Breve TUTORIAL ricognizione debiti

Analizziamo velocemente come compilare la ricognizione dei debiti al 31/12 ricordando la scadenza del 30 Aprile DL 35/13.

Primo passo andare sul sito dedicato a questo url http://crediticommerciali.mef.gov.it/,

Clicchiamo su login nell’angolo a destra e mettiamo le nostre credenziali

Apparire la pagina principale dell’applicativo del MEF

Prima di comunicare l’assenza dei debiti ( che dovrebbe essere la norma) verifichiamo che non ci siano istanze di certificazione ( cessione del credito ) in corso, andiamo sul secondo menu verticale a partire da sx ( ISTANZE) e scegliamo istanze in corso, apparirà questo scenario

Ora che siamo certi dell’assenza possiamo comunicare al MEF l’assenza delle posizioni debitorie cliccando sulla prima voce RICOGNIZIONE DEBITI – COMUNICAZIONE DI ASSENZA POSIZIONE DEBITORIE

POI cliccare su nuova comunicazione IN ALTO a DESTRA per l’anno 2019

Poi occorre firmare ( TASTO FIRMA)

Ora scaricate il file PDF, firmatelo ( sia cades P7m, che PADES PDF FIRMATO ) Caricate in piattaforma accettate ed inviate.

Qualora invece ci fossero debiti ( si riporta l’articolo 4 del D.Lgs 231/02)

Art. 4 ((Termini di pagamento)) 1. Gli interessi moratori decorrono, senza che sia necessaria la costituzione in mora, dal giorno successivo alla scadenza del termine per il pagamento. 2. ((Salvo quanto previsto dai commi 3, 4 e 5, il periodo di pagamento non puo’ superare i seguenti termini:)) a) trenta giorni dalla data di ricevimento da parte del debitore della fattura o di una richiesta di pagamento di contenuto equivalente. Non hanno effetto sulla decorrenza del termine le richieste di integrazione o modifica formali della fattura o di altra richiesta equivalente di pagamento; b) trenta giorni dalla data di ricevimento delle merci o dalla data di prestazione dei servizi, quando non e’ certa la data di ricevimento della fattura o della richiesta equivalente di pagamento; c) trenta giorni dalla data di ricevimento delle merci o dalla prestazione dei servizi, quando la data in cui il debitore riceve la fattura o la richiesta equivalente di pagamento e’ anteriore a quella del ricevimento delle merci o della prestazione dei servizi; d) trenta giorni dalla data dell’accettazione o della verifica eventualmente previste dalla legge o dal contratto ai fini dell’accertamento della conformita’ della merce o dei servizi alle previsioni contrattuali, qualora il debitore riceva la fattura o la richiesta equivalente di pagamento in epoca non successiva a tale data. 3. Nelle transazioni commerciali tra imprese le parti possono pattuire un termine per il pagamento superiore rispetto a quello previsto dal comma 2. Termini superiori a sessanta giorni, purche’ non siano gravemente iniqui per il creditore ai sensi dell’articolo 7, devono essere pattuiti espressamente. La clausola relativa al termine deve essere provata per iscritto. 4. Nelle transazioni commerciali in cui il debitore e’ una pubblica amministrazione le parti possono pattuire, purche’ in modo espresso, un termine per il pagamento superiore a quello previsto dal comma 2, ((quando cio’ sia oggettivamente giustificato dalla natura particolare del contratto o da talune sue caratteristiche)). In ogni caso i termini di cui al comma 2 non possono essere superiori a sessanta giorni. La clausola relativa al termine deve essere provata per iscritto. 5. I termini di cui al comma 2 sono raddoppiati: a) per le imprese pubbliche che sono tenute al rispetto dei requisiti di trasparenza di cui al decreto legislativo 11 novembre 2003, n. 333; b) per gli enti pubblici che forniscono assistenza sanitaria e che siano stati debitamente riconosciuti a tale fine. 6. Quando e’ prevista una procedura diretta ad accertare la conformita’ della merce o dei servizi al contratto essa non puo’ avere una durata superiore a trenta giorni dalla data della consegna della merce o della prestazione del servizio, salvo che sia diversamente ed espressamente concordato dalle parti e previsto nella documentazione di gara e purche’ cio’ non sia gravemente iniquo per il creditore ai sensi dell’articolo 7. L’accordo deve essere provato per iscritto. 7. Resta ferma la facolta’ delle parti di concordare termini di pagamento a rate. In tali casi, qualora una delle rate non sia pagata alla data concordata, gli interessi e il risarcimento previsti dal presente decreto sono calcolati esclusivamente sulla base degli importi scaduti

Occorre darne evidenza ai sensi dell’articolo 33 e 29 del FOIA, che ugualmente riporto

Art. 29 Obblighi di pubblicazione del bilancio, preventivo e consuntivo, e del Piano degli indicatori e risultati attesi di bilancio, nonche’ dei dati concernenti il monitoraggio degli obiettivi.

1. ((Fermo restando quanto previsto dall’articolo 9-bis, le pubbliche amministrazioni)) pubblicano i documenti e gli allegati del bilancio preventivo e del conto consuntivo entro trenta giorni dalla loro adozione, nonche’ i dati relativi al bilancio di previsione e a quello consuntivo in forma sintetica, aggregata e semplificata, anche con il ricorso a rappresentazioni grafiche, al fine di assicurare la piena accessibilita’ e comprensibilita’. 1-bis. Le pubbliche amministrazioni pubblicano e rendono accessibili, anche attraverso il ricorso ad un portale unico, i dati relativi alle entrate e alla spesa di cui ai propri bilanci preventivi e consuntivi in formato tabellare aperto che ne consenta l’esportazione, il trattamento e il riutilizzo, ai sensi dell’articolo 7, secondo uno schema tipo e modalita’ definiti con decreto del Presidente del Consiglio dei ministri da adottare sentita la Conferenza unificata. 2. Le pubbliche amministrazioni pubblicano il Piano di cui all’articolo 19 del decreto legislativo 31 maggio 2011, n. 91, con le integrazioni e gli aggiornamenti di cui all’articolo 22 del medesimo decreto legislativo n. 91 del 2011.

Art. 33 Obblighi di pubblicazione concernenti i tempi di pagamento dell’amministrazione

1. ((Fermo restando quanto previsto dall’articolo 9-bis, le pubbliche amministrazioni)) pubblicano, con cadenza annuale, un indicatore dei propri tempi medi di pagamento relativi agli acquisti di beni, servizi ((prestazioni professionali)) e forniture, denominato ‘indicatore annuale di tempestivita’ dei pagamenti’ ((, nonche’ l’ammontare complessivo dei debiti e il numero delle imprese creditrici)). A decorrere dall’anno 2015, con cadenza trimestrale, le pubbliche amministrazioni pubblicano un indicatore, avente il medesimo oggetto, denominato ‘indicatore trimestrale di tempestivita’ dei pagamenti’ ((, nonche’ l’ammontare complessivo dei debiti e il numero delle imprese creditrici)). Gli indicatori di cui al presente comma sono elaborati e pubblicati, anche attraverso il ricorso a un portale unico, secondo uno schema tipo e modalita’ definiti con decreto del Presidente del Consiglio dei ministri da adottare sentita la Conferenza unificata.

Come chiaro e scritto, l’elenco dei debiti in corso si può recuperare dalla cooperazione con altre PA, articolo 9 bis richiamato nel primo comma del 33, quindi occorre andare in PCC ( la piattaforma che stiamo utilizzando ) e seguire la procedura , le stesse informazioni sono recuperabili con il sistema SIOPE +

Proviamo a farlo insieme, quando ci sono debiti non chiusi utilizzando la stessa procedura che già abbiamo visto si aggiunge una voce in più nel menù

Cliccando entriamo nella gestione della comunicazione ex articolo 1 comma 867 della L. 145/18 e possiamo recuperare un report da aggiustare per avere la situazione da mettere in trasparenza ( 29 e 33 ).

Anche se l’operatività totale dell’ultima norma citata è rimandata al 2020 i dati che riusciamo ad evincere sono più che sufficienti per i nostri obblighi di trasparenza, ricordo che conviene allegare una breve relazione con i correttivi per aggiustare i tempi di pagamento.

Ovviamente resto a disposizione e per chiarezza riporto tutto l’articolo 7 del DL 35/13

Art. 7 Ricognizione dei debiti contratti dalle pubbliche amministrazioni 1. Le amministrazioni pubbliche, ai fini della certificazione delle somme dovute per somministrazioni, forniture e appalti e per obbligazioni relative a prestazioni professionali, ai sensi dell’articolo 9, commi 3-bis e 3-ter, del decreto-legge 29 novembre 2008, n. 185, convertito, con modificazioni, dalla legge 28 gennaio 2009, n. 2 e dell’articolo 12, comma 11-quinquies, del decreto-legge 2 marzo 2012, n. 16, convertito, con modificazioni, dalla legge 26 aprile 2012, n. 44, provvedono a registrarsi sulla piattaforma elettronica per la gestione telematica del rilascio delle certificazioni, predisposta dal Ministero dell’economia e delle finanze – Dipartimento della ragioneria generale dello Stato ai sensi dell’articolo 4 del decreto del Ministro dell’economia e delle finanze 25 giugno 2012, come modificato dal decreto del Ministro dell’economia e delle finanze 19 ottobre 2012 e dell’articolo 3 del decreto del Ministro dell’economia e delle finanze 22 maggio 2012, come modificato dal decreto del Ministro dell’economia e delle finanze 24 settembre 2012, entro 20 giorni dalla data di entrata in vigore del presente decreto. ((3)) 2. La mancata registrazione sulla piattaforma elettronica entro il termine di cui al comma 1 e’ rilevante ai fini della misurazione e della valutazione della performance individuale dei dirigenti responsabili e comporta responsabilita’ dirigenziale e disciplinare ai sensi degli articoli 21 e 55, del decreto legislativo 30 marzo 2001, n. 165, e successive modificazioni. I dirigenti responsabili sono assoggettati, altresi’, ad una sanzione pecuniaria pari a 100 euro per ogni giorno di ritardo nella registrazione sulla piattaforma elettronica. 3. La certificazione dei crediti di cui al comma 1 e’ effettuata esclusivamente mediante la piattaforma elettronica di cui al medesimo comma 1. 4. Ferma restando la possibilita’ di acquisire la certificazione di somme dovute per somministrazioni, forniture e appalti e per obbligazioni relative a prestazioni professionali dalle pubbliche amministrazioni secondo le procedure di cui al decreto del Ministro dell’economia e delle finanze 25 giugno 2012, come modificato dal decreto del Ministro dell’economia e delle finanze 19 ottobre 2012 e di cui al decreto del Ministro dell’economia e delle finanze 22 maggio 2012, come modificato dal decreto del Ministro dell’economia e delle finanze 24 settembre 2012, le pubbliche amministrazioni debitrici di cui al comma 1 comunicano a partire dal 1° giugno 2013 ed entro il termine del 15 settembre 2013, utilizzando la piattaforma elettronica per la gestione telematica del rilascio delle certificazioni di cui al medesimo comma 1, l’elenco completo dei debiti certi, liquidi ed esigibili, maturati alla data del 31 dicembre 2012, che non risultano estinti alla data della comunicazione stessa, con l’indicazione dei dati identificativi del creditore. La comunicazione avviene sulla base di un apposito modello scaricabile dalla piattaforma elettronica, nel quale e’ data separata evidenza ai crediti gia’ oggetto di cessione o certificazione. Il creditore puo’ segnalare all’amministrazione pubblica debitrice, in tempo utile per il rispetto del termine di cui al primo periodo, l’importo e gli estremi identificativi del credito vantato nei confronti della stessa. 4-bis. A decorrere dal 1° gennaio 2014, le comunicazioni di cui al comma 4, relative all’elenco completo dei debiti certi, liquidi ed esigibili alla data del 31 dicembre di ciascun anno, sono trasmesse dalle amministrazioni pubbliche per il tramite della piattaforma elettronica entro il 30 aprile dell’anno successivo. In caso di inadempienza, si applica ai dirigenti responsabili la sanzione di cui al comma 2. 5. Il mancato adempimento da parte delle pubbliche amministrazioni debitrici alle disposizioni di cui al comma 4 rileva ai fini della misurazione e della valutazione della performance individuale dei dirigenti responsabili e comporta responsabilita’ dirigenziale e disciplinare ai sensi degli articoli 21 e 55, del decreto legislativo 30 marzo 2001, n. 165, e successive modificazioni. 6. Per i crediti diversi da quelli gia’ oggetto di cessione o certificazione, la comunicazione di cui al comma 4 equivale a certificazione del credito ai sensi dell’articolo 9, commi 3-bis e 3-ter, del decreto-legge 29 novembre 2008, n. 185, convertito, con modificazioni, dalla legge 28 gennaio 2009, n. 2 e dell’articolo 12, comma 11-quinquies, del decreto-legge 2 marzo 2012, n. 16, convertito, con modificazioni, dalla legge 26 aprile 2012, n. 44. La certificazione di cui al periodo precedente si intende rilasciata, ai sensi dell’articolo 2, comma 2, del decreto del Ministro dell’economia e delle finanze 25 giugno 2012, pubblicato nella Gazzetta Ufficiale della Repubblica Italiana 2 luglio 2012, n. 152. Le amministrazioni pubbliche di cui al comma 1 del presente articolo, nei limiti degli spazi finanziari derivanti dalle esclusioni dai vincoli del patto di stabilita’ interno previste ai commi 1 e 7 dell’articolo 1 e dalle anticipazioni concesse a valere sul Fondo di cui al comma 10 del medesimo articolo 1, devono indicare, per parte dei debiti ovvero per la totalita’ di essi, in sede di comunicazione, la data prevista per il pagamento. Per tali debiti la certificazione si intende rilasciata con apposizione della data di pagamento, anche ai fini della compensazione ai sensi degli articoli 28-quater e 28-quinquies del decreto del Presidente della Repubblica 29 settembre 1973, n. 602, e successive modificazioni. In relazione alle esclusioni dai vincoli del patto di stabilita’ interno nonche’ alle anticipazioni, definite successivamente all’effettuazione della comunicazione prevista dal comma 4 del presente articolo, le pubbliche amministrazioni interessate possono aggiornare la predetta comunicazione limitatamente all’apposizione della data prevista per il pagamento dei debiti fino a quel momento comunicati senza apposizione di data. Le date di pagamento indicate nella comunicazione non sono modificabili in sede di aggiornamento. 7. In caso di omessa, incompleta o erronea comunicazione da parte dell’amministrazione pubblica di uno o piu’ debiti, il creditore puo’ richiedere all’amministrazione stessa di correggere o integrare la comunicazione del debito di cui al comma 4. Decorsi 15 giorni dalla data di ricevimento della richiesta senza che l’amministrazione abbia provveduto ovvero espresso un motivato diniego, il creditore puo’ presentare istanza di nomina di un Commissario ad acta, mediante la piattaforma elettronica, secondo le modalita’ di cui al decreto del Ministro dell’economia e delle finanze 25 giugno 2012, come modificato dal decreto del Ministro dell’economia e delle finanze 19 ottobre 2012 e al decreto del Ministro dell’economia e delle finanze 22 maggio 2012, come modificato dal decreto del Ministro dell’economia e delle finanze 24 settembre 2012, con oneri a carico dell’amministrazione debitrice. 7-bis. Le amministrazioni di cui al comma 1, contestualmente al pagamento dei debiti comunicati attraverso la piattaforma elettronica ai sensi del comma 4, provvedono a registrare sulla piattaforma stessa i dati del pagamento, in modo da garantire l’aggiornamento dello stato dei debiti. In caso di mancato adempimento a quanto previsto dal presente comma si applicano le disposizioni di cui al comma 5. 7-ter. Le amministrazioni pubbliche individuate ai sensi dell’articolo 1, comma 2, della legge 31 dicembre 2009, n. 196, e successive modificazioni, diverse da quelle di cui al comma 1 del presente articolo, ai soli fini della comunicazione prevista dal comma 4, provvedono a registrarsi sulla piattaforma elettronica entro venti giorni dalla data di entrata in vigore della legge di conversione del presente decreto. Per la mancata registrazione sulla piattaforma elettronica entro il termine indicato nel primo periodo si applicano le disposizioni di cui al comma 2. La comunicazione e’ effettuata entro il 15 settembre 2013 e si applicano le disposizioni di cui ai commi 5 e 7. 7-quater. A decorrere dal 30 settembre 2013, nel sito internet istituzionale del Ministero dell’economia e delle finanze, sulla base dei dati registrati nella piattaforma elettronica, sono pubblicati con cadenza mensile i dati relativi all’andamento dei pagamenti dei debiti di cui ai commi 4 e 4-bis. 8. Entro il termine di cui al comma 4, le banche e gli intermediari finanziari autorizzati, per il tramite dell’Associazione Bancaria Italiana, comunicano al Ministero dell’economia e delle finanze – Dipartimento del tesoro l’elenco completo dei debiti certi, liquidi ed esigibili nei confronti di pubbliche amministrazioni maturati alla data del 31 dicembre 2012 che sono stati oggetto di cessione in favore di banche o intermediari finanziari autorizzati, con l’indicazione dei dati identificativi del cedente, del cessionario e dell’amministrazione debitrice e distinguendo tra cessioni pro-soluto e cessioni pro-solvendo. 9. Nel rispetto degli obiettivi di finanza pubblica stabiliti con il Documento di economia e finanza ed eventualmente modificati dalla Nota di aggiornamento, previa intesa con le Autorita’ europee, la legge di stabilita’ per il 2014, puo’ autorizzare il pagamento mediante assegnazione di titoli di Stato dei debiti delle amministrazioni pubbliche che hanno formato oggetto di cessione pro soluto perfezionata entro il 31 dicembre 2012 da parte dei creditori in favore di banche o intermediari finanziari disciplinati dalle leggi in materia bancaria e creditizia di cui al comma 8 ovvero puo’ prevedere l’effettuazione di operazioni finanziarie finalizzate all’estinzione di debiti certi, liquidi ed esigibili delle pubbliche amministrazioni. 9-bis. Alla Nota di aggiornamento del Documento di economia e finanza 2013 e’ allegata una relazione sull’attuazione del presente decreto. La relazione da’ conto dello stato dei pagamenti dei debiti delle pubbliche amministrazioni effettuati ai sensi degli articoli 1, 2, 3 e 5, nonche’ degli esiti dell’attivita’ di ricognizione svolta ai sensi del presente articolo. La relazione indica altresi’ le iniziative eventualmente necessarie, da assumere anche con la legge di stabilita’ per il 2014, al fine di completare il pagamento dei debiti delle amministrazioni pubbliche maturati al 31 dicembre 2012, ivi inclusi i debiti per obbligazioni giuridicamente perfezionate relativi a somministrazioni, forniture, appalti e prestazioni professionali a fronte dei quali non sussistono nei bilanci residui passivi anche perenti, anche mediante la concessione nell’anno 2014 della garanzia dello Stato al fine di agevolare la cessione dei relativi crediti a banche e ad altri intermediari finanziari, nel rispetto dei saldi programmati di finanza pubblica.

Certificazione crediti commerciali ( e professionali)

Come ogni anno occorre preparasi alla scadenza ricognitiva dei debiti non pagati al 31/12.

Ricordo come sempre, che qualora non ci fossero debiti è OBBLIGATORIO segnalarne l’assenza con con apposita dichiarazione c.d. negativa.

Le procedure ( di ricognizione e di assenza ) sono sostanzialmente rimaste identiche anche se il portale del MEF si è rinnovato ( faccialmente e nell’URL)

Il portale è accessibile dal veccio url : certificazionecrediti.mef.gov.it come dal nuovo crediticommerciali.mef.gov.it e per le istanze bisogna essere muniti di firma digitale ( Cades o Pades ) .

La vera novita quest’anno deriva dalle norme sulla trasparenza collegate ai tempi di pagamento della PA, infatti con l’art. 29, comma 1 del D.Lgs 97/16 è stato modificato l’articolo 33 del D.lgs 33/13 , appresso riporto il testo aggiornato : Obblighi di pubblicazione concernenti i tempi di pagamento dell’amministrazione 1. ((Fermo restando quanto previsto dall’articolo 9-bis, le pubbliche amministrazioni)) pubblicano, con cadenza annuale, un indicatore dei propri tempi medi di pagamento relativi agli acquisti di beni, servizi ((prestazioni professionali)) e forniture, denominato ‘indicatore annuale di tempestivita’ dei pagamenti’ ((, nonche’ l’ammontare complessivo dei debiti e il numero delle imprese creditrici)). A decorrere dall’anno 2015, con cadenza trimestrale, le pubbliche amministrazioni pubblicano un indicatore, avente il medesimo oggetto, denominato ‘indicatore trimestrale di tempestivita’ dei pagamenti’ ((, nonche’ l’ammontare complessivo dei debiti e il numero delle imprese creditrici)). Gli indicatori di cui al presente comma sono elaborati e pubblicati, anche attraverso il ricorso a un portale unico, secondo uno schema tipo e modalita’ definiti con decreto del Presidente del Consiglio dei ministri da adottare sentita la Conferenza unificata.

Obblighi  di  pubblicazione  concernenti   i   tempi   di   pagamento                         dell'amministrazione      1.  ((Fermo  restando  quanto  previsto  dall'articolo  9-bis,   le pubbliche  amministrazioni))  pubblicano,  con  cadenza  annuale,  un indicatore dei propri tempi medi di pagamento relativi agli  acquisti di  beni,  servizi   ((prestazioni   professionali))   e   forniture, denominato 'indicatore annuale di tempestivita'  dei  pagamenti'  ((, nonche' l'ammontare complessivo dei debiti e il numero delle  imprese creditrici)). A decorrere dall'anno 2015, con cadenza trimestrale, le pubbliche  amministrazioni  pubblicano  un  indicatore,   avente   il medesimo oggetto, denominato 'indicatore trimestrale di tempestivita' dei pagamenti' ((, nonche' l'ammontare complessivo dei  debiti  e  il numero delle imprese creditrici)). Gli indicatori di cui al  presente comma sono elaborati e pubblicati, anche attraverso il ricorso  a  un portale unico, secondo uno  schema  tipo  e  modalita'  definiti  con decreto del Presidente del Consiglio dei ministri da adottare sentita la Conferenza unificata. 

Obblighi di pubblicazione concernenti i tempi di pagamento dell’amministrazione 1. ((Fermo restando quanto previsto dall’articolo 9-bis, le pubbliche amministrazioni)) pubblicano, con cadenza annuale, un indicatore dei propri tempi medi di pagamento relativi agli acquisti di beni, servizi ((prestazioni professionali)) e forniture, denominato ‘indicatore annuale di tempestivita’ dei pagamenti’ ((, nonche’ l’ammontare complessivo dei debiti e il numero delle imprese creditrici)). A decorrere dall’anno 2015, con cadenza trimestrale, le pubbliche amministrazioni pubblicano un indicatore, avente il medesimo oggetto, denominato ‘indicatore trimestrale di tempestivita’ dei pagamenti’ ((, nonche’ l’ammontare complessivo dei debiti e il numero delle imprese creditrici)). Gli indicatori di cui al presente comma sono elaborati e pubblicati, anche attraverso il ricorso a un portale unico, secondo uno schema tipo e modalita’ definiti con decreto del Presidente del Consiglio dei ministri da adottare sentita la Conferenza unificata.

Obblighi  di  pubblicazione  concernenti   i   tempi   di   pagamento                         dell'amministrazione      1.  ((Fermo  restando  quanto  previsto  dall'articolo  9-bis,   le pubbliche  amministrazioni))  pubblicano,  con  cadenza  annuale,  un indicatore dei propri tempi medi di pagamento relativi agli  acquisti di  beni,  servizi   ((prestazioni   professionali))   e   forniture, denominato 'indicatore annuale di tempestivita'  dei  pagamenti'  ((, nonche' l'ammontare complessivo dei debiti e il numero delle  imprese creditrici)). A decorrere dall'anno 2015, con cadenza trimestrale, le pubbliche  amministrazioni  pubblicano  un  indicatore,   avente   il medesimo oggetto, denominato 'indicatore trimestrale di tempestivita' dei pagamenti' ((, nonche' l'ammontare complessivo dei  debiti  e  il numero delle imprese creditrici)). Gli indicatori di cui al  presente comma sono elaborati e pubblicati, anche attraverso il ricorso  a  un portale unico, secondo uno  schema  tipo  e  modalita'  definiti  con decreto del Presidente del Consiglio dei ministri da adottare sentita la Conferenza unificata. 

Le novità sulla pubblicazione riguardano : – l’inserimento dei debiti derivanti non solo da attività negoziale, ma anche da incarichi professionali ( quindi non solo il D.Lgs 50/16 ma anche gli incarichi ex articolo 7 comma 6 del D.lgs 165/01), in sintesi in amministrazione trasparente troveremo nell’articolo 33 quota parte delle informazioni provenienti da BANDI di GARA e CONTRATTI ( articolo 37 commi 1 e 2 ) e da CONSULENTI e COLLABORATORI ( articolo 15 comma 1 e 2). – l’indicazione dell’ammontare complessivo dei debiti e delle imprese ( e professionisti) creditrici.  

Per la lettura dei post un po’ più vecchiotti :

Addio CONSULENTI ASSOCIATI, e Benvenuta Consulenti Associati Campania srls

Ci siamo trasformati nello spirito, è cambiato l’assetto societario , la nuova CA CAMPANIA srls é una nuova società con la totalità delle quote possedute da Elisa Carotenuto.

E’ cambiata la grafica del sito , ci saranno nuovi sistemi di condivisione e nuovi servizi sempre più orientati alla transizione digitale della PA, che resta il nostro mercato di riferimento. inizia un nuovo viaggio.

ELEZIONI TRASPARENTI, legge SPAZZA-CORROTTI e GDPR

Più volte ho sottolineato che la privacy non è disciplinata dal GDPR che ha invece l’obiettivo di dettare politiche per il corretto trattamento dei dati e la libera circolazione degli stessi , basta leggere il titolo corretto del GDPR.

La protezione dei dati non è il diritto fondamentale ASSOLUTO, ma va contemperato con altri diritti fondamentali, proporzionalmente. ( IV considerando).

Già abbiamo visto che alcuni diritti hanno valore superiore ( e non derogatorio) alla riservatezza delle informazioni personali, cfr questo post

Sulla stessa lunghezza d’onda si muove il comma 15 articolo 1 della legge 3/2019, la spazza-corrotti per intenderci, che istituisce la sezione del sito “ELEZIONI TRASPARENTI”

In questa nuova sezione andranno pubblicati i curricula dei candidati nonchè i certificati penali.

15. In apposita sezione, denominata «Elezioni trasparenti», del sito internet dell’ente cui si riferisce la consultazione elettorale, ovvero del Ministero dell’interno in caso di elezioni del Parlamento nazionale o dei membri del Parlamento europeo spettanti all’Italia, entro il settimo giorno antecedente la data della consultazione elettorale, per ciascuna lista o candidato ad essa collegato nonche’ per ciascun partito o movimento politico che presentino candidati alle elezioni di cui al comma 14 sono pubblicati in maniera facilmente accessibile il curriculum vitae e il certificato penale dei candidati rilasciato dal casellario giudiziale non oltre novanta giorni prima della data fissata per l’elezione, gia’ pubblicati nel sito internet del partito o movimento politico ovvero della lista o del candidato con essa collegato di cui al comma 11, primo periodo, previamente comunicati agli enti di cui al presente periodo. La pubblicazione deve consentire all’elettore di accedere alle informazioni ivi riportate attraverso la ricerca per circoscrizione, collegio, partito e per cognome e nome del singolo candidato. Con decreto del Ministro dell’interno, da emanare entro novanta giorni dalla data di entrata in vigore della presente legge, sono definite le modalita’ tecniche di acquisizione dei dati su apposita piattaforma informatica.

Questa parte del sito istituzionale ( ma anche tutte le altre sezioni che contengono dati personali, anche non particolari) dovrà essere conformata con il combinato articolo 32 GDPR e Deliberazione 02/03/2011 del Garante Protezione dei dati Personali del Garante Protezione dei dati Personali.

Ed ora viene il bello… non occorre nessun consenso, come quasi sempre mi piace aggiungere . Infatti c’è l’espressa previsione di legge per il trattamento dei dati personali-particolari-di appartenenza politica, dapprima nel considerando 56, poi nell’arcinoto ( almeno così dovrebbe essere ) articolo 6 paragrafo 1 lettera e) , nonché articolo 9 paragrafo 2 lett. b ) GDPR, senza contare le norme settoriali, D.P.R. 16 maggio 1960, n. 570; Legge 21 marzo 1990, n. 53; Legge 25 marzo 1993, n. 81; D.P.R. 28 aprile 1993, n. 132; D.Lgs. 12 aprile 1996, n. 197; Legge 30 aprile 1999, n. 120; D.Lgs. 18 agosto 2000, n. 267 e cosi via.

BASTA L’INFORMATIVA, non serve consenso. Ovviamente diviene indispensabile il ruolo del DPO che dovrà imporre un tempo non eccessivo di pubblicazione dei dati in ELEZIONI TRASPARENTI, anche in ossequio alle LL.GG sulla pubblicità legale degli atti AGID del maggio 2016 .

Grazie di tutto, vi allego una piccola informativa da adattare ovviamente alle vostre esigenze , in rosso le parti da utilizzare se si rientra nell’ambito del comma 15 dell’articolo 1 della spazza-corrotti. I Comuni miei clienti che hanno elezioni sono pregati di avvisarmi per l’inserimento del trattamento nel registro articolo 30.

Devo ringraziare per il supporto l’amico dott. Raffaele Rosolia

Il Piano triennale per l’informatica nella PA ed il vostro C@ronte, il RTD

Ci siamo, la MONTAGNA ha partorito e non è un topolino, ma un complesso documento STRATEGICO ( e non normativo ) composto dalle 90 AZIONI che come PA dobbiamo affrontare.

In questo primo passaggio analizzeremo solo pochi aspetti del PIANO restando in attesa dell’evoluzione della guida dinamica.

certamente è importante visualizzare e memorizzare questo schema contenuto nel PIANO e vediamo gli aspetti fondamentali subito, almeno i più importanti.

  • Digital by default ( La PA è nativa digitale e cosi i suoi documenti
  • Once only ( i dati e le credenziali del cittadino sono uniche )
  • Digital identity only ( e vai con lo SPID)
  • CLOUD FIRST ( sarà l’architettura unica degli applicativi PA)

Nel piano triennale 19-21 c’è continuita con i data center della PA ( circ 2 e 3 2018 AGID) e tra poco saranno evidenti anche i risultati del censimento ultimo, vi rimando all’articolo

I risultati saranno comunque raggruppati in tre categorie :

  • Poli strategici ( il risultato ottimale )
  • Data Center cat A ( destinati a scomparire ma non nel breve periodo )
  • Data Center cat B ( di breve vita )

Anche questa classificazione mira al concetto del CLOUD nella PA…quindi non compratevi nuovi SERVER.

Una novità auspicata ( in attesa entro il primo semestre ) è l’attuazione dell’articolo71 del CAD sulla gestione unica delle diverse direttive ( dpcm ) sulla gestione del documento , eh si !!! a breve la LLGG sulle norme tecniche del ciclo di vita del documento informatico.

Ancora aspettiamoci un nuovo concetto ( e non l’eliminazione del protocollo ) che andrà ad attuare l’articolo 40 ter del cad

Art. 40-ter (( (Sistema pubblico di ricerca documentale).)) ((1. La Presidenza del Consiglio dei ministri promuove lo sviluppo e la sperimentazione di un sistema volto a facilitare la ricerca dei documenti soggetti a obblighi di pubblicita’ legale, trasparenza o a registrazione di protocollo ai sensi dell’articolo 53 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, e di cui all’articolo 40-bis e dei fascicoli dei procedimenti di cui all’articolo 41, nonche’ a consentirne l’accesso on-line ai soggetti che ne abbiano diritto ai sensi della disciplina vigente.))

e poi…. tutto passa in mano ai RESPONSABILI DELLA TRANSIZIONE, evviva !!!!

Io ho raccolto la sfida.

Procedura per fare una RDO aperta.

Nell’ultimo post per risolvere il problema della rotazione degli inviti ho consigliato la procedura RDO aperta ( che ripeto non è una RDO aperta a tutti gli OE iscritti al MEPA, ma una RDO visibile anche a chi ancora non è iscritto , visibile a tutti gli OE ancor prima di autentificarsi in acquistinretepa.it

Ora vediamo con pochi e semplici passaggi come gestire la RDO APERTA sul portale della Consip, in questo post tralascerò le formule di rito, che restano invariate, tratterò solo i semplici passaggi procedurali.

L’OBIETTIVO finale sarà quello di fare apparire la nostra RDO ( perchè si gestisce proprio come una RDO tradizionale ) in questo link :

ed arrivare quindi qui :

Per prima cosa occorre autentificarsi come PO , successivamente cercare il prodotto/servizio da trattare, ad esempio DPI ( Dispositivi per la sicurezza ).

Eventualmente gioco un poco sui filtri per cercare più agevolmente il prodotto/servizio che mi interessa

ed aggiungo in carrello il prodotto che voglio trattare

dal carrello vado a creare una RDO

E qui farò attenzione nella casella di Modalità di selezione dei fornitori da invitare a selezionare RDO aperta, immediatamente il sistema mi fornirà il seguente allert

“Se scegli l’opzione APERTA, la RDO (i suoi dettagli e la documentazione allegata) sarà visibile su www.acquistinretepa.it e potrà sottomettere la propria offerta qualunque concorrente che consegua le necessarie abilitazioni (alla/e categoria/e oggetto della RdO) entro i termini di presentazione dell’offerta”

PROPRIO QUELLO CHE VOGLIAMO !!!!, continuiamo nei soliti modi ,clicchiamo su salva e procedi e visualizzeremo il solito FORMAT al quale già siamo abituati

Alla prossima, ciao ciao

Iiitalia SI, Italia No..RRROtazione Si rotazione NO, la terra dei CACHI. PITTA SALENTINA e PIADINA ROMAGNOLA.

Nell’attesa di approfondire la nuova LLGG 4 Anac, ed il recepimento del concetto del bagattellare ( articolo 1 comma 130 L 145/18) alle procedure super semplificate ( affidamento e contrarre in un unico atto) , facciamo un breve riepilogo giurisprudenziale sulla rotazione ( degli inviti ).

Premettendo che motivare l’affidamento ( diretto o negoziato, lett a o b ) è sempre evento eccezionale e mai la norma ( e se per anni rinnovo sempre eccezionalmente posso avere qualche problemino ) , vi ricordo che quando vado in MEPA è importante tenere conto di due cose :

  • l’articolo 53 comma 3 delle regole e-procurement prevede l’obbligo del pagamento dell’imposta di bollo e che responsabile della riscossione è la PA che ne bandisce la negoziazione .
  • quando utilizzo la lettera b dell’articolo 36 comma 2 è sempre prevista la garanzia provvisoria ( Delibera 140/19 ANAC) vedi post

Ora un poco di TAR, partiamo dal Salento con la sentenza 1322/2018 TAR LECCE, ove chiarisce che l’invito a rispondere ad una RDO ove sono invitati tutti gli operatori, anche l’affidatario uscente, non equivale a procedura aperta ex articolo 60, per un motivo semplice l’apertura pensata dal legislatore non può precludersi agli operatori del mercato elettronico, l’apertura deve essere per tutti , intra ed extra MEPA.

Diametralmente opposta sembra e sottolineo S E M B R A la decisione del TAR Bologna 519/18, analizziamola bene e capiamone la forte differenza.

Il TAR Romagnolo non vede nessuna lesione della concorrenza in forza del vantaggio dell’operatore uscente se prima della RDO del MEPA c’è manifestazione d’interesse pubblicata sul profilo del committente ai sensi del combinato articolo 29 codice dei contratti e 37 FOIA.

Successivamente , dando almeno 15 giorni, procedo ad una richiesta di RDO allargata dai potenziali concorrenti che nel frattempo possono essersi inseriti in MEPA, e non escludo dall’invito l’uscente che ha richiesto di essere invitato.

Sembra una lotta culinaria, chi vince tra la PITTA salentina e la PIADINA romagnola ? …. the WINNER IS ….

…..In medio stat virtus , sfruttiamo un’altra opportunità ed andiamo tranquilli, la funzione RDO APERTA del MEPA.

