Addio CONSULENTI ASSOCIATI, e Benvenuta Consulenti Associati Campania srls

Ci siamo trasformati nello spirito, è cambiato l’assetto societario , la nuova CA CAMPANIA srls é una nuova società con la totalità delle quote possedute da Elisa Carotenuto.

E’ cambiata la grafica del sito , ci saranno nuovi sistemi di condivisione e nuovi servizi sempre più orientati alla transizione digitale della PA, che resta il nostro mercato di riferimento. inizia un nuovo viaggio.

Il Piano triennale per l’informatica nella PA ed il vostro C@ronte, il RTD

Ci siamo, la MONTAGNA ha partorito e non è un topolino, ma un complesso documento STRATEGICO ( e non normativo ) composto dalle 90 AZIONI che come PA dobbiamo affrontare.

In questo primo passaggio analizzeremo solo pochi aspetti del PIANO restando in attesa dell’evoluzione della guida dinamica.

certamente è importante visualizzare e memorizzare questo schema contenuto nel PIANO e vediamo gli aspetti fondamentali subito, almeno i più importanti.

  • Digital by default ( La PA è nativa digitale e cosi i suoi documenti
  • Once only ( i dati e le credenziali del cittadino sono uniche )
  • Digital identity only ( e vai con lo SPID)
  • CLOUD FIRST ( sarà l’architettura unica degli applicativi PA)

Nel piano triennale 19-21 c’è continuita con i data center della PA ( circ 2 e 3 2018 AGID) e tra poco saranno evidenti anche i risultati del censimento ultimo, vi rimando all’articolo

I risultati saranno comunque raggruppati in tre categorie :

  • Poli strategici ( il risultato ottimale )
  • Data Center cat A ( destinati a scomparire ma non nel breve periodo )
  • Data Center cat B ( di breve vita )

Anche questa classificazione mira al concetto del CLOUD nella PA…quindi non compratevi nuovi SERVER.

Una novità auspicata ( in attesa entro il primo semestre ) è l’attuazione dell’articolo71 del CAD sulla gestione unica delle diverse direttive ( dpcm ) sulla gestione del documento , eh si !!! a breve la LLGG sulle norme tecniche del ciclo di vita del documento informatico.

Ancora aspettiamoci un nuovo concetto ( e non l’eliminazione del protocollo ) che andrà ad attuare l’articolo 40 ter del cad

Art. 40-ter (( (Sistema pubblico di ricerca documentale).)) ((1. La Presidenza del Consiglio dei ministri promuove lo sviluppo e la sperimentazione di un sistema volto a facilitare la ricerca dei documenti soggetti a obblighi di pubblicita’ legale, trasparenza o a registrazione di protocollo ai sensi dell’articolo 53 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, e di cui all’articolo 40-bis e dei fascicoli dei procedimenti di cui all’articolo 41, nonche’ a consentirne l’accesso on-line ai soggetti che ne abbiano diritto ai sensi della disciplina vigente.))

e poi…. tutto passa in mano ai RESPONSABILI DELLA TRANSIZIONE, evviva !!!!

Io ho raccolto la sfida.

Procedura per fare una RDO aperta.

Nell’ultimo post per risolvere il problema della rotazione degli inviti ho consigliato la procedura RDO aperta ( che ripeto non è una RDO aperta a tutti gli OE iscritti al MEPA, ma una RDO visibile anche a chi ancora non è iscritto , visibile a tutti gli OE ancor prima di autentificarsi in acquistinretepa.it

Ora vediamo con pochi e semplici passaggi come gestire la RDO APERTA sul portale della Consip, in questo post tralascerò le formule di rito, che restano invariate, tratterò solo i semplici passaggi procedurali.

L’OBIETTIVO finale sarà quello di fare apparire la nostra RDO ( perchè si gestisce proprio come una RDO tradizionale ) in questo link :

ed arrivare quindi qui :

Per prima cosa occorre autentificarsi come PO , successivamente cercare il prodotto/servizio da trattare, ad esempio DPI ( Dispositivi per la sicurezza ).

Eventualmente gioco un poco sui filtri per cercare più agevolmente il prodotto/servizio che mi interessa

ed aggiungo in carrello il prodotto che voglio trattare

dal carrello vado a creare una RDO

E qui farò attenzione nella casella di Modalità di selezione dei fornitori da invitare a selezionare RDO aperta, immediatamente il sistema mi fornirà il seguente allert

“Se scegli l’opzione APERTA, la RDO (i suoi dettagli e la documentazione allegata) sarà visibile su www.acquistinretepa.it e potrà sottomettere la propria offerta qualunque concorrente che consegua le necessarie abilitazioni (alla/e categoria/e oggetto della RdO) entro i termini di presentazione dell’offerta”

PROPRIO QUELLO CHE VOGLIAMO !!!!, continuiamo nei soliti modi ,clicchiamo su salva e procedi e visualizzeremo il solito FORMAT al quale già siamo abituati

Alla prossima, ciao ciao

Procedura ADEMPIENTO AGID del 31/03/2019

Dopo aver letto il post che vi ripropongo , vediamo come adempiere , prendetevi cinque minuti, non di piu.

Per prima cosa puntate il browser su accessibilita.agid.gov.it

e vi troverete questa schermata

Se è la prima volta che fate l’adempimento registratevi, altrimenti cliccate su accedi al sito, o come sempre accade, recuperate la password, non mi dilungo su questi passaggi perchè davvero semplici.


Una volta entrati nell’applicativo dobbiamo cliccare sugli obiettivi da raggiungere entro il 31/12/2019

Le scelte sono diverse, prima di tutto vedete se c’è l’atto di nomina del responsabile dell’accessibilità , altrimenti nominatelo

Le opzioni da comunicare devono essere ben ponderate, è inutile scrivere cose non raggiungibili nel breve, sarebbe un falso, le opzioni del sistema sono per gli obiettivi :

  • sito web istituzionale
  • sito web tematico
  • sito intranet
  • formazione
  • postazioni di lavoro
  • organizzazione del lavoro

Da questi obiettivi derivano quindici possibili interventi, cosi raggruppati :

  • sette per i siti web
  • due per la formazione
  • uno per le postazioni di lavoro
  • cinque per l’organizzazione del lavoro

Sembra complesso ?, no se siamo soft e veritieri negli obiettivi ,

Il primo obiettivo da raggiungere potrebbe essere quello dell’allegato A del DM Luglio 2005 / 2013

ed uno strumento per valutarne la necessità è il validatore.it

Altra cosa importantissima è abbinare la formazione al personale che deve utilizzare il sito , in modo da avere questo quadro finale :

occorre terminare con l’inserimento del link della pubblicazione dell’analisi , salvare ed inviare la pratica ed attendere la conferma , anche della validazione del link, da parte di no-reply@agid.gov.it.

L’evidenza della operazione deve essere riportata in amministrazione trasparente/altri contenuti/Accessibilità e Catalogo di dati, metadati e banche dati/obiettivi di accessibilità.

ovviamente tutta l’operazione è delegabile al vostro RTD.

BREVE FORMAT DI NOMINA RESPOSANBILE ACCESSIBILTA’

Accessibilità (web) , controlli ed adempimenti

L’articolo 9 comma 7 del DL 179/12 impone i controlli e la verifica dell’accessibilità sui siti web delle PPAA.

La scadenza è per il 31 Marzo.

Sarà l’ultimo anno che l’accessibilità verra valutata sulla legge 4/2004 pura.

Dal prossimo anno la validazione obbligatoriamente dovrà tener conto delle modifiche apportate dal D.lgs 108/16.

Vi riporto i post vecchi per gli approfondimenti .Ovviamente resto a disposizione anche per l’operatività dell’adempimento.

La trasformazione digitale nelle P.A.



Martedì 12 Marzo 2019 ore 14,00
Presso l’ I.I.S. Vittorio Emanuele II di via Barbagallo, 32 – Napoli
 


L’incontro organizzato da Horizon in collaborazione con il Dott. Vincenzo De Prisco,  responsabile della transizione digitale, membro del forum sull’e-procurement istituito dall’ AGID, vuole approfondire l’evoluzione della normativa vigente nelle P.A. affrontando alcuni temi importanti:

  • DPORPDRTRTD: figure, funzioni o persone
  • Trasparenza o riservatezza ? 
  • Informative e liberatorie, consenso o dissenso? Social o asocial?
  • Il nuovo modo di scrivere gli atti: il CAD

 ed inoltre:

  • Uniformità e riconoscibilità dei siti web istituzionali
  • Migrazione dal dominio “.gov.it ” a “.edu.it ” (regolamento e tempi)
  • Le soluzioni Horizon
L’invito è rivolto principalmente ai:
Dirigenti Scolastici – D.s.g.a. – Animatori Digitali – Team Digitale
– Funzioni Strumentali. 
Copyright © 2018 – Horizon srls, All rights reserved.
www.progettohorizon.com

E-mail:
info@progettohorizon.comTel.081-18337079

compila il modulo di partecipazione

Novità ( vere o presunte ) sul CAD

Per prima cosa vi ricordo che il CAD ormai non si presenta più come un obbligo per le PA ma sempre maggiormente come un diritto per i cittadini, e questo potrebbe ( e già sta accadendo) inficiare molte procedure, anche di notificazioni delle amministrazioni pubbliche.

Iniziamo con il (ri)parlare della trasmissione dei documenti, ribadendo che le PA possono trasmettere i documenti attraverso :

  • PEO
  • PEC
  • INTEROPERABILITA’ / COOPERAZIONE APPLICATIVA

La PEO ( posta elettronica ordinaria ) non è disciplinata dal CAD per un semplice motivo, era preesistente al d.lgs 82/05 , tuttavia occorre ricordare che ha valore giuridico se è possibile accertarne la provenienza ( magari attraverso la protocollazione .

La PEC ( posta elettronica certificata ) è disciplinata sia dal CAD che dal DPR 68/2005 ed ha il vantaggio di garantire e certificare l’invio e la consegna del documento, quindi si parla di presunzione di conoscenza e non di presunzione di conoscibilità.

I servizi di INTEROPERABILITA’ /COOPERAZIONE APPLICATIVA consistono invece in una vera e propria condivisione dei servizi sulle porte di dominio dei server dell’ente

I DOMICILI DIGITALI.

Il 2019 sará l’anno di svolta per i servizi del domicilio digitale, infatti partirà anche il domicilio digitale del cittadino, e guai a non utilizzarlo qualora il cittadino lo abbia comunicato .

il domicilio digitale lo troviamo nella fonte delle definizioni all’articolo 1 comma 1 del CAD, in particolare alla lettera n-ter che riporto

((n-ter) domicilio digitale: un indirizzo elettronico eletto presso un servizio di posta elettronica certificata o un servizio elettronico di recapito certificato qualificato, come definito dal regolamento (UE) 23 luglio 2014 n. 910 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE, di seguito “Regolamento eIDAS”,valido ai fini delle comunicazioni elettroniche aventi valore legale;))

Invece all’articolo 3 bis comma 1 troviamo l’obbligo per le professioni regolamentate , per le imprese e per e per le PA di iscriversi in pubblici registri ove denunciare il proprio domicilio digitale, nello specifico i registri per le imprese ed i professionisti tenuti da INFOCAMERE ( www.inipec.gov.it ) e per le PA gestite in indicepa.gov.it

Tuttavia, come già scritto, la vera novità sarà rappresentata dall’elenco dei domicili digitale per i cittadini ed i professionisti non ordinati , per le associazioni e per tutti i soggetti ( songoli ed associati) che non rientrano nell’elencazione degli articoli 6 bis e 6 ter del D.lgs 82/05.

Infatti recita l’articolo 6 quater

(( (Indice nazionale dei domicili digitali delle persone fisiche e degli altri enti di diritto privato, non tenuti all’iscrizione in albi professionali o nel registro delle imprese). )) ((1. E’ istituito il pubblico elenco dei domicili digitali delle persone fisiche e degli altri enti di diritto privato non tenuti all’iscrizione in albi professionali o nel registro delle imprese, nel quale sono indicati i domicili eletti ai sensi dell’articolo 3-bis, comma 1-bis. La realizzazione e la gestione dell’Indice sono affidate all’AgID, che vi provvede avvalendosi delle strutture informatiche delle Camere di commercio gia’ deputate alla gestione dell’elenco di cui all’articolo 6-bis. 2. Per i professionisti iscritti in albi ed elenchi il domicilio digitale e’ l’indirizzo inserito nell’elenco di cui all’articolo 6-bis, fermo restando il diritto di eleggerne uno diverso ai sensi dell’articolo 3-bis, comma 1-bis. Ai fini dell’inserimento dei domicili dei professionisti nel predetto elenco il Ministero dello sviluppo economico rende disponibili all’AgID, tramite servizi informatici individuati nelle Linee guida, i relativi indirizzi gia’ contenuti nell’elenco di cui all’articolo 6-bis. 3. Al completamento dell’ANPR di cui all’articolo 62, AgID provvede al trasferimento dei domicili digitali contenuti nell’elenco di cui al presente articolo nell’ANPR.))

E’ importante notare l’automatismo per i professionisti, infatti il secondo comma dell’articolo 6 quater chiarisce che i professionisti ( avvocati, ingegneri, commercialisti, medici etc) avranno la c.d. ereditarietà del domicilio digitale, è però fatta salva la possibilità di usarne uno diverso da quello professionale ( avere quindi un domicilio per l’articolo 6 bis ed uno per il 6 quater).

L’articolo 47 disciplina invece molto bene , e facendo intendere che la peo resta lo strumento principale di comunicazione, le comunicazioni tra le PA.

Art. 47 Trasmissione dei documenti tra le pubbliche amministrazioni 1. Le comunicazioni di documenti tra le pubbliche amministrazioni avvengono mediante l’utilizzo della posta elettronica o in cooperazione applicativa; esse sono valide ai fini del procedimento amministrativo una volta che ne sia verificata la provenienza. Il documento puo’ essere, altresi’, reso disponibile previa comunicazione delle modalita’ di accesso telematico allo stesso. 1-bis. L’inosservanza della disposizione di cui al comma 1, ferma restando l’eventuale responsabilita’ per danno erariale, comporta responsabilita’ dirigenziale e responsabilita’ disciplinare. 2. Ai fini della verifica della provenienza le comunicazioni sono valide se: a) sono sottoscritte con firma digitale o altro tipo di firma elettronica qualificata; b) ovvero sono dotate di segnatura di protocollo di cui all’articolo 55 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445; c) ovvero e’ comunque possibile accertarne altrimenti la provenienza, secondo quanto previsto dalla normativa vigente o dalle ((Linee guida)). E’ in ogni caso esclusa la trasmissione di documenti a mezzo fax; d) ovvero trasmesse attraverso sistemi di posta elettronica certificata di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68. 3. ((I soggetti di cui all’articolo 2, comma 2, lettere a) e b),)) provvedono ad istituire e pubblicare ((nell’Indice dei domicili digitali delle pubbliche amministrazioni e dei gestori di pubblici servizi)) almeno una casella di posta elettronica certificata per ciascun registro di protocollo. ((Le pubbliche amministrazioni)) utilizzano per le comunicazioni tra l’amministrazione ed i propri dipendenti la posta elettronica o altri strumenti informatici di comunicazione nel rispetto delle norme in materia di protezione dei dati personali e previa informativa agli interessati in merito al grado di riservatezza degli strumenti utilizzati.

Cosa comporta questo nuovo assetto giuridico ( ed organizzativo ) ?

Semplice, l’obbligo di avvicinarsi al CAD per evitare che i provvedimenti amministrativi siano carenti di efficacia.

Sembrano cose campate in aria ? direi di no, infatti vi riporto la risposta ( come sempre normata ) sulle procedure di tutti i giorni, l’articolo 6 c1 quater del D.lgs 82/05.

I soggetti di cui all’articolo 2, comma 2, notificano direttamente presso i domicili digitali di cui all’articolo 3-bis i propri atti, compresi i verbali relativi alle sanzioni amministrative, gli atti impositivi di accertamento e di riscossione e le ingiunzioni di cui all’articolo 2 del regio decreto 14 aprile 1910, n. 639, fatte salve le specifiche disposizioni in ambito tributario. La conformita’ della copia informatica del documento notificato all’originale e’ attestata dal responsabile del procedimento in conformita’ a quanto disposto agli articoli 22 e 23-bis.))

Per chiarezza e semplicità di lettura riporto gli articolo 22 e 23 bis del CAD ed aggiungo il link al DPCM 13/11/14

Art. 22 (Copie informatiche di documenti analogici).

1. I documenti informatici contenenti copia di atti pubblici, scritture private e documenti in genere, compresi gli atti e documenti amministrativi di ogni tipo formati in origine su supporto analogico, spediti o rilasciati dai depositari pubblici autorizzati e dai pubblici ufficiali, hanno piena efficacia, ai sensi degli articoli 2714 e 2715 del codice civile, ((se sono formati ai sensi dell’articolo 20, comma 1-bis, primo periodo.)). La loro esibizione e produzione sostituisce quella dell’originale. ((1-bis. La copia per immagine su supporto informatico di un documento analogico e’ prodotta mediante processi e strumenti che assicurano che il documento informatico abbia contenuto e forma identici a quelli del documento analogico da cui e’ tratto, previo raffronto dei documenti o attraverso certificazione di processo nei casi in cui siano adottate tecniche in grado di garantire la corrispondenza della forma e del contenuto dell’originale e della copia.)) 2. Le copie per immagine su supporto informatico di documenti originali formati in origine su supporto analogico hanno la stessa efficacia probatoria degli originali da cui sono estratte, se la loro conformita’ e’ attestata da un notaio o da altro pubblico ufficiale a cio’ autorizzato, ((…)) secondo le ((Linee guida)). 3. Le copie per immagine su supporto informatico di documenti originali formati in origine su supporto analogico nel rispetto delle ((Linee guida)) hanno la stessa efficacia probatoria degli originali da cui sono tratte se la loro conformita’ all’originale non e’ espressamente disconosciuta. 4. Le copie formate ai sensi dei commi 1, ((1-bis,)) 2 e 3 sostituiscono ad ogni effetto di legge gli originali formati in origine su supporto analogico, e sono idonee ad assolvere gli obblighi di conservazione previsti dalla legge, salvo quanto stabilito dal comma 5. 5. Con decreto del Presidente del Consiglio dei Ministri possono essere individuate particolari tipologie di documenti analogici originali unici per le quali, in ragione di esigenze di natura pubblicistica, permane l’obbligo della conservazione dell’originale analogico oppure, in caso di conservazione sostitutiva, la loro conformita’ all’originale deve essere autenticata da un notaio o da altro pubblico ufficiale a cio’ autorizzato con dichiarazione da questi firmata digitalmente ed allegata al documento informatico. 6. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179.

Art. 23-bis (Duplicati e copie informatiche di documenti informatici). 1. I duplicati informatici hanno il medesimo valore giuridico, ad ogni effetto di legge, del documento informatico da cui sono tratti, se prodotti in conformita’ alle ((Linee guida)). 2. Le copie e gli estratti informatici del documento informatico, se prodotti in conformita’ alle vigenti ((Linee guida)), hanno la stessa efficacia probatoria dell’originale da cui sono tratte se la loro conformita’ all’originale, in tutti le sue componenti, e’ attestata da un pubblico ufficiale a cio’ autorizzato o se la conformita’ non e’ espressamente disconosciuta. Resta fermo, ove previsto, l’obbligo di conservazione dell’originale informatico.

link al DPCM 13/11/14

Detto questo è evidente che occorre cambiare il nostro modo di lavorare e le software house devono interfacciarsi con le anagrafiche degli elenchi detenuti da INFOCAMERE ai sensi dell’articolo 6 bis.

Ancora più complessa è la situazione nel caso in cui ci sia un’elezione a domicilio speciale dell’articolo 47 del cod.civ., il nostro gestionale amministrativo dovrà contenere una serie di casistiche per delle comunicazioni spot , relative al singolo atto od affare.

Buon lavoro, ovviamente sapete che C@ronte vi accompagnerà .

Consiglio anche di leggere :

DISCORSI ATTORNO AL CODICE DELL’AMMINISTRAZIONE DIGITALE, L’INUTILITA DI FIRMARE CON STAMPIGLIATURA D.LGS 39/93

Slittamento PagoPA

Obbligo PagoPA spostato di 12 mesi, lo stabilisce l’articolo 8 comma 4 del decreto semplificazioni che va a modificare l’articolo 65 comma 2 del D.Lgs 217/17

Novità per il 2019

Il 2019 sarà pieno di novità, la più importante certamente riguarda il protocollo d’intesa tra la Corte dei Conti e l”AGID che nei fatti sposta l’attenzione sull’attuazione del D.lgs 217/17, l’ultimo CAD in vigore.

C’è poi il nuovo regolamento amministrativo-contabile( solo per le ISA) , DM 129 /18 che deve essere in parte cucito su misura per ogni istituzione interessata, vedasi il regolamento per i beni mobili.

Visti anche gli impegni istituzionali le attività della Consulenti Associati saranno rallentate per i prossimi 15 giorni .

In questo periodo sarete aggiornati temestivamente sulla nuova modulistica e sarete traghettati nella Digit@al Commedia.

C@ronte.

Alcune puntualizzazioni sugli adempimenti

Sono partite le PEC per i controlli intermedi agli Enti Locali.

La pec contiene una missiva scritta “malissimo” che riporto corretta nel post ed un’analisi specifica per ogni destinatario.

Da questo momento si considera finito l’assessment ed inizia il management.

Nei prossimi post riceverete un modello di regolamento GDPR ( una sorta di vademecum , no obbligatorio) e poi un calendario con le attività di controllo, di management e di aggiornamento.

Si ricorda che in forza al protocollo d’intesa tra Agid e Corte dei Conti sarà prioritario il processo di digitalizzazione.

Le comunicazioni elettroniche dell’ARTICOLO 40 DEL D.LGS 50/16

In attesa di intervento chiarificatore dell’ANAC, ulteriore a successivo a quello del 30/10/2018, continuiamo dopo il post già pubblicato ad approfondire le procedure .

Art. 40 (Obbligo di uso dei mezzi di comunicazione elettronici nello svolgimento di procedure di aggiudicazione) 1. Le comunicazioni e gli scambi di informazioni nell’ambito delle procedure di cui al presente codice svolte da centrali di committenza sono eseguiti utilizzando mezzi di comunicazione elettronici ai sensi dell’articolo 5-bis del decreto legislativo 7 marzo 2005, n. 82, Codice dell’amministrazione digitale. 2. A decorrere dal 18 ottobre 2018, le comunicazioni e gli scambi di informazioni nell’ambito delle procedure di cui al presente codice svolte dalle stazioni appaltanti sono eseguiti utilizzando mezzi di comunicazione elettronici.

leggendo il 40 è chiaro il rimando  ad altre due norme, il 52 degli appalti e soprattutto il 5 bis del CAD.

