MANIFESTAZIONE DI INTERESSE – GDPR

MANIFESTAZIONE DI INTERESSE A PARTECIPARE ALL’INDAGINE DI MERCATO PER L’AFFIDAMENTO DI SERVIZI VOLTI ALL’ATTIVITA’ DI ADEGUAMENTO ALLA NORMATIVA EUROPEA SULLA PROTEZIONE  DEI DATI PERSONALI – Formazione, Gestione dei registri, Assunzione del ruolo di Responsabile della Protezione Dati (D.P.O.)

La Jonica Trasporti & Turismo S.p.A., con la presente intende avviare un’indagine di mercato, mediante raccolta di manifestazioni di interesse, finalizzata ad un’eventuale affidamento diretto, ex art. 125, comma 11 del D. Lgs. 163/2006 e s.m.i. dei servizi volti a supportare, formare e indirizzare la scrivente Società per il raggiungimento degli obiettivi fissati dal Regolamento Europeo n. 679/2016, anche per il tramite della figura del Data Protection Officer (D.P.O.) ai sensi dell’art. 37;

A tal fine, in attuazione dei principi comunitari di parità di trattamento, non discriminazione, proporzionalità e trasparenza, è consentito ai soggetti interessati ed in possesso dei requisiti di cui appresso, presentare apposita manifestazione di interesse. Il presente avviso assolve la funzione di garantire pubblicità alla procedura e non ha alcuna finalità negoziale, ma unicamente conoscitiva dell’assetto del mercato, dunque dell’esistenza di soggetti interessati a diventare potenziali consulenti.

Premessa

Le attività principali di codesta Società comportano il trattamento di dati personali e sensibili, anche giudiziari, tali da rendere necessaria la designazione di un Data Protection Officer (D.P.O.), ai sensi dell’art. 37 del Regolamento UE 2016/679 sulla protezione dei dati personali (GDPR).

Il presente affidamento è pertanto finalizzato alla fornitura di servizi volti a supportare, formare e indirizzare il lavoro dell’Amministrazione, organizzare la gestione dei registri previsti dal GDPR, nonché assumere il ruolo di Responsabile della Protezione Dati (D.P.O.) in modo che la Società sia in grado di gestire al meglio gli adempimenti e le misure previste dal GDPR.

Oggetto del servizio

L’attività richiesta consiste nell’assunzione del ruolo di Responsabile della Protezione Dati (D.P.O.) e nel fornire, inizialmente, una valutazione dell’esistenza, della completezza e correttezza degli adempimenti effettuati in materia di trattamento e sicurezza dei dati, fornendo un report che evidenzi il relativo grado di conformità o di parziale o totale non conformità, e nell’attività di supporto per l’adeguamento al Regolamento Europeo 679/2016 compresa l’attività di redazione e/o aggiornamento della documentazione, dei provvedimenti di designazione dei Responsabili del Trattamento e degli incaricati, la mappatura dei trattamenti al fine della stesura del registro dei trattamenti, formazione e supporto normativo. Per tale attività si dovrà consegnare una relazione sulle azioni da intraprendere per garantire la protezione dei dati personali e la relativa base giuridica.

In seguito, il servizio si esplicherà attraverso il supporto al gruppo di lavoro e dovrà ricomprendere le seguenti attività:

  1. informare e fornire consulenza al Titolare e ai Responsabili del trattamento, nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR e dalle altri disposizioni legislative, Provvedimenti e Linee Guida dell’Autorità Garante Privacy relative alla protezione dei dati. In tal senso il  DPO può indicare al Titolare e/o ai Responsabili i settori funzionali ai quali riservare un audit interno o esterno in tema di protezione dei dati, le attività di formazione interna per il personale che tratta dati personali e a quali trattamenti dedicare maggiori risorse e tempo in relazione al rischio riscontrato;
  2. sorvegliare l’osservanza del GDPR, delle altre normative  relative alla protezione dei dati. Fanno parte di questi compiti la raccolta di informazioni per individuare i trattamenti svolti, l’analisi e la verifica dei trattamenti in termini di loro conformità, l’attività di informazione, consulenza e indirizzo nei confronti del Titolare e dei Responsabili del trattamento. E’ compreso il compito di tenere il registro delle attività di trattamento;
  3. sorvegliare sulle politiche del titolare in materia di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento e alle connesse attività di controllo;
  4. fornire, se richiesto, pareri in merito alla valutazione di impatto sulla protezione dei dati e  sorvegliarne lo svolgimento, ai sensi dell’art. 35 del GDPR;
  5. cooperare con il Garante e fungere da punto di contatto per l’autorità di controllo per questioni connesse ai trattamenti, fornire supporto e consulenza per i rapporti con gli interessati e con il Garante Privacy;
  6. assistenza nella predisposizione della regolamentazione societaria sul trattamento dei dati personali;
  7. somministrazione di formazione continua e specifica sulle tematiche della protezione dei dati a favore della generalità dei dipendenti;
  8. formazione specifica per le diverse professionalità coinvolte nel trattamento (a titolo esemplificativo: formazione giuridica in ambito di protezione dei dati personali; formazione tecnica in materia di sicurezza informatica…);
  9. predisposizione di linee guida, disposizioni operative, modulistica e policy applicative relative alla protezione dei dati personali e supporto normativo.