Questo sistema a differenza delle RDO ( chiuse ) ed allargate a tutti gli operatori crea un AVVISO accessibile a tutti, non solo agli iscritti al sistema di e – procurement, quindi non lesivo della concorrenza , a mio modesto parere è la migliore soluzione auspicabile anche perchè convergente all’articolo 58 del codice dei contratti che riporto

Art. 58 (Procedure svolte attraverso piattaforme telematiche di negoziazione) 1. Ai sensi della normativa vigente in materia di documento informatico e di firma digitale, nel rispetto dell’articolo 52 e dei principi di trasparenza, semplificazione ed efficacia delle procedure, le stazioni appaltanti ricorrono a procedure di gara interamente gestite con sistemi telematici nel rispetto delle disposizioni di cui al presente codice. L’utilizzo dei sistemi telematici non deve alterare la parita’ di accesso agli operatori o impedire, limitare o distorcere la concorrenza o modificare l’oggetto dell’appalto, come definito dai documenti di gara. 2. Le stazioni appaltanti possono stabilire che l’aggiudicazione di una procedura interamente gestita con sistemi telematici avvenga con la presentazione di un’unica offerta ovvero attraverso un’asta elettronica alle condizioni e secondo le modalita’ di cui all’articolo 56. 3. ((COMMA ABROGATO DAL D.LGS. 19 APRILE 2017, N. 56)). 4. Il sistema telematico crea ed attribuisce in via automatica a ciascun operatore economico che partecipa alla procedura un codice identificativo personale attraverso l’attribuzione di userID e password e di eventuali altri codici individuali necessari per operare all’interno del sistema. 5. Al momento della ricezione delle offerte, la stazione appaltante trasmette in via elettronica a ciascun concorrente la notifica del corretto recepimento dell’offerta stessa. 6. ((COMMA ABROGATO DAL D.LGS. 19 APRILE 2017, N. 56)). 7. Conclusa la procedura di cui al comma 6, il sistema telematico produce in automatico la graduatoria. 8. Le procedure di gara interamente gestite con sistemi telematici possono essere adottate anche ai fini della stipula delle convenzioni di cui all’articolo 26 della legge 23 dicembre 1999, n. 488. 9. Le tecnologie sono scelte in modo tale da assicurare l’accessibilita’ delle persone con disabilita’, conformemente agli standard europei. 10. L’Agenzia per l’Italia Digitale (AGID) emana, entro il 31 luglio 2016, regole tecniche aggiuntive per garantire il colloquio e la condivisione dei dati tra i sistemi telematici di acquisto e di negoziazione.

come dire in un solo colpo risolviamo i problemi della rotazione , della gara telematica e compagnia bella, eh si la coppa di vincitore va alla tranquillità della gestione tramite procedura telematica ex articolo 58.

ed ecco a voi la coppa….

Procedura ADEMPIENTO AGID del 31/03/2019

Dopo aver letto il post che vi ripropongo , vediamo come adempiere , prendetevi cinque minuti, non di piu.

Per prima cosa puntate il browser su accessibilita.agid.gov.it

e vi troverete questa schermata

Se è la prima volta che fate l’adempimento registratevi, altrimenti cliccate su accedi al sito, o come sempre accade, recuperate la password, non mi dilungo su questi passaggi perchè davvero semplici.


Una volta entrati nell’applicativo dobbiamo cliccare sugli obiettivi da raggiungere entro il 31/12/2019

Le scelte sono diverse, prima di tutto vedete se c’è l’atto di nomina del responsabile dell’accessibilità , altrimenti nominatelo

Le opzioni da comunicare devono essere ben ponderate, è inutile scrivere cose non raggiungibili nel breve, sarebbe un falso, le opzioni del sistema sono per gli obiettivi :

  • sito web istituzionale
  • sito web tematico
  • sito intranet
  • formazione
  • postazioni di lavoro
  • organizzazione del lavoro

Da questi obiettivi derivano quindici possibili interventi, cosi raggruppati :

  • sette per i siti web
  • due per la formazione
  • uno per le postazioni di lavoro
  • cinque per l’organizzazione del lavoro

Sembra complesso ?, no se siamo soft e veritieri negli obiettivi ,

Il primo obiettivo da raggiungere potrebbe essere quello dell’allegato A del DM Luglio 2005 / 2013

ed uno strumento per valutarne la necessità è il validatore.it

Altra cosa importantissima è abbinare la formazione al personale che deve utilizzare il sito , in modo da avere questo quadro finale :

occorre terminare con l’inserimento del link della pubblicazione dell’analisi , salvare ed inviare la pratica ed attendere la conferma , anche della validazione del link, da parte di no-reply@agid.gov.it.

L’evidenza della operazione deve essere riportata in amministrazione trasparente/altri contenuti/Accessibilità e Catalogo di dati, metadati e banche dati/obiettivi di accessibilità.

ovviamente tutta l’operazione è delegabile al vostro RTD.

BREVE FORMAT DI NOMINA RESPOSANBILE ACCESSIBILTA’

Accessibilità (web) , controlli ed adempimenti

L’articolo 9 comma 7 del DL 179/12 impone i controlli e la verifica dell’accessibilità sui siti web delle PPAA.

La scadenza è per il 31 Marzo.

Sarà l’ultimo anno che l’accessibilità verra valutata sulla legge 4/2004 pura.

Dal prossimo anno la validazione obbligatoriamente dovrà tener conto delle modifiche apportate dal D.lgs 108/16.

Vi riporto i post vecchi per gli approfondimenti .Ovviamente resto a disposizione anche per l’operatività dell’adempimento.

La trasformazione digitale nelle P.A.



Martedì 12 Marzo 2019 ore 14,00
Presso l’ I.I.S. Vittorio Emanuele II di via Barbagallo, 32 – Napoli
 


L’incontro organizzato da Horizon in collaborazione con il Dott. Vincenzo De Prisco,  responsabile della transizione digitale, membro del forum sull’e-procurement istituito dall’ AGID, vuole approfondire l’evoluzione della normativa vigente nelle P.A. affrontando alcuni temi importanti:

  • DPORPDRTRTD: figure, funzioni o persone
  • Trasparenza o riservatezza ? 
  • Informative e liberatorie, consenso o dissenso? Social o asocial?
  • Il nuovo modo di scrivere gli atti: il CAD

 ed inoltre:

  • Uniformità e riconoscibilità dei siti web istituzionali
  • Migrazione dal dominio “.gov.it ” a “.edu.it ” (regolamento e tempi)
  • Le soluzioni Horizon
L’invito è rivolto principalmente ai:
Dirigenti Scolastici – D.s.g.a. – Animatori Digitali – Team Digitale
– Funzioni Strumentali. 
Copyright © 2018 – Horizon srls, All rights reserved.
www.progettohorizon.com

E-mail:
info@progettohorizon.comTel.081-18337079

compila il modulo di partecipazione

Novità ( vere o presunte ) sul CAD

Per prima cosa vi ricordo che il CAD ormai non si presenta più come un obbligo per le PA ma sempre maggiormente come un diritto per i cittadini, e questo potrebbe ( e già sta accadendo) inficiare molte procedure, anche di notificazioni delle amministrazioni pubbliche.

Iniziamo con il (ri)parlare della trasmissione dei documenti, ribadendo che le PA possono trasmettere i documenti attraverso :

  • PEO
  • PEC
  • INTEROPERABILITA’ / COOPERAZIONE APPLICATIVA

La PEO ( posta elettronica ordinaria ) non è disciplinata dal CAD per un semplice motivo, era preesistente al d.lgs 82/05 , tuttavia occorre ricordare che ha valore giuridico se è possibile accertarne la provenienza ( magari attraverso la protocollazione .

La PEC ( posta elettronica certificata ) è disciplinata sia dal CAD che dal DPR 68/2005 ed ha il vantaggio di garantire e certificare l’invio e la consegna del documento, quindi si parla di presunzione di conoscenza e non di presunzione di conoscibilità.

I servizi di INTEROPERABILITA’ /COOPERAZIONE APPLICATIVA consistono invece in una vera e propria condivisione dei servizi sulle porte di dominio dei server dell’ente

I DOMICILI DIGITALI.

Il 2019 sará l’anno di svolta per i servizi del domicilio digitale, infatti partirà anche il domicilio digitale del cittadino, e guai a non utilizzarlo qualora il cittadino lo abbia comunicato .

il domicilio digitale lo troviamo nella fonte delle definizioni all’articolo 1 comma 1 del CAD, in particolare alla lettera n-ter che riporto

((n-ter) domicilio digitale: un indirizzo elettronico eletto presso un servizio di posta elettronica certificata o un servizio elettronico di recapito certificato qualificato, come definito dal regolamento (UE) 23 luglio 2014 n. 910 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE, di seguito “Regolamento eIDAS”,valido ai fini delle comunicazioni elettroniche aventi valore legale;))

Invece all’articolo 3 bis comma 1 troviamo l’obbligo per le professioni regolamentate , per le imprese e per e per le PA di iscriversi in pubblici registri ove denunciare il proprio domicilio digitale, nello specifico i registri per le imprese ed i professionisti tenuti da INFOCAMERE ( www.inipec.gov.it ) e per le PA gestite in indicepa.gov.it

Tuttavia, come già scritto, la vera novità sarà rappresentata dall’elenco dei domicili digitale per i cittadini ed i professionisti non ordinati , per le associazioni e per tutti i soggetti ( songoli ed associati) che non rientrano nell’elencazione degli articoli 6 bis e 6 ter del D.lgs 82/05.

Infatti recita l’articolo 6 quater

(( (Indice nazionale dei domicili digitali delle persone fisiche e degli altri enti di diritto privato, non tenuti all’iscrizione in albi professionali o nel registro delle imprese). )) ((1. E’ istituito il pubblico elenco dei domicili digitali delle persone fisiche e degli altri enti di diritto privato non tenuti all’iscrizione in albi professionali o nel registro delle imprese, nel quale sono indicati i domicili eletti ai sensi dell’articolo 3-bis, comma 1-bis. La realizzazione e la gestione dell’Indice sono affidate all’AgID, che vi provvede avvalendosi delle strutture informatiche delle Camere di commercio gia’ deputate alla gestione dell’elenco di cui all’articolo 6-bis. 2. Per i professionisti iscritti in albi ed elenchi il domicilio digitale e’ l’indirizzo inserito nell’elenco di cui all’articolo 6-bis, fermo restando il diritto di eleggerne uno diverso ai sensi dell’articolo 3-bis, comma 1-bis. Ai fini dell’inserimento dei domicili dei professionisti nel predetto elenco il Ministero dello sviluppo economico rende disponibili all’AgID, tramite servizi informatici individuati nelle Linee guida, i relativi indirizzi gia’ contenuti nell’elenco di cui all’articolo 6-bis. 3. Al completamento dell’ANPR di cui all’articolo 62, AgID provvede al trasferimento dei domicili digitali contenuti nell’elenco di cui al presente articolo nell’ANPR.))

E’ importante notare l’automatismo per i professionisti, infatti il secondo comma dell’articolo 6 quater chiarisce che i professionisti ( avvocati, ingegneri, commercialisti, medici etc) avranno la c.d. ereditarietà del domicilio digitale, è però fatta salva la possibilità di usarne uno diverso da quello professionale ( avere quindi un domicilio per l’articolo 6 bis ed uno per il 6 quater).

L’articolo 47 disciplina invece molto bene , e facendo intendere che la peo resta lo strumento principale di comunicazione, le comunicazioni tra le PA.

Art. 47 Trasmissione dei documenti tra le pubbliche amministrazioni 1. Le comunicazioni di documenti tra le pubbliche amministrazioni avvengono mediante l’utilizzo della posta elettronica o in cooperazione applicativa; esse sono valide ai fini del procedimento amministrativo una volta che ne sia verificata la provenienza. Il documento puo’ essere, altresi’, reso disponibile previa comunicazione delle modalita’ di accesso telematico allo stesso. 1-bis. L’inosservanza della disposizione di cui al comma 1, ferma restando l’eventuale responsabilita’ per danno erariale, comporta responsabilita’ dirigenziale e responsabilita’ disciplinare. 2. Ai fini della verifica della provenienza le comunicazioni sono valide se: a) sono sottoscritte con firma digitale o altro tipo di firma elettronica qualificata; b) ovvero sono dotate di segnatura di protocollo di cui all’articolo 55 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445; c) ovvero e’ comunque possibile accertarne altrimenti la provenienza, secondo quanto previsto dalla normativa vigente o dalle ((Linee guida)). E’ in ogni caso esclusa la trasmissione di documenti a mezzo fax; d) ovvero trasmesse attraverso sistemi di posta elettronica certificata di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68. 3. ((I soggetti di cui all’articolo 2, comma 2, lettere a) e b),)) provvedono ad istituire e pubblicare ((nell’Indice dei domicili digitali delle pubbliche amministrazioni e dei gestori di pubblici servizi)) almeno una casella di posta elettronica certificata per ciascun registro di protocollo. ((Le pubbliche amministrazioni)) utilizzano per le comunicazioni tra l’amministrazione ed i propri dipendenti la posta elettronica o altri strumenti informatici di comunicazione nel rispetto delle norme in materia di protezione dei dati personali e previa informativa agli interessati in merito al grado di riservatezza degli strumenti utilizzati.

Cosa comporta questo nuovo assetto giuridico ( ed organizzativo ) ?

Semplice, l’obbligo di avvicinarsi al CAD per evitare che i provvedimenti amministrativi siano carenti di efficacia.

Sembrano cose campate in aria ? direi di no, infatti vi riporto la risposta ( come sempre normata ) sulle procedure di tutti i giorni, l’articolo 6 c1 quater del D.lgs 82/05.

I soggetti di cui all’articolo 2, comma 2, notificano direttamente presso i domicili digitali di cui all’articolo 3-bis i propri atti, compresi i verbali relativi alle sanzioni amministrative, gli atti impositivi di accertamento e di riscossione e le ingiunzioni di cui all’articolo 2 del regio decreto 14 aprile 1910, n. 639, fatte salve le specifiche disposizioni in ambito tributario. La conformita’ della copia informatica del documento notificato all’originale e’ attestata dal responsabile del procedimento in conformita’ a quanto disposto agli articoli 22 e 23-bis.))

Per chiarezza e semplicità di lettura riporto gli articolo 22 e 23 bis del CAD ed aggiungo il link al DPCM 13/11/14

Art. 22 (Copie informatiche di documenti analogici).

1. I documenti informatici contenenti copia di atti pubblici, scritture private e documenti in genere, compresi gli atti e documenti amministrativi di ogni tipo formati in origine su supporto analogico, spediti o rilasciati dai depositari pubblici autorizzati e dai pubblici ufficiali, hanno piena efficacia, ai sensi degli articoli 2714 e 2715 del codice civile, ((se sono formati ai sensi dell’articolo 20, comma 1-bis, primo periodo.)). La loro esibizione e produzione sostituisce quella dell’originale. ((1-bis. La copia per immagine su supporto informatico di un documento analogico e’ prodotta mediante processi e strumenti che assicurano che il documento informatico abbia contenuto e forma identici a quelli del documento analogico da cui e’ tratto, previo raffronto dei documenti o attraverso certificazione di processo nei casi in cui siano adottate tecniche in grado di garantire la corrispondenza della forma e del contenuto dell’originale e della copia.)) 2. Le copie per immagine su supporto informatico di documenti originali formati in origine su supporto analogico hanno la stessa efficacia probatoria degli originali da cui sono estratte, se la loro conformita’ e’ attestata da un notaio o da altro pubblico ufficiale a cio’ autorizzato, ((…)) secondo le ((Linee guida)). 3. Le copie per immagine su supporto informatico di documenti originali formati in origine su supporto analogico nel rispetto delle ((Linee guida)) hanno la stessa efficacia probatoria degli originali da cui sono tratte se la loro conformita’ all’originale non e’ espressamente disconosciuta. 4. Le copie formate ai sensi dei commi 1, ((1-bis,)) 2 e 3 sostituiscono ad ogni effetto di legge gli originali formati in origine su supporto analogico, e sono idonee ad assolvere gli obblighi di conservazione previsti dalla legge, salvo quanto stabilito dal comma 5. 5. Con decreto del Presidente del Consiglio dei Ministri possono essere individuate particolari tipologie di documenti analogici originali unici per le quali, in ragione di esigenze di natura pubblicistica, permane l’obbligo della conservazione dell’originale analogico oppure, in caso di conservazione sostitutiva, la loro conformita’ all’originale deve essere autenticata da un notaio o da altro pubblico ufficiale a cio’ autorizzato con dichiarazione da questi firmata digitalmente ed allegata al documento informatico. 6. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179.

Art. 23-bis (Duplicati e copie informatiche di documenti informatici). 1. I duplicati informatici hanno il medesimo valore giuridico, ad ogni effetto di legge, del documento informatico da cui sono tratti, se prodotti in conformita’ alle ((Linee guida)). 2. Le copie e gli estratti informatici del documento informatico, se prodotti in conformita’ alle vigenti ((Linee guida)), hanno la stessa efficacia probatoria dell’originale da cui sono tratte se la loro conformita’ all’originale, in tutti le sue componenti, e’ attestata da un pubblico ufficiale a cio’ autorizzato o se la conformita’ non e’ espressamente disconosciuta. Resta fermo, ove previsto, l’obbligo di conservazione dell’originale informatico.

link al DPCM 13/11/14

Detto questo è evidente che occorre cambiare il nostro modo di lavorare e le software house devono interfacciarsi con le anagrafiche degli elenchi detenuti da INFOCAMERE ai sensi dell’articolo 6 bis.

Ancora più complessa è la situazione nel caso in cui ci sia un’elezione a domicilio speciale dell’articolo 47 del cod.civ., il nostro gestionale amministrativo dovrà contenere una serie di casistiche per delle comunicazioni spot , relative al singolo atto od affare.

Buon lavoro, ovviamente sapete che C@ronte vi accompagnerà .

Consiglio anche di leggere :

DISCORSI ATTORNO AL CODICE DELL’AMMINISTRAZIONE DIGITALE, L’INUTILITA DI FIRMARE CON STAMPIGLIATURA D.LGS 39/93

Attinenze tra Monica Bellucci , Belen Rodriguez ed il codice dei contratti. La sentenza Consiglio di Stato sez. VI 19/6/2017 n. 2969.

Come risolvere alcuni problemi di normalizzazione  dei valori quando il criterio di aggiudicazione è l’offerta economicamente più vantaggiosa, articolo 95 comma 3 D.lgs 50/16.

Spesso capita, per scelta o per espressa previsione legislativa di dovere attribuire un appalto utilizzando il criterio dell’offerta economicamente più vantaggiosa.

Nel valutare la parte squisitamente economica, che (ricordo) potrebbe anche non esservi, la normalizzazione dei prezzi avviene con la semplice e nota funzione lineare scritta al fine di normalizzare il valore economico ( massimo 30 punti ) al prezzo più basso ricevuto in offerta.

Un grosso errore, consiste invece, nell’utilizzare le stesse funzioni, o tabelle ( quindi valori discreti e non lineari) anche per quanto riguarda le qualità non economiche dell’offerta.

Seppure alcune tabelle sono corrette ed indispensabili, queste sono inefficaci quando la valutazione cade sui requisiti  non quantizzabili, quando in altre parole si devono valutare le qualità delle offerte non quantificabili in numeri e valori discreti.

Da questo punto di vista è importantissima la sentenza Consiglio di Stato sez. VI 19/6/2017 n. 2969.

Proviamo a capirci con un esempio , nel valutare ai sensi del terzo comma dell’articolo 95 del codice dei contratti la fornitura di un server nevralgico per il nostro Ente abbiamo come da bando e lettera :

Massimo 30 punti per la tempestività dell’intervento tecnico

Massimo 70 punti per la qualità generale dello staff d’intervento e la professionalità

Pur essendo quantificabili come “offerta qualificativa” per il primo punto una tabella ci risolve ogni problema , ad esempio, 10 punti per interventi entro le 12 ore , 20 punti per 6 ore, 30 punti per 3 ore, ma per il valore della qualità generale come dobbiamo comportarci ? come posso normalizzare e quindi spostare la discrezionalità della commissione verso la componente tecnica allontanandomi dalla discrezionalità dell’an ?

Molti bandi sono fallaci sotto questo punto di vista, la questione non è solo teorica, nel regolamento 207/10 era prevista una specifica tecnica e che ancora deve essere utilizzata come detto dalla sentenza CdS 2969/17.

Un esempio scherzoso , forse sessista , ma efficace .

Incontro con un gruppo di amici, siamo in tre e dopo due birre ghiacciate decidiamo di fare una classifica di bellezza e le candidate sono :

Monica Bellucci (86-61-89)
Belen Rodriguez (83-65-89)
Aida Yespica  (90-61-91)
Manuela Arcuri (94-63-96)

Se decidessimo di valutarle solo in funzione delle loro misure la valutazione non sarebbe difficile ma si ridurrebbe a valorizzare maggiormente il seno od il lato B, comunque sono valutazioni che noi maschietti facciamo dopo la quinta birra e non solo due, vogliamo essere più completi e valutare la bellezza globale delle tre donne .
Come fare ? molto soggettivo ? si certamente  soggettivo , e se questo eccesso di “soggettivo’ dovesse capitare in commissione ex articolo 77 50/16 sarebbero guai .

Usciamone assieme seguendo le norme del vecchio regolamento come dice anche il CdS.
La commissione ex articolo 77 è composta da Mario, Paolo e me e subito ci viene un  dubbio, il seguente “ come poter valutare quattro bellezze così stravolgenti ?” Come ogni gruppetto di amici che bevono birra pensiamo subito ad una normalizzazione dei valori con il confronto a coppie basandoci su valori delle qualità lessicali, come più bella di …, bella uguale a , poco più bella etc

Allora proviamo a risolvere con il metodo del confronto a coppie utilizzando delle matrici triangolari di grandezza n-1.

Ogni commissario per giudicare la bellezza costruisce una semi matrice o matrice triangolare  di ampiezza n-1, cioè per le quattro ragazze la matrice sarà di questo tipo :

     
   
 

Visto che valutiamo qualità come la bellezza la normalizzazione nono può essere che semantica utilizzando la scala :

1 = Parità ;
2 = Preferenza minima  ;
3 = Preferenza piccola;
4 = Preferenza media ;
5= Preferenza grande ;
6 = Preferenza massima.

Ora ogni commissario arricchisce la sua tabella per confrontare a coppie le concorrenti , usiamo questa legenda :

Monica Bellucci -MB-
Belen Rodriguez-BR-
Aida Yespica -AY-
Manuela Arcuri -MA-

Commissario vincenzo de prisco

Come detto, valutare le ragazze in funzione delle loro misure non è complesso, in funzione della bellezza totale è più complicato, facciamo un confronto a coppie e vediamo di volta in volta la nostra preferenza basandoci sulla scala semantica. Per semplicità prima di andare in tabella ( la matrice a coppia di ragione n-1) farò un commento .

Tra Manuela Arcuri e Monica Bellucci preferisco di poco ( minimamente) Monica Bellucci.
Tra Monica Bellucci ed Aida Yespica non c’è storia, decisamente la Bellucci
Tra Monica Bellucci e Belen Rodriguez vedo la parità, nessuna prevalenza
Tra Manuela Arcuri e ed Aida Yespica preferisco mediamente l’italiana
Tra Manuela Arcuri e Belen Rodriguez preferenza grande per la Rodriguez
Tra Aida Yespica e Belen Rodriguez massima preferenza per la più giovane Belen

Come ho appuntato ? la sigla della vincitrice ed il punteggio semantico ( nel caso di parità le due sigle )

Commissario Mario

Commissario Paolo

Ovviamente i commissari hanno compilato le matrici non consultandosi tra di loro ed alla fine tirano le somme :

RISULTA VINCITRICE LA BELEN RODRIGUEZ, se ci fossimo basati solo sulle misure sarebbe stata l’ultima.

Con questo buffo esempio ho voluto focalizzare e commentare la sentenza del CdS, quando non si usano metodi e sistemi di normalizzazione commettiamo degli illeciti, anche se il D.lgs 50/16 non indica le modalità scientifiche conviene come detto in sentenza rifarci agli allegati del DPR 207/2010 .

Solo dopo questi passaggi posso usare le consuete formule lineari e tabellari, altrimenti siamo attaccabili.

Al prossimo giro sul codice degli appalti parleremo comunque delle formule matematiche e statistiche.

Whistleblowing software chiavi in mano.

Mettiamo a disposizione il software su strutture protette e nel pieno rispetto del GDPR. Se interessati chiedete una quotazione.

Whistleblowing, ci siamo.

Finalmente una risposta certa sul combinato art 54 comma 5 D.lgs 165/01 come modificato dall’articolo 1 comma 51 della L. 190/12.

Abbiamo un soluzione data dall’ANAC per la segnalazione degli illeciti e la tutela del dipendente segnalante.

Siete interessati alla soluzione ? Contattatemi.

Da divulgare ai RPC.

Riporto la notizia ANAC

Disponibile in open source il software per la gestione delle segnalazioni di illeciti

L’Autorità comunica che a partire dal 15 gennaio 2019 sarà disponibile per il riuso l’applicazione informatica “Whistleblower” per l’acquisizione e la gestione – nel rispetto delle garanzie di riservatezza previste dalla normativa vigente – delle segnalazioni di illeciti da parte dei pubblici dipendenti, così come raccomandato dal disposto dell’art. 54 bis, comma 5, del d.lgs. n. 165/2001 e previsto dalle Linee Guida di cui alla Determinazione n. 6 del 2015.

La piattaforma consente la compilazione, l’invio e la ricezione delle segnalazioni di presunti fatti illeciti nonché la possibilità per l’ufficio del Responsabile della prevenzione corruzione e della trasparenza (RPCT), che riceve tali segnalazioni, di comunicare in forma riservata con il segnalante senza conoscerne l’identità. Quest’ultima, infatti, viene segregata dal sistema informatico ed il segnalante, grazie all’utilizzo di un codice identificativo univoco generato dal predetto sistema, potrà “dialogare” con il RPCT in maniera spersonalizzata tramite la piattaforma informatica. Ove ne ricorra la necessità il RPCT può chiedere l’accesso all’identità del segnalante, previa autorizzazione di una terza persona (il cd. “custode dell’identità”).

L’applicativo e la documentazione di installazione sono disponibili sul repository Github dell’ANAC, all’indirizzo https://github.com/anticorruzione/openwhistleblowing. La distribuzione del software è regolata dalla Licenza Pubblica dell’Unione Europea (EUPL v. 1.2 https://eupl.eu/1.2/it/), che ne consente il libero uso a qualunque soggetto interessato senza ulteriore autorizzazione da parte di ANAC.

Il sistema viene fornito completo di un modello di segnalazione predisposto da ANAC che può essere completamente personalizzato dall’utilizzatore.

Per la documentazione, i rapporti periodici, la normativa ed altre informazioni sul whistleblowing vai alla sezione dedicata.

Norme sulla trasparenza bifasica sempre disattese.

La legge annuale per il mercato e la concorrenza per il 2018 ha introdotto novità di trasparenza bifasica ad oggi spesso disattese. La l. 124/17 è stata modificata, ampliandone la portata , dal decreto salviniano intitolato alla sicurezza , il DL 113/18 convertito in L. 132/18.

in particolare l’articolo 12 ter sancisce che :

Art. 12-ter (( (Obblighi di trasparenza per le cooperative sociali che svolgono attivita’ in favore di stranieri). )) ((1. Al comma 125 dell’articolo 1 della legge 4 agosto 2017, n. 124, dopo il primo periodo e’ inserito il seguente: “Le cooperative sociali sono altresi’ tenute, qualora svolgano attivita’ a favore degli stranieri di cui al decreto legislativo 25 luglio 1998, n. 286, a pubblicare trimestralmente nei propri siti internet o portali digitali l’elenco dei soggetti a cui sono versate somme per lo svolgimento di servizi finalizzati ad attivita’ di integrazione, assistenza e protezione sociale”)).

Questa attenzione nulla cambia sulla portata della norma che vede due momenti pubblicitari, uno solito ( e comunque disatteso ) in capo alle PA da inquadrare nell’articolo 26 del 33/13 che riporto :

Obblighi di pubblicazione degli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici a persone fisiche ed enti pubblici e privati. 1. Le pubbliche amministrazioni pubblicano gli atti con i quali sono determinati, ai sensi dell’articolo 12 della legge 7 agosto 1990, n. 241, i criteri e le modalita’ cui le amministrazioni stesse devono attenersi per la concessione di sovvenzioni, contributi, sussidi ed ausili finanziari e per l’attribuzione di vantaggi economici di qualunque genere a persone ed enti pubblici e privati. 2. Le pubbliche amministrazioni pubblicano gli atti di concessione delle sovvenzioni, contributi, sussidi ed ausili finanziari alle imprese, e comunque di vantaggi economici di qualunque genere a persone ed enti pubblici e privati ai sensi del citato articolo 12 della legge n. 241 del 1990, di importo superiore a mille euro. ((Ove i soggetti beneficiari siano controllati di diritto o di fatto dalla stessa persona fisica o giuridica ovvero dagli stessi gruppi di persone fisiche o giuridiche, vengono altresi’ pubblicati i dati consolidati di gruppo)). 3. La pubblicazione ai sensi del presente articolo costituisce condizione legale di efficacia dei provvedimenti che dispongano concessioni e attribuzioni di importo complessivo superiore a mille euro nel corso dell’anno solare al medesimo beneficiario. La mancata, incompleta o ritardata pubblicazione rilevata d’ufficio dagli organi di controllo e’ altresi’ rilevabile dal destinatario della prevista concessione o attribuzione e da chiunque altro abbia interesse, anche ai fini del risarcimento del danno da ritardo da parte dell’amministrazione, ai sensi dell’articolo 30 del decreto legislativo 2 luglio 2010, n. 104. 4. E’ esclusa la pubblicazione dei dati identificativi delle persone fisiche destinatarie dei provvedimenti di cui al presente articolo, qualora da tali dati sia possibile ricavare informazioni relative allo stato di salute ovvero alla situazione di disagio economico-sociale degli interessati.

Ho volutamente evidenziato il terzo comma , per l’efficacia del provvedimento.

Tuttavia, ancora più disattesa ( ASSENTE DIREI ), è la pubblicità da parte del beneficiario della provvista economica, riporto la parte finale del comma 125 della L. 124/17 evidenziandone i punti critici,

Le imprese che ricevono sovvenzioni, contributi, incarichi retribuiti e comunque vantaggi economici di qualunque genere dalle pubbliche amministrazioni e dai soggetti di cui al primo periodo sono tenute a pubblicare tali importi nella nota integrativa del bilancio di esercizio e nella nota integrativa dell’eventuale bilancio consolidato. L’inosservanza di tale obbligo comporta la restituzione delle somme ai soggetti eroganti entro tre mesi dalla data di cui al periodo precedente. Qualora i soggetti eroganti appartengano alle amministrazioni centrali dello Stato ed abbiano adempiuto agli obblighi di pubblicazione previsti dall’articolo 26 del decreto legislativo 14 marzo 2013, n. 33, le somme di cui al terzo periodo sono versate ad apposito capitolo dell’entrata del bilancio dello Stato per essere riassegnate ai pertinenti capitoli degli stati di previsione delle amministrazioni originariamente competenti per materia. Nel caso in cui i soggetti eroganti non abbiano adempiuto ai prescritti obblighi di pubblicazione di cui all’articolo 26 del decreto legislativo 14 marzo 2013, n. 33, le somme di cui al terzo periodo sono versate all’entrata del bilancio dello Stato per essere riassegnate al fondo per la lotta alla poverta’ e all’esclusione sociale, di cui all’articolo 1, comma 386, della legge 28 dicembre 2015, n. 208.

Altre modalità di pubblicità vengono date per la prima parte della stessa norma ( quella modificata dalla L. 132/18) anche grazie alla pubblicazione sui siti web istituzionali .

A decorrere dall’anno 2018, i soggetti di cui all’articolo 13 della legge 8 luglio 1986, n. 349, e successive modificazioni, i soggetti di cui all’articolo 137 del codice di cui al decreto legislativo 6 settembre 2005, n. 206, nonche’ le associazioni, le Onlus e le fondazioni che intrattengono rapporti economici con le pubbliche amministrazioni e con i soggetti di cui all’articolo 2-bis del decreto legislativo 14 marzo 2013, n. 33, nonche’ con societa’ controllate di diritto o di fatto direttamente o indirettamente da pubbliche amministrazioni, ivi comprese quelle che emettono azioni quotate in mercati regolamentati e le societa’ da loro partecipate, e con societa’ in partecipazione pubblica, ivi comprese quelle che emettono azioni quotate in mercati regolamentati e le societa’ da loro partecipate, pubblicano entro il 28 febbraio di ogni anno, nei propri siti o portali digitali, le informazioni relative a sovvenzioni, contributi, incarichi retribuiti e comunque a vantaggi economici di qualunque genere ricevuti dalle medesime pubbliche amministrazioni e dai medesimi soggetti nell’anno precedente.

REGOLAMENTO PER LE ISTITUZIONI SCOLASTICHE, D.I. 129/2018, non sbagliate scrivendo regolamenti inutili.

Arieccoci!!!!!!

E’ cambiato il testo di riferimento per le ISA, addio al 44/01 e benvenuto al decreto interministeriale n. 129/2018.

Cosa dire ?, già nato vecchio e già violentato ( ufficio complicazione affari semplici) alcuni DSGA e DS che hanno regolamentato quello che non andava regolamentato, le procedure di acquisto.

Ma andiamo in ordine.

Il punto più importante , purtroppo passato in sordina è quello della promessa, o minaccia, di adottare il SIOPE + entro breve tempo, infatti il primo articolo al comma 2 richiama il D.lgs 91/11. Si tratta di una novità importante, l’armonizzazione dei flussi , fossi in voi piuttosto che scrivere regolamenti che non servono ( e che vi vincolano ) inizierei a studiarmi il 91/2011…. ci organizziamo ?

Ancora una volta il legislatore , perdono, il regolamentatore, crea terrorismo lessicale e lascia intendere ( pur non vietandolo espressamente ) il divieto dell’anticipazione di cassa, tralasciando che spesso sfugge la gerarchia delle fonti e che esiste il D.lgs 231/02 e che quindi se non utilizzo i travasi contabili l’istituzione scolastica pagherà, senza preventiva messa in mora, interessi altissimi.

Art. 4 d.lgs 231/02 ((Termini di pagamento)) 1. Gli interessi moratori decorrono, senza che sia necessaria la costituzione in mora, dal giorno successivo alla scadenza del termine per il pagamento.

Una cosa fatta bene , a mio avviso, è la centralità del programma triennale dell’offerta formativa, più volte richiamato , ad esempio agli artt 4 ,5, ed al 44 et 45.

Però, e figuriamoci se non ci mettevo un però, ancora il legislatore ha dimenticato di ricordare ( ossimoro ? ) che la primaria norma, quella della programmazione degli acquisti su base biennale, resta disciplinata dall’articolo 21 del D.lgs 50/16 e DM 14/2018 MIT ( per tutte le PA, anche le scuole, cfr art 1 comma 2 165/01).

Riporto appresso un post.

In sintesi la programmazione articolo 4 del 129/18 deve essere una vision allungata del biennio se letta assieme all’articolo 21 della NORMA FONDAMENTALE.

Anche se non normativamente nuovo, esisteva anche nel 44/01, è dettagliatamente disciplinato l’utilizzo della carta di credito all’articolo 19, non volete usarla ?Perderete alcune occasioni di noti marketplace.

Non mancheranno complicazioni , volute, anche per l’applicazione dell’articolo21 del REGOLAMENTO 129/18, il fondo per le minute spese, che come sempre sarà scelto basso, il mio consiglio, visto il richiamo proprio del secondo comma del 21 è quello di fissare gli importi ex D.Lgs 231/07 ad euro 250 per ogni transizione, vi sembra alto ? ok non mettetelo però a 20 euro.

Ora voglio toccare tre punti che vedono un focus su due reati, il danno erariale e la violazione dell’articolo 7 del D.Lgs 165/01.

Gli articoli 41 e 42 del 129/18 dicono chiaramente che non si dovrebbero utilizzare software terzi per la gestione documentale ( 42 ) e contabile-amministrativa ( 41) , in particolare , ma ormai il danno grosso è fatto richiamando al secondo comma, ultimo capoverso, del 42 si cita l’articolo 71 del CAD ( ed io vi riporto il 61 della penultima revisione, il 179/16 )

Fino all’adozione ((delle Linee guida di cui all’articolo 71 del decreto legislativo n. 82 del 2005)), l’obbligo per le amministrazioni pubbliche di adeguare i propri sistemi di gestione informatica dei documenti, di cui all’articolo 17 del decreto del Presidente del Consiglio dei ministri 13 novembre 2014, e’ sospeso, salva la facolta’ per le amministrazioni medesime di adeguarsi anteriormente.

È chiaro che l’utilizzo di software contabili e documentali ( prima delle LLGG che ancora non sono uscite ) è rischioso, sento odore di danno all’erario.

Ancora ricordatevi che quello che può e deve essere fatto internamente con le professionalità che dovrebbero esserci, non può essere dato all’esterno, vedi articolo 43 comma 3, norma vecchia ( che trae origine dal 7 del 165/01, presente nel 44/01 ) ma sempre disattesa.

Per quanto riguarda la capacità negoziale troviamo uno strano valore, 10000 euro , leggibile all’articolo 45 comma 2 lett. a.
Pur non condividendo questa interferenza dell’organo collegiale, condivido ancora di meno, perché illegittimo, che molte ISA ( dietro spinta di associazioni di Ds e DSGA) hanno ulteriormente regolamentato la procedura, alla faccia della semplificazione. La norma contenuta nel 45 comma 2 lett a chiaramente dice che di volta in volta va deliberato, non parla di regolamenti interni, l’unico regolamento interno da adottare è quello dell’inventario ex articolo 29.

Nulla di nuovo nemmeno per l’altra norma molto disattesa, la convenzione di cassa di cui all’articolo 20 del 129/18 ( che resta sostanzialmente identico al 16 del 44/01). Le novità sono la possibilità di accordo di rete ( solo lessicale, in realtà era già esistente ) e la possibilità CONSIP ( uguale a prima).