Art. 52 (Regole applicabili alle comunicazioni) 1. Nei settori ordinari e nei settori speciali, tutte le comunicazioni e gli scambi di informazioni di cui al presente codice sono eseguiti utilizzando mezzi di comunicazione elettronici in conformita’ con quanto disposto dal presente comma e dai commi da 2 a 9, nonche’ dal Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82. Gli strumenti e i dispositivi da utilizzare per comunicare per via elettronica, nonche’ le relative caratteristiche tecniche, hanno carattere non discriminatorio, sono comunemente disponibili e compatibili con i prodotti TIC generalmente in uso e non limitano l’accesso degli operatori economici alla procedura di aggiudicazione. In deroga al primo e secondo periodo, le stazioni appaltanti non sono obbligate a richiedere mezzi di comunicazione elettronici nella procedura di presentazione dell’offerta esclusivamente nelle seguenti ipotesi: a) a causa della natura specialistica dell’appalto, l’uso di mezzi di comunicazione elettronici richiederebbe specifici strumenti, dispositivi o formati di file che non sono in genere disponibili o non sono gestiti dai programmi comunemente disponibili; b) i programmi in grado di gestire i formati di file, adatti a descrivere l’offerta, utilizzano formati che non possono essere gestiti mediante altri programmi aperti o generalmente disponibili ovvero sono protetti da licenza di proprieta’ esclusiva e non possono essere messi a disposizione per essere scaricati o per farne un uso remoto da parte della stazione appaltante; c) l’utilizzo di mezzi di comunicazione elettronici richiede attrezzature specializzate per ufficio non comunemente disponibili alle stazioni appaltanti; d) i documenti di gara richiedono la presentazione di un modello fisico o in scala ridotta che non puo’ essere trasmesso per mezzo di strumenti elettronici; e) l’uso di mezzi di comunicazione diversi dai mezzi elettronici e’ necessario a causa di una violazione della sicurezza dei mezzi di comunicazione elettronici ovvero per la protezione di informazioni di natura particolarmente sensibile che richiedono un livello talmente elevato di protezione da non poter essere adeguatamente garantito mediante l’uso degli strumenti e dispositivi elettronici che sono generalmente a disposizione degli operatori economici o che possono essere messi loro a disposizione mediante modalita’ alternative di accesso ai sensi del comma 6. 2. Nei casi in cui non sono utilizzati mezzi di comunicazione elettronici ai sensi del terzo periodo del comma 1, la comunicazione avviene per posta o altro idoneo supporto ovvero mediante una loro combinazione. 3. Le stazioni appaltanti indicano nella relazione unica i motivi per cui l’uso di mezzi di comunicazione diversi dai mezzi elettronici e’ stato ritenuto necessario in applicazione del comma 1, terzo periodo. 4. In deroga ai commi da 1 a 3, la comunicazione orale puo’ essere utilizzata in relazione a comunicazioni diverse da quelle relative agli elementi essenziali della procedura di appalto, purche’ il contenuto della comunicazione orale sia sufficientemente documentato. A tal fine, gli elementi essenziali della procedura di appalto includono i documenti di gara, le richieste di partecipazione, le conferme di interesse e le offerte. In particolare, le comunicazioni orali con offerenti che potrebbero incidere significativamente sul contenuto e la valutazione delle offerte sono documentate in misura sufficiente e con mezzi adeguati. 5. In tutte le comunicazioni, gli scambi e l’archiviazione di informazioni, le stazioni appaltanti garantiscono che l’integrita’ dei dati e la riservatezza delle offerte e delle domande di partecipazione siano mantenute. ((Esse esaminano)) il contenuto delle offerte e delle domande di partecipazione soltanto dopo la scadenza del termine stabilito per la loro presentazione. 6. Le stazioni appaltanti possono, se necessario, richiedere l’uso di strumenti e dispositivi che in genere non sono disponibili, ma, in tale caso, offrono modalita’ alternative di accesso. Sono adeguate modalita’ alternative di accesso quelle che: a)  offrono gratuitamente un accesso completo, illimitato e diretto per via elettronica a tali strumenti e dispositivi a decorrere dalla data di pubblicazione dell’avviso, conformemente all’allegato V o dalla data di invio dell’invito a confermare interesse. Il testo dell’avviso o dell’invito a confermare interesse indica l’indirizzo Internet presso il quale tali strumenti e dispositivi sono accessibili; b)  assicurano che gli offerenti, che non hanno accesso agli strumenti e ai dispositivi in questione o non hanno la possibilita’ di ottenerli entro i termini pertinenti, a condizione che la responsabilita’ del mancato accesso non sia attribuibile all’offerente interessato, possano accedere alla procedura di appalto utilizzando credenziali temporanee elettroniche per un’autenticazione provvisoria fornite gratuitamente online; c) offrono un canale alternativo per la presentazione elettronica delle offerte. 7. Le amministrazioni aggiudicatrici e gli enti aggiudicatori possono imporre agli operatori economici condizioni intese a proteggere il carattere di riservatezza delle informazioni che i predetti soggetti rendono disponibili durante tutta la procedura di appalto. 8. Oltre ai requisiti di cui all’allegato XI, agli strumenti e ai dispositivi di trasmissione e di ricezione elettronica delle offerte e di ricezione elettronica delle domande di partecipazione si applicano le seguenti regole: a) le stazioni appaltanti mettono a disposizione dei soggetti interessati le informazioni sulle specifiche per la presentazione di offerte e domande di partecipazione per via elettronica, compresa la cifratura e la datazione; b)  le stazioni appaltanti specificano il livello di sicurezza richiesto per i mezzi di comunicazione elettronici da utilizzare per le varie fasi della procedura d’aggiudicazione degli appalti. Il livello e’ proporzionato ai rischi connessi; c) qualora ritengano che il livello dei rischi, valutato ai sensi della lettera b), sia tale che sono necessarie firme elettroniche avanzate, come definite nel Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, le stazioni appaltanti accettano le firme elettroniche avanzate basate su un certificato qualificato, considerando se tali certificati siano forniti da un prestatore di servizi di certificazione presente in un elenco di fiducia di cui alla decisione della Commissione 2009/767/CE, create con o senza dispositivo per la creazione di una firma sicura alle seguenti condizioni: 1) le stazioni appaltanti stabiliscono il formato della firma elettronica avanzata sulla base dei formati stabiliti nelle regole tecniche adottate in attuazione del Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, e attuano le misure necessarie per poterli elaborare; qualora sia utilizzato un diverso formato di firma elettronica, la firma elettronica o il supporto del documento elettronico contiene informazioni sulle possibilita’ di convalida esistenti. Le possibilita’ di convalida consentono alla stazione appaltante di convalidare on line, gratuitamente e in modo comprensibile per i non madrelingua, le firme elettroniche ricevute come firme elettroniche avanzate basate su un certificato qualificato. Le stazioni appaltanti, tramite il coordinamento della Cabina di regia, comunicano le informazioni relative al fornitore di servizi di convalida alla Commissione europea che le pubblica su internet; 2) in caso di offerte firmate con il sostegno di un certificato qualificato in un elenco di fiducia, le stazioni appaltanti non applicano ulteriori requisiti che potrebbero ostacolare l’uso di tali firme da parte degli offerenti. 9. Riguardo ai documenti utilizzati nel contesto di una procedura di appalto che sono firmati dall’autorita’ competente o da un altro ente responsabile del rilascio, l’autorita’ o l’ente competente di rilascio puo’ stabilire il formato della firma elettronica avanzata in conformita’ ai requisiti previsti dalle regole tecniche adottate in attuazione del Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82. Essi si dotano delle misure necessarie per trattare tecnicamente tale formato includendo le informazioni necessarie ai fini del trattamento della firma nei documenti in questione. Tali documenti contengono nella firma elettronica o nel supporto del documento elettronico possibilita’ di convalida esistenti che consentono di convalidare le firme elettroniche ricevute on line, gratuitamente e in modo comprensibile per i non madre lingua. 10. Per le concessioni, fatti salvi i casi in cui l’uso dei mezzi elettronici e’ obbligatorio ai sensi del presente codice, le stazioni appaltanti possono scegliere uno o piu’ dei seguenti mezzi di comunicazione per tutte le comunicazioni e gli scambi di informazioni: a)  mezzi elettronici; b)  posta; c)  comunicazione orale, anche telefonica, per comunicazioni diverse da quelle aventi ad oggetto gli elementi essenziali di una procedura di aggiudicazione di una concessione e purche’ il contenuto della comunicazione orale sia sufficientemente documentato su un supporto durevole; d)  la consegna a mano comprovata da un avviso di ricevimento. 11. Nei casi di cui al comma 10, il mezzo di comunicazione scelto deve essere comunemente disponibile e non discriminatorio e non deve limitare l’accesso degli operatori economici alla procedura di aggiudicazione della concessione. Gli strumenti e i dispositivi da utilizzare per comunicare per via elettronica, nonche’ le relative caratteristiche tecniche, devono essere interoperabili con i prodotti della tecnologia dell’informazione e della comunicazione comunemente in uso. 12. Alle concessioni ((si applicano i commi 5 e 7)).

Vediamo ora il 5 bis del CAD che come sempre considero strumentale ad ogni procedimento.

Art. 5-bis (Comunicazioni tra imprese e amministrazioni pubbliche). 1. La presentazione di istanze, dichiarazioni, dati e lo scambio di informazioni e documenti, anche a fini statistici, tra le imprese e le amministrazioni pubbliche avviene esclusivamente utilizzando le tecnologie dell’informazione e della comunicazione. Con le medesime modalita’ le amministrazioni pubbliche adottano e comunicano atti e provvedimenti amministrativi nei confronti delle imprese. 2. Con decreto del Presidente del Consiglio dei Ministri, su proposta del Ministro per la pubblica amministrazione e l’innovazione, di concerto con il Ministro dello sviluppo economico e con il Ministro per la semplificazione normativa, sono adottate le modalita’ di attuazione del comma 1 da parte delle pubbliche amministrazioni centrali e fissati i relativi termini. 3. ((AgID)), anche avvalendosi degli uffici di cui all’articolo 17, provvede alla verifica dell’attuazione del comma 1 secondo le modalita’ e i termini indicati nel decreto di cui al comma 2. 4. Il Governo promuove l’intesa con regioni ed enti locali in sede di Conferenza unificata per l’adozione degli indirizzi utili alla realizzazione delle finalita’ di cui al comma 1.

Come ulteriore riferimento per capire cosa si intende per procedura telematica è importante il CdS n. 4050 del 2016 che crea una discriminante importante , non basta l’utilizzo non armonico degli strumenti del CAD ( Firma, PEC , Mt etc ), ma è necessaria una piattaforma capace di gestire le procedure ed automatizzare le proposte discrezionali ed inoltre detti dall’alto i tempi di apertura, invito, caricamento etc etc. Allego la sentenza.

E’ importante ribadire che vige ancora l’articolo 1 comma 450 della L. 296/06.

Una cosa importante da chiarire è che il 18 ottobre è entrato in vigore solo l’articolo 40 del D.lgs 50/2016 e non il 44 , per il quale siamo in attesa di ulteriori disposizioni e regole tecniche.

Per riepilogare , e soprattutto tranquilizzare ricordo che sarà tutto piû semplice quando l’ANAC finalmente farà partire la BDNOE, nel frattempo si dovranno utilizzare  le solite procedure e… come sempre nulla di nuovo , occorre solo applicare il combinato articolo 29 del D.lgs 50/16 e 37 del D.lgs 33/13 tenendo conto del CAD.

Tutti i miei clienti otterranno nella relazione finale GDPR-ACCESSIBILITA’-TRASPARENZA una relazione puntuale sullo stato degli adempimenti.

Tempo stimato…. BEFANA 2019.

Buona Digital Commedia.

il D.l 179/12 e la notificazione della PEC, importante decisione CASSAZIONE

Art. 16-septies. DL 179/12 ( CRESCITA )Tempo delle notificazioni con modalita’ telematiche

1. La disposizione dell’articolo 147 del codice di procedura civile si applica anche alle notificazioni eseguite con modalita’ telematiche. Quando e’ eseguita dopo le ore 21, la notificazione si considera perfezionata alle ore 7 del giorno successivo.

IMPORTANTE DECISIONE CASSAZIONE 28864/2018.

Dall’ordinanza, infatti, si evince che la notifica PEC, dalla quale è poi scaturito il ricorso per Cassazione, è iniziata sicuramente dopo le ore 21.00 del giorno di scadenza e, più precisamente, alle ore 23.26: “(omissis) ricorre per cassazione nei confronti della sentenza con la quale la corte d’appello di Bologna ha dichiarato inammissibile per tardività il gravame dal medesimo interposto con l’atto di citazione notificato in modalità telematica il 30-11-2017, a ore 23’26, rispetto all’ordinanza di primo grado comunicata a mezzo Pec il 31-10-2017, nell’ambito del procedimento instaurato per il riconoscimento della protezione internazionale e umanitaria…”.

E’, quindi, per questo motivo che la notifica, in applicazione dell’articolo 147 c.p.c., non essendo l’attività notificatoria iniziata entro le ore 21.00 del 30.11.2017, deve intendersi effettuata, anche per il notificante, il 1 dicembre 2017 ed è sempre per tale motivo che la Cassazione ha ritenuto di non poter applicare la scissione tra il momento di perfezionamento della notifica per il notificante e il tempo di perfezionamento della notifica per il destinatario.

Sempre nell’ordinanza in commento, il Collegio a supporto della decisione, fa riferimento a due precedenti decisioni (Cass. Civ. n. 8886/2016, Cass. Civ. n. 21915/2017); in particolare, dalla lettura della sentenza n. 21915/2017, si evince che la questione in esame è stata in precedenza esaminata da questa Corte, che è già pervenuta alla medesima soluzione nel senso della tardività della notifica, con sentenza n. 8886 del 2016. In quella occasione, la Corte ha espresso il principio di diritto secondo il quale “L’art. 16 septies del d.l. n. 179 del 2012, conv. con modif. dalla 1. n. 221 del 2012, non prevede la scissione tra il momento di perfezionamento della notifica per il notificante ed il tempo di perfezionamento della notifica per il destinatario, espressamente disposta, invece, ad altri fini, dall’art. 16 quater dello stesso d.l. (Nella specie, la S.C. ha ritenuto quindi tardiva la notifica del ricorso per cassazione affermando che si era perfezionata, sia per il notificante che per il notificato, il giorno successivo a quello di scadenza del termine per l’impugnazione, poiché eseguita dopo le ore 21 di quest’ultimo giorno)”.

D.lgs 106/2018 e PERFORMANCE. La nuova Legge STANCA per i siti web e non solo…

La legge 4/2004, nota come STANCA, anteriore al CAD, ha fatto che l’ITALIA divenisse un punto di riferimento nell’ambito del diritto all’informazione accessibile a persone con disabilità e che i dipendenti delle PP.AA con le stesse problematiche potessero  essere agevolate nelle operazioni lavorative.

L’accessibilità non è concetto a se stante individuato solo nella legge stanca ( e poi nella modifica contenuta nel D.lgs 106/18) ma è diventata elemento caratterizzante diverse decisioni legislative.

Una figura fondamentale per l’attuazione del diritto all’accessibilità è il RTD, infatti all’articolo 17 comma 1 lett d del CAD troviamo che deve promuovere 

l’ accesso dei soggetti disabili agli strumenti informatici e promozione dell’accessibilita’ anche in attuazione di quanto previsto dalla legge 9 gennaio 2004, n. 4;

L’accessibilità, gli obiettivi della stessa norma, sono contenuti in via di principio ( costituzionale , articolo 3) nel primo articolo della L. 4/2004 che non ha subito grandi modifiche dal D.lgs 106/18.

Art. 1. (Obiettivi e finalita) 1. La Repubblica riconosce e tutela il diritto di ogni persona ad accedere a tutte le fonti di informazione e ai relativi servizi, ivi compresi quelli che si articolano attraverso gli strumenti informatici e telematici. 2. E’ tutelato e garantito, in particolare, il diritto di accesso ai servizi informatici e telematici della pubblica amministrazione e ai servizi di pubblica utilita’ da parte delle ((persone con disabilita’)), in ottemperanza al principio di uguaglianza ai sensi dell’articolo 3 della Costituzione.

Il diritto all’usabilità ed all’accessibilità non si limita al ‘ CONTENITORE SITO WEB  ISTITUZIONALE , ma in maniera pervasiva si applica anche al contenuto, infatti ci sono richiami sia nella pubblicità notiziale ( amministrazione trasaparente ) all’articolo 6 del D.lgs 33/13

Art. 6 Qualita’ delle informazioni 1. Le pubbliche amministrazioni garantiscono la qualita’ delle informazioni riportate nei siti istituzionali nel rispetto degli obblighi di pubblicazione previsti dalla legge, assicurandone l’integrita’, il costante aggiornamento, la completezza, la tempestivita’, la semplicita’ di consultazione, la comprensibilita’, l’omogeneita’, la facile accessibilita’, nonche’ la conformita’ ai documenti originali in possesso dell’amministrazione, l’indicazione della loro provenienza e la riutilizzabilita’ secondo quanto previsto dall’articolo 7. 2. L’esigenza di assicurare adeguata qualita’ delle informazioni diffuse non puo’, in ogni caso, costituire motivo per l’omessa o ritardata pubblicazione dei dati, delle informazioni e dei documenti.

che alla pubblicità legale propria dell’articolo 32 della L. 69/09, norma istitutiva della pubblicità legale on line ( ALBO PRETORIO ON LINE )

Art. 32. (Eliminazione degli sprechi relativi al mantenimento di documenti in forma cartacea) 1. A far data dal 1° gennaio 2010, gli obblighi di pubblicazione di atti e provvedimenti amministrativi aventi effetto di pubblicita’ legale si intendono assolti con la pubblicazione nei propri siti informatici da parte delle amministrazioni e degli enti pubblici obbligati. ((La pubblicazione e’ effettuata nel rispetto dei principi di eguaglianza e di non discriminazione, applicando i requisiti tecnici di accessibilita’ di cui all’articolo 11 della legge 9 gennaio 2004, n. 4. La mancata pubblicazione nei termini di cui al periodo precedente e’ altresi’ rilevante ai fini della misurazione e della valutazione della performance individuale dei dirigenti responsabili)).

E’ importante sottolineare come il legislatore  abbia voluto legare gli adempimenti sull’accessibilità con le performance del D.Lgs 150/09.

Inutile ricordare che ovviamente anche il CAD, articolo 53 c.1 ha imposto l’adeguamneto dei siti web alla l. 4/2004 ( cfr articolo 53 c.1.)

Art. 53 Siti Internet delle pubbliche amministrazioni 1. Le pubbliche amministrazioni realizzano siti istituzionali su reti telematiche che rispettano i principi di accessibilita’, nonche’ di elevata usabilita’ e reperibilita’, anche da parte delle persone disabili, completezza di informazione, chiarezza di linguaggio, affidabilita’, semplicita’ di’ consultazione, qualita’, omogeneita’ ed interoperabilita’. Sono in particolare resi facilmente reperibili e consultabili i dati di cui all’articolo 54.

Nell’attesa dell’emanazione delle linee guida dell’Agid previste dall’articolo 11 della L. 4/2004 iniziamo a prepararci lehgendo l’articolo 3 bis dell novellata Legge Stanca, evidenziando, anche se superfluo, che i destinatari degli dempimenti sono i soggetti contenuti nell’articolo 1 comma 2 del D.Lgs 165/01 ( estesi ) ma anche, qui la grossa novità, ancje le imprese di ogni dimensione che ricevono finanziamenti pubblici per l’adeguamento dei sistemi informativi .

Art. 3-bis. (( (Principi generali per l’accessibilita’). )) ((1. I siti web e le applicazioni mobili dei soggetti erogatori, sono accessibili se sono percepibili, utilizzabili, comprensibili e solidi. 2. Sono accessibili i servizi realizzati tramite sistemi informatici, inclusi i siti web e le applicazioni mobili, che presentano i seguenti requisiti: a) accessibilita’ al contenuto del servizio da parte dell’utente; b) fruibilita’ delle informazioni offerte, caratterizzata da: 1) facilita’ e semplicita’ d’uso, assicurando, fra l’altro, che le azioni da compiere per ottenere servizi e informazioni siano sempre uniformi tra loro; 2) efficienza nell’uso, assicurando, fra l’altro, la separazione tra contenuto, presentazione e modalita’ di funzionamento delle interfacce, nonche’ la possibilita’ di rendere disponibile l’informazione attraverso differenti canali sensoriali; 3) efficacia nell’uso e rispondenza alle esigenze dell’utente, assicurando, fra l’altro, che le azioni da compiere per ottenere in modo corretto servizi e informazioni siano indipendenti dal dispositivo utilizzato per l’accesso; 4) soddisfazione nell’uso, assicurando, fra l’altro, l’accesso al servizio e all’informazione senza ingiustificati disagi o vincoli per l’utente. 3. Con le linee guida adottate ai sensi dell’articolo 11, sono individuate le regole tecniche necessarie per garantire il rispetto dei principi e dei requisiti di accessibilita’ di cui ai commi 1 e 2.))

L’articolo 3 ter , invece parla di una deroga all’adempimento quando lo sforzo ( organizzativo, tecnologico, economico ) è spoporzionato secondo una parametrizzazione che verrà comunque data dall’AGID nelle LL.GG articolo 11.

Al 3 quater si riprende la rendicontazione ( da fare con la dichiarazione di accessibilità ) ed entra in gioco anche il difensore civico digitale ( che con il D.lgs 217/2017 è centrale unico ed indipendente e siede tra le file dell’AGID) .

Andando verso la chiusura ricordo che l’articolo 4 della Stanca impone che già in fase di progettazione dell’acquisto di web, software e servizi mobili occorre tener conto dei principi di accessibilità, ugual discorso per il rinnovo degli stessi servizi.

L’articolo 8 evidenzial l’importanza della formazione,



Art. 8. (Formazione) 1. Le amministrazioni di cui all’articolo 3, comma 1, nell’ambito delle attivita’ di cui al comma 4 dell’articolo 7 del decreto legislativo 30 marzo 2001, n. 165, nonche’ dei corsi di formazione organizzati dalla Scuola superiore della pubblica amministrazione, e nell’ambito delle attivita’ per l’alfabetizzazione informatica dei pubblici dipendenti di cui all’articolo 27, comma 8, lettera g), della legge 16 gennaio 2003, n. 3, inseriscono tra le materie di studio a carattere fondamentale le problematiche relative all’accessibilita’ e alle tecnologie assistive. 2. La formazione professionale di cui al comma 1 e’ effettuata con tecnologie accessibili. 3. Le amministrazioni di cui all’articolo 3, comma 1, nell’ambito delle disponibilita’ di bilancio, predispongono corsi di aggiornamento professionale sull’accessibilita’ ((, ivi inclusi quelli relativi alle modalita’ di creazione, gestione ed aggiornamento di contenuti accessibili dei siti web e delle applicazioni mobili)).

mentre l’articolo 9 ricorda della rilevanza sulla performance e della responsabilita’ amministrativa e dirigenziale degli articoli 21 e 55 del D.lgs 165/01.

Iniziamo un nuovo viaggio insieme.

​La programmazione biennale degli acquisti di beni e servizi. L’ art 21 D.Lgs 50/16 e decreto MIT 14/2018

Con il decreto MIT del 16/01/18, il  numero 14 , si rende finalmente operativo l’articolo 21 del D.Lgs 50/16, sarà infatti questo il primo anno di programmaizone economica degli acquisti di beni e servizi  su base biennale.

Analizziamo qualche aspetto dell’articolo 21 .

 Art. 21 
 
 
(( (Programma degli acquisti e programmazione dei lavori pubblici) )) 
 
  1. Le amministrazioni aggiudicatrici adottano il programma biennale
degli acquisti di beni e servizi e il programma triennale dei  lavori
pubblici, nonche' i relativi aggiornamenti annuali. I programmi  sono
approvati nel rispetto dei documenti programmatori e in coerenza  con
il  bilancio  ((e,  per  gli  enti  locali,  secondo  le  norme   che
disciplinano la programmazione economico-finanziaria degli enti)). 

Al primo comma è chiaro che gli strumenti propri dell programmazioen restano incardinati sulle norme specifiche, infatti l’obbligatorietà della programmazione del D.lgs 50/16 spinge ad uniformare i soli processi di pubbicazione senza incidere, ovviamente sugli strumenti propri di ogni Ente .

Inoltre occorre evidenziare che l’obbligo è delle amministrazini aggiudicatrici e non delle singole SA , quindi in caso di Enti complessi costituiti da più SA la programmazione deve essere aggregata ai fini dell’articolo 21, si pensi a strutture complesse come le aziende sanitarie od enti locali .

Ovviamente nella prorammazione dei beni e dei servizi dell’area ICT occorre tenere conto dell’articolo 1 comma 513 della L. 208/15, che riporto per semplicità di lettura :

L'Agenzia per l'Italia digitale  (Agid)  predispone  il  Piano
triennale per l'informatica nella  pubblica  amministrazione  che  e'
approvato dal Presidente del Consiglio dei ministri  o  dal  Ministro
delegato. Il Piano contiene, per ciascuna amministrazione o categoria
di amministrazioni, l'elenco dei beni  e  servizi  informatici  e  di
connettivita' e dei relativi costi, suddivisi in spese  da  sostenere
per innovazione  e  spese  per  la  gestione  corrente,  individuando
altresi' i beni e servizi la  cui  acquisizione  riveste  particolare
rilevanza strategica. 

E’ anche opprotuno non considerare la programmazione come un peso ulteriore, un atto programmatico sterile e foriero di problemi applicativi, deve essere vista come strumento di budget e di razionalizzazione, programmiamo bene ed iniziamo anche a qualificare i possibili OE per avere un lavoro in discesa, leghiamo quindi la programmazione biennale con la progettazione degli acquisti ( e restando sembre in ambito di informatica giuridica chiedete sempre aiuto al vostro RTD ).

Vediamo ora lo strumento del MIT attuativo dell’articolo 21, cioè l’articolo 6 del decreto 14/18.

