Avviso #C-23

All’Albo

Al Sito web

Oggetto: Avviso di selezione per l’affidamento dell’incarico di “Responsabile della protezione dei dati personali” (RPD o DPO) per gli adempimenti previsti dal Regolamento UE 2016/679.

Il Dirigente Scolastico

vista la legge 15 marzo 1997 n. 59, concernente “Delega al Governo per il conferimento di funzioni e compiti alle Regioni  ed Enti locali, per la riforma della Pubblica Amministrazione e per la semplificazione amministrativa”;

visto il Decreto del Presidente della Repubblica 8 marzo 1999, n. 275, concernente il Regolamento recante norme in materia di autonomia delle Istituzioni Scolastiche, ai sensi della legge 15 marzo 1997, n. 59;

visto il Decreto Interministeriale 28 Agosto  2018 n. 129, concernente “Regolamento concernente le Istruzioni generali sulla gestione amministrativo‐contabile delle Istituzioni scolastiche”;

visto il Decreto Legislativo 30 marzo 2001, n. 165, art. 7, recante “Norme generali sull’ordinamento del lavoro alle dipendenze della Amministrazioni Pubbliche” e ss.mm.ii.;

visto il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)» (di seguito RGPD o GDPR), in vigore dal 24 maggio 2016, e applicabile a partire dal 25 maggio 2018, introduce la figura del Responsabile dei dati personali (di seguito RDP o DPO) (artt. 37-39);

visto che il predetto Regolamento prevede l’obbligo per il titolare del trattamento (da identificarsi nel Dirigente Scolastico p.t. dell’Istituzione scolastica) di designare il RPD «quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali» (art. 37, paragrafo 1, lett. a);

visto che le predette disposizioni prevedono che il RPD «può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi» (art. 37, paragrafo 6) e deve essere individuato «in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39» (art. 37, paragrafo 5);

considerato che «un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione» (art. 37, paragrafo 3, RGPD);

considerato che le scuole sono tenute alla designazione obbligatoria del RPD nei termini previsti, rientrando nella fattispecie prevista dall’art. 37, par. 1, lett. a) del RGPD;

visto l’art. 7 del Regolamento in materia di autonomia scolastica, approvato con D.P.R. 8.3.1999, n. 275

l’art. 14, comma 3, del Regolamento in materia di autonomia scolastica, approvato con D.P.R. 8.3.1999, n. 275;

visto l’art. 7 commi 6 e seguenti del D.lgs. 30 marzo 2001 n. 165;

visti gli artt. 2222 e segg. c.c.

vista la propria determinazione prot. n. 3545/E/VI.2 del 16.10 2019 avente ad oggetto “Determina avvio procedura di selezione interna ed esterna per l’affidamento dell’incarico di “Responsabile della protezione dei dati personali” per gli adempimenti previsti dal Regolamento UE 2016/679.”

visto il Regolamento d’Istituo per l’attivtà negoziale;

vista la delibera del Consiglio di Istituto n. 11 del 15.10.2019 recante “Criteri di selezione del Responsabile della protezione dei dati (RPD)”;

viste le disponibilità iscritte nel Programma annuale EF 2019;

considerato che si rende necessario reperire un RDP che provveda, in maniera efficace, ad analizzare lo stato di fatto dell’istituto rispetto alle politiche di sicurezza per il trattamento dei dati  e a predisporre  un piano di azione tale per creare le politiche di sicurezza (informatiche, logiche ed organizzative) volte all’implementazione delle misure adeguate al progresso tecnologico così come previsto dal Regolamento ed a verificare il sistema  delle misure di sicurezza attraverso audit periodici;

considerato che il titolare del trattamento  dei dati è tenuto a individuare obbligatorimanete un soggetto che svolga la funzione di RPD e che per esperienza, capacità ed affidabilità lo stesso fornisca idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza (art. 35 comma 1, punto a) del RPGD;

considerato che si ritiene necessario esperire preliminarmente una indagine interna  all’Istituto per verificare la disponibilità di personale idoneo ad assumere il suddetto incarico e solo in caso di assenza di risorse interne si procederà a valutare candidature del personale esterno.

EMANA

il seguente Avviso per l’individuazione di una unità cui affidare l’incarico di “Responsabile della protezione dei dati ” (RPD o DPO)

Art. 1 – Premesse ed allegati

Le premesse e gli Allegati A e B costituiscono parte integrante e sostanziale del presente Avviso.