A tale riguardo le tematiche, oggetto di specifica regolamentazione saranno in particolare:

  • Analisi e codifica dei trattamenti dei dati Personali;
  • Attivazione e mantenimento del Registro delle attività di trattamento dei dati personali;
  • Attivazione e gestione del Registro dei Data Breach;
  • Attivazione del registro di segnalazioni e richieste di accesso ai dati personali;
  • Formulazione di pareri relativi al bilanciamento tra riservatezza e trasparenza amministrativa alla luce del decreto legislativo n. 33/2013, così come riformato dal Decreto Legislativo n. 97/2016; –  Elaborazione di Linee Guida e di informative specifiche sul trattamento dei dati personali;
  • Definizione di procedure di elaborazione e controllo degli atti di nomina dei responsabili incaricati ed amministratori di sistema e dei correlati adempimenti e loro revisione;
  • Aggiornamento di una procedura di gestione degli affidamenti di attività che comportano un trattamento di dati personali a responsabili esterni, compresa la predisposizione delle specifiche clausole previste dall’articolo 28 del GDPR;
  • Elaborazione di procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative al fine di garantire la sicurezza del trattamento dei dati personali.

Nel caso di attività ispettive promosse dall’autorità di controllo/Garante, dovrà assicurare la propria presenza presso la sede della Società con la massima tempestività.

 

Requisiti per la manifestazione di interesse

Ogni soggetto interessato, dovrà, a pena di esclusione dalla procedura:

  1. a) garantire che il D.P.O.:  
  • sia in possesso di diploma di laurea magistrale (vecchio ordinamento) o diploma di     laurea specialistica (nuovo ordinamento);
  1. b) avere conoscenza approfondita delle normative in materia di protezione dei dati e del              Regolamento Europeo 679/2016; esperienza riguardo le tematiche legate alla privacy, alla gestione e sicurezza dei dati e delle informazioni e della trasparenza in organizzazioni complesse. Assumono particolare rilevanza ai fini della selezione:
  • esperienza relativa alla gestione di funzione di DPO e di Referente Aziendale per la Privacy;

– esperienza di consulenza legale per organizzazioni di elevata complessità, con             particolare riguardo alle tematiche legate all’applicazione del Codice Privacy (D.Lgs 196/2003), diritto informatico ed internet, amministrazione digitale, accesso e trasparenza e diritto del lavoro nelle organizzazioni complesse;

  • partecipazione a master/corsi di specializzazione;
  • incarichi di consulenza nelle materie suindicate;

I requisiti dovranno essere posseduti alla data di scadenza del termine per la presentazione delle domande di partecipazione.

Termine e modalità di presentazione della manifestazione di interesse

I soggetti in possesso dei requisiti sopra specificati e interessati a partecipare alla procedura dovranno presentare apposita manifestazione di interesse entro e non oltre il termine delle ore 13:00 del giorno 22 Giugno 2018, a mezzo PEC o brevi mano presso la sede legale della scrivente Società sita in Via Giordano Bruno, 53 Isol. 147 – 98122 Messina.

 

Privacy

Ai sensi dell’art. 13 del D.Lgs. 30.06.2003 n. 196, si informa che la Società per lo svolgimento delle funzioni istituzionali tratterà i dati personali forniti e raccolti in occasione del presente procedimento con modalità informatiche e/o manuali tali da garantire la riservatezza e la sicurezza degli stessi. Il conferimento dei dati è necessario per consentire il procedimento. Potranno venire a conoscenza dei dati personali i dipendenti e collaboratori, anche esterni, del Titolare e i soggetti che forniscono servizi strumentali alle finalità di cui sopra. Tali soggetti agiranno in qualità di Responsabili o Incaricati del trattamento. I dati personali potranno essere comunicati ad altri soggetti pubblici e/o privati unicamente in forza di una disposizione di legge o di regolamento. L’interessato gode, per quanto compatibili, dei diritti di cui all’art. 7 del D.Lgs. 196/2003 medesimo tra i quali il diritto di chiedere la rettifica, l’aggiornamento o l’integrazione dei dati, nonché la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge. Per l’esercizio di tali diritti, l’interessato può rivolgersi al Titolare del trattamento dei dati. Il Titolare del trattamento dei dati è la Jonica Trasporti & Turismo S.p.A., con sede in Via Giordano Bruno, 53 – Isol. 147 – 98122 Messina.  

Riferimenti normativi

Il presente procedimento è preordinato a conoscere i soggetti interessati a presentare apposita manifestazione di interesse; tale fase non ingenera nei soggetti alcun affidamento sul successivo invito alla procedura.  L’indagine ha scopo esplorativo, non costituisce proposta contrattuale e non vincola in alcun modo la Jonica Trasporti & Turismo S.p.A. che sarà libera di seguire anche altre procedure. La presentazione delle candidature non è costitutiva di diritti in capo agli stessi soggetti e non vincola la Società alla conclusione del procedimento, potendo essere sospeso, revocato, annullato o reindetto, con adeguata motivazione, senza che ai soggetti interessati spetti alcuna forma di indennizzo.

Il Responsabile del Procedimento è il Responsabile della Struttura Complessa.  

 

                       L’Amministratore Unico

                              F.to Avv.to Gianfilippo Ceccio