ASL, NOMINE ILLEGITTIME E SILENZI…

1

asl1 300x165 ASL, NOMINE ILLEGITTIME E SILENZI…Ci risiamo…ma l’Asl di Caserta, che in maniera ostinata e coriacea, ma soprattutto silenziosa continua su un percorso accidentato facendo collezione di figurelle, prima o poi si renderà conto che sta raggiungendo il punto di non ritorno dell’automassacro dell’immagine? No?…bene continuiamo…Dal 25 maggio u.s., anche in Italia, è in vigore il nuovo Regolamento UE 2016/679 sulla Privacy, il Gdpr (General Data Protection Regulation). Fra le varie implicazioni vi è quella relativa alla figura professionale incaricata di gestire la problematica. Il Data Protection Officer (o Data Privacy Officer), come prescrive la C.E., è chiamato ad assolvere diverse funzioni e rappresenta l’interfaccia di riferimento in azienda, per tutte le questioni connesse alla sicurezza dei dati personali, garantendo un flusso di comunicazione efficace con gli interessati e con l’autorità Garante della Privacy.  Il regolamento stabilisce come tale figura debba essere in grado di fornire consulenza al management aziendale, circa le prescrizioni della legge, sorvegliando che essa sia correttamente applicata, e di adoperarsi per effettuare in modo continuativo consultazioni di vario genere e di natura preventiva. Per fare ciò il DPO deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, delle procedure amministrative che caratterizzano il settore di riferimento e coadiuvare le figure competenti in materia di dati, agendo in piena indipendenza e autonomia e riferendo direttamente ai vertici dell’organizzazione. Data l’importanza del suo ruolo, gli enti pubblici non potranno attribuire il ruolo di DPO ad uno qualunque dei loro impiegati. Come recentemente precisato dal Garante Privacy, la scelta dovrà essere effettuata verificando il possesso di competenze ed esperienze specifiche.  Sono previsti inoltre requisiti normativi relativi alla sua posizioneindipendenza e autonomia. Essendogli attribuiti poteri di controllo solitamente affidati alle autorità, fondamentale è anche l’assenza di conflitto di interessi. Ciò significa che, nel caso di nomina interna, la persona individuata quale DPO non deve rivestire un ruolo all’interno dell’organizzazione che gli consenta di determinare finalità e modalità del trattamento. Pertanto, non sarebbe possibile, ad esempio, nominare quale DPO l’IT manager dell’azienda e quindi un programmatore, in quanto i relativi compiti sono verosimilmente incompatibili con quelli propri del DPO, che finirebbe in pratica per controllare sé stesso, verificando se le proprie attività di IT manager siano conformi alla normativa in materia di data protection. Premesso questo, la delibera 668 del 24 maggio 2018 di nomina del DPO a firma del direttore generale dell’Asl, risulta essere illegittima. Infatti l’Asl, venendo meno alle linee guida emanate dal Garante per la Protezione dei dati circa la nomina del DPO (conferimento a un dirigente ovvero a un funzionario di alta professionalità, in grado di svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione) ha nominato un dipendente interno non di alta professionalità e non nell’ambito della Dirigenza ma un dipendente del Comparto – Categoria C (ex 6° livello) qualifica programmatore. e quindi in contrasto con il CCNL.

Nel caso in cui il RPD sia un dipendente dell’autorità pubblica o dell’organismo pubblico, quale qualifica deve avere?

Occorre in primo luogo valutare se il ruolo del RPD sia compatibile o meno con le mansioni svolte in qualità di dipendente. Il Garante ricorda infatti che

il RPD non deve ricevere alcuna istruzione circa l’esecuzione dei suoi compiti (art. 38, par. 3)

deve poter agire in maniera indipendente (considerando 97)

riferisce sempre al vertice gerarchico (art. 38, par. 3): tale rapporto diretto garantisce, in particolare, che il vertice amministrativo venga a conoscenza delle indicazioni e delle raccomandazioni fornite dal RPD nell’esercizio delle funzioni di informazione e consulenza a favore del titolare o del responsabile.

Quindi ove si opti per un dipendente interno sarebbe opportuno che la designazione fosse conferita a un dirigente ovvero a un funzionario di alta professionalità, in grado di svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione.

La nomina di cui sopra, è stata proposta dal responsabile della UOSC Servizio Controllo Interno di gestione e Sistema Informativo nonché del dottor Michele Tar,i in contrasto con quanto chiaramente espresso nell’art. 37 del Regolamento UE 2016/679, in cui è prescritto che il responsabile della protezione dei dati deve essere designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”, concetto ribadito anche nelle raccomandazioni contenute nelle Linee Guida  243 approvate dal Gruppo dei Garanti.

