Addio CONSULENTI ASSOCIATI, e Benvenuta Consulenti Associati Campania srls

Ci siamo trasformati nello spirito, è cambiato l’assetto societario , la nuova CA CAMPANIA srls é una nuova società con la totalità delle quote possedute da Elisa Carotenuto.

E’ cambiata la grafica del sito , ci saranno nuovi sistemi di condivisione e nuovi servizi sempre più orientati alla transizione digitale della PA, che resta il nostro mercato di riferimento. inizia un nuovo viaggio.

ELEZIONI TRASPARENTI, legge SPAZZA-CORROTTI e GDPR

Più volte ho sottolineato che la privacy non è disciplinata dal GDPR che ha invece l’obiettivo di dettare politiche per il corretto trattamento dei dati e la libera circolazione degli stessi , basta leggere il titolo corretto del GDPR.

La protezione dei dati non è il diritto fondamentale ASSOLUTO, ma va contemperato con altri diritti fondamentali, proporzionalmente. ( IV considerando).

Già abbiamo visto che alcuni diritti hanno valore superiore ( e non derogatorio) alla riservatezza delle informazioni personali, cfr questo post

Sulla stessa lunghezza d’onda si muove il comma 15 articolo 1 della legge 3/2019, la spazza-corrotti per intenderci, che istituisce la sezione del sito “ELEZIONI TRASPARENTI”

In questa nuova sezione andranno pubblicati i curricula dei candidati nonchè i certificati penali.

15. In apposita sezione, denominata «Elezioni trasparenti», del sito internet dell’ente cui si riferisce la consultazione elettorale, ovvero del Ministero dell’interno in caso di elezioni del Parlamento nazionale o dei membri del Parlamento europeo spettanti all’Italia, entro il settimo giorno antecedente la data della consultazione elettorale, per ciascuna lista o candidato ad essa collegato nonche’ per ciascun partito o movimento politico che presentino candidati alle elezioni di cui al comma 14 sono pubblicati in maniera facilmente accessibile il curriculum vitae e il certificato penale dei candidati rilasciato dal casellario giudiziale non oltre novanta giorni prima della data fissata per l’elezione, gia’ pubblicati nel sito internet del partito o movimento politico ovvero della lista o del candidato con essa collegato di cui al comma 11, primo periodo, previamente comunicati agli enti di cui al presente periodo. La pubblicazione deve consentire all’elettore di accedere alle informazioni ivi riportate attraverso la ricerca per circoscrizione, collegio, partito e per cognome e nome del singolo candidato. Con decreto del Ministro dell’interno, da emanare entro novanta giorni dalla data di entrata in vigore della presente legge, sono definite le modalita’ tecniche di acquisizione dei dati su apposita piattaforma informatica.

Questa parte del sito istituzionale ( ma anche tutte le altre sezioni che contengono dati personali, anche non particolari) dovrà essere conformata con il combinato articolo 32 GDPR e Deliberazione 02/03/2011 del Garante Protezione dei dati Personali del Garante Protezione dei dati Personali.

Ed ora viene il bello… non occorre nessun consenso, come quasi sempre mi piace aggiungere . Infatti c’è l’espressa previsione di legge per il trattamento dei dati personali-particolari-di appartenenza politica, dapprima nel considerando 56, poi nell’arcinoto ( almeno così dovrebbe essere ) articolo 6 paragrafo 1 lettera e) , nonché articolo 9 paragrafo 2 lett. b ) GDPR, senza contare le norme settoriali, D.P.R. 16 maggio 1960, n. 570; Legge 21 marzo 1990, n. 53; Legge 25 marzo 1993, n. 81; D.P.R. 28 aprile 1993, n. 132; D.Lgs. 12 aprile 1996, n. 197; Legge 30 aprile 1999, n. 120; D.Lgs. 18 agosto 2000, n. 267 e cosi via.

BASTA L’INFORMATIVA, non serve consenso. Ovviamente diviene indispensabile il ruolo del DPO che dovrà imporre un tempo non eccessivo di pubblicazione dei dati in ELEZIONI TRASPARENTI, anche in ossequio alle LL.GG sulla pubblicità legale degli atti AGID del maggio 2016 .

Grazie di tutto, vi allego una piccola informativa da adattare ovviamente alle vostre esigenze , in rosso le parti da utilizzare se si rientra nell’ambito del comma 15 dell’articolo 1 della spazza-corrotti. I Comuni miei clienti che hanno elezioni sono pregati di avvisarmi per l’inserimento del trattamento nel registro articolo 30.

Devo ringraziare per il supporto l’amico dott. Raffaele Rosolia

Il Piano triennale per l’informatica nella PA ed il vostro C@ronte, il RTD

Ci siamo, la MONTAGNA ha partorito e non è un topolino, ma un complesso documento STRATEGICO ( e non normativo ) composto dalle 90 AZIONI che come PA dobbiamo affrontare.

In questo primo passaggio analizzeremo solo pochi aspetti del PIANO restando in attesa dell’evoluzione della guida dinamica.

certamente è importante visualizzare e memorizzare questo schema contenuto nel PIANO e vediamo gli aspetti fondamentali subito, almeno i più importanti.

  • Digital by default ( La PA è nativa digitale e cosi i suoi documenti
  • Once only ( i dati e le credenziali del cittadino sono uniche )
  • Digital identity only ( e vai con lo SPID)
  • CLOUD FIRST ( sarà l’architettura unica degli applicativi PA)

Nel piano triennale 19-21 c’è continuita con i data center della PA ( circ 2 e 3 2018 AGID) e tra poco saranno evidenti anche i risultati del censimento ultimo, vi rimando all’articolo

I risultati saranno comunque raggruppati in tre categorie :

  • Poli strategici ( il risultato ottimale )
  • Data Center cat A ( destinati a scomparire ma non nel breve periodo )
  • Data Center cat B ( di breve vita )

Anche questa classificazione mira al concetto del CLOUD nella PA…quindi non compratevi nuovi SERVER.

Una novità auspicata ( in attesa entro il primo semestre ) è l’attuazione dell’articolo71 del CAD sulla gestione unica delle diverse direttive ( dpcm ) sulla gestione del documento , eh si !!! a breve la LLGG sulle norme tecniche del ciclo di vita del documento informatico.

Ancora aspettiamoci un nuovo concetto ( e non l’eliminazione del protocollo ) che andrà ad attuare l’articolo 40 ter del cad

Art. 40-ter (( (Sistema pubblico di ricerca documentale).)) ((1. La Presidenza del Consiglio dei ministri promuove lo sviluppo e la sperimentazione di un sistema volto a facilitare la ricerca dei documenti soggetti a obblighi di pubblicita’ legale, trasparenza o a registrazione di protocollo ai sensi dell’articolo 53 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, e di cui all’articolo 40-bis e dei fascicoli dei procedimenti di cui all’articolo 41, nonche’ a consentirne l’accesso on-line ai soggetti che ne abbiano diritto ai sensi della disciplina vigente.))

e poi…. tutto passa in mano ai RESPONSABILI DELLA TRANSIZIONE, evviva !!!!

Io ho raccolto la sfida.

Procedura ADEMPIENTO AGID del 31/03/2019

Dopo aver letto il post che vi ripropongo , vediamo come adempiere , prendetevi cinque minuti, non di piu.

Per prima cosa puntate il browser su accessibilita.agid.gov.it

e vi troverete questa schermata

Se è la prima volta che fate l’adempimento registratevi, altrimenti cliccate su accedi al sito, o come sempre accade, recuperate la password, non mi dilungo su questi passaggi perchè davvero semplici.


Una volta entrati nell’applicativo dobbiamo cliccare sugli obiettivi da raggiungere entro il 31/12/2019

Le scelte sono diverse, prima di tutto vedete se c’è l’atto di nomina del responsabile dell’accessibilità , altrimenti nominatelo

Le opzioni da comunicare devono essere ben ponderate, è inutile scrivere cose non raggiungibili nel breve, sarebbe un falso, le opzioni del sistema sono per gli obiettivi :

  • sito web istituzionale
  • sito web tematico
  • sito intranet
  • formazione
  • postazioni di lavoro
  • organizzazione del lavoro

Da questi obiettivi derivano quindici possibili interventi, cosi raggruppati :

  • sette per i siti web
  • due per la formazione
  • uno per le postazioni di lavoro
  • cinque per l’organizzazione del lavoro

Sembra complesso ?, no se siamo soft e veritieri negli obiettivi ,

Il primo obiettivo da raggiungere potrebbe essere quello dell’allegato A del DM Luglio 2005 / 2013

ed uno strumento per valutarne la necessità è il validatore.it

Altra cosa importantissima è abbinare la formazione al personale che deve utilizzare il sito , in modo da avere questo quadro finale :

occorre terminare con l’inserimento del link della pubblicazione dell’analisi , salvare ed inviare la pratica ed attendere la conferma , anche della validazione del link, da parte di no-reply@agid.gov.it.

L’evidenza della operazione deve essere riportata in amministrazione trasparente/altri contenuti/Accessibilità e Catalogo di dati, metadati e banche dati/obiettivi di accessibilità.

ovviamente tutta l’operazione è delegabile al vostro RTD.

BREVE FORMAT DI NOMINA RESPOSANBILE ACCESSIBILTA’

Accessibilità (web) , controlli ed adempimenti

L’articolo 9 comma 7 del DL 179/12 impone i controlli e la verifica dell’accessibilità sui siti web delle PPAA.

La scadenza è per il 31 Marzo.

Sarà l’ultimo anno che l’accessibilità verra valutata sulla legge 4/2004 pura.

Dal prossimo anno la validazione obbligatoriamente dovrà tener conto delle modifiche apportate dal D.lgs 108/16.

Vi riporto i post vecchi per gli approfondimenti .Ovviamente resto a disposizione anche per l’operatività dell’adempimento.

La trasformazione digitale nelle P.A.



Martedì 12 Marzo 2019 ore 14,00
Presso l’ I.I.S. Vittorio Emanuele II di via Barbagallo, 32 – Napoli
 


L’incontro organizzato da Horizon in collaborazione con il Dott. Vincenzo De Prisco,  responsabile della transizione digitale, membro del forum sull’e-procurement istituito dall’ AGID, vuole approfondire l’evoluzione della normativa vigente nelle P.A. affrontando alcuni temi importanti:

  • DPORPDRTRTD: figure, funzioni o persone
  • Trasparenza o riservatezza ? 
  • Informative e liberatorie, consenso o dissenso? Social o asocial?
  • Il nuovo modo di scrivere gli atti: il CAD

 ed inoltre:

  • Uniformità e riconoscibilità dei siti web istituzionali
  • Migrazione dal dominio “.gov.it ” a “.edu.it ” (regolamento e tempi)
  • Le soluzioni Horizon
L’invito è rivolto principalmente ai:
Dirigenti Scolastici – D.s.g.a. – Animatori Digitali – Team Digitale
– Funzioni Strumentali. 
Copyright © 2018 – Horizon srls, All rights reserved.
www.progettohorizon.com

E-mail:
info@progettohorizon.comTel.081-18337079

compila il modulo di partecipazione

Novità ( vere o presunte ) sul CAD

Per prima cosa vi ricordo che il CAD ormai non si presenta più come un obbligo per le PA ma sempre maggiormente come un diritto per i cittadini, e questo potrebbe ( e già sta accadendo) inficiare molte procedure, anche di notificazioni delle amministrazioni pubbliche.

Iniziamo con il (ri)parlare della trasmissione dei documenti, ribadendo che le PA possono trasmettere i documenti attraverso :

  • PEO
  • PEC
  • INTEROPERABILITA’ / COOPERAZIONE APPLICATIVA

La PEO ( posta elettronica ordinaria ) non è disciplinata dal CAD per un semplice motivo, era preesistente al d.lgs 82/05 , tuttavia occorre ricordare che ha valore giuridico se è possibile accertarne la provenienza ( magari attraverso la protocollazione .

La PEC ( posta elettronica certificata ) è disciplinata sia dal CAD che dal DPR 68/2005 ed ha il vantaggio di garantire e certificare l’invio e la consegna del documento, quindi si parla di presunzione di conoscenza e non di presunzione di conoscibilità.

I servizi di INTEROPERABILITA’ /COOPERAZIONE APPLICATIVA consistono invece in una vera e propria condivisione dei servizi sulle porte di dominio dei server dell’ente

I DOMICILI DIGITALI.

Il 2019 sará l’anno di svolta per i servizi del domicilio digitale, infatti partirà anche il domicilio digitale del cittadino, e guai a non utilizzarlo qualora il cittadino lo abbia comunicato .

il domicilio digitale lo troviamo nella fonte delle definizioni all’articolo 1 comma 1 del CAD, in particolare alla lettera n-ter che riporto

((n-ter) domicilio digitale: un indirizzo elettronico eletto presso un servizio di posta elettronica certificata o un servizio elettronico di recapito certificato qualificato, come definito dal regolamento (UE) 23 luglio 2014 n. 910 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE, di seguito “Regolamento eIDAS”,valido ai fini delle comunicazioni elettroniche aventi valore legale;))

Invece all’articolo 3 bis comma 1 troviamo l’obbligo per le professioni regolamentate , per le imprese e per e per le PA di iscriversi in pubblici registri ove denunciare il proprio domicilio digitale, nello specifico i registri per le imprese ed i professionisti tenuti da INFOCAMERE ( www.inipec.gov.it ) e per le PA gestite in indicepa.gov.it

Tuttavia, come già scritto, la vera novità sarà rappresentata dall’elenco dei domicili digitale per i cittadini ed i professionisti non ordinati , per le associazioni e per tutti i soggetti ( songoli ed associati) che non rientrano nell’elencazione degli articoli 6 bis e 6 ter del D.lgs 82/05.

Infatti recita l’articolo 6 quater

(( (Indice nazionale dei domicili digitali delle persone fisiche e degli altri enti di diritto privato, non tenuti all’iscrizione in albi professionali o nel registro delle imprese). )) ((1. E’ istituito il pubblico elenco dei domicili digitali delle persone fisiche e degli altri enti di diritto privato non tenuti all’iscrizione in albi professionali o nel registro delle imprese, nel quale sono indicati i domicili eletti ai sensi dell’articolo 3-bis, comma 1-bis. La realizzazione e la gestione dell’Indice sono affidate all’AgID, che vi provvede avvalendosi delle strutture informatiche delle Camere di commercio gia’ deputate alla gestione dell’elenco di cui all’articolo 6-bis. 2. Per i professionisti iscritti in albi ed elenchi il domicilio digitale e’ l’indirizzo inserito nell’elenco di cui all’articolo 6-bis, fermo restando il diritto di eleggerne uno diverso ai sensi dell’articolo 3-bis, comma 1-bis. Ai fini dell’inserimento dei domicili dei professionisti nel predetto elenco il Ministero dello sviluppo economico rende disponibili all’AgID, tramite servizi informatici individuati nelle Linee guida, i relativi indirizzi gia’ contenuti nell’elenco di cui all’articolo 6-bis. 3. Al completamento dell’ANPR di cui all’articolo 62, AgID provvede al trasferimento dei domicili digitali contenuti nell’elenco di cui al presente articolo nell’ANPR.))

E’ importante notare l’automatismo per i professionisti, infatti il secondo comma dell’articolo 6 quater chiarisce che i professionisti ( avvocati, ingegneri, commercialisti, medici etc) avranno la c.d. ereditarietà del domicilio digitale, è però fatta salva la possibilità di usarne uno diverso da quello professionale ( avere quindi un domicilio per l’articolo 6 bis ed uno per il 6 quater).

L’articolo 47 disciplina invece molto bene , e facendo intendere che la peo resta lo strumento principale di comunicazione, le comunicazioni tra le PA.

Art. 47 Trasmissione dei documenti tra le pubbliche amministrazioni 1. Le comunicazioni di documenti tra le pubbliche amministrazioni avvengono mediante l’utilizzo della posta elettronica o in cooperazione applicativa; esse sono valide ai fini del procedimento amministrativo una volta che ne sia verificata la provenienza. Il documento puo’ essere, altresi’, reso disponibile previa comunicazione delle modalita’ di accesso telematico allo stesso. 1-bis. L’inosservanza della disposizione di cui al comma 1, ferma restando l’eventuale responsabilita’ per danno erariale, comporta responsabilita’ dirigenziale e responsabilita’ disciplinare. 2. Ai fini della verifica della provenienza le comunicazioni sono valide se: a) sono sottoscritte con firma digitale o altro tipo di firma elettronica qualificata; b) ovvero sono dotate di segnatura di protocollo di cui all’articolo 55 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445; c) ovvero e’ comunque possibile accertarne altrimenti la provenienza, secondo quanto previsto dalla normativa vigente o dalle ((Linee guida)). E’ in ogni caso esclusa la trasmissione di documenti a mezzo fax; d) ovvero trasmesse attraverso sistemi di posta elettronica certificata di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68. 3. ((I soggetti di cui all’articolo 2, comma 2, lettere a) e b),)) provvedono ad istituire e pubblicare ((nell’Indice dei domicili digitali delle pubbliche amministrazioni e dei gestori di pubblici servizi)) almeno una casella di posta elettronica certificata per ciascun registro di protocollo. ((Le pubbliche amministrazioni)) utilizzano per le comunicazioni tra l’amministrazione ed i propri dipendenti la posta elettronica o altri strumenti informatici di comunicazione nel rispetto delle norme in materia di protezione dei dati personali e previa informativa agli interessati in merito al grado di riservatezza degli strumenti utilizzati.

Cosa comporta questo nuovo assetto giuridico ( ed organizzativo ) ?

Semplice, l’obbligo di avvicinarsi al CAD per evitare che i provvedimenti amministrativi siano carenti di efficacia.

Sembrano cose campate in aria ? direi di no, infatti vi riporto la risposta ( come sempre normata ) sulle procedure di tutti i giorni, l’articolo 6 c1 quater del D.lgs 82/05.

I soggetti di cui all’articolo 2, comma 2, notificano direttamente presso i domicili digitali di cui all’articolo 3-bis i propri atti, compresi i verbali relativi alle sanzioni amministrative, gli atti impositivi di accertamento e di riscossione e le ingiunzioni di cui all’articolo 2 del regio decreto 14 aprile 1910, n. 639, fatte salve le specifiche disposizioni in ambito tributario. La conformita’ della copia informatica del documento notificato all’originale e’ attestata dal responsabile del procedimento in conformita’ a quanto disposto agli articoli 22 e 23-bis.))

Per chiarezza e semplicità di lettura riporto gli articolo 22 e 23 bis del CAD ed aggiungo il link al DPCM 13/11/14

Art. 22 (Copie informatiche di documenti analogici).

1. I documenti informatici contenenti copia di atti pubblici, scritture private e documenti in genere, compresi gli atti e documenti amministrativi di ogni tipo formati in origine su supporto analogico, spediti o rilasciati dai depositari pubblici autorizzati e dai pubblici ufficiali, hanno piena efficacia, ai sensi degli articoli 2714 e 2715 del codice civile, ((se sono formati ai sensi dell’articolo 20, comma 1-bis, primo periodo.)). La loro esibizione e produzione sostituisce quella dell’originale. ((1-bis. La copia per immagine su supporto informatico di un documento analogico e’ prodotta mediante processi e strumenti che assicurano che il documento informatico abbia contenuto e forma identici a quelli del documento analogico da cui e’ tratto, previo raffronto dei documenti o attraverso certificazione di processo nei casi in cui siano adottate tecniche in grado di garantire la corrispondenza della forma e del contenuto dell’originale e della copia.)) 2. Le copie per immagine su supporto informatico di documenti originali formati in origine su supporto analogico hanno la stessa efficacia probatoria degli originali da cui sono estratte, se la loro conformita’ e’ attestata da un notaio o da altro pubblico ufficiale a cio’ autorizzato, ((…)) secondo le ((Linee guida)). 3. Le copie per immagine su supporto informatico di documenti originali formati in origine su supporto analogico nel rispetto delle ((Linee guida)) hanno la stessa efficacia probatoria degli originali da cui sono tratte se la loro conformita’ all’originale non e’ espressamente disconosciuta. 4. Le copie formate ai sensi dei commi 1, ((1-bis,)) 2 e 3 sostituiscono ad ogni effetto di legge gli originali formati in origine su supporto analogico, e sono idonee ad assolvere gli obblighi di conservazione previsti dalla legge, salvo quanto stabilito dal comma 5. 5. Con decreto del Presidente del Consiglio dei Ministri possono essere individuate particolari tipologie di documenti analogici originali unici per le quali, in ragione di esigenze di natura pubblicistica, permane l’obbligo della conservazione dell’originale analogico oppure, in caso di conservazione sostitutiva, la loro conformita’ all’originale deve essere autenticata da un notaio o da altro pubblico ufficiale a cio’ autorizzato con dichiarazione da questi firmata digitalmente ed allegata al documento informatico. 6. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179.

Art. 23-bis (Duplicati e copie informatiche di documenti informatici). 1. I duplicati informatici hanno il medesimo valore giuridico, ad ogni effetto di legge, del documento informatico da cui sono tratti, se prodotti in conformita’ alle ((Linee guida)). 2. Le copie e gli estratti informatici del documento informatico, se prodotti in conformita’ alle vigenti ((Linee guida)), hanno la stessa efficacia probatoria dell’originale da cui sono tratte se la loro conformita’ all’originale, in tutti le sue componenti, e’ attestata da un pubblico ufficiale a cio’ autorizzato o se la conformita’ non e’ espressamente disconosciuta. Resta fermo, ove previsto, l’obbligo di conservazione dell’originale informatico.

link al DPCM 13/11/14

Detto questo è evidente che occorre cambiare il nostro modo di lavorare e le software house devono interfacciarsi con le anagrafiche degli elenchi detenuti da INFOCAMERE ai sensi dell’articolo 6 bis.