Perchè disatteso ? Nella mia esperienza non ho . mai visto l’evidenza pubblica.

Le altre novità sono il richiamo al 33/13 e finalmente la dichiarazione esplicita di rifarsi al decreto sul codice degli appalti pubblici.

Qualche perplessità , dal punto di vista delle responsabilità, avviene per l’articolo 39, la manutenzione , che può avvenire programmando un capitolo di spesa dietro delega con l’ente locale, o …bada bada tramite anticipazione di cassa e travaso di partite, comma 2.

Problemi reali non esistono , se non quelli atavici di spese superflue, problemi gravi sono stati creati dai regolamenti degli acquisti mai citati nel decreto, a parte l’iter sempre errato ( cfr articolo 32 l. 69/09 e 12 del 33/13) i regolamenti che girano fanno acqua.

Ci lamentiamo della responsabilità eccessiva e poi in maniera illegittima vogliamo altre responsabilità, bah! , diamo i limiti dei mille auro quando poi l’articolo 1 comma 130 della l. 145/18 ha innalzato il valore ad euro 5000 ed allo stesso articolo al comma 912 gli affidamenti diretti per i lavori sono innalzati a 150000.

Come sempre, se volete, organizzatevi ed organizziamo la formazione…non sul 129 ma sul 50/16, norma dinamica e mutevole.

Le novità sul codice dei contratti pubblici , tra le quali la modifica dell’articolo 1 comma 450 L.296/06.INNALZAMENTO DAI 1000 AI 5000 EURO

Eravamo abituati a tante modifiche al codice degli appalti, dirette ed indirette , non perdiamo questa malsana abitudine, infatti anche il decreto sicurezza ha modificato il codice , e soprattutto è ormai certo che il codice verrà sostituito entro un anno, ma andiamo per ordine e leggete tutto il post, ci sono delle sorprese, vi anticipo solo che si ritornerà entro 24 mesi alla vecchia architettura, codice più regolamento.

La prima modifica, tanto reclamata ma nei fatti superflua è quella contenuta nel DL 135/18, c.d. semplificazione.

In realtà il decreto uniforma l’articolo 80 del d.lgs 50/16 all’articolo ispiratore della direttiva 2014/24/UE, il 57 comma 4.

La lettera c del quinto comma dell’articolo 80 infatti viene sdoppiata in 5 bis e 5 ter e spalmati diversamene i reati fiscali ( D.Lgs 74/00 ), contro l’industria e commercio tra quelli presupposto ex D.Lgs 231/00 ed anche reati urbanistici.

Tuttavia conviene attendere la pubblicazione delle Linee Guida n. 6 ANAC per avere una visione organica dell’impatto organizzativo sui motivi di esclusione da parte della SA .

Modifiche indirette al codice dei contratti pubblici sono state apportate anche dalla conversione del decreto sicurezza come da L. 132/18.

La norma disciplina, con modi molto persuasivi, il sub-appalto non autorizzato portandolo da contravvenzione a delitto .

Ed ora veniamo alle novità più importanti, quelle contenute nella L. 145/2018, Previsione per il 2019 ( STABILITÀ ).

La modifica maggiormente apprezzata nel lavoro quotidiano è senza dubbio l’innalzamento della soglia per gli acquisti c.d. bagatellari, infatti leggiamo all’articolo 1 comma 130 della L. 145/18 TROVIAMO

“All’articolo 1, comma 450, della legge 27 dicembre 2006, n. 296, le parole: « 1.000 euro », ovunque ricorrono, sono sostituite dalle seguenti: « 5.000 euro ». “

E’ evidente che tale innalzamento comporta che fino alla soglia di 5.000 euro non si applicano le procedure dell’articolo 40 del D.lgs 50/16, cfr anche la dichiarazione ANAC del 30 Ottobre 2018 ed il post immediatamente riportato.

Un’altra facilitazione che contiene la L. 145 è quella del comma 912 del primo articolo che innalza l’affidamento diretto dei lavori a 150.000 Euro.

“Nelle more di una complessiva revisione del codice dei contratti pubblici, di cui al decreto legislativo 18 aprile 2016, n. 50, fino al 31 dicembre 2019, le stazioni appaltanti, in deroga all’articolo 36, comma 2, del medesimo codice, possono procedere all’affidamento di lavori di importo pari o superiore a 40.000 euro e inferiore a 150.000 euro mediante affidamento diretto previa consultazione, ove esistenti, di tre operatori economici e mediante le procedure di cui al comma 2, lettera b), del medesimo articolo 36 per i lavori di importo pari o superiore a 150.000 euro e inferiore a 350.000 euro.”

E qui viene il bello !!!!

Il disegno di legge che entro 12 mesi delega al governo la riscrittura del Codice dei contratti pubblici ed entro 24 mesi uno o più regolamenti attuativi… a presto sulle ulteriori modifiche della legge di STABILITA’ per il 2019.

Novità per il 2019

Il 2019 sarà pieno di novità, la più importante certamente riguarda il protocollo d’intesa tra la Corte dei Conti e l”AGID che nei fatti sposta l’attenzione sull’attuazione del D.lgs 217/17, l’ultimo CAD in vigore.

C’è poi il nuovo regolamento amministrativo-contabile( solo per le ISA) , DM 129 /18 che deve essere in parte cucito su misura per ogni istituzione interessata, vedasi il regolamento per i beni mobili.

Visti anche gli impegni istituzionali le attività della Consulenti Associati saranno rallentate per i prossimi 15 giorni .

In questo periodo sarete aggiornati temestivamente sulla nuova modulistica e sarete traghettati nella Digit@al Commedia.

C@ronte.

Alcune puntualizzazioni sugli adempimenti

Sono partite le PEC per i controlli intermedi agli Enti Locali.

La pec contiene una missiva scritta “malissimo” che riporto corretta nel post ed un’analisi specifica per ogni destinatario.

Da questo momento si considera finito l’assessment ed inizia il management.

Nei prossimi post riceverete un modello di regolamento GDPR ( una sorta di vademecum , no obbligatorio) e poi un calendario con le attività di controllo, di management e di aggiornamento.

Si ricorda che in forza al protocollo d’intesa tra Agid e Corte dei Conti sarà prioritario il processo di digitalizzazione.

LL.GG. AGID Sicurezza Cibernetica. Il danno erariale. La circolare 2/2017 AGID.

Per il 2018 non occorre compilare ( più o meno ) l’allegato alla circolare 2 di Agid 2/2017.
Bisogna attendere le LL.GG. AGID sulla sicurezza , ed in funzione di queste rivedere le mms . Il documento sarà  pronte entro i primi 15 giorni di Gennaio 2019 . Come sempre il dcontenuto mira a modelli organizzativi e non solo all’acquisto di appartai ( firewall, nas, server e ferro vario ), e chiunque ancor prima di queste LL.GG. abbia fatto acquisti non proporzionati ( obbligazioni di mezzi e non di risultato come tante volte detto nel GDPR e non solo ) è a rischio danno erariale.

Le LL.GG , ripeto , sono la normale evoluzione del DPCM 01.08.15 e circolare 2/2017 AGID.

L’architettura sarà basata su tre top level, e 10 principi ( semplici ed immediati ).
L’analisi delle risultantze dell’applicazione delle LL.GG. , l’analisi dei rischi che dovrebbe essere in ogni modello GDPR ( grandi assenti ) ed il confronto con la circolare 2/2017 AGID costituirà  la base di partenza per poi fare gli investimenti ( sentiti il RTD ex articolo 17 82/05 e DPO 37 reg 2016/679).

I TRE LIVELLI .

I PRINCIPI : Politiche culturali e problemi da affrontare

II MISURE DI SICUREZZA : Cosa fare nel dettaglio per esplicare i principi enunciati nel primo livello.

III REGOLE TECNICHE : Praticamente cosa fare nel dettaglio .

Praticamente, come ci insegna l’arte e la tecnica della compliance, abbiamo le prime tre W della regola delle 5 W (WHO , WHEN, WHAT , WHY , WHERE – CHI,QUANDO,COSA,PERCHÈ, DOVE ), infatti i tre livelli rispondono alle domande PERCHE ? – COSA ? – COME ?.

Un esempio dei tre principi  potrebbe essere:

I MISURA : I dati della PA devono essere riservati ed utilizzati per fini istituzionali ( euristica )

II MISURA : di conseguenza tutti gli utenti devono essere univocamente identificti da user e password

III MISURA : le password devono essere composte da almeno 8 caratteri alfanumerici, un carattere maiuscolo ed uno speciale .

È chiaro che l’euristica, la politica data non varia, la seconda e la terza misura  potrebbero  variare ,a partire dal terzo ( analisi del contesto ) ,non otto ma magari 10 caratteri , oppure non potrebbe bastare la combinazione user e password ma anche un terzo fattore, magari biometrico.

I DIECI COMANDAMENTI – o PRINCIPI.

Principio di inventario

Per proteggere bisogna conoscere se stessi, principio fortemente analizzato in circolare 2/2017 , ABSC ID 1 e ABSC ID 2. Per proteggere gli asset devo conoscere ed avere un elenco degli asset da preservare.

Principio di attribuzione

E’ un elemento base della segregazione funzionale propria dei MOG, risponde alla domanda “conosci chi fa cosa e cosa fa cosa, ha fatto o farà ?”.

Quando si parla di trattare bene i dati è inutili spostare l’attenzione solo ed esclusivamente sulla copia e sui virus ( dimenticando sempre i dati analogici ) ma occorre sapere all’interno dell’organizzazione come viene attuato il paradigma CRUD ( CREATE. READ,UDPATE, DELETE).

Principio della pervasività

La sicurezza deve essere pervasiva, trasparente agli utilizzatori , quindi come un abito su misura ( è evidente il richiamo all’articolo 25 del GDPR).

Attenzione, per essere pervasivo uno strumento non può essere calato dall’alto ( procedure ISO ) ma disegnate dal basso con la maieutica ( proedure D.Lgs 231/01 ad esempio ).

Principio della ridondanza

Se hai valore per me, devo copiarti ed avere un sostituto valido. da un punto di vista fisico devo avere ridondanze strutturate ( RAID 5  ,server in cluster, locale o geografico, e più in generale assenza di Single Point of Failure ) .

Dal punto di vista organizzativo non devono esserci centri unici di potere all’interno di ufficio , non posso lancaiare testate nucleari da solo e non posso distruggere documenti nello stesso modo, mentre dal lato logico dovrei permettere come regola del principio della pervasività la possibilità di accedere ale informazioni con più metodologie ( web, cell, sportello etc ).

Chi tratta l’argomento da tempo non può non notar ele analogie del TIER delle LL.GG. sul DISASTER RECOVERY dell’articolo 50 bis del vecchio CAD ( 235/10).

Principio del minimo
Citazione popolare ” Tre so’ ‘e putiente: ‘o Papa, ‘o Rre e chi nun tene niente” traduzione ” i potenti sono il Papa , il Re  e chi non ha niente “.

Il Papa ed il Re hanno grossi patrimoni e le risorse per il loro presidio, chi non ha niente  non ha nulla da perdere e quel poco che ha può essere presidiato in economia.

tecnologicamente si traduce nel ridurre la superficie di attacco elimianndo tanti servizi inutili che si interfacciano sul web, organizzativamente invece si attua con le review delle utenze attivate ( ci ricolleghiamo al paradigma CRUD del primo comandamento ).

Principio del miglioramento continuo
Non restiamo mai indietro, formiamo continuamente il nostro personale sugli aspetti tecnologici e normativi.

Principio dell’Automatizzazione

L’uomo può sbagliare nei lavori ripetitivi, la mente dell’uomo deve programmare gli eventi e creare e controllare le procedure. Trattare bene i dati prevede alcuni automatismi , con i limiti ovviamente di natura etica e normati ( art 22 GDPR)

Principio della temporalità

Massima priorità agli aggiornamenti tecnologici ed alla PATCH ( ampliamente tratato nelle mms AGID ) , essenziale l’abbonamento al CERT-PA.

Principio della diversità

Chi è appassionato di automobili ? io no ma faccio un esempio .

Avete un antifurto con immobilizer sull’auto ? Avete anche il block shaft ? Si ? perche non non avete montato due antifurti di tipo immobilizer ?.

Proeggere significa differenziare i presidi di sicurezza, Un esempio da non seguire ? DUE o PIU’ FIREWALL identici. BUCATO uno, bucati gli altri.

A ben vedere è una regola biologica evolutiva .

Principio della separazione
Deve sempre vigere il principio della separation of duties , esempi sono quelli costituzionali ( separazione del potere legislativo , esecutivo e giudicante ).

Il modello di riferimento potrebbe nuovamente essere quello dei MOG ex d.lgs 231/01. In alcuni aspetti è l’atra faccia del principio della ridondanza.

Tecnologicamente si attua con avere ambienti fisici e virtuali, reti separate e soluzioni confinate in ambienti diversi. Per assurdo se virtualizzo un server fisico facendolo girare sullo stesso con un black out perdo tutto.

I dieci principi sono facilmente  individuabili in alcuni ID dell’ABSC Agid 2/2017, ad esempio nel paragrafo

ABSC 2.1.1 Stilare un elenco di software autorizzati e relative versioni necessari per ciascun tipo di sistema, compresi server, workstation e laptop di vari tipi e per diversi usi. Non consentire l’installazione di software non compreso nell’elenco.

Trovo i principi  di Inventario ,di Attribuzione , della Separazione, del Minimo .

Continuiamo la nostral DIGITAL COMMEDIA ricordando come sempre che la Conserva di POMODORO ci insegna le giuste procedure per trattare bene i dati.

Le comunicazioni elettroniche dell’ARTICOLO 40 DEL D.LGS 50/16

In attesa di intervento chiarificatore dell’ANAC, ulteriore a successivo a quello del 30/10/2018, continuiamo dopo il post già pubblicato ad approfondire le procedure .

Art. 40 (Obbligo di uso dei mezzi di comunicazione elettronici nello svolgimento di procedure di aggiudicazione) 1. Le comunicazioni e gli scambi di informazioni nell’ambito delle procedure di cui al presente codice svolte da centrali di committenza sono eseguiti utilizzando mezzi di comunicazione elettronici ai sensi dell’articolo 5-bis del decreto legislativo 7 marzo 2005, n. 82, Codice dell’amministrazione digitale. 2. A decorrere dal 18 ottobre 2018, le comunicazioni e gli scambi di informazioni nell’ambito delle procedure di cui al presente codice svolte dalle stazioni appaltanti sono eseguiti utilizzando mezzi di comunicazione elettronici.

leggendo il 40 è chiaro il rimando  ad altre due norme, il 52 degli appalti e soprattutto il 5 bis del CAD.

Art. 52 (Regole applicabili alle comunicazioni) 1. Nei settori ordinari e nei settori speciali, tutte le comunicazioni e gli scambi di informazioni di cui al presente codice sono eseguiti utilizzando mezzi di comunicazione elettronici in conformita’ con quanto disposto dal presente comma e dai commi da 2 a 9, nonche’ dal Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82. Gli strumenti e i dispositivi da utilizzare per comunicare per via elettronica, nonche’ le relative caratteristiche tecniche, hanno carattere non discriminatorio, sono comunemente disponibili e compatibili con i prodotti TIC generalmente in uso e non limitano l’accesso degli operatori economici alla procedura di aggiudicazione. In deroga al primo e secondo periodo, le stazioni appaltanti non sono obbligate a richiedere mezzi di comunicazione elettronici nella procedura di presentazione dell’offerta esclusivamente nelle seguenti ipotesi: a) a causa della natura specialistica dell’appalto, l’uso di mezzi di comunicazione elettronici richiederebbe specifici strumenti, dispositivi o formati di file che non sono in genere disponibili o non sono gestiti dai programmi comunemente disponibili; b) i programmi in grado di gestire i formati di file, adatti a descrivere l’offerta, utilizzano formati che non possono essere gestiti mediante altri programmi aperti o generalmente disponibili ovvero sono protetti da licenza di proprieta’ esclusiva e non possono essere messi a disposizione per essere scaricati o per farne un uso remoto da parte della stazione appaltante; c) l’utilizzo di mezzi di comunicazione elettronici richiede attrezzature specializzate per ufficio non comunemente disponibili alle stazioni appaltanti; d) i documenti di gara richiedono la presentazione di un modello fisico o in scala ridotta che non puo’ essere trasmesso per mezzo di strumenti elettronici; e) l’uso di mezzi di comunicazione diversi dai mezzi elettronici e’ necessario a causa di una violazione della sicurezza dei mezzi di comunicazione elettronici ovvero per la protezione di informazioni di natura particolarmente sensibile che richiedono un livello talmente elevato di protezione da non poter essere adeguatamente garantito mediante l’uso degli strumenti e dispositivi elettronici che sono generalmente a disposizione degli operatori economici o che possono essere messi loro a disposizione mediante modalita’ alternative di accesso ai sensi del comma 6. 2. Nei casi in cui non sono utilizzati mezzi di comunicazione elettronici ai sensi del terzo periodo del comma 1, la comunicazione avviene per posta o altro idoneo supporto ovvero mediante una loro combinazione. 3. Le stazioni appaltanti indicano nella relazione unica i motivi per cui l’uso di mezzi di comunicazione diversi dai mezzi elettronici e’ stato ritenuto necessario in applicazione del comma 1, terzo periodo. 4. In deroga ai commi da 1 a 3, la comunicazione orale puo’ essere utilizzata in relazione a comunicazioni diverse da quelle relative agli elementi essenziali della procedura di appalto, purche’ il contenuto della comunicazione orale sia sufficientemente documentato. A tal fine, gli elementi essenziali della procedura di appalto includono i documenti di gara, le richieste di partecipazione, le conferme di interesse e le offerte. In particolare, le comunicazioni orali con offerenti che potrebbero incidere significativamente sul contenuto e la valutazione delle offerte sono documentate in misura sufficiente e con mezzi adeguati. 5. In tutte le comunicazioni, gli scambi e l’archiviazione di informazioni, le stazioni appaltanti garantiscono che l’integrita’ dei dati e la riservatezza delle offerte e delle domande di partecipazione siano mantenute. ((Esse esaminano)) il contenuto delle offerte e delle domande di partecipazione soltanto dopo la scadenza del termine stabilito per la loro presentazione. 6. Le stazioni appaltanti possono, se necessario, richiedere l’uso di strumenti e dispositivi che in genere non sono disponibili, ma, in tale caso, offrono modalita’ alternative di accesso. Sono adeguate modalita’ alternative di accesso quelle che: a)  offrono gratuitamente un accesso completo, illimitato e diretto per via elettronica a tali strumenti e dispositivi a decorrere dalla data di pubblicazione dell’avviso, conformemente all’allegato V o dalla data di invio dell’invito a confermare interesse. Il testo dell’avviso o dell’invito a confermare interesse indica l’indirizzo Internet presso il quale tali strumenti e dispositivi sono accessibili; b)  assicurano che gli offerenti, che non hanno accesso agli strumenti e ai dispositivi in questione o non hanno la possibilita’ di ottenerli entro i termini pertinenti, a condizione che la responsabilita’ del mancato accesso non sia attribuibile all’offerente interessato, possano accedere alla procedura di appalto utilizzando credenziali temporanee elettroniche per un’autenticazione provvisoria fornite gratuitamente online; c) offrono un canale alternativo per la presentazione elettronica delle offerte. 7. Le amministrazioni aggiudicatrici e gli enti aggiudicatori possono imporre agli operatori economici condizioni intese a proteggere il carattere di riservatezza delle informazioni che i predetti soggetti rendono disponibili durante tutta la procedura di appalto. 8. Oltre ai requisiti di cui all’allegato XI, agli strumenti e ai dispositivi di trasmissione e di ricezione elettronica delle offerte e di ricezione elettronica delle domande di partecipazione si applicano le seguenti regole: a) le stazioni appaltanti mettono a disposizione dei soggetti interessati le informazioni sulle specifiche per la presentazione di offerte e domande di partecipazione per via elettronica, compresa la cifratura e la datazione; b)  le stazioni appaltanti specificano il livello di sicurezza richiesto per i mezzi di comunicazione elettronici da utilizzare per le varie fasi della procedura d’aggiudicazione degli appalti. Il livello e’ proporzionato ai rischi connessi; c) qualora ritengano che il livello dei rischi, valutato ai sensi della lettera b), sia tale che sono necessarie firme elettroniche avanzate, come definite nel Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, le stazioni appaltanti accettano le firme elettroniche avanzate basate su un certificato qualificato, considerando se tali certificati siano forniti da un prestatore di servizi di certificazione presente in un elenco di fiducia di cui alla decisione della Commissione 2009/767/CE, create con o senza dispositivo per la creazione di una firma sicura alle seguenti condizioni: 1) le stazioni appaltanti stabiliscono il formato della firma elettronica avanzata sulla base dei formati stabiliti nelle regole tecniche adottate in attuazione del Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, e attuano le misure necessarie per poterli elaborare; qualora sia utilizzato un diverso formato di firma elettronica, la firma elettronica o il supporto del documento elettronico contiene informazioni sulle possibilita’ di convalida esistenti. Le possibilita’ di convalida consentono alla stazione appaltante di convalidare on line, gratuitamente e in modo comprensibile per i non madrelingua, le firme elettroniche ricevute come firme elettroniche avanzate basate su un certificato qualificato. Le stazioni appaltanti, tramite il coordinamento della Cabina di regia, comunicano le informazioni relative al fornitore di servizi di convalida alla Commissione europea che le pubblica su internet; 2) in caso di offerte firmate con il sostegno di un certificato qualificato in un elenco di fiducia, le stazioni appaltanti non applicano ulteriori requisiti che potrebbero ostacolare l’uso di tali firme da parte degli offerenti. 9. Riguardo ai documenti utilizzati nel contesto di una procedura di appalto che sono firmati dall’autorita’ competente o da un altro ente responsabile del rilascio, l’autorita’ o l’ente competente di rilascio puo’ stabilire il formato della firma elettronica avanzata in conformita’ ai requisiti previsti dalle regole tecniche adottate in attuazione del Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82. Essi si dotano delle misure necessarie per trattare tecnicamente tale formato includendo le informazioni necessarie ai fini del trattamento della firma nei documenti in questione. Tali documenti contengono nella firma elettronica o nel supporto del documento elettronico possibilita’ di convalida esistenti che consentono di convalidare le firme elettroniche ricevute on line, gratuitamente e in modo comprensibile per i non madre lingua. 10. Per le concessioni, fatti salvi i casi in cui l’uso dei mezzi elettronici e’ obbligatorio ai sensi del presente codice, le stazioni appaltanti possono scegliere uno o piu’ dei seguenti mezzi di comunicazione per tutte le comunicazioni e gli scambi di informazioni: a)  mezzi elettronici; b)  posta; c)  comunicazione orale, anche telefonica, per comunicazioni diverse da quelle aventi ad oggetto gli elementi essenziali di una procedura di aggiudicazione di una concessione e purche’ il contenuto della comunicazione orale sia sufficientemente documentato su un supporto durevole; d)  la consegna a mano comprovata da un avviso di ricevimento. 11. Nei casi di cui al comma 10, il mezzo di comunicazione scelto deve essere comunemente disponibile e non discriminatorio e non deve limitare l’accesso degli operatori economici alla procedura di aggiudicazione della concessione. Gli strumenti e i dispositivi da utilizzare per comunicare per via elettronica, nonche’ le relative caratteristiche tecniche, devono essere interoperabili con i prodotti della tecnologia dell’informazione e della comunicazione comunemente in uso. 12. Alle concessioni ((si applicano i commi 5 e 7)).

Vediamo ora il 5 bis del CAD che come sempre considero strumentale ad ogni procedimento.

Art. 5-bis (Comunicazioni tra imprese e amministrazioni pubbliche). 1. La presentazione di istanze, dichiarazioni, dati e lo scambio di informazioni e documenti, anche a fini statistici, tra le imprese e le amministrazioni pubbliche avviene esclusivamente utilizzando le tecnologie dell’informazione e della comunicazione. Con le medesime modalita’ le amministrazioni pubbliche adottano e comunicano atti e provvedimenti amministrativi nei confronti delle imprese. 2. Con decreto del Presidente del Consiglio dei Ministri, su proposta del Ministro per la pubblica amministrazione e l’innovazione, di concerto con il Ministro dello sviluppo economico e con il Ministro per la semplificazione normativa, sono adottate le modalita’ di attuazione del comma 1 da parte delle pubbliche amministrazioni centrali e fissati i relativi termini. 3. ((AgID)), anche avvalendosi degli uffici di cui all’articolo 17, provvede alla verifica dell’attuazione del comma 1 secondo le modalita’ e i termini indicati nel decreto di cui al comma 2. 4. Il Governo promuove l’intesa con regioni ed enti locali in sede di Conferenza unificata per l’adozione degli indirizzi utili alla realizzazione delle finalita’ di cui al comma 1.

Come ulteriore riferimento per capire cosa si intende per procedura telematica è importante il CdS n. 4050 del 2016 che crea una discriminante importante , non basta l’utilizzo non armonico degli strumenti del CAD ( Firma, PEC , Mt etc ), ma è necessaria una piattaforma capace di gestire le procedure ed automatizzare le proposte discrezionali ed inoltre detti dall’alto i tempi di apertura, invito, caricamento etc etc. Allego la sentenza.

E’ importante ribadire che vige ancora l’articolo 1 comma 450 della L. 296/06.

Una cosa importante da chiarire è che il 18 ottobre è entrato in vigore solo l’articolo 40 del D.lgs 50/2016 e non il 44 , per il quale siamo in attesa di ulteriori disposizioni e regole tecniche.

Per riepilogare , e soprattutto tranquilizzare ricordo che sarà tutto piû semplice quando l’ANAC finalmente farà partire la BDNOE, nel frattempo si dovranno utilizzare  le solite procedure e… come sempre nulla di nuovo , occorre solo applicare il combinato articolo 29 del D.lgs 50/16 e 37 del D.lgs 33/13 tenendo conto del CAD.

Tutti i miei clienti otterranno nella relazione finale GDPR-ACCESSIBILITA’-TRASPARENZA una relazione puntuale sullo stato degli adempimenti.

Tempo stimato…. BEFANA 2019.

Buona Digital Commedia.

COLLEGAMENTI TRA TRASPARENZA E GDPR nel PNA 2018 .Bang !!! SLAAAAAM , SIGH!!! RDP, RPCT, RDP, DPO, GDPR , PNA. IL PNA 2018.

Il PNA 2018, contiene alcuni chiarimenti in merito al DPO ,al RPCT ed alla possibile coincidenza delle due figure.

Ovviamente tale degenerazione è possibile solo qualora si volesse scegliere un DPO interno, possibile ma non performante, infatti all’ultimo capoverso della pagina 16 dell’aggiornamento 2018 al PNA sconsiglia questa scelta.

Nel PNA non poteva mancare il collegamento tra la trasparenza ed il GDPR, questo perchè purtroppo ancora non è chiara la portata della norma, si continua a pensare al GDPR come regolamento PRIVACY, e non protezione dei dati e libera circolazione degli stessi.

Quindi, l’amministrazione trasparente resta integra e non si muove dal suo posto, l’importante e seguire i dettami della legge ( attenzione del 33/13 e non del GDPR che ci delinea dei perimetri e che rimanda a leggi e regolamenti ) .

Il riferimento normativo resta l’articolo 7 comma 4 del 33/13.

ciao ciao vicnenzo de prisco

D.lgs 106/2018 e PERFORMANCE. La nuova Legge STANCA per i siti web e non solo…

La legge 4/2004, nota come STANCA, anteriore al CAD, ha fatto che l’ITALIA divenisse un punto di riferimento nell’ambito del diritto all’informazione accessibile a persone con disabilità e che i dipendenti delle PP.AA con le stesse problematiche potessero  essere agevolate nelle operazioni lavorative.

L’accessibilità non è concetto a se stante individuato solo nella legge stanca ( e poi nella modifica contenuta nel D.lgs 106/18) ma è diventata elemento caratterizzante diverse decisioni legislative.

Una figura fondamentale per l’attuazione del diritto all’accessibilità è il RTD, infatti all’articolo 17 comma 1 lett d del CAD troviamo che deve promuovere 

l’ accesso dei soggetti disabili agli strumenti informatici e promozione dell’accessibilita’ anche in attuazione di quanto previsto dalla legge 9 gennaio 2004, n. 4;

L’accessibilità, gli obiettivi della stessa norma, sono contenuti in via di principio ( costituzionale , articolo 3) nel primo articolo della L. 4/2004 che non ha subito grandi modifiche dal D.lgs 106/18.

Art. 1. (Obiettivi e finalita) 1. La Repubblica riconosce e tutela il diritto di ogni persona ad accedere a tutte le fonti di informazione e ai relativi servizi, ivi compresi quelli che si articolano attraverso gli strumenti informatici e telematici. 2. E’ tutelato e garantito, in particolare, il diritto di accesso ai servizi informatici e telematici della pubblica amministrazione e ai servizi di pubblica utilita’ da parte delle ((persone con disabilita’)), in ottemperanza al principio di uguaglianza ai sensi dell’articolo 3 della Costituzione.

Il diritto all’usabilità ed all’accessibilità non si limita al ‘ CONTENITORE SITO WEB  ISTITUZIONALE , ma in maniera pervasiva si applica anche al contenuto, infatti ci sono richiami sia nella pubblicità notiziale ( amministrazione trasaparente ) all’articolo 6 del D.lgs 33/13

Art. 6 Qualita’ delle informazioni 1. Le pubbliche amministrazioni garantiscono la qualita’ delle informazioni riportate nei siti istituzionali nel rispetto degli obblighi di pubblicazione previsti dalla legge, assicurandone l’integrita’, il costante aggiornamento, la completezza, la tempestivita’, la semplicita’ di consultazione, la comprensibilita’, l’omogeneita’, la facile accessibilita’, nonche’ la conformita’ ai documenti originali in possesso dell’amministrazione, l’indicazione della loro provenienza e la riutilizzabilita’ secondo quanto previsto dall’articolo 7. 2. L’esigenza di assicurare adeguata qualita’ delle informazioni diffuse non puo’, in ogni caso, costituire motivo per l’omessa o ritardata pubblicazione dei dati, delle informazioni e dei documenti.

che alla pubblicità legale propria dell’articolo 32 della L. 69/09, norma istitutiva della pubblicità legale on line ( ALBO PRETORIO ON LINE )

Art. 32. (Eliminazione degli sprechi relativi al mantenimento di documenti in forma cartacea) 1. A far data dal 1° gennaio 2010, gli obblighi di pubblicazione di atti e provvedimenti amministrativi aventi effetto di pubblicita’ legale si intendono assolti con la pubblicazione nei propri siti informatici da parte delle amministrazioni e degli enti pubblici obbligati. ((La pubblicazione e’ effettuata nel rispetto dei principi di eguaglianza e di non discriminazione, applicando i requisiti tecnici di accessibilita’ di cui all’articolo 11 della legge 9 gennaio 2004, n. 4. La mancata pubblicazione nei termini di cui al periodo precedente e’ altresi’ rilevante ai fini della misurazione e della valutazione della performance individuale dei dirigenti responsabili)).

E’ importante sottolineare come il legislatore  abbia voluto legare gli adempimenti sull’accessibilità con le performance del D.Lgs 150/09.

Inutile ricordare che ovviamente anche il CAD, articolo 53 c.1 ha imposto l’adeguamneto dei siti web alla l. 4/2004 ( cfr articolo 53 c.1.)

Art. 53 Siti Internet delle pubbliche amministrazioni 1. Le pubbliche amministrazioni realizzano siti istituzionali su reti telematiche che rispettano i principi di accessibilita’, nonche’ di elevata usabilita’ e reperibilita’, anche da parte delle persone disabili, completezza di informazione, chiarezza di linguaggio, affidabilita’, semplicita’ di’ consultazione, qualita’, omogeneita’ ed interoperabilita’. Sono in particolare resi facilmente reperibili e consultabili i dati di cui all’articolo 54.

Nell’attesa dell’emanazione delle linee guida dell’Agid previste dall’articolo 11 della L. 4/2004 iniziamo a prepararci lehgendo l’articolo 3 bis dell novellata Legge Stanca, evidenziando, anche se superfluo, che i destinatari degli dempimenti sono i soggetti contenuti nell’articolo 1 comma 2 del D.Lgs 165/01 ( estesi ) ma anche, qui la grossa novità, ancje le imprese di ogni dimensione che ricevono finanziamenti pubblici per l’adeguamento dei sistemi informativi .

Art. 3-bis. (( (Principi generali per l’accessibilita’). )) ((1. I siti web e le applicazioni mobili dei soggetti erogatori, sono accessibili se sono percepibili, utilizzabili, comprensibili e solidi. 2. Sono accessibili i servizi realizzati tramite sistemi informatici, inclusi i siti web e le applicazioni mobili, che presentano i seguenti requisiti: a) accessibilita’ al contenuto del servizio da parte dell’utente; b) fruibilita’ delle informazioni offerte, caratterizzata da: 1) facilita’ e semplicita’ d’uso, assicurando, fra l’altro, che le azioni da compiere per ottenere servizi e informazioni siano sempre uniformi tra loro; 2) efficienza nell’uso, assicurando, fra l’altro, la separazione tra contenuto, presentazione e modalita’ di funzionamento delle interfacce, nonche’ la possibilita’ di rendere disponibile l’informazione attraverso differenti canali sensoriali; 3) efficacia nell’uso e rispondenza alle esigenze dell’utente, assicurando, fra l’altro, che le azioni da compiere per ottenere in modo corretto servizi e informazioni siano indipendenti dal dispositivo utilizzato per l’accesso; 4) soddisfazione nell’uso, assicurando, fra l’altro, l’accesso al servizio e all’informazione senza ingiustificati disagi o vincoli per l’utente. 3. Con le linee guida adottate ai sensi dell’articolo 11, sono individuate le regole tecniche necessarie per garantire il rispetto dei principi e dei requisiti di accessibilita’ di cui ai commi 1 e 2.))

L’articolo 3 ter , invece parla di una deroga all’adempimento quando lo sforzo ( organizzativo, tecnologico, economico ) è spoporzionato secondo una parametrizzazione che verrà comunque data dall’AGID nelle LL.GG articolo 11.

Al 3 quater si riprende la rendicontazione ( da fare con la dichiarazione di accessibilità ) ed entra in gioco anche il difensore civico digitale ( che con il D.lgs 217/2017 è centrale unico ed indipendente e siede tra le file dell’AGID) .

Andando verso la chiusura ricordo che l’articolo 4 della Stanca impone che già in fase di progettazione dell’acquisto di web, software e servizi mobili occorre tener conto dei principi di accessibilità, ugual discorso per il rinnovo degli stessi servizi.

L’articolo 8 evidenzial l’importanza della formazione,



Art. 8. (Formazione) 1. Le amministrazioni di cui all’articolo 3, comma 1, nell’ambito delle attivita’ di cui al comma 4 dell’articolo 7 del decreto legislativo 30 marzo 2001, n. 165, nonche’ dei corsi di formazione organizzati dalla Scuola superiore della pubblica amministrazione, e nell’ambito delle attivita’ per l’alfabetizzazione informatica dei pubblici dipendenti di cui all’articolo 27, comma 8, lettera g), della legge 16 gennaio 2003, n. 3, inseriscono tra le materie di studio a carattere fondamentale le problematiche relative all’accessibilita’ e alle tecnologie assistive. 2. La formazione professionale di cui al comma 1 e’ effettuata con tecnologie accessibili. 3. Le amministrazioni di cui all’articolo 3, comma 1, nell’ambito delle disponibilita’ di bilancio, predispongono corsi di aggiornamento professionale sull’accessibilita’ ((, ivi inclusi quelli relativi alle modalita’ di creazione, gestione ed aggiornamento di contenuti accessibili dei siti web e delle applicazioni mobili)).

mentre l’articolo 9 ricorda della rilevanza sulla performance e della responsabilita’ amministrativa e dirigenziale degli articoli 21 e 55 del D.lgs 165/01.

Iniziamo un nuovo viaggio insieme.

​La programmazione biennale degli acquisti di beni e servizi. L’ art 21 D.Lgs 50/16 e decreto MIT 14/2018

Con il decreto MIT del 16/01/18, il  numero 14 , si rende finalmente operativo l’articolo 21 del D.Lgs 50/16, sarà infatti questo il primo anno di programmaizone economica degli acquisti di beni e servizi  su base biennale.

Analizziamo qualche aspetto dell’articolo 21 .

 Art. 21 
 
 
(( (Programma degli acquisti e programmazione dei lavori pubblici) )) 
 
  1. Le amministrazioni aggiudicatrici adottano il programma biennale
degli acquisti di beni e servizi e il programma triennale dei  lavori
pubblici, nonche' i relativi aggiornamenti annuali. I programmi  sono
approvati nel rispetto dei documenti programmatori e in coerenza  con
il  bilancio  ((e,  per  gli  enti  locali,  secondo  le  norme   che
disciplinano la programmazione economico-finanziaria degli enti)). 

Al primo comma è chiaro che gli strumenti propri dell programmazioen restano incardinati sulle norme specifiche, infatti l’obbligatorietà della programmazione del D.lgs 50/16 spinge ad uniformare i soli processi di pubbicazione senza incidere, ovviamente sugli strumenti propri di ogni Ente .