 Art. 6 
 
 
Contenuti, ordine di priorita' del programma biennale degli  acquisti
                       di forniture e servizi 
 
  1. Le amministrazioni, secondo i propri ordinamenti e  fatte  salve
le competenze legislative  e  regolamentari  delle  regioni  e  delle
province autonome  in  materia,  adottano,  nel  rispetto  di  quanto
previsto dall'articolo 21, comma 1, secondo periodo, del  codice,  il
programma biennale degli acquisti di forniture e  servizi  nonche'  i
relativi elenchi annuali e aggiornamenti  annuali  sulla  base  degli
schemi-tipo allegati al presente decreto  e  parte  integrante  dello
stesso.  Le  amministrazioni,  ai  fini  della  predisposizione   del
programma biennale degli  acquisti  di  forniture  e  servizi  e  dei
relativi elenchi annuali e  aggiornamenti  annuali,  consultano,  ove
disponibili,  le  pianificazioni   delle   attivita'   dei   soggetti
aggregatori e delle  centrali  di  committenza,  anche  ai  fini  del
rispetto degli obblighi di utilizzo di strumenti  di  acquisto  e  di
negoziazione  previsti  dalle  vigenti  disposizioni  in  materia  di
contenimento della spesa. 
  2. Gli schemi-tipo per la programmazione biennale degli acquisti di
forniture e servizi di cui  all'Allegato  II  sono  costituiti  dalle
seguenti schede: 
    a) A: quadro delle risorse necessarie alle acquisizioni  previste
dal programma, articolate per annualita' e fonte di finanziamento; 
    b) B: elenco degli acquisti del programma con  indicazione  degli
elementi essenziali per la loro  individuazione.  Nella  scheda  sono
indicati le forniture e i servizi connessi ad un lavoro di  cui  agli
articoli da 3 a 5, riportandone il relativo CUP, ove previsto; 
    c)  C:  elenco   degli   acquisti   presenti   nella   precedente
programmazione biennale nei casi previsti dal comma  3  dell'articolo
7. 
  3. I soggetti  che  gestiscono  i  siti  informatici  di  cui  agli
articoli 21, comma 7 e 29 del codice,  assicurano  la  disponibilita'
del  supporto  informatico  per  la  compilazione  degli  schemi-tipo
allegati al presente decreto. 
  4. Ogni acquisto di forniture e servizi riportato nel programma  di
cui al comma 1 e' individuato univocamente dal CUI. Per ogni acquisto
per il quale e' previsto, e' riportato  il  CUP.  Entrambi  i  codici
vengono mantenuti nei programmi  biennali  nei  quali  l'acquisto  e'
riproposto, salvo modifiche sostanziali del progetto che ne  alterino
la possibilita' di precisa individuazione. 
  5. Per gli acquisti di cui al comma 1, nel programma biennale  sono
riportati  gli  importi  degli  acquisti  di  forniture   e   servizi
risultanti dalla  stima  del  valore  complessivo,  ovvero,  per  gli
acquisti di forniture e servizi ricompresi nell'elenco  annuale,  gli
importi del prospetto economico delle acquisizioni medesime. 
  6. Il programma biennale contiene altresi'  i  servizi  di  cui  al
comma  11  dell'articolo  23  del   codice   nonche'   le   ulteriori
acquisizioni di forniture e servizi connessi  alla  realizzazione  di
lavori previsti nella programmazione triennale dei lavori pubblici  o
di  altre  acquisizioni  di  forniture  e  servizi   previsti   nella
programmazione biennale. Gli importi relativi  a  tali  acquisizioni,
qualora  gia'  ricompresi  nell'importo  complessivo  o  nel   quadro
economico del lavoro o acquisizione ai quali sono connessi, non  sono
computati ai fini della quantificazione delle risorse complessive del
programma di cui alla scheda A dell'Allegato II. 
  7. Le acquisizioni di forniture e servizi di cui al  comma  6  sono
individuate da un proprio CUI e sono associate al CUI e al  CUP,  ove
previsto, del lavoro o dell'acquisizione al quale sono connessi. 

Quest’articolo che sembra complicarci la vita, beh, forse lo fa , ci rende gli strumenti di lavoro necessari per adempiere alla pubblicazione della programmazione, e soprattutto introduce un nuovo identificativo , il Codice Unico di Intervento ( CUI ) che può essere anche associato al più noto e rognoso Codice Unico Progetto ( CUP ) del CIPE.

Analizziamo un solo istante il formalismo del CUI, tanto sarà un nuovo codice col quale lavoreremo, è costituito da una lettera ( F di forniture o S di servizi ) , il CF dell’amministrazione aggiudicatrice, l’anno dell’intervento programmato ed un progressivo in ragione naturale .

Ritornando al sesto articolo del decreto MIT 14/18 , vi troviamo lo strumento fondamentale della programmazione biennale, l’allegato2 , costiutito da tre schede di lavoro, A,B e C, vediamole :

Il primo passo compilativo della scheda, poi vediamo tecnicamente come fare,  ha valore di armonizzazione con il piano strategico dell’ente e con il documento di programmazione tradizionale, si tratta in esrema sintesi delle fonti di coperture normali e meno ( 191 del 50 ed articolo 3 DL 310/90 entrate su gestione del patrimonio immobiliare) .

La scheda B, esplode ed analizza quanto gestito solo come flusso di cassa dalla scheda A, analizziamo solo qualche particolarità :

– CUI, già trattato , sarà un nuovo caro amico

– Prima annualità …. , la prima volta che appare nel piano ex articolo 21

– Annualità nella quale si prevede di dare avvio, in sintesi l’anno in cui si procederà a determinare

–  CUP, qualora il bene / servizio sia assoggettato al CUP ( sia master che proprio) , il sistema MIT è collegato al CIPE, quindi ci sono i controlli   incrociati tra CUI e CUP, ovviamente il CUP non è obbligatorio qualora non ricorrano gli estremi dell’articolo 11 della L. 3/3003 e deliberazione CIPE 24/2004.

– Acquisto ricompreso…. e CUI , evidentemente sono legati e serve per alcuni scomputi al fine della quadratura e dell’armonizzazione

– CPV , attenzione è sempre fastidioso individuare il CPV, se soggetto a CUP confrontore con il CUP generato

– Livello di priorità , riporto il decimo comma dell’articolo 6 decreto MIT 14/18

10. Il programma biennale degli acquisti  di  forniture  e  servizi
riporta l'ordine di priorita'. Nell'ambito  della  definizione  degli
ordini di priorita' le amministrazioni individuano come prioritari  i
servizi  e  le  forniture  necessari  in  conseguenza  di   calamita'
naturali, per garantire gli interessi pubblici primari, gli  acquisti
aggiuntivi per il completamento di forniture o  servizi,  nonche'  le
forniture e i servizi cofinanziati con fondi europei, e le  forniture
e i servizi per i quali ricorra la possibilita' di finanziamento  con
capitale privato maggioritario. 

I campi sopra descritti sono solo quelli critici, gli altri richiedono informazioni ormai comuni.

Ultima precisazione sulla scheda B dell’allegato 2, qualora si faccia ricorso alle CUC occorre nel rigo di riferimento dell’acquisto inserire il codice AUSA.

La scheda C dell’allegato 2 sarà da utilizzare nell’invio del 2019 per rettificare il piano 2018-2020.

Ora cerchiamo operativamente di capire come proseguire.

Prima cosa, puntare su www.serviziocontrattipubblici.it e registrarsi .

Appare l’avviso per i vecchi registrati ad AliProg4

ATTENZIONE: il servizio AliProg4 è stato dismesso!

Gli utenti che hanno utilizzato AliProg4 per la pubblicazione sul servizio SCP e risultano abilitati al servizio ad agosto 2018, possono accedere direttamente dai link sotto elencati al nuovo servizio Programmazione. Troveranno nel nuovo sistema i dati dei programmi pregressi.

Gli utenti che hanno utilizzato AliProg4 per l’esportazione del file XML potranno accedervi ancora da qui fino a dicembre 2018, per recuperare gli eventuali dati esportandoli in formato XML. Oltre tale periodo il servizio verrà definitivamente dismesso e non saranno più recupeabili i dati.

Poi selezioniamo la regione di appartenenza della PA

Ed indichiamo che si tratta di una nuova registrazione o subentro

A questo punto si procede con la compilazione dei form necessaria a generare il file da firmare digitalmente e caricare sul sistema.

Terminata la fase di reigistrazione si può accedere all’applicativo MIT

Nell’applicativo occorre inserire il nuovo acquisto e compilare le diverse schermate ( che andranno a generare le schede A e B dell’allegato 2)

Come si può vedere il sistema insiste molto sulla differenza tra le voci ecomoniche e finanziarie di progetto e programmazione per una migliori gestione del bilancio pervisionale ( di raccordo ).

Ad ogni inserimento conviene utilizzare la procedure CONTROLLO DATI INSERITI, il report che ne esce è davvero utile

Terminate le fasi di inserimento del progetto ( A ) e degli investimenti prospettici ( B ) si può procedere con la funzione di pubblicazione con il tasto PUBBLICA

ricordando però che la pubblicazione avviene solo sul SCP e che sarà nostro onere pubblicare anche sulla nostra amministrazione trasparente utilizzando anche il sistema di restituzione di link ex articolo 9 bis comma 2 d.lgs 33/13.

Per la pubblicazione triennale dei lavori , cambiano i link ma le procedure sono le stesse ed occorre fare riferimento all’allegato 1 del decreto MIT.

In allegato il MIT 14/2018.

Vista la fretta il presente è da considerarsi come bozza ( per gli errori di digitazione che non ho voglia di controlalre ) .

In caso di dubbi , i miei contatti li conoscete.

Buon ponte di ognissanti, forse leggendo il post qualche santo verrà evocato.

E se fossimo noi i Responsabili GDPR ? Un caso concreto.

Il responsabile del trattamento ( che come è stato ulteriormente chiarito dal D.Lgs 101/18 è diverso dal responsabile “interno” del codice d.lgs 196/03, tanto che l’articolo 27 ne abroga il contenuto ) è una sorta di terzista del trattamento . Negli enti locali ( invero in tutte le strutture complesse ), diamo per scontato di essere  sempre i nominanti verso terzi di una lettera ex art 28 GDPR.

In realtà puo capitare di essere nominati , perchè per conto di altra PA trattiamo i  dati, ad esempio in forza di un accordo ex articolo 15 l. 241/90.

Un esempio ? L’ISTAT nomina il Comune di Paperopoli responsabile per taluni censimenti ( raccolta ). In questo caso il Comune di Paperopoli deve redigere un ulteriore registro delle attivita ( articolo 30 paragrafo 2 del GDPR) .

Nella lettera di nomina del titolare ( che ricordo non è il Comune di Paperopoli, ma l’ISTAT ) ci devono essere tutte le indiacazioni dell’articolo 28 e le indicazioni indispensabili per il corretto trattamento . La nomina deve essere in forma scritta ( come da articolo 20 comma 1 bis D.lgs 82/05) .

Resta inteso che gli obblighi contenuti nell’articolo 28 della L. 241/90 restano in capo al dipendnete designato incaricato dal responsabile.

Appresso l’articolo 28 del GDPR

Articolo 28

Responsabile del trattamento

1.   Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

2.   Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.

3.   I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:

a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;
b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
c) adotti tutte le misure richieste ai sensi dell’articolo 32;
d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;
e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;
f) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati; e
h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.

Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.

4.   Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.

5.   L’adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo.

6.   Fatto salvo un contratto individuale tra il titolare del trattamento e il responsabile del trattamento, il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 del presente articolo può basarsi, in tutto o in parte, su clausole contrattuali tipo di cui ai paragrafi 7 e 8 del presente articolo, anche laddove siano parte di una certificazione concessa al titolare del trattamento o al responsabile del trattamento ai sensi degli articoli 42 e 43.

7.   La Commissione può stabilire clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo e secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.

8.   Un’autorità di controllo può adottare clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo in conformità del meccanismo di coerenza di cui all’articolo 63.

9.   Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è stipulato in forma scritta, anche in formato elettronico.

10.   Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione.

(Obbligo di uso dei mezzi di comunicazione elettronici nello svolgimento di procedure di aggiudicazione)

OGGI,  18 Ottobre entra in vigore l’articolo 40 del D.lgs 50/16.

Art. 40 (Obbligo di uso dei mezzi di comunicazione elettronici nello svolgimento di procedure di aggiudicazione) 1. Le comunicazioni e gli scambi di informazioni nell’ambito delle procedure di cui al presente codice svolte da centrali di committenza sono eseguiti utilizzando mezzi di comunicazione elettronici ai sensi dell’articolo 5-bis del decreto legislativo 7 marzo 2005, n. 82, Codice dell’amministrazione digitale. 2. A decorrere dal 18 ottobre 2018, le comunicazioni e gli scambi di informazioni nell’ambito delle procedure di cui al presente codice svolte dalle stazioni appaltanti sono eseguiti utilizzando mezzi di comunicazione elettronici.

Le comunicazione ed i mezzi di comunicazione elttronici sono quelli disciplinati dall’articolo 52 che richiama ovviamente i proncipi del CAD

Art. 52 (Regole applicabili alle comunicazioni) 1. Nei settori ordinari e nei settori speciali, tutte le comunicazioni e gli scambi di informazioni di cui al presente codice sono eseguiti utilizzando mezzi di comunicazione elettronici in conformita’ con quanto disposto dal presente comma e dai commi da 2 a 9, nonche’ dal Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82. Gli strumenti e i dispositivi da utilizzare per comunicare per via elettronica, nonche’ le relative caratteristiche tecniche, hanno carattere non discriminatorio, sono comunemente disponibili e compatibili con i prodotti TIC generalmente in uso e non limitano l’accesso degli operatori economici alla procedura di aggiudicazione. In deroga al primo e secondo periodo, le stazioni appaltanti non sono obbligate a richiedere mezzi di comunicazione elettronici nella procedura di presentazione dell’offerta esclusivamente nelle seguenti ipotesi: a) a causa della natura specialistica dell’appalto, l’uso di mezzi di comunicazione elettronici richiederebbe specifici strumenti, dispositivi o formati di file che non sono in genere disponibili o non sono gestiti dai programmi comunemente disponibili; b) i programmi in grado di gestire i formati di file, adatti a descrivere l’offerta, utilizzano formati che non possono essere gestiti mediante altri programmi aperti o generalmente disponibili ovvero sono protetti da licenza di proprieta’ esclusiva e non possono essere messi a disposizione per essere scaricati o per farne un uso remoto da parte della stazione appaltante; c) l’utilizzo di mezzi di comunicazione elettronici richiede attrezzature specializzate per ufficio non comunemente disponibili alle stazioni appaltanti; d) i documenti di gara richiedono la presentazione di un modello fisico o in scala ridotta che non puo’ essere trasmesso per mezzo di strumenti elettronici; e) l’uso di mezzi di comunicazione diversi dai mezzi elettronici e’ necessario a causa di una violazione della sicurezza dei mezzi di comunicazione elettronici ovvero per la protezione di informazioni di natura particolarmente sensibile che richiedono un livello talmente elevato di protezione da non poter essere adeguatamente garantito mediante l’uso degli strumenti e dispositivi elettronici che sono generalmente a disposizione degli operatori economici o che possono essere messi loro a disposizione mediante modalita’ alternative di accesso ai sensi del comma 6. 2. Nei casi in cui non sono utilizzati mezzi di comunicazione elettronici ai sensi del terzo periodo del comma 1, la comunicazione avviene per posta o altro idoneo supporto ovvero mediante una loro combinazione. 3. Le stazioni appaltanti indicano nella relazione unica i motivi per cui l’uso di mezzi di comunicazione diversi dai mezzi elettronici e’ stato ritenuto necessario in applicazione del comma 1, terzo periodo. 4. In deroga ai commi da 1 a 3, la comunicazione orale puo’ essere utilizzata in relazione a comunicazioni diverse da quelle relative agli elementi essenziali della procedura di appalto, purche’ il contenuto della comunicazione orale sia sufficientemente documentato. A tal fine, gli elementi essenziali della procedura di appalto includono i documenti di gara, le richieste di partecipazione, le conferme di interesse e le offerte. In particolare, le comunicazioni orali con offerenti che potrebbero incidere significativamente sul contenuto e la valutazione delle offerte sono documentate in misura sufficiente e con mezzi adeguati. 5. In tutte le comunicazioni, gli scambi e l’archiviazione di informazioni, le stazioni appaltanti garantiscono che l’integrita’ dei dati e la riservatezza delle offerte e delle domande di partecipazione siano mantenute. ((Esse esaminano)) il contenuto delle offerte e delle domande di partecipazione soltanto dopo la scadenza del termine stabilito per la loro presentazione. 6. Le stazioni appaltanti possono, se necessario, richiedere l’uso di strumenti e dispositivi che in genere non sono disponibili, ma, in tale caso, offrono modalita’ alternative di accesso. Sono adeguate modalita’ alternative di accesso quelle che: a)  offrono gratuitamente un accesso completo, illimitato e diretto per via elettronica a tali strumenti e dispositivi a decorrere dalla data di pubblicazione dell’avviso, conformemente all’allegato V o dalla data di invio dell’invito a confermare interesse. Il testo dell’avviso o dell’invito a confermare interesse indica l’indirizzo Internet presso il quale tali strumenti e dispositivi sono accessibili; b)  assicurano che gli offerenti, che non hanno accesso agli strumenti e ai dispositivi in questione o non hanno la possibilita’ di ottenerli entro i termini pertinenti, a condizione che la responsabilita’ del mancato accesso non sia attribuibile all’offerente interessato, possano accedere alla procedura di appalto utilizzando credenziali temporanee elettroniche per un’autenticazione provvisoria fornite gratuitamente online; c) offrono un canale alternativo per la presentazione elettronica delle offerte. 7. Le amministrazioni aggiudicatrici e gli enti aggiudicatori possono imporre agli operatori economici condizioni intese a proteggere il carattere di riservatezza delle informazioni che i predetti soggetti rendono disponibili durante tutta la procedura di appalto. 8. Oltre ai requisiti di cui all’allegato XI, agli strumenti e ai dispositivi di trasmissione e di ricezione elettronica delle offerte e di ricezione elettronica delle domande di partecipazione si applicano le seguenti regole: a) le stazioni appaltanti mettono a disposizione dei soggetti interessati le informazioni sulle specifiche per la presentazione di offerte e domande di partecipazione per via elettronica, compresa la cifratura e la datazione; b)  le stazioni appaltanti specificano il livello di sicurezza richiesto per i mezzi di comunicazione elettronici da utilizzare per le varie fasi della procedura d’aggiudicazione degli appalti. Il livello e’ proporzionato ai rischi connessi; c) qualora ritengano che il livello dei rischi, valutato ai sensi della lettera b), sia tale che sono necessarie firme elettroniche avanzate, come definite nel Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, le stazioni appaltanti accettano le firme elettroniche avanzate basate su un certificato qualificato, considerando se tali certificati siano forniti da un prestatore di servizi di certificazione presente in un elenco di fiducia di cui alla decisione della Commissione 2009/767/CE, create con o senza dispositivo per la creazione di una firma sicura alle seguenti condizioni: 1) le stazioni appaltanti stabiliscono il formato della firma elettronica avanzata sulla base dei formati stabiliti nelle regole tecniche adottate in attuazione del Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, e attuano le misure necessarie per poterli elaborare; qualora sia utilizzato un diverso formato di firma elettronica, la firma elettronica o il supporto del documento elettronico contiene informazioni sulle possibilita’ di convalida esistenti. Le possibilita’ di convalida consentono alla stazione appaltante di convalidare on line, gratuitamente e in modo comprensibile per i non madrelingua, le firme elettroniche ricevute come firme elettroniche avanzate basate su un certificato qualificato. Le stazioni appaltanti, tramite il coordinamento della Cabina di regia, comunicano le informazioni relative al fornitore di servizi di convalida alla Commissione europea che le pubblica su internet; 2) in caso di offerte firmate con il sostegno di un certificato qualificato in un elenco di fiducia, le stazioni appaltanti non applicano ulteriori requisiti che potrebbero ostacolare l’uso di tali firme da parte degli offerenti. 9. Riguardo ai documenti utilizzati nel contesto di una procedura di appalto che sono firmati dall’autorita’ competente o da un altro ente responsabile del rilascio, l’autorita’ o l’ente competente di rilascio puo’ stabilire il formato della firma elettronica avanzata in conformita’ ai requisiti previsti dalle regole tecniche adottate in attuazione del Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82. Essi si dotano delle misure necessarie per trattare tecnicamente tale formato includendo le informazioni necessarie ai fini del trattamento della firma nei documenti in questione. Tali documenti contengono nella firma elettronica o nel supporto del documento elettronico possibilita’ di convalida esistenti che consentono di convalidare le firme elettroniche ricevute on line, gratuitamente e in modo comprensibile per i non madre lingua. 10. Per le concessioni, fatti salvi i casi in cui l’uso dei mezzi elettronici e’ obbligatorio ai sensi del presente codice, le stazioni appaltanti possono scegliere uno o piu’ dei seguenti mezzi di comunicazione per tutte le comunicazioni e gli scambi di informazioni: a)  mezzi elettronici; b)  posta; c)  comunicazione orale, anche telefonica, per comunicazioni diverse da quelle aventi ad oggetto gli elementi essenziali di una procedura di aggiudicazione di una concessione e purche’ il contenuto della comunicazione orale sia sufficientemente documentato su un supporto durevole; d)  la consegna a mano comprovata da un avviso di ricevimento. 11. Nei casi di cui al comma 10, il mezzo di comunicazione scelto deve essere comunemente disponibile e non discriminatorio e non deve limitare l’accesso degli operatori economici alla procedura di aggiudicazione della concessione. Gli strumenti e i dispositivi da utilizzare per comunicare per via elettronica, nonche’ le relative caratteristiche tecniche, devono essere interoperabili con i prodotti della tecnologia dell’informazione e della comunicazione comunemente in uso. 12. Alle concessioni ((si applicano i commi 5 e 7)).

Deve essere chiara una cosa fondamentale, facciamo attenzione e tranquilizziamoci, questa norma non è dirompente ( anzi come già richiesto dall’ANCI probabilemnte verrà cassata nella modifica al Codice) ma analizziamola bene .

queste norme, sono di stretta derivazione comunitaria ed attuano gli articoli 22 ( regole delle comunicazioni ) e 90 ( periodo transitorio ) della direttiva 2014/24/UE per le gestioni ordinarie .e trovano chiara ed immediata applicazione, senza deroga alcuna , alle procedure soprasoglia dell’articolo 35 del codice appalti.

Si ricorda infatti , che la prassi è quella di utilizzare gli stumenti elettronici di CONSIP e MEPA per le procedure rientrante invece nel sottosoglia .

Quindi nella maggior parte dei casi non cambia nulla.

Ora sorge la domanda di chi pratica gli acquisti tutti i giorni, quelli c.d. bagatellari, gli infa 1000 Euro.

No, anche in questo caso non cambia nulla essendo salvo il contenuto ( norma speciale ) dell’articolo 1 comma 450 L 296/06, lo stesso vale per le scuole, anzi per maggiore chiarezza riporto il testo citato, ad oggi 18 ottobre vigente su normattiva.it.

Le amministrazioni statali centrali e periferiche, ad esclusione degli istituti e delle scuole di ogni ordine e grado, delle istituzioni educative e delle istituzioni universitarie, nonche’ gli enti nazionali di previdenza e assistenza sociale pubblici e le agenzie fiscali di cui al decreto legislativo 30 luglio 1999, n. 300, per gli acquisti di beni e servizi di importo pari o superiore a 1.000 euro e al di sotto della soglia di rilievo comunitario, sono tenute a fare ricorso al mercato elettronico della pubblica amministrazione di cui all’articolo 328, comma 1, del regolamento di cui al decreto del Presidente della Repubblica 5 ottobre 2010, n. 207. Fermi restando gli obblighi e le facolta’ previsti al comma 449 del presente articolo, le altre amministrazioni pubbliche di cui all’articolo 1 del decreto legislativo 30 marzo 2001, n. 165, nonche’ le autorita’ indipendenti, per gli acquisti di beni e servizi di importo pari o superiore a 1.000 euro e inferiore alla soglia di rilievo comunitario sono tenute a fare ricorso al mercato elettronico della pubblica amministrazione ovvero ad altri mercati elettronici istituiti ai sensi del medesimo articolo 328 ovvero al sistema telematico messo a disposizione dalla centrale regionale di riferimento per lo svolgimento delle relative procedure. Per gli istituti e le scuole di ogni ordine e grado, le istituzioni educative, tenendo conto delle rispettive specificita’, sono definite, con decreto del Ministro dell’istruzione, dell’universita’ e della ricerca, linee guida indirizzate alla razionalizzazione e al coordinamento degli acquisti di beni e servizi omogenei per natura merceologica tra piu’ istituzioni, avvalendosi delle procedure di cui al presente comma. A decorrere dal 2014 i risultati conseguiti dalle singole istituzioni sono presi in considerazione ai fini della distribuzione delle risorse per il funzionamento.

Sollecito ministeriale nomina RTD

Riporto la circolare odierna per la nomia del RTD ex articolo 17 d.lgs 82/05, appresso prima del testo integrale della cricolare inserisco i link sull’argomento, giuso per il piacere di dire ” te l’avevo detto!!!!”

