1. I documenti, le informazioni e i dati oggetto di
pubblicazione obbligatoria ai sensi della normativa
vigente, resi disponibili anche a seguito dell'accesso
civico di cui all'articolo 5, sono pubblicati in
formato di tipo aperto ai sensi dell'articolo 68
del Codice dell'amministrazione digitale, di cui al
decreto legislativo 7 marzo 2005, n. 82, e sono
riutilizzabili ai sensi del decreto legislativo 24
gennaio 2006, n. 36, del decreto legislativo 7 marzo
2005, n. 82, e del decreto legislativo 30 giugno 2003,
n. 196, senza ulteriori restrizioni diverse dall'obbligo
di citare la fonte e di rispettarne l'integrità.
7) Dati aperti e riutilizzo
89

Dati personali e riutilizzo
90
AMMINISTRAZIONE
TRASPARENTE
DATI, INFORMAZIONI E
DOCUMENTI
DATI PERSONALI
ALTRE INFORMAZIONI
RIUSO CONSENTITO
RIUSO CONSENTITO IN
TERMINI COMPATIBILI CON
FINALITÀ PER LE QUALI I
DATI PERSONALI SONO
STATI RACCOLTI

2.Allo scopo di favorire forme diffuse di controllo sul
perseguimento delle funzioni istituzionali e sull'utilizzo delle
risorse pubbliche e di promuovere la partecipazione al dibattito
pubblico, chiunque ha diritto di accedere ai dati e ai
documenti detenuti dalle pubbliche amministrazioni,
ulteriori rispetto a quelli oggetto di pubblicazione ai sensi
del presente decreto, nel rispetto dei limiti relativi alla tutela di
interessi giuridicamente rilevanti secondo quanto previsto
dall’articolo 5-bis.
Nessuna necessità di motivazione per l'accesso e
nessuna limitazione soggettiva
Il FOIA all’italiana (5)
91

2. L’accesso di cui all’articolo
5, comma 2, è altresì riﬁutato
se il diniego è necessario per
evitare un pregiudizio alla
tutela di uno dei seguenti
interessi privati:
a) la protezione dei dati
personali, in conformità con la
disciplina legislativa in materia;
FOIA e Privacy
92

Se i limiti di [...] riguardano
soltanto alcuni dati o alcune
parti del documento
richiesto, deve essere
consentito l’accesso agli
altri dati o alle altre parti
FOIA e Privacy
93

FOIA e Privacy
94

Obblighi di pubblicazione concernenti i titolari di
incarichi politici, di amministrazione, di direzione o di
governo e i titolari di incarichi dirigenziali
Estensione dell'obbligo di pubblicazione dell'atto di
conferimento, del curriculum, dei compensi, delle
cariche e degli incarichi, nonché della situazione
reddituale, anche ai titolari di incarichi dirigenziali
Esclusione della pubblicazione per i titolari di incarichi o
cariche di amministrazione, di direzione o di governo
attribuiti a titolo gratuito
Altri proﬁli rilevanti
95

E’ stato espressamente abolito dal
d.lgs. 97/2016
Che ﬁne ha fatto il PTTI?
96

GRAZIE PER L’ATTENZIONE!
97

Anticorruzione trasparenza - privacy - Per gli Ordini Professionali

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (18)

Similaire à Anticorruzione trasparenza - privacy - Per gli Ordini Professionali

Similaire à Anticorruzione trasparenza - privacy - Per gli Ordini Professionali (20)

Plus de Francesco Paolo Micozzi

Plus de Francesco Paolo Micozzi (19)

Anticorruzione trasparenza - privacy - Per gli Ordini Professionali