Ancora più complessa è la situazione nel caso in cui ci sia un’elezione a domicilio speciale dell’articolo 47 del cod.civ., il nostro gestionale amministrativo dovrà contenere una serie di casistiche per delle comunicazioni spot , relative al singolo atto od affare.

Buon lavoro, ovviamente sapete che C@ronte vi accompagnerà .

Consiglio anche di leggere :

DISCORSI ATTORNO AL CODICE DELL’AMMINISTRAZIONE DIGITALE, L’INUTILITA DI FIRMARE CON STAMPIGLIATURA D.LGS 39/93

Whistleblowing, ci siamo.

Finalmente una risposta certa sul combinato art 54 comma 5 D.lgs 165/01 come modificato dall’articolo 1 comma 51 della L. 190/12.

Abbiamo un soluzione data dall’ANAC per la segnalazione degli illeciti e la tutela del dipendente segnalante.

Siete interessati alla soluzione ? Contattatemi.

Da divulgare ai RPC.

Riporto la notizia ANAC

Disponibile in open source il software per la gestione delle segnalazioni di illeciti

L’Autorità comunica che a partire dal 15 gennaio 2019 sarà disponibile per il riuso l’applicazione informatica “Whistleblower” per l’acquisizione e la gestione – nel rispetto delle garanzie di riservatezza previste dalla normativa vigente – delle segnalazioni di illeciti da parte dei pubblici dipendenti, così come raccomandato dal disposto dell’art. 54 bis, comma 5, del d.lgs. n. 165/2001 e previsto dalle Linee Guida di cui alla Determinazione n. 6 del 2015.

La piattaforma consente la compilazione, l’invio e la ricezione delle segnalazioni di presunti fatti illeciti nonché la possibilità per l’ufficio del Responsabile della prevenzione corruzione e della trasparenza (RPCT), che riceve tali segnalazioni, di comunicare in forma riservata con il segnalante senza conoscerne l’identità. Quest’ultima, infatti, viene segregata dal sistema informatico ed il segnalante, grazie all’utilizzo di un codice identificativo univoco generato dal predetto sistema, potrà “dialogare” con il RPCT in maniera spersonalizzata tramite la piattaforma informatica. Ove ne ricorra la necessità il RPCT può chiedere l’accesso all’identità del segnalante, previa autorizzazione di una terza persona (il cd. “custode dell’identità”).

L’applicativo e la documentazione di installazione sono disponibili sul repository Github dell’ANAC, all’indirizzo https://github.com/anticorruzione/openwhistleblowing. La distribuzione del software è regolata dalla Licenza Pubblica dell’Unione Europea (EUPL v. 1.2 https://eupl.eu/1.2/it/), che ne consente il libero uso a qualunque soggetto interessato senza ulteriore autorizzazione da parte di ANAC.

Il sistema viene fornito completo di un modello di segnalazione predisposto da ANAC che può essere completamente personalizzato dall’utilizzatore.

Per la documentazione, i rapporti periodici, la normativa ed altre informazioni sul whistleblowing vai alla sezione dedicata.

Alcune puntualizzazioni sugli adempimenti

Sono partite le PEC per i controlli intermedi agli Enti Locali.

La pec contiene una missiva scritta “malissimo” che riporto corretta nel post ed un’analisi specifica per ogni destinatario.

Da questo momento si considera finito l’assessment ed inizia il management.

Nei prossimi post riceverete un modello di regolamento GDPR ( una sorta di vademecum , no obbligatorio) e poi un calendario con le attività di controllo, di management e di aggiornamento.

Si ricorda che in forza al protocollo d’intesa tra Agid e Corte dei Conti sarà prioritario il processo di digitalizzazione.

LL.GG. AGID Sicurezza Cibernetica. Il danno erariale. La circolare 2/2017 AGID.

Per il 2018 non occorre compilare ( più o meno ) l’allegato alla circolare 2 di Agid 2/2017.
Bisogna attendere le LL.GG. AGID sulla sicurezza , ed in funzione di queste rivedere le mms . Il documento sarà  pronte entro i primi 15 giorni di Gennaio 2019 . Come sempre il dcontenuto mira a modelli organizzativi e non solo all’acquisto di appartai ( firewall, nas, server e ferro vario ), e chiunque ancor prima di queste LL.GG. abbia fatto acquisti non proporzionati ( obbligazioni di mezzi e non di risultato come tante volte detto nel GDPR e non solo ) è a rischio danno erariale.

Le LL.GG , ripeto , sono la normale evoluzione del DPCM 01.08.15 e circolare 2/2017 AGID.

L’architettura sarà basata su tre top level, e 10 principi ( semplici ed immediati ).
L’analisi delle risultantze dell’applicazione delle LL.GG. , l’analisi dei rischi che dovrebbe essere in ogni modello GDPR ( grandi assenti ) ed il confronto con la circolare 2/2017 AGID costituirà  la base di partenza per poi fare gli investimenti ( sentiti il RTD ex articolo 17 82/05 e DPO 37 reg 2016/679).

I TRE LIVELLI .

I PRINCIPI : Politiche culturali e problemi da affrontare

II MISURE DI SICUREZZA : Cosa fare nel dettaglio per esplicare i principi enunciati nel primo livello.

III REGOLE TECNICHE : Praticamente cosa fare nel dettaglio .

Praticamente, come ci insegna l’arte e la tecnica della compliance, abbiamo le prime tre W della regola delle 5 W (WHO , WHEN, WHAT , WHY , WHERE – CHI,QUANDO,COSA,PERCHÈ, DOVE ), infatti i tre livelli rispondono alle domande PERCHE ? – COSA ? – COME ?.

Un esempio dei tre principi  potrebbe essere:

I MISURA : I dati della PA devono essere riservati ed utilizzati per fini istituzionali ( euristica )

II MISURA : di conseguenza tutti gli utenti devono essere univocamente identificti da user e password

III MISURA : le password devono essere composte da almeno 8 caratteri alfanumerici, un carattere maiuscolo ed uno speciale .

È chiaro che l’euristica, la politica data non varia, la seconda e la terza misura  potrebbero  variare ,a partire dal terzo ( analisi del contesto ) ,non otto ma magari 10 caratteri , oppure non potrebbe bastare la combinazione user e password ma anche un terzo fattore, magari biometrico.

I DIECI COMANDAMENTI – o PRINCIPI.

Principio di inventario

Per proteggere bisogna conoscere se stessi, principio fortemente analizzato in circolare 2/2017 , ABSC ID 1 e ABSC ID 2. Per proteggere gli asset devo conoscere ed avere un elenco degli asset da preservare.

Principio di attribuzione

E’ un elemento base della segregazione funzionale propria dei MOG, risponde alla domanda “conosci chi fa cosa e cosa fa cosa, ha fatto o farà ?”.

Quando si parla di trattare bene i dati è inutili spostare l’attenzione solo ed esclusivamente sulla copia e sui virus ( dimenticando sempre i dati analogici ) ma occorre sapere all’interno dell’organizzazione come viene attuato il paradigma CRUD ( CREATE. READ,UDPATE, DELETE).

Principio della pervasività

La sicurezza deve essere pervasiva, trasparente agli utilizzatori , quindi come un abito su misura ( è evidente il richiamo all’articolo 25 del GDPR).

Attenzione, per essere pervasivo uno strumento non può essere calato dall’alto ( procedure ISO ) ma disegnate dal basso con la maieutica ( proedure D.Lgs 231/01 ad esempio ).

Principio della ridondanza

Se hai valore per me, devo copiarti ed avere un sostituto valido. da un punto di vista fisico devo avere ridondanze strutturate ( RAID 5  ,server in cluster, locale o geografico, e più in generale assenza di Single Point of Failure ) .

Dal punto di vista organizzativo non devono esserci centri unici di potere all’interno di ufficio , non posso lancaiare testate nucleari da solo e non posso distruggere documenti nello stesso modo, mentre dal lato logico dovrei permettere come regola del principio della pervasività la possibilità di accedere ale informazioni con più metodologie ( web, cell, sportello etc ).

Chi tratta l’argomento da tempo non può non notar ele analogie del TIER delle LL.GG. sul DISASTER RECOVERY dell’articolo 50 bis del vecchio CAD ( 235/10).

Principio del minimo
Citazione popolare ” Tre so’ ‘e putiente: ‘o Papa, ‘o Rre e chi nun tene niente” traduzione ” i potenti sono il Papa , il Re  e chi non ha niente “.

Il Papa ed il Re hanno grossi patrimoni e le risorse per il loro presidio, chi non ha niente  non ha nulla da perdere e quel poco che ha può essere presidiato in economia.

tecnologicamente si traduce nel ridurre la superficie di attacco elimianndo tanti servizi inutili che si interfacciano sul web, organizzativamente invece si attua con le review delle utenze attivate ( ci ricolleghiamo al paradigma CRUD del primo comandamento ).

Principio del miglioramento continuo
Non restiamo mai indietro, formiamo continuamente il nostro personale sugli aspetti tecnologici e normativi.

Principio dell’Automatizzazione

L’uomo può sbagliare nei lavori ripetitivi, la mente dell’uomo deve programmare gli eventi e creare e controllare le procedure. Trattare bene i dati prevede alcuni automatismi , con i limiti ovviamente di natura etica e normati ( art 22 GDPR)

Principio della temporalità

Massima priorità agli aggiornamenti tecnologici ed alla PATCH ( ampliamente tratato nelle mms AGID ) , essenziale l’abbonamento al CERT-PA.

Principio della diversità

Chi è appassionato di automobili ? io no ma faccio un esempio .

Avete un antifurto con immobilizer sull’auto ? Avete anche il block shaft ? Si ? perche non non avete montato due antifurti di tipo immobilizer ?.

Proeggere significa differenziare i presidi di sicurezza, Un esempio da non seguire ? DUE o PIU’ FIREWALL identici. BUCATO uno, bucati gli altri.

A ben vedere è una regola biologica evolutiva .

Principio della separazione
Deve sempre vigere il principio della separation of duties , esempi sono quelli costituzionali ( separazione del potere legislativo , esecutivo e giudicante ).

Il modello di riferimento potrebbe nuovamente essere quello dei MOG ex d.lgs 231/01. In alcuni aspetti è l’atra faccia del principio della ridondanza.

Tecnologicamente si attua con avere ambienti fisici e virtuali, reti separate e soluzioni confinate in ambienti diversi. Per assurdo se virtualizzo un server fisico facendolo girare sullo stesso con un black out perdo tutto.

I dieci principi sono facilmente  individuabili in alcuni ID dell’ABSC Agid 2/2017, ad esempio nel paragrafo

ABSC 2.1.1 Stilare un elenco di software autorizzati e relative versioni necessari per ciascun tipo di sistema, compresi server, workstation e laptop di vari tipi e per diversi usi. Non consentire l’installazione di software non compreso nell’elenco.

Trovo i principi  di Inventario ,di Attribuzione , della Separazione, del Minimo .

Continuiamo la nostral DIGITAL COMMEDIA ricordando come sempre che la Conserva di POMODORO ci insegna le giuste procedure per trattare bene i dati.

Le comunicazioni elettroniche dell’ARTICOLO 40 DEL D.LGS 50/16

In attesa di intervento chiarificatore dell’ANAC, ulteriore a successivo a quello del 30/10/2018, continuiamo dopo il post già pubblicato ad approfondire le procedure .

Art. 40 (Obbligo di uso dei mezzi di comunicazione elettronici nello svolgimento di procedure di aggiudicazione) 1. Le comunicazioni e gli scambi di informazioni nell’ambito delle procedure di cui al presente codice svolte da centrali di committenza sono eseguiti utilizzando mezzi di comunicazione elettronici ai sensi dell’articolo 5-bis del decreto legislativo 7 marzo 2005, n. 82, Codice dell’amministrazione digitale. 2. A decorrere dal 18 ottobre 2018, le comunicazioni e gli scambi di informazioni nell’ambito delle procedure di cui al presente codice svolte dalle stazioni appaltanti sono eseguiti utilizzando mezzi di comunicazione elettronici.

leggendo il 40 è chiaro il rimando  ad altre due norme, il 52 degli appalti e soprattutto il 5 bis del CAD.

Art. 52 (Regole applicabili alle comunicazioni) 1. Nei settori ordinari e nei settori speciali, tutte le comunicazioni e gli scambi di informazioni di cui al presente codice sono eseguiti utilizzando mezzi di comunicazione elettronici in conformita’ con quanto disposto dal presente comma e dai commi da 2 a 9, nonche’ dal Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82. Gli strumenti e i dispositivi da utilizzare per comunicare per via elettronica, nonche’ le relative caratteristiche tecniche, hanno carattere non discriminatorio, sono comunemente disponibili e compatibili con i prodotti TIC generalmente in uso e non limitano l’accesso degli operatori economici alla procedura di aggiudicazione. In deroga al primo e secondo periodo, le stazioni appaltanti non sono obbligate a richiedere mezzi di comunicazione elettronici nella procedura di presentazione dell’offerta esclusivamente nelle seguenti ipotesi: a) a causa della natura specialistica dell’appalto, l’uso di mezzi di comunicazione elettronici richiederebbe specifici strumenti, dispositivi o formati di file che non sono in genere disponibili o non sono gestiti dai programmi comunemente disponibili; b) i programmi in grado di gestire i formati di file, adatti a descrivere l’offerta, utilizzano formati che non possono essere gestiti mediante altri programmi aperti o generalmente disponibili ovvero sono protetti da licenza di proprieta’ esclusiva e non possono essere messi a disposizione per essere scaricati o per farne un uso remoto da parte della stazione appaltante; c) l’utilizzo di mezzi di comunicazione elettronici richiede attrezzature specializzate per ufficio non comunemente disponibili alle stazioni appaltanti; d) i documenti di gara richiedono la presentazione di un modello fisico o in scala ridotta che non puo’ essere trasmesso per mezzo di strumenti elettronici; e) l’uso di mezzi di comunicazione diversi dai mezzi elettronici e’ necessario a causa di una violazione della sicurezza dei mezzi di comunicazione elettronici ovvero per la protezione di informazioni di natura particolarmente sensibile che richiedono un livello talmente elevato di protezione da non poter essere adeguatamente garantito mediante l’uso degli strumenti e dispositivi elettronici che sono generalmente a disposizione degli operatori economici o che possono essere messi loro a disposizione mediante modalita’ alternative di accesso ai sensi del comma 6. 2. Nei casi in cui non sono utilizzati mezzi di comunicazione elettronici ai sensi del terzo periodo del comma 1, la comunicazione avviene per posta o altro idoneo supporto ovvero mediante una loro combinazione. 3. Le stazioni appaltanti indicano nella relazione unica i motivi per cui l’uso di mezzi di comunicazione diversi dai mezzi elettronici e’ stato ritenuto necessario in applicazione del comma 1, terzo periodo. 4. In deroga ai commi da 1 a 3, la comunicazione orale puo’ essere utilizzata in relazione a comunicazioni diverse da quelle relative agli elementi essenziali della procedura di appalto, purche’ il contenuto della comunicazione orale sia sufficientemente documentato. A tal fine, gli elementi essenziali della procedura di appalto includono i documenti di gara, le richieste di partecipazione, le conferme di interesse e le offerte. In particolare, le comunicazioni orali con offerenti che potrebbero incidere significativamente sul contenuto e la valutazione delle offerte sono documentate in misura sufficiente e con mezzi adeguati. 5. In tutte le comunicazioni, gli scambi e l’archiviazione di informazioni, le stazioni appaltanti garantiscono che l’integrita’ dei dati e la riservatezza delle offerte e delle domande di partecipazione siano mantenute. ((Esse esaminano)) il contenuto delle offerte e delle domande di partecipazione soltanto dopo la scadenza del termine stabilito per la loro presentazione. 6. Le stazioni appaltanti possono, se necessario, richiedere l’uso di strumenti e dispositivi che in genere non sono disponibili, ma, in tale caso, offrono modalita’ alternative di accesso. Sono adeguate modalita’ alternative di accesso quelle che: a)  offrono gratuitamente un accesso completo, illimitato e diretto per via elettronica a tali strumenti e dispositivi a decorrere dalla data di pubblicazione dell’avviso, conformemente all’allegato V o dalla data di invio dell’invito a confermare interesse. Il testo dell’avviso o dell’invito a confermare interesse indica l’indirizzo Internet presso il quale tali strumenti e dispositivi sono accessibili; b)  assicurano che gli offerenti, che non hanno accesso agli strumenti e ai dispositivi in questione o non hanno la possibilita’ di ottenerli entro i termini pertinenti, a condizione che la responsabilita’ del mancato accesso non sia attribuibile all’offerente interessato, possano accedere alla procedura di appalto utilizzando credenziali temporanee elettroniche per un’autenticazione provvisoria fornite gratuitamente online; c) offrono un canale alternativo per la presentazione elettronica delle offerte. 7. Le amministrazioni aggiudicatrici e gli enti aggiudicatori possono imporre agli operatori economici condizioni intese a proteggere il carattere di riservatezza delle informazioni che i predetti soggetti rendono disponibili durante tutta la procedura di appalto. 8. Oltre ai requisiti di cui all’allegato XI, agli strumenti e ai dispositivi di trasmissione e di ricezione elettronica delle offerte e di ricezione elettronica delle domande di partecipazione si applicano le seguenti regole: a) le stazioni appaltanti mettono a disposizione dei soggetti interessati le informazioni sulle specifiche per la presentazione di offerte e domande di partecipazione per via elettronica, compresa la cifratura e la datazione; b)  le stazioni appaltanti specificano il livello di sicurezza richiesto per i mezzi di comunicazione elettronici da utilizzare per le varie fasi della procedura d’aggiudicazione degli appalti. Il livello e’ proporzionato ai rischi connessi; c) qualora ritengano che il livello dei rischi, valutato ai sensi della lettera b), sia tale che sono necessarie firme elettroniche avanzate, come definite nel Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, le stazioni appaltanti accettano le firme elettroniche avanzate basate su un certificato qualificato, considerando se tali certificati siano forniti da un prestatore di servizi di certificazione presente in un elenco di fiducia di cui alla decisione della Commissione 2009/767/CE, create con o senza dispositivo per la creazione di una firma sicura alle seguenti condizioni: 1) le stazioni appaltanti stabiliscono il formato della firma elettronica avanzata sulla base dei formati stabiliti nelle regole tecniche adottate in attuazione del Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, e attuano le misure necessarie per poterli elaborare; qualora sia utilizzato un diverso formato di firma elettronica, la firma elettronica o il supporto del documento elettronico contiene informazioni sulle possibilita’ di convalida esistenti. Le possibilita’ di convalida consentono alla stazione appaltante di convalidare on line, gratuitamente e in modo comprensibile per i non madrelingua, le firme elettroniche ricevute come firme elettroniche avanzate basate su un certificato qualificato. Le stazioni appaltanti, tramite il coordinamento della Cabina di regia, comunicano le informazioni relative al fornitore di servizi di convalida alla Commissione europea che le pubblica su internet; 2) in caso di offerte firmate con il sostegno di un certificato qualificato in un elenco di fiducia, le stazioni appaltanti non applicano ulteriori requisiti che potrebbero ostacolare l’uso di tali firme da parte degli offerenti. 9. Riguardo ai documenti utilizzati nel contesto di una procedura di appalto che sono firmati dall’autorita’ competente o da un altro ente responsabile del rilascio, l’autorita’ o l’ente competente di rilascio puo’ stabilire il formato della firma elettronica avanzata in conformita’ ai requisiti previsti dalle regole tecniche adottate in attuazione del Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82. Essi si dotano delle misure necessarie per trattare tecnicamente tale formato includendo le informazioni necessarie ai fini del trattamento della firma nei documenti in questione. Tali documenti contengono nella firma elettronica o nel supporto del documento elettronico possibilita’ di convalida esistenti che consentono di convalidare le firme elettroniche ricevute on line, gratuitamente e in modo comprensibile per i non madre lingua. 10. Per le concessioni, fatti salvi i casi in cui l’uso dei mezzi elettronici e’ obbligatorio ai sensi del presente codice, le stazioni appaltanti possono scegliere uno o piu’ dei seguenti mezzi di comunicazione per tutte le comunicazioni e gli scambi di informazioni: a)  mezzi elettronici; b)  posta; c)  comunicazione orale, anche telefonica, per comunicazioni diverse da quelle aventi ad oggetto gli elementi essenziali di una procedura di aggiudicazione di una concessione e purche’ il contenuto della comunicazione orale sia sufficientemente documentato su un supporto durevole; d)  la consegna a mano comprovata da un avviso di ricevimento. 11. Nei casi di cui al comma 10, il mezzo di comunicazione scelto deve essere comunemente disponibile e non discriminatorio e non deve limitare l’accesso degli operatori economici alla procedura di aggiudicazione della concessione. Gli strumenti e i dispositivi da utilizzare per comunicare per via elettronica, nonche’ le relative caratteristiche tecniche, devono essere interoperabili con i prodotti della tecnologia dell’informazione e della comunicazione comunemente in uso. 12. Alle concessioni ((si applicano i commi 5 e 7)).

