Articoli

Accessibilità siti web PA: adempimenti entro il 23 settembre e centralità del RTD

Accessibilità e Trasparenza per le PA: quali doveri per il Responsabile per la Transizione al digitale?

Il tema dell’accessibilità ICT nelle Pubbliche amministrazioni ha subito recenti innovazioni. In particolare, l’Italia ha recepito la Direttiva UE 2016/2102 con il Decreto legislativo n. 106 del 10 agosto 2018, che ha aggiornato e modificato la Legge 4/2004, per evitare discriminazioni agli utenti con disabilità.

Per tali ragioni, l’Agid ha emanato le Linee Guida sull’ accessibilità degli strumenti informatici, così come disposto dall’ art. 11 della L. 4/2004, al fine di definire correttamente:

  • i requisiti tecnici per l’accessibilità degli strumenti informatici, inclusi i siti web e le applicazioni mobili;
  • le metodologie tecniche per la verifica dell’accessibilità degli strumenti informatici;
  • il modello della dichiarazione di accessibilità;
  • la metodologia di monitoraggio e valutazione della conformità degli strumenti informatici alle prescrizioni in materia di accessibilità;
  • le circostanze in presenza delle quali si determina un onere sproporzionato.

 

Alla luce delle Linee Guida, le Pubbliche Amministrazioni saranno tenute a nuovi adempimenti. In particolare:

  • Entro il 23 Settembre 2020 tutti i siti web delle PA dovranno essere aggiornati in conformità al nuovo contesto normativo di riferimento;
  • Nella valutazione o acquisto di prodotti Ict, specialmente nel caso di portali internet e applicazioni mobili, deve ponderare e pretendere siano rispettati tutti i criteri e le norme vigenti in tema di accessibilità ed usabilità.

 

Tali adempimenti saranno oggetto di valutazione periodica da parte dell’Agid, che effettuerà il monitoraggio dei siti web e delle app su un campione rappresentativo, relazionando ogni 3 anni alla Commissione europea sui risultati del monitoraggio.

Le Linee guida per l’accessibilità dei prodotti ICT rende la figura del Responsabile per la transizione al digitale (RTD) essenziale e centrale. Infatti:

  • È necessaria la nomina del Responsabile per la Transizione Digitale e la pubblicazione della sua mail su IndicePA, al fine di poter ricevere le credenziali di accesso all’applicazione della dichiarazione;
  • Questi, sarà poi tenuto a pubblicare annualmente una dichiarazione di accessibilità per ogni sito web e applicazione mobile dell’amministrazione.

 

 

La necessità di formazione per garantire la Transizione al digitale: Hedya propone i percorsi formativi innovativi

Gli adempimenti richiesti dalle Linee Guida sull’accessibilità richiedono una maggiore comprensione dei soggetti che interagiscono nella creazione, gestione e mantenimento di siti web, contenuti e app mobili. Il tema cruciale per garantire la transizione al digitale è sicuramente quello legato alle competenze digitali nella PA, che costituisce il fattore abilitante per qualsiasi corretta e adeguata governance dell’innovazione. Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, occorre un’adeguata preparazione in materia di sicurezza, privacy e tutela dei lavoratori. Per tali ragioni, Hedya propone gli innovativi percorsi di formazione:

 

 

Il percorso è rivolto:

  • a tutti coloro che all’interno delle Pubbliche Amministrazioni sono coinvolti, a vario titolo, nei processi di trasformazione alla modalità digitale;
  • a tutti coloro che sono stati nominati e che svolgono attualmente il ruolo di Responsabile per la Transizione al Digitale.

 

Inoltre, Hedya supporta le Pubbliche Amministrazioni attraverso servizi di consulenza mirati, in materia di digitalizzazione, sui temi più critici connessi agli obblighi e agli adempimenti prescritti dalla legge.

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

/da

Università “all’esame” del Garante: la tutela del whistleblowing non rispetta il GDPR

Tutela del whistleblowing a prova del GDPR: errori da non commettere

Con il recente Provvedimento del 23 gennaio, il Garante privacy ha sanzionato l’Università La Sapienza di Roma, per una somma pari a 30 mila Euro.

La vicenda, risalente al dicembre 2018, ha ad oggetto l’avvenuta diffusione di dati personali trattati attraverso la piattaforma che l’Ateneo, all’epoca dei fatti, utilizzava per l’acquisizione e la gestione delle segnalazioni di illeciti da parte dei propri dipendenti e di soggetti terzi, nell’ambito della disciplina del c.d. whistleblowing.

Come è noto, con l’introduzione della legge n. 179/2017, è stata potenziata l’applicazione on line per le segnalazioni di illeciti o irregolarità e comunicazioni di misure ritorsive, ai sensi dell’art. 54-bis, d.lgs. 165/2001: le Pubbliche Amministrazioni, pertanto, sono tenute a predisporre una piattaforma interna, affinché possano essere effettuate le segnalazioni nel più completo rispetto delle regole sull’anonimato.