Qualche anticipazione per i RTD sul D.Lgs 217/17 il NUOVO CAD

Circolare n. 3 del 1 ottobre 2018

Alle Amministrazioni pubbliche di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165

LORO SEDI

Oggetto: Responsabile per la transizione digitale – art. 17 decreto legislativo 7 marzo 2005, n. 82 “Codice dell’amministrazione digitale

Nell’ambito della serie di azioni, a cui il Governo intende dare corso, per la trasformazione digitale della pubblica amministrazione, affinché sia di supporto alla crescita digitale dell’Italia, riveste particolare importanza l’individuazione della figura del responsabile per la transizione al digitale.

Con la presente circolare si richiama l’attenzione su alcuni aspetti di particolare rilevanza connessi alla predetta nomina, ferma restando l’autonomia organizzativa riconosciuta dall’ordinamento giuridico alle amministrazioni in indirizzo.

La trasformazione digitale richiede il contributo ed il coinvolgimento di ogni articolazione della macchina pubblica e a tal fine il Codice dell’Amministrazione Digitale (CAD), adottato con d.lgs. 7 marzo 2005, n. 82, modificato da ultimo con i decreti legislativi n. 179 del 2016 e n. 217 del 2017, prevede all’art. 17 che le pubbliche amministrazioni garantiscano l’attuazione delle linee strategiche per la riorganizzazione e la digitalizzazione dell’amministrazione definite dal Governo.

L’art. 17, comma 1, CAD, stabilisce che ciascuna pubblica amministrazione sia tenuta ad affidare ad un unico ufficio dirigenziale, fermo restando il numero complessivo degli uffici, la “transizione alla modalità operativa digitale e i conseguenti processi di riorganizzazione finalizzati alla realizzazione di un’amministrazione digitale e aperta, di servizi facilmente utilizzabili e di qualità, attraverso una maggiore efficienza ed economicità” nominando un Responsabile per la Transizione al Digitale (RTD). Giova precisare che già nel testo previgente si attribuiva alla struttura per l’organizzazione, l’innovazione e le tecnologie una serie di compiti di rilievo strategico. Si consideri che rientrava tra i suoi compiti (confermati peraltro nella attuale formulazione del CAD) quello di analizzare la coerenza tra l’organizzazione dell’amministrazione e l’utilizzo delle tecnologie digitali, ovvero di ridurre i tempi e i costi dell’azione amministrativa, e anche di promuovere le iniziative attinenti l’attuazione delle direttive impartite dal Presidente del Consiglio dei Ministri o dal Ministro delegato per l’innovazione e le tecnologie.

La novella di cui al d.lgs. 179/2016 istituisce la figura del RTD, ne definisce la collocazione organizzativa e dispone che, con riferimento ai compiti relativi alla transizione alla modalità digitale, risponde direttamente all’organo di vertice politico o, in sua assenza, a quello amministrativo dell’ente (art. 17, commi 1-ter e 1-sexies, CAD). La rilevanza di una tale previsione nell’ordinamento giuridico italiano denota la volontà del legislatore di ricondurre immediatamente al vertice dell’amministrazione la governance – intesa come attività di indirizzo, coordinamento e correlata responsabilità – della transizione del Paese al digitale, attraverso la realizzazione di servizi pubblici rivisitati in un’ottica che ne preveda la piena integrazione con le nuove tecnologie e non più la giustapposizione di queste ultime alle esistenti forme di organizzazione. Da ciò si evince che, nel rispetto degli assetti organizzativi dell’amministrazione di riferimento e del principio di separazione tra funzioni del vertice politico e del vertice amministrativo, il legislatore attribuisce ai compiti demandati al RTD una valenza strategica tale da imprimere ai relativi obiettivi una derivazione diretta da parte del vertice politico che trova immediata espressione nella direttiva generale per l’attività amministrativa, successivamente da declinarsi nella programmazione strategica e operativa delineata nel piano della performance.

Ciò posto, dalla data di entrata in vigore di tale obbligo (14 settembre 2016) ad oggi, risulta che soltanto un numero limitato di amministrazioni ha provveduto ad individuare tale figura, essenziale per la digitalizzazione coordinata del Paese.

Con la presente Circolare, nella convinzione della centralità del ruolo del RTD ai fini della trasformazione digitale dell’amministrazione e del pieno adempimento delle norme in materia di innovazione della pubblica amministrazione, si richiamano le amministrazioni a provvedere, con ogni opportuna urgenza, alla individuazione del RTD preposto all’ufficio per la transizione al digitale e alla relativa registrazione sull’Indice delle pubbliche amministrazioni (IPA – www.indicepa.gov.it).

L’urgenza di provvedere a tale adempimento da parte di tutti i soggetti tenuti all’applicazione del CAD (così come individuati all’art. 2, comma 2, D. Lgs. n. 82/2005), emerge chiaramente dall’elenco esemplificativo e non esaustivo, contenuto nell’art. 17 citato, dei compiti attribuiti al suddetto Ufficio:

  1. coordinamento strategico dello sviluppo dei sistemi informativi di telecomunicazione e fonia;
  2. indirizzo e coordinamento dello sviluppo dei servizi, sia interni sia esterni, forniti dai sistemi informativi di telecomunicazione e fonia dell’amministrazione;
  3. indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica relativamente ai dati, ai sistemi e alle infrastrutture anche in relazione al sistema pubblico di connettività;
  4. accesso dei soggetti disabili agli strumenti informatici e promozione dell’accessibilità;
  5. analisi periodica della coerenza tra l’organizzazione dell’amministrazione e l’utilizzo delle tecnologie dell’informazione e della comunicazione, al fine di migliorare la soddisfazione dell’utenza e la qualità dei servizi nonché di ridurre i tempi e i costi dell’azione amministrativa;
  6. cooperazione alla revisione della riorganizzazione dell’amministrazione;
  7. indirizzo, coordinamento e monitoraggio della pianificazione prevista per lo sviluppo e la gestione dei sistemi informativi di telecomunicazione e fonia;
  8. progettazione e coordinamento delle iniziative rilevanti ai fini di una più efficace erogazione di servizi in rete a cittadini e imprese mediante gli strumenti della cooperazione applicativa tra pubbliche amministrazioni, inclusa la predisposizione e l’attuazione di accordi di servizio tra amministrazioni per la realizzazione e compartecipazione dei sistemi informativi cooperativi;
  9. promozione delle iniziative attinenti l’attuazione delle direttive impartite dal Presidente del Consiglio dei Ministri o dal Ministro delegato per l’innovazione e le tecnologie;
  10. pianificazione e coordinamento del processo di diffusione, all’interno dell’amministrazione, dei sistemi di identità e domicilio digitale, posta elettronica, protocollo informatico, firma digitale o firma elettronica qualificata e mandato informatico, e delle norme in materia di accessibilità e fruibilità nonché del processo di integrazione e interoperabilità tra i sistemi e servizi dell’amministrazione;

j-bis)     pianificazione e coordinamento degli acquisti di soluzioni e sistemi informatici, telematici e di telecomunicazione, al fine di garantirne la compatibilità con gli obiettivi di attuazione dell’agenda digitale e, in particolare, con quelli stabiliti nel piano triennale.

Al fine di assicurare piena attuazione al disposto normativo le Amministrazioni devono individuare, con atto organizzativo interno e nell’ambito della dotazione organica complessiva delle posizioni di funzione dirigenziale, l’ufficio dirigenziale, di livello generale ove previsto nel relativo ordinamento, cui attribuire i compiti per la transizione digitale declinati dal comma 1 dell’art. 17 CAD.

Il responsabile di tale ufficio deve formalmente assumere le funzioni di Responsabile per la transizione al digitale, essere dotato di “adeguate competenze tecnologiche, di informatica giuridica e manageriali”.

Ove sia già in corso l’incarico dirigenziale di titolare dell’ufficio per la transizione digitale, ferma restando la naturale scadenza dell’incarico in essere, l’affidamento delle funzioni aggiuntive previste dalla legge al dirigente responsabile di tale Ufficio avviene mediante atto interno di nomina che configura la fattispecie dell’incarico aggiuntivo ad opera dell’organo già competente al conferimento dell’incarico dirigenziale, nel rispetto del regime di onnicomprensività.

Nel caso in cui l’ufficio per la transizione digitale risulti vacante e, in via generale, per i successivi atti di nomina del responsabile dell’ufficio, la nomina di RTD è contestuale al conferimento dell’incarico dirigenziale, nel rispetto della normativa vigente, annoverando tra i requisiti richiesti il possesso di “adeguate competenze tecnologiche, di informatica giuridica e manageriali”.

Ferma restando l’autonomia organizzativa di ciascuna Amministrazione, la graduazione delle posizioni dirigenziali può essere congruamente rimodulata in considerazione del maggior aggravio di funzioni secondo le modalità previste dalla disciplina dei rispettivi ordinamenti interni.

Relativamente alle pubbliche amministrazioni in cui non siano previste posizioni dirigenziali le funzioni per la transizione digitale di cui all’art. 17, comma 1 CAD, possono essere affidate ad un dipendente in posizione apicale o già titolare di posizione organizzativa in possesso di adeguate competenze tecnologiche e di informatica giuridica fermi restando, mutatis mutandis, gli effetti sul trattamento economico sopra trattati.

È utile precisare che il comma 1-septies dell’art. 17 CAD. prevede la possibilità per le amministrazioni diverse dalle amministrazioni dello Stato di esercitare le funzioni di RTD anche in forma associata. Tale opzione organizzativa, raccomandata specialmente per le PA di piccole dimensioni, può avvenire in forza di convenzioni o, per i comuni, anche mediante l’unione di comuni. La convenzione disciplinerà anche le modalità di raccordo con il vertice delle singole amministrazioni.

Al fine di garantire la piena operatività dell’Ufficio, si raccomanda di prevedere, nell’atto di conferimento dell’incarico o di nomina, nel caso di incarico in essere, oltre che i compiti espressamente previsti, anche quelli sotto indicati in ragione della trasversalità della figura:

  1. il potere del RTD di costituire tavoli di coordinamento con gli altri dirigenti dell’amministrazione e/o referenti nominati da questi ultimi;
  2. il potere del RTD di costituire gruppi tematici per singole attività e/o adempimenti (ad esempio: pagamenti informatici, piena implementazione di SPID, gestione documentale, apertura e pubblicazione dei dati, accessibilità, sicurezza, ecc.);
  3. il potere del RTD di proporre l’adozione di circolari e atti di indirizzo sulle materie di propria competenza (ad esempio, in materia di approvvigionamento di beni e servizi ICT);
  4. l’adozione dei più opportuni strumenti di raccordo e consultazione del RTD con le altre figure coinvolte nel processo di digitalizzazione della pubblica amministrazione (responsabili per la gestione, responsabile per la conservazione documentale, responsabile per la prevenzione della corruzione e della trasparenza, responsabile per la protezione dei dati personali);
  5. la competenza del RTD in materia di predisposizione del Piano triennale per l’informatica della singola amministrazione, nelle forme e secondo le modalità definite dall’Agenzia per l’Italia digitale;
  6. la predisposizione di una relazione annuale sull’attività svolta dall’Ufficio da trasmettere al vertice politico o amministrativo che ha nominato il RTD.

Nel ribadire, quindi, l’urgenza della nomina, si ricorda che il RTD rappresenta il punto di contatto con l’Agenzia per l’Italia Digitale e la Presidenza del Consiglio dei Ministri per le questioni connesse alla trasformazione digitale delle pubbliche amministrazioni, nonché per la partecipazione a consultazioni e censimenti previsti dal Piano triennale per l’informatica della pubblica amministrazione.

L’Agenzia per l’Italia Digitale fornirà mensilmente al Dipartimento della funzione pubblica i dati relativi alle nomine registrate sull’Indice delle Pubbliche Amministrazioni per i provvedimenti di competenza.

Il Ministro per la pubblica amministrazione

DISCORSI ATTORNO AL CODICE DELL’AMMINISTRAZIONE DIGITALE, L’INUTILITA DI FIRMARE CON STAMPIGLIATURA D.LGS 39/93

Iniziamo da oggi a trattare in modo approfondito il CAD ( dall’origine al 179/16).

Parleremo del CAD di tutti i giorni, la creazione del documento, la copia informatica, la copia dall’analogico , le notifiche e le comunicazioni.

Iniziamo con le basi, ed analizziamo una pessima abitudine che ancora esiste in molte PP.AA. nostrane.

Esiste una forte confusione tra documento massivo analogico, stampato per intenderci, e documento informatico,

In particolare girando sui siti web istituzionali ancora si vedono documento sigillati con la dicitura ” firma  autografa omessa ai sensi dell’articolo 3 del D.Lgs 39/93.”

Una piccola parentesi, ricordate della conserva di pomodoro della mia natia terra ? trattare bene i dati significa non solo conservarli, ma selezionarli dall’inizio del processo ( o del procedimento amministrativo).

Far nascere dei documenti, per poi metterli sotto vuoto, in conservazione sostitutiva , con questa postilla equivale e sprecare spazio, a conservare qualcosa di sbagliato, riporto l’articolo di legge

Art. 3. 1. ((COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179)). 2. Nell’ambito delle pubbliche amministrazioni l’immissione, la riproduzione su qualunque supporto e la trasmissione di dati, informazioni e documenti mediante sistemi informatici o telematici, nonche’ l’emanazione di atti amministrativi attraverso i medesimi sistemi, devono essere accompagnate dall’indicazione della fonte e del responsabile dell’immissione, riproduzione, trasmissione o emanazione. Se per la validita’ di tali operazioni e degli atti emessi sia prevista l’apposizione di firma autografa, la stessa e’ sostituita dall’indicazione a stampa, sul documento prodotto dal sistema automatizzato, del nominativo del soggetto responsabile.

E’ chiara l’intenzione di agevolare la firma quando i documenti sono massivi e stampati, in ogni caso questi documenti non hanno la forma del documento scritto.

Invece il documento formato ai sensi del CAD, dell’articolo 20 in particolare soddisfail requisito della forma scritta come da codice civile all’articolo 2702.

Art. 20 Validita’ ed efficacia probatoria dei documenti informatici 1. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179. ((1-bis. Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi e’ apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, e’ formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalita’ tali da garantire la sicurezza, integrita’ e immodificabilita’ del documento e, in maniera manifesta e inequivoca, la sua riconducibilita’ all’autore. In tutti gli altri casi, l’idoneita’ del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrita’ e immodificabilita’. La data e l’ora di formazione del documento informatico sono opponibili ai terzi se apposte in conformita’ alle Linee guida.))

In questo post iniziale non mi dilungherò sui diversi tipi di fima previste dal CAD ( e dall’EiDAS reg. 2014/910) , ma mi fermo con il ricordare che la firma apposta come da articolo 3 del 39/93 non produce nessun effetto, inoltre se qualche banca permettesse di far girare gli assegni senza la firma autografa ma colla dicitura ” ha firmato chi avrebbe dovuto firmare”  vi fidereste ? io no.

Alla prossima

Attenti al 18 Ottobre.

Spero di essere stato chiaro, il GDPR è un bel piatto vuoto da ornare  e guarnire ( e controllare ).

E’ una norma di riferimento, di principi di massima, ma l’applicazione settoriale deve essere contestualizzata con norme specifiche, per questo mi piace dire che non esiste la privacy ma solo il corretto trattamento dei dati.

Molti dati e molte informazioni trattate dalle PP.AA. hanno a che fare con il codice dei contratti ( e proprio in questo caso, vige il principio della trasparenza e non quello della riservatezza, cfr articolo 29 del codice e 37 del D.lgs 33/13 ).

La norma ed i modelli per gestire meglio le informazini derivano da alcune normative che mia paice definire ” le grandi assenti” :

– il codice dell’amministrazione digitale ( D.lgs 82/05)

– Codice dei beni culturali e del paesaggio ( D.lgs 42/2004 ) .

Per dirla in breve, in maniera banale, gli atti devono nascere in digitale, dematerializzati ( ai sensi dell’articolo 40 del CAD ) e sin dall’origine fanno parte del patrimonio dello Stato ( articolo 10 comma 2 lett. b D.lgs 42/2004).

Dal 18 ottobre, la generazione dei documenti digitali hanno un’ulteriore spinta, infatti entra in vigore l’articolo 40 del Codice dei Contratti.

  Art. 40 
 
 
(Obbligo  di  uso  dei  mezzi  di  comunicazione  elettronici   nello
             svolgimento di procedure di aggiudicazione) 
 
  1. Le comunicazioni e gli scambi di informazioni nell'ambito  delle
procedure di cui al presente codice svolte da centrali di committenza
sono eseguiti utilizzando mezzi di comunicazione elettronici ai sensi
dell'articolo 5-bis del decreto legislativo  7  marzo  2005,  n.  82,
Codice dell'amministrazione digitale. 
  2. A decorrere dal 18 ottobre 2018, le comunicazioni e  gli  scambi
di informazioni nell'ambito delle procedure di cui al presente codice
svolte dalle stazioni appaltanti sono eseguiti utilizzando  mezzi  di
comunicazione elettronici. 

riporto per facilità di lettura il 5 bis CAD

(Comunicazioni tra imprese e amministrazioni pubbliche).

1. La presentazione di istanze, dichiarazioni, dati e lo scambio di informazioni e documenti, anche a fini statistici, tra le imprese e le amministrazioni pubbliche avviene esclusivamente utilizzando le tecnologie dell’informazione e della comunicazione. Con le medesime modalita’ le amministrazioni pubbliche adottano e comunicano atti e provvedimenti amministrativi nei confronti delle imprese.

2. Con decreto del Presidente del Consiglio dei Ministri, su proposta del Ministro per la pubblica amministrazione e l’innovazione, di concerto con il Ministro dello sviluppo economico e con il Ministro per la semplificazione normativa, sono adottate le modalita’ di attuazione del comma 1 da parte delle pubbliche amministrazioni centrali e fissati i relativi termini.

3. ((AgID)), anche avvalendosi degli uffici di cui all’articolo 17, provvede alla verifica dell’attuazione del comma 1 secondo le modalita’ e i termini indicati nel decreto di cui al comma 2. 4. Il Governo promuove l’intesa con regioni ed enti locali in sede di Conferenza unificata per l’adozione degli indirizzi utili alla realizzazione delle finalita’ di cui al comma 1

        Vediamo velocemente cosa succederà tenedo conto il fine pubblico, creare un mercato unico ( anche nelle procedure) che potrebbe portare un incremento di posti di lavoro con circa 415 miliardi di euro circolanti .   Il processo ( spesso già digitale) sarà uniformato, in particolare lo stack abbraccia tre sottoprocessi : – Pubblicazione – Gara – Stipula   A breve, come da piano triennale per l’informatica iniziaremo quindi ad usare il portale ComproPA, ma ancora prima inizieromo ad utilizzare SIMOG 2.0 o SIMOG EVOLUTION per le comunicazioni in entrata ed in uscita verso gli altri paese UE.

I tipi di accesso alle informazini della PP.AA.

E’ ormai chiara la mia lettura e la mia visione sulle normative ( Italiana, Europea, Leggi primarie, secondarie, terziarie e blà blà blà ).

Per corroborare il mio pensiero riporto il quarto considernado GDPR

  Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.

 È per orogoglio anche una la stringa famosa di una sentenza italiana che è arrivata ancor prima del GDPR, cass. 10280/15 sez III

IL DIRITTO ALLA PROTEZIONE DEI DATI PUR RIENTRANDO NEI DIRITTI FONDAMENTALI NON E’ UN “TOTEM AL QUALE POSSONO SACRIFICARSI ALTRI DIRITTI COSTITUZIONALMENTE GARANTITI” …IL DIRITTO ALLA PROTEZIONE DEI DATI DEVE ESSERE ” COORDINATO E BILANCIATO” CON LE NORME DI CARATTERE PUBBLICISTICO E PRIVATISTICO.

Ed ancora è bello, doveroso ed importante ricordare che trattare bene i dati non significa solo proteggerli e copiarli, si corre in questo modo il rischio di proteggere e conservare qualcosa di sbagliato, non conforme.

La protezione dalla nascita dei dati prevede ( articolo 25 GDPR ) una serie di presidi di tutela proattiva e di resilienza dei sistemi, ma nessun sistema può ben gestire le informazioni se il personale deputato all’inputazione non ha delle direttive valide, queste direttive, queste regole sono gestite e disciplinate dal Manuale della gestione documentale ex art. 5 DPCM 03/12/13.

Faccio un esempio, anzi meglio riporto un caso pratico che mi vede coinvolto.

Anni addietro per la prima volta acquistai in una grossa catena di elettronica il mio primo PC, chiesi la fattura e diedi il mio biglietto da visita .

Nella stringa DENOMINAZIONE del gestionale inserirono quanto riportato sul biglietto da visita, dott. Vincenzo De Prisco.

Ancora oggi quando acquisto qualcosa in questa catena, dando solo il mio nome e cognome io non risulto , solo dopo molte ricerche mi ricordo che sono registrato anche con il titolo di accademia .

Una buona progettazione del sistema avrebbe dovuto memorizzare il titolo in una casella di form text ininfluente sulla ricerca, ed il nominativo in una casella invece influente sulla ricerca.

Qualora il sistema blindato ( ed è il caso dei sistemi IBM AS/400) non permetta questa personalizzazione delle buone regole da manuale dovrebbero colmare questa lacuna, tipo impartire all’operatore l’istruzione di scrivere sempre il titolo accademico senza nessuna abbreviazione alla fine della stringa, oppure tra il cognome ed il nome etc etc, creare in breve delle regole certe.

Questo in un negozio privato ( anche se grande ), immaginate cosa può accadere nei protocolli e negli archivi delle PP.AA, senza regole.

È facile dire ” vabbè ma oggi i sistemi sono più performanti, basta una parolina ed esce tutto ….”, in parte è vero, ma ricordiamoci che l’ordine sistemico è il presidio fondamentale per la correttezza dei dati e soprattutto che sia nel pubblico che nel privato esistono i c.d. sistemi LEGACY, gli ereditati e che la stessa norma GDPR non impone sembre di cambiare il modo di lavorare, ricordiamoci l’incipit degli articli 25 e 32 .

In estrema sintesi, riprendo un simpatico esempio , quello della procedura delle conserve di pomodoro, nessuno conserverebbe il barattolo di conserva se questo è pieno di pomodori marci , non sterilizzati o se il contenitore ha aria all’interno, potremo ordinarli e proteggerli dal sole, ma sempre velenosi sono.

Ora riprendiamo il filo con queste regole , possiamo parlare di protezione e riservatezza solo dopo avere gestite le politiche di accesso alle informaazioni della PA .

Dunque il quesito è : quali sono i sistemi di accesso alle informazioni di una PA ( concetto allargato, vedasi art 1c. 2 d.lgs 165/01) ?

1 – certamente l’accesso documentale della L. 241/90

e poi ?

2 – Certamente l’ accesso civico tradizionale, quello semplice ( avresti dovuto pubblicare in AT, non l’hai fatto ? io cittadino guardiano ti invito a farlo )

3-  Si, non sono pienamente in sintonia, ma anche l’accesso civivo generalizzato, anche se solo in parte .

E poi ?

Il problema che spesso dimentichiamo alcuni strumenti importanti come la pubblicazione tramite Openda Data ( ricordo, con gli OD accedo ai dati informativi, non ai documenti .

Manca quello che per me rappresenta il verso sistema partecipativo, certamente un’evoluzione del potere di sindacato della 241/90, parlo dell’articolo 41 comma 2 del CAD, l’accesso ed il controllo dinamico del procedimento amministrativo per far valere i diritti dell’articolo 10 della 241.

art 41 c 2 CAD

 La pubblica amministrazione titolare del procedimento raccoglie in un fascicolo informatico gli atti, i documenti e i dati del procedimento medesimo da chiunque formati; all’atto della comunicazione dell’avvio del procedimento ai sensi dell’articolo 8 della legge 7 agosto 1990, n. 241, comunica agli interessati le modalita’ per esercitare in via telematica i diritti di cui all’articolo 10 della citata legge 7 agosto 1990, n. 241. (28)

riporto anche il 10 della 241

 Art. 10. (( (Diritti dei partecipanti al procedimento) )) 1. I soggetti di cui all’articolo 7 e quelli intervenuti ai sensi dell’articolo 9 hanno diritto: a) di prendere visione degli atti del procedimento, salvo quanto previsto dall’articolo 24; b) di presentare memorie scritte e documenti, che l’amministrazione ha l’obbligo di valutare ove siano pertinenti all’oggetto del procedimento.

Per questo motivo gran parte degli approfondimenti futuri  saranno focalizzati sulle istanze telematiche del CAD e sui sistemi di contemperazione di PRIVACY-CTD-TRASPARENZA.

buatto

mi è venuta fame, a presto. Art. 10. (( (Diritti dei partecipanti al procedimento) )) 1. I soggetti di cui all’articolo 7 e quelli intervenuti ai sensi dell’articolo 9 hanno diritto: a) di prendere visione degli atti del procedimento, salvo quanto previsto dall’articolo 24; b) di presentare memorie scritte e documenti, che l’amministrazione ha l’obbligo di valutare ove siano pertinenti all’oggetto del procedimento.