Vediamo ora il 5 bis del CAD che come sempre considero strumentale ad ogni procedimento.

Art. 5-bis (Comunicazioni tra imprese e amministrazioni pubbliche). 1. La presentazione di istanze, dichiarazioni, dati e lo scambio di informazioni e documenti, anche a fini statistici, tra le imprese e le amministrazioni pubbliche avviene esclusivamente utilizzando le tecnologie dell’informazione e della comunicazione. Con le medesime modalita’ le amministrazioni pubbliche adottano e comunicano atti e provvedimenti amministrativi nei confronti delle imprese. 2. Con decreto del Presidente del Consiglio dei Ministri, su proposta del Ministro per la pubblica amministrazione e l’innovazione, di concerto con il Ministro dello sviluppo economico e con il Ministro per la semplificazione normativa, sono adottate le modalita’ di attuazione del comma 1 da parte delle pubbliche amministrazioni centrali e fissati i relativi termini. 3. ((AgID)), anche avvalendosi degli uffici di cui all’articolo 17, provvede alla verifica dell’attuazione del comma 1 secondo le modalita’ e i termini indicati nel decreto di cui al comma 2. 4. Il Governo promuove l’intesa con regioni ed enti locali in sede di Conferenza unificata per l’adozione degli indirizzi utili alla realizzazione delle finalita’ di cui al comma 1.

Come ulteriore riferimento per capire cosa si intende per procedura telematica è importante il CdS n. 4050 del 2016 che crea una discriminante importante , non basta l’utilizzo non armonico degli strumenti del CAD ( Firma, PEC , Mt etc ), ma è necessaria una piattaforma capace di gestire le procedure ed automatizzare le proposte discrezionali ed inoltre detti dall’alto i tempi di apertura, invito, caricamento etc etc. Allego la sentenza.

E’ importante ribadire che vige ancora l’articolo 1 comma 450 della L. 296/06.

Una cosa importante da chiarire è che il 18 ottobre è entrato in vigore solo l’articolo 40 del D.lgs 50/2016 e non il 44 , per il quale siamo in attesa di ulteriori disposizioni e regole tecniche.

Per riepilogare , e soprattutto tranquilizzare ricordo che sarà tutto piû semplice quando l’ANAC finalmente farà partire la BDNOE, nel frattempo si dovranno utilizzare  le solite procedure e… come sempre nulla di nuovo , occorre solo applicare il combinato articolo 29 del D.lgs 50/16 e 37 del D.lgs 33/13 tenendo conto del CAD.

Tutti i miei clienti otterranno nella relazione finale GDPR-ACCESSIBILITA’-TRASPARENZA una relazione puntuale sullo stato degli adempimenti.

Tempo stimato…. BEFANA 2019.

Buona Digital Commedia.

COLLEGAMENTI TRA TRASPARENZA E GDPR nel PNA 2018 .Bang !!! SLAAAAAM , SIGH!!! RDP, RPCT, RDP, DPO, GDPR , PNA. IL PNA 2018.

Il PNA 2018, contiene alcuni chiarimenti in merito al DPO ,al RPCT ed alla possibile coincidenza delle due figure.

Ovviamente tale degenerazione è possibile solo qualora si volesse scegliere un DPO interno, possibile ma non performante, infatti all’ultimo capoverso della pagina 16 dell’aggiornamento 2018 al PNA sconsiglia questa scelta.

Nel PNA non poteva mancare il collegamento tra la trasparenza ed il GDPR, questo perchè purtroppo ancora non è chiara la portata della norma, si continua a pensare al GDPR come regolamento PRIVACY, e non protezione dei dati e libera circolazione degli stessi.

Quindi, l’amministrazione trasparente resta integra e non si muove dal suo posto, l’importante e seguire i dettami della legge ( attenzione del 33/13 e non del GDPR che ci delinea dei perimetri e che rimanda a leggi e regolamenti ) .

Il riferimento normativo resta l’articolo 7 comma 4 del 33/13.

ciao ciao vicnenzo de prisco

il D.l 179/12 e la notificazione della PEC, importante decisione CASSAZIONE

Art. 16-septies. DL 179/12 ( CRESCITA )Tempo delle notificazioni con modalita’ telematiche

1. La disposizione dell’articolo 147 del codice di procedura civile si applica anche alle notificazioni eseguite con modalita’ telematiche. Quando e’ eseguita dopo le ore 21, la notificazione si considera perfezionata alle ore 7 del giorno successivo.

IMPORTANTE DECISIONE CASSAZIONE 28864/2018.

Dall’ordinanza, infatti, si evince che la notifica PEC, dalla quale è poi scaturito il ricorso per Cassazione, è iniziata sicuramente dopo le ore 21.00 del giorno di scadenza e, più precisamente, alle ore 23.26: “(omissis) ricorre per cassazione nei confronti della sentenza con la quale la corte d’appello di Bologna ha dichiarato inammissibile per tardività il gravame dal medesimo interposto con l’atto di citazione notificato in modalità telematica il 30-11-2017, a ore 23’26, rispetto all’ordinanza di primo grado comunicata a mezzo Pec il 31-10-2017, nell’ambito del procedimento instaurato per il riconoscimento della protezione internazionale e umanitaria…”.

E’, quindi, per questo motivo che la notifica, in applicazione dell’articolo 147 c.p.c., non essendo l’attività notificatoria iniziata entro le ore 21.00 del 30.11.2017, deve intendersi effettuata, anche per il notificante, il 1 dicembre 2017 ed è sempre per tale motivo che la Cassazione ha ritenuto di non poter applicare la scissione tra il momento di perfezionamento della notifica per il notificante e il tempo di perfezionamento della notifica per il destinatario.

Sempre nell’ordinanza in commento, il Collegio a supporto della decisione, fa riferimento a due precedenti decisioni (Cass. Civ. n. 8886/2016, Cass. Civ. n. 21915/2017); in particolare, dalla lettura della sentenza n. 21915/2017, si evince che la questione in esame è stata in precedenza esaminata da questa Corte, che è già pervenuta alla medesima soluzione nel senso della tardività della notifica, con sentenza n. 8886 del 2016. In quella occasione, la Corte ha espresso il principio di diritto secondo il quale “L’art. 16 septies del d.l. n. 179 del 2012, conv. con modif. dalla 1. n. 221 del 2012, non prevede la scissione tra il momento di perfezionamento della notifica per il notificante ed il tempo di perfezionamento della notifica per il destinatario, espressamente disposta, invece, ad altri fini, dall’art. 16 quater dello stesso d.l. (Nella specie, la S.C. ha ritenuto quindi tardiva la notifica del ricorso per cassazione affermando che si era perfezionata, sia per il notificante che per il notificato, il giorno successivo a quello di scadenza del termine per l’impugnazione, poiché eseguita dopo le ore 21 di quest’ultimo giorno)”.

D.lgs 106/2018 e PERFORMANCE. La nuova Legge STANCA per i siti web e non solo…

La legge 4/2004, nota come STANCA, anteriore al CAD, ha fatto che l’ITALIA divenisse un punto di riferimento nell’ambito del diritto all’informazione accessibile a persone con disabilità e che i dipendenti delle PP.AA con le stesse problematiche potessero  essere agevolate nelle operazioni lavorative.

L’accessibilità non è concetto a se stante individuato solo nella legge stanca ( e poi nella modifica contenuta nel D.lgs 106/18) ma è diventata elemento caratterizzante diverse decisioni legislative.

Una figura fondamentale per l’attuazione del diritto all’accessibilità è il RTD, infatti all’articolo 17 comma 1 lett d del CAD troviamo che deve promuovere 

l’ accesso dei soggetti disabili agli strumenti informatici e promozione dell’accessibilita’ anche in attuazione di quanto previsto dalla legge 9 gennaio 2004, n. 4;

L’accessibilità, gli obiettivi della stessa norma, sono contenuti in via di principio ( costituzionale , articolo 3) nel primo articolo della L. 4/2004 che non ha subito grandi modifiche dal D.lgs 106/18.

Art. 1. (Obiettivi e finalita) 1. La Repubblica riconosce e tutela il diritto di ogni persona ad accedere a tutte le fonti di informazione e ai relativi servizi, ivi compresi quelli che si articolano attraverso gli strumenti informatici e telematici. 2. E’ tutelato e garantito, in particolare, il diritto di accesso ai servizi informatici e telematici della pubblica amministrazione e ai servizi di pubblica utilita’ da parte delle ((persone con disabilita’)), in ottemperanza al principio di uguaglianza ai sensi dell’articolo 3 della Costituzione.

Il diritto all’usabilità ed all’accessibilità non si limita al ‘ CONTENITORE SITO WEB  ISTITUZIONALE , ma in maniera pervasiva si applica anche al contenuto, infatti ci sono richiami sia nella pubblicità notiziale ( amministrazione trasaparente ) all’articolo 6 del D.lgs 33/13

Art. 6 Qualita’ delle informazioni 1. Le pubbliche amministrazioni garantiscono la qualita’ delle informazioni riportate nei siti istituzionali nel rispetto degli obblighi di pubblicazione previsti dalla legge, assicurandone l’integrita’, il costante aggiornamento, la completezza, la tempestivita’, la semplicita’ di consultazione, la comprensibilita’, l’omogeneita’, la facile accessibilita’, nonche’ la conformita’ ai documenti originali in possesso dell’amministrazione, l’indicazione della loro provenienza e la riutilizzabilita’ secondo quanto previsto dall’articolo 7. 2. L’esigenza di assicurare adeguata qualita’ delle informazioni diffuse non puo’, in ogni caso, costituire motivo per l’omessa o ritardata pubblicazione dei dati, delle informazioni e dei documenti.

che alla pubblicità legale propria dell’articolo 32 della L. 69/09, norma istitutiva della pubblicità legale on line ( ALBO PRETORIO ON LINE )

Art. 32. (Eliminazione degli sprechi relativi al mantenimento di documenti in forma cartacea) 1. A far data dal 1° gennaio 2010, gli obblighi di pubblicazione di atti e provvedimenti amministrativi aventi effetto di pubblicita’ legale si intendono assolti con la pubblicazione nei propri siti informatici da parte delle amministrazioni e degli enti pubblici obbligati. ((La pubblicazione e’ effettuata nel rispetto dei principi di eguaglianza e di non discriminazione, applicando i requisiti tecnici di accessibilita’ di cui all’articolo 11 della legge 9 gennaio 2004, n. 4. La mancata pubblicazione nei termini di cui al periodo precedente e’ altresi’ rilevante ai fini della misurazione e della valutazione della performance individuale dei dirigenti responsabili)).

E’ importante sottolineare come il legislatore  abbia voluto legare gli adempimenti sull’accessibilità con le performance del D.Lgs 150/09.

Inutile ricordare che ovviamente anche il CAD, articolo 53 c.1 ha imposto l’adeguamneto dei siti web alla l. 4/2004 ( cfr articolo 53 c.1.)

Art. 53 Siti Internet delle pubbliche amministrazioni 1. Le pubbliche amministrazioni realizzano siti istituzionali su reti telematiche che rispettano i principi di accessibilita’, nonche’ di elevata usabilita’ e reperibilita’, anche da parte delle persone disabili, completezza di informazione, chiarezza di linguaggio, affidabilita’, semplicita’ di’ consultazione, qualita’, omogeneita’ ed interoperabilita’. Sono in particolare resi facilmente reperibili e consultabili i dati di cui all’articolo 54.

Nell’attesa dell’emanazione delle linee guida dell’Agid previste dall’articolo 11 della L. 4/2004 iniziamo a prepararci lehgendo l’articolo 3 bis dell novellata Legge Stanca, evidenziando, anche se superfluo, che i destinatari degli dempimenti sono i soggetti contenuti nell’articolo 1 comma 2 del D.Lgs 165/01 ( estesi ) ma anche, qui la grossa novità, ancje le imprese di ogni dimensione che ricevono finanziamenti pubblici per l’adeguamento dei sistemi informativi .

Art. 3-bis. (( (Principi generali per l’accessibilita’). )) ((1. I siti web e le applicazioni mobili dei soggetti erogatori, sono accessibili se sono percepibili, utilizzabili, comprensibili e solidi. 2. Sono accessibili i servizi realizzati tramite sistemi informatici, inclusi i siti web e le applicazioni mobili, che presentano i seguenti requisiti: a) accessibilita’ al contenuto del servizio da parte dell’utente; b) fruibilita’ delle informazioni offerte, caratterizzata da: 1) facilita’ e semplicita’ d’uso, assicurando, fra l’altro, che le azioni da compiere per ottenere servizi e informazioni siano sempre uniformi tra loro; 2) efficienza nell’uso, assicurando, fra l’altro, la separazione tra contenuto, presentazione e modalita’ di funzionamento delle interfacce, nonche’ la possibilita’ di rendere disponibile l’informazione attraverso differenti canali sensoriali; 3) efficacia nell’uso e rispondenza alle esigenze dell’utente, assicurando, fra l’altro, che le azioni da compiere per ottenere in modo corretto servizi e informazioni siano indipendenti dal dispositivo utilizzato per l’accesso; 4) soddisfazione nell’uso, assicurando, fra l’altro, l’accesso al servizio e all’informazione senza ingiustificati disagi o vincoli per l’utente. 3. Con le linee guida adottate ai sensi dell’articolo 11, sono individuate le regole tecniche necessarie per garantire il rispetto dei principi e dei requisiti di accessibilita’ di cui ai commi 1 e 2.))

L’articolo 3 ter , invece parla di una deroga all’adempimento quando lo sforzo ( organizzativo, tecnologico, economico ) è spoporzionato secondo una parametrizzazione che verrà comunque data dall’AGID nelle LL.GG articolo 11.

Al 3 quater si riprende la rendicontazione ( da fare con la dichiarazione di accessibilità ) ed entra in gioco anche il difensore civico digitale ( che con il D.lgs 217/2017 è centrale unico ed indipendente e siede tra le file dell’AGID) .

Andando verso la chiusura ricordo che l’articolo 4 della Stanca impone che già in fase di progettazione dell’acquisto di web, software e servizi mobili occorre tener conto dei principi di accessibilità, ugual discorso per il rinnovo degli stessi servizi.

L’articolo 8 evidenzial l’importanza della formazione,



Art. 8. (Formazione) 1. Le amministrazioni di cui all’articolo 3, comma 1, nell’ambito delle attivita’ di cui al comma 4 dell’articolo 7 del decreto legislativo 30 marzo 2001, n. 165, nonche’ dei corsi di formazione organizzati dalla Scuola superiore della pubblica amministrazione, e nell’ambito delle attivita’ per l’alfabetizzazione informatica dei pubblici dipendenti di cui all’articolo 27, comma 8, lettera g), della legge 16 gennaio 2003, n. 3, inseriscono tra le materie di studio a carattere fondamentale le problematiche relative all’accessibilita’ e alle tecnologie assistive. 2. La formazione professionale di cui al comma 1 e’ effettuata con tecnologie accessibili. 3. Le amministrazioni di cui all’articolo 3, comma 1, nell’ambito delle disponibilita’ di bilancio, predispongono corsi di aggiornamento professionale sull’accessibilita’ ((, ivi inclusi quelli relativi alle modalita’ di creazione, gestione ed aggiornamento di contenuti accessibili dei siti web e delle applicazioni mobili)).

mentre l’articolo 9 ricorda della rilevanza sulla performance e della responsabilita’ amministrativa e dirigenziale degli articoli 21 e 55 del D.lgs 165/01.

Iniziamo un nuovo viaggio insieme.

E se fossimo noi i Responsabili GDPR ? Un caso concreto.

Il responsabile del trattamento ( che come è stato ulteriormente chiarito dal D.Lgs 101/18 è diverso dal responsabile “interno” del codice d.lgs 196/03, tanto che l’articolo 27 ne abroga il contenuto ) è una sorta di terzista del trattamento . Negli enti locali ( invero in tutte le strutture complesse ), diamo per scontato di essere  sempre i nominanti verso terzi di una lettera ex art 28 GDPR.

In realtà puo capitare di essere nominati , perchè per conto di altra PA trattiamo i  dati, ad esempio in forza di un accordo ex articolo 15 l. 241/90.

Un esempio ? L’ISTAT nomina il Comune di Paperopoli responsabile per taluni censimenti ( raccolta ). In questo caso il Comune di Paperopoli deve redigere un ulteriore registro delle attivita ( articolo 30 paragrafo 2 del GDPR) .

Nella lettera di nomina del titolare ( che ricordo non è il Comune di Paperopoli, ma l’ISTAT ) ci devono essere tutte le indiacazioni dell’articolo 28 e le indicazioni indispensabili per il corretto trattamento . La nomina deve essere in forma scritta ( come da articolo 20 comma 1 bis D.lgs 82/05) .

Resta inteso che gli obblighi contenuti nell’articolo 28 della L. 241/90 restano in capo al dipendnete designato incaricato dal responsabile.

Appresso l’articolo 28 del GDPR

Articolo 28

Responsabile del trattamento

1.   Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

2.   Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.

3.   I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:

a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;
b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
c) adotti tutte le misure richieste ai sensi dell’articolo 32;
d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;
e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;
f) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati; e
h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.

Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.

4.   Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.

5.   L’adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo.

6.   Fatto salvo un contratto individuale tra il titolare del trattamento e il responsabile del trattamento, il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 del presente articolo può basarsi, in tutto o in parte, su clausole contrattuali tipo di cui ai paragrafi 7 e 8 del presente articolo, anche laddove siano parte di una certificazione concessa al titolare del trattamento o al responsabile del trattamento ai sensi degli articoli 42 e 43.

7.   La Commissione può stabilire clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo e secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.

8.   Un’autorità di controllo può adottare clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo in conformità del meccanismo di coerenza di cui all’articolo 63.

9.   Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è stipulato in forma scritta, anche in formato elettronico.

10.   Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione.

Sollecito ministeriale nomina RTD

Riporto la circolare odierna per la nomia del RTD ex articolo 17 d.lgs 82/05, appresso prima del testo integrale della cricolare inserisco i link sull’argomento, giuso per il piacere di dire ” te l’avevo detto!!!!”

Qualche anticipazione per i RTD sul D.Lgs 217/17 il NUOVO CAD

Circolare n. 3 del 1 ottobre 2018

Alle Amministrazioni pubbliche di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165

LORO SEDI

Oggetto: Responsabile per la transizione digitale – art. 17 decreto legislativo 7 marzo 2005, n. 82 “Codice dell’amministrazione digitale

Nell’ambito della serie di azioni, a cui il Governo intende dare corso, per la trasformazione digitale della pubblica amministrazione, affinché sia di supporto alla crescita digitale dell’Italia, riveste particolare importanza l’individuazione della figura del responsabile per la transizione al digitale.

Con la presente circolare si richiama l’attenzione su alcuni aspetti di particolare rilevanza connessi alla predetta nomina, ferma restando l’autonomia organizzativa riconosciuta dall’ordinamento giuridico alle amministrazioni in indirizzo.

La trasformazione digitale richiede il contributo ed il coinvolgimento di ogni articolazione della macchina pubblica e a tal fine il Codice dell’Amministrazione Digitale (CAD), adottato con d.lgs. 7 marzo 2005, n. 82, modificato da ultimo con i decreti legislativi n. 179 del 2016 e n. 217 del 2017, prevede all’art. 17 che le pubbliche amministrazioni garantiscano l’attuazione delle linee strategiche per la riorganizzazione e la digitalizzazione dell’amministrazione definite dal Governo.

L’art. 17, comma 1, CAD, stabilisce che ciascuna pubblica amministrazione sia tenuta ad affidare ad un unico ufficio dirigenziale, fermo restando il numero complessivo degli uffici, la “transizione alla modalità operativa digitale e i conseguenti processi di riorganizzazione finalizzati alla realizzazione di un’amministrazione digitale e aperta, di servizi facilmente utilizzabili e di qualità, attraverso una maggiore efficienza ed economicità” nominando un Responsabile per la Transizione al Digitale (RTD). Giova precisare che già nel testo previgente si attribuiva alla struttura per l’organizzazione, l’innovazione e le tecnologie una serie di compiti di rilievo strategico. Si consideri che rientrava tra i suoi compiti (confermati peraltro nella attuale formulazione del CAD) quello di analizzare la coerenza tra l’organizzazione dell’amministrazione e l’utilizzo delle tecnologie digitali, ovvero di ridurre i tempi e i costi dell’azione amministrativa, e anche di promuovere le iniziative attinenti l’attuazione delle direttive impartite dal Presidente del Consiglio dei Ministri o dal Ministro delegato per l’innovazione e le tecnologie.

La novella di cui al d.lgs. 179/2016 istituisce la figura del RTD, ne definisce la collocazione organizzativa e dispone che, con riferimento ai compiti relativi alla transizione alla modalità digitale, risponde direttamente all’organo di vertice politico o, in sua assenza, a quello amministrativo dell’ente (art. 17, commi 1-ter e 1-sexies, CAD). La rilevanza di una tale previsione nell’ordinamento giuridico italiano denota la volontà del legislatore di ricondurre immediatamente al vertice dell’amministrazione la governance – intesa come attività di indirizzo, coordinamento e correlata responsabilità – della transizione del Paese al digitale, attraverso la realizzazione di servizi pubblici rivisitati in un’ottica che ne preveda la piena integrazione con le nuove tecnologie e non più la giustapposizione di queste ultime alle esistenti forme di organizzazione. Da ciò si evince che, nel rispetto degli assetti organizzativi dell’amministrazione di riferimento e del principio di separazione tra funzioni del vertice politico e del vertice amministrativo, il legislatore attribuisce ai compiti demandati al RTD una valenza strategica tale da imprimere ai relativi obiettivi una derivazione diretta da parte del vertice politico che trova immediata espressione nella direttiva generale per l’attività amministrativa, successivamente da declinarsi nella programmazione strategica e operativa delineata nel piano della performance.