Inoltre occorre evidenziare che l’obbligo è delle amministrazini aggiudicatrici e non delle singole SA , quindi in caso di Enti complessi costituiti da più SA la programmazione deve essere aggregata ai fini dell’articolo 21, si pensi a strutture complesse come le aziende sanitarie od enti locali .

Ovviamente nella prorammazione dei beni e dei servizi dell’area ICT occorre tenere conto dell’articolo 1 comma 513 della L. 208/15, che riporto per semplicità di lettura :

L'Agenzia per l'Italia digitale  (Agid)  predispone  il  Piano
triennale per l'informatica nella  pubblica  amministrazione  che  e'
approvato dal Presidente del Consiglio dei ministri  o  dal  Ministro
delegato. Il Piano contiene, per ciascuna amministrazione o categoria
di amministrazioni, l'elenco dei beni  e  servizi  informatici  e  di
connettivita' e dei relativi costi, suddivisi in spese  da  sostenere
per innovazione  e  spese  per  la  gestione  corrente,  individuando
altresi' i beni e servizi la  cui  acquisizione  riveste  particolare
rilevanza strategica. 

E’ anche opprotuno non considerare la programmazione come un peso ulteriore, un atto programmatico sterile e foriero di problemi applicativi, deve essere vista come strumento di budget e di razionalizzazione, programmiamo bene ed iniziamo anche a qualificare i possibili OE per avere un lavoro in discesa, leghiamo quindi la programmazione biennale con la progettazione degli acquisti ( e restando sembre in ambito di informatica giuridica chiedete sempre aiuto al vostro RTD ).

Vediamo ora lo strumento del MIT attuativo dell’articolo 21, cioè l’articolo 6 del decreto 14/18.

 Art. 6 
 
 
Contenuti, ordine di priorita' del programma biennale degli  acquisti
                       di forniture e servizi 
 
  1. Le amministrazioni, secondo i propri ordinamenti e  fatte  salve
le competenze legislative  e  regolamentari  delle  regioni  e  delle
province autonome  in  materia,  adottano,  nel  rispetto  di  quanto
previsto dall'articolo 21, comma 1, secondo periodo, del  codice,  il
programma biennale degli acquisti di forniture e  servizi  nonche'  i
relativi elenchi annuali e aggiornamenti  annuali  sulla  base  degli
schemi-tipo allegati al presente decreto  e  parte  integrante  dello
stesso.  Le  amministrazioni,  ai  fini  della  predisposizione   del
programma biennale degli  acquisti  di  forniture  e  servizi  e  dei
relativi elenchi annuali e  aggiornamenti  annuali,  consultano,  ove
disponibili,  le  pianificazioni   delle   attivita'   dei   soggetti
aggregatori e delle  centrali  di  committenza,  anche  ai  fini  del
rispetto degli obblighi di utilizzo di strumenti  di  acquisto  e  di
negoziazione  previsti  dalle  vigenti  disposizioni  in  materia  di
contenimento della spesa. 
  2. Gli schemi-tipo per la programmazione biennale degli acquisti di
forniture e servizi di cui  all'Allegato  II  sono  costituiti  dalle
seguenti schede: 
    a) A: quadro delle risorse necessarie alle acquisizioni  previste
dal programma, articolate per annualita' e fonte di finanziamento; 
    b) B: elenco degli acquisti del programma con  indicazione  degli
elementi essenziali per la loro  individuazione.  Nella  scheda  sono
indicati le forniture e i servizi connessi ad un lavoro di  cui  agli
articoli da 3 a 5, riportandone il relativo CUP, ove previsto; 
    c)  C:  elenco   degli   acquisti   presenti   nella   precedente
programmazione biennale nei casi previsti dal comma  3  dell'articolo
7. 
  3. I soggetti  che  gestiscono  i  siti  informatici  di  cui  agli
articoli 21, comma 7 e 29 del codice,  assicurano  la  disponibilita'
del  supporto  informatico  per  la  compilazione  degli  schemi-tipo
allegati al presente decreto. 
  4. Ogni acquisto di forniture e servizi riportato nel programma  di
cui al comma 1 e' individuato univocamente dal CUI. Per ogni acquisto
per il quale e' previsto, e' riportato  il  CUP.  Entrambi  i  codici
vengono mantenuti nei programmi  biennali  nei  quali  l'acquisto  e'
riproposto, salvo modifiche sostanziali del progetto che ne  alterino
la possibilita' di precisa individuazione. 
  5. Per gli acquisti di cui al comma 1, nel programma biennale  sono
riportati  gli  importi  degli  acquisti  di  forniture   e   servizi
risultanti dalla  stima  del  valore  complessivo,  ovvero,  per  gli
acquisti di forniture e servizi ricompresi nell'elenco  annuale,  gli
importi del prospetto economico delle acquisizioni medesime. 
  6. Il programma biennale contiene altresi'  i  servizi  di  cui  al
comma  11  dell'articolo  23  del   codice   nonche'   le   ulteriori
acquisizioni di forniture e servizi connessi  alla  realizzazione  di
lavori previsti nella programmazione triennale dei lavori pubblici  o
di  altre  acquisizioni  di  forniture  e  servizi   previsti   nella
programmazione biennale. Gli importi relativi  a  tali  acquisizioni,
qualora  gia'  ricompresi  nell'importo  complessivo  o  nel   quadro
economico del lavoro o acquisizione ai quali sono connessi, non  sono
computati ai fini della quantificazione delle risorse complessive del
programma di cui alla scheda A dell'Allegato II. 
  7. Le acquisizioni di forniture e servizi di cui al  comma  6  sono
individuate da un proprio CUI e sono associate al CUI e al  CUP,  ove
previsto, del lavoro o dell'acquisizione al quale sono connessi. 

Quest’articolo che sembra complicarci la vita, beh, forse lo fa , ci rende gli strumenti di lavoro necessari per adempiere alla pubblicazione della programmazione, e soprattutto introduce un nuovo identificativo , il Codice Unico di Intervento ( CUI ) che può essere anche associato al più noto e rognoso Codice Unico Progetto ( CUP ) del CIPE.

Analizziamo un solo istante il formalismo del CUI, tanto sarà un nuovo codice col quale lavoreremo, è costituito da una lettera ( F di forniture o S di servizi ) , il CF dell’amministrazione aggiudicatrice, l’anno dell’intervento programmato ed un progressivo in ragione naturale .

Ritornando al sesto articolo del decreto MIT 14/18 , vi troviamo lo strumento fondamentale della programmazione biennale, l’allegato2 , costiutito da tre schede di lavoro, A,B e C, vediamole :

Il primo passo compilativo della scheda, poi vediamo tecnicamente come fare,  ha valore di armonizzazione con il piano strategico dell’ente e con il documento di programmazione tradizionale, si tratta in esrema sintesi delle fonti di coperture normali e meno ( 191 del 50 ed articolo 3 DL 310/90 entrate su gestione del patrimonio immobiliare) .

La scheda B, esplode ed analizza quanto gestito solo come flusso di cassa dalla scheda A, analizziamo solo qualche particolarità :

– CUI, già trattato , sarà un nuovo caro amico

– Prima annualità …. , la prima volta che appare nel piano ex articolo 21

– Annualità nella quale si prevede di dare avvio, in sintesi l’anno in cui si procederà a determinare

–  CUP, qualora il bene / servizio sia assoggettato al CUP ( sia master che proprio) , il sistema MIT è collegato al CIPE, quindi ci sono i controlli   incrociati tra CUI e CUP, ovviamente il CUP non è obbligatorio qualora non ricorrano gli estremi dell’articolo 11 della L. 3/3003 e deliberazione CIPE 24/2004.

– Acquisto ricompreso…. e CUI , evidentemente sono legati e serve per alcuni scomputi al fine della quadratura e dell’armonizzazione

– CPV , attenzione è sempre fastidioso individuare il CPV, se soggetto a CUP confrontore con il CUP generato

– Livello di priorità , riporto il decimo comma dell’articolo 6 decreto MIT 14/18

10. Il programma biennale degli acquisti  di  forniture  e  servizi
riporta l'ordine di priorita'. Nell'ambito  della  definizione  degli
ordini di priorita' le amministrazioni individuano come prioritari  i
servizi  e  le  forniture  necessari  in  conseguenza  di   calamita'
naturali, per garantire gli interessi pubblici primari, gli  acquisti
aggiuntivi per il completamento di forniture o  servizi,  nonche'  le
forniture e i servizi cofinanziati con fondi europei, e le  forniture
e i servizi per i quali ricorra la possibilita' di finanziamento  con
capitale privato maggioritario. 

I campi sopra descritti sono solo quelli critici, gli altri richiedono informazioni ormai comuni.

Ultima precisazione sulla scheda B dell’allegato 2, qualora si faccia ricorso alle CUC occorre nel rigo di riferimento dell’acquisto inserire il codice AUSA.

La scheda C dell’allegato 2 sarà da utilizzare nell’invio del 2019 per rettificare il piano 2018-2020.

Ora cerchiamo operativamente di capire come proseguire.

Prima cosa, puntare su www.serviziocontrattipubblici.it e registrarsi .

Appare l’avviso per i vecchi registrati ad AliProg4

ATTENZIONE: il servizio AliProg4 è stato dismesso!

Gli utenti che hanno utilizzato AliProg4 per la pubblicazione sul servizio SCP e risultano abilitati al servizio ad agosto 2018, possono accedere direttamente dai link sotto elencati al nuovo servizio Programmazione. Troveranno nel nuovo sistema i dati dei programmi pregressi.

Gli utenti che hanno utilizzato AliProg4 per l’esportazione del file XML potranno accedervi ancora da qui fino a dicembre 2018, per recuperare gli eventuali dati esportandoli in formato XML. Oltre tale periodo il servizio verrà definitivamente dismesso e non saranno più recupeabili i dati.

Poi selezioniamo la regione di appartenenza della PA

Ed indichiamo che si tratta di una nuova registrazione o subentro

A questo punto si procede con la compilazione dei form necessaria a generare il file da firmare digitalmente e caricare sul sistema.

Terminata la fase di reigistrazione si può accedere all’applicativo MIT

Nell’applicativo occorre inserire il nuovo acquisto e compilare le diverse schermate ( che andranno a generare le schede A e B dell’allegato 2)

Come si può vedere il sistema insiste molto sulla differenza tra le voci ecomoniche e finanziarie di progetto e programmazione per una migliori gestione del bilancio pervisionale ( di raccordo ).

Ad ogni inserimento conviene utilizzare la procedure CONTROLLO DATI INSERITI, il report che ne esce è davvero utile

Terminate le fasi di inserimento del progetto ( A ) e degli investimenti prospettici ( B ) si può procedere con la funzione di pubblicazione con il tasto PUBBLICA

ricordando però che la pubblicazione avviene solo sul SCP e che sarà nostro onere pubblicare anche sulla nostra amministrazione trasparente utilizzando anche il sistema di restituzione di link ex articolo 9 bis comma 2 d.lgs 33/13.

Per la pubblicazione triennale dei lavori , cambiano i link ma le procedure sono le stesse ed occorre fare riferimento all’allegato 1 del decreto MIT.

In allegato il MIT 14/2018.

Vista la fretta il presente è da considerarsi come bozza ( per gli errori di digitazione che non ho voglia di controlalre ) .

In caso di dubbi , i miei contatti li conoscete.

Buon ponte di ognissanti, forse leggendo il post qualche santo verrà evocato.

E se fossimo noi i Responsabili GDPR ? Un caso concreto.

Il responsabile del trattamento ( che come è stato ulteriormente chiarito dal D.Lgs 101/18 è diverso dal responsabile “interno” del codice d.lgs 196/03, tanto che l’articolo 27 ne abroga il contenuto ) è una sorta di terzista del trattamento . Negli enti locali ( invero in tutte le strutture complesse ), diamo per scontato di essere  sempre i nominanti verso terzi di una lettera ex art 28 GDPR.

In realtà puo capitare di essere nominati , perchè per conto di altra PA trattiamo i  dati, ad esempio in forza di un accordo ex articolo 15 l. 241/90.

Un esempio ? L’ISTAT nomina il Comune di Paperopoli responsabile per taluni censimenti ( raccolta ). In questo caso il Comune di Paperopoli deve redigere un ulteriore registro delle attivita ( articolo 30 paragrafo 2 del GDPR) .

Nella lettera di nomina del titolare ( che ricordo non è il Comune di Paperopoli, ma l’ISTAT ) ci devono essere tutte le indiacazioni dell’articolo 28 e le indicazioni indispensabili per il corretto trattamento . La nomina deve essere in forma scritta ( come da articolo 20 comma 1 bis D.lgs 82/05) .

Resta inteso che gli obblighi contenuti nell’articolo 28 della L. 241/90 restano in capo al dipendnete designato incaricato dal responsabile.

Appresso l’articolo 28 del GDPR

Articolo 28

Responsabile del trattamento

1.   Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

2.   Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.

3.   I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:

a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;
b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
c) adotti tutte le misure richieste ai sensi dell’articolo 32;
d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;
e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;
f) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati; e
h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.

Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.

4.   Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.

5.   L’adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo.

6.   Fatto salvo un contratto individuale tra il titolare del trattamento e il responsabile del trattamento, il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 del presente articolo può basarsi, in tutto o in parte, su clausole contrattuali tipo di cui ai paragrafi 7 e 8 del presente articolo, anche laddove siano parte di una certificazione concessa al titolare del trattamento o al responsabile del trattamento ai sensi degli articoli 42 e 43.

7.   La Commissione può stabilire clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo e secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.

8.   Un’autorità di controllo può adottare clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo in conformità del meccanismo di coerenza di cui all’articolo 63.

9.   Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è stipulato in forma scritta, anche in formato elettronico.

10.   Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione.

(Obbligo di uso dei mezzi di comunicazione elettronici nello svolgimento di procedure di aggiudicazione)

OGGI,  18 Ottobre entra in vigore l’articolo 40 del D.lgs 50/16.

Art. 40 (Obbligo di uso dei mezzi di comunicazione elettronici nello svolgimento di procedure di aggiudicazione) 1. Le comunicazioni e gli scambi di informazioni nell’ambito delle procedure di cui al presente codice svolte da centrali di committenza sono eseguiti utilizzando mezzi di comunicazione elettronici ai sensi dell’articolo 5-bis del decreto legislativo 7 marzo 2005, n. 82, Codice dell’amministrazione digitale. 2. A decorrere dal 18 ottobre 2018, le comunicazioni e gli scambi di informazioni nell’ambito delle procedure di cui al presente codice svolte dalle stazioni appaltanti sono eseguiti utilizzando mezzi di comunicazione elettronici.

Le comunicazione ed i mezzi di comunicazione elttronici sono quelli disciplinati dall’articolo 52 che richiama ovviamente i proncipi del CAD

Art. 52 (Regole applicabili alle comunicazioni) 1. Nei settori ordinari e nei settori speciali, tutte le comunicazioni e gli scambi di informazioni di cui al presente codice sono eseguiti utilizzando mezzi di comunicazione elettronici in conformita’ con quanto disposto dal presente comma e dai commi da 2 a 9, nonche’ dal Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82. Gli strumenti e i dispositivi da utilizzare per comunicare per via elettronica, nonche’ le relative caratteristiche tecniche, hanno carattere non discriminatorio, sono comunemente disponibili e compatibili con i prodotti TIC generalmente in uso e non limitano l’accesso degli operatori economici alla procedura di aggiudicazione. In deroga al primo e secondo periodo, le stazioni appaltanti non sono obbligate a richiedere mezzi di comunicazione elettronici nella procedura di presentazione dell’offerta esclusivamente nelle seguenti ipotesi: a) a causa della natura specialistica dell’appalto, l’uso di mezzi di comunicazione elettronici richiederebbe specifici strumenti, dispositivi o formati di file che non sono in genere disponibili o non sono gestiti dai programmi comunemente disponibili; b) i programmi in grado di gestire i formati di file, adatti a descrivere l’offerta, utilizzano formati che non possono essere gestiti mediante altri programmi aperti o generalmente disponibili ovvero sono protetti da licenza di proprieta’ esclusiva e non possono essere messi a disposizione per essere scaricati o per farne un uso remoto da parte della stazione appaltante; c) l’utilizzo di mezzi di comunicazione elettronici richiede attrezzature specializzate per ufficio non comunemente disponibili alle stazioni appaltanti; d) i documenti di gara richiedono la presentazione di un modello fisico o in scala ridotta che non puo’ essere trasmesso per mezzo di strumenti elettronici; e) l’uso di mezzi di comunicazione diversi dai mezzi elettronici e’ necessario a causa di una violazione della sicurezza dei mezzi di comunicazione elettronici ovvero per la protezione di informazioni di natura particolarmente sensibile che richiedono un livello talmente elevato di protezione da non poter essere adeguatamente garantito mediante l’uso degli strumenti e dispositivi elettronici che sono generalmente a disposizione degli operatori economici o che possono essere messi loro a disposizione mediante modalita’ alternative di accesso ai sensi del comma 6. 2. Nei casi in cui non sono utilizzati mezzi di comunicazione elettronici ai sensi del terzo periodo del comma 1, la comunicazione avviene per posta o altro idoneo supporto ovvero mediante una loro combinazione. 3. Le stazioni appaltanti indicano nella relazione unica i motivi per cui l’uso di mezzi di comunicazione diversi dai mezzi elettronici e’ stato ritenuto necessario in applicazione del comma 1, terzo periodo. 4. In deroga ai commi da 1 a 3, la comunicazione orale puo’ essere utilizzata in relazione a comunicazioni diverse da quelle relative agli elementi essenziali della procedura di appalto, purche’ il contenuto della comunicazione orale sia sufficientemente documentato. A tal fine, gli elementi essenziali della procedura di appalto includono i documenti di gara, le richieste di partecipazione, le conferme di interesse e le offerte. In particolare, le comunicazioni orali con offerenti che potrebbero incidere significativamente sul contenuto e la valutazione delle offerte sono documentate in misura sufficiente e con mezzi adeguati. 5. In tutte le comunicazioni, gli scambi e l’archiviazione di informazioni, le stazioni appaltanti garantiscono che l’integrita’ dei dati e la riservatezza delle offerte e delle domande di partecipazione siano mantenute. ((Esse esaminano)) il contenuto delle offerte e delle domande di partecipazione soltanto dopo la scadenza del termine stabilito per la loro presentazione. 6. Le stazioni appaltanti possono, se necessario, richiedere l’uso di strumenti e dispositivi che in genere non sono disponibili, ma, in tale caso, offrono modalita’ alternative di accesso. Sono adeguate modalita’ alternative di accesso quelle che: a)  offrono gratuitamente un accesso completo, illimitato e diretto per via elettronica a tali strumenti e dispositivi a decorrere dalla data di pubblicazione dell’avviso, conformemente all’allegato V o dalla data di invio dell’invito a confermare interesse. Il testo dell’avviso o dell’invito a confermare interesse indica l’indirizzo Internet presso il quale tali strumenti e dispositivi sono accessibili; b)  assicurano che gli offerenti, che non hanno accesso agli strumenti e ai dispositivi in questione o non hanno la possibilita’ di ottenerli entro i termini pertinenti, a condizione che la responsabilita’ del mancato accesso non sia attribuibile all’offerente interessato, possano accedere alla procedura di appalto utilizzando credenziali temporanee elettroniche per un’autenticazione provvisoria fornite gratuitamente online; c) offrono un canale alternativo per la presentazione elettronica delle offerte. 7. Le amministrazioni aggiudicatrici e gli enti aggiudicatori possono imporre agli operatori economici condizioni intese a proteggere il carattere di riservatezza delle informazioni che i predetti soggetti rendono disponibili durante tutta la procedura di appalto. 8. Oltre ai requisiti di cui all’allegato XI, agli strumenti e ai dispositivi di trasmissione e di ricezione elettronica delle offerte e di ricezione elettronica delle domande di partecipazione si applicano le seguenti regole: a) le stazioni appaltanti mettono a disposizione dei soggetti interessati le informazioni sulle specifiche per la presentazione di offerte e domande di partecipazione per via elettronica, compresa la cifratura e la datazione; b)  le stazioni appaltanti specificano il livello di sicurezza richiesto per i mezzi di comunicazione elettronici da utilizzare per le varie fasi della procedura d’aggiudicazione degli appalti. Il livello e’ proporzionato ai rischi connessi; c) qualora ritengano che il livello dei rischi, valutato ai sensi della lettera b), sia tale che sono necessarie firme elettroniche avanzate, come definite nel Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, le stazioni appaltanti accettano le firme elettroniche avanzate basate su un certificato qualificato, considerando se tali certificati siano forniti da un prestatore di servizi di certificazione presente in un elenco di fiducia di cui alla decisione della Commissione 2009/767/CE, create con o senza dispositivo per la creazione di una firma sicura alle seguenti condizioni: 1) le stazioni appaltanti stabiliscono il formato della firma elettronica avanzata sulla base dei formati stabiliti nelle regole tecniche adottate in attuazione del Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, e attuano le misure necessarie per poterli elaborare; qualora sia utilizzato un diverso formato di firma elettronica, la firma elettronica o il supporto del documento elettronico contiene informazioni sulle possibilita’ di convalida esistenti. Le possibilita’ di convalida consentono alla stazione appaltante di convalidare on line, gratuitamente e in modo comprensibile per i non madrelingua, le firme elettroniche ricevute come firme elettroniche avanzate basate su un certificato qualificato. Le stazioni appaltanti, tramite il coordinamento della Cabina di regia, comunicano le informazioni relative al fornitore di servizi di convalida alla Commissione europea che le pubblica su internet; 2) in caso di offerte firmate con il sostegno di un certificato qualificato in un elenco di fiducia, le stazioni appaltanti non applicano ulteriori requisiti che potrebbero ostacolare l’uso di tali firme da parte degli offerenti. 9. Riguardo ai documenti utilizzati nel contesto di una procedura di appalto che sono firmati dall’autorita’ competente o da un altro ente responsabile del rilascio, l’autorita’ o l’ente competente di rilascio puo’ stabilire il formato della firma elettronica avanzata in conformita’ ai requisiti previsti dalle regole tecniche adottate in attuazione del Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82. Essi si dotano delle misure necessarie per trattare tecnicamente tale formato includendo le informazioni necessarie ai fini del trattamento della firma nei documenti in questione. Tali documenti contengono nella firma elettronica o nel supporto del documento elettronico possibilita’ di convalida esistenti che consentono di convalidare le firme elettroniche ricevute on line, gratuitamente e in modo comprensibile per i non madre lingua. 10. Per le concessioni, fatti salvi i casi in cui l’uso dei mezzi elettronici e’ obbligatorio ai sensi del presente codice, le stazioni appaltanti possono scegliere uno o piu’ dei seguenti mezzi di comunicazione per tutte le comunicazioni e gli scambi di informazioni: a)  mezzi elettronici; b)  posta; c)  comunicazione orale, anche telefonica, per comunicazioni diverse da quelle aventi ad oggetto gli elementi essenziali di una procedura di aggiudicazione di una concessione e purche’ il contenuto della comunicazione orale sia sufficientemente documentato su un supporto durevole; d)  la consegna a mano comprovata da un avviso di ricevimento. 11. Nei casi di cui al comma 10, il mezzo di comunicazione scelto deve essere comunemente disponibile e non discriminatorio e non deve limitare l’accesso degli operatori economici alla procedura di aggiudicazione della concessione. Gli strumenti e i dispositivi da utilizzare per comunicare per via elettronica, nonche’ le relative caratteristiche tecniche, devono essere interoperabili con i prodotti della tecnologia dell’informazione e della comunicazione comunemente in uso. 12. Alle concessioni ((si applicano i commi 5 e 7)).

Deve essere chiara una cosa fondamentale, facciamo attenzione e tranquilizziamoci, questa norma non è dirompente ( anzi come già richiesto dall’ANCI probabilemnte verrà cassata nella modifica al Codice) ma analizziamola bene .

queste norme, sono di stretta derivazione comunitaria ed attuano gli articoli 22 ( regole delle comunicazioni ) e 90 ( periodo transitorio ) della direttiva 2014/24/UE per le gestioni ordinarie .e trovano chiara ed immediata applicazione, senza deroga alcuna , alle procedure soprasoglia dell’articolo 35 del codice appalti.

Si ricorda infatti , che la prassi è quella di utilizzare gli stumenti elettronici di CONSIP e MEPA per le procedure rientrante invece nel sottosoglia .

Quindi nella maggior parte dei casi non cambia nulla.

Ora sorge la domanda di chi pratica gli acquisti tutti i giorni, quelli c.d. bagatellari, gli infa 1000 Euro.

No, anche in questo caso non cambia nulla essendo salvo il contenuto ( norma speciale ) dell’articolo 1 comma 450 L 296/06, lo stesso vale per le scuole, anzi per maggiore chiarezza riporto il testo citato, ad oggi 18 ottobre vigente su normattiva.it.

Le amministrazioni statali centrali e periferiche, ad esclusione degli istituti e delle scuole di ogni ordine e grado, delle istituzioni educative e delle istituzioni universitarie, nonche’ gli enti nazionali di previdenza e assistenza sociale pubblici e le agenzie fiscali di cui al decreto legislativo 30 luglio 1999, n. 300, per gli acquisti di beni e servizi di importo pari o superiore a 1.000 euro e al di sotto della soglia di rilievo comunitario, sono tenute a fare ricorso al mercato elettronico della pubblica amministrazione di cui all’articolo 328, comma 1, del regolamento di cui al decreto del Presidente della Repubblica 5 ottobre 2010, n. 207. Fermi restando gli obblighi e le facolta’ previsti al comma 449 del presente articolo, le altre amministrazioni pubbliche di cui all’articolo 1 del decreto legislativo 30 marzo 2001, n. 165, nonche’ le autorita’ indipendenti, per gli acquisti di beni e servizi di importo pari o superiore a 1.000 euro e inferiore alla soglia di rilievo comunitario sono tenute a fare ricorso al mercato elettronico della pubblica amministrazione ovvero ad altri mercati elettronici istituiti ai sensi del medesimo articolo 328 ovvero al sistema telematico messo a disposizione dalla centrale regionale di riferimento per lo svolgimento delle relative procedure. Per gli istituti e le scuole di ogni ordine e grado, le istituzioni educative, tenendo conto delle rispettive specificita’, sono definite, con decreto del Ministro dell’istruzione, dell’universita’ e della ricerca, linee guida indirizzate alla razionalizzazione e al coordinamento degli acquisti di beni e servizi omogenei per natura merceologica tra piu’ istituzioni, avvalendosi delle procedure di cui al presente comma. A decorrere dal 2014 i risultati conseguiti dalle singole istituzioni sono presi in considerazione ai fini della distribuzione delle risorse per il funzionamento.

DISCORSI ATTORNO AL CODICE DELL’AMMINISTRAZIONE DIGITALE, L’INUTILITA DI FIRMARE CON STAMPIGLIATURA D.LGS 39/93

Iniziamo da oggi a trattare in modo approfondito il CAD ( dall’origine al 179/16).

Parleremo del CAD di tutti i giorni, la creazione del documento, la copia informatica, la copia dall’analogico , le notifiche e le comunicazioni.

Iniziamo con le basi, ed analizziamo una pessima abitudine che ancora esiste in molte PP.AA. nostrane.

Esiste una forte confusione tra documento massivo analogico, stampato per intenderci, e documento informatico,

In particolare girando sui siti web istituzionali ancora si vedono documento sigillati con la dicitura ” firma  autografa omessa ai sensi dell’articolo 3 del D.Lgs 39/93.”

Una piccola parentesi, ricordate della conserva di pomodoro della mia natia terra ? trattare bene i dati significa non solo conservarli, ma selezionarli dall’inizio del processo ( o del procedimento amministrativo).

Far nascere dei documenti, per poi metterli sotto vuoto, in conservazione sostitutiva , con questa postilla equivale e sprecare spazio, a conservare qualcosa di sbagliato, riporto l’articolo di legge

Art. 3. 1. ((COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179)). 2. Nell’ambito delle pubbliche amministrazioni l’immissione, la riproduzione su qualunque supporto e la trasmissione di dati, informazioni e documenti mediante sistemi informatici o telematici, nonche’ l’emanazione di atti amministrativi attraverso i medesimi sistemi, devono essere accompagnate dall’indicazione della fonte e del responsabile dell’immissione, riproduzione, trasmissione o emanazione. Se per la validita’ di tali operazioni e degli atti emessi sia prevista l’apposizione di firma autografa, la stessa e’ sostituita dall’indicazione a stampa, sul documento prodotto dal sistema automatizzato, del nominativo del soggetto responsabile.

E’ chiara l’intenzione di agevolare la firma quando i documenti sono massivi e stampati, in ogni caso questi documenti non hanno la forma del documento scritto.

Invece il documento formato ai sensi del CAD, dell’articolo 20 in particolare soddisfail requisito della forma scritta come da codice civile all’articolo 2702.

Art. 20 Validita’ ed efficacia probatoria dei documenti informatici 1. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179. ((1-bis. Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi e’ apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, e’ formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalita’ tali da garantire la sicurezza, integrita’ e immodificabilita’ del documento e, in maniera manifesta e inequivoca, la sua riconducibilita’ all’autore. In tutti gli altri casi, l’idoneita’ del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrita’ e immodificabilita’. La data e l’ora di formazione del documento informatico sono opponibili ai terzi se apposte in conformita’ alle Linee guida.))

In questo post iniziale non mi dilungherò sui diversi tipi di fima previste dal CAD ( e dall’EiDAS reg. 2014/910) , ma mi fermo con il ricordare che la firma apposta come da articolo 3 del 39/93 non produce nessun effetto, inoltre se qualche banca permettesse di far girare gli assegni senza la firma autografa ma colla dicitura ” ha firmato chi avrebbe dovuto firmare”  vi fidereste ? io no.

Alla prossima

Attenti al 18 Ottobre.

Spero di essere stato chiaro, il GDPR è un bel piatto vuoto da ornare  e guarnire ( e controllare ).

E’ una norma di riferimento, di principi di massima, ma l’applicazione settoriale deve essere contestualizzata con norme specifiche, per questo mi piace dire che non esiste la privacy ma solo il corretto trattamento dei dati.

Molti dati e molte informazioni trattate dalle PP.AA. hanno a che fare con il codice dei contratti ( e proprio in questo caso, vige il principio della trasparenza e non quello della riservatezza, cfr articolo 29 del codice e 37 del D.lgs 33/13 ).

La norma ed i modelli per gestire meglio le informazini derivano da alcune normative che mia paice definire ” le grandi assenti” :

– il codice dell’amministrazione digitale ( D.lgs 82/05)

– Codice dei beni culturali e del paesaggio ( D.lgs 42/2004 ) .

Per dirla in breve, in maniera banale, gli atti devono nascere in digitale, dematerializzati ( ai sensi dell’articolo 40 del CAD ) e sin dall’origine fanno parte del patrimonio dello Stato ( articolo 10 comma 2 lett. b D.lgs 42/2004).

Dal 18 ottobre, la generazione dei documenti digitali hanno un’ulteriore spinta, infatti entra in vigore l’articolo 40 del Codice dei Contratti.

  Art. 40 
 
 
(Obbligo  di  uso  dei  mezzi  di  comunicazione  elettronici   nello
             svolgimento di procedure di aggiudicazione) 
 
  1. Le comunicazioni e gli scambi di informazioni nell'ambito  delle
procedure di cui al presente codice svolte da centrali di committenza
sono eseguiti utilizzando mezzi di comunicazione elettronici ai sensi
dell'articolo 5-bis del decreto legislativo  7  marzo  2005,  n.  82,
Codice dell'amministrazione digitale. 
  2. A decorrere dal 18 ottobre 2018, le comunicazioni e  gli  scambi
di informazioni nell'ambito delle procedure di cui al presente codice
svolte dalle stazioni appaltanti sono eseguiti utilizzando  mezzi  di
comunicazione elettronici. 

riporto per facilità di lettura il 5 bis CAD

(Comunicazioni tra imprese e amministrazioni pubbliche).

1. La presentazione di istanze, dichiarazioni, dati e lo scambio di informazioni e documenti, anche a fini statistici, tra le imprese e le amministrazioni pubbliche avviene esclusivamente utilizzando le tecnologie dell’informazione e della comunicazione. Con le medesime modalita’ le amministrazioni pubbliche adottano e comunicano atti e provvedimenti amministrativi nei confronti delle imprese.

2. Con decreto del Presidente del Consiglio dei Ministri, su proposta del Ministro per la pubblica amministrazione e l’innovazione, di concerto con il Ministro dello sviluppo economico e con il Ministro per la semplificazione normativa, sono adottate le modalita’ di attuazione del comma 1 da parte delle pubbliche amministrazioni centrali e fissati i relativi termini.

3. ((AgID)), anche avvalendosi degli uffici di cui all’articolo 17, provvede alla verifica dell’attuazione del comma 1 secondo le modalita’ e i termini indicati nel decreto di cui al comma 2. 4. Il Governo promuove l’intesa con regioni ed enti locali in sede di Conferenza unificata per l’adozione degli indirizzi utili alla realizzazione delle finalita’ di cui al comma 1

        Vediamo velocemente cosa succederà tenedo conto il fine pubblico, creare un mercato unico ( anche nelle procedure) che potrebbe portare un incremento di posti di lavoro con circa 415 miliardi di euro circolanti .   Il processo ( spesso già digitale) sarà uniformato, in particolare lo stack abbraccia tre sottoprocessi : – Pubblicazione – Gara – Stipula   A breve, come da piano triennale per l’informatica iniziaremo quindi ad usare il portale ComproPA, ma ancora prima inizieromo ad utilizzare SIMOG 2.0 o SIMOG EVOLUTION per le comunicazioni in entrata ed in uscita verso gli altri paese UE.

Ancora sul D.lgs 101/18, corretto trattamento dei dati ed antiriciclaggio , anche per le PP.AA.

In forza di una mia lettura molto personale ( bah !!) sul GDPR mi fa piacere che il D.Lgs 101/18 avvalori la mia interpretazione ( la mia lettura…), ci sono diritti fondamentali superiori al corretto trattamento dei dati ( come chiaro anche nel  quarto considerando GDPR) , si veda l’articolo 2 octies del D.lgs 101.

Una cosa fondamentale che ci tengo a sottolineare è che la norma antiriciclaggio si applica anche alle Pubbliche Amministrazioni, invito a leggere questi articoli :

TRATTAMENTO DEI DATI ed altri DIRITTI

Trattamento dei dati Vs altri diritti…..più importanti.

Sono anni ormai, dalla prima vigenza del 196/03 per la precisione, che a differenza di altri operatori ho sempre “snobbato” la difesa della protezione dei dati personali.

Sembra strano ? Chi mi segue da più tempo ben mi capisce , sono di quelli che ha sempre chiamato la norma con il nome esatto e mai PRIVACY, anche perchè il rispetto della privacy non rientra nelle corde di consulente dell’organizzazione aziendale, penso sia più prossimo alle scienze umanistiche.

Chiariamo subito una cosa, così come la direttiva 95/46/CE ( od il nostro 196 ) non abrogò la L. 241/90 , si veda l’articolo 59 del Codice sul corretto trattamento dei dati, il Reg. 2016/679 non tocca il FOIA ( articolo 33 del D.Lgs 33/13).

articolo 59 Codice protezione dei dati (Accesso a documenti amministrativi)

Un’altra particolarità ( che dovrebbe essere la norma) è chiaramente scritta nel quarto considerando del Regolamento.

Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica

Quindi , ponderiamo l’importanza dei diritti fondamentali ( nel nostro caso l’articolo 8 della Carta di Nizza).

Oltre che il legislatore conviene ascoltare anche la giurisprudenza, infatti ….

CASSAZIONE n. 10280/15 sez III

… … IL DIRITTO ALLA PROTEZIONE DEI DATI PUR RIENTRANDO NEI DIRITTI FONDAMENTALI NON E’ UN “TOTEM AL QUALE POSSONO SACRIFICARSI ALTRI DIRITTI COSTITUZIONALMENTE GARANTITI” …IL DIRITTO ALLA PROTEZIONE DEI DATI DEVE ESSERE ” COORDINATO E BILANCIATO” CON LE NORME DI CARATTERE PUBBLICISTICO E PRIVATISTICO.

Per quanto queste affermazioni possano sembrare pensieri solo teorici, bazzecole, quisquilie, pinzellacchere da fessi se letti assieme al 19 considerando scopriremo che immediatamente ci sono evidenze pratiche nel mondo professionale e della PA , infatti :

La protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, e la libera circolazione di tali dati sono oggetto di uno specifico atto dell’Unione. Il presente regolamento non dovrebbe pertanto applicarsi ai trattamenti effettuati per tali finalità. I dati personali trattati dalle autorità pubbliche in forza del presente regolamento, quando utilizzati per tali finalità, dovrebbero invece essere disciplinati da un più specifico atto dell’Unione, segnatamente la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio Gli Stati membri possono conferire alle autorità competenti ai sensi della direttiva (UE) 2016/680 altri compiti che non siano necessariamente svolti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, affinché il trattamento di dati personali per tali altre finalità, nella misura in cui ricada nell’ambito di applicazione del diritto dell’Unione, rientri nell’ambito di applicazione del presente regolamento.