ABUSO DEL CONSENSO E PROBLEMATICHE.

Provo a fare un’analisi sull’abuso del consenso, analisi forse grottesca, certamente semi-seria .

Ancora c’è in giro un abuso di richieste di consenso, abuso che in parte capisco pur non condividendo, è un modo semplice per dire ” lavoro bene, seriamente, in maniera LECITA”.

In realtà nel porcesso bifasico della liceità del trattamento il consenso è solo uno degli elementi caratterizzanti, per semplicità riporto il sesto articolo del Reg.

1.   Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a)

l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

b)

il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c)

il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

d)

il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;

e)

il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

f)

il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

Nella vita quotidiana ci troveremo sempre avanti, amggiormente, tutti gli altri casi di liceità dell’articolo 6 ( lettere b,c,d,e,f) .

Il simpatico problema che discende dall’abuso dell’articolo 6 par 1 lett a è il seguente, in funzione della legittamente al trattamento variano i diritti degli interessati.

Mi spiego meglio con un esempio :

Pubblica amministrazione, non saprei, servizi demografici di un Comune, ufficio S.C., oppure i registri dei nominativi di uno scolaretto alla scuola elementare ( la primaria per i più pignoli ), denuncio una nascita o l’iscrizione alla seconda elementare.

Qualche PA consegna il consenso da firmare, quindi rende lecito il trattamento ai sensi dell’articolo 6 par 1 lett a, passagio inutile in quanto la legittimazione deriva dalla lettera e .

Andiamo avanti, e leggiamo l’articolo 17, il diritto alla cancellazione, in particolare il par 1 lett b

l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;

oppure il paragrafo 1 lett a dell’articolo 20

il trattamento si basi sul consenso ai sensi dell’articolo 6, paragrafo 1, lettera a), o dell’articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell’articolo 6, paragrafo 1, lettera b);

E’ chiaro che far firmare il consenso fa nascere dei diritti che non possono essere poi rispettati da parte delle PA ( ma casi analoghi ci sono anche nel mondo privato ) , non posso chiedere allo SC di essere cancellato dagli elenchi dei nati o di vantare il diritto alla portabilità dei dati.

D.Lgs 101/18, armonizzazione GDPR

Sarò antipatico come sempre ma mi piace ricordare che il decreto , come anche il regolamento, non è intitolato alla PRIVACY ma al corretto trattamento dei dati.

Dal 19 Settembre, San Gennaro, compleanno di mammá e del defunto nonno Vincenzo entrerà in vigore il decreto di armonizzazione della norma italiana con il GDPR, le anticipazioni date dai SOLONI sono state tutte disattese.

Le novità allontanano ulteriormente le modalità operative dal nostro vecchio codice salvandone però alcuni pilastri fondamentali.

Cosa dire, lascaitemi il tempo di apprendere la pubblicazione e sentiamoci presto.

Nell’ottica di armonizzazione l’articolo 27 del D.Lgs 101/18 ha abrogato dalla prima  il titolo IV, cioè gli articoli 28,29 e 30 del 196, quindi dimentichiamoci nomine fatte con la vecchia nomenclatura ( responsabile interno ed incaricati ).

Ciao ciao , Vincenzo.

Le istanze nel CAD ( riproposto)

Le istanze verso una PA sono accettate se passano attraverso :

  • PEO
  • PEC
  • STRUTTURE INTEROPERABILI.

LA PEO, posta elettronica ordinaria ha sempre valore “se ne accerto la provenienza” , non è disciplinata dal CAD ma normata .

 

LA PEC, invece è ben disciplinata e normata dall’articolo 48 de CAD e dal DPC 68/2005.

 

L’INTEROPERABILITA’ ha invece la capacità di creare cooperazione docuemtale tra le diverse PA ( e non solo ) .

AI sensi dell’articolo 47 cad :

Le comunicazioni di documenti tra le pubbliche amministrazioni avvengono mediante l’utilizzo della posta elettronica o in cooperazione applicativa; esse sono valide ai fini del procedimento amministrativo una volta che ne sia verificata la provenienza. ((Il documento puo’ essere, altresi’, reso disponibile previa comunicazione delle modalita’ di accesso telematico allo stesso.))
il comma 2 dell’articolo 47 aiuta a definire la PROVENIENZA VALIDA :
Ai fini della verifica della provenienza le comunicazioni sono valide se: a) sono sottoscritte con firma digitale o altro tipo di firma elettronica qualificata; b) ovvero sono dotate di segnatura di protocollo di cui all’articolo 55 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445; c) ovvero e’ comunque possibile accertarne altrimenti la provenienza, secondo quanto previsto dalla normativa vigente o dalle regole tecniche di cui all’articolo 71. E’ in ogni caso esclusa la trasmissione di documenti a mezzo fax; d) ovvero trasmesse attraverso sistemi di posta elettronica certificata di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68.
Infine il comma 1 bis dell’articolo 47 ricorda il danno erariale, tra gli altri, dell’inosservanza della norma .
Voglio chiudere ricordando l’importanza dell’articolo 65 del CAD,
Istanze e dichiarazioni presentate alle pubbliche amministrazioni per via telematica
1. Le istanze e le dichiarazioni presentate per via telematica alle pubbliche amministrazioni e ai gestori dei servizi pubblici ai sensi dell’articolo 38, commi 1 e 3, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, sono valide:
a) se sottoscritte mediante la firma digitale o la firma elettronica qualificata, il cui certificato e’ rilasciato da un certificatore ((qualificato));
b) ovvero, quando ((l’istante o il dichiarante e’ identificato attraverso il sistema pubblico di identita’ digitale (SPID), nonche’ attraverso uno degli altri strumenti di cui all’articolo 64, comma 2-novies, nei limiti ivi previsti;)); ((
c) ovvero sono sottoscritte e presentate unitamente alla copia del documento d’identita’;));
c-bis) ovvero se trasmesse ((dall’istante o dal dichiarante)) mediante la propria casella di posta elettronica certificata purche’ le relative credenziali di accesso siano state rilasciate previa identificazione del titolare, anche per via telematica secondo modalita’ definite con regole tecniche adottate ai sensi dell’articolo 71, e cio’ sia attestato dal gestore del sistema nel messaggio o in un suo allegato. In tal caso, la trasmissione costituisce dichiarazione vincolante ai sensi dell’articolo 6, comma 1, secondo periodo. Sono fatte salve le disposizioni normative che prevedono l’uso di specifici sistemi di trasmissione telematica nel settore tributario;

DOMINIO .EDU.IT

Consiglio a tutti la lettura di approfondimento sui domini .EDU.IT.

Purtroppo questo approfondimento è stato scritto da un mio concorrente,  chapeau.

https://nuovodominioedu.it/

 

 

 

Il responsabile GDPR ed il Responsabile del Codice.

Articolo 28 GDPR, il RESPONSABILE.

 

Esiste molta confusione sulla figura del responsabile nel regolamento 679. Certamente deriva dalla vecchia norma codicistica e dalla traduzione del Reg.

 

CI sono due scuole, chi è convinto che il Responsabile può essere tanto interno che esterno , e chi come me non ha tanto certezze su questa ambivalenza, ma sostiene comunque ( con qualche dubbio) che la figura è tendenzialmente esterna , o meglio può essere interna solo ed esclusivamente ad un gruppo d’imprese.

 

Partiamo dalla lettura dell’articolo 28 .

 

Nell’articolo 28 non c’è nessuna opzione riguardo la possibilità di nominare un responsabile interno od esterno come accade per il DPO, tuttavia questa “non esclusione” pur vista come un rafforzativo della tesi del responsabile interno diviene per la stessa assenza definitoria un valore neutro.

 

A ben vedere però più volte si parla di un contratto od altro atto giuridico tra il titolare ed il responsabile , riporto la parte iniziale del terzo paragrafo

 

“I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento …”

 

Sembra in effetti strano che un dipendente sia parte di un contratto autonomo ed aggiuntivo, anzi qualora fosse in ambito  pubblico l’iter sarebbe assurdo, autorizzazione e conferimento ex articolo 53 del 165/01 ( dopo avere espletato la ricognizione dell’articolo 7 ), diciamo che i sindacati ci sguazzerebbero, ancora di più se si utilizzasse per scrollarsi dal groppone qualche responsabilità l’istituto dell’articolo  17 comma 1 bis dello stesso 165/01.

 

Ma fin qui potrebbero ancora esserci problemi di traduzione.

 

Una risposta un momento più sensata e meno vacillante a mio avviso, arriva dalla lettura della norma sul DPO, l’articolo 37, in particolare il sesto paragrafo che recita

 

“ Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.”

 

Dalla lettura sembrerebbe chiaro che il responsabile sia esterno ( il dipendente del dipendente …).

 

A sostenere la tesi del responsabile esterno è anche l’autorevole Prof. Pizzetti, già Garante per la protezione dei dati personali, e soprattutto c’è conforto nella risposta al  seguente quesito mosso alla Commissione Europea :

 

D : Cosa sono il titolare del trattamento e il responsabile del trattamento?

Il titolare del trattamento stabilisce le finalità e le modalità del trattamento dei dati personali. Quindi, se la tua azienda/organizzazione decide «perché» e «come» devono essere trattati i dati personali, è titolare del trattamento. I dipendenti che trattano i dati personali all’interno della tua organizzazione lo fanno per adempiere ai compiti di titolare del trattamento della tua azienda/organizzazione.

La tua azienda/organizzazione è contitolare del trattamento quando insieme a una o più organizzazioni definisce congiuntamente «perché» e «come» devono essere trattati i dati personali. I contitolari del trattamento devono stipulare un accordo che definisca le rispettive responsabilità per quanto riguarda il rispetto delle norme del GDPR. Gli aspetti principali dell’accordo devono essere comunicati alle persone i cui dati sono oggetto di trattamento.

Il responsabile del trattamento tratta i dati personali solo per conto del titolare del trattamento. Il responsabile del trattamento è di solito un terzo esterno all’azienda. Tuttavia, nel caso di gruppi di imprese, un’impresa può agire in qualità di responsabile del trattamento per un’altra impresa.

Gli obblighi del responsabile del trattamento nei confronti del titolare del trattamento devono essere specificati in un contratto o in un altro atto giuridico. Ad esempio, il contratto deve indicare cosa succede ai dati personali una volta che il contratto viene risolto. Un’attività tipica dei responsabili del trattamento è quella di offrire soluzioni IT, inclusa l’archiviazione sul cloud. Il responsabile del trattamento può subappaltare una parte delle sue funzioni a un altro responsabile del trattamento o nominare un co-responsabile solo previa autorizzazione scritta del titolare del trattamento.

Vi sono situazioni in cui un’entità può essere titolare del trattamento, responsabile del trattamento o entrambi.

Il tutto dal link https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/controller-processor/what-data-controller-or-data-processor_it#esempi

Tutto quanto sopra in una visione GDPR, per quanto riguarda la prossima armonizzazione probabilmente verrà reintrodotto il Responsabile INTERNO , o forse no.

Come detto all’inizio non ci sono certezze, almeno io non ho certezze.

Continuiamo a leggerci, nei prossimi POST si parlerà della nota PRIVACY in calce alla posta elettronica e dell’inutilita’ della stessa e soprattutto della norma sulla protezione dei dati giudiziari in ambito penale, il D.lgs 51/18.

 

Migrazione da .gov.it ad .edu.it

 

Al via il percorso di accompagnamento per la migrazione dal dominio .gov.it

Data:

 

 

Prende il via il percorso per agevolare il passaggio dei siti delle istituzioni scolastiche dal dominio “.gov.it” al dominio “.edu.it”, così come previsto dalla determina AGID n. 36/2018 “Riordino del dominio .gov.it”.

Le amministrazioni locali interessate dalla migrazione al dominio “.it” possono invece far riferimento alle informazioni relative alla registrazione di un nuovo dominio contenute nel Regolamento di Registro.it.

Per le scuole, AGID, il Team per la Trasformazione Digitale, MIUR e CNR hanno definito una serie di azioni di accompagnamento verso il passaggio al nuovo dominio, in particolare:

 

  • è stato registrato e intestato al MIUR il dominio “.edu.it”;

 

  • sono state incrociate le basi informative MIUR-AGID che hanno consentito di individuare le scuole interessate dal processo di migrazione.

 

Grazie a queste attività propedeutiche, è stato pubblicato il Regolamento sull’assegnazione e gestione dei nomi a dominio di secondo livello (SLD) “edu.it”, con cui vengono definite le regole di registrazione dei nomi e la descrizione delle operazioni necessarie.

Per supportare tutti gli enti interessati dal passaggio di dominio, inoltre, è in fase di avvio una manifestazione di interesse dedicata ai fornitori di servizi Internet (Registrar) con l’obiettivo di identificare le condizioni economiche più vantaggiose, conclusa la quale sarà definita una roadmap.

 

Durante la fase di migrazione, in via eccezionale, sarà possibile mantenere il dominio “.gov.it” fino a scadenza naturale degli attuali contratti anche se questi superano la scadenza prevista dalla determina AGID n. 36/2018.

La determina stabilisce che il dominio “.gov.it” dovrà essere utilizzato solo dalle amministrazioni centrali, in coerenza con quanto previsto dal Piano Triennale per l’informatica nella PA (“Riorganizzazione del dominio .gov.it”- Azione 60).

Censimento ICT del Piano Triennale, scadenza del 20 Giugno

Viste le diverse chiamate sulla scadenza del censimento contenuto nel  Piano Triennale dell’Informatica della PA vi tranquillizzo ricordando che al momento si tratta di una semplice ricognizione, eventuali problematiche possono esserci solo per le PA che al momento necessitano di essere inserite nell’elenco dei PSN , mi spiego meglio , il Piano Triennale mira a tripartire le PA in :

  1.  PSN , Polo Strategico Nazionale , caratterizzato  da cespiti tecnologici e base di calcolo elevato da condividere anche con altre Pa in forza di collaborazioni in forza dell’articolo 15 L.241/90
  2. Gruppo A, strutture non elette a PNS ma eleggibili con lievi investimenti ( immobilizzazioni e personale interno)
  3. Gruppo B, strutture con gravi carenze di infrastrutture tecnologiche, immobilizzazione e personale interno .

Qualora non si risponda entro il 20 ( ??? ) anche le PA appartenenti al Gruppo A verranno declassate al Gruppo B.

I prossimi censimenti, in forza del novellato articolo 14 bis D.Lgs 82/05 ( modificato dal 217/17) potrebbero avere una portata diversa avendo l’Agid assunto un ruolo diverso ( emanazione norme di diritto tenue , controllo sul piano triennale 2018-2020, etc ) , ovviamente sarete aggiornati.

Per qualsiasi chiarimento, chiamatemi.

Protetto: Manaule di Gestione documentale ex articolo 5 DPCM 03 12 13

Il contenuto è protetto da password. Per visualizzarlo inserisci di seguito la password:

Protetto: Breve informativa, dati di contatto e prima procedura.

Il contenuto è protetto da password. Per visualizzarlo inserisci di seguito la password:

Perchè scelgono noi per il GDPR ?

Perchè riusciamo a dare una visione completa dei problemi e delle soluzioni.

Perche facciamo questo dal 2003, perchè abbiamo sempre seguito per tutti gli adempimenti, vedi il DR-CO, Il SANS 20. Perchè per il 24 MAggio faremo quanto necessario ( e solo quello ) e null’altro. Perchè già abbiamo preparato i nostri clienti allo scenario più probabile ( dematerializzazione degli acquisi , art 40 del D.Lgs 50/16) ed al nuovo piano sulla continuità ( articolo 58 del D.lgs 82/05).

Perchè pur se vero che il GDPR spinge a fare adempimenti ulteriori, siamo consapevoli che vista l’accountability del GDPR i nostri clienti non sono disposti a firmare un patto fatto sulle chiacchiere….

Perchè siamo stati tra i pochi a dire che il 196/03 non sarebbe stato abrogato e soprattutto perchè chiamiamo la norma con il suo nome CORRETTO TRATTAMENTO dei DATI e sappiano la necessità di conoscere le norme sottostanti.

Grazie a tutti quelli che ci hanno scelto.

 

In arrivo l’armonizzazione del D.Lgs 196/03

 

Come più volte sottolineato, la notizia dell’abrogazione del 196/03 si è dimostrata infondata, anche perchè la delega era appunto finalizzata ad armonizzare e non a cassare la norma ( ben scritta ).

Tanto tuonò che piovve potrebbe essere il titolo di questo post.

Certamente il novellato ( che non sappiamo quando entrerà in vigore, ma è questione di giorni) non è dei migliori, ma con molto piacere noto che accoglie degli spunti fondamnetali per il trattamento dei dati, in particolare il D.Lgs 42/2004, fondamentale per la gestione dei dati nelle PA.

Piccolo vademecum per il GDPR

  1. la norma non è intitolata alla privacy
  2. la norma non è intitolata alla privacy
  3. la norma non è intitolata alla privacy
  4. se non conoscete l’organizzazione aziendale, la L. 241/90, il TUDA, il CAD , il 165/01, il 42/04,  le norme e le tecniche archivistiche, la circolare 2/2017 AGID, non fate guai, non improvvisatevi consulenti PRIVACY
  5. la norma non è intitolata alla privacy
  6. se mettevate la dat certa al DPSS , lasciate stare
  7. se avete condiviso su facebook la policy privacy data dalla guardia di finanza lasciate stare
  8. la norma non è intitolata alla privacy
  9. se pensate che il DPO guadagnerà centinaia di migliaia di euro , lasciate stare
  10. se fino ad oggi avete affrontao la PRIVACY senza conoscere il manuale ex art 5 DPCM 04 12 13 lasciate stare
  11. se non avete  mai attuato il 50 bis del CAD ( ora 51 ) lasciate stare
  12. se siete convinti che la legittimazione al trattamento derivi solo dal consneso lasciate stare
  13. se non conoscete le policy BYOD lasciate stare

 

Controlli semplificati Delibera 206/2018 ANAC, documento informatico DGUE

Propongo un breve post per i controlli derivanti dalla delibera 206/2018 ANAC, aggiornamento LLGG 4.

Il paragrafo n. 4. L’affidamento e l’esecuzione di lavori, servizi e forniture di importo inferiore  a 40.000,00 euro introduce modalità diversificate di verifica dei requisiti dell’aggiudicatario.
Da notare come ANAC preveda che le stazioni appaltanti si dotino di un Regolamento per disciplinare i controlli a campione sulle autodichiarazioni rese dagli operatori economici ai fini  dell’affidamento diretto da effettuarsi in ciascun anno solare in relazione agli affidamenti diretti operati.

I controlli sono divisi in tre gradi di compelssità in funzione della fascia d’importo :

I fascia : Fino a 5000 €

II fascia : da 5000 a 20000 €

III fascia da 20000 a 40000 €

Ovviamente il calcolo degli importi deve essere basato sui proncipi contenuti nell’articolo 35 del D.lgs 50 /16 .

I FASCIA :

Per lavori, servizi e forniture di importo fino a 5.000,00 euro, in caso di affidamento diretto, la stazione appaltante ha facoltà di procedere alla stipula del contratto sulla base di un’apposita autodichiarazione o secondo il DGUE dalla quale risulti il possesso dei requisiti di carattere generale di cui all’articolo 80 del Codice dei contratti pubblici e speciale, ove previsti. La stazione appaltante procede comunque, prima della stipula del contratto, da effettuarsi nelle forme di
cui all’articolo 32, comma 14, del Codice dei contratti pubblici, alla consultazione del casellario ANAC, alla verifica del documento unico di regolarità contributiva (DURC), nonché della sussistenza dei requisiti speciali ove previsti e delle condizioni soggettive che la legge stabilisce per l’esercizio di particolari professioni o dell’idoneità a contrarre con la P.A. in relazione a specifiche attività (ad esempio ex articolo 1, comma 52, legge n. 190/2012)

Dunque nella fascia 0-5.000,00 € le verifiche si effettuano su:
– Casellario ANAC
– DURC
– Sussistenza requisiti speciali;
– Eventuale Comunicazione antimafia in caso di attività a rischio di infiltrazione (articolo 1
commi 52 e 53 Legge 190/2012)

II FASCIA

Nella fascia 5.000-20.000 € occorre verificare:
– Casellario ANAC
– Assenza di condanne di cui all’articolo 80 comma 1 del Codice;
– Assenza di violazioni gravi, definitivamente accertate, rispetto agli obblighi relativi al pagamento
delle imposte e tasse (articolo 80 comma 4)
– Assenza di violazioni gravi, definitivamente accertate, rispetto agli obblighi relativi al pagamento
dei contributi previdenziali (articolo 80 comma 4)
– Assenza di stato di fallimento, di liquidazione coatta, di concordato preventivo, salvo il caso
di concordato con continuità aziendale, o nei cui riguardi sia in corso un procedimento per
la dichiarazione di una di tali situazioni, fermo restando quanto previsto dall’articolo 110 (articolo
80 comma 5 lett.b);
– Comunicazione antimafia in caso di attività a rischio di infiltrazione (articolo 1 commi 52 e 53
Legge 190/2012)

III FASCIA

Tutti i controlli già previsti, senza alcuna semplificazione.

In termini operativi i vantaggi sono molteplici, infatti tra le procedure senza negoziazione quelle comprese entro i 20000 € rappresentano circa il 93 % del totale .

Operativamente i controlli da fare sono :

– per i lavori il CASELLARIO ANAC a questo url

https://servizi.anticorruzione.it/portal/classic/Servizi/CasellarioAttestazioni/

– DURC attraverso i servizi on line di INPS, INAIL, CASSA EDILE ( solo per i lavori)

– Requisiti speciali ( se richiesti ) come fatturato, abilità etc ( tuttavia l’istituto è desueto nella fascia ultra sotto soglia non negoziata )

– Comunicazioni ex art 1 co 53 L. 190 /12, controllo WHITE LIST per le imprese operanti in questi settori :

  a) trasporto di materiali a discarica per conto di terzi; 
  b) trasporto, anche transfrontaliero, e  smaltimento  di  rifiuti
     per conto di terzi; 
  c) estrazione, fornitura e trasporto di terra e materiali inerti; 
  d) confezionamento, fornitura e trasporto di  calcestruzzo  e  di
      bitume; 
  e) noli a freddo di macchinari; 
  f) fornitura di ferro lavorato; 
  g) noli a caldo; 
  h) autotrasporti per conto di terzi; 
  i) guardiania dei cantieri.

