IL SINDACO METROPOLITANO
Premesso:
- che il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (di seguito GDPR), in vigore dal 24 maggio 2016 e applicabile a partire dal 25 maggio 2018, ha introdotto la figura del Responsabile dei dati personali (RDP-DPO) (artt. 37-39);
- che il predetto Regolamento prevede l’obbligo per il titolare o il responsabile del trattamento di designare il RDP-DPO, tra l’altro, «quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, ...» (art. 37, paragrafo 1, lett. a);
- che le predette disposizioni prevedono che il RDP-DPO «può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi» (art. 37, paragrafo 6) e deve essere individuato «in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compii i di cui all’articolo 39» ( art. 37, paragrafo 5);
- che l’adozione delle disposizioni contenute nel GDPR incide notevolmente sull’organizzazione interna e richiede la ricognizione, la valutazione e l’eventuale adeguamento delle misure di sicurezza normative, organizzative e tecnologiche, già adottate dall’Ente a tutela della privacy;
- che l’adeguamento alle norme richiamate deve essere inteso non come mero adempimento formale, ma come attività amministrativa concretamente finalizzata a intervenire sull’organizzazione dell’Ente e sul livello di sicurezza del trattamento dei dati, anche al fine di apportare i correttivi ed i miglioramenti necessari;
- che la Città Metropolitana di Messina è tenuta alla designazione obbligatoria del RDP-DPO;
- che con decisione a contrarre n. 3591 del 20/09/2024 e ss.mm.ii., la I Direzione - Servizi Informatici ha determinato di approvare l’affidamento diretto, ai sensi dell’art. 50, comma 1 lett. b) del D.Lgs. 36/2023, del servizio di Responsabile della Protezione dei dati (data Protection Officer – DPO) per 12 mesi con facoltà di proroga del servizio per un ulteriore periodo, non superiore a dodici mesi decorrenti dalla scadenza naturale del contratto, alle stesse condizioni ed agli stessi prezzi, affidando il predetto servizio all’Avvocato Fabrizio Grosso, con domicilio professionale in Messina;
- che l’analogo incarico disimpegnato dal su citato professionista presso il viciniore Comune di Messina, consente di ottimizzare gli aspetti relativi al servizio de quo e connessi con la conoscenza del territorio;
Ritenuto:
- che il RDP-DPO dev’essere designato in funzione della capacità di assolvere i compiti di cui all’articolo 39 del GDPR, quali: informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati; sorvegliare l’osservanza del RGDP, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo; fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35; cooperare con l’autorità di controllo; fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento;
- che il RPD/DPO deve svolgere le attività affidate con indipendenza e autonomia, senza ricevere istruzioni per l’esecuzione dell’incarico e senza alcun coinvolgimento nelle decisioni sulle misure tecniche-organizzative proprie dell’Amministrazione e nelle decisioni sulle finalità del trattamento dei dati;
- che la Città Metropolitana di Messina in considerazione delle specifiche funzioni da dover assolvere, anche considerato il proprio organico e le attribuzioni già in essere, non dispone di personale interno cui affidare il ruolo e le attività del RPD/DPO;
- che è necessario provvedere con urgenza all’individuazione di un operatore economico esterno che svolga il servizio di Responsabile per la protezione dei dati della Città Metropolitana di Messina, con l’attribuzione delle funzioni previste dalla normativa richiamata.
Visti:
- il Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27/4/2016 (GDPR);
- il D. Lgs. N. 267/2000 e ss.mm.ii.;
- il D.Lgs. n. 165/2001 e ss.mm.ii.; - il D. Lgs. n. 36/2023 e ss.mm.ii;
- lo Statuto della Città Metropolitana di Messina;
- il Regolamento sull’Ordinamento degli Uffici e dei Servizi della Città Metropolitana di Messina;
- il Funzionigramma e l’Organigramma della Città Metropolitana di Messina;
DECRETA
per le motivazioni esposte in narrativa:
1. Di nominare, per l’incarico esterno di Responsabile della protezione dei dati (RPD-DPO) della Città Metropolitana di Messina, l’Avv. Fabrizio Grosso, del Foro di Messina.
2. Di dare atto che il nominato Avv. Fabrizio Grosso, è incaricato di svolgere, in piena autonomia ed indipendenza, i compiti e le funzioni previsti all’art. 39 del GDPR:
a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l’osservanza del RGDP, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35; cooperare con l’autorità di controllo;
d) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento; il tutto come meglio specificato nel capitolato speciale dell’affidamento.
3. Di dare atto che il servizio di cui trattasi è finanziato con fondi del bilancio della Città Metropolitana di Messina.
5. Di dare mandato al Dirigente competente di provvedere a tutti gli atti consequenziali;
6. Di notificare il presente provvedimento all’Avv. Fabrizio Grosso.
7. Di pubblicare il presente Decreto sull’Albo Pretorio online e sul sito istituzionale dell’Ente.
8. Di comunicare al Garante per la protezione dei dati personali, nel più breve tempo possibile, il nominativo del RPD-DPO secondo le modalità stabilite dalla stessa Autorità.
L’Unità Organizzativa responsabile dell’istruttoria è il Servizio Sistemi Informativi della I Direzione Affari legali e del personale.
Il Responsabile del Procedimento è il Dott. Giorgio La Malfa, pec:protocollo@pec.prov.me.it
Per eventuali informazioni è possibile rivolgersi al suddetto Ufficio da lunedì a venerdì dalle ore 09:30 alle ore 12.30.
Avverso il presente provvedimento è ammesso ricorso entro 60 gg. – a partire dal giorno successivo al termine della pubblicazione all’Albo Pretorio – presso il TAR o entro 120 gg. presso il Presidente della Regione Sicilia.
Il Sindaco
F.to Federico Basile
- Decreto Sindacale n. 173 del 25/09/2024
A cura del Responsabile dell'Ufficio Comunicazione Istituzionale
Dott. Giuseppe Spanò