Con riguardo al trattamento dei dati personali da parte di tali autorità competenti per finalità rientranti nell’ambito di applicazione del presente regolamento, gli Stati membri dovrebbero poter mantenere o introdurre disposizioni più specifiche per adattare l’applicazione delle disposizioni del presente regolamento. Tali disposizioni possono determinare con maggiore precisione requisiti specifici per il trattamento di dati personali da parte di dette autorità competenti per tali altre finalità, tenuto conto della struttura costituzionale, organizzativa e amministrativa dei rispettivi Stati membri. Quando il trattamento dei dati personali effettuato da organismi privati rientra nell’ambito di applicazione del presente regolamento, è opportuno che lo stesso preveda la facoltà per gli Stati membri, a determinate condizioni, di adottare disposizioni legislative intese a limitare determinati obblighi e diritti, qualora tale limitazione costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia di importanti interessi specifici, comprese la sicurezza pubblica e le attività di prevenzione, indagine, accertamento e perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica. Ciò riveste particolare importanza ad esempio nel quadro del riciclaggio o di attività di medicina legale

Dalla letture combinata ( e ragionata ) si evidenzia che alcuni dei diritti del’interessato  ( cancellazione ed oblio certamente) non possono sempre essere vantati in quanto ci sono norme che pur se di pari rango hanno valenza maggiore nell’impatto sociale e della giustizia .

Alcuni casi immediati sono l’antiriciclaggio e la medicina del lavoro ,in nessun caso le esigenze di protezionedei dati personali possono prevalere sull’interesse alla sicurezza pubblica e alle attività di prevenzione dei reati .

D.Lgs 101/18, armonizzazione GDPR

Sarò antipatico come sempre ma mi piace ricordare che il decreto , come anche il regolamento, non è intitolato alla PRIVACY ma al corretto trattamento dei dati.

Dal 19 Settembre, San Gennaro, compleanno di mammá e del defunto nonno Vincenzo entrerà in vigore il decreto di armonizzazione della norma italiana con il GDPR, le anticipazioni date dai SOLONI sono state tutte disattese.

Le novità allontanano ulteriormente le modalità operative dal nostro vecchio codice salvandone però alcuni pilastri fondamentali.

Cosa dire, lascaitemi il tempo di apprendere la pubblicazione e sentiamoci presto.

Nell’ottica di armonizzazione l’articolo 27 del D.Lgs 101/18 ha abrogato dalla prima  il titolo IV, cioè gli articoli 28,29 e 30 del 196, quindi dimentichiamoci nomine fatte con la vecchia nomenclatura ( responsabile interno ed incaricati ).

Ciao ciao , Vincenzo.

D.lgs 39/14, certificati casellario.

Visto il periodo dell’anno, ricordo dell’obbligo per le PA ( e non solo ) di richiedere il certificato penale per tutti i soggetti che lavorano a contatto con i minori, copio appresso un vecchio post.

Giusto per intenderci, chi ha ben attuato la legge 190/12 ( quella volgarmente identificata come anticorruzione) ha già da settembre scorso attuato una serie di procedure per “evitare l’accadimento di un illecito mappato nel procedsso di risk assessment”, stesso vale per chi applica il D.Lgs 231/01, ma in chiusura di articolo torneremo ad analizzare la più grossa novità del 39/14 che certamente non è quella dei certificati penali.

Per quanta riguarda  la richiesta del certificato del casellario, in applicazione di questa norma, ad oggi, non è possibile applicare l’autocertificazione “tout court”, per un motivo semplice e logico : l’onere non è a carico del lavoratore , ma del datore di lavoro, come chiaramente scritto nell’articolo 2 comma 1 del D.lgs 39/204 .

Una dichiarazione sostitutiva può essere accettata e valida solo nelle more del controllo, come chiaramenre consigliato dal Ministero della Giustizia nella nota di chiarimento n.2 al D.lgs 39/2014 che allego.

Che sia chiaro, questo ad oggi, primo giorno di applicazione della norma.

Per tornare alle problemtiche più squisitamente legate al risk assessment della 190 e del 231, è importante iomplementare una procedura all’interno del protocollo sicurezza per il controllo ex novo delle strumentazioni informatiche in quanto l’articolo 1 impone ( tramite sanzioni) l’utilizzo di una diligenza superiore alla media per evitare che siano software che rendano la navigazione in internet “anonima”

NOTA MIN

FAQ

Dal 6 aprile 2014 chi assume nuovi dipendenti per lo svolgimento di attività a contatto con i minori dovrà richiedere il certificato del casellario ai sensi dell’art. 25 bis del DPR 313/2002. L’obbligo c’è anche nei confronti di chi è già stato assunto?

No. L’obbligo per il datore di lavoro sorge all’atto dell’assunzione e quando, scaduto il termine di durata previsto, il datore di lavoro stipuli altro e nuovo contratto con lo stesso lavoratore.

In quali casi il datore di lavoro ha l’obbligo di richiedere il certificato ai sensi dell’art. 25 bis del DPR 313/2002?

In tutti i casi in cui si instaura con la persona un rapporto contrattuale con prestazioni corrispettive, per attività che comportino un contatto diretto e regolare con i minori. L’obbligo non sorge, invece, per le forme di collaborazione che non si strutturino all’interno di un definito rapporto di lavoro.

I certificati valgono 6 mesi. Il datore di lavoro dovrà quindi richiedere il certificato ai sensi dell’art. 25 bis del DPR 313/2002 per i suoi dipendenti ogni 6 mesi?

No. Il certificato va richiesto solo al momento dell’assunzione.

In attesa del certificato richiesto dal datore di lavoro si può procedere alla stipula del contratto?

Si. In attesa dell’acquisizione del certificato, se il datore di lavoro è pubblico può acquisire dal lavoratore una dichiarazione sostitutiva di certificazione; se il datore è privato, una dichiarazione sostitutiva di atto di notorietà .

Le esenzioni dal bollo sono soltanto quelle indicate nel D.P.R. 642/72, tabella allegato B?

Le esenzioni indicate nel DPR 642/72 sono quelle principali. Altri casi di esenzione potrebbero però essere presenti in normative specifiche.

Con riferimento alle prescrizioni del D.Lgs. 39/2014, che si intende per “ attività professionali o attività volontarie organizzate che comportino contatti diretti e regolari con minori”?

Per attività professionali o attività volontarie organizzate si intende tutte le professioni o i lavori (ad es. quelle di insegnante, bidello, pediatra, allenatore, educatore) per i quali l’oggetto della prestazione comporta un contatto diretto e regolare con i minori a fronte di uno specifico rapporto di lavoro.

Attività professionali quali esempio quella di medico odontoiatra o medico pediatra che comporta attività verso i minori è assoggettata alle prescrizioni del DL 39/2014 con riferimento ai propri lavoratori dipendenti?

Si.

Sono la vice-presidente di una Associazione Culturale che organizza, tra le altre cose, corsi di scuola di musica primaria (quindi rivolti principalmente a minorenni). Per l’organizzazione di questi corsi ci avvaliamo della collaborazione di professionisti che rilasciano regolare fattura come titolari di partita iva. Ci dobbiamo ritenere datori di lavoro e quindi richiedere per questi professionisti il certificato penale del casellario giudiziale ai sensi dell’art. 25 bis del DPR 313/2002?

Si, qualora l’attività svolta dal professionista sia oggetto di un contratto, comunque qualificato, che faccia sorgere un rapporto di lavoro con prestazioni corrispettive.

link al modello 6a per la richiesta aggiornato al 7/7/2018

Si ricorda che non occorre nessun consenso sul trattamento essendo un’obbligazione di legge ( supporto normativo articolo 6 par 1 lett b,c,d,e)

Le istanze nel CAD ( riproposto)

Le istanze verso una PA sono accettate se passano attraverso :

  • PEO
  • PEC
  • STRUTTURE INTEROPERABILI.

LA PEO, posta elettronica ordinaria ha sempre valore “se ne accerto la provenienza” , non è disciplinata dal CAD ma normata .

 

LA PEC, invece è ben disciplinata e normata dall’articolo 48 de CAD e dal DPC 68/2005.

 

L’INTEROPERABILITA’ ha invece la capacità di creare cooperazione docuemtale tra le diverse PA ( e non solo ) .

AI sensi dell’articolo 47 cad :

Le comunicazioni di documenti tra le pubbliche amministrazioni avvengono mediante l’utilizzo della posta elettronica o in cooperazione applicativa; esse sono valide ai fini del procedimento amministrativo una volta che ne sia verificata la provenienza. ((Il documento puo’ essere, altresi’, reso disponibile previa comunicazione delle modalita’ di accesso telematico allo stesso.))
il comma 2 dell’articolo 47 aiuta a definire la PROVENIENZA VALIDA :
Ai fini della verifica della provenienza le comunicazioni sono valide se: a) sono sottoscritte con firma digitale o altro tipo di firma elettronica qualificata; b) ovvero sono dotate di segnatura di protocollo di cui all’articolo 55 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445; c) ovvero e’ comunque possibile accertarne altrimenti la provenienza, secondo quanto previsto dalla normativa vigente o dalle regole tecniche di cui all’articolo 71. E’ in ogni caso esclusa la trasmissione di documenti a mezzo fax; d) ovvero trasmesse attraverso sistemi di posta elettronica certificata di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68.
Infine il comma 1 bis dell’articolo 47 ricorda il danno erariale, tra gli altri, dell’inosservanza della norma .
Voglio chiudere ricordando l’importanza dell’articolo 65 del CAD,
Istanze e dichiarazioni presentate alle pubbliche amministrazioni per via telematica
1. Le istanze e le dichiarazioni presentate per via telematica alle pubbliche amministrazioni e ai gestori dei servizi pubblici ai sensi dell’articolo 38, commi 1 e 3, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, sono valide:
a) se sottoscritte mediante la firma digitale o la firma elettronica qualificata, il cui certificato e’ rilasciato da un certificatore ((qualificato));
b) ovvero, quando ((l’istante o il dichiarante e’ identificato attraverso il sistema pubblico di identita’ digitale (SPID), nonche’ attraverso uno degli altri strumenti di cui all’articolo 64, comma 2-novies, nei limiti ivi previsti;)); ((
c) ovvero sono sottoscritte e presentate unitamente alla copia del documento d’identita’;));
c-bis) ovvero se trasmesse ((dall’istante o dal dichiarante)) mediante la propria casella di posta elettronica certificata purche’ le relative credenziali di accesso siano state rilasciate previa identificazione del titolare, anche per via telematica secondo modalita’ definite con regole tecniche adottate ai sensi dell’articolo 71, e cio’ sia attestato dal gestore del sistema nel messaggio o in un suo allegato. In tal caso, la trasmissione costituisce dichiarazione vincolante ai sensi dell’articolo 6, comma 1, secondo periodo. Sono fatte salve le disposizioni normative che prevedono l’uso di specifici sistemi di trasmissione telematica nel settore tributario;

Tempestività dei Pagamenti, articolo 33 del D.Lgs 33/13.

Ricordo che entro il 31 Luglio occorre inserire l’indice di tempestività dei pagamenti riferito al secondo semestre.

Si ricorda che è possibile attuare l’istituto del secondo comma dell’articolo 9 bis del D.Lgs 33/13 facendo restituire dal MEF un link sempre aggiornato.

La pubblicazione è effettuata ai sensi dell’articolo 33 del D.Lgs 33/13.

Riporto un link datato ma ancora attuale sulle scadenze intermedie e sulla dichiarazione finale ( da fare ad Aprile ).

Notificazioni in albo pretorio

NEL RISPETTO DELLA RISERVATEZZA, dobbiamo contemperare interessi ed “incastrare più norme”.

Certamente il diritto fondamentale da tutelare è quello superiore della collettività , indi la pubblicità della notificazione in albo pretorio ( inteso ex articolo 32 L. 69/09 ) deve essere resa .

Tralasciando le diverse casiste del rito civile contenute negli articolo 140 e ss  cpc poniamoci il seguente quesito :

“ con la notificazione in Casa Comunale quale obiettivo raggiungiamo ? “ .

 

La risposta è ovvia, ora un secondo quesito :

“  per avvisare il destinatario che deve ritirare la documentazione ( e quasi mai si tratta di un lascito dello zio d’ America ) è proprio necessario affiggere il contenuto della missiva ed il mittente ? “

In realtà questa è un’applicazione pratica dell’articolo 5 paragrafo 1 lett. c del reg. 2016/679 , il principio della minimizzazione del trattamento ed anche del sempre attuale articolo 11 del nostro codice 196/03.

Per meglio però disciplinare l’effettiva pubblicità degli atti, compresa la norma speciale contenuta nell’articolo 60 lett 3 del DPR 600/73 consiglio un’attenta lettura delle LL.GG. AGID Maggio 2016 che trovate al seguente link

https://www.agid.gov.it/sites/default/files/repository_files/documentazione/ll_gg_gdl_pubblicita_legale.pdf

Con molto vanto ( e sapete che non sono proprio umilissimo ) vi dico che sono coautore del testo Agid.

Ciao Ciao SPLIT PAYMENT per i professionisti

L’articolo 11 del c.d. decreto dignitá porta finalmente fine allo split per i professionisti, una figura che non ha fatto altro che gravare sulle PA periferiche, ed il motivo è sotto gli occhi di tutti gli addetti ai lavori.

In attesa della pubblicazione in GU riporto uno stralcio ,

Articolo 11 (Split payment) 1. Le disposizioni di cui all’articolo 17-ter, comma 1, del d.p.R 26 ottobre 1972, n.633, non si applicano ai compensi per prestazioni di servizi assoggettati a ritenute alla fonte a titolo di imposta sul reddito ( anche  a titolo di acconto ? …aspettiamo).

Migrazione da .gov.it ad .edu.it

 

Al via il percorso di accompagnamento per la migrazione dal dominio .gov.it

Data:

 

 

Prende il via il percorso per agevolare il passaggio dei siti delle istituzioni scolastiche dal dominio “.gov.it” al dominio “.edu.it”, così come previsto dalla determina AGID n. 36/2018 “Riordino del dominio .gov.it”.

Le amministrazioni locali interessate dalla migrazione al dominio “.it” possono invece far riferimento alle informazioni relative alla registrazione di un nuovo dominio contenute nel Regolamento di Registro.it.

Per le scuole, AGID, il Team per la Trasformazione Digitale, MIUR e CNR hanno definito una serie di azioni di accompagnamento verso il passaggio al nuovo dominio, in particolare:

 

  • è stato registrato e intestato al MIUR il dominio “.edu.it”;

 

  • sono state incrociate le basi informative MIUR-AGID che hanno consentito di individuare le scuole interessate dal processo di migrazione.

 

Grazie a queste attività propedeutiche, è stato pubblicato il Regolamento sull’assegnazione e gestione dei nomi a dominio di secondo livello (SLD) “edu.it”, con cui vengono definite le regole di registrazione dei nomi e la descrizione delle operazioni necessarie.

Per supportare tutti gli enti interessati dal passaggio di dominio, inoltre, è in fase di avvio una manifestazione di interesse dedicata ai fornitori di servizi Internet (Registrar) con l’obiettivo di identificare le condizioni economiche più vantaggiose, conclusa la quale sarà definita una roadmap.

 

Durante la fase di migrazione, in via eccezionale, sarà possibile mantenere il dominio “.gov.it” fino a scadenza naturale degli attuali contratti anche se questi superano la scadenza prevista dalla determina AGID n. 36/2018.

La determina stabilisce che il dominio “.gov.it” dovrà essere utilizzato solo dalle amministrazioni centrali, in coerenza con quanto previsto dal Piano Triennale per l’informatica nella PA (“Riorganizzazione del dominio .gov.it”- Azione 60).

Anagrafe delle Prestazioni procedura 2018

Come ogni anno siamo alle prese con i PERLAPA per l’adempimento contenuto nell’articolo 53 del D/Lgs 165/01.

Beh, quest’anno cambia qualcosa, l’inserimento sembra un poco piú complesso, ma a ban vedere la fatica iniziale ci permette poi di andare tranquilli nell’attuare l’articolo 15 del D.Lgs 33/13..

per l’articolo completo

http://www.vincenzodeprisco.com/it/node/47

 

Censimento ICT del Piano Triennale, scadenza del 20 Giugno

Viste le diverse chiamate sulla scadenza del censimento contenuto nel  Piano Triennale dell’Informatica della PA vi tranquillizzo ricordando che al momento si tratta di una semplice ricognizione, eventuali problematiche possono esserci solo per le PA che al momento necessitano di essere inserite nell’elenco dei PSN , mi spiego meglio , il Piano Triennale mira a tripartire le PA in :

  1.  PSN , Polo Strategico Nazionale , caratterizzato  da cespiti tecnologici e base di calcolo elevato da condividere anche con altre Pa in forza di collaborazioni in forza dell’articolo 15 L.241/90
  2. Gruppo A, strutture non elette a PNS ma eleggibili con lievi investimenti ( immobilizzazioni e personale interno)
  3. Gruppo B, strutture con gravi carenze di infrastrutture tecnologiche, immobilizzazione e personale interno .

Qualora non si risponda entro il 20 ( ??? ) anche le PA appartenenti al Gruppo A verranno declassate al Gruppo B.

I prossimi censimenti, in forza del novellato articolo 14 bis D.Lgs 82/05 ( modificato dal 217/17) potrebbero avere una portata diversa avendo l’Agid assunto un ruolo diverso ( emanazione norme di diritto tenue , controllo sul piano triennale 2018-2020, etc ) , ovviamente sarete aggiornati.

Per qualsiasi chiarimento, chiamatemi.

Protetto: Manaule di Gestione documentale ex articolo 5 DPCM 03 12 13

Il contenuto è protetto da password. Per visualizzarlo inserisci di seguito la password:

TRATTAMENTO DEI DATI ed altri DIRITTI

Trattamento dei dati Vs altri diritti…..più importanti.

Sono anni ormai, dalla prima vigenza del 196/03 per la precisione, che a differenza di altri operatori ho sempre “snobbato” la difesa della protezione dei dati personali.

Senbra strano ? Chi mi segue da più tempo ben mi capisce , sono di quelli che ha sempre chiamato la norma con il nome esatto e mai PRIVACY, anche perchè il rispetto della privacy non rientra nelle corde di consulente dell’organizzazione aziendale, penso sia più prossimo alle scienze umanistiche.

Chiariamo subito una cosa, così come la direttiva 95/46/CE ( od il nostro 196 ) non abrogò la L. 241/90 , si veda l’articolo 59 del Codice sul corretto trattamento dei dati, il Reg. 2016/679 non tocca il FOIA ( articolo 33 del D.Lgs 33/13).

Pubblicita’ e diritto alla conoscibilita’ 1. Tutti i documenti, le informazioni e i dati oggetto ((di accesso civico, ivi compresi quelli oggetto)) di pubblicazione obbligatoria ai sensi della normativa vigente sono pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli ai sensi dell’articolo 7. ((1-bis. L’Autorita’ nazionale anticorruzione, sentito il Garante per la protezione dei dati personali nel caso in cui siano coinvolti dati personali, con propria delibera adottata, previa consultazione pubblica, in conformita’ con i principi di proporzionalita’ e di semplificazione, e all’esclusivo fine di ridurre gli oneri gravanti sui soggetti di cui all’articolo 2-bis, puo’ identificare i dati, le informazioni e i documenti oggetto di pubblicazione obbligatoria ai sensi della disciplina vigente per i quali la pubblicazione in forma integrale e’ sostituita con quella di informazioni riassuntive, elaborate per aggregazione. In questi casi, l’accesso ai dati e ai documenti nella loro integrita’ e’ disciplinato dall’articolo 5. 1-ter. L’Autorita’ nazionale anticorruzione puo’, con il Piano nazionale anticorruzione, nel rispetto delle disposizioni del presente decreto, precisare gli obblighi di pubblicazione e le relative modalita’ di attuazione, in relazione alla natura dei soggetti, alla loro dimensione organizzativa e alle attivita’ svolte, prevedendo in particolare modalita’ semplificate per i comuni con popolazione inferiore a 15.000 abitanti, per gli ordini e collegi professionali.))

articolo 59 Codice protezione dei dati (Accesso a documenti amministrativi)

   1. Fatto salvo quanto previsto dall'articolo 60, i presupposti, le
modalita',  i  limiti  per  l'esercizio  del  diritto  di  accesso  a
documenti  amministrativi  contenenti  dati  personali, e la relativa
tutela  giurisdizionale,  restano  disciplinati  dalla legge 7 agosto
1990,  n.  241, e successive modificazioni e dalle altre disposizioni
di  legge in materia, nonche' dai relativi regolamenti di attuazione,
anche  per  cio' che concerne i tipi di dati sensibili e giudiziari e
le   operazioni  di  trattamento  eseguibili  in  esecuzione  di  una
richiesta  di  accesso.  Le attivita' finalizzate all'applicazione di
tale disciplina si considerano di rilevante interesse pubblico.
articolo 3 FOIA Pubblicita' e diritto alla conoscibilita' 
 
  1. Tutti i documenti, le informazioni e i dati oggetto ((di accesso
civico, ivi compresi quelli oggetto)) di  pubblicazione  obbligatoria
ai sensi della normativa vigente sono pubblici e chiunque ha  diritto
di  conoscerli,  di  fruirne  gratuitamente,  e  di   utilizzarli   e
riutilizzarli ai sensi dell'articolo 7. 
  ((1-bis. L'Autorita' nazionale anticorruzione, sentito  il  Garante
per la protezione dei dati personali nel caso in cui siano  coinvolti
dati personali, con propria delibera adottata,  previa  consultazione
pubblica, in conformita' con i  principi  di  proporzionalita'  e  di
semplificazione, e all'esclusivo fine di ridurre gli  oneri  gravanti
sui soggetti di cui all'articolo 2-bis, puo' identificare i dati,  le
informazioni e i documenti oggetto di pubblicazione  obbligatoria  ai
sensi della disciplina vigente per i quali la pubblicazione in  forma
integrale e'  sostituita  con  quella  di  informazioni  riassuntive,
elaborate per aggregazione. In questi casi, l'accesso ai  dati  e  ai
documenti nella loro integrita' e' disciplinato dall'articolo 5. 
  1-ter. L'Autorita' nazionale  anticorruzione  puo',  con  il  Piano
nazionale  anticorruzione,  nel  rispetto  delle   disposizioni   del
presente decreto,  precisare  gli  obblighi  di  pubblicazione  e  le
relative modalita'  di  attuazione,  in  relazione  alla  natura  dei
soggetti, alla loro dimensione organizzativa e alle attivita' svolte,
prevedendo in particolare modalita' semplificate  per  i  comuni  con
popolazione inferiore a 15.000 abitanti, per  gli  ordini  e  collegi
professionali.))

Un’altra particolarità ( che dovrebbe essere la norma) è chiaramente scritta nel quarto considerando del Regolamento.

Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica

Quindi , ponderiamo l’importanza dei diritti fondamentali ( nel nostro caso l’articolo 8 della Carta di Nizza).

Oltre che il legislatore conviene ascoltare anche la giurisprudenza, infatti ….

CASSAZIONE n. 10280/15 sez III

… … IL DIRITTO ALLA PROTEZIONE DEI DATI PUR RIENTRANDO NEI DIRITTI FONDAMENTALI NON E’ UN “TOTEM AL QUALE POSSONO SACRIFICARSI ALTRI DIRITTI COSTITUZIONALMENTE GARANTITI” …IL DIRITTO ALLA PROTEZIONE DEI DATI DEVE ESSERE ” COORDINATO E BILANCIATO” CON LE NORME DI CARATTERE PUBBLICISTICO E PRIVATISTICO.

Per quanto queste affermazioni possano sembrare pensieri solo teorici, bazzecole, quisquilie, pinzellacchere da fessi se letti assieme al 19 considerando scopriremo che immediatamente ci sono evidenze pratiche nel mondo professionale e della PA , infatti :

La protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, e la libera circolazione di tali dati sono oggetto di uno specifico atto dell’Unione. Il presente regolamento non dovrebbe pertanto applicarsi ai trattamenti effettuati per tali finalità. I dati personali trattati dalle autorità pubbliche in forza del presente regolamento, quando utilizzati per tali finalità, dovrebbero invece essere disciplinati da un più specifico atto dell’Unione, segnatamente la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio  Gli Stati membri possono conferire alle autorità competenti ai sensi della direttiva (UE) 2016/680 altri compiti che non siano necessariamente svolti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, affinché il trattamento di dati personali per tali altre finalità, nella misura in cui ricada nell’ambito di applicazione del diritto dell’Unione, rientri nell’ambito di applicazione del presente regolamento.

Con riguardo al trattamento dei dati personali da parte di tali autorità competenti per finalità rientranti nell’ambito di applicazione del presente regolamento, gli Stati membri dovrebbero poter mantenere o introdurre disposizioni più specifiche per adattare l’applicazione delle disposizioni del presente regolamento. Tali disposizioni possono determinare con maggiore precisione requisiti specifici per il trattamento di dati personali da parte di dette autorità competenti per tali altre finalità, tenuto conto della struttura costituzionale, organizzativa e amministrativa dei rispettivi Stati membri. Quando il trattamento dei dati personali effettuato da organismi privati rientra nell’ambito di applicazione del presente regolamento, è opportuno che lo stesso preveda la facoltà per gli Stati membri, a determinate condizioni, di adottare disposizioni legislative intese a limitare determinati obblighi e diritti, qualora tale limitazione costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia di importanti interessi specifici, comprese la sicurezza pubblica e le attività di prevenzione, indagine, accertamento e perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica. Ciò riveste particolare importanza ad esempio nel quadro del riciclaggio o di attività di medicina legale

Dalla letture combinata ( e ragionata ) si evidenzia che alcuni dei diritti del’interessato  ( cancellazione ed oblio certamente) non possono sempre essere vantati in quanto ci sono norme che pur se di pari rango hanno valenza maggiore nell’impatto sociale e della giustizia .

Alcuni casi immediati sono l’antiriciclaggio e la medicina del lavoro ,in nessun caso le esigenze di protezionedei dati personali possono prevalere sull’interesse alla sicurezza pubblica e alle attività di prevenzione dei reati .

Qualcuno potrebbe obiettare : ” si ok, capisco l’ambito proessionale ma perchè anche nella PA ?”

La risposta è che l’antiriciclaggio nella PA rientra tra le norme maggiormente disattese , consiglio questi post :

http://www.rtd.cloud//procedura-antiriciclaggio-da-adottare-anche-nelle-ppaa/

http://www.rtd.cloud//differenze-tra-esenzione-ed-esclusione-delliva-come-incidono-le-voci-sulle-gare-di-appalto-e-sullantiriciclaggio-nelle-pa/

http://www.rtd.cloud//antiriciclaggio-nella-pubblica-amministrazione-il-dlgs-23107-ed-il-dm-250915/

Perchè scelgono noi per il GDPR ?

Perchè riusciamo a dare una visione completa dei problemi e delle soluzioni.

Perche facciamo questo dal 2003, perchè abbiamo sempre seguito per tutti gli adempimenti, vedi il DR-CO, Il SANS 20. Perchè per il 24 MAggio faremo quanto necessario ( e solo quello ) e null’altro. Perchè già abbiamo preparato i nostri clienti allo scenario più probabile ( dematerializzazione degli acquisi , art 40 del D.Lgs 50/16) ed al nuovo piano sulla continuità ( articolo 58 del D.lgs 82/05).

Perchè pur se vero che il GDPR spinge a fare adempimenti ulteriori, siamo consapevoli che vista l’accountability del GDPR i nostri clienti non sono disposti a firmare un patto fatto sulle chiacchiere….

Perchè siamo stati tra i pochi a dire che il 196/03 non sarebbe stato abrogato e soprattutto perchè chiamiamo la norma con il suo nome CORRETTO TRATTAMENTO dei DATI e sappiano la necessità di conoscere le norme sottostanti.

Grazie a tutti quelli che ci hanno scelto.

 

Piccolo vademecum per il GDPR

  1. la norma non è intitolata alla privacy
  2. la norma non è intitolata alla privacy
  3. la norma non è intitolata alla privacy
  4. se non conoscete l’organizzazione aziendale, la L. 241/90, il TUDA, il CAD , il 165/01, il 42/04,  le norme e le tecniche archivistiche, la circolare 2/2017 AGID, non fate guai, non improvvisatevi consulenti PRIVACY
  5. la norma non è intitolata alla privacy
  6. se mettevate la dat certa al DPSS , lasciate stare
  7. se avete condiviso su facebook la policy privacy data dalla guardia di finanza lasciate stare
  8. la norma non è intitolata alla privacy
  9. se pensate che il DPO guadagnerà centinaia di migliaia di euro , lasciate stare
  10. se fino ad oggi avete affrontao la PRIVACY senza conoscere il manuale ex art 5 DPCM 04 12 13 lasciate stare
  11. se non avete  mai attuato il 50 bis del CAD ( ora 51 ) lasciate stare
  12. se siete convinti che la legittimazione al trattamento derivi solo dal consneso lasciate stare
  13. se non conoscete le policy BYOD lasciate stare

 

Quaderno GDPR -PARTE 3- I DIRITTI DELL’INTERESSATO

L’interessato ha diversi poteri sul controllo dei dati che lo riguardano, e solo grazie a questi diritti ” può liberamente proettare la sua identità attarverso le informazioni” come detto da S.Rodotà.

L’interessato deve essere reso edotto riguardo i suoi diritti attraverso una nota alla trasparenza, od informativa .

Tuttavia quando i dati vengono trattati per adempiere ad obblighi di legge l’interessato può essere “passivo” di trattamento senza conoscere l’esistenza di procedure che lo riguardano.

Per contro, non è necessario imporre l’obbligo di fornire l’informazione se l’interessato dispone già dell’informazione, se la registrazione o la comunicazione dei dati personali sono previste per legge o se informare l’interessato si rivela impossibile o richiederebbe uno sforzo sproporzionato. Quest’ultima eventualità potrebbe verificarsi, ad esempio, nei trattamenti eseguiti a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici. In tali casi si può tener conto del numero di interessati, dell’antichità dei dati e di eventuali garanzie adeguate in essere.

Come da considerando 62.

Il diritto di accesso ai dati personali.

Scorrendo il Reg, i lprimo diritto contemplato è normato dall’articolo 15 e sancisce in “prinicpio”  la conferma dell’esistenza e del trattamento dei dati da parte di un titolare del trattamento .

Articolo 15

Diritto di accesso dell’interessato

1.   L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:

a)

le finalità del trattamento;

b)

le categorie di dati personali in questione;

c)

i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;

d)

quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

e)

l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;

f)

il diritto di proporre reclamo a un’autorità di controllo;

g)

qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;

h)

l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

2.   Qualora i dati personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, l’interessato ha il diritto di essere informato dell’esistenza di garanzie adeguate ai sensi dell’articolo 46 relative al trasferimento.

3.   Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune.

4.   Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui.

Il diritto di accesso e conoscenza dei dati è elevato a principio, infatti per esercitarlo non occorre che ci sia una lesione reale o potenziale.

Proprio per questo nn esistono particolari formalismi per esercitare il diritto, tantomeno il report risultante deve garantire particolari forme se non possedere il requisito dell’intellegibilità.

Il paragrafo 3 dell’articolo parte dal pressupposto che le copie del trattamento ( l’output intellegibile ) devono tendenzialmente essere gratuite, mentre il paragrafo 4 sancisce che il diritto dell’istante non deve comunque ledere la riservatezza di terzi, richiamando , pur se in maniera non espressa gli articoli 3 e  5 del DPR 184/2006.

Il diritto di rettifica e di integrazione.

Brevemente l’articolo 16 del GDPR richiama il diritto di avere i dati sempre aggiornati e veritieri, e l’istituto utilizzato per attuarlo è rappresentato dal potere di chiedere rettifiche ed integrazioni.

Articolo 16

Diritto di rettifica

L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

E’ importante notare che l’integrazione della informazione tratatta è strumentale alla situazione “nel sociale” dell’interessato.

Infatti un parere “errato” sull’interessato , magari pubblicato in albi non può essere rettificato ma deve essere integrato con apposita lettera di allungamento, anche in questo caso è evidente un richiamo al diritto amministrativo puro, in particolar modo all’autotutela dell’articolo 21 nonies della L. 241/90.

Il diritto alla cancellazione dei dati.

Il diritto alla cancellazione dei dati ( rettifica radicale) può essere esercitato quando ricorre uno dei seguenti casi :

a) dati non più necessari arispetto alle finalità

b) l’interessato revoca il consenso

c) l’interessato si oppone al trattamento

d) i dati personali sono stati trattati in modo illecito

e) i dati devono essere cancellati ex legem

f) i dati sono stati raccolti per l’erogazione di servizi informatici diretti a minori

Accessibilità, scadenza 31/03/2018

Rimando l’adempimento a farsi, si ricorda che la scadenza è ordinatoria e non perentoria.

Si ripresenta la scadenza contenuta nell’articolo 9 comma 7 del DL 179/12

“. Entro il 31 marzo di ogni anno, le amministrazioni pubbliche di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, pubblicano nel proprio sito web, gli obiettivi di accessibilita’ per l’anno corrente ((e lo stato di attuazione del “piano per l’utilizzo del telelavoro” nella propria organizzazione, in cui identificano le modalita’ di realizzazione e le eventuali attivita’ per cui non e’ possibile l’utilizzo del telelavoro. La redazione del piano in prima versione deve essere effettuata entro sessanta giorni dalla data di entrata in vigore della legge di conversione del presente decreto)). La mancata pubblicazione e’ altresi’ rilevante ai fini della misurazione e valutazione della performance individuale dei dirigenti responsabili.”

 

Quest’anno però la modalità è semplificata grazie ad alcuni automatismi pensati dall’AGID.

Per Usare il wizard di compilazione occorre :

1) Registarrsi al sito agid per l’accessibilità andando sul seguente indirizzo http://accessibilita.agid.gov.it/

2) Terminare la registrazione  inserendo un password

3) Accedere e compialre gli obiettivi dati dal format elettronico

4) Pubblicare la pagina – report dell’accessibilità in amministrazioen tarsparente, altri contenuti, accessibilità.

Si ricorda che l’adempimento, deve essere scritto di concerto con il RTD ex art. 17 D.Lgs 82/05.

 …d) accesso dei soggetti disabili agli strumenti informatici e promozione dell’accessibilita’ anche in attuazione di quanto previsto dalla legge 9 gennaio 2004, n. 4;

j) pianificazione e coordinamento del processo di diffusione, all’interno dell’amministrazione, dei sistemi di ((identita’ e domicilio digitale,)) posta elettronica, protocollo informatico, firma digitale o firma elettronica qualificata e mandato informatico, e delle norme in materia di accessibilita’ e fruibilita’ ((nonche’ del processo di integrazione e interoperabilita’ tra i sistemi e servizi dell’amministrazione e quello di cui all’articolo 64-bis)).

Le nuove LL.GG. 4 ” PROCEDURE PER L’AFFIDAMENTO DEI CONTRATTI PUBBLICI DI IMPORTO INFERIORE ALLE SOGLIE DI RILEVANZA…

In questo breve post ci limiteremo a trattare degli affidamenti inferiori ad € 40.000, anche perchè proprio in questa fascia di prezzo troeveremo le novità piiù rilevanti .

Sorvolando le ormai più o meno abitudini consolidate, ad esempio la determinazione degli importi ex articolo 35 del Codice, i requisiti CAM dell’articolo 34 e la norma sui conflitti ex articolo 42 , ci soffermeremo sull’annosa questione degli inviti e defli affidamenti, che ad oggi sembrerebbe trovare una risoluzione nella motivazione forte finalizzata ad attuare il principio della concorrenza nell’accezione più amplia, a tal proproposito può essere di spunto la sentenza del TAR TOSCANA del 21/02/2018, che in sintesi riporto appresso e che allego integralmente :

Nel merito, il motivo è invece infondato; sul punto, è sufficiente richiamare la giurisprudenza, anche di questa Sezione (sentenza 22.12.2017 n. 1665), secondo cui: il principio di rotazione non ha carattere assoluto ma relativo, altrimenti esso limiterebbe il potere della stazione appaltante di garantire la massima partecipazione alla procedura di gara; si tratta di un principio servente e strumentale rispetto a quello della concorrenza (“Il principio di rotazione è servente e strumentale rispetto a quello di concorrenza e deve quindi trovare applicazione nei limiti in cui non incida su quest’ultimo. Nel caso di specie, all’avviso esplorativo hanno fornito riscontro due operatori di cui uno era il gestore uscente, e pertanto l’esclusione di quest’ultimo avrebbe limitato e non promosso la concorrenza nel mercato”, cfr. T.A.R. Toscana, II, 12.06.2017 n. 816); anche nella fattispecie, in presenza di due sole imprese (compreso il gestore uscente) la S.A. ha legittimamente deciso di ammettere Supermatic alla gara al fine di far prevalere l’esigenza del confronto concorrenziale rispetto al principio di rotazione.

Sul principio di rotazione degli inviti e degli affidamenti le LLGG 4 proposte, consigliano l’adozione di un regolamento che meglio disciplini le diverse casistiche in funzione di una ripartizione servizi/lavori/forniture sulle fasce di prezzo.

L’avvio della procedura .

Si ricorda che lavvio della procedura inizia con la determina a contrarre ( che deve essere corretta, svuotata di inutili richiami normativi , si può partire ad esempio dall’articolo 192 del D.lgs 267/00 nota dello scrivente ).