Per tutti gli altri controlli riporto una tabella ( generale) con gli strumenti per l’istanza e gli uffici deputati :

Art. 80 D.lgs. 50/2016 (codice)
Cause  di  esclusione  di  un  operatore economico dalla procedura d’appalto o concessione. In particolare ai sensi del comma     6     le     stazioni     appaltanti escludono  un  operatore  economico  in qualunque          momento          della procedura,        qualora        l’operatore economico    si    trovi    in    una    delle situazioni di cui ai commi 1,2,4 e 5.
Strumento Modalità
art. 80, comma 1, lett. a), b), c), d), e), f), g) Casellario giudiziale Richiesta    (via    pec)    all’Ufficio    del casellario      giudiziale      presso      il Tribunale  dove  ha  sede  la  stazione appaltante,    per    l’ottenimento    del certificato     integrale     del     casellari giudiziale ai sensi dell’Art. 21 DPR n. 313/2002.
Le    verifiche    sono    condotte    nei confronti dei soggetti di cui all´art. 80 comma 3 codice:
Impresa individuale:
–      titolare o direttore tecnico
Società in nome colletivo:
–      di un socio o direttore tecnico
Società in accomandita semplice
–      soci      accomandatari      o      del direttore tecnico
altri tipi di società o consorzio:
–    membri    del    CDA    con    legale rappresentanza,     di     direzione,     o vigilanza
–   dei   soggetti   dotati   di   potere   di rappresentanza,     di     direzione,     di controllo
–   del   direttore   tecnico   o   del   socio unico persona fisica
–   socio   di   maggoranza   in   caso   di società con meno di 4 soci
La   verifica   è   condotta   anche   nei confronti  dei  suddetti  soggetti  cessati dalla  carica  nell´anno  antecedente  la data  di  pubblicazione  del  bando  di gara.
(art. 80, comma 2, primo periodo)
Sussistenza di cause di decadenza, di sospensione    o    di    divieto    prevista dall’art. 67 D.lgs. 6 settembre 2011, n. 159 o tentivo di infiltrazione mafiosa.
Verifiche            in            tema            di
Banca      dati      nazionale Antimafia (BDNA) Consultazione     della     banca     dati tramite: https://bdna.interno.it
In  ordine  ai  soggetti  da  controllare  si rinvia   al   contenuto   dell´art.   85   del Dlgs 159/2011.
comunicazione/informazione antimafia
(art. 80, comma 4)
Violazioni       gravi,       definitivamente accertate,  rispetto  agli  obblighi  relativi al  pagamento  delle  imposte  e  tasse secondo    la    legislazione    italiana    o quella dello Stato in cui sono stabiliti;
Agenzie delle Entrate Richiesta  scritta  (via  pec)  all’Agenzia delle      Entrate      dove      ha      sede l’aggiudicatario. Gli indirizzi della sede competente   sono   indicati   sul   sito http://www1.agenziaentrate.it/indirizzi/ agenzia/uffici_locali/
(art. 80, comma 4)
Violazioni        gravi        definitivamente accertate   in   materia   contributiva   e previdenziale  ostative  (art.  8,  D.M.  30 gennaio      2015)      al      rilascio      del documento      unico      di      regolarità contributiva (DURC).
INPS  /  INAIL  (DURC  per
imprese,               consorzi, lavoratori autonomi)
Si richiede il DURC online sul sito dell’INPS: http://serviziweb2.inps.it/durconlinewe b/preparaSceltaPosizioneIniziale.do? MODEL_VERIFICA_REGOLARITA_F LOW=false&MODEL_ALTERNATIVE
_RETURN=&MODEL_ALTRE_DELE GHE_FLOW=false&MODEL_TIPOUT ENTE_DMAGCHECKIN=
o sul sito dell’INAIL:
https://www.inail.it/cs/internet/accedi- ai-servizi-online.html
INARCASSA  (per  società di   ingegneria,   società   di professionisti, ingegneri ed architetti) Si richiede il certificato online sul sito di Inarcassa:
https://www.inarcassa.it/popso/durc- stap/
EPAP (Ente di previdenza ed                      assistenza
pluricategoriale)
Si    fa    richiesta    scritta    (via    pec) all’EPAP.
epap@epap.sicurezzapostale.it
CIPAG    (Cassa    Italiana Previdenza  ed  Assistenza Geometri) Si richiede il certificato online sul sito della CIPAG.
https://www.geometrinrete.it/it/cassa/s tazioni-appaltanti-durc
(art. 80, comma 5 lett. a)
Esistenza        di        gravi       infrazioni debitamente  accertate  alle  norme  in materia di salute e sicurezza sul lavoro nonché  agli  obblighi  di  cui  all’articolo 30, comma 3.
Casellario         informatico presso ANAC Si scarica l’estratto dal sito dell’ANAC https://annotazioni.avcp.it
(si    rileva    rispetto    alla    disciplina previdente la previsione ulteriore delle norma in materia di salute)
(art. 80, comma 5, lett. b)
Stato   di   fallimento,   di   liquidazione coatta,  di  concordato  preventivo,  fatto salvo    il    concordato    con   continuità aziendale,    o    se    è    in    corso    un procedimento  per  la  dichiarazione  di una di tali situazioni.
Infocamere Si    scarica    l’estratto    del    registro imprese                   sul                   sito https://telemaco.infocamere.it
Sul   punto   con   riguardo   ai   casi   di autorizzazione        provvisoria        ed ammissione     al     concordato     con continuità    aziendale    si    rinvia    al rispetto  della  procedura  di  cui  110 comma 3 codice.
(art. 80, comma 5, lett c)
Gravi    illeciti    professionali    tali    da rendere  dubbia  l’integrità  o  affidabilità dell’operatore economico.
Casellario         informatico presso ANAC
e
Casellario  giudiziale  per  i reati     che     costituiscono grave illecito professionale
Si scarica l’estratto sul sito dell’ANAC https://annotazioni.avcp.it  e/o  da  ogni altra  fonte  utile  di  informazioni,  con riguardo alle annotazioni sul casellario informatico.
Richiesta    (via    pec)    all’Ufficio    del casellario      giudiziale      presso      il Tribunale  dove  ha  sede  la  stazione appaltante,  ai  fini  della  verifica  dei reati  che  costituiscono  grave  illecito professionale.
Sul punto rilevano le casistiche di cui al secondo periodo della let. c) (cui si in rinvia per completezza): risoluzione anticipata   precedente   contratto   per fatto      dell´appaltatore,      pur      non contestata  in  giudizio;  il  tentativo  di influenzare  indebitamente  il  processo decisionale  della  stazione  appaltante o  di  ottenere  informazioni  a  proprio vantaggio;      fornire,      anche      per negligenza,     informazioni     false     o fuorvianti  suscettibili  di  influenzare  le decisioni  sull’esclusione,  la  selezione o l’aggiudicazione ovvero omettere le informazioni dovute ai fini del corretto svolgimento     delle     procedure     di selezione.
(art. 80, comma 5, lett. d)
Conflitto  di  interesse  ai  sensi  dell’art. 42, comma 2.
/ Sul punto si rinvia anche alla disciplina di  cui  all´Art.  22  “Lotta  alla  corruzione, prevenzione  dei  conflitti  di  interesse  e clausole sociali” commi 2 e 3 della L.P.
n. 16/2015.
(art. 80, comma 5, lett. e)
Distorsione         della         concorrenza derivante          dal          coinvolgimento dell’operatore        economico        nella preparazione della procedura d’appalto
/ Sul punto si rinvia alla disciplina di cui agli  artt. 20  “Consultazioni  preliminari di   mercato”   e   21   “Partecipazione precedente  di  candidati  o  offerenti” L.P. n. 16/2015.
(art. 80, comma 5, lett. f)
Sussistenza  di  sanzione  interdittiva  o altra sanzione che comporta il divieto di contrarre         con         la         pubblica amministrazioni.
Anagrafe    delle    sanzioni amministrative
e
Casellario         informatico presso ANAC
Richiesta    (via    pec)    all’Ufficio    del casellario      giudiziale      presso      il Tribunale  dove  ha  sede  la  stazione appaltante, ai fini dell’ottenimento  del certificato    anagrafe    delle    sanzioni amministrative   dipendenti   da   reato (art. 31  D.P.R. 14/11/2002, n. 313) e
visura   dell’anagrafe   delle   sanzioni amministrative riferite all’impresa (art. 33 DPR 313/2002).
Si scarica l’estratto sul sito dell’ANAC https://annotazioni.avcp.it
(art. 80, comma 5, lett. g)
Iscrizione   nel   casellario   informatico tenuto  dall’Osservatorio  dell’ANAC  per
Casellario         informatico presso ANAC Si scarica l’estratto dal sito dell’ANAC https://annotazioni.avcp.it.
aver  presentato  falsa  dichiarazione  o falsa documentazione ai fini del rilascio dell´attestazione di qualificazione.
(art. 80, comma 5, lett. h)
Violazioni   del   divieto   di   intestazione fiduciaria;
Casellario         informatico presso ANAC Si scarica l’estratto dal sito dell’ANAC https://annotazioni.avcp.it.
(art. 80, comma 5, lett. i)
Mancata  presentazione  del  certificato dell’Ispettorato   del   lavoro   in   merito all’art.  17,  l.  12  marzo  1999,  n.  68 ovvero          autocertificazione          del medesimo requisito.
/ Richiesta   (via   pec)   alla   Direzione Provinciale    del    Lavoro    presso    la Provincia   o   Centro   provinciale   per l‘impiego presso la Provincia, dove ha sede legale l’operatore economico.
https://www.cliclavoro.gov.it/Operatori
/Centro-impiego/Pagine/default.aspx
(art. 80, comma 5, lett. l)
Omessa         denuncia         all´Autoritá giudiziaria    da    parte    dell´operatore economico   se   vittima   dei   reati   di concussione ed estorsione aggravata.
Casellario         informatico presso ANAC Si scarica l’estratto dal sito dell’ANAC https://annotazioni.avcp.it.
(art. 80, comma 5, lett. m)
Situazione   di   controllo   di   cui   all’art. 2359 c.c. se la situazione comporti che le  offerte  sono  imputabili  ad  un  unico centro decisionale.
/ /
(art. 80, comma 5, lett. m)
Qualsiasi  relazione,  anche  di  fatto,  se la   relazione   comporti   che   le   offerte sono   imputabili   ad   un   unico   centro decisionale
/ /
(art. 80, comma 7)
In caso di sentenza definitiva con pena detentiva   non   superiore   ai   18   mesi ovvero   riconosciuta   attenuante   della collaborazione   come   definita   per   le singole fattispecie di reato, o al comma
5      l’operatore      economico      o      il subappaltatore è ammesso a provare:
–      di   aver   risarcito   o   di   essersi impeganto  a  risarcire  ogni  danno causato dal reato o dall’illecito
–      di    aver    adottato    provvedimenti concreti     di     carattere     tecnico, organizzativo      e      relativi      al personale,    idonei    a    prevenire ulteriori reati o illeciti.
/ Se  la  stazione  appaltante  ritiene  che le  misure  di  cui  all´art.  80  comma  7 codice    sono    sufficienti    l’operatore economico   non   sarà   escluso   dalla procedura       d’appalto;       altrimenti dell´esclusione   viene   data   motivata comunicazione                 all’operatore economico.
(art. 80, comma 9)
Nel         caso        esclusione        dalla partecipazione     alle     procedure     di appalto   con   sentenza   definitiva   per tutto      il      periodo      dell’esclusione l’operatore      economico      non      può avvalersi  della  possibilità  prevista  dai commi 7 e 8.
/ /
(art. 80, comma 10)
Nel   caso   in   cui   nella   sentenza   di condanna   non   è   prevista   la   durata della pena accessoria dell´incapacità di contrarre         con         la         pubblica amministrazione     ovvero     non     sia intervenuta la riabilitazione, la durata è pari  a  cinque  anni.  È  comunque  pari alla  durata   della   pena  principale  se quest’ultima è inferiore a 5 anni.
/ /
(art. 80, comma 11)
Le cause di esclusione di cui all´art. 80 non si applicano alle aziende e società sottoposte  a  sequestro  o  confisca  ed affidate       ad       un       custode       o amministratore giudiziario o finanziario, limitatamente  al  periodo  precedente  al predetto affidamento.
/ /
(art. 80, comma 12)
Nel  caso di falsa dichiarazione  o falsa documentazione   nelle   procedure   di gara e negli affidamenti di subappalto, la      stazione      appaltante     ne     dá segnalazione all´ANAC.
ANAC Si scarica l’estratto dal sito dell’ANAC https://annotazioni.avcp.it               con riferimento   alla   verifica  di   eventuali annotazioni
Ai     fini     della     segnalazione     per casellario informatico presso ANAC:
http://www.avcp.it/portal/public/classic
/Servizi/Modulistica/SegnalazioneCas ellario

Inoltre, si ricorda che è iniziato il processo di attuazione dell’articolo 40del codi ce degli appalti ( la dematerializzazione del procedimento ) ed occorre dal 18 Aprile prossimo gestire il DGUE con i crismi del DPCM 13/11/14 ( Regole tecniche formazione documenti elettronici).

LA procedura terminera ad Ottobre .

Bollettino CERT-PA

Il CERT-PA ha pubblicato una nota per allertare sugli effetti dannosi della campagna di diffusione malware attraverso il dominio documenticertificati[.]com.

Nella giornata del 13 marzo 2018 si è diffusa una attività malevola di propagazione malware attraverso il dominio “documenticertificati[.]com”, che appare come un sito sicuro identificato da un certificato di sicurezza e con i loghi di AgID e SPID.

ATTENZIONE! Il dominio in oggetto è estraneo alle attività di AgID e/o del circuito SPID.

L’Agenzia per l’Italia Digitale ha pubblicato – di seguito e attraverso il CERT-PA – delle indicazioni per riconoscere l’attività malevola e gli indicatori di compromissione.

Come arriva il malware

Il link al download arriva all’utente finale tramite una email proveniente dall’account “admin[@]documenticertificati[.]com” e veicolata attraverso il servizio “mailjet[.]com”. La mail dal titolo “Consegna documenti per XXXX” riporta nel corpo del messaggio le credenziali per scaricare la finta “pratica”(con XXX personalizzato per il destinatario). Una volta inserite le credenziali, è proposto in download un file .zip contenente due malware: uno di tipo PE, l’altro JAR.

Quaderno GDPR -PARTE 3- I DIRITTI DELL’INTERESSATO

L’interessato ha diversi poteri sul controllo dei dati che lo riguardano, e solo grazie a questi diritti ” può liberamente proettare la sua identità attarverso le informazioni” come detto da S.Rodotà.

L’interessato deve essere reso edotto riguardo i suoi diritti attraverso una nota alla trasparenza, od informativa .

Tuttavia quando i dati vengono trattati per adempiere ad obblighi di legge l’interessato può essere “passivo” di trattamento senza conoscere l’esistenza di procedure che lo riguardano.

Per contro, non è necessario imporre l’obbligo di fornire l’informazione se l’interessato dispone già dell’informazione, se la registrazione o la comunicazione dei dati personali sono previste per legge o se informare l’interessato si rivela impossibile o richiederebbe uno sforzo sproporzionato. Quest’ultima eventualità potrebbe verificarsi, ad esempio, nei trattamenti eseguiti a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici. In tali casi si può tener conto del numero di interessati, dell’antichità dei dati e di eventuali garanzie adeguate in essere.

Come da considerando 62.

Il diritto di accesso ai dati personali.

Scorrendo il Reg, i lprimo diritto contemplato è normato dall’articolo 15 e sancisce in “prinicpio”  la conferma dell’esistenza e del trattamento dei dati da parte di un titolare del trattamento .

Articolo 15

Diritto di accesso dell’interessato

1.   L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:

a)

le finalità del trattamento;

b)

le categorie di dati personali in questione;

c)

i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;

d)

quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

e)

l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;

f)

il diritto di proporre reclamo a un’autorità di controllo;

g)

qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;

h)

l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

2.   Qualora i dati personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, l’interessato ha il diritto di essere informato dell’esistenza di garanzie adeguate ai sensi dell’articolo 46 relative al trasferimento.

3.   Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune.

4.   Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui.

Il diritto di accesso e conoscenza dei dati è elevato a principio, infatti per esercitarlo non occorre che ci sia una lesione reale o potenziale.

Proprio per questo nn esistono particolari formalismi per esercitare il diritto, tantomeno il report risultante deve garantire particolari forme se non possedere il requisito dell’intellegibilità.

Il paragrafo 3 dell’articolo parte dal pressupposto che le copie del trattamento ( l’output intellegibile ) devono tendenzialmente essere gratuite, mentre il paragrafo 4 sancisce che il diritto dell’istante non deve comunque ledere la riservatezza di terzi, richiamando , pur se in maniera non espressa gli articoli 3 e  5 del DPR 184/2006.

Il diritto di rettifica e di integrazione.

Brevemente l’articolo 16 del GDPR richiama il diritto di avere i dati sempre aggiornati e veritieri, e l’istituto utilizzato per attuarlo è rappresentato dal potere di chiedere rettifiche ed integrazioni.

Articolo 16

Diritto di rettifica

L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

E’ importante notare che l’integrazione della informazione tratatta è strumentale alla situazione “nel sociale” dell’interessato.

Infatti un parere “errato” sull’interessato , magari pubblicato in albi non può essere rettificato ma deve essere integrato con apposita lettera di allungamento, anche in questo caso è evidente un richiamo al diritto amministrativo puro, in particolar modo all’autotutela dell’articolo 21 nonies della L. 241/90.

Il diritto alla cancellazione dei dati.

Il diritto alla cancellazione dei dati ( rettifica radicale) può essere esercitato quando ricorre uno dei seguenti casi :

a) dati non più necessari arispetto alle finalità

b) l’interessato revoca il consenso

c) l’interessato si oppone al trattamento

d) i dati personali sono stati trattati in modo illecito

e) i dati devono essere cancellati ex legem

f) i dati sono stati raccolti per l’erogazione di servizi informatici diretti a minori

Accessibilità, scadenza 31/03/2018

Rimando l’adempimento a farsi, si ricorda che la scadenza è ordinatoria e non perentoria.

Si ripresenta la scadenza contenuta nell’articolo 9 comma 7 del DL 179/12

“. Entro il 31 marzo di ogni anno, le amministrazioni pubbliche di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, pubblicano nel proprio sito web, gli obiettivi di accessibilita’ per l’anno corrente ((e lo stato di attuazione del “piano per l’utilizzo del telelavoro” nella propria organizzazione, in cui identificano le modalita’ di realizzazione e le eventuali attivita’ per cui non e’ possibile l’utilizzo del telelavoro. La redazione del piano in prima versione deve essere effettuata entro sessanta giorni dalla data di entrata in vigore della legge di conversione del presente decreto)). La mancata pubblicazione e’ altresi’ rilevante ai fini della misurazione e valutazione della performance individuale dei dirigenti responsabili.”

 

Quest’anno però la modalità è semplificata grazie ad alcuni automatismi pensati dall’AGID.

Per Usare il wizard di compilazione occorre :

1) Registarrsi al sito agid per l’accessibilità andando sul seguente indirizzo http://accessibilita.agid.gov.it/

2) Terminare la registrazione  inserendo un password

3) Accedere e compialre gli obiettivi dati dal format elettronico

4) Pubblicare la pagina – report dell’accessibilità in amministrazioen tarsparente, altri contenuti, accessibilità.

Si ricorda che l’adempimento, deve essere scritto di concerto con il RTD ex art. 17 D.Lgs 82/05.

 …d) accesso dei soggetti disabili agli strumenti informatici e promozione dell’accessibilita’ anche in attuazione di quanto previsto dalla legge 9 gennaio 2004, n. 4;

j) pianificazione e coordinamento del processo di diffusione, all’interno dell’amministrazione, dei sistemi di ((identita’ e domicilio digitale,)) posta elettronica, protocollo informatico, firma digitale o firma elettronica qualificata e mandato informatico, e delle norme in materia di accessibilita’ e fruibilita’ ((nonche’ del processo di integrazione e interoperabilita’ tra i sistemi e servizi dell’amministrazione e quello di cui all’articolo 64-bis)).

Quaderno GDPR -PARTE 2- IL CONSENSO

Iniziamo con una domanda , ” il consenso ha un ruolo centrale ? “, se non volete leggere tutto il post la risposta immediata è  NO!!!.

ll trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.

Partendo dal quarto considerando è evidente l’equiparazione  della circolazione delle informazioni con la protezione dei dati personali, come gia detto nella parte prima del quaderno intitolato al GDPR il reg. 2016/679 deve essere considerato tutt’uno con il reg. 2014/910 , uniformare le informazioni elettroniche per farle circolare protette.

Alcuni principi sono elevati a “valoriali” , quasi simboli di libertà, ma la liberta deve essere proprozionata e bilanciata , proprio per questo il citato considerando recita che “ll trattamento dei dati personali dovrebbe essere al servizio dell’uomo”.

E’ opportuno osservare che anche l’articolo iniziale del GDPR al par 3 ricorda che

La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali

Il consenso, principio valore e principio da attuare, tra il dire ed il fare c’è di mezzo…

Il principio generale, enunciato dall’articolo 5 recita che  i dati deovono essere

trattati in modo lecito corretto e trasparente nei confronti dell’interessato

Ma quando c’è la liceità nel trattamento ? la norma da risposta in senso “esclusivo” e spostandoci dal principio – valore, astrattamente e difficilmente applicabile in un modello organizzativo dei trattament dei dati , ad un modello attuativo occorre utilizzare un processo di controllo bifasico.

Si parte dall’articolo 6 del Regolamento rubricato appunto Liceità del trattamento

1.   Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a)

l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

b)

il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c)

il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

d)

il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;

e)

il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

f)

il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

E’ chiaro, nella prima fase di accertamento che è condizione necessaria ma non sufficiente che si sia almeno una delle condizioni legittimanti.

Appurato il possesso di una condizione al processo del trattamento dei dati occorre verificare la fase n.2 di valutazione della liceità,  ed in aiuto ci viene l’articolo 5

1.   I dati personali sono:

a)

trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);

b)

raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);

c)

adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);

d)

esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);

e)

conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);

f)

trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

Pur non volendo approfondire , deve essere chiara una cosa, il consenso è solo una delle condizioni che legittimano il trattamento dei dati, le altre sono , cfr art 6 :

b)

il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c)

il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

d)

il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;

e)

il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

f)

il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

Il trattamento di particolari categorie di dati personali .

Come per il vecchio codice, anche nel GDPR c’è una forte attenzione ad alcuni particolari dati personali, vediamo l’articolo 9

  È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

2.   Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:

a)

l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;

b)

il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;

c)

il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;

d)

il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato;

e)

il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;

f)

il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;

g)

il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato;

h)

il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;

i)

il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale;

j)

il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

E’ evidente che da un’apertura semanticamente riduttiva del paragrafo 1 si passa ad una copiosa serie di condizioni legittimanti.

Caratteristiche del consenso, la forma dello stesso.

L’articolo 7 del GDPR recita

Condizioni per il consenso

1.   Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.

2.   Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante.

3.   L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato.

4.   Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.

Il consenso è qualsiasi manifestazione di volontà chiara ed incontrovertibile di accettazione delle condizioni di trasparenza ( l’informativa) porposta dal titolare del trattamento dei dati , per meglio capire del consenso e della forma è necessario prendere in esama anche il 32 ° considerando

Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.

Quindi  :

  • il consenso è  atto di accettazione del trattamento dei dati
  • la forma del consenso non deve essere necessariamente scritto, l’importante è la chiara manifestazione di volontà adesiva al trattamento
  • il consenso dovrebbe essere inizialmente espresso per ogni finalità di trattamento specifico, con la trasparenza sull’oggetto, le mdalità di trattamento, la circolazione delle informazioni, la durata, etc

Importante è non sottovalutare la disciplina della durata del trattamento nella nota alla trasparenza sul trattamento dei dati, essendo da un punto di vista giuridico, secondo la classificazione del Galgano , un contratto di durata ( atto negoziale recettizio unilaterale). Tuttavia la durata può anche essere sine die .

Forma scritta ab substantiam ? ad probationem ? .NO ! come detto l’importante è la chiarezza della volontà nel formare un atto di autodeterminazione da chi può agire ( con la specialità dell’eta nell’agire dato dall’articolo 8, eccezionalmente 16 anni).

Tuttavia conviene focalizzarci nuovamente sull’articolo 5 par. 2

Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo

e sull’articolo 7 par 1

.   Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali

da qui si evince che la dimostrazione di un fatto scritto è racomandabile ,

Quaderno GDPR – PARTE I-

Strutturalmente  il General Data Protection Regulation – Regolamento Generale sulla Protezione dei Dati

non si allontana molto dal nostro vecchio Codice del trattamento, salvo alcune specificità :

  • L’informativa
  • La modalità del consenso ( e  la liceità del trattamento in forza del consenso bifasico )
  • Sanzioni più incisive
  • Consenso del minore

da un punto di vista formale, e da un punto di vista operativo l’introduzione del principio dell’ ACCOUNTABILITY, la vera rivoluzione .

Cosa cambia ?

E’ cambiata la società, sono cambiati i tempi sono cambiate le aspettative verso l’informazione .

La norma comunitaria, come quella nostrana , no è intitolata alla PRIVACY, ma al corretto trattamento dei dati, e soprattutto occorre fare una precisazione fondamentale di politica regolamentare , il Reg. 2016/679 ed il Reg . 2014/910 devono essere letti come una complessiva idea comunitaria con l’obiettivo di uniformare il modo di generare le informazioni e di farle circolare liberamente nel mercato .

Infatti l’informazione ( il dato personale riferibile ad una persona fisica ) è definito come

bene giuridico , economicamente valutabile ed oggetto di scambio .

Tuttavia per ben approfondire la nuova norma rcordiamo anche che l‘informazione ed il dato personale  oltre ad avere una definizione economica hanno anche una definzione data dalla carat Europea dei Diritti Fondamentale , infatti l’articolo 8 recita:

Protezione dei dati di carattere personale

1.   Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

2.   Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica.

3.   Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente.

Proprio da questo richiamo ( non solitario ed univoco come vedremo nei prossimi approfondimenti ) , è chiaro che la norma non è intitlata ed intitolabile alla PRIVACY o RISERVATEZZA , ma al corretto trattamento dei DATI, come chiarito fin dal titolo “Regolamento Generale sulla Protezione dei Dati”

Il diritto alla protezione dei dati tutela l’informazioen riferita ( ed anche riferibile) ad un individuo, non tutela la personalità complessiva, solo una parte .
Anzi , occorre ribadire, che la tutela dell’identità personale è un istituto molto presente nel nostro ordinamento a differenza di quello europeo e pur essendo di creazione giurisprudenziale ha ben raccolto favori e successi, uno fra tutti il diritto all’oblio, non sempre conosciuto e disciplinato in altre realtà tranfrontaliere.

Ora conviene fermarci un moemnto e vedere le differenze tra il diritto alla protezione dei dati ed il diritto alla riservatezza.

Il primo diritto , quello alla protezione dei dati personali, consiste nella possibilità in capo al soggetto i cui dati si riferiscono,di esercitare un controllo, e come detto trova fonte primaria nell’articolo 8 della Carta dei Diritti Fondamentali dell’UE .