Art. 2 – Attività oggetto dell’incarico

Il soggetto selezionato, nel rispetto di quanto previsto dall’art. 39, par. 1, del RGPD è incaricato di svolgere, in piena autonomia e indipendenza, i seguenti compiti e funzioni:

• Informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal RGPD, nonché da altre disposizioni nazionali o dell’Unione relative alla protezione dei dati;
• Sorvegliare l’osservanza del RGPD, di altre disposizioni nazionali o dell’Unione relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
• Fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’art. 35 del RGPD;
• Cooperare con il Garante per la protezione dei dati personali;
• Fungere da punto di contatto con il Garante per la protezione dei dati personali per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’art. 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione;
• Svolgere ulteriori compiti, purché non comportino situazioni di incompatibilità, quali, in senso esemplificativo e non esaustivo: tenere il registro delle attività di trattamento sotto la responsabilità del titolare ed attenendosi alle istruzioni impartite; assicurare il corretto livello di interlocuzione con il RPD dei gestori di dati esterni (a mero titolo di esempio: registro elettronico, segreteria digitale, …);
• Dare supporto al titolare alla predisposizione delle misure adeguate di sicurezza dei dati (informatiche, logiche ed organizzative);
• Dare supporto al Titolare del trattamento per la pianificazione delle misure adeguate di sicurezza informatica previste dalla circolare AGID n. 2/2017 del 18/04/2017;
• Garantire, anche attraverso opportune verifiche periodiche, l’applicazione costante delle misure di sicurezza per il trattamento dei dati personali effettuato con strumenti elettronici;
• Sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità;
• Collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA);

• Supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento.

Art. 3 – Requisiti di ammissione

Possono presentare la candidatura liberi professionisti/lavoratori autonomi titolari di partita IVA in possesso dei seguenti requisiti minimi:

1. essere in possesso della cittadinanza italiana o di uno degli Stati membri dell’Unione europea;
2. godere dei diritti civili e politici;
3. non aver riportato condanne penali definitive che impediscano, ai sensi delle vigenti disposizioni, la costituzione del rapporto di impiego presso la Pubblica Amministrazione;
4. non trovarsi in nessuna delle situazioni di inconferibilità e/o incompatibilità previste dal D.lgs. n. 39/2013;
5. non essere stato destituito o dispensato dall’impiego presso una pubblica amministrazione e/o presso soggetti privati tenuti al rispetto di normative pubblicistiche per persistente insufficiente rendimento ovvero licenziato a seguito di procedimento disciplinare o per la produzione di documenti falsi o viziati da invalidità non sanabile;
6. non trovarsi in situazione di conflitto di interessi anche a livello potenziale intendendosi per tale quello astrattamente configurato dall’art. 7 del d.P.R. n. 62/2013.

Il Responsabile della protezione dei dati dovrà:

1. Possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati. Misure adeguate di sicurezza ICT , logica ed organizzativa.

(Non sono richieste attestazioni formali o l’iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi di studio/professionali può rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenze).

1. Adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse . In linea di principio, ciò significa che il RPD non può essere un soggetto che decide sulle finalità o sugli strumenti del trattamento di dati personali;
2. Operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio (RPD/DPO esterno).

Requisiti di accesso per la figura di Responsabile della protezione dei dati obbligatorie

• Comprovata e documentata esperienze in ambito della sicurezza informatica (Documento programmatico sulla sicurezza dei dati)presso Enti pubblici;
• Pregresse esperienze in ambito della sicurezza informatica (Documento programmatico sulla sicurezza dei dati e/o piani di disaster recovery e redazione delle misure minime previste dalla circolare AGID n.2/2017) presso Istituzioni Scolastiche;
• Assicurazione rischi professionali con specifica indicazione della copertura dell’attività di RPD.

Art. 4 – Candidatura

I soggetti interessati a proporre la propria candidatura dovranno far pervenire domanda come da Allegato A, corredata da curriculum vitae in formato europeo e scheda di autovalutazione (Allegato B) nonché una dichiarazione di autocertificazione che attesti la veridicità delle informazioni contenute nel CV e ogni altra utile documentazione al Dirigente Scolastico dell’Istituto Comprensivo Eboli “G. Gonzaga” Inoltre, essa dovrà contenere l’autorizzazione al trattamento dei dati personali ai sensi del D.lgs. 196/2003 e del Regolamento UE/2016/679.