Ciò posto, dalla data di entrata in vigore di tale obbligo (14 settembre 2016) ad oggi, risulta che soltanto un numero limitato di amministrazioni ha provveduto ad individuare tale figura, essenziale per la digitalizzazione coordinata del Paese.

Con la presente Circolare, nella convinzione della centralità del ruolo del RTD ai fini della trasformazione digitale dell’amministrazione e del pieno adempimento delle norme in materia di innovazione della pubblica amministrazione, si richiamano le amministrazioni a provvedere, con ogni opportuna urgenza, alla individuazione del RTD preposto all’ufficio per la transizione al digitale e alla relativa registrazione sull’Indice delle pubbliche amministrazioni (IPA – www.indicepa.gov.it).

L’urgenza di provvedere a tale adempimento da parte di tutti i soggetti tenuti all’applicazione del CAD (così come individuati all’art. 2, comma 2, D. Lgs. n. 82/2005), emerge chiaramente dall’elenco esemplificativo e non esaustivo, contenuto nell’art. 17 citato, dei compiti attribuiti al suddetto Ufficio:

  1. coordinamento strategico dello sviluppo dei sistemi informativi di telecomunicazione e fonia;
  2. indirizzo e coordinamento dello sviluppo dei servizi, sia interni sia esterni, forniti dai sistemi informativi di telecomunicazione e fonia dell’amministrazione;
  3. indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica relativamente ai dati, ai sistemi e alle infrastrutture anche in relazione al sistema pubblico di connettività;
  4. accesso dei soggetti disabili agli strumenti informatici e promozione dell’accessibilità;
  5. analisi periodica della coerenza tra l’organizzazione dell’amministrazione e l’utilizzo delle tecnologie dell’informazione e della comunicazione, al fine di migliorare la soddisfazione dell’utenza e la qualità dei servizi nonché di ridurre i tempi e i costi dell’azione amministrativa;
  6. cooperazione alla revisione della riorganizzazione dell’amministrazione;
  7. indirizzo, coordinamento e monitoraggio della pianificazione prevista per lo sviluppo e la gestione dei sistemi informativi di telecomunicazione e fonia;
  8. progettazione e coordinamento delle iniziative rilevanti ai fini di una più efficace erogazione di servizi in rete a cittadini e imprese mediante gli strumenti della cooperazione applicativa tra pubbliche amministrazioni, inclusa la predisposizione e l’attuazione di accordi di servizio tra amministrazioni per la realizzazione e compartecipazione dei sistemi informativi cooperativi;
  9. promozione delle iniziative attinenti l’attuazione delle direttive impartite dal Presidente del Consiglio dei Ministri o dal Ministro delegato per l’innovazione e le tecnologie;
  10. pianificazione e coordinamento del processo di diffusione, all’interno dell’amministrazione, dei sistemi di identità e domicilio digitale, posta elettronica, protocollo informatico, firma digitale o firma elettronica qualificata e mandato informatico, e delle norme in materia di accessibilità e fruibilità nonché del processo di integrazione e interoperabilità tra i sistemi e servizi dell’amministrazione;

j-bis)     pianificazione e coordinamento degli acquisti di soluzioni e sistemi informatici, telematici e di telecomunicazione, al fine di garantirne la compatibilità con gli obiettivi di attuazione dell’agenda digitale e, in particolare, con quelli stabiliti nel piano triennale.

Al fine di assicurare piena attuazione al disposto normativo le Amministrazioni devono individuare, con atto organizzativo interno e nell’ambito della dotazione organica complessiva delle posizioni di funzione dirigenziale, l’ufficio dirigenziale, di livello generale ove previsto nel relativo ordinamento, cui attribuire i compiti per la transizione digitale declinati dal comma 1 dell’art. 17 CAD.

Il responsabile di tale ufficio deve formalmente assumere le funzioni di Responsabile per la transizione al digitale, essere dotato di “adeguate competenze tecnologiche, di informatica giuridica e manageriali”.

Ove sia già in corso l’incarico dirigenziale di titolare dell’ufficio per la transizione digitale, ferma restando la naturale scadenza dell’incarico in essere, l’affidamento delle funzioni aggiuntive previste dalla legge al dirigente responsabile di tale Ufficio avviene mediante atto interno di nomina che configura la fattispecie dell’incarico aggiuntivo ad opera dell’organo già competente al conferimento dell’incarico dirigenziale, nel rispetto del regime di onnicomprensività.

Nel caso in cui l’ufficio per la transizione digitale risulti vacante e, in via generale, per i successivi atti di nomina del responsabile dell’ufficio, la nomina di RTD è contestuale al conferimento dell’incarico dirigenziale, nel rispetto della normativa vigente, annoverando tra i requisiti richiesti il possesso di “adeguate competenze tecnologiche, di informatica giuridica e manageriali”.

Ferma restando l’autonomia organizzativa di ciascuna Amministrazione, la graduazione delle posizioni dirigenziali può essere congruamente rimodulata in considerazione del maggior aggravio di funzioni secondo le modalità previste dalla disciplina dei rispettivi ordinamenti interni.

Relativamente alle pubbliche amministrazioni in cui non siano previste posizioni dirigenziali le funzioni per la transizione digitale di cui all’art. 17, comma 1 CAD, possono essere affidate ad un dipendente in posizione apicale o già titolare di posizione organizzativa in possesso di adeguate competenze tecnologiche e di informatica giuridica fermi restando, mutatis mutandis, gli effetti sul trattamento economico sopra trattati.

È utile precisare che il comma 1-septies dell’art. 17 CAD. prevede la possibilità per le amministrazioni diverse dalle amministrazioni dello Stato di esercitare le funzioni di RTD anche in forma associata. Tale opzione organizzativa, raccomandata specialmente per le PA di piccole dimensioni, può avvenire in forza di convenzioni o, per i comuni, anche mediante l’unione di comuni. La convenzione disciplinerà anche le modalità di raccordo con il vertice delle singole amministrazioni.

Al fine di garantire la piena operatività dell’Ufficio, si raccomanda di prevedere, nell’atto di conferimento dell’incarico o di nomina, nel caso di incarico in essere, oltre che i compiti espressamente previsti, anche quelli sotto indicati in ragione della trasversalità della figura:

  1. il potere del RTD di costituire tavoli di coordinamento con gli altri dirigenti dell’amministrazione e/o referenti nominati da questi ultimi;
  2. il potere del RTD di costituire gruppi tematici per singole attività e/o adempimenti (ad esempio: pagamenti informatici, piena implementazione di SPID, gestione documentale, apertura e pubblicazione dei dati, accessibilità, sicurezza, ecc.);
  3. il potere del RTD di proporre l’adozione di circolari e atti di indirizzo sulle materie di propria competenza (ad esempio, in materia di approvvigionamento di beni e servizi ICT);
  4. l’adozione dei più opportuni strumenti di raccordo e consultazione del RTD con le altre figure coinvolte nel processo di digitalizzazione della pubblica amministrazione (responsabili per la gestione, responsabile per la conservazione documentale, responsabile per la prevenzione della corruzione e della trasparenza, responsabile per la protezione dei dati personali);
  5. la competenza del RTD in materia di predisposizione del Piano triennale per l’informatica della singola amministrazione, nelle forme e secondo le modalità definite dall’Agenzia per l’Italia digitale;
  6. la predisposizione di una relazione annuale sull’attività svolta dall’Ufficio da trasmettere al vertice politico o amministrativo che ha nominato il RTD.

Nel ribadire, quindi, l’urgenza della nomina, si ricorda che il RTD rappresenta il punto di contatto con l’Agenzia per l’Italia Digitale e la Presidenza del Consiglio dei Ministri per le questioni connesse alla trasformazione digitale delle pubbliche amministrazioni, nonché per la partecipazione a consultazioni e censimenti previsti dal Piano triennale per l’informatica della pubblica amministrazione.

L’Agenzia per l’Italia Digitale fornirà mensilmente al Dipartimento della funzione pubblica i dati relativi alle nomine registrate sull’Indice delle Pubbliche Amministrazioni per i provvedimenti di competenza.

Il Ministro per la pubblica amministrazione

DISCORSI ATTORNO AL CODICE DELL’AMMINISTRAZIONE DIGITALE, L’INUTILITA DI FIRMARE CON STAMPIGLIATURA D.LGS 39/93

Iniziamo da oggi a trattare in modo approfondito il CAD ( dall’origine al 179/16).

Parleremo del CAD di tutti i giorni, la creazione del documento, la copia informatica, la copia dall’analogico , le notifiche e le comunicazioni.

Iniziamo con le basi, ed analizziamo una pessima abitudine che ancora esiste in molte PP.AA. nostrane.

Esiste una forte confusione tra documento massivo analogico, stampato per intenderci, e documento informatico,

In particolare girando sui siti web istituzionali ancora si vedono documento sigillati con la dicitura ” firma  autografa omessa ai sensi dell’articolo 3 del D.Lgs 39/93.”

Una piccola parentesi, ricordate della conserva di pomodoro della mia natia terra ? trattare bene i dati significa non solo conservarli, ma selezionarli dall’inizio del processo ( o del procedimento amministrativo).

Far nascere dei documenti, per poi metterli sotto vuoto, in conservazione sostitutiva , con questa postilla equivale e sprecare spazio, a conservare qualcosa di sbagliato, riporto l’articolo di legge

Art. 3. 1. ((COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179)). 2. Nell’ambito delle pubbliche amministrazioni l’immissione, la riproduzione su qualunque supporto e la trasmissione di dati, informazioni e documenti mediante sistemi informatici o telematici, nonche’ l’emanazione di atti amministrativi attraverso i medesimi sistemi, devono essere accompagnate dall’indicazione della fonte e del responsabile dell’immissione, riproduzione, trasmissione o emanazione. Se per la validita’ di tali operazioni e degli atti emessi sia prevista l’apposizione di firma autografa, la stessa e’ sostituita dall’indicazione a stampa, sul documento prodotto dal sistema automatizzato, del nominativo del soggetto responsabile.

E’ chiara l’intenzione di agevolare la firma quando i documenti sono massivi e stampati, in ogni caso questi documenti non hanno la forma del documento scritto.

Invece il documento formato ai sensi del CAD, dell’articolo 20 in particolare soddisfail requisito della forma scritta come da codice civile all’articolo 2702.

Art. 20 Validita’ ed efficacia probatoria dei documenti informatici 1. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179. ((1-bis. Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi e’ apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, e’ formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalita’ tali da garantire la sicurezza, integrita’ e immodificabilita’ del documento e, in maniera manifesta e inequivoca, la sua riconducibilita’ all’autore. In tutti gli altri casi, l’idoneita’ del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrita’ e immodificabilita’. La data e l’ora di formazione del documento informatico sono opponibili ai terzi se apposte in conformita’ alle Linee guida.))

In questo post iniziale non mi dilungherò sui diversi tipi di fima previste dal CAD ( e dall’EiDAS reg. 2014/910) , ma mi fermo con il ricordare che la firma apposta come da articolo 3 del 39/93 non produce nessun effetto, inoltre se qualche banca permettesse di far girare gli assegni senza la firma autografa ma colla dicitura ” ha firmato chi avrebbe dovuto firmare”  vi fidereste ? io no.

Alla prossima

I tipi di accesso alle informazini della PP.AA.

E’ ormai chiara la mia lettura e la mia visione sulle normative ( Italiana, Europea, Leggi primarie, secondarie, terziarie e blà blà blà ).

Per corroborare il mio pensiero riporto il quarto considernado GDPR

  Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.

 È per orogoglio anche una la stringa famosa di una sentenza italiana che è arrivata ancor prima del GDPR, cass. 10280/15 sez III

IL DIRITTO ALLA PROTEZIONE DEI DATI PUR RIENTRANDO NEI DIRITTI FONDAMENTALI NON E’ UN “TOTEM AL QUALE POSSONO SACRIFICARSI ALTRI DIRITTI COSTITUZIONALMENTE GARANTITI” …IL DIRITTO ALLA PROTEZIONE DEI DATI DEVE ESSERE ” COORDINATO E BILANCIATO” CON LE NORME DI CARATTERE PUBBLICISTICO E PRIVATISTICO.

Ed ancora è bello, doveroso ed importante ricordare che trattare bene i dati non significa solo proteggerli e copiarli, si corre in questo modo il rischio di proteggere e conservare qualcosa di sbagliato, non conforme.

La protezione dalla nascita dei dati prevede ( articolo 25 GDPR ) una serie di presidi di tutela proattiva e di resilienza dei sistemi, ma nessun sistema può ben gestire le informazioni se il personale deputato all’inputazione non ha delle direttive valide, queste direttive, queste regole sono gestite e disciplinate dal Manuale della gestione documentale ex art. 5 DPCM 03/12/13.

Faccio un esempio, anzi meglio riporto un caso pratico che mi vede coinvolto.

Anni addietro per la prima volta acquistai in una grossa catena di elettronica il mio primo PC, chiesi la fattura e diedi il mio biglietto da visita .

Nella stringa DENOMINAZIONE del gestionale inserirono quanto riportato sul biglietto da visita, dott. Vincenzo De Prisco.

Ancora oggi quando acquisto qualcosa in questa catena, dando solo il mio nome e cognome io non risulto , solo dopo molte ricerche mi ricordo che sono registrato anche con il titolo di accademia .

Una buona progettazione del sistema avrebbe dovuto memorizzare il titolo in una casella di form text ininfluente sulla ricerca, ed il nominativo in una casella invece influente sulla ricerca.

Qualora il sistema blindato ( ed è il caso dei sistemi IBM AS/400) non permetta questa personalizzazione delle buone regole da manuale dovrebbero colmare questa lacuna, tipo impartire all’operatore l’istruzione di scrivere sempre il titolo accademico senza nessuna abbreviazione alla fine della stringa, oppure tra il cognome ed il nome etc etc, creare in breve delle regole certe.

Questo in un negozio privato ( anche se grande ), immaginate cosa può accadere nei protocolli e negli archivi delle PP.AA, senza regole.

È facile dire ” vabbè ma oggi i sistemi sono più performanti, basta una parolina ed esce tutto ….”, in parte è vero, ma ricordiamoci che l’ordine sistemico è il presidio fondamentale per la correttezza dei dati e soprattutto che sia nel pubblico che nel privato esistono i c.d. sistemi LEGACY, gli ereditati e che la stessa norma GDPR non impone sembre di cambiare il modo di lavorare, ricordiamoci l’incipit degli articli 25 e 32 .

In estrema sintesi, riprendo un simpatico esempio , quello della procedura delle conserve di pomodoro, nessuno conserverebbe il barattolo di conserva se questo è pieno di pomodori marci , non sterilizzati o se il contenitore ha aria all’interno, potremo ordinarli e proteggerli dal sole, ma sempre velenosi sono.

Ora riprendiamo il filo con queste regole , possiamo parlare di protezione e riservatezza solo dopo avere gestite le politiche di accesso alle informaazioni della PA .

Dunque il quesito è : quali sono i sistemi di accesso alle informazioni di una PA ( concetto allargato, vedasi art 1c. 2 d.lgs 165/01) ?

1 – certamente l’accesso documentale della L. 241/90

e poi ?

2 – Certamente l’ accesso civico tradizionale, quello semplice ( avresti dovuto pubblicare in AT, non l’hai fatto ? io cittadino guardiano ti invito a farlo )

3-  Si, non sono pienamente in sintonia, ma anche l’accesso civivo generalizzato, anche se solo in parte .

E poi ?

Il problema che spesso dimentichiamo alcuni strumenti importanti come la pubblicazione tramite Openda Data ( ricordo, con gli OD accedo ai dati informativi, non ai documenti .

Manca quello che per me rappresenta il verso sistema partecipativo, certamente un’evoluzione del potere di sindacato della 241/90, parlo dell’articolo 41 comma 2 del CAD, l’accesso ed il controllo dinamico del procedimento amministrativo per far valere i diritti dell’articolo 10 della 241.

art 41 c 2 CAD

 La pubblica amministrazione titolare del procedimento raccoglie in un fascicolo informatico gli atti, i documenti e i dati del procedimento medesimo da chiunque formati; all’atto della comunicazione dell’avvio del procedimento ai sensi dell’articolo 8 della legge 7 agosto 1990, n. 241, comunica agli interessati le modalita’ per esercitare in via telematica i diritti di cui all’articolo 10 della citata legge 7 agosto 1990, n. 241. (28)

riporto anche il 10 della 241

 Art. 10. (( (Diritti dei partecipanti al procedimento) )) 1. I soggetti di cui all’articolo 7 e quelli intervenuti ai sensi dell’articolo 9 hanno diritto: a) di prendere visione degli atti del procedimento, salvo quanto previsto dall’articolo 24; b) di presentare memorie scritte e documenti, che l’amministrazione ha l’obbligo di valutare ove siano pertinenti all’oggetto del procedimento.

Per questo motivo gran parte degli approfondimenti futuri  saranno focalizzati sulle istanze telematiche del CAD e sui sistemi di contemperazione di PRIVACY-CTD-TRASPARENZA.

buatto

mi è venuta fame, a presto. Art. 10. (( (Diritti dei partecipanti al procedimento) )) 1. I soggetti di cui all’articolo 7 e quelli intervenuti ai sensi dell’articolo 9 hanno diritto: a) di prendere visione degli atti del procedimento, salvo quanto previsto dall’articolo 24; b) di presentare memorie scritte e documenti, che l’amministrazione ha l’obbligo di valutare ove siano pertinenti all’oggetto del procedimento.

Ancora sul D.lgs 101/18, corretto trattamento dei dati ed antiriciclaggio , anche per le PP.AA.

In forza di una mia lettura molto personale ( bah !!) sul GDPR mi fa piacere che il D.Lgs 101/18 avvalori la mia interpretazione ( la mia lettura…), ci sono diritti fondamentali superiori al corretto trattamento dei dati ( come chiaro anche nel  quarto considerando GDPR) , si veda l’articolo 2 octies del D.lgs 101.

Una cosa fondamentale che ci tengo a sottolineare è che la norma antiriciclaggio si applica anche alle Pubbliche Amministrazioni, invito a leggere questi articoli :

TRATTAMENTO DEI DATI ed altri DIRITTI

Trattamento dei dati Vs altri diritti…..più importanti.

Sono anni ormai, dalla prima vigenza del 196/03 per la precisione, che a differenza di altri operatori ho sempre “snobbato” la difesa della protezione dei dati personali.

Sembra strano ? Chi mi segue da più tempo ben mi capisce , sono di quelli che ha sempre chiamato la norma con il nome esatto e mai PRIVACY, anche perchè il rispetto della privacy non rientra nelle corde di consulente dell’organizzazione aziendale, penso sia più prossimo alle scienze umanistiche.

Chiariamo subito una cosa, così come la direttiva 95/46/CE ( od il nostro 196 ) non abrogò la L. 241/90 , si veda l’articolo 59 del Codice sul corretto trattamento dei dati, il Reg. 2016/679 non tocca il FOIA ( articolo 33 del D.Lgs 33/13).

articolo 59 Codice protezione dei dati (Accesso a documenti amministrativi)

Un’altra particolarità ( che dovrebbe essere la norma) è chiaramente scritta nel quarto considerando del Regolamento.

Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica

Quindi , ponderiamo l’importanza dei diritti fondamentali ( nel nostro caso l’articolo 8 della Carta di Nizza).

Oltre che il legislatore conviene ascoltare anche la giurisprudenza, infatti ….

CASSAZIONE n. 10280/15 sez III

… … IL DIRITTO ALLA PROTEZIONE DEI DATI PUR RIENTRANDO NEI DIRITTI FONDAMENTALI NON E’ UN “TOTEM AL QUALE POSSONO SACRIFICARSI ALTRI DIRITTI COSTITUZIONALMENTE GARANTITI” …IL DIRITTO ALLA PROTEZIONE DEI DATI DEVE ESSERE ” COORDINATO E BILANCIATO” CON LE NORME DI CARATTERE PUBBLICISTICO E PRIVATISTICO.

Per quanto queste affermazioni possano sembrare pensieri solo teorici, bazzecole, quisquilie, pinzellacchere da fessi se letti assieme al 19 considerando scopriremo che immediatamente ci sono evidenze pratiche nel mondo professionale e della PA , infatti :

La protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, e la libera circolazione di tali dati sono oggetto di uno specifico atto dell’Unione. Il presente regolamento non dovrebbe pertanto applicarsi ai trattamenti effettuati per tali finalità. I dati personali trattati dalle autorità pubbliche in forza del presente regolamento, quando utilizzati per tali finalità, dovrebbero invece essere disciplinati da un più specifico atto dell’Unione, segnatamente la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio Gli Stati membri possono conferire alle autorità competenti ai sensi della direttiva (UE) 2016/680 altri compiti che non siano necessariamente svolti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, affinché il trattamento di dati personali per tali altre finalità, nella misura in cui ricada nell’ambito di applicazione del diritto dell’Unione, rientri nell’ambito di applicazione del presente regolamento.