Il diritto alla riservatezza , invece , si concretizza nell’escludere la conoscenza di vicende personali e familiari , e trae evidentemente origine proprio dalla pietra miliare della PRIVACY, l’articolo WARREN – BRANDEIS  sul

“RIGHT TO BE LET ALONE ” e sul ” JUS SOLITUDINES” .

Enunciati che ritroviamo all’aritolo 7 della Carta Europea :

Rispetto della vita privata e della vita familiare

Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni.

In Italia il diritto alla riservatezza è stato riconosciuto dalla Corte di Cassazione con pronuncia 2129/1975.

In estrema sintesi, il diritto alla protzione dei dati ed il diritto alla riservatezza hanno oggetto diverso, possono talvolta coincidere, esempio classico è LA CARTELLA CLINICA.

Spostiamo ora l’attenzione sul perchè nasce l’esigenza del GDPR, la risposta è chiara ed univoca , contenuta nel considerando n. 9 ;

Sebbene i suoi obiettivi e principi rimangano tuttora validi, la direttiva 95/46/CE non ha impedito la frammentazione dell’applicazione della protezione dei dati personali nel territorio dell’Unione, né ha eliminato l’incertezza giuridica o la percezione, largamente diffusa nel pubblico, che in particolare le operazioni online comportino rischi per la protezione delle persone fisiche. La compresenza di diversi livelli di protezione dei diritti e delle libertà delle persone fisiche, in particolare del diritto alla protezione dei dati personali, con riguardo al trattamento di tali dati negli Stati membri può ostacolare la libera circolazione dei dati personali all’interno dell’Unione. Tali differenze possono pertanto costituire un freno all’esercizio delle attività economiche su scala dell’Unione, falsare la concorrenza e impedire alle autorità nazionali di adempiere agli obblighi loro derivanti dal diritto dell’Unione. Tale divario creatosi nei livelli di protezione è dovuto alle divergenze nell’attuare e applicare la direttiva 95/46/CE.

Inoltre come all’inizio scritto bisogna ben ricordare che il GDPR è il completamento naturale e fisiologico dell’ EIDAS, letti assieme hanno l’obiettivo di creare il MERCATO UNICO DIGITALE delle informazioni.

Ovviamente i dati trattati non possono essere utilizzati senza nessuna regola, e di queste regole bisogna tenerne conto, da qui il principio dell’ACCOUNTABILITY , articolo 32 GDPR .

Sicurezza del trattamento

1.   Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a)

la pseudonimizzazione e la cifratura dei dati personali;

b)

la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c)

la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

d)

una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

2.   Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

3.   L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

4.   Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

L’articolo parla chairamente di misure :

  • TECNICHE
  • ORGANIZZATIVE
  • GESTIONALI

indi è necessario non commettere l’errore di delegare le politiche di sicurezza dei dati alla funzione informatica e basta.

La valutazione tecnico – gestionale deve avere le connotazioni proprie dei modelli organizzativi, dell’as is anlisys , della ricerca del gap, del management , dell’assessment, delle politica correttive, dei risultati attesi e dei correttivi sulla dispersione da questi.

Solo partendo dalla suddetta valutazione contempliamo  l’acconutability, che viaggerà su due livelli :

1) Misure obbligatorie e prova dell’attuazione

2) Misure e sistemi volontaristici.

La valutazione dell’impatto .

Ancor prima di iniziare un trattamento il titolare deve valutare i rischi e decidere le politiche ( policy, presidi, controlli e rendicontazione ) per minimizzare l’uso illecito dei dati personali .

Qualora siano i rischi residuali ( terminologia ISO 31000 ) siano elevati occorre la consultazione preventiva coll’Autorità Amministrativa Indipendente.

Il Bilanciamento degli interessi .

Fin dal 2003, con il D.Lgs 196/03 ho rappresentato una parte minoritaria della dottrina che considerava il diritto alla protezioen dei dati un diritto “fondamentale ma non troppo” , ma lottavo in un’arena dove la norma era intitolata alla PRIVACY ( o meglio PRAIVACI , scusatemi la poca aleganza ) , prendendomi sempre qualche bella soddisfazione .

Già si considerava l’informazione un bene economico, era quindi chiara la tendenza normativa, poi con il Reg.  UE 2014/910 sempre più mi son fatto forte del fatto che anche il legislatore stava correndo ai ripari ( lessicali , l’intento era chiaro anche nella direttiva 95/46/CE ) , poi nel 2015 una chiara sentenza della Corte di Cassazione, n. 10280/15 sez III recita e sancisce

IL DIRITTO ALLA PROTEZIONE DEI DATI PUR RIENTRANDO NEI DIRITTI FONDAMENTALI NON E’ UN “TOTEM AL QUALE POSSONO SACRIFICARSI ALTRI DIRITTI COSTITUZIONALMENTE GARANTITI” …IL DIRITTO ALLA PROTEZIONE DEI DATI DEVE ESSERE ” COORDINATO E BILANCIATO” CON LE NORME DI CARATTERE PUBBLICISTICO E PRIVATISTICO.

Poi, nel 2016 con il GDPR la massima chiarezza nella lettera del 4 ° considerando :

Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.

La norma sembrerà complessa, ma è chiara, ancora una volta avremo come interocutori faccendieri improvvisati che non hanno la minima conoscenza di norme pubbliche e di gestione organizzativa dell’azienda, ma quando sentite parlare di PRAIVACI scappate, chiedete di discutere sul Corretto Trattamento dei Dati..

Continua la nostra DIGITAL COMMEDIA .

A presto

Incontro di (in)formazione in materia di sicurezza dei dati. Il 25 maggio è davvero prossimo!

C.A. Dirigenti Scolastici e Direttori S.G.A.

Oggetto: Incontro di (in)formazione su temi normativi cogenti

La Consulenti Associati S.a.s. di Elisa Carotenuto ed il dott. Vincenzo De Prisco di pregiano di invitarVi all’incontro che si terrà il giorno 22 febbraio p.v. alle ore 10.00 presso l’I.C. “Amalfi Massa” di Piano di Sorrento, via Ciampa.

Il programma dell’incontro verterà sui seguenti argomenti:

  • Il Codice dell’Amministrazione Digitale, tra modifiche, riedizioni ed il D.Lgs. 217/17
  • Il Corretto Trattamento dei Dati tra social e privacy
  • Il Regolamento Europeo 2016/679. Cosa cambia?
  • La sicurezza informatica tra Agid e GDPR. Minima o adeguata?

Vi aspettiamo!

Cordialmente, Elisa e Vincenzo

Incontro di (in)formazione sui temi della sicurezza informatica, tra Agid e GDPR – Liceo Sensale, Nocera Inferiore

C.A. Dirigenti Scolastici e Direttori S.G.A.

Oggetto: Incontro di (in)formazione su temi normativi cogenti

La Consulenti Associati S.a.s. di Elisa Carotenuto ed il dott. Vincenzo De Prisco di pregiano di invitarVi all’incontro che si terrà il giorno 16 febbraio p.v. alle ore 10.00 presso il Liceo Scientifico Sensale, via S. D’Alessandro, Nocera Inferiore, ospiti della D.s. Prof.ssa Elvira D’Ambrosio.

Il programma dell’incontro verterà sui seguenti argomenti:

  • Il Codice dell’Amministrazione Digitale, tra modifiche e riedizioni
  • Il Corretto Trattamento dei Dati tra social e privacy
  • Il Regolamento Europeo 2016/679. Cosa cambia?
  • La sicurezza informatica tra Agid e GDPR. Minima o adeguata?

Vi aspettiamo!

Cordialmente, Elisa e Vincenzo

Il CAD, le novità dirompenti , quelli che…a volte ritornano, e nuovi poteri .

La novità dirompente è certamente rappresentata dalla modificazione all’articolo 6, UTILIZZO DEL DOMICILIO DIGITALE.

Le comunicazioni tramite i domicili digitali sono effettuate
agli indirizzi inseriti negli elenchi di cui agli articoli 6-bis,
6-ter e 6-quater, o a quello eletto come domicilio speciale per
determinati atti o affari ai sensi dell’articolo 3-bis, comma
4-quinquies. Le comunicazioni elettroniche trasmesse ad
uno dei domicili digitali di cui all’articolo 3-bis producono,
quanto al momento della spedizione e del ricevimento, gli
stessi effetti giuridici delle comunicazioni a mezzo raccomandata
con ricevuta di ritorno ed equivalgono alla notificazione
per mezzo della posta salvo che la legge disponga
diversamente. Le suddette comunicazioni si intendono spedite
dal mittente se inviate al proprio gestore e si intendono
consegnate se rese disponibili al domicilio digitale del destinatario,
salva la prova che la mancata consegna sia dovuta
a fatto non imputabile al destinatario medesimo. La data e
l’ora di trasmissione e ricezione del documento informatico
sono opponibili ai terzi se apposte in conformità alle Linee
guida.

La portata è talmente amplia che accanto ai già noti elenchi IPA, INI-PEC e R.I è istituito l’Indice Nazionale dei domicili digitali delle persone fisiche e degli altri enti non tenuti all’iscrizione il albi professionali e CCIAA, come palesato dall’articolo 6 quater

Indice nazionale dei domicili digitali delle persone
fisiche e degli altri enti di diritto privato, non tenuti
all’iscrizione in albi professionali o nel registro delle imprese
1. E’ istituito il pubblico elenco dei domicili digitali delle persone
fisiche e degli altri enti di diritto privato non tenuti all’iscrizione
in albi professionali o nel registro delle imprese, nel
quale sono indicati i domicili eletti ai sensi dell’articolo 3-bis,
comma 1-bis. La realizzazione e la gestione dell’Indice sono
affidate all’AgID, che vi provvede avvalendosi delle strutture
informatiche delle Camere di commercio gia’ deputate
alla gestione dell’elenco di cui all’articolo 6-bis.
2. Per i professionisti iscritti in albi ed elenchi il domicilio
digitale e’ l’indirizzo inserito nell’elenco di cui all’articolo
6-bis, fermo restando il diritto di eleggerne uno diverso ai
sensi dell’articolo 3-bis, comma 1-bis. Ai fini dell’inserimento
dei domicili dei professionisti nel predetto elenco il Ministero
dello sviluppo economico rende disponibili all’AgID,
tramite servizi informatici individuati nelle Linee guida, i
relativi indirizzi gia’ contenuti nell’elenco di cui all’articolo
6-bis.

Tuttavia la stessa norma al comma 3 prescrive la temporaneità di questo elenco nelle more della messa a regime dell’ANPR .

Grosse modifiche anche all’articolo 17 del codice che sottolinea :

  • la presenza del RTD in ogni PA
  • e sposta centralmente presso l’AGID l’ufficio del Difensore civico ,

per chi volesse approfondire la previgente norma , che comunque resta valida negli obiettivi :

e

Lo stesso articolo 17 , si novella di precisazioni attorno alle funzioni del RTD al comma 1 lett j bis :

…pianificazione e coordinamento degli acquisti di soluzioni
e sistemi informatici, telematici e di telecomunicazione
al fine di garantirne la compatibilita’ con gli obiettivi di
attuazione dell’agenda digitale e, in particolare, con quelli
stabiliti nel piano triennale di cui all’articolo 16, comma 1,
lettera b).

In poche parole il RTD è il progettista degli acquisti in ambito informatico ( e non scoperchio il vespaio degli acquisti informatici , cfr il grosso danno erariali degli acquisti per la dematerializzazione in barba all’articolo 61 del D.lgs 179/16) .

Altra novità è lo sdoganamento ( come già avviene all’articolo 22 del D.Lgs 50/16) dei portatori di interesse, meglio conosciuti col malefico nome di lobby . Infatti l’articolo 18 del CAD introduce la piattaforma nazionale per la governance della trasformazione digitale , ove possono incontrarsi le esigenze delle PP.AA. e dei portatori di interesse .

Piattaforma nazionale per la governance della trasformazione
digitale
1. E’ realizzata presso l’AgID una piattaforma per la consultazione
pubblica e il confronto tra i portatori di interesse
in relazione ai provvedimenti connessi all’attuazione dell’agenda
digitale.
2. AgID identifica le caratteristiche tecnico-funzionali della
piattaforma in maniera tale da garantire che la stessa sia
accessibile ai portatori di interessi pubblici e privati e che
sia idonea a raccogliere suggerimenti e proposte emendative
in maniera trasparente, qualificata ed efficace.
3. Il Piano triennale per l’informatica nella pubblica
amministrazione di cui all’articolo 14-bis e’ pubblicato sulla
piattaforma e aggiornato di anno in anno.
4. Tutti i soggetti di cui all’articolo 2, comma 2, lettera a),
possono pubblicare sulla piattaforma i provvedimenti che
intendono adottare o, qualora si tratti di provvedimenti soggetti
a modifiche e aggiornamenti periodici, gia’ adottati,
aventi ad oggetto l’attuazione dell’agenda digitale.
5. I soggetti di cui all’articolo 2, comma 2, lettera a), tengono
conto di suggerimenti e proposte emendative raccolte
attraverso la piattaforma.

L’articolo 20, croce e delizia dei giuristi del c.d. DAE ( diritto amministrativo elettronico ) pur non avendo modificato di molto ( per niente ) la portata , ha introdotto un poco di ordine ( che dovrebbe essere proprio del TU ) ricordando dell’efficacia giuridica e dell’opponibilità   ex art 2702 inserendo ne codice il principio dell’articolo 25 del Reg Eu/2014/910( EIDAS) , riporto il comma 1 bis :

1-bis. Il documento informatico soddisfa il requisito della
forma scritta e ha l’efficacia prevista dall’articolo 2702 del
Codice civile quando vi e’ apposta una firma digitale, altro
tipo di firma elettronica qualificata o una firma elettronica
avanzata o, comunque, e’ formato, previa identificazione
informatica del suo autore, attraverso un processo
avente i requisiti fissati dall’AgID ai sensi dell’articolo 71
con modalita’ tali da garantire la sicurezza, integrita’ e
immodificabilita’ del documento e, in maniera manifesta e
inequivoca, la sua riconducibilita’ all’autore. In tutti gli
altri casi, l’idoneita’ del documento informatico a soddisfare
il requisito della forma scritta e il suo valore probatorio sono
liberamente valutabili in giudizio, in relazione alle caratteristiche
di sicurezza, integrita’ e immodificabilita’. La data e
l’ora di formazione del documento informatico sono opponibili
ai terzi se apposte in conformita’ alle Linee guida.
1-ter. L’utilizzo del dispositivo di firma elettronica qualificata
o digitale si presume riconducibile al titolare di firma
elettronica, salvo che questi dia prova contraria.
1-quater. Restano ferme le disposizioni concernenti il deposito
degli atti e dei documenti in via telematica secondo la
normativa, anche regolamentare, in materia di processo telematico.

Ritorna inoltre , ci è mancato per un anno circa, il piano di emergenza e continuità operativa delle PP AA, infatti l’articolo 51 ai commi 2 ter e quater reintroduce quanto abrogato dal D.Lgs 179/16

2-ter. I soggetti di cui all’articolo 2, comma 2, aderiscono
ogni anno ai programmi di sicurezza preventiva coordinati e
promossi da AgID secondo le procedure dettate dalla medesima
AgID con le Linee guida.
2-quater. I soggetti di cui articolo 2, comma 2, predispongono,
nel rispetto delle Linee guida adottate dall’AgID, piani
di emergenza in grado di assicurare la continuita’ operativa
delle operazioni indispensabili per i servizi erogati e il ritorno
alla normale operativita’. Onde garantire quanto previsto,
e’ possibile il ricorso all’articolo 15 della legge 7 agosto
1990, n. 241, per l’erogazione di servizi applicativi, infrastrutturali
e di dati, con ristoro dei soli costi di funzionamento.
Per le Amministrazioni dello Stato coinvolte si provvede
mediante rimodulazione degli stanziamenti dei pertinenti
capitoli di spesa o mediante riassegnazione alla spesa degli
importi versati a tale titolo ad apposito capitolo di entrata
del bilancio statale.

 

Ed ora la novità più grande che dovrebbe eliminare lo stallo di tutti i precedenti CAD, il potere in capo all’Agid di emanare LLGG dal tenore di soft law, infatti ora le regole tecniche dell’articolo 71 saranno targate AGID.

Penso che dopo 13 anni, la maturità della norma sia arrivata . CAD  , facci vedere cosa puoi fare !!!!

E poi mi piace sempre sottolineare che la risposta ad ogni “variazione” è sempre data dalla formazione, articolo 13 CAD

Formazione informatica dei dipendenti pubblici

Le pubbliche amministrazioni nell’ambito delle risorse finanziarie
disponibili, attuano politiche di reclutamento e formazione
del personale finalizzate alla conoscenza e all’uso delle
tecnologie dell’informazione e della comunicazione, nonché dei
temi relativi all’accessibilità e alle tecnologie assistive, ai sensi
dell’articolo 8 della legge 9 gennaio 2004, n. 4.
1-bis. Le politiche di formazione di cui al comma 1 sono altresì
volte allo sviluppo delle competenze tecnologi-che, di informatica
giuridica e manageriali dei dirigenti, per la transizione alla
modalità operativa digitale.

 

 

Qualche anticipazione per i RTD sul D.Lgs 217/17 il NUOVO CAD

Il correttivo al CAD oltre a continuare sul filone filosofico e concettuale introduce nuovamente alcuni istituti cancellati dal D.Lgs 179/16 ( a parere dello scrivente erroneamente ), come ad esempio :

  • come già accennato si riconferma l’importanza del responsabile alla transizione in ogni PA , infatti l’articolo 17 del D. Lgs 217/2017 che modifica l’articolo 17 del D.lgs 82/05 ( già variato dal D.lgs 179/16) mette maggiore enfasi sull’importanza del RTD in ogni PA ed istituisce l’ufficio centrale presso l’AGID del Difensore Civico Digitale .
    Al RTD spetta : progettazione sugli acquisti ed integrazione, rispetto delle misure articolo 71 del CAD ed impulso per il nuovo servizio di “identità e domicilio digitale”
  • identita’ e domicilio digitale, sistema di prossima attuazione ibrido tra PEC-ID e SPID
  • Reintroduzione della continuità operativa ( art. 46 del D.lgs 217/2017 che introduce il comma 2 – quater all’articolo 51 del CAD)
  • Interoperabilità
  • Riutilizzazione del softwareOvviamente il tutto anche in ottica GDPR.  Ben venga la rivoluzione .
    
    

Nuovo CAD e NUOVA PRIVACY ! Siete Pronti ? Direi di no!!!!

Meno di 20 giorni per il nuovo codice dell’amministrazione digitale e circa 60 per prepararci al GDPR, già vedo in giro tante soluzioni hardware e software con grande danno erariale ( vedi segreteria digitale etc etc )!!!!

 

Come sempre dovrebbe essere il RTD a dare le dritte , a buon intenditore poche parole…

…oltre  al danno erariale nullità originale degli atti e sanzioni amministrative e penali,

 

 

A cosa serve il responsabile alla transizione digitale ? ad evitare sanzioni.

Parliamone un po’.

Il responsabile alla transizione digitale  ( vedi anche questo post ),

è secondo l’articolo 17 CAD colui che si occupa de :

a) coordinamento strategico dello sviluppo dei sistemi informativi, di telecomunicazione e fonia, in modo da assicurare anche la coerenza con gli standard tecnici e organizzativi comuni;
b) indirizzo e coordinamento dello sviluppo dei servizi, sia interni che esterni, forniti dai sistemi informativi di telecomunicazione e fonia dell’amministrazione;
c) indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica relativamente ai dati, ai sistemi e alle infrastrutture anche in relazione al sistema pubblico di connettivita’, nel rispetto delle regole tecniche di cui all’articolo 51, comma 1;
d) accesso dei soggetti disabili agli strumenti informatici e promozione dell’accessibilita’ anche in attuazione di quanto previsto dalla legge 9 gennaio 2004, n. 4;
e) analisi ((periodica)) della coerenza tra l’organizzazione dell’amministrazione e l’utilizzo delle tecnologie dell’informazione e della comunicazione, al fine di migliorare la soddisfazione dell’utenza e la qualita’ dei servizi nonche’ di ridurre i tempi e i costi dell’azione amministrativa;
f) cooperazione alla revisione della riorganizzazione dell’amministrazione ai fini di cui alla lettera e);
g) indirizzo, coordinamento e monitoraggio della pianificazione prevista per lo sviluppo e la gestione dei sistemi informativi di telecomunicazione e fonia;
h) progettazione e coordinamento delle iniziative rilevanti ai fini di una piu’ efficace erogazione di servizi in rete a cittadini e imprese mediante gli strumenti della cooperazione applicativa tra pubbliche amministrazioni, ivi inclusa la predisposizione e l’attuazione di accordi di servizio tra amministrazioni per la realizzazione e compartecipazione dei sistemi informativi cooperativi;
i) promozione delle iniziative attinenti l’attuazione delle direttive impartite dal Presidente del Consiglio dei Ministri o dal Ministro delegato per l’innovazione e le tecnologie;
j) pianificazione e coordinamento del processo di diffusione, all’interno dell’amministrazione, dei sistemi di posta elettronica, protocollo informatico, firma digitale ((o firma elettronica qualificata)) e mandato informatico, e delle norme in materia di accessibilita’ e fruibilita’.
Inoltre mantenendo un profilo di pura narrazione è nei compiti assimilabile al DPO, riporto l’articolo l’articolo 37 comma c, 5  del Reg. 2016/679/UE
Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.
In parole semplici queste figure possono essere accorpate in una unica funzione ( e vige sempre il proncipio dell’articolo 7 comma 6 del D.Lgs 165/01) ed hanno il fine di ultimo di far evitare sanzioni.
Qualche esempio ?
  •   Quante PPAA hanno siti web conformi alle leggi ? ( avete controllato le LLGG AGID prima di rispondere ?)
  • Quante PPAA hanno sistemi documentali per la dematerializzazione ? Ma avete letto l’articolo 61 del D.lgs 179/16 ? No ?, ok, dice che dovete attendere le LLGG per la formaizone dei documenti ?
  • Quanti di voi mandano in conservazione il protocollo ? tutti ? siete sicuri ? non è che mandate in conservazione solo la pagina del giorno prima come da DPCM 03/12/13 in barba all’articolo 67 TUDA ?

Purtroppo molte PPAA hanno fatto investimenti sbagliati proprio perchè carenti di progettazione ( articolo 31 codice dei contratti ) .

Giusto per ulteriore chiarezza vi mando ad ul link di ottobre 2016, quando già era nota la scadenza di nomina .

 

Via libera al nuovo CAD

Entriamo in pieno CAD 6.0

“il Cad getta le fondamenta giuridiche per molti dei servizi stabiliti nel piano, servizi che si stanno già realizzando come, per esempio, quello di Cittadinanza Digitale o il Data & Analytics Framework (Daf), oppure ancora il servizio per l’elezione del domicilio digitale dei cittadini”.

 

Piacentini.

Sicurezza Informatica, le associazioni ed i sindacati, quanta confusione. Spero che finisca velocemente questo anno .

Da anni lavoro con :

  • Scuole
  • ASL
  • Aziende Ospedaliere
  • Ordini professionali
  • Piccoli comuni
  • Aziende speciali
  • Partecipate

ed ogni volta che si presenta qualche novità mi sento dire ” questa norma non è per noi ….”

…e diciamo nemmeno per il salumaio .

Le norme sono generiche , vanno adattate , nel nostro caso si applicano ai soggetti dell’articolo 2 comma 2 del CAD, che rimanda all’articolo 1 comma 2 del D .Lgs 165/01.