Con nota del 14 dicembre 2018 (prot. n. 37333), l’Università degli studi di Roma “La Sapienza” ha notificato al Garante, ai sensi dell’art. 33 del GDPR, la dispersione di dati personali comuni (nome, indirizzo e-mail) relativi a 2 segnalanti.

In particolare, tali dati ottenuti tramite la piattaforma whistleblowing, sono stati oggetto:

  • Di illecita pubblicazione sul web dell’elenco dei soggetti che hanno aperto segnalazioni riservate, contenute nell’applicativo;
  • Di indicizzazione delle pagine web in questione da parte di motori di ricerca web.

 

Nel corso dell’istruttoria sono emerse molteplici criticità, inerenti alla sicurezza del trattamento. In particolare, il Garante ha individuato significative criticità in relazione alle misure tecniche per il controllo degli accessi e per il trasporto e la conservazione dei dati.

Per tali ragioni, l’Autorità ha rilevato l’illiceità del trattamento di dati personali effettuato dall’Università degli studi di Roma, per aver, in particolare, omesso di adempiere agli obblighi di sicurezza imposti dall’art. 32 del GDPR.

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

 

Le recenti pronunce del Garante privacy confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

  1. Formazione e consulenza in materia di Digitalizzazione

Hedya supporta le Pubbliche Amministrazioni anche attraverso servizi di consulenza mirati, in materia di digitalizzazione, sui temi più critici connessi agli obblighi e agli adempimenti prescritti dalla legge.

Per tali ragioni, Hedya propone il percorso formativo “IL RESPONSABILE PER LA TRANSIZIONE AL DIGITALEper il corretto svolgimento dei compiti del Responsabile per la Transizione al Digitale, considerato il driver della transizione al Digitale.

Il percorso è rivolto:

  • a tutti coloro che all’interno delle Pubbliche Amministrazioni sono coinvolti, a vario titolo, nei processi di trasformazione alla modalità digitale;
  • a tutti coloro che sono stati nominati e che svolgono attualmente il ruolo di Responsabile per la Transizione al Digitale.

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

/da

Violazione del GDPR, il dirigente risponde del danno arrecato alla PA e ai terzi

Corte dei Conti: il dirigente risponde in caso di violazione del GDPR

 

L’introduzione del GDPR ha apportato sostanziali modifiche alla previgente normativa in materia di protezione dati personali. Il Regolamento, in particolare, amplifica le responsabilità del titolare del trattamento dati, attraverso l’enunciazione del principio di accountability.

Il nuovo sistema di Data Protection trova piena applicazione anche nell’ambito della Pubblica Amministrazione, che nel 2019 è risultato il settore più colpito dalle sanzioni per violazione del GDPR. Nel caso della Pubblica Amministrazione, in effetti, il dovere di condotta conforme al Regolamento (accountability) deve essere osservato a tutti i livelli organizzativi, nonché oggetto di puntuale controllo da parte dei dirigenti.

La violazione del GDPR, secondo la Corte dei conti, costituisce presupposto per la configurabilità del danno erariale, ed espone i dirigenti a rispondere personalmente del pregiudizio patito dall’Ente:

  • già nel 2018, la Corte dei Conti-Sardegna, con sentenza n. 73/2018 aveva affermato che la violazione della legislazione in materia di dati personali da parte degli Enti pubblici costituisce condotta gravemente colposa fonte di responsabilità personale che comporta l’obbligo del risarcimento del danno erariale;
  • nel corso del 2019, invece, ulteriori pronunce del giudice contabile hanno ribadito che il depauperamento sofferto dall’Ente (a causa del pagamento della sanzione comminata dal Garante privacy) e il rapporto di servizio sono elementi costitutivi della responsabilità erariale.

 

In sintesi, la casistica giurisprudenziale conferma che in caso di inosservanza della normativa in materia di protezione dati, la Pubblica Amministrazione possa rivalersi nei confronti dei dirigenti.

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

 

Le recenti sentenze della Corte dei Conti confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

  1. Formazione e consulenza in materia di Digitalizzazione

Hedya supporta le Pubbliche Amministrazioni anche attraverso servizi di consulenza mirati, in materia di digitalizzazione, sui temi più critici connessi agli obblighi e agli adempimenti prescritti dalla legge.

Per tali ragioni, Hedya propone il percorso formativo “IL RESPONSABILE PER LA TRANSIZIONE AL DIGITALEper il corretto svolgimento dei compiti del Responsabile per la Transizione al Digitale, considerato il driver della transizione al Digitale.

Il percorso è rivolto:

  • a tutti coloro che all’interno delle Pubbliche Amministrazioni sono coinvolti, a vario titolo, nei processi di trasformazione alla modalità digitale;
  • a tutti coloro che sono stati nominati e che svolgono attualmente il ruolo di Responsabile per la Transizione al Digitale.

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

/da