I requisiti generali e speciali

L’OE deve essere in possesso dei requisiti  di cui all’articolo 80 del D.Lgs 50/16, sommariamente:

  • idoneità professionale
  • capacita economica e finanziaria
  • capacità tecniche

A tal proposito, ricordo che vige ( e nel proseguire sarà ancora più chiaro ) l’articolo 15 del D.lgs 183/11.

Iniziamo ora a vedere qualche verà novità, i controlli sulle dichiarazioni rese per importo fino a 5000 euro, in caso di affidamento diretto, il RUP  proceduralmente stipulerà il contratto :

  • Dietro presentazione  di autocertificazione DPR 445/00 di possesso dei requisiti generali ( ed eventualmente anche speciali ex art 80)
  • Richiesta del DURC
  • Consultazione casellario ANAC

Per importi tra 5000 e 20000 € :

  • Acquisisce autocertificazioen 445/00
  • Consulta casellario ANAC con verifica dettagliata dei requisti dell’articolo 80 commi 1,4 e 5 lettera bcsul casellario ANAC

Per importi superiori ad € 20000 :

  • Procede come consuetudine di legge

In ogni caso queste semplificazioni sono facoltative, ed in fase di verifica successiva alla stipulazione, qualora le dichiarazioni fossero false si procederà con pronta comunicazione all’ANAC dell’illecito ( oltre che per dichiarazioni non vere) , si pagheranno solo i corrispettivi effettivamente maturati nei limiti dell’utilità ricevuta .TARTOSCANAROTAZIONE21FEBBRAIO2018

Controlli Agente delle Riscossioni, dal 1 Marzo il limite scende ad euro 5000.

L’articolo 1 comma  986 della L. 205/17  dimezza il limite dal quale iniziare interrogare la’gente delle riscossioni prima di pagare un proprio fornitore ( 48 bis DRP 602/73- DM 40/08),

quindi a partire dal primo Marzo occorre fare l’interrogazione con la procedura Controllo Inadempienze di Consip ( acquistinretepa.it) a partire da € 5000 .

All’articolo 48-bis, comma 1, del decreto del Presidente della Repubblica 29 settembre 1973, n. 602, la parola: « diecimila » e’ sostituita dalla seguente: « cinquemila »

Quaderno GDPR – PARTE I-

Strutturalmente  il General Data Protection Regulation – Regolamento Generale sulla Protezione dei Dati

non si allontana molto dal nostro vecchio Codice del trattamento, salvo alcune specificità :

  • L’informativa
  • La modalità del consenso ( e  la liceità del trattamento in forza del consenso bifasico )
  • Sanzioni più incisive
  • Consenso del minore

da un punto di vista formale, e da un punto di vista operativo l’introduzione del principio dell’ ACCOUNTABILITY, la vera rivoluzione .

Cosa cambia ?

E’ cambiata la società, sono cambiati i tempi sono cambiate le aspettative verso l’informazione .

La norma comunitaria, come quella nostrana , no è intitolata alla PRIVACY, ma al corretto trattamento dei dati, e soprattutto occorre fare una precisazione fondamentale di politica regolamentare , il Reg. 2016/679 ed il Reg . 2014/910 devono essere letti come una complessiva idea comunitaria con l’obiettivo di uniformare il modo di generare le informazioni e di farle circolare liberamente nel mercato .

Infatti l’informazione ( il dato personale riferibile ad una persona fisica ) è definito come

bene giuridico , economicamente valutabile ed oggetto di scambio .

Tuttavia per ben approfondire la nuova norma rcordiamo anche che l‘informazione ed il dato personale  oltre ad avere una definizione economica hanno anche una definzione data dalla carat Europea dei Diritti Fondamentale , infatti l’articolo 8 recita:

Protezione dei dati di carattere personale

1.   Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

2.   Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica.

3.   Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente.

Proprio da questo richiamo ( non solitario ed univoco come vedremo nei prossimi approfondimenti ) , è chiaro che la norma non è intitlata ed intitolabile alla PRIVACY o RISERVATEZZA , ma al corretto trattamento dei DATI, come chiarito fin dal titolo “Regolamento Generale sulla Protezione dei Dati”

Il diritto alla protezione dei dati tutela l’informazioen riferita ( ed anche riferibile) ad un individuo, non tutela la personalità complessiva, solo una parte .
Anzi , occorre ribadire, che la tutela dell’identità personale è un istituto molto presente nel nostro ordinamento a differenza di quello europeo e pur essendo di creazione giurisprudenziale ha ben raccolto favori e successi, uno fra tutti il diritto all’oblio, non sempre conosciuto e disciplinato in altre realtà tranfrontaliere.

Ora conviene fermarci un moemnto e vedere le differenze tra il diritto alla protezione dei dati ed il diritto alla riservatezza.

Il primo diritto , quello alla protezione dei dati personali, consiste nella possibilità in capo al soggetto i cui dati si riferiscono,di esercitare un controllo, e come detto trova fonte primaria nell’articolo 8 della Carta dei Diritti Fondamentali dell’UE .

Il diritto alla riservatezza , invece , si concretizza nell’escludere la conoscenza di vicende personali e familiari , e trae evidentemente origine proprio dalla pietra miliare della PRIVACY, l’articolo WARREN – BRANDEIS  sul

“RIGHT TO BE LET ALONE ” e sul ” JUS SOLITUDINES” .

Enunciati che ritroviamo all’aritolo 7 della Carta Europea :

Rispetto della vita privata e della vita familiare

Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni.

In Italia il diritto alla riservatezza è stato riconosciuto dalla Corte di Cassazione con pronuncia 2129/1975.

In estrema sintesi, il diritto alla protzione dei dati ed il diritto alla riservatezza hanno oggetto diverso, possono talvolta coincidere, esempio classico è LA CARTELLA CLINICA.

Spostiamo ora l’attenzione sul perchè nasce l’esigenza del GDPR, la risposta è chiara ed univoca , contenuta nel considerando n. 9 ;

Sebbene i suoi obiettivi e principi rimangano tuttora validi, la direttiva 95/46/CE non ha impedito la frammentazione dell’applicazione della protezione dei dati personali nel territorio dell’Unione, né ha eliminato l’incertezza giuridica o la percezione, largamente diffusa nel pubblico, che in particolare le operazioni online comportino rischi per la protezione delle persone fisiche. La compresenza di diversi livelli di protezione dei diritti e delle libertà delle persone fisiche, in particolare del diritto alla protezione dei dati personali, con riguardo al trattamento di tali dati negli Stati membri può ostacolare la libera circolazione dei dati personali all’interno dell’Unione. Tali differenze possono pertanto costituire un freno all’esercizio delle attività economiche su scala dell’Unione, falsare la concorrenza e impedire alle autorità nazionali di adempiere agli obblighi loro derivanti dal diritto dell’Unione. Tale divario creatosi nei livelli di protezione è dovuto alle divergenze nell’attuare e applicare la direttiva 95/46/CE.

Inoltre come all’inizio scritto bisogna ben ricordare che il GDPR è il completamento naturale e fisiologico dell’ EIDAS, letti assieme hanno l’obiettivo di creare il MERCATO UNICO DIGITALE delle informazioni.

Ovviamente i dati trattati non possono essere utilizzati senza nessuna regola, e di queste regole bisogna tenerne conto, da qui il principio dell’ACCOUNTABILITY , articolo 32 GDPR .

Sicurezza del trattamento

1.   Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a)

la pseudonimizzazione e la cifratura dei dati personali;

b)

la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c)

la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

d)

una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

2.   Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

3.   L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

4.   Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

L’articolo parla chairamente di misure :

  • TECNICHE
  • ORGANIZZATIVE
  • GESTIONALI

indi è necessario non commettere l’errore di delegare le politiche di sicurezza dei dati alla funzione informatica e basta.

La valutazione tecnico – gestionale deve avere le connotazioni proprie dei modelli organizzativi, dell’as is anlisys , della ricerca del gap, del management , dell’assessment, delle politica correttive, dei risultati attesi e dei correttivi sulla dispersione da questi.

Solo partendo dalla suddetta valutazione contempliamo  l’acconutability, che viaggerà su due livelli :

1) Misure obbligatorie e prova dell’attuazione

2) Misure e sistemi volontaristici.

La valutazione dell’impatto .

Ancor prima di iniziare un trattamento il titolare deve valutare i rischi e decidere le politiche ( policy, presidi, controlli e rendicontazione ) per minimizzare l’uso illecito dei dati personali .

Qualora siano i rischi residuali ( terminologia ISO 31000 ) siano elevati occorre la consultazione preventiva coll’Autorità Amministrativa Indipendente.

Il Bilanciamento degli interessi .

Fin dal 2003, con il D.Lgs 196/03 ho rappresentato una parte minoritaria della dottrina che considerava il diritto alla protezioen dei dati un diritto “fondamentale ma non troppo” , ma lottavo in un’arena dove la norma era intitolata alla PRIVACY ( o meglio PRAIVACI , scusatemi la poca aleganza ) , prendendomi sempre qualche bella soddisfazione .

Già si considerava l’informazione un bene economico, era quindi chiara la tendenza normativa, poi con il Reg.  UE 2014/910 sempre più mi son fatto forte del fatto che anche il legislatore stava correndo ai ripari ( lessicali , l’intento era chiaro anche nella direttiva 95/46/CE ) , poi nel 2015 una chiara sentenza della Corte di Cassazione, n. 10280/15 sez III recita e sancisce

IL DIRITTO ALLA PROTEZIONE DEI DATI PUR RIENTRANDO NEI DIRITTI FONDAMENTALI NON E’ UN “TOTEM AL QUALE POSSONO SACRIFICARSI ALTRI DIRITTI COSTITUZIONALMENTE GARANTITI” …IL DIRITTO ALLA PROTEZIONE DEI DATI DEVE ESSERE ” COORDINATO E BILANCIATO” CON LE NORME DI CARATTERE PUBBLICISTICO E PRIVATISTICO.

Poi, nel 2016 con il GDPR la massima chiarezza nella lettera del 4 ° considerando :

Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.

La norma sembrerà complessa, ma è chiara, ancora una volta avremo come interocutori faccendieri improvvisati che non hanno la minima conoscenza di norme pubbliche e di gestione organizzativa dell’azienda, ma quando sentite parlare di PRAIVACI scappate, chiedete di discutere sul Corretto Trattamento dei Dati..

Continua la nostra DIGITAL COMMEDIA .

A presto

WHISTLEBLOWER

Applicativo segnalazione di  illeciti

https://servizi.anticorruzione.it/segnalazioni/#/

 

Segnalazioni degli illeciti

Appresso il comunicato ANAC

 

Segnalazioni  di illeciti presentate dal dipendente pubblico (c.d. Whistleblower)

L’Autorità comunica che a partire dall’  8 febbraio 2018 sarà operativa l’applicazione informatica Whistleblower per l’acquisizione e la gestione, nel rispetto delle  garanzie di riservatezza previste dalla normativa vigente, delle segnalazioni  di illeciti da parte dei pubblici dipendenti, come definiti dalla nuova  versione dell’art. 54 bis del d.lgs.165/2001 e ss.mm.. Al fine, quindi, di  garantire la tutela della riservatezza, in sede di acquisizione della  segnalazione, l’identità del segnalante verrà segregata e lo stesso, grazie  all’utilizzo di un codice identificativo univoco generato dal sistema, potrà “dialogare”  con l’ANAC in maniera spersonalizzata, tramite la piattaforma informatica.
Quanto sopra per evidenziare che a  partire dalla entrata in esercizio del suddetto portale, potrà essere garantita  la massima riservatezza esclusivamente alle segnalazioni pervenute tramite il descritto  sistema. Conseguentemente, le segnalazioni inoltrate, a partire dall’entrata in  vigore della legge n. 179/2017, tramite ogni altro canale (telefono, posta  elettronica, certificata e non, protocollo generale), dovranno essere  nuovamente inoltrate utilizzando solo e unicamente la piattaforma

Incontro di (in)formazione in materia di sicurezza dei dati. Il 25 maggio è davvero prossimo!

C.A. Dirigenti Scolastici e Direttori S.G.A.

Oggetto: Incontro di (in)formazione su temi normativi cogenti

La Consulenti Associati S.a.s. di Elisa Carotenuto ed il dott. Vincenzo De Prisco di pregiano di invitarVi all’incontro che si terrà il giorno 22 febbraio p.v. alle ore 10.00 presso l’I.C. “Amalfi Massa” di Piano di Sorrento, via Ciampa.

Il programma dell’incontro verterà sui seguenti argomenti:

  • Il Codice dell’Amministrazione Digitale, tra modifiche, riedizioni ed il D.Lgs. 217/17
  • Il Corretto Trattamento dei Dati tra social e privacy
  • Il Regolamento Europeo 2016/679. Cosa cambia?
  • La sicurezza informatica tra Agid e GDPR. Minima o adeguata?

Vi aspettiamo!

Cordialmente, Elisa e Vincenzo

Incontro di (in)formazione sui temi della sicurezza informatica, tra Agid e GDPR – Liceo Sensale, Nocera Inferiore

C.A. Dirigenti Scolastici e Direttori S.G.A.

Oggetto: Incontro di (in)formazione su temi normativi cogenti

La Consulenti Associati S.a.s. di Elisa Carotenuto ed il dott. Vincenzo De Prisco di pregiano di invitarVi all’incontro che si terrà il giorno 16 febbraio p.v. alle ore 10.00 presso il Liceo Scientifico Sensale, via S. D’Alessandro, Nocera Inferiore, ospiti della D.s. Prof.ssa Elvira D’Ambrosio.

Il programma dell’incontro verterà sui seguenti argomenti:

  • Il Codice dell’Amministrazione Digitale, tra modifiche e riedizioni
  • Il Corretto Trattamento dei Dati tra social e privacy
  • Il Regolamento Europeo 2016/679. Cosa cambia?
  • La sicurezza informatica tra Agid e GDPR. Minima o adeguata?

Vi aspettiamo!

Cordialmente, Elisa e Vincenzo

Aziende speciali fuori dalla portata della Delibera ANAC 235/17 – Autorità Nazionale Anticorruzione Linee guida n. 7, di attuazione del D.Lgs. 18 aprile 2016, n. 50 recanti « Linee Guida per l’iscrizione nell’ Elenco delle amministrazioni aggiudicatrici e degli enti aggiudicatori che operano mediante affidamenti diretti nei confronti di proprie società in house previsto dall’art. 192 del d.lgs. 50/2016 ».

Preciso e premetto che questo post riporta solo ed esclusivamente una mia analisi, invero di interpretazione minoritaria e contrastante con talune notissime testate specializzate, una fra tutte:

http://www.quotidianoentilocali.ilsole24ore.com/art/servizi-pubblici/2018-01-15/aziende-speciali-fondazioni-e-controlli-controlli-occorre-fare-chiarezza-190643.php?uuid=AEZuqAjD

 

Partiamo dagli elementi normativi prima facie:

L’ articolo 5 del codice degli appalti e gli articoli 4 e 16 del TU delle società partecipate ( D.Lgs 175/16)

L’articolo 5 del D.Lgs 50/16 elenca gli elementi ( che contemporaneamente devono esistere ) di esclusione dall’applicazione del codice , dettagliatamente :

a   l’amministrazione giudicatrice esercita il controllo analogo

b   oltre l’80% dei servizi svolti dalla persona giuridica controllata è attuazione statutaria attuata  in convenzione

c   nella persona giuridica controllata non vi è capitale privato

 

Già leggendo questi elementi è chiaro che i richiami sono propri, anche anche nel  lessico, alle società pubbliche, come anche la rubrica della deliberazione 951.

Gli articoli 4 e 16 del TU delle partecipate chiaramente sono le fonti ispiratrici del predetto articolo del Codice Appalti e dettano alcuni parametri valutativi per srl e spa, non per le aziende costituite ai sensi dell’articolo 114 del Testo Unico degli ENTI LOCALI.

Casistiche e prassi:

Le aziende speciali svolgono attività prive di rilevanza economica come chiarito nell’articolo 113 bis del TUEL lett b.

Se la norma degli affidamenti in house avesse voluto coinvolgere anche le aziende speciali, avrebbe dovuto menzionarle, assieme alle istituzioni ( lett  c ), invece la norma di primo e secondo livello richiama sempre le società partecipate  ( lett a ).

Art. 113-bis (Gestione dei servizi pubblici locali privi di rilevanza economica)

  1. Ferme restando le disposizioni previste per i singoli settori, i servizi pubblici locali privi di rilevanza economica sono gestiti mediante affidamento diretto a:
    a) istituzioni;
    b) aziende speciali, anche consortili;
    c) società a capitale interamente pubblico a condizione che gli enti pubblici titolari del capitale sociale esercitino sulla società un controllo analogo a quello esercitato sui propri servizi e che la società realizzi la parte più importante della propria attività con l’ente o gli enti pubblici che la controllano.

 

Inoltre è opportuno ricordare che le aziende speciali non hanno degli affidamenti o delle concessioni, ma svolgono (in maniera analoga!!!) un compito, un servizio, un lavoro od una generica attività in seno ad una convenzione .

Ancora, volendo pensare ad affidamenti di lavori o servizi, sarebbero tutti nulli non potendoli programmare ex articolo 21 codice appalti.

Altro problema operativo, non di poco conto e nemmeno remoto, sarebbe l’applicazione dell’articolo 15 della 241/90 (accordi tra PA).

E poi, onestamente visto l’istituto del controllo analogo (proprio caratterizzante le AZIENDE SPECIALI), sarebbe difficile uscirne dalla casistica del conflitto d’interesse dell’articolo 42 del codice degli appalti.

Ma a questo punto nasce una questione verso la quale tutti hanno abbassato la guardia ed accettato che le Aziende SPECIALI SI INSERISSERO NELL’ELENCO delle società affidatarie in house ,

“perché la piattaforma ANAC permette l’iscrizione ?”

A mio avviso semplicemente perché queste in autonomia possono svolgere altri compiti non disciplinati dalla convenzione costitutiva, quindi possono partecipare, garantendone l’economicità, agli affidamenti  ex articolo 36 del D.Lgs 50/16.

 

E poi, il normatore avrebbe potuto intitolare le LL GG

“Linee Guida per l’iscrizione nell’Elenco delle amministrazioni aggiudicatrici e degli enti aggiudicatori che operano mediante affidamenti diretti nei confronti di proprie società in house  ed aziende speciali previsto dall’art. 192 del d.lgs. 50/2016

Il CAD, le novità dirompenti , quelli che…a volte ritornano, e nuovi poteri .

La novità dirompente è certamente rappresentata dalla modificazione all’articolo 6, UTILIZZO DEL DOMICILIO DIGITALE.

Le comunicazioni tramite i domicili digitali sono effettuate
agli indirizzi inseriti negli elenchi di cui agli articoli 6-bis,
6-ter e 6-quater, o a quello eletto come domicilio speciale per
determinati atti o affari ai sensi dell’articolo 3-bis, comma
4-quinquies. Le comunicazioni elettroniche trasmesse ad
uno dei domicili digitali di cui all’articolo 3-bis producono,
quanto al momento della spedizione e del ricevimento, gli
stessi effetti giuridici delle comunicazioni a mezzo raccomandata
con ricevuta di ritorno ed equivalgono alla notificazione
per mezzo della posta salvo che la legge disponga
diversamente. Le suddette comunicazioni si intendono spedite
dal mittente se inviate al proprio gestore e si intendono
consegnate se rese disponibili al domicilio digitale del destinatario,
salva la prova che la mancata consegna sia dovuta
a fatto non imputabile al destinatario medesimo. La data e
l’ora di trasmissione e ricezione del documento informatico
sono opponibili ai terzi se apposte in conformità alle Linee
guida.

La portata è talmente amplia che accanto ai già noti elenchi IPA, INI-PEC e R.I è istituito l’Indice Nazionale dei domicili digitali delle persone fisiche e degli altri enti non tenuti all’iscrizione il albi professionali e CCIAA, come palesato dall’articolo 6 quater

Indice nazionale dei domicili digitali delle persone
fisiche e degli altri enti di diritto privato, non tenuti
all’iscrizione in albi professionali o nel registro delle imprese
1. E’ istituito il pubblico elenco dei domicili digitali delle persone
fisiche e degli altri enti di diritto privato non tenuti all’iscrizione
in albi professionali o nel registro delle imprese, nel
quale sono indicati i domicili eletti ai sensi dell’articolo 3-bis,
comma 1-bis. La realizzazione e la gestione dell’Indice sono
affidate all’AgID, che vi provvede avvalendosi delle strutture
informatiche delle Camere di commercio gia’ deputate
alla gestione dell’elenco di cui all’articolo 6-bis.
2. Per i professionisti iscritti in albi ed elenchi il domicilio
digitale e’ l’indirizzo inserito nell’elenco di cui all’articolo
6-bis, fermo restando il diritto di eleggerne uno diverso ai
sensi dell’articolo 3-bis, comma 1-bis. Ai fini dell’inserimento
dei domicili dei professionisti nel predetto elenco il Ministero
dello sviluppo economico rende disponibili all’AgID,
tramite servizi informatici individuati nelle Linee guida, i
relativi indirizzi gia’ contenuti nell’elenco di cui all’articolo
6-bis.

Tuttavia la stessa norma al comma 3 prescrive la temporaneità di questo elenco nelle more della messa a regime dell’ANPR .

Grosse modifiche anche all’articolo 17 del codice che sottolinea :

  • la presenza del RTD in ogni PA
  • e sposta centralmente presso l’AGID l’ufficio del Difensore civico ,

per chi volesse approfondire la previgente norma , che comunque resta valida negli obiettivi :

e

Lo stesso articolo 17 , si novella di precisazioni attorno alle funzioni del RTD al comma 1 lett j bis :

…pianificazione e coordinamento degli acquisti di soluzioni
e sistemi informatici, telematici e di telecomunicazione
al fine di garantirne la compatibilita’ con gli obiettivi di
attuazione dell’agenda digitale e, in particolare, con quelli
stabiliti nel piano triennale di cui all’articolo 16, comma 1,
lettera b).

In poche parole il RTD è il progettista degli acquisti in ambito informatico ( e non scoperchio il vespaio degli acquisti informatici , cfr il grosso danno erariali degli acquisti per la dematerializzazione in barba all’articolo 61 del D.lgs 179/16) .

Altra novità è lo sdoganamento ( come già avviene all’articolo 22 del D.Lgs 50/16) dei portatori di interesse, meglio conosciuti col malefico nome di lobby . Infatti l’articolo 18 del CAD introduce la piattaforma nazionale per la governance della trasformazione digitale , ove possono incontrarsi le esigenze delle PP.AA. e dei portatori di interesse .

Piattaforma nazionale per la governance della trasformazione
digitale
1. E’ realizzata presso l’AgID una piattaforma per la consultazione
pubblica e il confronto tra i portatori di interesse
in relazione ai provvedimenti connessi all’attuazione dell’agenda
digitale.
2. AgID identifica le caratteristiche tecnico-funzionali della
piattaforma in maniera tale da garantire che la stessa sia
accessibile ai portatori di interessi pubblici e privati e che
sia idonea a raccogliere suggerimenti e proposte emendative
in maniera trasparente, qualificata ed efficace.
3. Il Piano triennale per l’informatica nella pubblica
amministrazione di cui all’articolo 14-bis e’ pubblicato sulla
piattaforma e aggiornato di anno in anno.
4. Tutti i soggetti di cui all’articolo 2, comma 2, lettera a),
possono pubblicare sulla piattaforma i provvedimenti che
intendono adottare o, qualora si tratti di provvedimenti soggetti
a modifiche e aggiornamenti periodici, gia’ adottati,
aventi ad oggetto l’attuazione dell’agenda digitale.
5. I soggetti di cui all’articolo 2, comma 2, lettera a), tengono
conto di suggerimenti e proposte emendative raccolte
attraverso la piattaforma.

L’articolo 20, croce e delizia dei giuristi del c.d. DAE ( diritto amministrativo elettronico ) pur non avendo modificato di molto ( per niente ) la portata , ha introdotto un poco di ordine ( che dovrebbe essere proprio del TU ) ricordando dell’efficacia giuridica e dell’opponibilità   ex art 2702 inserendo ne codice il principio dell’articolo 25 del Reg Eu/2014/910( EIDAS) , riporto il comma 1 bis :

1-bis. Il documento informatico soddisfa il requisito della
forma scritta e ha l’efficacia prevista dall’articolo 2702 del
Codice civile quando vi e’ apposta una firma digitale, altro
tipo di firma elettronica qualificata o una firma elettronica
avanzata o, comunque, e’ formato, previa identificazione
informatica del suo autore, attraverso un processo
avente i requisiti fissati dall’AgID ai sensi dell’articolo 71
con modalita’ tali da garantire la sicurezza, integrita’ e
immodificabilita’ del documento e, in maniera manifesta e
inequivoca, la sua riconducibilita’ all’autore. In tutti gli
altri casi, l’idoneita’ del documento informatico a soddisfare
il requisito della forma scritta e il suo valore probatorio sono
liberamente valutabili in giudizio, in relazione alle caratteristiche
di sicurezza, integrita’ e immodificabilita’. La data e
l’ora di formazione del documento informatico sono opponibili
ai terzi se apposte in conformita’ alle Linee guida.
1-ter. L’utilizzo del dispositivo di firma elettronica qualificata
o digitale si presume riconducibile al titolare di firma
elettronica, salvo che questi dia prova contraria.
1-quater. Restano ferme le disposizioni concernenti il deposito
degli atti e dei documenti in via telematica secondo la
normativa, anche regolamentare, in materia di processo telematico.

Ritorna inoltre , ci è mancato per un anno circa, il piano di emergenza e continuità operativa delle PP AA, infatti l’articolo 51 ai commi 2 ter e quater reintroduce quanto abrogato dal D.Lgs 179/16

2-ter. I soggetti di cui all’articolo 2, comma 2, aderiscono
ogni anno ai programmi di sicurezza preventiva coordinati e
promossi da AgID secondo le procedure dettate dalla medesima
AgID con le Linee guida.
2-quater. I soggetti di cui articolo 2, comma 2, predispongono,
nel rispetto delle Linee guida adottate dall’AgID, piani
di emergenza in grado di assicurare la continuita’ operativa
delle operazioni indispensabili per i servizi erogati e il ritorno
alla normale operativita’. Onde garantire quanto previsto,
e’ possibile il ricorso all’articolo 15 della legge 7 agosto
1990, n. 241, per l’erogazione di servizi applicativi, infrastrutturali
e di dati, con ristoro dei soli costi di funzionamento.
Per le Amministrazioni dello Stato coinvolte si provvede
mediante rimodulazione degli stanziamenti dei pertinenti
capitoli di spesa o mediante riassegnazione alla spesa degli
importi versati a tale titolo ad apposito capitolo di entrata
del bilancio statale.

 

Ed ora la novità più grande che dovrebbe eliminare lo stallo di tutti i precedenti CAD, il potere in capo all’Agid di emanare LLGG dal tenore di soft law, infatti ora le regole tecniche dell’articolo 71 saranno targate AGID.

Penso che dopo 13 anni, la maturità della norma sia arrivata . CAD  , facci vedere cosa puoi fare !!!!

E poi mi piace sempre sottolineare che la risposta ad ogni “variazione” è sempre data dalla formazione, articolo 13 CAD

Formazione informatica dei dipendenti pubblici

Le pubbliche amministrazioni nell’ambito delle risorse finanziarie
disponibili, attuano politiche di reclutamento e formazione
del personale finalizzate alla conoscenza e all’uso delle
tecnologie dell’informazione e della comunicazione, nonché dei
temi relativi all’accessibilità e alle tecnologie assistive, ai sensi
dell’articolo 8 della legge 9 gennaio 2004, n. 4.
1-bis. Le politiche di formazione di cui al comma 1 sono altresì
volte allo sviluppo delle competenze tecnologi-che, di informatica
giuridica e manageriali dei dirigenti, per la transizione alla
modalità operativa digitale.

 

 

Scadenze varie !

Prossime scadenze :

– tempestivià dei pagamenti ( anche annuale ) — si ricorda che è possibile utilizzare l’istituto dell’articolo 7bis D.lgs 33/13
– file xml ANAC art 1 comma 32 L. 190/12
– Rilevazione del RPTC
– Piano triennale TeC

Scadenze e procedure !!!! RASA e whistleblowing

Un consiglio, se non volete vivere nell’emergenza gli adempimenti fateli leggendo le mie news e non aspettando i solleciti dei vari sindacati ed associazioni.

Solitamente avviso con un anno di anticipo, anzi per il RASA è stato raccomandato  anni addietro ,

scusate lo sfogo

Chi è il RASA ? E ‘ colui che gestisce anagarficamente l’AUSA !!!!!

Identificato in ? nell PA a struttura semplice è solitamente il RL . In quelle complesse è scelto tra i RUP, anche per motivi di economia gestionale, infatti così facendo si aggiunge un profilo piuttosto che un RUOLO .

Procedura iscrizione :

1) si va in https://servizi.anticorruzione.it/ e si inseriscono i dati del RUP

2) crea nuovo profilo

3) in tipologia del soggetto rappresentato scegliere AMMINISTRAZIONE O SOGGETTO AGGIUDICATORE

4) spuntare RASA

5) rispondere alle domande ( basta solo il CF della PA )

6) validate la PEC se richiesto.

 

SCADENZA della redazione del PTPC

Occorre aggiornare il PTPC , vi invito a leggere i PNA in particolare :

  •   IL 2014 per i principi generali di analisi del rischi
  • Il 2016 ( delibera ANAC 831 ) per Istituzioni Scolastiche , Ordini Professionali, Sanità

Si ricorda che per le ISA i RPC è il DG dell’USR, quindi attende direttive , infatti alla PARTE SPECIALE, Titolo IV, Par 1 , pag 56 è chiarmaente indicato.

Tutela del segnlatore di illeciti, il WHISTLEBLOWER.

Quanta confusione !!!

La recente modifica alla disciplina del WHISTLEBLOWER tocca maggiormente LE AZIENDE PRIVATE, infatti ha modificato l’articolo 6 del D.lgs 231/01, per il pubblico resta il vigore l’articolo 54 bis del D.Lgs 165/01, vi allego il modello da tempo presente in ANAC. Le procedure alternative devono essere gestire dal RPCT.

 

Il  miglior presidio resta un buon codice di comportamento ex DPR 62/13.

20160224_segnalazioni_illeciti_WB

 

 

 

 

Nuovo CAD e NUOVA PRIVACY ! Siete Pronti ? Direi di no!!!!

Meno di 20 giorni per il nuovo codice dell’amministrazione digitale e circa 60 per prepararci al GDPR, già vedo in giro tante soluzioni hardware e software con grande danno erariale ( vedi segreteria digitale etc etc )!!!!

 

Come sempre dovrebbe essere il RTD a dare le dritte , a buon intenditore poche parole…

…oltre  al danno erariale nullità originale degli atti e sanzioni amministrative e penali,

 

 

Modifica delle soglie dell’articolo 35 del D.Lgs 50/16

Le nuove soglie europee per i contratti pubblici sono le seguenti:

 

  • per i lavori la soglia passa da 5.225 a 5.548 milioni di euro;
  • per gli appalti di servizi e forniture aggiudicati da amministrazioni che sono autorità governative centrali si passa da 135.000 a 144.000 euro;
  • per gli appalti di servizi e forniture aggiudicati da altre amministrazioni la soglia passa da 209.000 a 221.000 euro;
  • per gli appalti di lavori nei settori speciali si applicheranno le regole Ue delle direttive sopra i 5.548 milioni;
  • per gli appalti di servizi e forniture nei settori speciali si passa da 418.000 a 443.000 euro;
  • per le concessioni esiste una sola soglia che viene portata a 5.548 milioni come per i bandi di lavori.

 

Scadenza AGID, attenzione a chi si improvvisa .

SI ricorda che nel nostro pacchetto è compresa la consulenza per il GDPR, con anche la nomina delle figure che verranno inserite negli elenchi di contatto delle AII.

Questa circolare è inviata perchè qualcuno senza le competenze specifiche dell’articolo 17 CAD e 37 GDPR continua a dare informazioni fuorvianti, o peggio a compilare modelli fallaci.

 

In estrema sintesi si ricorda chela consulenza deve essere sistemica ed organica , non mera compilazione di documenti

178205 ordineadagid

A cosa serve il responsabile alla transizione digitale ? ad evitare sanzioni.

Parliamone un po’.

Il responsabile alla transizione digitale  ( vedi anche questo post ),

è secondo l’articolo 17 CAD colui che si occupa de :

a) coordinamento strategico dello sviluppo dei sistemi informativi, di telecomunicazione e fonia, in modo da assicurare anche la coerenza con gli standard tecnici e organizzativi comuni;
b) indirizzo e coordinamento dello sviluppo dei servizi, sia interni che esterni, forniti dai sistemi informativi di telecomunicazione e fonia dell’amministrazione;
c) indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica relativamente ai dati, ai sistemi e alle infrastrutture anche in relazione al sistema pubblico di connettivita’, nel rispetto delle regole tecniche di cui all’articolo 51, comma 1;
d) accesso dei soggetti disabili agli strumenti informatici e promozione dell’accessibilita’ anche in attuazione di quanto previsto dalla legge 9 gennaio 2004, n. 4;
e) analisi ((periodica)) della coerenza tra l’organizzazione dell’amministrazione e l’utilizzo delle tecnologie dell’informazione e della comunicazione, al fine di migliorare la soddisfazione dell’utenza e la qualita’ dei servizi nonche’ di ridurre i tempi e i costi dell’azione amministrativa;
f) cooperazione alla revisione della riorganizzazione dell’amministrazione ai fini di cui alla lettera e);
g) indirizzo, coordinamento e monitoraggio della pianificazione prevista per lo sviluppo e la gestione dei sistemi informativi di telecomunicazione e fonia;
h) progettazione e coordinamento delle iniziative rilevanti ai fini di una piu’ efficace erogazione di servizi in rete a cittadini e imprese mediante gli strumenti della cooperazione applicativa tra pubbliche amministrazioni, ivi inclusa la predisposizione e l’attuazione di accordi di servizio tra amministrazioni per la realizzazione e compartecipazione dei sistemi informativi cooperativi;
i) promozione delle iniziative attinenti l’attuazione delle direttive impartite dal Presidente del Consiglio dei Ministri o dal Ministro delegato per l’innovazione e le tecnologie;
j) pianificazione e coordinamento del processo di diffusione, all’interno dell’amministrazione, dei sistemi di posta elettronica, protocollo informatico, firma digitale ((o firma elettronica qualificata)) e mandato informatico, e delle norme in materia di accessibilita’ e fruibilita’.
Inoltre mantenendo un profilo di pura narrazione è nei compiti assimilabile al DPO, riporto l’articolo l’articolo 37 comma c, 5  del Reg. 2016/679/UE
Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.
In parole semplici queste figure possono essere accorpate in una unica funzione ( e vige sempre il proncipio dell’articolo 7 comma 6 del D.Lgs 165/01) ed hanno il fine di ultimo di far evitare sanzioni.
Qualche esempio ?
  •   Quante PPAA hanno siti web conformi alle leggi ? ( avete controllato le LLGG AGID prima di rispondere ?)
  • Quante PPAA hanno sistemi documentali per la dematerializzazione ? Ma avete letto l’articolo 61 del D.lgs 179/16 ? No ?, ok, dice che dovete attendere le LLGG per la formaizone dei documenti ?
  • Quanti di voi mandano in conservazione il protocollo ? tutti ? siete sicuri ? non è che mandate in conservazione solo la pagina del giorno prima come da DPCM 03/12/13 in barba all’articolo 67 TUDA ?

Purtroppo molte PPAA hanno fatto investimenti sbagliati proprio perchè carenti di progettazione ( articolo 31 codice dei contratti ) .

Giusto per ulteriore chiarezza vi mando ad ul link di ottobre 2016, quando già era nota la scadenza di nomina .

 

Via libera al nuovo CAD

Entriamo in pieno CAD 6.0

“il Cad getta le fondamenta giuridiche per molti dei servizi stabiliti nel piano, servizi che si stanno già realizzando come, per esempio, quello di Cittadinanza Digitale o il Data & Analytics Framework (Daf), oppure ancora il servizio per l’elezione del domicilio digitale dei cittadini”.

 

Piacentini.

Nuova scadenza per la relazione a cura del RPC

LINK ANAC

 

Responsabili prevenzione corruzione e trasparenza
Prorogato al 31 gennaio 2018 il termine per la pubblicazione della Relazione annuale

I Responsabili della Prevenzione della corruzione e della trasparenza (RPCT) hanno tempo fino al 31 gennaio 2018 per pubblicare la Relazione annuale nella sezione ‘Amministrazione trasparente’ sottosezione ‘Altri contenuti-Corruzione’ dei siti internet istituzionali. Il provvedimento, disposto con il Comunicato del Presidente del 6 dicembre 2017, si è reso opportuno per consentire ai RPCT di svolgere adeguatamente tutte le attività connesse alla predisposizione dei Piani triennali di prevenzione della corruzione e della trasparenza entro il 31 gennaio 2018.

 

Sicurezza Informatica, le associazioni ed i sindacati, quanta confusione. Spero che finisca velocemente questo anno .

