Società trasparente - privacy

Classificazione dei dati trattati

Considerata la natura giuridica di società c.d. "in house" della Regione Puglia, nonché l'oggetto sociale, InnovaPuglia è "Titolare dei trattamenti" per quanto riguarda la raccolta e il trattamento dei dati personali che attengono alla propria attività aziendale, mentre può rivestire il ruolo di "Responsabile del trattamento" e il suo personale può essere autorizzato al trattamento dei dati rivenienti dalle attività affidate dalla Regione Puglia.

Con la D.G.R. n. 1328 del 07/08/2020 recante "Approvazione modelli di Accordi Data Protection: Accordo titolare-responsabile ex art. 28 GDPR ed Accordo di Contitolarità ex art. 26 GDPR" la Regione Puglia ha provveduto a revisionare il modello di Accordo tra Titolare e Responsabile del trattamento già contenuto nella DGR n. 2213/2017, nonché a formulare uno specifico modello di Accordo tra Contitolari, rispettivamente Allegato A) e Allegato B) della citata DGR. Considerando che con DGR n. 145/2019 la Giunta Regionale, in applicazione del disposto del citato art. 2-quaterdecies del D.Lgs. 101/2018, ha delegato l'esercizio delle competenze del Titolare del trattamento in materia di protezione dei dati ai Dirigenti responsabili delle strutture presso le quali si svolgono i singoli trattamenti, nominando questi ultimi "Designati del trattamento dei dati" e segnatamente definendone i relativi compiti. I Dirigenti regionali dovranno provvedere a redigere gli accordi previsti dalla DGR 1328/2020, con i Responsabili esterni del trattamento o con altri Titolari del trattamento di dati personali, di volta in volta, in base alle competenze amministrative delle Strutture da essi dirette e nell'esercizio della autonomia gestionale.

Alla luce delle attività istituzionali svolte da InnovaPuglia e dalla articolata gamma di trattamenti di dati che possono comprendere dati personali, dati particolari e dati giudiziari. Particolare rilievo rivestono i trattamenti effettuati, in qualità di Responsabile del Trattamento e Amministratore di Sistema, mediante il Centro Elaborazione Dati aziendale e finalizzati prevalentemente alla amministrazione e gestione delle banche dati strategiche Regionali, con particolare riferimento alle banche dati sanitarie.

I trattamenti effettuati in qualità di Titolare del Trattamento sono, in relazione alla quantità e qualità degli altri dati gestiti, relativamente limitati e riguardano essenzialmente:

  • Trattamenti amministrativi tipici (Personale, fornitori, contabilità);
  • Trattamenti relativi alla gestione delle pratiche per l'erogazione di servizi di Posta Elettronica Certificata (PEC);
  • Trattamenti relativi alla erogazione del servizio di Soggetto Aggregatore (Nel solo caso di sottoscrizione diretta di convenzioni per l'acquisto di beni e servizi destinati ai Soggetti Obbligati);

 

Responsabile della Protezione dei Dati (RPD)

InnovaPuglia, rientrando nella fattispecie prevista dall'art. 37, par. 1, lett. a) del RGPD, ha previsto la figura del Responsabile della Protezione dei Dati (RPD). Le predette disposizioni prevedono che il RPD «può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi» (art. 37, paragrafo 6) e deve essere individuato «in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all'articolo 39» (art. 37, paragrafo 5) e «il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento» (considerando n. 97 del RGPD).

Per la selezione del RPD InnovaPuglia ha indetto una procedura negoziata ex Art. 36, comma 2, lett. b), del D.Lgs. 50/2016 e s.m.i., per un valore a base d'asta di € 60.000,00 (sessantamila/00) oltre IVA (non sono previsti oneri per la sicurezza da interferenze), a seguito dell'espletamento di indagine di mercato attraverso avviso pubblico, giusta Determina a contrarre del Direttore Generale di InnovaPuglia S.p.A. n. DG/21 del 02/02/2021, sulla base di quanto disposto dal Collegio Sindacale del 27/01/2021.

Il Consiglio di Amministrazione nella seduta del 26 maggio 2021, verbale n. 5, ha approvato l'esito della procedura di gara, autorizzando il Direttore Generale, a procedere in tutti i necessari e conseguenti adempimenti.

Il Direttore Generale giusta determina N. DG/97 del 08/06/2021 ha aggiudicato l'incarico di RPD (Responsabile Protezione Dati) di InnovaPuglia" ex art. 37 del Regolamento U.E. 2016/679, allo Studio Melica Scandelin & Partners -Studio Legale Associato per un importo complessivo pari ad € 44.880,00.

Il RPD, nel rispetto di quanto previsto dall'art. 39, par. 1, del RGPD è incaricato di svolgere, in piena autonomia e indipendenza, i seguenti compiti e funzioni:

  1. informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal RGPD, nonché da altre disposizioni nazionali o dell'Unione relative alla protezione dei dati;
  2. sorvegliare l'osservanza del RGPD, di altre disposizioni nazionali o dell'Unione relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  3. fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35 del RGPD;
  4. cooperare con il Garante per la protezione dei dati personali;
  5. fungere da punto di contatto con il Garante per la protezione dei dati personali per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Al fine di consentire l'ottimale svolgimento dei compiti e delle funzioni assegnate, nella seduta del 21/11/2018 il CdA, ha previsto:  l'istituzione dell'Ufficio "Protezione dei dati personali".

 

Riferimenti normativi:

Decreto legislativo n. 33/2013 - Decreto legislativo 30 giugno 2003, n. 196 - Regolamento (UE) 2016/679

 

Aggiornato al 23/07/2021