Con riguardo al trattamento dei dati personali da parte di tali autorità competenti per finalità rientranti nell’ambito di applicazione del presente regolamento, gli Stati membri dovrebbero poter mantenere o introdurre disposizioni più specifiche per adattare l’applicazione delle disposizioni del presente regolamento. Tali disposizioni possono determinare con maggiore precisione requisiti specifici per il trattamento di dati personali da parte di dette autorità competenti per tali altre finalità, tenuto conto della struttura costituzionale, organizzativa e amministrativa dei rispettivi Stati membri. Quando il trattamento dei dati personali effettuato da organismi privati rientra nell’ambito di applicazione del presente regolamento, è opportuno che lo stesso preveda la facoltà per gli Stati membri, a determinate condizioni, di adottare disposizioni legislative intese a limitare determinati obblighi e diritti, qualora tale limitazione costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia di importanti interessi specifici, comprese la sicurezza pubblica e le attività di prevenzione, indagine, accertamento e perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica. Ciò riveste particolare importanza ad esempio nel quadro del riciclaggio o di attività di medicina legale

Dalla letture combinata ( e ragionata ) si evidenzia che alcuni dei diritti del’interessato  ( cancellazione ed oblio certamente) non possono sempre essere vantati in quanto ci sono norme che pur se di pari rango hanno valenza maggiore nell’impatto sociale e della giustizia .

Alcuni casi immediati sono l’antiriciclaggio e la medicina del lavoro ,in nessun caso le esigenze di protezionedei dati personali possono prevalere sull’interesse alla sicurezza pubblica e alle attività di prevenzione dei reati .

ABUSO DEL CONSENSO E PROBLEMATICHE.

Provo a fare un’analisi sull’abuso del consenso, analisi forse grottesca, certamente semi-seria .

Ancora c’è in giro un abuso di richieste di consenso, abuso che in parte capisco pur non condividendo, è un modo semplice per dire ” lavoro bene, seriamente, in maniera LECITA”.

In realtà nel porcesso bifasico della liceità del trattamento il consenso è solo uno degli elementi caratterizzanti, per semplicità riporto il sesto articolo del Reg.

1.   Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a)

l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

b)

il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c)

il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

d)

il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;

e)

il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

f)

il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

Nella vita quotidiana ci troveremo sempre avanti, amggiormente, tutti gli altri casi di liceità dell’articolo 6 ( lettere b,c,d,e,f) .

Il simpatico problema che discende dall’abuso dell’articolo 6 par 1 lett a è il seguente, in funzione della legittamente al trattamento variano i diritti degli interessati.

Mi spiego meglio con un esempio :

Pubblica amministrazione, non saprei, servizi demografici di un Comune, ufficio S.C., oppure i registri dei nominativi di uno scolaretto alla scuola elementare ( la primaria per i più pignoli ), denuncio una nascita o l’iscrizione alla seconda elementare.

Qualche PA consegna il consenso da firmare, quindi rende lecito il trattamento ai sensi dell’articolo 6 par 1 lett a, passagio inutile in quanto la legittimazione deriva dalla lettera e .

Andiamo avanti, e leggiamo l’articolo 17, il diritto alla cancellazione, in particolare il par 1 lett b

l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;

oppure il paragrafo 1 lett a dell’articolo 20

il trattamento si basi sul consenso ai sensi dell’articolo 6, paragrafo 1, lettera a), o dell’articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell’articolo 6, paragrafo 1, lettera b);

E’ chiaro che far firmare il consenso fa nascere dei diritti che non possono essere poi rispettati da parte delle PA ( ma casi analoghi ci sono anche nel mondo privato ) , non posso chiedere allo SC di essere cancellato dagli elenchi dei nati o di vantare il diritto alla portabilità dei dati.

D.Lgs 101/18, armonizzazione GDPR

Sarò antipatico come sempre ma mi piace ricordare che il decreto , come anche il regolamento, non è intitolato alla PRIVACY ma al corretto trattamento dei dati.

Dal 19 Settembre, San Gennaro, compleanno di mammá e del defunto nonno Vincenzo entrerà in vigore il decreto di armonizzazione della norma italiana con il GDPR, le anticipazioni date dai SOLONI sono state tutte disattese.

Le novità allontanano ulteriormente le modalità operative dal nostro vecchio codice salvandone però alcuni pilastri fondamentali.

Cosa dire, lascaitemi il tempo di apprendere la pubblicazione e sentiamoci presto.

Nell’ottica di armonizzazione l’articolo 27 del D.Lgs 101/18 ha abrogato dalla prima  il titolo IV, cioè gli articoli 28,29 e 30 del 196, quindi dimentichiamoci nomine fatte con la vecchia nomenclatura ( responsabile interno ed incaricati ).

Ciao ciao , Vincenzo.

D.lgs 39/14, certificati casellario.

Visto il periodo dell’anno, ricordo dell’obbligo per le PA ( e non solo ) di richiedere il certificato penale per tutti i soggetti che lavorano a contatto con i minori, copio appresso un vecchio post.

Giusto per intenderci, chi ha ben attuato la legge 190/12 ( quella volgarmente identificata come anticorruzione) ha già da settembre scorso attuato una serie di procedure per “evitare l’accadimento di un illecito mappato nel procedsso di risk assessment”, stesso vale per chi applica il D.Lgs 231/01, ma in chiusura di articolo torneremo ad analizzare la più grossa novità del 39/14 che certamente non è quella dei certificati penali.

Per quanta riguarda  la richiesta del certificato del casellario, in applicazione di questa norma, ad oggi, non è possibile applicare l’autocertificazione “tout court”, per un motivo semplice e logico : l’onere non è a carico del lavoratore , ma del datore di lavoro, come chiaramente scritto nell’articolo 2 comma 1 del D.lgs 39/204 .

Una dichiarazione sostitutiva può essere accettata e valida solo nelle more del controllo, come chiaramenre consigliato dal Ministero della Giustizia nella nota di chiarimento n.2 al D.lgs 39/2014 che allego.

Che sia chiaro, questo ad oggi, primo giorno di applicazione della norma.

Per tornare alle problemtiche più squisitamente legate al risk assessment della 190 e del 231, è importante iomplementare una procedura all’interno del protocollo sicurezza per il controllo ex novo delle strumentazioni informatiche in quanto l’articolo 1 impone ( tramite sanzioni) l’utilizzo di una diligenza superiore alla media per evitare che siano software che rendano la navigazione in internet “anonima”

NOTA MIN

FAQ

Dal 6 aprile 2014 chi assume nuovi dipendenti per lo svolgimento di attività a contatto con i minori dovrà richiedere il certificato del casellario ai sensi dell’art. 25 bis del DPR 313/2002. L’obbligo c’è anche nei confronti di chi è già stato assunto?

No. L’obbligo per il datore di lavoro sorge all’atto dell’assunzione e quando, scaduto il termine di durata previsto, il datore di lavoro stipuli altro e nuovo contratto con lo stesso lavoratore.

In quali casi il datore di lavoro ha l’obbligo di richiedere il certificato ai sensi dell’art. 25 bis del DPR 313/2002?

In tutti i casi in cui si instaura con la persona un rapporto contrattuale con prestazioni corrispettive, per attività che comportino un contatto diretto e regolare con i minori. L’obbligo non sorge, invece, per le forme di collaborazione che non si strutturino all’interno di un definito rapporto di lavoro.

I certificati valgono 6 mesi. Il datore di lavoro dovrà quindi richiedere il certificato ai sensi dell’art. 25 bis del DPR 313/2002 per i suoi dipendenti ogni 6 mesi?

No. Il certificato va richiesto solo al momento dell’assunzione.

In attesa del certificato richiesto dal datore di lavoro si può procedere alla stipula del contratto?

Si. In attesa dell’acquisizione del certificato, se il datore di lavoro è pubblico può acquisire dal lavoratore una dichiarazione sostitutiva di certificazione; se il datore è privato, una dichiarazione sostitutiva di atto di notorietà .

Le esenzioni dal bollo sono soltanto quelle indicate nel D.P.R. 642/72, tabella allegato B?

Le esenzioni indicate nel DPR 642/72 sono quelle principali. Altri casi di esenzione potrebbero però essere presenti in normative specifiche.

Con riferimento alle prescrizioni del D.Lgs. 39/2014, che si intende per “ attività professionali o attività volontarie organizzate che comportino contatti diretti e regolari con minori”?

Per attività professionali o attività volontarie organizzate si intende tutte le professioni o i lavori (ad es. quelle di insegnante, bidello, pediatra, allenatore, educatore) per i quali l’oggetto della prestazione comporta un contatto diretto e regolare con i minori a fronte di uno specifico rapporto di lavoro.

Attività professionali quali esempio quella di medico odontoiatra o medico pediatra che comporta attività verso i minori è assoggettata alle prescrizioni del DL 39/2014 con riferimento ai propri lavoratori dipendenti?

Si.

Sono la vice-presidente di una Associazione Culturale che organizza, tra le altre cose, corsi di scuola di musica primaria (quindi rivolti principalmente a minorenni). Per l’organizzazione di questi corsi ci avvaliamo della collaborazione di professionisti che rilasciano regolare fattura come titolari di partita iva. Ci dobbiamo ritenere datori di lavoro e quindi richiedere per questi professionisti il certificato penale del casellario giudiziale ai sensi dell’art. 25 bis del DPR 313/2002?

Si, qualora l’attività svolta dal professionista sia oggetto di un contratto, comunque qualificato, che faccia sorgere un rapporto di lavoro con prestazioni corrispettive.

link al modello 6a per la richiesta aggiornato al 7/7/2018

Si ricorda che non occorre nessun consenso sul trattamento essendo un’obbligazione di legge ( supporto normativo articolo 6 par 1 lett b,c,d,e)

Socrate disse ” tanto tuonò che piovve” , aggiornamenti sul GDPR

Lo scorso 8 Agosto, il CDM ha approvato la norma che ha dato nuova vita al Codice sul Corretto trattamento dei dati ( il 196 / 03 per intenderci ).

Già in epoca non sospetta ( il 21 Marzo ) sostenevo che la notizia dell’abrogazione del Codice era del tutto infondata ( fu un’uscita triste della Presidenza gentiloni ), tanto è vero che fu postata la mia osservazione .

Nell’attesa della lettura della norma novellata ( non ancora in GU) vi anticipo qualche rumors, da leggere come si leggono le notizie in estate sotto l’ombrellone, in maniera soft.

Al momento sembra non sciolto il nodo del raccordo lessicale ( vedasi responsabile del codice e del GDPR ) , ma le grandi novità sono :

– ultravigenza dei codici deontologici ( art 12 codice e 40 reg)

– nuova vita per le autorizzazioni ( articolo 21 del codice )

– consenso per i servizi della società dell’informazione a partire dai 14 anni

– nuova liceità dei trattamenti ( una modifica all’articolo 6 del Regolamento, bah ! )

– e soprattutto, purtroppo a causa di consulenti e di cattiva applicazione della norma , l’evidenza il diritto alla protezione dei dati, pur essendo un diritto fondamentale, deve essere ponderata con altri diritti ( vedi quarto considerando  ” Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.”, infatti si richiamano altri diritti ed interessi in maniera esplicita, ad esempio l’anticiriclaggio, invito per questo a leggere il post scritto in epoca non sospetta .

 

Ci sentiamo presto per le modifiche da apportare ai nostri documenti…. buona lettura e ciao ciao

Le istanze nel CAD ( riproposto)

Le istanze verso una PA sono accettate se passano attraverso :

  • PEO
  • PEC
  • STRUTTURE INTEROPERABILI.

LA PEO, posta elettronica ordinaria ha sempre valore “se ne accerto la provenienza” , non è disciplinata dal CAD ma normata .

 

LA PEC, invece è ben disciplinata e normata dall’articolo 48 de CAD e dal DPC 68/2005.

 

L’INTEROPERABILITA’ ha invece la capacità di creare cooperazione docuemtale tra le diverse PA ( e non solo ) .

AI sensi dell’articolo 47 cad :

Le comunicazioni di documenti tra le pubbliche amministrazioni avvengono mediante l’utilizzo della posta elettronica o in cooperazione applicativa; esse sono valide ai fini del procedimento amministrativo una volta che ne sia verificata la provenienza. ((Il documento puo’ essere, altresi’, reso disponibile previa comunicazione delle modalita’ di accesso telematico allo stesso.))
il comma 2 dell’articolo 47 aiuta a definire la PROVENIENZA VALIDA :
Ai fini della verifica della provenienza le comunicazioni sono valide se: a) sono sottoscritte con firma digitale o altro tipo di firma elettronica qualificata; b) ovvero sono dotate di segnatura di protocollo di cui all’articolo 55 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445; c) ovvero e’ comunque possibile accertarne altrimenti la provenienza, secondo quanto previsto dalla normativa vigente o dalle regole tecniche di cui all’articolo 71. E’ in ogni caso esclusa la trasmissione di documenti a mezzo fax; d) ovvero trasmesse attraverso sistemi di posta elettronica certificata di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68.
Infine il comma 1 bis dell’articolo 47 ricorda il danno erariale, tra gli altri, dell’inosservanza della norma .
Voglio chiudere ricordando l’importanza dell’articolo 65 del CAD,
Istanze e dichiarazioni presentate alle pubbliche amministrazioni per via telematica
1. Le istanze e le dichiarazioni presentate per via telematica alle pubbliche amministrazioni e ai gestori dei servizi pubblici ai sensi dell’articolo 38, commi 1 e 3, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, sono valide:
a) se sottoscritte mediante la firma digitale o la firma elettronica qualificata, il cui certificato e’ rilasciato da un certificatore ((qualificato));
b) ovvero, quando ((l’istante o il dichiarante e’ identificato attraverso il sistema pubblico di identita’ digitale (SPID), nonche’ attraverso uno degli altri strumenti di cui all’articolo 64, comma 2-novies, nei limiti ivi previsti;)); ((
c) ovvero sono sottoscritte e presentate unitamente alla copia del documento d’identita’;));
c-bis) ovvero se trasmesse ((dall’istante o dal dichiarante)) mediante la propria casella di posta elettronica certificata purche’ le relative credenziali di accesso siano state rilasciate previa identificazione del titolare, anche per via telematica secondo modalita’ definite con regole tecniche adottate ai sensi dell’articolo 71, e cio’ sia attestato dal gestore del sistema nel messaggio o in un suo allegato. In tal caso, la trasmissione costituisce dichiarazione vincolante ai sensi dell’articolo 6, comma 1, secondo periodo. Sono fatte salve le disposizioni normative che prevedono l’uso di specifici sistemi di trasmissione telematica nel settore tributario;

Il responsabile GDPR ed il Responsabile del Codice.

Articolo 28 GDPR, il RESPONSABILE.

 

Esiste molta confusione sulla figura del responsabile nel regolamento 679. Certamente deriva dalla vecchia norma codicistica e dalla traduzione del Reg.

 

CI sono due scuole, chi è convinto che il Responsabile può essere tanto interno che esterno , e chi come me non ha tanto certezze su questa ambivalenza, ma sostiene comunque ( con qualche dubbio) che la figura è tendenzialmente esterna , o meglio può essere interna solo ed esclusivamente ad un gruppo d’imprese.

 

Partiamo dalla lettura dell’articolo 28 .

 

Nell’articolo 28 non c’è nessuna opzione riguardo la possibilità di nominare un responsabile interno od esterno come accade per il DPO, tuttavia questa “non esclusione” pur vista come un rafforzativo della tesi del responsabile interno diviene per la stessa assenza definitoria un valore neutro.

 

A ben vedere però più volte si parla di un contratto od altro atto giuridico tra il titolare ed il responsabile , riporto la parte iniziale del terzo paragrafo

 

“I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento …”

 

Sembra in effetti strano che un dipendente sia parte di un contratto autonomo ed aggiuntivo, anzi qualora fosse in ambito  pubblico l’iter sarebbe assurdo, autorizzazione e conferimento ex articolo 53 del 165/01 ( dopo avere espletato la ricognizione dell’articolo 7 ), diciamo che i sindacati ci sguazzerebbero, ancora di più se si utilizzasse per scrollarsi dal groppone qualche responsabilità l’istituto dell’articolo  17 comma 1 bis dello stesso 165/01.

 

Ma fin qui potrebbero ancora esserci problemi di traduzione.

 

Una risposta un momento più sensata e meno vacillante a mio avviso, arriva dalla lettura della norma sul DPO, l’articolo 37, in particolare il sesto paragrafo che recita

 

“ Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.”

 

Dalla lettura sembrerebbe chiaro che il responsabile sia esterno ( il dipendente del dipendente …).

 

A sostenere la tesi del responsabile esterno è anche l’autorevole Prof. Pizzetti, già Garante per la protezione dei dati personali, e soprattutto c’è conforto nella risposta al  seguente quesito mosso alla Commissione Europea :

 

D : Cosa sono il titolare del trattamento e il responsabile del trattamento?

Il titolare del trattamento stabilisce le finalità e le modalità del trattamento dei dati personali. Quindi, se la tua azienda/organizzazione decide «perché» e «come» devono essere trattati i dati personali, è titolare del trattamento. I dipendenti che trattano i dati personali all’interno della tua organizzazione lo fanno per adempiere ai compiti di titolare del trattamento della tua azienda/organizzazione.

La tua azienda/organizzazione è contitolare del trattamento quando insieme a una o più organizzazioni definisce congiuntamente «perché» e «come» devono essere trattati i dati personali. I contitolari del trattamento devono stipulare un accordo che definisca le rispettive responsabilità per quanto riguarda il rispetto delle norme del GDPR. Gli aspetti principali dell’accordo devono essere comunicati alle persone i cui dati sono oggetto di trattamento.

Il responsabile del trattamento tratta i dati personali solo per conto del titolare del trattamento. Il responsabile del trattamento è di solito un terzo esterno all’azienda. Tuttavia, nel caso di gruppi di imprese, un’impresa può agire in qualità di responsabile del trattamento per un’altra impresa.

Gli obblighi del responsabile del trattamento nei confronti del titolare del trattamento devono essere specificati in un contratto o in un altro atto giuridico. Ad esempio, il contratto deve indicare cosa succede ai dati personali una volta che il contratto viene risolto. Un’attività tipica dei responsabili del trattamento è quella di offrire soluzioni IT, inclusa l’archiviazione sul cloud. Il responsabile del trattamento può subappaltare una parte delle sue funzioni a un altro responsabile del trattamento o nominare un co-responsabile solo previa autorizzazione scritta del titolare del trattamento.

Vi sono situazioni in cui un’entità può essere titolare del trattamento, responsabile del trattamento o entrambi.

Il tutto dal link https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/controller-processor/what-data-controller-or-data-processor_it#esempi

Tutto quanto sopra in una visione GDPR, per quanto riguarda la prossima armonizzazione probabilmente verrà reintrodotto il Responsabile INTERNO , o forse no.

Come detto all’inizio non ci sono certezze, almeno io non ho certezze.

Continuiamo a leggerci, nei prossimi POST si parlerà della nota PRIVACY in calce alla posta elettronica e dell’inutilita’ della stessa e soprattutto della norma sulla protezione dei dati giudiziari in ambito penale, il D.lgs 51/18.

 

Notificazioni in albo pretorio

NEL RISPETTO DELLA RISERVATEZZA, dobbiamo contemperare interessi ed “incastrare più norme”.

Certamente il diritto fondamentale da tutelare è quello superiore della collettività , indi la pubblicità della notificazione in albo pretorio ( inteso ex articolo 32 L. 69/09 ) deve essere resa .

Tralasciando le diverse casiste del rito civile contenute negli articolo 140 e ss  cpc poniamoci il seguente quesito :

“ con la notificazione in Casa Comunale quale obiettivo raggiungiamo ? “ .

 

La risposta è ovvia, ora un secondo quesito :

“  per avvisare il destinatario che deve ritirare la documentazione ( e quasi mai si tratta di un lascito dello zio d’ America ) è proprio necessario affiggere il contenuto della missiva ed il mittente ? “

In realtà questa è un’applicazione pratica dell’articolo 5 paragrafo 1 lett. c del reg. 2016/679 , il principio della minimizzazione del trattamento ed anche del sempre attuale articolo 11 del nostro codice 196/03.

Per meglio però disciplinare l’effettiva pubblicità degli atti, compresa la norma speciale contenuta nell’articolo 60 lett 3 del DPR 600/73 consiglio un’attenta lettura delle LL.GG. AGID Maggio 2016 che trovate al seguente link

https://www.agid.gov.it/sites/default/files/repository_files/documentazione/ll_gg_gdl_pubblicita_legale.pdf

Con molto vanto ( e sapete che non sono proprio umilissimo ) vi dico che sono coautore del testo Agid.

Anagrafe delle Prestazioni procedura 2018

Come ogni anno siamo alle prese con i PERLAPA per l’adempimento contenuto nell’articolo 53 del D/Lgs 165/01.