Da anni lavoro con :

  • Scuole
  • ASL
  • Aziende Ospedaliere
  • Ordini professionali
  • Piccoli comuni
  • Aziende speciali
  • Partecipate

ed ogni volta che si presenta qualche novità mi sento dire ” questa norma non è per noi ….”

…e diciamo nemmeno per il salumaio .

Le norme sono generiche , vanno adattate , nel nostro caso si applicano ai soggetti dell’articolo 2 comma 2 del CAD, che rimanda all’articolo 1 comma 2 del D .Lgs 165/01.

Inoltre è stata chiara in una delle tante riforme del CAD l’evidenza  che l’articolo 17 ( responsabile alla transizione e difensore civico digitale ) non è più  solo per le PA centrali come l’originario testo normativo , ma per le PA tout court come modificato dal D.lgs 179/16 ,

riporto in confronto tabellare :

PRIMA…

Le pubbliche amministrazioni centrali garantiscono l’attuazione delle linee strategiche per la riorganizzazione e digitalizzazione dell’amministrazione
…DOPO il 179/16
Le pubbliche amministrazioni garantiscono l’attuazione delle linee strategiche per la riorganizzazione e la digitalizzazione dell’amministrazione.
Ma andiamo oltre, perchè comunque il problema si sposta solo sulla funzione coinvolta e non sul problema da risolvere con l’adempimento contenuto del DPCM 01.08.2015, la sicurezza informatica.
Crediamo realmente che il danno erariale come scritto da qualche associazione sia pagare la consulenza per l’adeguamento ? se la risposta è si non proverò a convincervi, alzo le mani e mi arrendo .
E mentre l’associazione dichiarava pubblicamente di farvi esenti dalla scadenza, il Miur vi aveva invitato a seguire la propria formazione in merito.
Cari dirigenti dello Stato , siamo in rivoluzione industriale 4.0, il vero danno è non proteggere le informazioni, e costa ben più dei 2 – 3 mila euro della nomina del RTD e per l’adeguamento immediatamente successivo del registro dei trattamenti 679.
Vogliamo continuare a parlare di danno erariale ?
Non osservare l’articolo 10 comma 2 lett b, e l’articolo 30 del D.Lgs 42/2004 è danno erariale, l’avere acquistato soluzioni miste HW+SW per la dematerializzazione senza nessun criterio ( art 61 D.Lgs 179/16) è danno erariale, avere commissionato siti web inadeguati è danno erariale…
Si è vero non potevate sapere ( BAH ! ) che esistevano queste norme, non potete sapere tutto , ma chi dovrebbe dirvelo ? proprio il responsabile alla transizione digitale .
In ogni caso il problema si sposta di qualche giorno, proprio perchè il correttivo CAD  bollinato CDS chiarisce che :
– all’articolo 15 ( modifica del 17 del CAD ) il responsabile alla transizione sia presente in ogni PA, il difensore CIVICO presso l’AGID
– all’articolo 44 ( modifica del 51 CAD) ogni PA deve redigere un piano di CO-DR.
A presto, spero di essere il vs responsabile alla transizione.

Le istanze nel CAD

Le istanze verso una PA sono accettate se passano attraverso :

  • PEO
  • PEC
  • STRUTTURE INTEROPERABILI.

LA PEO, posta elettronica ordinaria ha sempre valore “se ne accerto la provenienza” , non è disciplinata dal CAD ma normata .

 

LA PEC, invece è ben disciplinata e normata dall’articolo 48 de CAD e dal DPC 68/2005.

 

L’INTEROPERABILITA’ ha invece la capacità di creare cooperazione docuemtale tra le diverse PA ( e non solo ) .

AI sensi dell’articolo 47 cad :

Le comunicazioni di documenti tra le pubbliche amministrazioni avvengono mediante l’utilizzo della posta elettronica o in cooperazione applicativa; esse sono valide ai fini del procedimento amministrativo una volta che ne sia verificata la provenienza. ((Il documento puo’ essere, altresi’, reso disponibile previa comunicazione delle modalita’ di accesso telematico allo stesso.))
il comma 2 dell’articolo 47 aiuta a definire la PROVENIENZA VALIDA :
Ai fini della verifica della provenienza le comunicazioni sono valide se: a) sono sottoscritte con firma digitale o altro tipo di firma elettronica qualificata; b) ovvero sono dotate di segnatura di protocollo di cui all’articolo 55 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445; c) ovvero e’ comunque possibile accertarne altrimenti la provenienza, secondo quanto previsto dalla normativa vigente o dalle regole tecniche di cui all’articolo 71. E’ in ogni caso esclusa la trasmissione di documenti a mezzo fax; d) ovvero trasmesse attraverso sistemi di posta elettronica certificata di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68.
Infine il comma 1 bis dell’articolo 47 ricorda il danno erariale, tra gli altri, dell’inosservanza della norma .
Voglio chiudere ricordando l’importanza dell’articolo 65 del CAD,
Istanze e dichiarazioni presentate alle pubbliche amministrazioni per via telematica
1. Le istanze e le dichiarazioni presentate per via telematica alle pubbliche amministrazioni e ai gestori dei servizi pubblici ai sensi dell’articolo 38, commi 1 e 3, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, sono valide:
a) se sottoscritte mediante la firma digitale o la firma elettronica qualificata, il cui certificato e’ rilasciato da un certificatore ((qualificato));
b) ovvero, quando ((l’istante o il dichiarante e’ identificato attraverso il sistema pubblico di identita’ digitale (SPID), nonche’ attraverso uno degli altri strumenti di cui all’articolo 64, comma 2-novies, nei limiti ivi previsti;)); ((
c) ovvero sono sottoscritte e presentate unitamente alla copia del documento d’identita’;));
c-bis) ovvero se trasmesse ((dall’istante o dal dichiarante)) mediante la propria casella di posta elettronica certificata purche’ le relative credenziali di accesso siano state rilasciate previa identificazione del titolare, anche per via telematica secondo modalita’ definite con regole tecniche adottate ai sensi dell’articolo 71, e cio’ sia attestato dal gestore del sistema nel messaggio o in un suo allegato. In tal caso, la trasmissione costituisce dichiarazione vincolante ai sensi dell’articolo 6, comma 1, secondo periodo. Sono fatte salve le disposizioni normative che prevedono l’uso di specifici sistemi di trasmissione telematica nel settore tributario;

Il responsabile alla transizione digitale nella PA.

Riporto il primo comma dell’articolo 17 del D.gs 82/2005 come modificato dal D.lgs 179/16, ricordando che a breve ci saranno ulteriori modifiche al CAD.
1. Le pubbliche amministrazioni garantiscono l’attuazione delle linee strategiche per la riorganizzazione e la digitalizzazione dell’amministrazione definite dal Governo in coerenza con le regole tecniche di cui all’articolo 71. A tal fine, ciascuno dei predetti soggetti affida a un unico ufficio dirigenziale generale, fermo restando il numero complessivo di tali uffici, la transizione alla modalita’ operativa digitale e i conseguenti processi di riorganizzazione finalizzati alla realizzazione di un’amministrazione digitale e aperta, di servizi facilmente utilizzabili e di qualita’, attraverso una maggiore efficienza ed economicita’. Al suddetto ufficio sono inoltre attribuiti i compiti relativi a:))
a) coordinamento strategico dello sviluppo dei sistemi informativi, di telecomunicazione e fonia, in modo da assicurare anche la coerenza con gli standard tecnici e organizzativi comuni;
b) indirizzo e coordinamento dello sviluppo dei servizi, sia interni che esterni, forniti dai sistemi informativi di telecomunicazione e fonia dell’amministrazione;
c) indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica relativamente ai dati, ai sistemi e alle infrastrutture anche in relazione al sistema pubblico di connettivita’, nel rispetto delle regole tecniche di cui all’articolo 51, comma 1;
d) accesso dei soggetti disabili agli strumenti informatici e promozione dell’accessibilita’ anche in attuazione di quanto previsto dalla legge 9 gennaio 2004, n. 4;
e) analisi ((periodica)) della coerenza tra l’organizzazione dell’amministrazione e l’utilizzo delle tecnologie dell’informazione e della comunicazione, al fine di migliorare la soddisfazione dell’utenza e la qualita’ dei servizi nonche’ di ridurre i tempi e i costi dell’azione amministrativa;
f) cooperazione alla revisione della riorganizzazione dell’amministrazione ai fini di cui alla lettera e);
g) indirizzo, coordinamento e monitoraggio della pianificazione prevista per lo sviluppo e la gestione dei sistemi informativi di telecomunicazione e fonia;
h) progettazione e coordinamento delle iniziative rilevanti ai fini di una piu’ efficace erogazione di servizi in rete a cittadini e imprese mediante gli strumenti della cooperazione applicativa tra pubbliche amministrazioni, ivi inclusa la predisposizione e l’attuazione di accordi di servizio tra amministrazioni per la realizzazione e compartecipazione dei sistemi informativi cooperativi;((28))
i) promozione delle iniziative attinenti l’attuazione delle direttive impartite dal Presidente del Consiglio dei Ministri o dal Ministro delegato per l’innovazione e le tecnologie;
j) pianificazione e coordinamento del processo di diffusione, all’interno dell’amministrazione, dei sistemi di posta elettronica, protocollo informatico, firma digitale ((o firma elettronica qualificata)) e mandato informatico, e delle norme in materia di accessibilita’ e fruibilita’.
Questa figura può degenerare con quella del DPO ai sensi dell’articolo 37 del Reg UE/2016/679 e  diviene strategica per tutto l’impianto normativo che avremo nei prossimi cinque anni, infatti si ricorda che è onere del responsabile alla transizione digitale redigere il Piano AGid 2/2017 sulla sicurezza informatica.
Inoltre  a partire da fine Novembre 2017 le PPAA avranno a disposizione un applicativo sull’IndicePA per la creazione e publicizzazione dell’ “Ufficio per la transizione al Digitale”.
Buon Lavoro.

Prossimi incontri per le scuole, date e info

Spett.li D.s. e D.s.g.a.

Vista l’imminenza delle scadenze Agid e la necessità di verificare lo stato dei fatti,

Visti gli aggiornamenti vari,

Sono in calendario tre incontri formativi ai quali vi invitiamo a partecipare, in base alle reti o prossimità territoriali:

  • Venerdì 17 Novembre, ore 9.30, presso il Secondo Circolo Didattico di Gragnano, via Vittorio Veneto, 18
  • Martedì 21 Novembre, ore 9.30, presso l’I.C. 3° Castaldi Rodari di Boscoreale, via Marchesa
  • Giovedì 23 Novembre, ore 10.00, presso l’I.C. Eduardo De Filippo di Poggiomarino, via XXV Aprile, 10

E’ gradita la presenza, oltre che dei D.s. e dei D.s.g.a., dei Responsabili per la Transizione Digitale.

Cordialmente

Elisa Carotenuto e Vincenzo De Prisco

Controlli Equitalia a partire da € 5000.00

L’articolo 82 del DDL per la legge di Bilancio 2018 modifica la norma contenuta nel 48 BIS del DPR 602/73, quindi i valori introdotti dal DM 40/2008 vengono dimezzati.

Operativamente a partire dal 01/03/2018 i controlli per le inadempienze dei fornitori di lavori, beni e servizi della PA verranno eseguiti a partire da € 5000.

Prepariamoci in tempo riscrivendo i processi interni di liquidazione e pagamento

Pagamenti informatici della PA.

E’ importante ricordare che il CAD. le lineee guida sui pagamenti informatici ed il piano triennale danno come scadenza quella del 31/12/2017 per l’abilitazione al nodo SPC-PAGOPA .
stralcio articolo 5 del D.Lgs 82/05
Art. 5 (Effettuazione di pagamenti con modalita’ informatiche).
((1. I soggetti di cui all’articolo 2, comma 2, sono obbligati ad accettare, tramite la piattaforma di cui al comma 2, i pagamenti spettanti a qualsiasi titolo attraverso sistemi di pagamento elettronico, ivi inclusi, per i micro-pagamenti, quelli basati sull’uso del credito telefonico. Resta ferma la possibilita’ di accettare anche altre forme di pagamento elettronico, senza discriminazione in relazione allo schema di pagamento abilitato per ciascuna tipologia di strumento di pagamento elettronico come definita ai sensi dell’articolo 2, punti 33), 34) e 35) del regolamento UE 2015/751 del Parlamento europeo e del Consiglio del 29 aprile 2015 relativo alle commissioni interbancarie sulle operazioni di pagamento basate su carta.))
((2. Al fine di dare attuazione al comma 1, l’AgID mette a disposizione, attraverso il Sistema pubblico di connettivita’, una piattaforma tecnologica per l’interconnessione e l’interoperabilita’ tra le pubbliche amministrazioni e i prestatori di servizi di pagamento abilitati, al fine di assicurare, attraverso gli strumenti di cui all’articolo 64, l’autenticazione dei soggetti interessati all’operazione in tutta la gestione del processo di pagamento.))
La piattaforma abilitante prevede un terzo soggetto ( il prestatore di servizi di pagamento ) che dietro contratto di servizi gestisce gli incassi della PA abilitata al PAGO PA mediante la procedura AGID.
Il servizio PagoPA è ulteriormente richiamato a livello normativo nell’articolo 15 comma 5 bil del DL 179/12 ( crescita del paese ), che riporto ,
5-bis. Per il conseguimento degli obiettivi di razionalizzazione e contenimento della spesa pubblica in materia informatica ed al fine di garantire omogeneita’ di offerta ed elevati livelli di sicurezza, le amministrazioni pubbliche devono avvalersi per le attivita’ di incasso e pagamento della piattaforma tecnologica di cui all’articolo 81, comma 2-bis, del decreto legislativo 7 marzo 2005, n. 82, e delle piattaforme di incasso e pagamento dei prestatori di servizi di pagamento abilitati ai sensi dell’articolo 5, comma 3, del decreto legislativo 7 marzo 2005, n.82.
Dal tenore della norma è evidente che l’obbligo della PA è contrapposto al diritto dei privati di poter pagare le obbligazioni ( qualsiasi ) con gli strumenti elettronici, tanto è vero che la PA non può mettere in mora il debitore se non si è dotato del SPC PAgoPA.
Il servizio di pagamento deve avere i seguenti elementi minimi :
a) Denominazione ente creditore
b) ID univoco debitore
c) Importo
d) ID univoco di versamento
e) Scadenza ( eventuale),
inoltre deve liberare immediatamente il debitore con amplia quietanza ( esempio di pagamento eseguito l’ultimo giorno), accettare tutti i tipi di pagamento , pagamenti in credito od in debito di plastica, moneta elettronica, borsellino elettronico, SEPA, mobile payment etc. e deve indicare sin dall’inizio il costo massimo dell’operazione.

Focus sulle prossime scadenze, incontro a Cerreto Sannita

Spett.li D.s. e D.s.g.a.

in vista delle prossime scadenze e delle novità normative e procedurali,

Vi aspettiamo

Lunedì 30 Ottobre, alle ore 9.30 presso l’I.C. “A. Mazzarella” di Cerreto Sannita (BN), ospiti della Ds Anna Maria Puca.

L’incontro affronterà i temi ed i dubbi più ricorrenti nelle istituzioni scolastiche, approcciati con la consueta ortodossia ed in considerazione di ciò che avverrà nei prossimi 200 giorni, dalle misure di sicurezza agli adempimenti AGID, fino all’ultima grande novità di primavera, con l’entrata in vigore del nuovo Regolamento Europeo Privacy.

Cordialmente, Elisa Carotenuto e Vincenzo De Prisco

Split Payment, le escluse ad Ottobre sono obbligate da Gennaio.

Lo split payment, con decorrenza dalle fatture emesse dal 1° gennaio 2018, cambia nuovamente il perimetro soggettivo di applicazione. Allargata ulteriormente l’applicazione dello specifico meccanismo di riscossione dell’Iva alle aziende speciali e alle società partecipate.

 

SCHEDA INFORMATIVA REGOLAMENTO 2016/679/UE: LE PRIORITA’ PER LE PA

Riporto la scheda delle priorità per le PP.AA. redatta dal GPDR .

La principale novità introdotta dal regolamento è il principio di “responsabilizzazione” (cd. accountability), che attribuisce direttamente ai titolari del trattamento il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali (art. 5).

In quest’ottica, la nuova disciplina impone alle amministrazioni un diverso approccio nel trattamento dei dati personali, prevede nuovi adempimenti e richiede un’intensa attività di adeguamento, preliminare alla sua definitiva applicazione a partire dal 25 maggio 2018.

Al fine di fornire un primo orientamento il Garante per la protezione dei dati personali suggerisce alle Amministrazioni pubbliche di avviare, con assoluta priorità:

1. la designazione del Responsabile della protezione dei dati – RPD (artt. 37-39)

Questa nuova figura, che il regolamento richiede sia individuata in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati, costituisce il fulcro del processo di attuazione del principio di “responsabilizzazione”. Il diretto coinvolgimento del RPD in tutte le questioni che riguardano la protezione dei dati personali, sin dalla fase transitoria, è sicuramente garanzia di qualità del risultato del processo di adeguamento in atto. In questo ambito, sono da tenere in attenta considerazione i requisiti normativi relativamente a: posizione (riferisce direttamente al vertice), indipendenza (non riceve istruzioni per quanto riguarda l’esecuzione dei compiti) e autonomia (attribuzione di risorse umane e finanziarie adeguate);

2. l’istituzione del Registro delle attività di trattamento (art. 30 e cons. 171)

Essenziale avviare quanto prima la ricognizione dei trattamenti svolti e delle loro principali caratteristiche (finalità del trattamento, descrizione delle categorie di dati e interessati, categorie di destinatari cui è prevista la comunicazione, misure di sicurezza, tempi di conservazione, e ogni altra informazione che il titolare ritenga opportuna al fine di documentare le attività di trattamento svolte) funzionale all’istituzione del registro. La ricognizione sarà l’occasione per verificare anche il rispetto dei principi fondamentali (art. 5), la liceità del trattamento (verifica dell’idoneità della base giuridica, artt. 6, 9 e 10) nonché l’opportunità dell’introduzione di misure a protezione dei dati fin dalla progettazione e per impostazione (privacy by design e by default, art. 25), in modo da assicurare, entro il 25 maggio 2018, la piena conformità dei trattamenti in corso (cons. 171);

3. la notifica delle violazioni dei dati personali (cd. data breach, art. 33 e 34)

Fondamentale appare anche, nell’attuale contesto caratterizzato da una crescente minaccia alla sicurezza dei sistemi informativi, la pronta attuazione delle nuove misure relative alle violazioni dei dati personali, tenendo in particolare considerazione i criteri di attenuazione del rischio indicati dalla disciplina e individuando quanto prima idonee procedure organizzative per dare attuazione alle nuove disposizioni.

Indicatore tempestività pagamenti scadenza Ottobre 2017

Scadenza di fine Ottobre ,

si invita a leggere il seguente post per una visione completa delle modifiche normative :

La trasparenza : Tempestività dei pagamenti della PA.

 

Il Decreto Legge 66/14 in diversi punti sottolinea l’importanza di una giusta misurazione dei tempi di ritardo dei pagamenti da parte delle PP.AA., ed ancora di più la necessità di una chiara indicazione di questi per un duplice motivo :

–          Creare una discriminante operativa da parte del soggetto economico privato ( motivo esogeno)

–          Valutare le performance della PA ( motivo endogeno)

Gli indicatori di tempestività avranno questa cadenza:

–          30 Aprile per il trimestre primo

–          31 Luglio per il trimestre secondo

–          31 Ottobre per il trimestre terzo

–          31 gennaio per il trimestre quarto e per l’indice annuale.

Come calcolare l’Indice di tempestività dei pagamenti.

L’indice deve essere considerato come ritardo medio dei pagamenti ponderato con l’ammontare facciale delle fatture, quindi avremo al numeratore la somma dell’importo di ciascuna fattura moltiplicata per il ritardo espresso in giorni ( feriali e festivi ) che intercorrono tra la data pattuita di scadenza ed il mandato in tesoreria, ed al denominatore la somma delle fatture.

In allegato un xls di esempio.

Si ricorda che ai sensi del D.Lgs 33/13 articolo 33 l’indicatore deve essere indicato nell’are amministrazione trasparente alla voce PAGAMENTI DELL’AMMINISTRAZIONE / INDICATORE DI TEMPESTIVITA’ DEI PAGAMENTI.

 

calcoloindice.xlsx
ritardo_pagamenti.pdf

Nuovi prezzi di riferimento CARTA A4

Aggiornamento annuale prezzi di riferimento delle risme di carta A4 f effettuato ai sensi dell’art. 9, comma 7 del d.l. 66/2014.

In allegato il foglio di calcolo.

MASCHERA_CALCOLO_PREZZI_RIFERIMENTO_CARTA_2017_protetta

Qualche anticipazione sul CAD 6.0

“È vero che talvolta occorre cambiare qualche legge. Ma il caso è raro; e quando avviene, bisogna ritoccarle con mano tremante: con tanta solennità e con tante precauzioni che il popolo debba concluderne che le leggi sono veramente sante; e soprattutto con tanta chiarezza che nessuno possa dire di non averle capite. (Montesquieu)”

L’8 settembre ultimo è stata depositata per l’ultima lettura la normativa “correttivo al CAD”, quindi siamo a quota 6.

Le maggiori novità riguardano :

  • Poteri regolatori dell’AgID ( potrà emanare soft-law, regolamenti, cfr ll.gg. ANAC)
  • Attuazione  immediata del domicilio digitale senza attendere il pieno regime dell’ANPR
  • Nuovi poteri al responsabile della transizione al digitale ( che dovrà essere nomianto per attuare le scadenze imposte e certificate dalla circolare 2/2017 AgID)
  • Possibilità di nominare il responsabile per la transizione al digitale “condiviso” per abbattere i costi
  • Disicplina delle istanze avute ed eseguite con lo SPID, con consecutiva variazione del Manuale di gestione documentale

Acquisti sotto soglia con procedure negoziate, secondo focus .

In questo secondo focus ci occuperemeo degli acquisti compresi tra i 40000 € ed il sotto soglia ( art 35 D.Lgs 50/16).

Ai sensi del 36 comma 2 lett b, i contratti con oggetto beni e servizi con importi tra i 40000 € ed il sotto soglia “possono” essere affidati colla procedura negoziata invitando all’arena competitiva almeno cinque operatori economici, se esistenti .

L’individuazione si avrà :

  • da indagini di mercato
  • dalla consultazione dell’elenco degli operatori economici

In ogni caso deve essere garantità l’imparzialità procedurale col sistema della rotazione degli inviti .

Per prima cosa si procede colla determinazione a contrarre che almeno conterrà :

  • interesse pubblico da soddisfare
  • caratteristiche salienti e caratterizzanti i servizi/beni da acquisire
  • i criteri dell’invito
  • i criteri di scelta dell’offerta

Le fasi successive sono TRE :

  1. SVOLGIMENTO di indagini di mercato o consultazione di elenchi per il confronto competitivo
  2. Confronto competitivo
  3. Stipulazione del contratto
  1. SVOLGIMENTO di indagini di mercato o consultazione di elenchi per il confronto competitivo.

1.a INDAGINI DI MERCATO

Occorre , come atto prodromico, per conoscere la costituzione del mercato, i concorrenti potenziali e chi tra questi è realmente interessato, le soluzioni tecniche e di scienza disponibili, condizioni commerciali . Chiaramente l’invito all’indagine non fa nascere nessuna pretesa di stipulazione o di invito alla fase competitiva.

L’avviso col quale si innesca deve essere scritto sul profilo del committente ed in AT alla voce BANDI DI GARA E CONTRATTI ( art 37 D.lgs 33/13) e deve contenere :

  1. stima del valore dell’affidamento
  2. elementi essenziali e caratterizzanti del contratto
  3. i requisiti di idoneità professionale
  4. i requisiti di capacità finanziaria, tecnica, economica, etc
  5. il numero minimo / massimo di partecipanti che ci saranno
  6. criteri selettivi dell’OE
  7. Modalità di contatto con la SA / RUP
  8. Facoltà di procedere con sorteggio pubblico ( da comunicare con succesiva pubblicazione)

1.b LA CONSULTAZIONE DEGLI ELENCHI

GLi elenchi ( ed il MEPA potrebbe essere già considerato tale ) devono essere costituiti per avviso pubblico da inserire ex articolo 37 D.Lgs 33/13 in AT.

L’avviso deve contenere e palesare la volontà della SA di realizzare un elenco con classificazione merceologica e di importi , ove attingere per le procedure sotto soglia ( anche non competitive) , ed ovviamente gli istanti devono esser in possesso dei requisiti del’articolo 80, io consiglio di far già in questa fase compilare il DGUE.

L’iscrizione non contiene limiti temporali e deve essere valutata con successivo atto entro trenta giorni dalla ricezione dell’istanza.

Nell’avviso può essere disciplinato il sistema sanzionatorio per la radiazione o per la mancata risposta per tre inviti consecutivi, consiglio l’utilizzo della PEC o dei FORMULARI INFORMATICI per la gestione dell’albo.

2. Confronto competitivo

Finita l’indagine di mercato, ovvero consultati gli elenchi, la SA in modo non discriminatorio invita almeno cinque operatori economici, e nel caso che abbia pubblicizzato il sorteggio lo esegue dando pubblicità dell’evento , ma attenzione a non far rendere noti i nominativi prima della scadenza della consegna delle offerte ( differimento del diritto di accesso ex articolo 53 comma 2 lett b )

Individuati gli OE , sono invitati a presentare offerta a mezzo :

  • PEC
  • Lettera ( articolo 75 co 3)
  • modalità proprie dei mercati elettronici

Ovviamente tutti gli operatori devono essere invitati contemporaneamente.

L’invito conterrà :

  • oggetto prestazionale
  • requisiti generali
  • termine di presentazione e validità temporale dell’offerta
  • termine per la consegna /esecuzione
  • criteri di aggiudicazione ( ed elementi di valutazione ed equazioni ponderali nel caso di offerta economicamente più vantaggiosa)
  • misura delle penali
  • garanzie eventuali
  • il RUP
  • volontà o meno di applicare l’articolo 97 c. 8
  • eventuale foglio dei patti / capitolato e schema di contratto
  • Eventuale esonero ( motivato) dal DUVRI

Ricevute le istanze ( offerte) si procede con i pubblici seggi di gara, inutile ricordare l’importanza della verbalizzazione e che occorre verificare le autodichiarazioni solo dell’aggiudicatario.

3.Stipulazione del contratto.

La stipulazione avverrà di norma con i metodi della corrispondenza commerciale, articolo 32 coma 14 ( di norma, attenzione alle specificità) , non si applica l’articolo 32 comma 1o, e tutti i fatti ( indagini, sorteggi,scelte) vanno pubblicati ai sensi del combinato articolo 29 D.lgs 50/16 e 37 D.lgs 33/13.

 

 

 

 

Adempimenti AGID- SICUREZZA INFORMATICA per il 31/12/2017….corriamo ai ripari

L’avvento del CERT-PA (istituito con l’articolo 20 comma 3 del DL 83/12) purtroppo non è molto noto alle PP.AA. e questa ignoranza fa perdere l’opportunità di sfruttare le competenze di un ufficio con ampie competenze specifiche.

La PA che deve adeguarsi al GDPR rischia un fallimento almeno duplice per questi motivi:

  • Mancanza di un modello organizzativo documentale (il manuale ex art 5 DPCM 03/12/13)
  • Mancanza dell’adeguamento alla Circolare 2/2017 AGID, GU SG n.103 del 5.5.17

Del manuale già ho scritto in altri post, ora voglio velocemente soffermarmi sulla Circolare che al primo articolo indica gli obiettivi: le MMS-PA (Misure minime che poi vedremo essere standard).

All’articolo 2 si individuano le PA (concetto allargato) destinatarie ed al 3 si individua il soggetto responsabile, quello che poeticamente già ho definito altrove DIFENSORE CIVICO 2.0, ai sensi dell’articolo 17 del CAD (art 17 comma 1 – ter D.lgs 82/2005).

I livelli di misura di sicurezza sono calcolati adoperando il ABSC (Agid Basic Security Controls) ed avere un Tier o Rating :

  • Minimale (oltre al quale non è consentito scendere)
  • Standard (il valore atteso)
  • Alto (limite superiore di tendenza)

Lo standard utilizzato è il SANS 20 che, sinotticamente, prevede:

  • Inventario hardware classificato per IP
  • Inventario software con versione e licenza ed autorizzazione negata per i non censiti
  • Protezione e cifratura
  • Valutazione continua della vulnerabilità
  • ACL
  • Difesa Malware
  • Policy di DR

Le risultanze del SANS 20 – ABSC vanno inserite in Allegato 2, marcate temporalmente ed inviate al CERT-PA in caso di problemi informatici.

Ecco, ora si può iniziare a parlare di GDPR…ricordando che il correttivo al CAD probabilmente introdurrà nuovamente il piano DR-CO e che l’analisi as is deve considerare per il GDPR ( e mi ripeto come anche per il 196) l’analisi dei processi , l’utilizzo degli indicatori, l’ausilio di una matrice RACI  e l’applicazione dei controlli del Trucker del 1997, in altre parole il DPSS 2.0 sarà frutto dell’applicazione della scienza dell’organizzazione e non di informatici che aggiornano gli antivirus e di copiatori seriali che distribuiscono informative in maniera indiscriminata.

 

SANZIONI FINO A 20 MILIONI di €, LA NUOVA PRIVACY, GUIDA PER LE PP.AA.

 

Focus per le PP.AA.

Prepariamoci seriamente al GDPR , ovvero, partiamo da lontano ed impariamo a conoscere le norme fondamentali.

La sicurezza dei dati (di “carta” e di “bit”) è fondamentale per il controllo di una struttura, semplice o complessa che sia, per garantire la disponibilità, l’integrità e la riservatezza delle informazioni.

 

Parto dall’analisi di alcune ipotesi, che prima o poi troveremo trionfanti nelle slide di diversi esperti di PRIVACY, ritenendo sia necessario fare alcune considerazioni per meglio affrontare gli adempimenti direttamente od indirettamente legati al Regolamento 2016/679/UE .

 

Innanzitutto un chiarimento od una precisazione lessicale:  il GDPR, al pari della norma contenuta nel D.Lgs 196/03, non è un testo intitolato alla a Privacy , chiunque ha appellato così il 196 e continua ad appellare in tal modo il GDPR ben poco ha capito del complesso contenuto normativo che mira a creare dei modelli organizzativi  per la tutela e la resilienza delle informazioni; informative e consenso PRIVACY sono la parte residuale, non c’è divieto di circolazione delle informazioni ma regole sul trattamento delle stesse… ma attenzione, in fondo sono le stesse persone  che hanno redatto DPSS stereotipati o peggio ciclostilati applicandovi la data certa.

Il secondo punto da sottolineare è dato dalla disponibilità dei dati dell’ipotesi: questo principio non può e non deve essere un elemento da gestire in maniera nativa nel DPSS, o DPSS 2.0 o nel registro dei trattamenti. Nell’evidenza della manualistica derivante dall’applicazione del GDPR (al pari del 196), il requisito della disponibilità deve essere DERIVATO dalle norme archivistiche della PA, dai manuali di gestione documentale e dalle regole di conservazione (a norma), questo per spostare il cardine della norma al giusto punto. Occorre preservare le informazioni presenti negli archivi, dunque, sarebbe davvero “poco utile” preservare informazioni da attacchi se queste già in modalità normali non sono bene conservate o addirittura mal archiviate o non archiviate o fascicolate affatto.

Uno dei problemi più gravi, eppure molto ricorrente, è delegare all’informatica la scienza, i criteri e le tecniche archivistiche, magari introducendo criteri e multicriteri di ricerca, tralasciando l’euristica fondamentale.
La sicurezza ha un’importanza fondamentale in quanto è necessaria per garantire la disponibilità, l’integrità e la riservatezza delle informazioni proprie del Sistema Informativo di un’organizzazione.
Con molto piacere allo scorso ForumPA ascoltavo l’avv. Andrea Lisi che sottolineava questa criticità, trovandomi ben d’accordo. Troppi informatici e pochi esperti di gestione documentale, il tutto citando il  prof. Gianni Penzo Doria, trovano impiego e mercato nella PA, demandando agli investimenti informatici compiti propri dell’organizzazione interna.

Uno strumento che porterebbe ad un ordine prodromico alla corretta gestione dei dati è senza alcun dubbio il SGPA (Sistema di Gestione dei Procedimenti Amministrativi), grazie al quale finalmente nelle PA poco strutturate (quasi tutte) ci sarebbe organizzazione gestionale dei procedimenti, pur se, purtroppo, derivante da cause esogene e non organizzative interne.

 

 

In queste pagine vorrei rammentare la definizione di conservazione documentale contenuta nel DPCM 03/12/13:

“la conservazione di documenti e fascicoli informatici è l’attività ( indi un processo) volta a proteggere e mantenere nel tempo gli archivi e dati informatici “, il tempo di conservazione ci deriva invece dal CAD, in particolare dall’articolo 43  comma 3.”

“I documenti informatici, di cui è prescritta la conservazione per legge o regolamento, possono essere archiviati per le esigenze correnti anche con modalità cartacee e sono conservati in modo permanente con modalità digitali

Forse ora è arrivato il momento di utilizzare la terminologia adatta e fare distinzione tra chi crea un documento da conservare e che ha l’onere di preservarlo distinguendo tra:

  • SOGGETTO PRODUTTORE – ente, famiglia o persona che ha posto in essere, accumulato e conservato la documentazione nello svolgimento della propria attività personale od istituzionale
  • SOGGETTO CONSERVATORE – soggetto che conserva i fondi archivistici e li rende disponibili alla consultazione.

Il codice dei beni culturali (D.lgs 42/2004) ,  definisce gli archivi ed i singoli documenti di ogni PA “bene culturale” dalla fase corrente a quella storica ( art 10 c.2 lett b D.Lgs 42/2004) e ne sanziona l’incorretta conservazione ( art 30 e 170 D.lgs 42/2004) .

I documenti sono inseriti tramite un processo di classificazione in un fascicolo (aggregazione per nome, materia, affare, etc); il fascicolo informatico, già dall’inizio, deve garantire interoperabilità e segregazione nella consultazione, derivando sempre e comunque il carattere atomistico dell’archiviazione (articolo 41 del CAD) .

 

Voglio altresì velocemente trattare le relazioni che esistono tra la gestione e la conservazione, utilizzando sinteticamente alcuni punti fondamentali:

 

  • Piano di classificazione e fascicolazione: consente di ricostruire l’archivio nel sistema di conservazione
  • Piano di conservazione: definisce i tempi di invio in conservazione ed i tempi dello scarto archivistico
  • Formati: devono essere aperti ed idonei alla conservazione anche utilizzando regole tassonomiche
  • Metadati: informazioni di contesto associate al documento ed al fascicolo da inviare in conservazione
  • Tempi di trasferimento: qui si apre un altro bello scenario derivante dall’applicazione di norme nuove senza conoscere quelle più remote: ad esempio con l’introduzione del DPCM 03/12/13, in particolare dell’articolo 7 comma 5 sulla conservazione del giornale del protocollo, molte PA hanno dimenticato che i continui versamenti in conservazione non costituiscono l’implementazione del protocollo (per dire: dal protocollo finale e conforme si può fare l’estrapolazione legale e probante, dalla somma dei singoli versamenti non si può invece costruire tout court il registro di protocollo) mancando il trasferimento complessivo di fascicoli e serie di cui l’articolo 67 del TUDA e 44 del CAD.

Purtroppo lo stesso problema c’è anche per le serie che dovrebbero essere generate dalle imputazioni e dalle pubblicazioni sul web, per dirne una, nessuna PA da me intervista conserva referta di pubblicazione della pubblicità legale con evidenza della mancanza di funzionamento.

 

 

A questo punto passiamo alla pratica e proviamo a sintetizzare come si costruisce un piano di classificazione, tenendo conto che è essenziale tener conto dei tre requisiti fondamentali: Astrazione, semplificazione, strutturazione.

Astrazione: Nel costruire il titolario si tiene conto delle funzioni ( definite e stabili ) e non dell’organigramma, sempre mutevole.

Semplificazione:

–             Andare dal generale al particolare

–              Non ripetere a livelli inferiori quanto dovrebbe essere ai livelli superiori

–              Ridurre al minimo possibile le voci, le peculiarità sono evidenziate a livello fascicolare.

Strutturazione: due o tre livelli (titolo e classe, oppure titolo, classe e sottoclasse).

 

Sul tema dell’astrazione e la raccomandazione di lavorare sulle funzioni è importante tenere conto di una considerazione della SSPA :

“ È opportuno che il piano di classificazione individui con molta attenzione e coerenza tutte le componenti costitutive principali, con particolare attenzione alle voci di primo livello che devono essere attribuite ai documenti con rapidità e senza rischi di duplicazione, soprattutto in ambienti organizzativi di notevole complessità.. Come si specificherà meglio in seguito tali voci si distinguono per convenienza in due grandi categorie in base alla natura delle funzioni:

  • funzioni istituzionali (primarie), specifiche di ciascuna area organizzativa;
  • funzioni di gestione e strumentali (secondarie), condivisibili da più divisioni organizzative perché relative ad attività di funzionamento comuni a tutta la struttura di un soggetto pubblico o privato e, spesso, condivisibili anche in ambienti più ampi.”