Inoltre è stata chiara in una delle tante riforme del CAD l’evidenza  che l’articolo 17 ( responsabile alla transizione e difensore civico digitale ) non è più  solo per le PA centrali come l’originario testo normativo , ma per le PA tout court come modificato dal D.lgs 179/16 ,

riporto in confronto tabellare :

PRIMA…

Le pubbliche amministrazioni centrali garantiscono l’attuazione delle linee strategiche per la riorganizzazione e digitalizzazione dell’amministrazione
…DOPO il 179/16
Le pubbliche amministrazioni garantiscono l’attuazione delle linee strategiche per la riorganizzazione e la digitalizzazione dell’amministrazione.
Ma andiamo oltre, perchè comunque il problema si sposta solo sulla funzione coinvolta e non sul problema da risolvere con l’adempimento contenuto del DPCM 01.08.2015, la sicurezza informatica.
Crediamo realmente che il danno erariale come scritto da qualche associazione sia pagare la consulenza per l’adeguamento ? se la risposta è si non proverò a convincervi, alzo le mani e mi arrendo .
E mentre l’associazione dichiarava pubblicamente di farvi esenti dalla scadenza, il Miur vi aveva invitato a seguire la propria formazione in merito.
Cari dirigenti dello Stato , siamo in rivoluzione industriale 4.0, il vero danno è non proteggere le informazioni, e costa ben più dei 2 – 3 mila euro della nomina del RTD e per l’adeguamento immediatamente successivo del registro dei trattamenti 679.
Vogliamo continuare a parlare di danno erariale ?
Non osservare l’articolo 10 comma 2 lett b, e l’articolo 30 del D.Lgs 42/2004 è danno erariale, l’avere acquistato soluzioni miste HW+SW per la dematerializzazione senza nessun criterio ( art 61 D.Lgs 179/16) è danno erariale, avere commissionato siti web inadeguati è danno erariale…
Si è vero non potevate sapere ( BAH ! ) che esistevano queste norme, non potete sapere tutto , ma chi dovrebbe dirvelo ? proprio il responsabile alla transizione digitale .
In ogni caso il problema si sposta di qualche giorno, proprio perchè il correttivo CAD  bollinato CDS chiarisce che :
– all’articolo 15 ( modifica del 17 del CAD ) il responsabile alla transizione sia presente in ogni PA, il difensore CIVICO presso l’AGID
– all’articolo 44 ( modifica del 51 CAD) ogni PA deve redigere un piano di CO-DR.
A presto, spero di essere il vs responsabile alla transizione.

Le istanze nel CAD

Le istanze verso una PA sono accettate se passano attraverso :

  • PEO
  • PEC
  • STRUTTURE INTEROPERABILI.

LA PEO, posta elettronica ordinaria ha sempre valore “se ne accerto la provenienza” , non è disciplinata dal CAD ma normata .

 

LA PEC, invece è ben disciplinata e normata dall’articolo 48 de CAD e dal DPC 68/2005.

 

L’INTEROPERABILITA’ ha invece la capacità di creare cooperazione docuemtale tra le diverse PA ( e non solo ) .

AI sensi dell’articolo 47 cad :

Le comunicazioni di documenti tra le pubbliche amministrazioni avvengono mediante l’utilizzo della posta elettronica o in cooperazione applicativa; esse sono valide ai fini del procedimento amministrativo una volta che ne sia verificata la provenienza. ((Il documento puo’ essere, altresi’, reso disponibile previa comunicazione delle modalita’ di accesso telematico allo stesso.))
il comma 2 dell’articolo 47 aiuta a definire la PROVENIENZA VALIDA :
Ai fini della verifica della provenienza le comunicazioni sono valide se: a) sono sottoscritte con firma digitale o altro tipo di firma elettronica qualificata; b) ovvero sono dotate di segnatura di protocollo di cui all’articolo 55 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445; c) ovvero e’ comunque possibile accertarne altrimenti la provenienza, secondo quanto previsto dalla normativa vigente o dalle regole tecniche di cui all’articolo 71. E’ in ogni caso esclusa la trasmissione di documenti a mezzo fax; d) ovvero trasmesse attraverso sistemi di posta elettronica certificata di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68.
Infine il comma 1 bis dell’articolo 47 ricorda il danno erariale, tra gli altri, dell’inosservanza della norma .
Voglio chiudere ricordando l’importanza dell’articolo 65 del CAD,
Istanze e dichiarazioni presentate alle pubbliche amministrazioni per via telematica
1. Le istanze e le dichiarazioni presentate per via telematica alle pubbliche amministrazioni e ai gestori dei servizi pubblici ai sensi dell’articolo 38, commi 1 e 3, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, sono valide:
a) se sottoscritte mediante la firma digitale o la firma elettronica qualificata, il cui certificato e’ rilasciato da un certificatore ((qualificato));
b) ovvero, quando ((l’istante o il dichiarante e’ identificato attraverso il sistema pubblico di identita’ digitale (SPID), nonche’ attraverso uno degli altri strumenti di cui all’articolo 64, comma 2-novies, nei limiti ivi previsti;)); ((
c) ovvero sono sottoscritte e presentate unitamente alla copia del documento d’identita’;));
c-bis) ovvero se trasmesse ((dall’istante o dal dichiarante)) mediante la propria casella di posta elettronica certificata purche’ le relative credenziali di accesso siano state rilasciate previa identificazione del titolare, anche per via telematica secondo modalita’ definite con regole tecniche adottate ai sensi dell’articolo 71, e cio’ sia attestato dal gestore del sistema nel messaggio o in un suo allegato. In tal caso, la trasmissione costituisce dichiarazione vincolante ai sensi dell’articolo 6, comma 1, secondo periodo. Sono fatte salve le disposizioni normative che prevedono l’uso di specifici sistemi di trasmissione telematica nel settore tributario;

Il responsabile alla transizione digitale nella PA.

Riporto il primo comma dell’articolo 17 del D.gs 82/2005 come modificato dal D.lgs 179/16, ricordando che a breve ci saranno ulteriori modifiche al CAD.
1. Le pubbliche amministrazioni garantiscono l’attuazione delle linee strategiche per la riorganizzazione e la digitalizzazione dell’amministrazione definite dal Governo in coerenza con le regole tecniche di cui all’articolo 71. A tal fine, ciascuno dei predetti soggetti affida a un unico ufficio dirigenziale generale, fermo restando il numero complessivo di tali uffici, la transizione alla modalita’ operativa digitale e i conseguenti processi di riorganizzazione finalizzati alla realizzazione di un’amministrazione digitale e aperta, di servizi facilmente utilizzabili e di qualita’, attraverso una maggiore efficienza ed economicita’. Al suddetto ufficio sono inoltre attribuiti i compiti relativi a:))
a) coordinamento strategico dello sviluppo dei sistemi informativi, di telecomunicazione e fonia, in modo da assicurare anche la coerenza con gli standard tecnici e organizzativi comuni;
b) indirizzo e coordinamento dello sviluppo dei servizi, sia interni che esterni, forniti dai sistemi informativi di telecomunicazione e fonia dell’amministrazione;
c) indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica relativamente ai dati, ai sistemi e alle infrastrutture anche in relazione al sistema pubblico di connettivita’, nel rispetto delle regole tecniche di cui all’articolo 51, comma 1;
d) accesso dei soggetti disabili agli strumenti informatici e promozione dell’accessibilita’ anche in attuazione di quanto previsto dalla legge 9 gennaio 2004, n. 4;
e) analisi ((periodica)) della coerenza tra l’organizzazione dell’amministrazione e l’utilizzo delle tecnologie dell’informazione e della comunicazione, al fine di migliorare la soddisfazione dell’utenza e la qualita’ dei servizi nonche’ di ridurre i tempi e i costi dell’azione amministrativa;
f) cooperazione alla revisione della riorganizzazione dell’amministrazione ai fini di cui alla lettera e);
g) indirizzo, coordinamento e monitoraggio della pianificazione prevista per lo sviluppo e la gestione dei sistemi informativi di telecomunicazione e fonia;
h) progettazione e coordinamento delle iniziative rilevanti ai fini di una piu’ efficace erogazione di servizi in rete a cittadini e imprese mediante gli strumenti della cooperazione applicativa tra pubbliche amministrazioni, ivi inclusa la predisposizione e l’attuazione di accordi di servizio tra amministrazioni per la realizzazione e compartecipazione dei sistemi informativi cooperativi;((28))
i) promozione delle iniziative attinenti l’attuazione delle direttive impartite dal Presidente del Consiglio dei Ministri o dal Ministro delegato per l’innovazione e le tecnologie;
j) pianificazione e coordinamento del processo di diffusione, all’interno dell’amministrazione, dei sistemi di posta elettronica, protocollo informatico, firma digitale ((o firma elettronica qualificata)) e mandato informatico, e delle norme in materia di accessibilita’ e fruibilita’.
Questa figura può degenerare con quella del DPO ai sensi dell’articolo 37 del Reg UE/2016/679 e  diviene strategica per tutto l’impianto normativo che avremo nei prossimi cinque anni, infatti si ricorda che è onere del responsabile alla transizione digitale redigere il Piano AGid 2/2017 sulla sicurezza informatica.
Inoltre  a partire da fine Novembre 2017 le PPAA avranno a disposizione un applicativo sull’IndicePA per la creazione e publicizzazione dell’ “Ufficio per la transizione al Digitale”.
Buon Lavoro.

Prossimi incontri per le scuole, date e info

Spett.li D.s. e D.s.g.a.

Vista l’imminenza delle scadenze Agid e la necessità di verificare lo stato dei fatti,

Visti gli aggiornamenti vari,

Sono in calendario tre incontri formativi ai quali vi invitiamo a partecipare, in base alle reti o prossimità territoriali:

  • Venerdì 17 Novembre, ore 9.30, presso il Secondo Circolo Didattico di Gragnano, via Vittorio Veneto, 18
  • Martedì 21 Novembre, ore 9.30, presso l’I.C. 3° Castaldi Rodari di Boscoreale, via Marchesa
  • Giovedì 23 Novembre, ore 10.00, presso l’I.C. Eduardo De Filippo di Poggiomarino, via XXV Aprile, 10

E’ gradita la presenza, oltre che dei D.s. e dei D.s.g.a., dei Responsabili per la Transizione Digitale.

Cordialmente

Elisa Carotenuto e Vincenzo De Prisco

Pagamenti informatici della PA.

E’ importante ricordare che il CAD. le lineee guida sui pagamenti informatici ed il piano triennale danno come scadenza quella del 31/12/2017 per l’abilitazione al nodo SPC-PAGOPA .
stralcio articolo 5 del D.Lgs 82/05
Art. 5 (Effettuazione di pagamenti con modalita’ informatiche).
((1. I soggetti di cui all’articolo 2, comma 2, sono obbligati ad accettare, tramite la piattaforma di cui al comma 2, i pagamenti spettanti a qualsiasi titolo attraverso sistemi di pagamento elettronico, ivi inclusi, per i micro-pagamenti, quelli basati sull’uso del credito telefonico. Resta ferma la possibilita’ di accettare anche altre forme di pagamento elettronico, senza discriminazione in relazione allo schema di pagamento abilitato per ciascuna tipologia di strumento di pagamento elettronico come definita ai sensi dell’articolo 2, punti 33), 34) e 35) del regolamento UE 2015/751 del Parlamento europeo e del Consiglio del 29 aprile 2015 relativo alle commissioni interbancarie sulle operazioni di pagamento basate su carta.))
((2. Al fine di dare attuazione al comma 1, l’AgID mette a disposizione, attraverso il Sistema pubblico di connettivita’, una piattaforma tecnologica per l’interconnessione e l’interoperabilita’ tra le pubbliche amministrazioni e i prestatori di servizi di pagamento abilitati, al fine di assicurare, attraverso gli strumenti di cui all’articolo 64, l’autenticazione dei soggetti interessati all’operazione in tutta la gestione del processo di pagamento.))
La piattaforma abilitante prevede un terzo soggetto ( il prestatore di servizi di pagamento ) che dietro contratto di servizi gestisce gli incassi della PA abilitata al PAGO PA mediante la procedura AGID.
Il servizio PagoPA è ulteriormente richiamato a livello normativo nell’articolo 15 comma 5 bil del DL 179/12 ( crescita del paese ), che riporto ,
5-bis. Per il conseguimento degli obiettivi di razionalizzazione e contenimento della spesa pubblica in materia informatica ed al fine di garantire omogeneita’ di offerta ed elevati livelli di sicurezza, le amministrazioni pubbliche devono avvalersi per le attivita’ di incasso e pagamento della piattaforma tecnologica di cui all’articolo 81, comma 2-bis, del decreto legislativo 7 marzo 2005, n. 82, e delle piattaforme di incasso e pagamento dei prestatori di servizi di pagamento abilitati ai sensi dell’articolo 5, comma 3, del decreto legislativo 7 marzo 2005, n.82.
Dal tenore della norma è evidente che l’obbligo della PA è contrapposto al diritto dei privati di poter pagare le obbligazioni ( qualsiasi ) con gli strumenti elettronici, tanto è vero che la PA non può mettere in mora il debitore se non si è dotato del SPC PAgoPA.
Il servizio di pagamento deve avere i seguenti elementi minimi :
a) Denominazione ente creditore
b) ID univoco debitore
c) Importo
d) ID univoco di versamento
e) Scadenza ( eventuale),
inoltre deve liberare immediatamente il debitore con amplia quietanza ( esempio di pagamento eseguito l’ultimo giorno), accettare tutti i tipi di pagamento , pagamenti in credito od in debito di plastica, moneta elettronica, borsellino elettronico, SEPA, mobile payment etc. e deve indicare sin dall’inizio il costo massimo dell’operazione.

SCHEDA INFORMATIVA REGOLAMENTO 2016/679/UE: LE PRIORITA’ PER LE PA

Riporto la scheda delle priorità per le PP.AA. redatta dal GPDR .

La principale novità introdotta dal regolamento è il principio di “responsabilizzazione” (cd. accountability), che attribuisce direttamente ai titolari del trattamento il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali (art. 5).

In quest’ottica, la nuova disciplina impone alle amministrazioni un diverso approccio nel trattamento dei dati personali, prevede nuovi adempimenti e richiede un’intensa attività di adeguamento, preliminare alla sua definitiva applicazione a partire dal 25 maggio 2018.

Al fine di fornire un primo orientamento il Garante per la protezione dei dati personali suggerisce alle Amministrazioni pubbliche di avviare, con assoluta priorità:

1. la designazione del Responsabile della protezione dei dati – RPD (artt. 37-39)

Questa nuova figura, che il regolamento richiede sia individuata in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati, costituisce il fulcro del processo di attuazione del principio di “responsabilizzazione”. Il diretto coinvolgimento del RPD in tutte le questioni che riguardano la protezione dei dati personali, sin dalla fase transitoria, è sicuramente garanzia di qualità del risultato del processo di adeguamento in atto. In questo ambito, sono da tenere in attenta considerazione i requisiti normativi relativamente a: posizione (riferisce direttamente al vertice), indipendenza (non riceve istruzioni per quanto riguarda l’esecuzione dei compiti) e autonomia (attribuzione di risorse umane e finanziarie adeguate);

2. l’istituzione del Registro delle attività di trattamento (art. 30 e cons. 171)

Essenziale avviare quanto prima la ricognizione dei trattamenti svolti e delle loro principali caratteristiche (finalità del trattamento, descrizione delle categorie di dati e interessati, categorie di destinatari cui è prevista la comunicazione, misure di sicurezza, tempi di conservazione, e ogni altra informazione che il titolare ritenga opportuna al fine di documentare le attività di trattamento svolte) funzionale all’istituzione del registro. La ricognizione sarà l’occasione per verificare anche il rispetto dei principi fondamentali (art. 5), la liceità del trattamento (verifica dell’idoneità della base giuridica, artt. 6, 9 e 10) nonché l’opportunità dell’introduzione di misure a protezione dei dati fin dalla progettazione e per impostazione (privacy by design e by default, art. 25), in modo da assicurare, entro il 25 maggio 2018, la piena conformità dei trattamenti in corso (cons. 171);

3. la notifica delle violazioni dei dati personali (cd. data breach, art. 33 e 34)

Fondamentale appare anche, nell’attuale contesto caratterizzato da una crescente minaccia alla sicurezza dei sistemi informativi, la pronta attuazione delle nuove misure relative alle violazioni dei dati personali, tenendo in particolare considerazione i criteri di attenuazione del rischio indicati dalla disciplina e individuando quanto prima idonee procedure organizzative per dare attuazione alle nuove disposizioni.

Qualche anticipazione sul CAD 6.0

“È vero che talvolta occorre cambiare qualche legge. Ma il caso è raro; e quando avviene, bisogna ritoccarle con mano tremante: con tanta solennità e con tante precauzioni che il popolo debba concluderne che le leggi sono veramente sante; e soprattutto con tanta chiarezza che nessuno possa dire di non averle capite. (Montesquieu)”

L’8 settembre ultimo è stata depositata per l’ultima lettura la normativa “correttivo al CAD”, quindi siamo a quota 6.

Le maggiori novità riguardano :

  • Poteri regolatori dell’AgID ( potrà emanare soft-law, regolamenti, cfr ll.gg. ANAC)
  • Attuazione  immediata del domicilio digitale senza attendere il pieno regime dell’ANPR
  • Nuovi poteri al responsabile della transizione al digitale ( che dovrà essere nomianto per attuare le scadenze imposte e certificate dalla circolare 2/2017 AgID)
  • Possibilità di nominare il responsabile per la transizione al digitale “condiviso” per abbattere i costi
  • Disicplina delle istanze avute ed eseguite con lo SPID, con consecutiva variazione del Manuale di gestione documentale

Adempimenti AGID- SICUREZZA INFORMATICA per il 31/12/2017….corriamo ai ripari

L’avvento del CERT-PA (istituito con l’articolo 20 comma 3 del DL 83/12) purtroppo non è molto noto alle PP.AA. e questa ignoranza fa perdere l’opportunità di sfruttare le competenze di un ufficio con ampie competenze specifiche.

La PA che deve adeguarsi al GDPR rischia un fallimento almeno duplice per questi motivi:

  • Mancanza di un modello organizzativo documentale (il manuale ex art 5 DPCM 03/12/13)
  • Mancanza dell’adeguamento alla Circolare 2/2017 AGID, GU SG n.103 del 5.5.17

Del manuale già ho scritto in altri post, ora voglio velocemente soffermarmi sulla Circolare che al primo articolo indica gli obiettivi: le MMS-PA (Misure minime che poi vedremo essere standard).

All’articolo 2 si individuano le PA (concetto allargato) destinatarie ed al 3 si individua il soggetto responsabile, quello che poeticamente già ho definito altrove DIFENSORE CIVICO 2.0, ai sensi dell’articolo 17 del CAD (art 17 comma 1 – ter D.lgs 82/2005).

I livelli di misura di sicurezza sono calcolati adoperando il ABSC (Agid Basic Security Controls) ed avere un Tier o Rating :

  • Minimale (oltre al quale non è consentito scendere)
  • Standard (il valore atteso)
  • Alto (limite superiore di tendenza)

Lo standard utilizzato è il SANS 20 che, sinotticamente, prevede:

  • Inventario hardware classificato per IP
  • Inventario software con versione e licenza ed autorizzazione negata per i non censiti
  • Protezione e cifratura
  • Valutazione continua della vulnerabilità
  • ACL
  • Difesa Malware
  • Policy di DR

Le risultanze del SANS 20 – ABSC vanno inserite in Allegato 2, marcate temporalmente ed inviate al CERT-PA in caso di problemi informatici.

Ecco, ora si può iniziare a parlare di GDPR…ricordando che il correttivo al CAD probabilmente introdurrà nuovamente il piano DR-CO e che l’analisi as is deve considerare per il GDPR ( e mi ripeto come anche per il 196) l’analisi dei processi , l’utilizzo degli indicatori, l’ausilio di una matrice RACI  e l’applicazione dei controlli del Trucker del 1997, in altre parole il DPSS 2.0 sarà frutto dell’applicazione della scienza dell’organizzazione e non di informatici che aggiornano gli antivirus e di copiatori seriali che distribuiscono informative in maniera indiscriminata.

 

Nuovi servizi e scadenze prossime

Per adempiere alle scadenze di fine 2017 e Maggio 2018 occorre partire per tempo, anzi per chi non ha una struttura informatica a norma direi che siamo in ritardo.

 

Per chiarimenti e delucidazioni chiamateci.

 

In particolare si ricorda l’obbligo di :

  • nominare responsabile alla transizione digitale ex articolo 17 D.Lgs 82/05
  • predisporre il piano di sicurezza informatica circolare 2 / agid
  • nominare DPO ed iniziare a lavorare al nuovo GDPR.

 

Scadenze AGID del 31/12/2017

Sembra tanto ma ……..

Voglio ricordare che entro il 31/12/2017 le PP.AA. devono :

– Adottare il Piano triennale Informatico

– Redigere il Piano di sicurezza ed effettuare il calcolo del TIER

– Traslare il portale istituzionale sotto protocollo sicuro ( https)

– Inviare traccia dei metadati per permettere l’identificazione SPID.

 

Muoviamoci per tempo .

Circolare 2/2017 AGID

In sostituzione della 1/2017
News_2017_05_06_Circ_180417_n_2_2017_Mis_minime_sicurezza_ICT_PA_GU_103_050517.pdf

Sicurezza Informatica

Riporto le raccomandazioni di CERT-PA

La campagna di infezione ransomware “WannaCry (link is external)” ha contaminato negli ultimi due giorni circa 99 paesi e oltre 200.000 sistemi Windows che risultano compromessi, danneggiando aziende telefoniche, ospedali e strutture sanitarie.

L’Agenzia per l’Italia digitale ha pubblicato – attraverso CERT-PA e in vista della ripresa lavorativa di lunedì – le linea guida per mitigare gli effetti (link is external)dannosi e per la riaccensione delle macchine. Nel documento, sono riportate una serie di azioni che possono essere assunte per mitigare l’impatto della campagna, soprattutto cercando di evitare l’estensione della compromissione a sistemi che non sono già compromessi.

Per chi non avesse ancora provveduto, su CERT-PA (link is external), alcuni suggerimenti utili per  fronteggiare il ransomware, tra cui il procedere urgentemente con l’installazione della patch Microsoft risolutiva MS17-010 (link is external) disponibile anche per i sistemi Windows fuori supporto (link is external).

Anche se la propagazione è stata temporaneamente sospesa grazie ad un kill switch di un ricercatore britannico che ha individuato un artificio presente nel codice del malware, la situazione non può considerarsi risolta, in quanto è possibile manomettere lo stesso malware affinchè superi il check previsto dal kill-switch e torni a propagarsi come un worm.

È importante, pertanto, seguire le linee guida per mitigare gli effetti e per la riaccensione delle macchine e su come difendersi dalla minaccia dei Ransomware (link is external) e proteggere i propri dati.

Per le amministrazioni, si rammenta che le nuove Misure minime di sicurezza ICT (link is external) per la PA obbligano tutte le PA a mantenere aggiornati i software di base e gli applicativi.

 

 

ed allego un documento…..

Misure_minime_di_sicurezza_v10.pdf

Conservazione del protocollo RIPROPOSTO ( post del marzo 2017)

Alcuni chiarimenti sulla conservazione del protocollo.

Il TUDA ricorda che il protocollo è un insieme ordinato e cronologico che raccoglie gli accadimenti di una PA.

Purtroppo la cattiva applicazione del DPCM 03/12/13 ( direi pessima applicazione, vergognosa ) ha fatto dimenticare che il protocollo è documento pubblico di fede privilegiata quando raccolto in fasciolo ( od in funzione dell’organizzazione del Manuale di gestioen ex art. 5 DPCM 03/12/13 in serie ).

Detto quanto appena sopra si ricorda che il DPCM non innova il TUDA ed il CAD ma obbliga solo a conservare ( si fa per dire ) anche i fogli giornalieri, distinti tra loro e non raggruppati in fascicoli.

E’ norma invece entro ALMENO UNA VOLTA L’ANNO , CRISTALIZZARE i fatti e gli accadimenti degli archivi, spostandoli dalla classificazione corrente a quella di DEPOSITO, si riportano le norme di riferimento :

     Art. 44. D.Lgs 82/2005 ((Requisiti  per  la   gestione   e   conservazione   dei   documenti  informatici))

((1-bis. Il sistema di gestione e conservazione dei documenti informatici e’ gestito da un responsabile che opera d’intesa con il dirigente dell’ufficio di cui all’articolo 17 del presente Codice, il responsabile del trattamento dei dati personali di cui all’articolo 29 del decreto legislativo 30 giugno 2003, n. 196, ove nominato, e con il responsabile del sistema della conservazione dei documenti informatici, nella definizione e gestione delle attivita’ di rispettiva competenza. Almeno una volta all’anno il responsabile della gestione dei documenti informatici provvede a trasmettere al sistema di conservazione i fascicoli e le serie documentarie anche relative a procedimenti conclusi.))


LA norma del CAD di cui sopra è ispirata intimamente al TUDA, si riporta .

SEZIONE QUINTA
DISPOSIZIONI SUGLI ARCHIVI  Art. 67  DPR 445/00 Trasferimento dei documenti all’archivio di deposito

1. Almeno una volta ogni anno il responsabile del servizio per la gestione dei flussi documentali e degli archivi provvede a trasferire fascicoli e serie documentarie relativi a procedimenti conclusi in un apposito archivio di deposito costituito presso ciascuna amministrazione.

2. Il trasferimento deve essere attuato rispettando l’organizzazione che i fascicoli e le serie avevano nell’archivio corrente.

3. Il responsabile del servizio per la gestione dei flussi documentali e degli archivi deve formare e conservare un elenco dei fascicoli e delle serie trasferite nell’archivio di deposito.

Il prinicipio della conservazione e fascicolazione si applica ovviamente non solo al protocollo ma ad ogni “RACCOLTA”, vedi refertazioni dell’albo, repertorio delle circolari, etc etc.