Beh, quest’anno cambia qualcosa, l’inserimento sembra un poco piú complesso, ma a ban vedere la fatica iniziale ci permette poi di andare tranquilli nell’attuare l’articolo 15 del D.Lgs 33/13..

per l’articolo completo

http://www.vincenzodeprisco.com/it/node/47

 

Censimento ICT del Piano Triennale, scadenza del 20 Giugno

Viste le diverse chiamate sulla scadenza del censimento contenuto nel  Piano Triennale dell’Informatica della PA vi tranquillizzo ricordando che al momento si tratta di una semplice ricognizione, eventuali problematiche possono esserci solo per le PA che al momento necessitano di essere inserite nell’elenco dei PSN , mi spiego meglio , il Piano Triennale mira a tripartire le PA in :

  1.  PSN , Polo Strategico Nazionale , caratterizzato  da cespiti tecnologici e base di calcolo elevato da condividere anche con altre Pa in forza di collaborazioni in forza dell’articolo 15 L.241/90
  2. Gruppo A, strutture non elette a PNS ma eleggibili con lievi investimenti ( immobilizzazioni e personale interno)
  3. Gruppo B, strutture con gravi carenze di infrastrutture tecnologiche, immobilizzazione e personale interno .

Qualora non si risponda entro il 20 ( ??? ) anche le PA appartenenti al Gruppo A verranno declassate al Gruppo B.

I prossimi censimenti, in forza del novellato articolo 14 bis D.Lgs 82/05 ( modificato dal 217/17) potrebbero avere una portata diversa avendo l’Agid assunto un ruolo diverso ( emanazione norme di diritto tenue , controllo sul piano triennale 2018-2020, etc ) , ovviamente sarete aggiornati.

Per qualsiasi chiarimento, chiamatemi.

Protetto: Manaule di Gestione documentale ex articolo 5 DPCM 03 12 13

Il contenuto è protetto da password. Per visualizzarlo inserisci di seguito la password:

Protetto: Breve informativa, dati di contatto e prima procedura.

Il contenuto è protetto da password. Per visualizzarlo inserisci di seguito la password:

TRATTAMENTO DEI DATI ed altri DIRITTI

Trattamento dei dati Vs altri diritti…..più importanti.

Sono anni ormai, dalla prima vigenza del 196/03 per la precisione, che a differenza di altri operatori ho sempre “snobbato” la difesa della protezione dei dati personali.

Senbra strano ? Chi mi segue da più tempo ben mi capisce , sono di quelli che ha sempre chiamato la norma con il nome esatto e mai PRIVACY, anche perchè il rispetto della privacy non rientra nelle corde di consulente dell’organizzazione aziendale, penso sia più prossimo alle scienze umanistiche.

Chiariamo subito una cosa, così come la direttiva 95/46/CE ( od il nostro 196 ) non abrogò la L. 241/90 , si veda l’articolo 59 del Codice sul corretto trattamento dei dati, il Reg. 2016/679 non tocca il FOIA ( articolo 33 del D.Lgs 33/13).

Pubblicita’ e diritto alla conoscibilita’ 1. Tutti i documenti, le informazioni e i dati oggetto ((di accesso civico, ivi compresi quelli oggetto)) di pubblicazione obbligatoria ai sensi della normativa vigente sono pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli ai sensi dell’articolo 7. ((1-bis. L’Autorita’ nazionale anticorruzione, sentito il Garante per la protezione dei dati personali nel caso in cui siano coinvolti dati personali, con propria delibera adottata, previa consultazione pubblica, in conformita’ con i principi di proporzionalita’ e di semplificazione, e all’esclusivo fine di ridurre gli oneri gravanti sui soggetti di cui all’articolo 2-bis, puo’ identificare i dati, le informazioni e i documenti oggetto di pubblicazione obbligatoria ai sensi della disciplina vigente per i quali la pubblicazione in forma integrale e’ sostituita con quella di informazioni riassuntive, elaborate per aggregazione. In questi casi, l’accesso ai dati e ai documenti nella loro integrita’ e’ disciplinato dall’articolo 5. 1-ter. L’Autorita’ nazionale anticorruzione puo’, con il Piano nazionale anticorruzione, nel rispetto delle disposizioni del presente decreto, precisare gli obblighi di pubblicazione e le relative modalita’ di attuazione, in relazione alla natura dei soggetti, alla loro dimensione organizzativa e alle attivita’ svolte, prevedendo in particolare modalita’ semplificate per i comuni con popolazione inferiore a 15.000 abitanti, per gli ordini e collegi professionali.))

articolo 59 Codice protezione dei dati (Accesso a documenti amministrativi)

   1. Fatto salvo quanto previsto dall'articolo 60, i presupposti, le
modalita',  i  limiti  per  l'esercizio  del  diritto  di  accesso  a
documenti  amministrativi  contenenti  dati  personali, e la relativa
tutela  giurisdizionale,  restano  disciplinati  dalla legge 7 agosto
1990,  n.  241, e successive modificazioni e dalle altre disposizioni
di  legge in materia, nonche' dai relativi regolamenti di attuazione,
anche  per  cio' che concerne i tipi di dati sensibili e giudiziari e
le   operazioni  di  trattamento  eseguibili  in  esecuzione  di  una
richiesta  di  accesso.  Le attivita' finalizzate all'applicazione di
tale disciplina si considerano di rilevante interesse pubblico.
articolo 3 FOIA Pubblicita' e diritto alla conoscibilita' 
 
  1. Tutti i documenti, le informazioni e i dati oggetto ((di accesso
civico, ivi compresi quelli oggetto)) di  pubblicazione  obbligatoria
ai sensi della normativa vigente sono pubblici e chiunque ha  diritto
di  conoscerli,  di  fruirne  gratuitamente,  e  di   utilizzarli   e
riutilizzarli ai sensi dell'articolo 7. 
  ((1-bis. L'Autorita' nazionale anticorruzione, sentito  il  Garante
per la protezione dei dati personali nel caso in cui siano  coinvolti
dati personali, con propria delibera adottata,  previa  consultazione
pubblica, in conformita' con i  principi  di  proporzionalita'  e  di
semplificazione, e all'esclusivo fine di ridurre gli  oneri  gravanti
sui soggetti di cui all'articolo 2-bis, puo' identificare i dati,  le
informazioni e i documenti oggetto di pubblicazione  obbligatoria  ai
sensi della disciplina vigente per i quali la pubblicazione in  forma
integrale e'  sostituita  con  quella  di  informazioni  riassuntive,
elaborate per aggregazione. In questi casi, l'accesso ai  dati  e  ai
documenti nella loro integrita' e' disciplinato dall'articolo 5. 
  1-ter. L'Autorita' nazionale  anticorruzione  puo',  con  il  Piano
nazionale  anticorruzione,  nel  rispetto  delle   disposizioni   del
presente decreto,  precisare  gli  obblighi  di  pubblicazione  e  le
relative modalita'  di  attuazione,  in  relazione  alla  natura  dei
soggetti, alla loro dimensione organizzativa e alle attivita' svolte,
prevedendo in particolare modalita' semplificate  per  i  comuni  con
popolazione inferiore a 15.000 abitanti, per  gli  ordini  e  collegi
professionali.))

Un’altra particolarità ( che dovrebbe essere la norma) è chiaramente scritta nel quarto considerando del Regolamento.

Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica

Quindi , ponderiamo l’importanza dei diritti fondamentali ( nel nostro caso l’articolo 8 della Carta di Nizza).

Oltre che il legislatore conviene ascoltare anche la giurisprudenza, infatti ….

CASSAZIONE n. 10280/15 sez III

… … IL DIRITTO ALLA PROTEZIONE DEI DATI PUR RIENTRANDO NEI DIRITTI FONDAMENTALI NON E’ UN “TOTEM AL QUALE POSSONO SACRIFICARSI ALTRI DIRITTI COSTITUZIONALMENTE GARANTITI” …IL DIRITTO ALLA PROTEZIONE DEI DATI DEVE ESSERE ” COORDINATO E BILANCIATO” CON LE NORME DI CARATTERE PUBBLICISTICO E PRIVATISTICO.

Per quanto queste affermazioni possano sembrare pensieri solo teorici, bazzecole, quisquilie, pinzellacchere da fessi se letti assieme al 19 considerando scopriremo che immediatamente ci sono evidenze pratiche nel mondo professionale e della PA , infatti :

La protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, e la libera circolazione di tali dati sono oggetto di uno specifico atto dell’Unione. Il presente regolamento non dovrebbe pertanto applicarsi ai trattamenti effettuati per tali finalità. I dati personali trattati dalle autorità pubbliche in forza del presente regolamento, quando utilizzati per tali finalità, dovrebbero invece essere disciplinati da un più specifico atto dell’Unione, segnatamente la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio  Gli Stati membri possono conferire alle autorità competenti ai sensi della direttiva (UE) 2016/680 altri compiti che non siano necessariamente svolti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, affinché il trattamento di dati personali per tali altre finalità, nella misura in cui ricada nell’ambito di applicazione del diritto dell’Unione, rientri nell’ambito di applicazione del presente regolamento.

Con riguardo al trattamento dei dati personali da parte di tali autorità competenti per finalità rientranti nell’ambito di applicazione del presente regolamento, gli Stati membri dovrebbero poter mantenere o introdurre disposizioni più specifiche per adattare l’applicazione delle disposizioni del presente regolamento. Tali disposizioni possono determinare con maggiore precisione requisiti specifici per il trattamento di dati personali da parte di dette autorità competenti per tali altre finalità, tenuto conto della struttura costituzionale, organizzativa e amministrativa dei rispettivi Stati membri. Quando il trattamento dei dati personali effettuato da organismi privati rientra nell’ambito di applicazione del presente regolamento, è opportuno che lo stesso preveda la facoltà per gli Stati membri, a determinate condizioni, di adottare disposizioni legislative intese a limitare determinati obblighi e diritti, qualora tale limitazione costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia di importanti interessi specifici, comprese la sicurezza pubblica e le attività di prevenzione, indagine, accertamento e perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica. Ciò riveste particolare importanza ad esempio nel quadro del riciclaggio o di attività di medicina legale

Dalla letture combinata ( e ragionata ) si evidenzia che alcuni dei diritti del’interessato  ( cancellazione ed oblio certamente) non possono sempre essere vantati in quanto ci sono norme che pur se di pari rango hanno valenza maggiore nell’impatto sociale e della giustizia .

Alcuni casi immediati sono l’antiriciclaggio e la medicina del lavoro ,in nessun caso le esigenze di protezionedei dati personali possono prevalere sull’interesse alla sicurezza pubblica e alle attività di prevenzione dei reati .

Qualcuno potrebbe obiettare : ” si ok, capisco l’ambito proessionale ma perchè anche nella PA ?”

La risposta è che l’antiriciclaggio nella PA rientra tra le norme maggiormente disattese , consiglio questi post :

http://www.rtd.cloud//procedura-antiriciclaggio-da-adottare-anche-nelle-ppaa/

http://www.rtd.cloud//differenze-tra-esenzione-ed-esclusione-delliva-come-incidono-le-voci-sulle-gare-di-appalto-e-sullantiriciclaggio-nelle-pa/

http://www.rtd.cloud//antiriciclaggio-nella-pubblica-amministrazione-il-dlgs-23107-ed-il-dm-250915/

Perchè scelgono noi per il GDPR ?

Perchè riusciamo a dare una visione completa dei problemi e delle soluzioni.

Perche facciamo questo dal 2003, perchè abbiamo sempre seguito per tutti gli adempimenti, vedi il DR-CO, Il SANS 20. Perchè per il 24 MAggio faremo quanto necessario ( e solo quello ) e null’altro. Perchè già abbiamo preparato i nostri clienti allo scenario più probabile ( dematerializzazione degli acquisi , art 40 del D.Lgs 50/16) ed al nuovo piano sulla continuità ( articolo 58 del D.lgs 82/05).

Perchè pur se vero che il GDPR spinge a fare adempimenti ulteriori, siamo consapevoli che vista l’accountability del GDPR i nostri clienti non sono disposti a firmare un patto fatto sulle chiacchiere….

Perchè siamo stati tra i pochi a dire che il 196/03 non sarebbe stato abrogato e soprattutto perchè chiamiamo la norma con il suo nome CORRETTO TRATTAMENTO dei DATI e sappiano la necessità di conoscere le norme sottostanti.

Grazie a tutti quelli che ci hanno scelto.

 

In arrivo l’armonizzazione del D.Lgs 196/03

 

Come più volte sottolineato, la notizia dell’abrogazione del 196/03 si è dimostrata infondata, anche perchè la delega era appunto finalizzata ad armonizzare e non a cassare la norma ( ben scritta ).

Tanto tuonò che piovve potrebbe essere il titolo di questo post.

Certamente il novellato ( che non sappiamo quando entrerà in vigore, ma è questione di giorni) non è dei migliori, ma con molto piacere noto che accoglie degli spunti fondamnetali per il trattamento dei dati, in particolare il D.Lgs 42/2004, fondamentale per la gestione dei dati nelle PA.

Piccolo vademecum per il GDPR

  1. la norma non è intitolata alla privacy
  2. la norma non è intitolata alla privacy
  3. la norma non è intitolata alla privacy
  4. se non conoscete l’organizzazione aziendale, la L. 241/90, il TUDA, il CAD , il 165/01, il 42/04,  le norme e le tecniche archivistiche, la circolare 2/2017 AGID, non fate guai, non improvvisatevi consulenti PRIVACY
  5. la norma non è intitolata alla privacy
  6. se mettevate la dat certa al DPSS , lasciate stare
  7. se avete condiviso su facebook la policy privacy data dalla guardia di finanza lasciate stare
  8. la norma non è intitolata alla privacy
  9. se pensate che il DPO guadagnerà centinaia di migliaia di euro , lasciate stare
  10. se fino ad oggi avete affrontao la PRIVACY senza conoscere il manuale ex art 5 DPCM 04 12 13 lasciate stare
  11. se non avete  mai attuato il 50 bis del CAD ( ora 51 ) lasciate stare
  12. se siete convinti che la legittimazione al trattamento derivi solo dal consneso lasciate stare
  13. se non conoscete le policy BYOD lasciate stare

 

Bollettino CERT-PA

Il CERT-PA ha pubblicato una nota per allertare sugli effetti dannosi della campagna di diffusione malware attraverso il dominio documenticertificati[.]com.

Nella giornata del 13 marzo 2018 si è diffusa una attività malevola di propagazione malware attraverso il dominio “documenticertificati[.]com”, che appare come un sito sicuro identificato da un certificato di sicurezza e con i loghi di AgID e SPID.

ATTENZIONE! Il dominio in oggetto è estraneo alle attività di AgID e/o del circuito SPID.

L’Agenzia per l’Italia Digitale ha pubblicato – di seguito e attraverso il CERT-PA – delle indicazioni per riconoscere l’attività malevola e gli indicatori di compromissione.

Come arriva il malware

Il link al download arriva all’utente finale tramite una email proveniente dall’account “admin[@]documenticertificati[.]com” e veicolata attraverso il servizio “mailjet[.]com”. La mail dal titolo “Consegna documenti per XXXX” riporta nel corpo del messaggio le credenziali per scaricare la finta “pratica”(con XXX personalizzato per il destinatario). Una volta inserite le credenziali, è proposto in download un file .zip contenente due malware: uno di tipo PE, l’altro JAR.

Quaderno GDPR -PARTE 3- I DIRITTI DELL’INTERESSATO

L’interessato ha diversi poteri sul controllo dei dati che lo riguardano, e solo grazie a questi diritti ” può liberamente proettare la sua identità attarverso le informazioni” come detto da S.Rodotà.

L’interessato deve essere reso edotto riguardo i suoi diritti attraverso una nota alla trasparenza, od informativa .

Tuttavia quando i dati vengono trattati per adempiere ad obblighi di legge l’interessato può essere “passivo” di trattamento senza conoscere l’esistenza di procedure che lo riguardano.

Per contro, non è necessario imporre l’obbligo di fornire l’informazione se l’interessato dispone già dell’informazione, se la registrazione o la comunicazione dei dati personali sono previste per legge o se informare l’interessato si rivela impossibile o richiederebbe uno sforzo sproporzionato. Quest’ultima eventualità potrebbe verificarsi, ad esempio, nei trattamenti eseguiti a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici. In tali casi si può tener conto del numero di interessati, dell’antichità dei dati e di eventuali garanzie adeguate in essere.

Come da considerando 62.

Il diritto di accesso ai dati personali.

Scorrendo il Reg, i lprimo diritto contemplato è normato dall’articolo 15 e sancisce in “prinicpio”  la conferma dell’esistenza e del trattamento dei dati da parte di un titolare del trattamento .

Articolo 15

Diritto di accesso dell’interessato

1.   L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:

a)

le finalità del trattamento;

b)

le categorie di dati personali in questione;

c)

i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;

d)

quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

e)

l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;

f)

il diritto di proporre reclamo a un’autorità di controllo;

g)

qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;

h)

l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

2.   Qualora i dati personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, l’interessato ha il diritto di essere informato dell’esistenza di garanzie adeguate ai sensi dell’articolo 46 relative al trasferimento.

3.   Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune.

4.   Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui.

Il diritto di accesso e conoscenza dei dati è elevato a principio, infatti per esercitarlo non occorre che ci sia una lesione reale o potenziale.

Proprio per questo nn esistono particolari formalismi per esercitare il diritto, tantomeno il report risultante deve garantire particolari forme se non possedere il requisito dell’intellegibilità.

Il paragrafo 3 dell’articolo parte dal pressupposto che le copie del trattamento ( l’output intellegibile ) devono tendenzialmente essere gratuite, mentre il paragrafo 4 sancisce che il diritto dell’istante non deve comunque ledere la riservatezza di terzi, richiamando , pur se in maniera non espressa gli articoli 3 e  5 del DPR 184/2006.

Il diritto di rettifica e di integrazione.

Brevemente l’articolo 16 del GDPR richiama il diritto di avere i dati sempre aggiornati e veritieri, e l’istituto utilizzato per attuarlo è rappresentato dal potere di chiedere rettifiche ed integrazioni.

Articolo 16

Diritto di rettifica

L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

E’ importante notare che l’integrazione della informazione tratatta è strumentale alla situazione “nel sociale” dell’interessato.

Infatti un parere “errato” sull’interessato , magari pubblicato in albi non può essere rettificato ma deve essere integrato con apposita lettera di allungamento, anche in questo caso è evidente un richiamo al diritto amministrativo puro, in particolar modo all’autotutela dell’articolo 21 nonies della L. 241/90.

Il diritto alla cancellazione dei dati.

Il diritto alla cancellazione dei dati ( rettifica radicale) può essere esercitato quando ricorre uno dei seguenti casi :

a) dati non più necessari arispetto alle finalità

b) l’interessato revoca il consenso

c) l’interessato si oppone al trattamento

d) i dati personali sono stati trattati in modo illecito

e) i dati devono essere cancellati ex legem

f) i dati sono stati raccolti per l’erogazione di servizi informatici diretti a minori

Quaderno GDPR -PARTE 2- IL CONSENSO

Iniziamo con una domanda , ” il consenso ha un ruolo centrale ? “, se non volete leggere tutto il post la risposta immediata è  NO!!!.

ll trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.

Partendo dal quarto considerando è evidente l’equiparazione  della circolazione delle informazioni con la protezione dei dati personali, come gia detto nella parte prima del quaderno intitolato al GDPR il reg. 2016/679 deve essere considerato tutt’uno con il reg. 2014/910 , uniformare le informazioni elettroniche per farle circolare protette.

Alcuni principi sono elevati a “valoriali” , quasi simboli di libertà, ma la liberta deve essere proprozionata e bilanciata , proprio per questo il citato considerando recita che “ll trattamento dei dati personali dovrebbe essere al servizio dell’uomo”.

E’ opportuno osservare che anche l’articolo iniziale del GDPR al par 3 ricorda che

La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali

Il consenso, principio valore e principio da attuare, tra il dire ed il fare c’è di mezzo…

Il principio generale, enunciato dall’articolo 5 recita che  i dati deovono essere

trattati in modo lecito corretto e trasparente nei confronti dell’interessato

Ma quando c’è la liceità nel trattamento ? la norma da risposta in senso “esclusivo” e spostandoci dal principio – valore, astrattamente e difficilmente applicabile in un modello organizzativo dei trattament dei dati , ad un modello attuativo occorre utilizzare un processo di controllo bifasico.

Si parte dall’articolo 6 del Regolamento rubricato appunto Liceità del trattamento

1.   Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a)

l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

b)

il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c)

il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

d)

il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;

e)

il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

f)

il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

E’ chiaro, nella prima fase di accertamento che è condizione necessaria ma non sufficiente che si sia almeno una delle condizioni legittimanti.

Appurato il possesso di una condizione al processo del trattamento dei dati occorre verificare la fase n.2 di valutazione della liceità,  ed in aiuto ci viene l’articolo 5

1.   I dati personali sono:

a)

trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);

b)

raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);

c)

adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);

d)

esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);

e)

conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);

f)

trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

Pur non volendo approfondire , deve essere chiara una cosa, il consenso è solo una delle condizioni che legittimano il trattamento dei dati, le altre sono , cfr art 6 :

b)

il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c)

il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

d)

il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;

e)

il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

f)

il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

Il trattamento di particolari categorie di dati personali .

Come per il vecchio codice, anche nel GDPR c’è una forte attenzione ad alcuni particolari dati personali, vediamo l’articolo 9

  È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

2.   Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:

a)

l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;

b)

il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;

c)

il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;

d)

il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato;

e)

il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;

f)

il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;

g)

il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato;

h)

il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;

i)

il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale;

j)

il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

E’ evidente che da un’apertura semanticamente riduttiva del paragrafo 1 si passa ad una copiosa serie di condizioni legittimanti.

Caratteristiche del consenso, la forma dello stesso.