 Il dottor C.L.nominato DPO per l’Azienda Sanitaria Locale di Caserta, come si evince dal suo curriculum vitae, non possiede conoscenza alcuna né tantomeno ha acquisto formazione specialistiche della normativa in oggetto (così come richiesto all’art.37 del Regolamento); e non è in grado di assicurare che gli altri compiti e funzioni dallo stesso svolte non diano adito a un conflitto d’interessi, come prescritto dall’art. 38, par. 6  perché altrimenti il DPO dovrebbe in pratica controllare se stesso. Inoltre, il succitato nominato DPO è un dipendente subordinato al Dirigente del Servizio Controllo Interno di Gestione e Sistema Informativo – Prevenzione Corruzione Trasparenza dell’ASL di cui dovrebbe essere responsabile il dottor Tari, con qualifica di programmatore e presta la sua opera nell’ambito del Sistema Informativo dell’ASL sempre diretto dal dottor Tari, producendo e occupandosi della relativa manutenzione di programmi nell’ambito sanitario dell’Azienda nonché nell’ambito del Sistema Informativo Regionale – Saniarp, i quali trattano dati sensibili sanitari dei pazienti. E’ appena il caso di evidenziare che nella citata Delibera 668 del 24 maggio u.s., non si chiarisce (forse artatamente???) se il dottor C.L. sia un dipendente di ruolo dell’Azienda con la relativa qualifica o un libero professionista (il tutto in ossequio alla Trasparenza…sic!!!!!) e sulla base di quale esperienza acquisita, che si legge nella Delibera di nomina, sia giuridica che in ambito di sicurezza, viene nominato; difatti dal Curriculum dello stesso non si evincono né competenze né esperienze conseguite. Tutto ciò prefigura la mancata trasparenza!!!!!!!! Infatti, il dottor C.L. è un dipendente di ruolo dell’ASL di Caserta di Categoria C (ex 6° Livello) del Comparto Sanità con qualifica di programmatore e svolge le sue mansioni proprie del profilo nel Servizio Controllo Interno di Gestione e Sistema Informativo aziendale, (difatti controllando sul sito dell’ASL di Caserta si evince che il signor C.L.è dipendente Asl con qualifica programmatore Categoria C Tra l’altro il dottor C.L. ha omesso di indicare (distrazione?) nel suo curriculum vitae, allegato alla Deliberazione di nomina di essere sia dipendente di ruolo dell’Azienda Sanitaria Locale di Caserta con la qualifica di programmatore (Categoria “C” Comparto Sanità) e sia di essere incardinato nel Sistema Informativo dell’Azienda Sanitaria Locale di Caserta; e lo stesso è stato omesso nell’atto Deliberativo di nomina adottato dal Direttore Generale (sindrome da distrazione collettiva?) Per tale motivo si configura la illegittimità di un altro atto pubblico di nomina operato in questo magnifico Paese…ma tutto ciò origina un conflitto di interessi (art. 38, par. 6); difatti in ambito pubblico possono trovarsi in situazione di conflitto di interessi tutte quelle figure apicali che hanno potere decisionale in relazione alle “finalità” ed ai “mezzi” del trattamento: ad esempio il responsabile dei Sistemi informativi (chiamato ad individuare le misure di sicurezza necessarie) e per estensione tutte quelle figure professionali incardinate nei sistemi informativi e a maggior ragione un dipendente con qualifica di programmatore incardinato sia nel sistema informativo aziendale dell’ASL di Caserta che di quello regionale (SANIARP).

Inoltre, la nomina del dottor C.L.dipendente di ruolo dell’Azienda Sanitaria Locale di Caserta appartenente al Comparto Categoria C (ex 6° livello – qualifica programmatore) appare in maniera evidente in violazione della normativa vigente nonché dei CCNNLL del Comparto Sanità, in merito sia all’autonomia che assegnazioni di funzioni e per tale motivo non può gestire né personale né risorse economiche in quanto in contrasto col profilo di appartenenza nell’Azienda e come la stessa nomina operata dal Direttore Generale con nota prot. 125229/ASL del 25/058/2018 Allo stesso tempo, ci si chiede il motivo per cui il Direttore Generale non abbia fatta una comparazione dei titoli posseduti dai Dirigenti di ruolo dell’ASL di Caserta per la nomina del DPO. Ma…naturalmente non pretendiamo che questa volta, a differenza degli altri quesiti posti in precedenza, il DG si degni di rispondere o soltanto replicare o magari addirittura obiettare…Il silenzio è la dimensione giusta in cui trovano rifugio, timidezza, arroganza, incompetenza ed anche cattiva educazione…importante scegliere in piena onestà intellettuale cosa ci attaglia maggiormente e dichiararsi tale…Hasta la vista!

1 commento

Comments are closed.