 

Fatta la struttura occorre classificare e fascicolare: qui nascono i primi problemi, o meglio, nella fase immediatamente antecedente, quella della protocollazione. Raccomando infatti di non esagerare, evitando la panprotocollazione, chiaro sintomo di cattiva organizzazione aziendale e di attriti interni.

La classificazione è il processo che, tramite un indice (di classificazione) desunto da una struttura di voci (piano di classificazione), attribuisce ad ogni documento una definita unità archivistica, e giova nuovamente ricordarlo, l’unità atomistica di archiviazione non è il documento stesso, ma il fascicolo.

Il fascicolo, in altre parole, rappresenta la risposta pratica e concreta di un sistema di catalogazione generale ed astratto.

 

 

Riporto l’esempio, sempre CALZANTE, dei Calzini  del principe Carlo.

Problema: il principe Carlo di Windsor ha 8.340 paia di calzini. Ogni calzino ha le giarrettiere abbinate e fiocchi ornamentali. Ogni mattina il suo maggiordomo Archibald deve trovare quelli intonati con la cravatta e ha 5 minuti di tempo per farlo

Come fa?

Li classifica!

 

Archibald mette tutti i calzini in un armadio e dà inizio ad un processo di classificazione.

 

L’armadio ha 3 ante (titoli):

I – Calzini estivi

II – Calzini invernali

III – Calzini di media stagione

 

L’anta I, “Calzini estivi”, ha 4 sottoante (classi):

 

1 – Seta

2 – Cotone

3 – Fresco di lana

4 – Fibra

 

Ogni sottoanta contiene delle ripartizioni non più logiche, ma fisiche, dove trovano posto tutti i calzini raggruppati per colore (procedimento/affare).

 

La sottoanta fresco di lana ha 6 cassetti (fascicoli):

1 – Verdi

2 – Blu

3 – Neri

4 – Scozzesi

5 – Grigi

6 – Marroni

 

Un giorno di luglio il principe Carlo indossa una cravatta scozzese ed il maggiordomo-archivista Archibald apre l’anta I/3.4. Cioè apre l’anta I (“calzini estivi”), la sottoanta 3 (“fresco di lana”, in Inghilterra può far fresco anche d’estate) ed il cassetto 4 (“calzini scozzesi”), dove trova il paio di calzini appropriato con attaccate le giarrettiere e i fiocchi ornamentali.

Voglio sottolineare che Archibald non trova il singolo calzino/documento, ma l’intero fascicolo, istruito per item aventi classificazione omogenea: i calzini con i reggicalzini e i fiocchi adatti a quel paio. Archibald, inoltre, ha scelto di non creare ulteriori ripartizioni logiche, individuando per es. la suddivisione verde chiaro – verde scuro, per evitare il rischio di classificazioni non univoche.

 

Partendo dal buon esempio di Archibald, conviene analizzare e strutturare bene i criteri costitutivi del fascicolo, solo così ci sarà l’efficienza nella ricerca documentale; il tutto diviene più semplice (una volta presa la mano) tenendo conto delle tipologie fascicolari convenzionali:

  1. a) Attività
  2. b) Affare
  3. c) Procedimento
  4. d) Persona fisica
  5. e) Persona giuridica

 

Consideriamo che i fascicoli vanno incamiciati solitamente al livello più basso, seguendo la struttura generalista del titolario archivistico.

 

Detto quanto sopra e tenendo conto che i piani di classificazione si basano sulle funzioni, occorre in maniera imperativa NON classificare i documenti per tipologia di mittente / destinatario, ricordando che occorre tener conto che i fascicoli sono elementi dei procedimenti amministrativi, riportati (anche) nell’amministrazione trasparente della PA (articolo 35 d.lgs 33/13).

 

Il titolario di classificazione per la PA ad oggi più efficiente è quello nato dal Forum dei conservatori istituito dall’AgID in collaborazione col MiBACT e che riporto in allegato.

Questa premessa per sottolineare quanto sia inutile proteggere i dati se non sono nativamente classificati ed organizzati un più amplio sistema organizzativo.

Analizziamo ora la disciplina propria della protezione partendo da una questio, la questio fondamentale:

Perché voglio tenere le mie informazioni al sicuro?

Per garantirne:

  • Disponibilità
  • Integrità
  • Riservatezza

Ora dovrebbe evincersi un concetto fondamentale, la RISERVATEZZA (o PRIVACY che dir si voglia) è solo una parte degli adempimenti da mettere in atto con il GDPR (come lo era anche per il 196/03).
Lo strumento di lavoro per attuare la sicurezza delle informazioni non possono essere INFORMATIVE (spesso sterili e stereotipate) e consensi acquisiti o negati. Occorre necessariamente la stesura di un MOG, vale la pena quindi ispirarsi al manuale di gestione ex art. 5 DPCM 03/12/13.

Lavoro duro per i pseudo consulenti (che però faranno breccia nel mercato con ottimi prezzi, SIGH!!!)

I requisiti della DISPONIBILITA: è evidente che si hanno con la classificazione delle informazioni aderenti al titolario, con tecniche archivistiche e di sussunzione delle informazioni; giova ricordare che l’attività dei sistemi informatici che si acquistano sono fallaci, spesso derivanti dalla mancanza di progettazione ex art 21 e 23 co 14 del D.lgs 50/16.

Le minacce che possono colpire la disponibilità, l’integrità e la riservatezza sono da:

  • Fuori porta: corruzione dei dati, acquisizione indebita, spionaggio, motivi ideologici
  • Dentro porta: accessi inappropriati derivanti da mancanza di politiche ACL
  • Software cattivi: piratati, non adatti, system fault.

 

Il regolamento 2016/679 mette nero su bianco la consapevolezza che le politiche di SICUREZZA non possono essere standardizzate ma devono necessariamente essere di tipo sartoriale, by design; tuttavia chi ha ben operato in ambito 196 utilizzava già una modellazione, anticipando il concetto di P.I.A. ( Privacy Impact Assessment), ancora, si passa dalle misure minime (art 33 d.Lgs 196/03 ed allegato B) all’obbligo di adozione di misure tecniche ed organizzative  per la tutela delle informazioni, indi dal risk assessment si passa al risk management.

 

 

La sicurezza dell’informazione del dato personale deve essere conforme all’articolo 32 del Regolamento:

Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

 

  1. la pseudonimizzazione e la cifratura dei dati personali;
  2. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  3. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  4. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento

 

 

Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

 

L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

 

Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

 

E’ chiarissimo che l’efficacia di tutto il modello organizzativo della gestione dei dati personali dipenda dal soddisfacimento di quanto contenuto nell’articolo 32 comma 1 lett d del GDPR.

 

Spostiamoci ancora di più nel settore pubblico riportando l’articolo 51 del D.lgs 82/2005, che in qualche modo ha voluto supplire all’abrogazione dell’articolo 50 bis intitolato alla CO-DR, e sul quale a mio avviso si sarebbe dovuto insistere creando una vera cultura degli obiettivi di sicurezza:

 

Sicurezza dei dati,

dei sistemi e delle infrastrutture delle pubbliche amministrazioni

 

  1. Con le regole tecniche adottate ai sensi dell’articolo 71  sono

individuate  ((le  soluzioni   tecniche   idonee   a   garantire   la

protezione,)) la disponibilita’, l’accessibilita’, l’integrita’ e  la

riservatezza ((dei dati e la continuita’ operativa))  dei  sistemi  e

delle infrastrutture.

  ((1-bis. AgID attua, per quanto di competenza e in raccordo con  le

altre autorita’ competenti in materia, il Quadro strategico nazionale

per la sicurezza dello spazio cibernetico e il Piano nazionale per la

sicurezza cibernetica e  la  sicurezza  informatica.  AgID,  in  tale

ambito)):

    ((a)  coordina,  tramite  il  Computer  Emergency  Response  Team

Pubblica Amministrazione  (CERT-PA)  istituito  nel  suo  ambito,  le

iniziative di prevenzione e gestione  degli  incidenti  di  sicurezza

informatici;))

  1. b) promuove intese con le analoghe strutture internazionali;
  2. c) segnala  al  Ministro  per  la  pubblica  amministrazione   e

l’innovazione il mancato rispetto delle regole  tecniche  di  cui  al

comma 1 da parte delle pubbliche amministrazioni.

  1. I documenti informatici delle pubbliche amministrazioni  devono

essere custoditi e controllati  con  modalita’  tali  da  ridurre  al

minimo i rischi di distruzione, perdita, accesso  non  autorizzato  o

non consentito o non conforme alle finalita’ della raccolta.

  2-bis. ((COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179)).

 

 

 

L’avvento del CERT-PA (istituito con l’articolo 20 comma 3 del DL 83/12) purtroppo non è molto noto alle PP.AA. e questa ignoranza fa perdere l’opportunità di sfruttare le competenze di un ufficio con ampie competenze specifiche.

La PA che deve adeguarsi al GDPR rischia un fallimento almeno duplice per questi motivi:

  • Mancanza di un modello organizzativo documentale (il manuale ex art 5 DPCM 03/12/13)
  • Mancanza dell’adeguamento alla Circolare 2/2017 AGID, GU SG n.103 del 5.5.17

Del manuale già ho scritto in altri post, ora voglio velocemente soffermarmi sulla Circolare che al primo articolo indica gli obiettivi: le MMS-PA (Misure minime che poi vedremo essere standard).

All’articolo 2 si individuano le PA (concetto allargato) destinatarie ed al 3 si individua il soggetto responsabile, quello che poeticamente già ho definito altrove DIFENSORE CIVICO 2.0, ai sensi dell’articolo 17 del CAD (art 17 comma 1 – ter D.lgs 82/2005).

I livelli di misura di sicurezza sono calcolati adoperando il ABSC (Agid Basic Security Controls) ed avere un Tier o Rating :

  • Minimale (oltre al quale non è consentito scendere)
  • Standard (il valore atteso)
  • Alto (limite superiore di tendenza)

Lo standard utilizzato è il SANS 20 che, sinotticamente, prevede:

  • Inventario hardware classificato per IP
  • Inventario software con versione e licenza ed autorizzazione negata per i non censiti
  • Protezione e cifratura
  • Valutazione continua della vulnerabilità
  • ACL
  • Difesa Malware
  • Policy di DR

Le risultanze del SANS 20 – ABSC vanno inserite in Allegato 2, marcate temporalmente ed inviate al CERT-PA in caso di problemi informatici.

Ecco, ora si può iniziare a parlare di GDPR…ricordando che il correttivo al CAD probabilmente introdurrà nuovamente il piano DR-CO e che l’analisi as is deve considerare per il GDPR ( e mi ripeto come anche per il 196) l’analisi dei processi , l’utilizzo degli indicatori, l’ausilio di una matrice RACI  e l’applicazione dei controlli del Trucker del 1997, in altre parole il DPSS 2.0 sarà frutto dell’applicazione della scienza dell’organizzazione e non di informatici che aggiornano gli antivirus e di copiatori seriali che distribuiscono informative in maniera indiscriminata.

 

modellotitolario21_7_2016rev

 

Acquisti sotto soglia con procedure negoziate, primo focus .

Il correttivo contenuto nel D.Lgs 56/17 ha non poco turbato le SS.AA. che stavano abituandosi alle nuove procedure e adoperando i nuovi processi interni.

Le norme fondamentali di interesse sono l’articolo 36, il 30 la LG ANAC n.4 ( in sostituzione parziale  del DPR 207/10) ed un poco di giurisprudenza ( presa dal previgente D.lgs 163/06 ed anche dal 50 ).

E’ noto che il D.lgs 50/16 non contempla più gli acquisti in economia all’uopo delle procedure competitive e negoziate sotto soglia , con alcune semplificazioni, in particolare l’abolizione del regolamento ex articolo 125 comma 10 del D. Lgs 163/06.

La differenza non è solo operativa o semantica, infatti con gli acquisti in economia il RUP si impegnava agli adempimenti, con le procedure negoziate sotto soglia esiste un rapporto trilaterale, la PA, il RUP che esegue le volontà della PA ed l’operatore economico.

Tuttavia resta il problema della rotazione.

In risposta voglio ricordare che la rotazione si attua a due livelli :

  • affidamento
  • inviti

Pacifica deve essere considerata l’interpretazione contenuta in questo post. ( CdS4125/2017).

Una modifica importante, soprattutto per i piccoli operatori economici, è contenuta nell’articolo 93 del codice che sancisce la facoltà e non piu l’obbligo della stazione appaltante di chiedere la garanzia provvisoria quando si usa la procedura diretta dell’articolo 36 comma 2 lett a ( affidamento diretto ).

Qualche problema ancora resta invece sulla motivazione ( che ai sensi dell’articolo 3 della 241/90) deve sempre esserci sulla scelta del contraente ed anche sul punto cruciale delle fasi, infatti all’articolo 32 comma 2 si è autorizzati ad usare la determina semplificata dove già ab origine è individuato il costo del bene / servizio ed il nome dell’affidatario, ebbene è evidente che questo modo di operare è contrastante con l’articolo 192 del D.lgs 267/00 , sarebbe meglio chiamare questo atto ( che diventa amministrativo e non prodromico ) con un altro nome, determina di affidamento.

Vediamo quali sono gli elementi della deermina a contrarre propriamente detta:

  • Interesse pubblico
  • caratteristiche di massima del bene / servizi da acquisire
  • importo massimo stimato e copertura finanziaria
  • procedura che si intende utilizzare, ed il perchè
  • i criteri per selezionare OE ed Offerte
  • le condizioni contrattuali salienti

Mentre per la determina semplificata ( DETERMINA DI AFFIDAMENTO) ex articolo 32 comma 2 del 50

  • oggetto dell’affidamento
  • importo ( certo ) e fornitore
  • le ragioni della scelta
  • il possesso dei requisiti generali del fornitore

E’ chiara una cosa, la possibilità di commettere l’acquisto in violazione della copertura finanziaria, a reponsabilità del RUP.

Tornando al maggiore dei problemi, quello della rotazione , il comma 1 dell’articolo 36 è chiaro nel descrivere l’eccezionalità della conferma dell’operatore uscente, nella motivazione la SA deve dar conto :

  • di assenza di alternative
  • grado di soddisfazione maturato ( tempi e costi pattuiti )
  • competitivtà del prezzo / qualità servizi

La stipula del contratto e la pubblicità notiziale.

Ai sensi del comma 14 dell’articolo 32 per importi fino a 40000 € la stipulazione è del tipo informale ed avviene mediante corrispondenza secondo l’uso del commercio, io consiglierei la PEC, ed inoltre non si applica lo stand still period ( articolo 32 comma 10 lett . b).

La pubblicità notiziale avverrà mediante l’inserimento in AT :

  • provvedimenti dirigenziali
  • bandi di gara e contratto
  • file anac art 1 comma 32 l. 190/12

 

 

 

 

 

 

 

Chiarimenti sull’obbligo del MEPA da parte di alcune SA e del versamento dell’imposta di bollo.

Ancora si vocifera in giro che le Istituzioni Scolastiche Autonome abbiano l’obbligo di acquisire in MEPA per gli importi pari o superiori ad € 1000.

Questa convinzione è sbagliata, deriva da una lettura errata dell’aritcolo 1 comma 502 della L. 208/2015 ( Finanziaria per il 2016 ) che riporto

502. All’articolo 1, comma 450, della legge 27 dicembre 2006, n.
296, sono apportate le seguenti modificazioni:
a) le parole: «Dal 1º luglio 2007,» sono soppresse;
b) al primo periodo, dopo le parole: «per gli acquisti di beni e
servizi» sono inserite le seguenti: «di importo pari o superiore a
1.000 euro e»;

Questa norma modifica l’articolo 1 comma 450 della L. 296/2006 ( Finanziaria per il 2007 ) , della quale riporto la previgenza :

Dal 1° luglio 2007, le amministrazioni statali centrali e
periferiche, ad esclusione degli istituti e delle scuole di ogni
ordine e grado, delle istituzioni educative e delle istituzioni
universitarie, per gli acquisti di beni e servizi al di sotto della
soglia di rilievo comunitario, sono tenute a fare ricorso al mercato
elettronico della pubblica amministrazione di cui all’articolo 328,
comma 1, del regolamento di cui al decreto del Presidente della
Repubblica 5 ottobre 2010, n. 207. Fermi restando gli obblighi e le
facolta’ previsti …

quindi molto semplicemente dalla modifica apportata alla lettera dell’articolo 1 comma 450 della L. 296/06 da parte dell’articolo 1 comma 502 della legge 208/15 avremo il seguente contenuto normattivo , oggi vigente :

 

Le amministrazioni statali centrali e periferiche, ad
esclusione degli istituti e delle scuole di ogni ordine e grado,
delle istituzioni educative e delle istituzioni universitarie,
nonche’ gli enti nazionali di previdenza e assistenza sociale
pubblici e le agenzie fiscali di cui al decreto legislativo 30 luglio
1999, n. 300, per gli acquisti di beni e servizi di importo pari o
superiore a 1.000 euro e al di sotto della soglia di rilievo
comunitario

Quindi le ISA non hanno l’obbligo ma solo la facoltà di utilizzare il MEPA, le altre PP.AA. hanno l’obbligo del MEPA a partire da 1000 € .

Vale la pena ricordare in questo post chec occorre stare molto attenti quando si gestiscono le gare col MEPA , infatti sia  DPR 642/72 che  l’articolo 53 comma 3 delle regole dell’e-procurement impongono che che :

Il Soggetto Aggiudicatore è tenuto ad assicurare, tra l’altro, il rispetto delle norme sull’imposta di bollo e degli adempimenti pubblicitari, documentali,tributari e fiscali, nonché, in generale, degli adempimenti richiesti dalle normeapplicabili al procedimento posto in essere e al relativo Contratto stipulato.
Quindi c’è il chiaro concorso in evasione di imposta di bollo tra Aggiudicatario ed Aggiudicatore . Come sempre ho riportate le norme per permettervi di poter constatare oggettivamente i fatti, in allegato  :
Risoluzione 96/2013 Agenzia delle Entrate

Nuovi servizi e scadenze prossime

Per adempiere alle scadenze di fine 2017 e Maggio 2018 occorre partire per tempo, anzi per chi non ha una struttura informatica a norma direi che siamo in ritardo.

 

Per chiarimenti e delucidazioni chiamateci.

 

In particolare si ricorda l’obbligo di :

  • nominare responsabile alla transizione digitale ex articolo 17 D.Lgs 82/05
  • predisporre il piano di sicurezza informatica circolare 2 / agid
  • nominare DPO ed iniziare a lavorare al nuovo GDPR.

 

Privacy e vaccini, comunicato del Garante per la protezione dei dati personali

Il Garante per la protezione dei dati personali, con provvedimento del 1° settembre 2017, si è espresso in materia di privacy e vaccini.

Il c.d. “Decreto vaccini”, D.L. n. 73 del 07/06/2017 recante “Disposizioni urgenti in materia di prevenzione vaccinale, di malattie infettive e di controversie relative alla somministrazione di farmaci” impone l’obbligo vaccinale per la frequentazione delle scuole, pubbliche o private che siano.

La circolare 0026382-01/09/2017 del Ministero della Salute detta quali dichiarazioni e documentazioni probanti debbano acquisire le Istituzioni Scolastiche ed in quali termini. Gli elenchi degli alunni vanno poi trasmessi agli uffici Asl di competenza per la verifica dei dati e le eventuali regolarizzazioni.

Si rammenta con la presenta che, nel caso della sola scuola dell’infanzia, la mancata ottemperanza all’obbligo vaccinale senza adeguata motivazione comporta l’esclusione del soggetto dalle attività.

L’USR Toscana e diverse associazioni di genitori hanno mosso il quesito al Garante, preoccupati che questo flusso di dati potesse rappresentare una lesione della privacy. Il Garante, con provvedimento urgente, ha chiarito che no, il flusso di tali informazioni non è lesivo della privacy, rammentando che la circolazione delle informazioni tra pubblici uffici era già disciplinata e consentita dagli artt. 19 e 39 del D.Lgs. 196/03 “Codice sul Corretto Trattamento dei Dati”. Il Garante ha inoltre posto l’attenzione sulle motivazioni, il c.d. “Decreto vaccini” è infatti dettato dal “fine di assicurare la tutela della salute pubblica e l mantenimento di adeguate condizioni di sicurezza epidemiologica in termini di profilassi e di copertura vaccinale” (art.1 D.L. 73/17), pertanto il fine della riservatezza è senza dubbio secondario.

Le informazioni possono quindi circolare, nel rispetto del D.Lgs. 196/03, ovvero trattando le stesse secondo i principi della necessarietà e della non eccedenza.

Si allegano il Provvedimento del Garante e la  Circolare Ministeriale.

Elisa Carotenuto

Privacy e vaccini- le scuole potranno inviare gli elenchi degli iscritti alle Asl

circolare vaccini

Anagrafe delle prestazioni SCADENZA

Si ricorda a tutti della scadenza dell’Anagrafe delle prestazioni ai sensi della’rticolo 53 del D.Lgs 165/01.

 

Scadenze AGID del 31/12/2017

Sembra tanto ma ……..

Voglio ricordare che entro il 31/12/2017 le PP.AA. devono :

– Adottare il Piano triennale Informatico

– Redigere il Piano di sicurezza ed effettuare il calcolo del TIER

– Traslare il portale istituzionale sotto protocollo sicuro ( https)

– Inviare traccia dei metadati per permettere l’identificazione SPID.

 

Muoviamoci per tempo .

Circolare 2/2017 AGID

In sostituzione della 1/2017
News_2017_05_06_Circ_180417_n_2_2017_Mis_minime_sicurezza_ICT_PA_GU_103_050517.pdf

Dal 1 Luglio split payment anche per i professionisti

Dal 1 Luglio split payment anche per i professionisti ( ed amplimento delle PA e soggetti passivi)   




Art. 1 (Disposizioni per il contrasto all'evasione fiscale) 1. All'articolo 17-ter del decreto del Presidente della Repubblica 26 ottobre 1972, n. 633, sono apportate le seguenti modifiche: a) il comma 1 e' sostituito dal seguente: "1. Per le cessioni di beni e per le prestazioni di servizi effettuate nei confronti della Pubblica Amministrazione, come definita dall'articolo 1, comma 2, della legge 31 dicembre 2009, n. 196, e successive modificazioni e integrazioni, per le quali i cessionari o committenti non sono debitori d'imposta ai sensi delle disposizioni in materia d'imposta sul valore aggiunto, l'imposta e' in ogni caso versata dai medesimi secondo modalita' e termini fissati con decreto del Ministro dell'economia e delle finanze."; b) dopo il comma 1 sono inseriti i seguenti: "1-bis. Le disposizioni di cui al comma 1 si applicano anche alle operazioni effettuate nei confronti dei seguenti soggetti: a) societa' controllate, ai sensi dell'articolo 2359, primo comma, nn. 1) e 2), del codice civile, direttamente dalla Presidenza del Consiglio dei Ministri e dai Ministeri; b) societa' controllate, ai sensi dell'articolo 2359, primo comma, n. 1), del codice civile, direttamente dalle regioni, province, citta' metropolitane, comuni, unioni di comuni; c) societa' controllate direttamente o indirettamente, ai sensi dell'articolo 2359, primo comma, n. 1), del codice civile, dalle societa' di cui alle lettere a) e b), ancorche' queste ultime rientrino fra le societa' di cui alla lettera d) ovvero fra i soggetti di cui all'articolo 1, comma 2, della legge 31 dicembre 2009, n. 196; d) societa' quotate inserite nell'indice FTSE MIB della Borsa italiana; con il decreto del Ministro dell'economia e delle finanze di cui al comma 1 puo' essere individuato un indice alternativo di riferimento per il mercato azionario. 1-ter. Le disposizioni del presente articolo si applicano fino al termine di scadenza della misura speciale di deroga rilasciata dal Consiglio dell'Unione europea ai sensi dell'articolo 395 della direttiva 2006/112/CE."; c) il comma 2 e' abrogato. 2. All'articolo 1, comma 633, della legge 23 dicembre 2014, n. 190, le parole "degli enti pubblici" sono sostituite dalla parola "dei". 3. Con decreto del Ministro dell'economia e delle finanze, da emanarsi entro trenta giorni dall'entrata in vigore del presente decreto, sono stabilite le disposizioni di attuazione del presente articolo. 4. Le disposizioni del presente articolo si applicano alle operazioni per le quali e' emessa fattura a partire dal 1° luglio 2017.

Art. 1 (Disposizioni per il contrasto all’evasione fiscale) 1. All’articolo 17-ter del decreto del Presidente della Repubblica 26 ottobre 1972, n. 633, sono apportate le seguenti modifiche: a) il comma 1 e’ sostituito dal seguente: “1. Per le cessioni di beni e per le prestazioni di servizi effettuate nei confronti della Pubblica Amministrazione, come definita dall’articolo 1, comma 2, della legge 31 dicembre 2009, n. 196, e successive modificazioni e integrazioni, per le quali i cessionari o committenti non sono debitori d’imposta ai sensi delle disposizioni in materia d’imposta sul valore aggiunto, l’imposta e’ in ogni caso versata dai medesimi secondo modalita’ e termini fissati con decreto del Ministro dell’economia e delle finanze.”; b) dopo il comma 1 sono inseriti i seguenti: “1-bis. Le disposizioni di cui al comma 1 si applicano anche alle operazioni effettuate nei confronti dei seguenti soggetti: a) societa’ controllate, ai sensi dell’articolo 2359, primo comma, nn. 1) e 2), del codice civile, direttamente dalla Presidenza del Consiglio dei Ministri e dai Ministeri; b) societa’ controllate, ai sensi dell’articolo 2359, primo comma, n. 1), del codice civile, direttamente dalle regioni, province, citta’ metropolitane, comuni, unioni di comuni; c) societa’ controllate direttamente o indirettamente, ai sensi dell’articolo 2359, primo comma, n. 1), del codice civile, dalle societa’ di cui alle lettere a) e b), ancorche’ queste ultime rientrino fra le societa’ di cui alla lettera d) ovvero fra i soggetti di cui all’articolo 1, comma 2, della legge 31 dicembre 2009, n. 196; d) societa’ quotate inserite nell’indice FTSE MIB della Borsa italiana; con il decreto del Ministro dell’economia e delle finanze di cui al comma 1 puo’ essere individuato un indice alternativo di riferimento per il mercato azionario. 1-ter. Le disposizioni del presente articolo si applicano fino al termine di scadenza della misura speciale di deroga rilasciata dal Consiglio dell’Unione europea ai sensi dell’articolo 395 della direttiva 2006/112/CE.”; c) il comma 2 e’ abrogato. 2. All’articolo 1, comma 633, della legge 23 dicembre 2014, n. 190, le parole “degli enti pubblici” sono sostituite dalla parola “dei”. 3. Con decreto del Ministro dell’economia e delle finanze, da emanarsi entro trenta giorni dall’entrata in vigore del presente decreto, sono stabilite le disposizioni di attuazione del presente articolo. 4. Le disposizioni del presente articolo si applicano alle operazioni per le quali e’ emessa fattura a partire dal 1° luglio 2017.

Sicurezza Informatica

Riporto le raccomandazioni di CERT-PA

La campagna di infezione ransomware “WannaCry (link is external)” ha contaminato negli ultimi due giorni circa 99 paesi e oltre 200.000 sistemi Windows che risultano compromessi, danneggiando aziende telefoniche, ospedali e strutture sanitarie.

L’Agenzia per l’Italia digitale ha pubblicato – attraverso CERT-PA e in vista della ripresa lavorativa di lunedì – le linea guida per mitigare gli effetti (link is external)dannosi e per la riaccensione delle macchine. Nel documento, sono riportate una serie di azioni che possono essere assunte per mitigare l’impatto della campagna, soprattutto cercando di evitare l’estensione della compromissione a sistemi che non sono già compromessi.

Per chi non avesse ancora provveduto, su CERT-PA (link is external), alcuni suggerimenti utili per  fronteggiare il ransomware, tra cui il procedere urgentemente con l’installazione della patch Microsoft risolutiva MS17-010 (link is external) disponibile anche per i sistemi Windows fuori supporto (link is external).

Anche se la propagazione è stata temporaneamente sospesa grazie ad un kill switch di un ricercatore britannico che ha individuato un artificio presente nel codice del malware, la situazione non può considerarsi risolta, in quanto è possibile manomettere lo stesso malware affinchè superi il check previsto dal kill-switch e torni a propagarsi come un worm.

È importante, pertanto, seguire le linee guida per mitigare gli effetti e per la riaccensione delle macchine e su come difendersi dalla minaccia dei Ransomware (link is external) e proteggere i propri dati.

Per le amministrazioni, si rammenta che le nuove Misure minime di sicurezza ICT (link is external) per la PA obbligano tutte le PA a mantenere aggiornati i software di base e gli applicativi.

 

 

ed allego un documento…..

Misure_minime_di_sicurezza_v10.pdf

MEPA

Riporto un articolo pubblicato qualche settimana fa sull’obbligo del MEPA per gli importi superiori ai mille EURO, ricordando solo che il D.Lgs 56/17 in vigore dal 20/05/2017 ha modificato ( in meglio ) la disciplina del MEPA, seguiranno FOCUS.

 

 

 

Visto che negli ultimi giorni ho avuto per diverse volte posto lo stesso quesito voglio fare un poco di chiarezza, invitando, come sempre in modo sgarbato , che mi si addice , a leggere le norme in maniera oggettiva ed olistica.

 

Il MEPA non è obbligatorio per le istituzioni scolastiche , non lo è dal 2007, gli iscritti non sono salvi dai controlli di rito, e la procedura comporta ulteriori adempimenti, appresso l’analisi.

Il tutto nasce da un equivoco ( che in campo giuridico non può e non deve esistere),infatti la stabilità per il 2016, L. 208/2015 all’articolo 1 comma 502 permette a tutte le PA obbligate dal comma 450 dell’articolo 1 della L. 296/2006 di aderire al MEPA facoltativamente per gli importi fino a 1000 €.

riporto in stralcio ,

 502. All'articolo 1, comma 450, della legge 27  dicembre  2006,  n. 296, sono apportate le seguenti modificazioni:      a) le parole: «Dal 1º luglio 2007,» sono soppresse;      b) al primo periodo, dopo le parole: «per gli acquisti di beni  e servizi» sono inserite le seguenti: «di importo pari  o  superiore  a 1.000 euro e»; 

L’articolo 1 comma 450 della L. 296/2006 gia ab origine non prevedeva questo obbligo per le Istituzioni Scolastiche, riporto anche questa volta lo stralcio.
450.  Le  amministrazioni  statali  centrali  e   periferiche,   ad esclusione degli istituti e delle scuole  di  ogni  ordine  e  grado, delle  istituzioni  educative  e  delle  istituzioni   universitarie, nonche'  gli  enti  nazionali  di  previdenza  e  assistenza  sociale pubblici e le agenzie fiscali di cui al decreto legislativo 30 luglio 1999, n. 300, per gli acquisti di beni e servizi di  importo  pari  o superiore a 1.000  euro  e  al  di  sotto  della  soglia  di  rilievo comunitario

Per chiarezza riporto lo stralcio della previgenza
 450. Dal 1° luglio 2007,  le  amministrazioni  statali  centrali  e periferiche, ad esclusione degli istituti  e  delle  scuole  di  ogni ordine e grado,  delle  istituzioni  educative  e  delle  istituzioni universitarie, per gli acquisti di beni e servizi al di  sotto  della soglia di rilievo comunitario, sono tenute a fare ricorso al  mercato elettronico della pubblica amministrazione di cui  all'articolo  328, comma 1, del regolamento di  cui  al  decreto  del  Presidente  della Repubblica 5 ottobre 2010, n. 207. Fermi restando gli obblighi  e  le facolta' previsti ...

Per quale motivo sconsiglio l’uso del MEPA ?
Una lunga serie di motivi , appresso una sintesi
a) non è obbligatorio per nessuno fino ai mille €, per le ISA a prescindere dall’importo
b) da Aprile 2016 lo stand still period  per la maggior parte dei casi non esiste ( articolo 32 comma 10 D.lgs 50/16)
c) non è vero che è piu trasparente, i fattori critici restano, ed a mio avviso gli illeciti oggi sono nella gestione della gara e non nella scelta del contraente
d) occorre stare molto attenti quando si gestiscono le gare col MEPA al DPR 642/72, infatti l’articolo 53 comma 3 delle regole dell’e-procurement ricorda che :
Il Soggetto Aggiudicatore è tenuto ad assicurare, tra l’altro, il rispetto delle norme sull’imposta di bollo e degli adempimenti pubblicitari, documentali,tributari e fiscali, nonché, in generale, degli adempimenti richiesti dalle normeapplicabili al procedimento posto in essere e al relativo Contratto stipulato.
Quindi c’è il chiaro concorso in evasione di imposta di bollo tra Aggiudicatario ed Aggiudicatore . Come sempre ho riportate le norme per permettervi di poter constatare oggettivamente i fatti, in allegato ci sono :
Circolare 36/2006 Agenzia delle Entrate
Risoluzione 96/2013 Agenzia delle Entrate

MEPA novità operative

AcquistinretaPA, il portale degli acquisti della Pubblica Amministrazione, rendo noto che sono state introdotte alcune novità, per P.A. e Imprese, nell’ambito della piattaforma di e-procurement di Acquisti in Rete.

Accogliendo infatti le indicazioni fornite dagli utenti in merito alle prassi consolidate nell’ambito degli affidamenti di Lavori, sono state apportate delle modifiche alla logica di predisposizione di una Richiesta di Offerta e di una trattativa diretta del Mercato Elettronico relativamente all’inserimento degli Oneri di Sicurezza non soggetti a ribasso.

Nello specifico nella nuova versione non si potrà più indicare un valore complessivo dell’appalto che contenga e includa i predetti oneri non ribassabili ma sarà richiesto di darne separata evidenza in due campi specifici:

  • Importo dell’appalto oggetto di offerta
  • Oneri di Sicurezza non soggetti a ribasso

Allo stesso modo, per i Fornitori, in fase di formulazione dell’offerta economica verrà richiesto l’inserimento di un valore di offerta al netto degli oneri della sicurezza. L’informazione inserita in fase di risposta verrà automaticamente riportata nel PDF di Offerta Economica.

Tale variazione interverrà soltanto sulle RdO che saranno generate a partire da oggi 5 Maggio 2017, senza che nessun cambiamento intervenga sulle RDO già pubblicate o in fase di esame delle offerte.

Fonte: www.acquisintinretepa.it

Conservazione del protocollo RIPROPOSTO ( post del marzo 2017)

Alcuni chiarimenti sulla conservazione del protocollo.

Il TUDA ricorda che il protocollo è un insieme ordinato e cronologico che raccoglie gli accadimenti di una PA.

Purtroppo la cattiva applicazione del DPCM 03/12/13 ( direi pessima applicazione, vergognosa ) ha fatto dimenticare che il protocollo è documento pubblico di fede privilegiata quando raccolto in fasciolo ( od in funzione dell’organizzazione del Manuale di gestioen ex art. 5 DPCM 03/12/13 in serie ).

Detto quanto appena sopra si ricorda che il DPCM non innova il TUDA ed il CAD ma obbliga solo a conservare ( si fa per dire ) anche i fogli giornalieri, distinti tra loro e non raggruppati in fascicoli.

E’ norma invece entro ALMENO UNA VOLTA L’ANNO , CRISTALIZZARE i fatti e gli accadimenti degli archivi, spostandoli dalla classificazione corrente a quella di DEPOSITO, si riportano le norme di riferimento :

     Art. 44. D.Lgs 82/2005 ((Requisiti  per  la   gestione   e   conservazione   dei   documenti  informatici))

((1-bis. Il sistema di gestione e conservazione dei documenti informatici e’ gestito da un responsabile che opera d’intesa con il dirigente dell’ufficio di cui all’articolo 17 del presente Codice, il responsabile del trattamento dei dati personali di cui all’articolo 29 del decreto legislativo 30 giugno 2003, n. 196, ove nominato, e con il responsabile del sistema della conservazione dei documenti informatici, nella definizione e gestione delle attivita’ di rispettiva competenza. Almeno una volta all’anno il responsabile della gestione dei documenti informatici provvede a trasmettere al sistema di conservazione i fascicoli e le serie documentarie anche relative a procedimenti conclusi.))


LA norma del CAD di cui sopra è ispirata intimamente al TUDA, si riporta .

SEZIONE QUINTA
DISPOSIZIONI SUGLI ARCHIVI  Art. 67  DPR 445/00 Trasferimento dei documenti all’archivio di deposito

1. Almeno una volta ogni anno il responsabile del servizio per la gestione dei flussi documentali e degli archivi provvede a trasferire fascicoli e serie documentarie relativi a procedimenti conclusi in un apposito archivio di deposito costituito presso ciascuna amministrazione.

2. Il trasferimento deve essere attuato rispettando l’organizzazione che i fascicoli e le serie avevano nell’archivio corrente.

3. Il responsabile del servizio per la gestione dei flussi documentali e degli archivi deve formare e conservare un elenco dei fascicoli e delle serie trasferite nell’archivio di deposito.

Il prinicipio della conservazione e fascicolazione si applica ovviamente non solo al protocollo ma ad ogni “RACCOLTA”, vedi refertazioni dell’albo, repertorio delle circolari, etc etc.