L’articolo 7 del GDPR recita

Condizioni per il consenso

1.   Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.

2.   Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante.

3.   L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato.

4.   Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.

Il consenso è qualsiasi manifestazione di volontà chiara ed incontrovertibile di accettazione delle condizioni di trasparenza ( l’informativa) porposta dal titolare del trattamento dei dati , per meglio capire del consenso e della forma è necessario prendere in esama anche il 32 ° considerando

Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.

Quindi  :

  • il consenso è  atto di accettazione del trattamento dei dati
  • la forma del consenso non deve essere necessariamente scritto, l’importante è la chiara manifestazione di volontà adesiva al trattamento
  • il consenso dovrebbe essere inizialmente espresso per ogni finalità di trattamento specifico, con la trasparenza sull’oggetto, le mdalità di trattamento, la circolazione delle informazioni, la durata, etc

Importante è non sottovalutare la disciplina della durata del trattamento nella nota alla trasparenza sul trattamento dei dati, essendo da un punto di vista giuridico, secondo la classificazione del Galgano , un contratto di durata ( atto negoziale recettizio unilaterale). Tuttavia la durata può anche essere sine die .

Forma scritta ab substantiam ? ad probationem ? .NO ! come detto l’importante è la chiarezza della volontà nel formare un atto di autodeterminazione da chi può agire ( con la specialità dell’eta nell’agire dato dall’articolo 8, eccezionalmente 16 anni).

Tuttavia conviene focalizzarci nuovamente sull’articolo 5 par. 2

Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo

e sull’articolo 7 par 1

.   Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali

da qui si evince che la dimostrazione di un fatto scritto è racomandabile ,

Quaderno GDPR – PARTE I-

Strutturalmente  il General Data Protection Regulation – Regolamento Generale sulla Protezione dei Dati

non si allontana molto dal nostro vecchio Codice del trattamento, salvo alcune specificità :

  • L’informativa
  • La modalità del consenso ( e  la liceità del trattamento in forza del consenso bifasico )
  • Sanzioni più incisive
  • Consenso del minore

da un punto di vista formale, e da un punto di vista operativo l’introduzione del principio dell’ ACCOUNTABILITY, la vera rivoluzione .

Cosa cambia ?

E’ cambiata la società, sono cambiati i tempi sono cambiate le aspettative verso l’informazione .

La norma comunitaria, come quella nostrana , no è intitolata alla PRIVACY, ma al corretto trattamento dei dati, e soprattutto occorre fare una precisazione fondamentale di politica regolamentare , il Reg. 2016/679 ed il Reg . 2014/910 devono essere letti come una complessiva idea comunitaria con l’obiettivo di uniformare il modo di generare le informazioni e di farle circolare liberamente nel mercato .

Infatti l’informazione ( il dato personale riferibile ad una persona fisica ) è definito come

bene giuridico , economicamente valutabile ed oggetto di scambio .

Tuttavia per ben approfondire la nuova norma rcordiamo anche che l‘informazione ed il dato personale  oltre ad avere una definizione economica hanno anche una definzione data dalla carat Europea dei Diritti Fondamentale , infatti l’articolo 8 recita:

Protezione dei dati di carattere personale

1.   Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

2.   Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica.

3.   Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente.

Proprio da questo richiamo ( non solitario ed univoco come vedremo nei prossimi approfondimenti ) , è chiaro che la norma non è intitlata ed intitolabile alla PRIVACY o RISERVATEZZA , ma al corretto trattamento dei DATI, come chiarito fin dal titolo “Regolamento Generale sulla Protezione dei Dati”

Il diritto alla protezione dei dati tutela l’informazioen riferita ( ed anche riferibile) ad un individuo, non tutela la personalità complessiva, solo una parte .
Anzi , occorre ribadire, che la tutela dell’identità personale è un istituto molto presente nel nostro ordinamento a differenza di quello europeo e pur essendo di creazione giurisprudenziale ha ben raccolto favori e successi, uno fra tutti il diritto all’oblio, non sempre conosciuto e disciplinato in altre realtà tranfrontaliere.

Ora conviene fermarci un moemnto e vedere le differenze tra il diritto alla protezione dei dati ed il diritto alla riservatezza.

Il primo diritto , quello alla protezione dei dati personali, consiste nella possibilità in capo al soggetto i cui dati si riferiscono,di esercitare un controllo, e come detto trova fonte primaria nell’articolo 8 della Carta dei Diritti Fondamentali dell’UE .

Il diritto alla riservatezza , invece , si concretizza nell’escludere la conoscenza di vicende personali e familiari , e trae evidentemente origine proprio dalla pietra miliare della PRIVACY, l’articolo WARREN – BRANDEIS  sul

“RIGHT TO BE LET ALONE ” e sul ” JUS SOLITUDINES” .

Enunciati che ritroviamo all’aritolo 7 della Carta Europea :

Rispetto della vita privata e della vita familiare

Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni.

In Italia il diritto alla riservatezza è stato riconosciuto dalla Corte di Cassazione con pronuncia 2129/1975.

In estrema sintesi, il diritto alla protzione dei dati ed il diritto alla riservatezza hanno oggetto diverso, possono talvolta coincidere, esempio classico è LA CARTELLA CLINICA.

Spostiamo ora l’attenzione sul perchè nasce l’esigenza del GDPR, la risposta è chiara ed univoca , contenuta nel considerando n. 9 ;

Sebbene i suoi obiettivi e principi rimangano tuttora validi, la direttiva 95/46/CE non ha impedito la frammentazione dell’applicazione della protezione dei dati personali nel territorio dell’Unione, né ha eliminato l’incertezza giuridica o la percezione, largamente diffusa nel pubblico, che in particolare le operazioni online comportino rischi per la protezione delle persone fisiche. La compresenza di diversi livelli di protezione dei diritti e delle libertà delle persone fisiche, in particolare del diritto alla protezione dei dati personali, con riguardo al trattamento di tali dati negli Stati membri può ostacolare la libera circolazione dei dati personali all’interno dell’Unione. Tali differenze possono pertanto costituire un freno all’esercizio delle attività economiche su scala dell’Unione, falsare la concorrenza e impedire alle autorità nazionali di adempiere agli obblighi loro derivanti dal diritto dell’Unione. Tale divario creatosi nei livelli di protezione è dovuto alle divergenze nell’attuare e applicare la direttiva 95/46/CE.

Inoltre come all’inizio scritto bisogna ben ricordare che il GDPR è il completamento naturale e fisiologico dell’ EIDAS, letti assieme hanno l’obiettivo di creare il MERCATO UNICO DIGITALE delle informazioni.

Ovviamente i dati trattati non possono essere utilizzati senza nessuna regola, e di queste regole bisogna tenerne conto, da qui il principio dell’ACCOUNTABILITY , articolo 32 GDPR .

Sicurezza del trattamento

1.   Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a)

la pseudonimizzazione e la cifratura dei dati personali;

b)

la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c)

la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

d)

una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

2.   Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

3.   L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

4.   Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

L’articolo parla chairamente di misure :

  • TECNICHE
  • ORGANIZZATIVE
  • GESTIONALI

indi è necessario non commettere l’errore di delegare le politiche di sicurezza dei dati alla funzione informatica e basta.

La valutazione tecnico – gestionale deve avere le connotazioni proprie dei modelli organizzativi, dell’as is anlisys , della ricerca del gap, del management , dell’assessment, delle politica correttive, dei risultati attesi e dei correttivi sulla dispersione da questi.

Solo partendo dalla suddetta valutazione contempliamo  l’acconutability, che viaggerà su due livelli :

1) Misure obbligatorie e prova dell’attuazione

2) Misure e sistemi volontaristici.

La valutazione dell’impatto .

Ancor prima di iniziare un trattamento il titolare deve valutare i rischi e decidere le politiche ( policy, presidi, controlli e rendicontazione ) per minimizzare l’uso illecito dei dati personali .

Qualora siano i rischi residuali ( terminologia ISO 31000 ) siano elevati occorre la consultazione preventiva coll’Autorità Amministrativa Indipendente.

Il Bilanciamento degli interessi .

Fin dal 2003, con il D.Lgs 196/03 ho rappresentato una parte minoritaria della dottrina che considerava il diritto alla protezioen dei dati un diritto “fondamentale ma non troppo” , ma lottavo in un’arena dove la norma era intitolata alla PRIVACY ( o meglio PRAIVACI , scusatemi la poca aleganza ) , prendendomi sempre qualche bella soddisfazione .

Già si considerava l’informazione un bene economico, era quindi chiara la tendenza normativa, poi con il Reg.  UE 2014/910 sempre più mi son fatto forte del fatto che anche il legislatore stava correndo ai ripari ( lessicali , l’intento era chiaro anche nella direttiva 95/46/CE ) , poi nel 2015 una chiara sentenza della Corte di Cassazione, n. 10280/15 sez III recita e sancisce

IL DIRITTO ALLA PROTEZIONE DEI DATI PUR RIENTRANDO NEI DIRITTI FONDAMENTALI NON E’ UN “TOTEM AL QUALE POSSONO SACRIFICARSI ALTRI DIRITTI COSTITUZIONALMENTE GARANTITI” …IL DIRITTO ALLA PROTEZIONE DEI DATI DEVE ESSERE ” COORDINATO E BILANCIATO” CON LE NORME DI CARATTERE PUBBLICISTICO E PRIVATISTICO.

Poi, nel 2016 con il GDPR la massima chiarezza nella lettera del 4 ° considerando :

Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.

La norma sembrerà complessa, ma è chiara, ancora una volta avremo come interocutori faccendieri improvvisati che non hanno la minima conoscenza di norme pubbliche e di gestione organizzativa dell’azienda, ma quando sentite parlare di PRAIVACI scappate, chiedete di discutere sul Corretto Trattamento dei Dati..

Continua la nostra DIGITAL COMMEDIA .

A presto

Incontro di (in)formazione in materia di sicurezza dei dati. Il 25 maggio è davvero prossimo!

C.A. Dirigenti Scolastici e Direttori S.G.A.

Oggetto: Incontro di (in)formazione su temi normativi cogenti

La Consulenti Associati S.a.s. di Elisa Carotenuto ed il dott. Vincenzo De Prisco di pregiano di invitarVi all’incontro che si terrà il giorno 22 febbraio p.v. alle ore 10.00 presso l’I.C. “Amalfi Massa” di Piano di Sorrento, via Ciampa.

Il programma dell’incontro verterà sui seguenti argomenti:

  • Il Codice dell’Amministrazione Digitale, tra modifiche, riedizioni ed il D.Lgs. 217/17
  • Il Corretto Trattamento dei Dati tra social e privacy
  • Il Regolamento Europeo 2016/679. Cosa cambia?
  • La sicurezza informatica tra Agid e GDPR. Minima o adeguata?

Vi aspettiamo!

Cordialmente, Elisa e Vincenzo

Incontro di (in)formazione sui temi della sicurezza informatica, tra Agid e GDPR – Liceo Sensale, Nocera Inferiore

C.A. Dirigenti Scolastici e Direttori S.G.A.

Oggetto: Incontro di (in)formazione su temi normativi cogenti

La Consulenti Associati S.a.s. di Elisa Carotenuto ed il dott. Vincenzo De Prisco di pregiano di invitarVi all’incontro che si terrà il giorno 16 febbraio p.v. alle ore 10.00 presso il Liceo Scientifico Sensale, via S. D’Alessandro, Nocera Inferiore, ospiti della D.s. Prof.ssa Elvira D’Ambrosio.

Il programma dell’incontro verterà sui seguenti argomenti:

  • Il Codice dell’Amministrazione Digitale, tra modifiche e riedizioni
  • Il Corretto Trattamento dei Dati tra social e privacy
  • Il Regolamento Europeo 2016/679. Cosa cambia?
  • La sicurezza informatica tra Agid e GDPR. Minima o adeguata?

Vi aspettiamo!

Cordialmente, Elisa e Vincenzo

Il CAD, le novità dirompenti , quelli che…a volte ritornano, e nuovi poteri .

La novità dirompente è certamente rappresentata dalla modificazione all’articolo 6, UTILIZZO DEL DOMICILIO DIGITALE.

Le comunicazioni tramite i domicili digitali sono effettuate
agli indirizzi inseriti negli elenchi di cui agli articoli 6-bis,
6-ter e 6-quater, o a quello eletto come domicilio speciale per
determinati atti o affari ai sensi dell’articolo 3-bis, comma
4-quinquies. Le comunicazioni elettroniche trasmesse ad
uno dei domicili digitali di cui all’articolo 3-bis producono,
quanto al momento della spedizione e del ricevimento, gli
stessi effetti giuridici delle comunicazioni a mezzo raccomandata
con ricevuta di ritorno ed equivalgono alla notificazione
per mezzo della posta salvo che la legge disponga
diversamente. Le suddette comunicazioni si intendono spedite
dal mittente se inviate al proprio gestore e si intendono
consegnate se rese disponibili al domicilio digitale del destinatario,
salva la prova che la mancata consegna sia dovuta
a fatto non imputabile al destinatario medesimo. La data e
l’ora di trasmissione e ricezione del documento informatico
sono opponibili ai terzi se apposte in conformità alle Linee
guida.

La portata è talmente amplia che accanto ai già noti elenchi IPA, INI-PEC e R.I è istituito l’Indice Nazionale dei domicili digitali delle persone fisiche e degli altri enti non tenuti all’iscrizione il albi professionali e CCIAA, come palesato dall’articolo 6 quater

Indice nazionale dei domicili digitali delle persone
fisiche e degli altri enti di diritto privato, non tenuti
all’iscrizione in albi professionali o nel registro delle imprese
1. E’ istituito il pubblico elenco dei domicili digitali delle persone
fisiche e degli altri enti di diritto privato non tenuti all’iscrizione
in albi professionali o nel registro delle imprese, nel
quale sono indicati i domicili eletti ai sensi dell’articolo 3-bis,
comma 1-bis. La realizzazione e la gestione dell’Indice sono
affidate all’AgID, che vi provvede avvalendosi delle strutture
informatiche delle Camere di commercio gia’ deputate
alla gestione dell’elenco di cui all’articolo 6-bis.
2. Per i professionisti iscritti in albi ed elenchi il domicilio
digitale e’ l’indirizzo inserito nell’elenco di cui all’articolo
6-bis, fermo restando il diritto di eleggerne uno diverso ai
sensi dell’articolo 3-bis, comma 1-bis. Ai fini dell’inserimento
dei domicili dei professionisti nel predetto elenco il Ministero
dello sviluppo economico rende disponibili all’AgID,
tramite servizi informatici individuati nelle Linee guida, i
relativi indirizzi gia’ contenuti nell’elenco di cui all’articolo
6-bis.

Tuttavia la stessa norma al comma 3 prescrive la temporaneità di questo elenco nelle more della messa a regime dell’ANPR .

Grosse modifiche anche all’articolo 17 del codice che sottolinea :

  • la presenza del RTD in ogni PA
  • e sposta centralmente presso l’AGID l’ufficio del Difensore civico ,

per chi volesse approfondire la previgente norma , che comunque resta valida negli obiettivi :

e

Lo stesso articolo 17 , si novella di precisazioni attorno alle funzioni del RTD al comma 1 lett j bis :

…pianificazione e coordinamento degli acquisti di soluzioni
e sistemi informatici, telematici e di telecomunicazione
al fine di garantirne la compatibilita’ con gli obiettivi di
attuazione dell’agenda digitale e, in particolare, con quelli
stabiliti nel piano triennale di cui all’articolo 16, comma 1,
lettera b).

In poche parole il RTD è il progettista degli acquisti in ambito informatico ( e non scoperchio il vespaio degli acquisti informatici , cfr il grosso danno erariali degli acquisti per la dematerializzazione in barba all’articolo 61 del D.lgs 179/16) .

Altra novità è lo sdoganamento ( come già avviene all’articolo 22 del D.Lgs 50/16) dei portatori di interesse, meglio conosciuti col malefico nome di lobby . Infatti l’articolo 18 del CAD introduce la piattaforma nazionale per la governance della trasformazione digitale , ove possono incontrarsi le esigenze delle PP.AA. e dei portatori di interesse .

Piattaforma nazionale per la governance della trasformazione
digitale
1. E’ realizzata presso l’AgID una piattaforma per la consultazione
pubblica e il confronto tra i portatori di interesse
in relazione ai provvedimenti connessi all’attuazione dell’agenda
digitale.
2. AgID identifica le caratteristiche tecnico-funzionali della
piattaforma in maniera tale da garantire che la stessa sia
accessibile ai portatori di interessi pubblici e privati e che
sia idonea a raccogliere suggerimenti e proposte emendative
in maniera trasparente, qualificata ed efficace.
3. Il Piano triennale per l’informatica nella pubblica
amministrazione di cui all’articolo 14-bis e’ pubblicato sulla
piattaforma e aggiornato di anno in anno.
4. Tutti i soggetti di cui all’articolo 2, comma 2, lettera a),
possono pubblicare sulla piattaforma i provvedimenti che
intendono adottare o, qualora si tratti di provvedimenti soggetti
a modifiche e aggiornamenti periodici, gia’ adottati,
aventi ad oggetto l’attuazione dell’agenda digitale.
5. I soggetti di cui all’articolo 2, comma 2, lettera a), tengono
conto di suggerimenti e proposte emendative raccolte
attraverso la piattaforma.

L’articolo 20, croce e delizia dei giuristi del c.d. DAE ( diritto amministrativo elettronico ) pur non avendo modificato di molto ( per niente ) la portata , ha introdotto un poco di ordine ( che dovrebbe essere proprio del TU ) ricordando dell’efficacia giuridica e dell’opponibilità   ex art 2702 inserendo ne codice il principio dell’articolo 25 del Reg Eu/2014/910( EIDAS) , riporto il comma 1 bis :

1-bis. Il documento informatico soddisfa il requisito della
forma scritta e ha l’efficacia prevista dall’articolo 2702 del
Codice civile quando vi e’ apposta una firma digitale, altro
tipo di firma elettronica qualificata o una firma elettronica
avanzata o, comunque, e’ formato, previa identificazione
informatica del suo autore, attraverso un processo
avente i requisiti fissati dall’AgID ai sensi dell’articolo 71
con modalita’ tali da garantire la sicurezza, integrita’ e
immodificabilita’ del documento e, in maniera manifesta e
inequivoca, la sua riconducibilita’ all’autore. In tutti gli
altri casi, l’idoneita’ del documento informatico a soddisfare
il requisito della forma scritta e il suo valore probatorio sono
liberamente valutabili in giudizio, in relazione alle caratteristiche
di sicurezza, integrita’ e immodificabilita’. La data e
l’ora di formazione del documento informatico sono opponibili
ai terzi se apposte in conformita’ alle Linee guida.
1-ter. L’utilizzo del dispositivo di firma elettronica qualificata
o digitale si presume riconducibile al titolare di firma
elettronica, salvo che questi dia prova contraria.
1-quater. Restano ferme le disposizioni concernenti il deposito
degli atti e dei documenti in via telematica secondo la
normativa, anche regolamentare, in materia di processo telematico.

Ritorna inoltre , ci è mancato per un anno circa, il piano di emergenza e continuità operativa delle PP AA, infatti l’articolo 51 ai commi 2 ter e quater reintroduce quanto abrogato dal D.Lgs 179/16

2-ter. I soggetti di cui all’articolo 2, comma 2, aderiscono
ogni anno ai programmi di sicurezza preventiva coordinati e
promossi da AgID secondo le procedure dettate dalla medesima
AgID con le Linee guida.
2-quater. I soggetti di cui articolo 2, comma 2, predispongono,
nel rispetto delle Linee guida adottate dall’AgID, piani
di emergenza in grado di assicurare la continuita’ operativa
delle operazioni indispensabili per i servizi erogati e il ritorno
alla normale operativita’. Onde garantire quanto previsto,
e’ possibile il ricorso all’articolo 15 della legge 7 agosto
1990, n. 241, per l’erogazione di servizi applicativi, infrastrutturali
e di dati, con ristoro dei soli costi di funzionamento.
Per le Amministrazioni dello Stato coinvolte si provvede
mediante rimodulazione degli stanziamenti dei pertinenti
capitoli di spesa o mediante riassegnazione alla spesa degli
importi versati a tale titolo ad apposito capitolo di entrata
del bilancio statale.

 

Ed ora la novità più grande che dovrebbe eliminare lo stallo di tutti i precedenti CAD, il potere in capo all’Agid di emanare LLGG dal tenore di soft law, infatti ora le regole tecniche dell’articolo 71 saranno targate AGID.

Penso che dopo 13 anni, la maturità della norma sia arrivata . CAD  , facci vedere cosa puoi fare !!!!

E poi mi piace sempre sottolineare che la risposta ad ogni “variazione” è sempre data dalla formazione, articolo 13 CAD

Formazione informatica dei dipendenti pubblici

Le pubbliche amministrazioni nell’ambito delle risorse finanziarie
disponibili, attuano politiche di reclutamento e formazione
del personale finalizzate alla conoscenza e all’uso delle
tecnologie dell’informazione e della comunicazione, nonché dei
temi relativi all’accessibilità e alle tecnologie assistive, ai sensi
dell’articolo 8 della legge 9 gennaio 2004, n. 4.
1-bis. Le politiche di formazione di cui al comma 1 sono altresì
volte allo sviluppo delle competenze tecnologi-che, di informatica
giuridica e manageriali dei dirigenti, per la transizione alla
modalità operativa digitale.