La domanda dovrà essere spedita con raccomandata r.r. (non farà fede il timbro postale) o in alternativa consegnata a mano o inviata tramite posta elettronica certificata all’indirizzo PEC:  saic8bg00b@pec.istruzione.it, in plico chiuso, presso gli Uffici di Segreteria del nostro Istituto, entro le ore 12.00 del 31.10.2019 e recare sul plico o come oggetto della PEC la seguente dicitura: “Avviso di selezione per l’affidamento dell’incarico di Responsabile della protezione dei dati”

Art. 5 – Criteri di valutazione

L’esame delle candidature sarà demandato ad una apposita commissione, composta da un numero dispari di membri, nominata e presieduta dal Dirigente Scolastico. I curriculum pervenuti saranno comparati secondo la tabella di valutazione sotto riportata.

La Commissione redigerà un verbale con l’elenco degli ammessi, sulla base della comparazione dei curricula professionali e riservandosi di sottoporre i candidati a colloquio individuale, stante la specificità della funzione richiesta.

Art. 6 – Attribuzione dell’incarico

L’esperto prescelto si renderà disponibile per un incontro preliminare presso l’Istituto con il Dirigente Scolastico. L’incarico sarà attribuito anche in presenza di una sola candidatura che abbia le competenze ed i titoli richiesti documentati.

Al termine della selezione la commissione ratificherà i nominativi con la graduatoria di merito mediante affissione all’Albo online nel sito dell’Istituzione Scolastica.

A parità di punteggio verrà selezionato il candidato più giovane.

In caso di rinuncia alla nomina di esperto, da comunicare immediatamente alla scuola per iscritto, si procederà al regolare scorrimento della graduatoria. L’attribuzione avverrà tramite contratto ad personam secondo la normativa vigente. Gli aspiranti dipendenti di altre amministrazioni o da Istituzioni scolastiche, dovranno essere autorizzati dal proprio Dirigente e la stipula del contratto sarà subordinata al rilascio di detta autorizzazione (art. 53 del D.lgs. 165/2001).

L’incarico avrà la durata di anni uno (1) e comporterà lo svolgimento in via esclusiva dei compiti sopra elencati.

Si precisa che:

• la documentazione, relativa ai titoli aggiuntivi dichiarati, dovrà essere esibita solo a richiesta della Scuola;
• non saranno prese in considerazione: domande incomplete, compilate su modello diverso da quello allegato, prive del curriculum vitae o pervenute oltre la data di scadenza fissata;
• la selezione delle istanze sarà effettuata da apposita commissione, sulla base della tabella di valutazione dei titoli riportata nel modello di partecipazione allegato;
• la graduatoria di merito, con i punteggi attribuiti, sarà pubblicata all’albo della Scuola entro il 06/11/2019; avverso la graduatoria sarà possibile presentare motivato reclamo entro il termine di 5 giorni dalla data di pubblicazione;
• a parità di punteggio sarà data precedenza al più giovane d’età;
• le attività si svolgeranno presso la sede dell’Istituto.

Costituiscono motivo di risoluzione anticipata del rapporto di lavoro, previa motivata esplicitazione formale:

• La non veridicità delle dichiarazioni rese nella fase di partecipazione al bando;
• La violazione degli obblighi contrattuali;
• La frode o la grave negligenza nell’esecuzione degli obblighi e delle conduzioni contrattuali.

Art. 7 – Compenso

Per l’incarico di RPD, attribuito sotto forma di contratto di prestazione di servizi, è prevista l’attribuzione di un compenso annuale pari ad €. 1.300,00  (milletrecento/00) oltre  IVA del 22%, se dovuta in base al regime fiscale del soggetto individuato.

Il compenso verrà corrisposto in un’unica soluzione al termine dell’attività, entro 30 gg. dalla presentazione di specifica relazione finale su quanto svolto.

Per la prestazione di servizi da parte di esperti esterni verrà richiesta l’emissione di  fattura, esclusivamente in formato elettronico.

L’esperto individuato sarà soggetto al regime fiscale e previdenziale previsto dalla normativa vigente; i compensi non daranno luogo a trattamento previdenziale e/o assistenziale né a trattamento di fine rapporto.

L’esperto dovrà inoltre provvedere in proprio alle eventuali coperture assicurative per gli infortuni e responsabilità civile.

Art. 8 – Disposizioni finali

Ai sensi del Regolamento UE 2016/679 e del D.lgs. 196 del 30 giugno 2003 e successive modificazioni, l’Istituto s’impegna al trattamento dei dati personali dichiarati solo per i fini istituzionali e necessari per la gestione giuridica della selezione dell’esperto ai sensi del presente bando.

Per quanto non espressamente previsto nel presente Avviso si rinvia alla vigente normativa nazionale e comunitaria in materia.

Il presente avviso viene pubblicato all’Albo online.

Il Dirigente Scolastico

f.to Roberta Talamo