 

 

Qualche anticipazione per i RTD sul D.Lgs 217/17 il NUOVO CAD

Il correttivo al CAD oltre a continuare sul filone filosofico e concettuale introduce nuovamente alcuni istituti cancellati dal D.Lgs 179/16 ( a parere dello scrivente erroneamente ), come ad esempio :

  • come già accennato si riconferma l’importanza del responsabile alla transizione in ogni PA , infatti l’articolo 17 del D. Lgs 217/2017 che modifica l’articolo 17 del D.lgs 82/05 ( già variato dal D.lgs 179/16) mette maggiore enfasi sull’importanza del RTD in ogni PA ed istituisce l’ufficio centrale presso l’AGID del Difensore Civico Digitale .
    Al RTD spetta : progettazione sugli acquisti ed integrazione, rispetto delle misure articolo 71 del CAD ed impulso per il nuovo servizio di “identità e domicilio digitale”
  • identita’ e domicilio digitale, sistema di prossima attuazione ibrido tra PEC-ID e SPID
  • Reintroduzione della continuità operativa ( art. 46 del D.lgs 217/2017 che introduce il comma 2 – quater all’articolo 51 del CAD)
  • Interoperabilità
  • Riutilizzazione del softwareOvviamente il tutto anche in ottica GDPR.  Ben venga la rivoluzione .
    
    

Nuovo CAD e NUOVA PRIVACY ! Siete Pronti ? Direi di no!!!!

Meno di 20 giorni per il nuovo codice dell’amministrazione digitale e circa 60 per prepararci al GDPR, già vedo in giro tante soluzioni hardware e software con grande danno erariale ( vedi segreteria digitale etc etc )!!!!

 

Come sempre dovrebbe essere il RTD a dare le dritte , a buon intenditore poche parole…

…oltre  al danno erariale nullità originale degli atti e sanzioni amministrative e penali,

 

 

A cosa serve il responsabile alla transizione digitale ? ad evitare sanzioni.

Parliamone un po’.

Il responsabile alla transizione digitale  ( vedi anche questo post ),

è secondo l’articolo 17 CAD colui che si occupa de :

a) coordinamento strategico dello sviluppo dei sistemi informativi, di telecomunicazione e fonia, in modo da assicurare anche la coerenza con gli standard tecnici e organizzativi comuni;
b) indirizzo e coordinamento dello sviluppo dei servizi, sia interni che esterni, forniti dai sistemi informativi di telecomunicazione e fonia dell’amministrazione;
c) indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica relativamente ai dati, ai sistemi e alle infrastrutture anche in relazione al sistema pubblico di connettivita’, nel rispetto delle regole tecniche di cui all’articolo 51, comma 1;
d) accesso dei soggetti disabili agli strumenti informatici e promozione dell’accessibilita’ anche in attuazione di quanto previsto dalla legge 9 gennaio 2004, n. 4;
e) analisi ((periodica)) della coerenza tra l’organizzazione dell’amministrazione e l’utilizzo delle tecnologie dell’informazione e della comunicazione, al fine di migliorare la soddisfazione dell’utenza e la qualita’ dei servizi nonche’ di ridurre i tempi e i costi dell’azione amministrativa;
f) cooperazione alla revisione della riorganizzazione dell’amministrazione ai fini di cui alla lettera e);
g) indirizzo, coordinamento e monitoraggio della pianificazione prevista per lo sviluppo e la gestione dei sistemi informativi di telecomunicazione e fonia;
h) progettazione e coordinamento delle iniziative rilevanti ai fini di una piu’ efficace erogazione di servizi in rete a cittadini e imprese mediante gli strumenti della cooperazione applicativa tra pubbliche amministrazioni, ivi inclusa la predisposizione e l’attuazione di accordi di servizio tra amministrazioni per la realizzazione e compartecipazione dei sistemi informativi cooperativi;
i) promozione delle iniziative attinenti l’attuazione delle direttive impartite dal Presidente del Consiglio dei Ministri o dal Ministro delegato per l’innovazione e le tecnologie;
j) pianificazione e coordinamento del processo di diffusione, all’interno dell’amministrazione, dei sistemi di posta elettronica, protocollo informatico, firma digitale ((o firma elettronica qualificata)) e mandato informatico, e delle norme in materia di accessibilita’ e fruibilita’.
Inoltre mantenendo un profilo di pura narrazione è nei compiti assimilabile al DPO, riporto l’articolo l’articolo 37 comma c, 5  del Reg. 2016/679/UE
Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.
In parole semplici queste figure possono essere accorpate in una unica funzione ( e vige sempre il proncipio dell’articolo 7 comma 6 del D.Lgs 165/01) ed hanno il fine di ultimo di far evitare sanzioni.
Qualche esempio ?
  •   Quante PPAA hanno siti web conformi alle leggi ? ( avete controllato le LLGG AGID prima di rispondere ?)
  • Quante PPAA hanno sistemi documentali per la dematerializzazione ? Ma avete letto l’articolo 61 del D.lgs 179/16 ? No ?, ok, dice che dovete attendere le LLGG per la formaizone dei documenti ?
  • Quanti di voi mandano in conservazione il protocollo ? tutti ? siete sicuri ? non è che mandate in conservazione solo la pagina del giorno prima come da DPCM 03/12/13 in barba all’articolo 67 TUDA ?

Purtroppo molte PPAA hanno fatto investimenti sbagliati proprio perchè carenti di progettazione ( articolo 31 codice dei contratti ) .

Giusto per ulteriore chiarezza vi mando ad ul link di ottobre 2016, quando già era nota la scadenza di nomina .

 

Via libera al nuovo CAD

Entriamo in pieno CAD 6.0

“il Cad getta le fondamenta giuridiche per molti dei servizi stabiliti nel piano, servizi che si stanno già realizzando come, per esempio, quello di Cittadinanza Digitale o il Data & Analytics Framework (Daf), oppure ancora il servizio per l’elezione del domicilio digitale dei cittadini”.

 

Piacentini.

Sicurezza Informatica, le associazioni ed i sindacati, quanta confusione. Spero che finisca velocemente questo anno .

Da anni lavoro con :

  • Scuole
  • ASL
  • Aziende Ospedaliere
  • Ordini professionali
  • Piccoli comuni
  • Aziende speciali
  • Partecipate

ed ogni volta che si presenta qualche novità mi sento dire ” questa norma non è per noi ….”

…e diciamo nemmeno per il salumaio .

Le norme sono generiche , vanno adattate , nel nostro caso si applicano ai soggetti dell’articolo 2 comma 2 del CAD, che rimanda all’articolo 1 comma 2 del D .Lgs 165/01.

Inoltre è stata chiara in una delle tante riforme del CAD l’evidenza  che l’articolo 17 ( responsabile alla transizione e difensore civico digitale ) non è più  solo per le PA centrali come l’originario testo normativo , ma per le PA tout court come modificato dal D.lgs 179/16 ,

riporto in confronto tabellare :

PRIMA…

Le pubbliche amministrazioni centrali garantiscono l’attuazione delle linee strategiche per la riorganizzazione e digitalizzazione dell’amministrazione
…DOPO il 179/16
Le pubbliche amministrazioni garantiscono l’attuazione delle linee strategiche per la riorganizzazione e la digitalizzazione dell’amministrazione.
Ma andiamo oltre, perchè comunque il problema si sposta solo sulla funzione coinvolta e non sul problema da risolvere con l’adempimento contenuto del DPCM 01.08.2015, la sicurezza informatica.
Crediamo realmente che il danno erariale come scritto da qualche associazione sia pagare la consulenza per l’adeguamento ? se la risposta è si non proverò a convincervi, alzo le mani e mi arrendo .
E mentre l’associazione dichiarava pubblicamente di farvi esenti dalla scadenza, il Miur vi aveva invitato a seguire la propria formazione in merito.
Cari dirigenti dello Stato , siamo in rivoluzione industriale 4.0, il vero danno è non proteggere le informazioni, e costa ben più dei 2 – 3 mila euro della nomina del RTD e per l’adeguamento immediatamente successivo del registro dei trattamenti 679.
Vogliamo continuare a parlare di danno erariale ?
Non osservare l’articolo 10 comma 2 lett b, e l’articolo 30 del D.Lgs 42/2004 è danno erariale, l’avere acquistato soluzioni miste HW+SW per la dematerializzazione senza nessun criterio ( art 61 D.Lgs 179/16) è danno erariale, avere commissionato siti web inadeguati è danno erariale…
Si è vero non potevate sapere ( BAH ! ) che esistevano queste norme, non potete sapere tutto , ma chi dovrebbe dirvelo ? proprio il responsabile alla transizione digitale .
In ogni caso il problema si sposta di qualche giorno, proprio perchè il correttivo CAD  bollinato CDS chiarisce che :
– all’articolo 15 ( modifica del 17 del CAD ) il responsabile alla transizione sia presente in ogni PA, il difensore CIVICO presso l’AGID
– all’articolo 44 ( modifica del 51 CAD) ogni PA deve redigere un piano di CO-DR.
A presto, spero di essere il vs responsabile alla transizione.

Pagamenti informatici della PA.

E’ importante ricordare che il CAD. le lineee guida sui pagamenti informatici ed il piano triennale danno come scadenza quella del 31/12/2017 per l’abilitazione al nodo SPC-PAGOPA .
stralcio articolo 5 del D.Lgs 82/05
Art. 5 (Effettuazione di pagamenti con modalita’ informatiche).
((1. I soggetti di cui all’articolo 2, comma 2, sono obbligati ad accettare, tramite la piattaforma di cui al comma 2, i pagamenti spettanti a qualsiasi titolo attraverso sistemi di pagamento elettronico, ivi inclusi, per i micro-pagamenti, quelli basati sull’uso del credito telefonico. Resta ferma la possibilita’ di accettare anche altre forme di pagamento elettronico, senza discriminazione in relazione allo schema di pagamento abilitato per ciascuna tipologia di strumento di pagamento elettronico come definita ai sensi dell’articolo 2, punti 33), 34) e 35) del regolamento UE 2015/751 del Parlamento europeo e del Consiglio del 29 aprile 2015 relativo alle commissioni interbancarie sulle operazioni di pagamento basate su carta.))
((2. Al fine di dare attuazione al comma 1, l’AgID mette a disposizione, attraverso il Sistema pubblico di connettivita’, una piattaforma tecnologica per l’interconnessione e l’interoperabilita’ tra le pubbliche amministrazioni e i prestatori di servizi di pagamento abilitati, al fine di assicurare, attraverso gli strumenti di cui all’articolo 64, l’autenticazione dei soggetti interessati all’operazione in tutta la gestione del processo di pagamento.))
La piattaforma abilitante prevede un terzo soggetto ( il prestatore di servizi di pagamento ) che dietro contratto di servizi gestisce gli incassi della PA abilitata al PAGO PA mediante la procedura AGID.
Il servizio PagoPA è ulteriormente richiamato a livello normativo nell’articolo 15 comma 5 bil del DL 179/12 ( crescita del paese ), che riporto ,
5-bis. Per il conseguimento degli obiettivi di razionalizzazione e contenimento della spesa pubblica in materia informatica ed al fine di garantire omogeneita’ di offerta ed elevati livelli di sicurezza, le amministrazioni pubbliche devono avvalersi per le attivita’ di incasso e pagamento della piattaforma tecnologica di cui all’articolo 81, comma 2-bis, del decreto legislativo 7 marzo 2005, n. 82, e delle piattaforme di incasso e pagamento dei prestatori di servizi di pagamento abilitati ai sensi dell’articolo 5, comma 3, del decreto legislativo 7 marzo 2005, n.82.
Dal tenore della norma è evidente che l’obbligo della PA è contrapposto al diritto dei privati di poter pagare le obbligazioni ( qualsiasi ) con gli strumenti elettronici, tanto è vero che la PA non può mettere in mora il debitore se non si è dotato del SPC PAgoPA.
Il servizio di pagamento deve avere i seguenti elementi minimi :
a) Denominazione ente creditore
b) ID univoco debitore
c) Importo
d) ID univoco di versamento
e) Scadenza ( eventuale),
inoltre deve liberare immediatamente il debitore con amplia quietanza ( esempio di pagamento eseguito l’ultimo giorno), accettare tutti i tipi di pagamento , pagamenti in credito od in debito di plastica, moneta elettronica, borsellino elettronico, SEPA, mobile payment etc. e deve indicare sin dall’inizio il costo massimo dell’operazione.

Focus sulle prossime scadenze, incontro a Cerreto Sannita

Spett.li D.s. e D.s.g.a.

in vista delle prossime scadenze e delle novità normative e procedurali,

Vi aspettiamo

Lunedì 30 Ottobre, alle ore 9.30 presso l’I.C. “A. Mazzarella” di Cerreto Sannita (BN), ospiti della Ds Anna Maria Puca.

L’incontro affronterà i temi ed i dubbi più ricorrenti nelle istituzioni scolastiche, approcciati con la consueta ortodossia ed in considerazione di ciò che avverrà nei prossimi 200 giorni, dalle misure di sicurezza agli adempimenti AGID, fino all’ultima grande novità di primavera, con l’entrata in vigore del nuovo Regolamento Europeo Privacy.

Cordialmente, Elisa Carotenuto e Vincenzo De Prisco

SCHEDA INFORMATIVA REGOLAMENTO 2016/679/UE: LE PRIORITA’ PER LE PA

Riporto la scheda delle priorità per le PP.AA. redatta dal GPDR .

La principale novità introdotta dal regolamento è il principio di “responsabilizzazione” (cd. accountability), che attribuisce direttamente ai titolari del trattamento il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali (art. 5).

In quest’ottica, la nuova disciplina impone alle amministrazioni un diverso approccio nel trattamento dei dati personali, prevede nuovi adempimenti e richiede un’intensa attività di adeguamento, preliminare alla sua definitiva applicazione a partire dal 25 maggio 2018.

Al fine di fornire un primo orientamento il Garante per la protezione dei dati personali suggerisce alle Amministrazioni pubbliche di avviare, con assoluta priorità:

1. la designazione del Responsabile della protezione dei dati – RPD (artt. 37-39)

Questa nuova figura, che il regolamento richiede sia individuata in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati, costituisce il fulcro del processo di attuazione del principio di “responsabilizzazione”. Il diretto coinvolgimento del RPD in tutte le questioni che riguardano la protezione dei dati personali, sin dalla fase transitoria, è sicuramente garanzia di qualità del risultato del processo di adeguamento in atto. In questo ambito, sono da tenere in attenta considerazione i requisiti normativi relativamente a: posizione (riferisce direttamente al vertice), indipendenza (non riceve istruzioni per quanto riguarda l’esecuzione dei compiti) e autonomia (attribuzione di risorse umane e finanziarie adeguate);

2. l’istituzione del Registro delle attività di trattamento (art. 30 e cons. 171)

Essenziale avviare quanto prima la ricognizione dei trattamenti svolti e delle loro principali caratteristiche (finalità del trattamento, descrizione delle categorie di dati e interessati, categorie di destinatari cui è prevista la comunicazione, misure di sicurezza, tempi di conservazione, e ogni altra informazione che il titolare ritenga opportuna al fine di documentare le attività di trattamento svolte) funzionale all’istituzione del registro. La ricognizione sarà l’occasione per verificare anche il rispetto dei principi fondamentali (art. 5), la liceità del trattamento (verifica dell’idoneità della base giuridica, artt. 6, 9 e 10) nonché l’opportunità dell’introduzione di misure a protezione dei dati fin dalla progettazione e per impostazione (privacy by design e by default, art. 25), in modo da assicurare, entro il 25 maggio 2018, la piena conformità dei trattamenti in corso (cons. 171);

3. la notifica delle violazioni dei dati personali (cd. data breach, art. 33 e 34)

Fondamentale appare anche, nell’attuale contesto caratterizzato da una crescente minaccia alla sicurezza dei sistemi informativi, la pronta attuazione delle nuove misure relative alle violazioni dei dati personali, tenendo in particolare considerazione i criteri di attenuazione del rischio indicati dalla disciplina e individuando quanto prima idonee procedure organizzative per dare attuazione alle nuove disposizioni.

Qualche anticipazione sul CAD 6.0

“È vero che talvolta occorre cambiare qualche legge. Ma il caso è raro; e quando avviene, bisogna ritoccarle con mano tremante: con tanta solennità e con tante precauzioni che il popolo debba concluderne che le leggi sono veramente sante; e soprattutto con tanta chiarezza che nessuno possa dire di non averle capite. (Montesquieu)”

L’8 settembre ultimo è stata depositata per l’ultima lettura la normativa “correttivo al CAD”, quindi siamo a quota 6.

Le maggiori novità riguardano :

  • Poteri regolatori dell’AgID ( potrà emanare soft-law, regolamenti, cfr ll.gg. ANAC)
  • Attuazione  immediata del domicilio digitale senza attendere il pieno regime dell’ANPR
  • Nuovi poteri al responsabile della transizione al digitale ( che dovrà essere nomianto per attuare le scadenze imposte e certificate dalla circolare 2/2017 AgID)
  • Possibilità di nominare il responsabile per la transizione al digitale “condiviso” per abbattere i costi
  • Disicplina delle istanze avute ed eseguite con lo SPID, con consecutiva variazione del Manuale di gestione documentale

Adempimenti AGID- SICUREZZA INFORMATICA per il 31/12/2017….corriamo ai ripari

L’avvento del CERT-PA (istituito con l’articolo 20 comma 3 del DL 83/12) purtroppo non è molto noto alle PP.AA. e questa ignoranza fa perdere l’opportunità di sfruttare le competenze di un ufficio con ampie competenze specifiche.

La PA che deve adeguarsi al GDPR rischia un fallimento almeno duplice per questi motivi:

  • Mancanza di un modello organizzativo documentale (il manuale ex art 5 DPCM 03/12/13)
  • Mancanza dell’adeguamento alla Circolare 2/2017 AGID, GU SG n.103 del 5.5.17

Del manuale già ho scritto in altri post, ora voglio velocemente soffermarmi sulla Circolare che al primo articolo indica gli obiettivi: le MMS-PA (Misure minime che poi vedremo essere standard).

All’articolo 2 si individuano le PA (concetto allargato) destinatarie ed al 3 si individua il soggetto responsabile, quello che poeticamente già ho definito altrove DIFENSORE CIVICO 2.0, ai sensi dell’articolo 17 del CAD (art 17 comma 1 – ter D.lgs 82/2005).

I livelli di misura di sicurezza sono calcolati adoperando il ABSC (Agid Basic Security Controls) ed avere un Tier o Rating :

  • Minimale (oltre al quale non è consentito scendere)
  • Standard (il valore atteso)
  • Alto (limite superiore di tendenza)

Lo standard utilizzato è il SANS 20 che, sinotticamente, prevede:

  • Inventario hardware classificato per IP
  • Inventario software con versione e licenza ed autorizzazione negata per i non censiti
  • Protezione e cifratura
  • Valutazione continua della vulnerabilità
  • ACL
  • Difesa Malware
  • Policy di DR

Le risultanze del SANS 20 – ABSC vanno inserite in Allegato 2, marcate temporalmente ed inviate al CERT-PA in caso di problemi informatici.

Ecco, ora si può iniziare a parlare di GDPR…ricordando che il correttivo al CAD probabilmente introdurrà nuovamente il piano DR-CO e che l’analisi as is deve considerare per il GDPR ( e mi ripeto come anche per il 196) l’analisi dei processi , l’utilizzo degli indicatori, l’ausilio di una matrice RACI  e l’applicazione dei controlli del Trucker del 1997, in altre parole il DPSS 2.0 sarà frutto dell’applicazione della scienza dell’organizzazione e non di informatici che aggiornano gli antivirus e di copiatori seriali che distribuiscono informative in maniera indiscriminata.

 

SANZIONI FINO A 20 MILIONI di €, LA NUOVA PRIVACY, GUIDA PER LE PP.AA.

 

Focus per le PP.AA.

Prepariamoci seriamente al GDPR , ovvero, partiamo da lontano ed impariamo a conoscere le norme fondamentali.

La sicurezza dei dati (di “carta” e di “bit”) è fondamentale per il controllo di una struttura, semplice o complessa che sia, per garantire la disponibilità, l’integrità e la riservatezza delle informazioni.

 

Parto dall’analisi di alcune ipotesi, che prima o poi troveremo trionfanti nelle slide di diversi esperti di PRIVACY, ritenendo sia necessario fare alcune considerazioni per meglio affrontare gli adempimenti direttamente od indirettamente legati al Regolamento 2016/679/UE .

 

Innanzitutto un chiarimento od una precisazione lessicale:  il GDPR, al pari della norma contenuta nel D.Lgs 196/03, non è un testo intitolato alla a Privacy , chiunque ha appellato così il 196 e continua ad appellare in tal modo il GDPR ben poco ha capito del complesso contenuto normativo che mira a creare dei modelli organizzativi  per la tutela e la resilienza delle informazioni; informative e consenso PRIVACY sono la parte residuale, non c’è divieto di circolazione delle informazioni ma regole sul trattamento delle stesse… ma attenzione, in fondo sono le stesse persone  che hanno redatto DPSS stereotipati o peggio ciclostilati applicandovi la data certa.

Il secondo punto da sottolineare è dato dalla disponibilità dei dati dell’ipotesi: questo principio non può e non deve essere un elemento da gestire in maniera nativa nel DPSS, o DPSS 2.0 o nel registro dei trattamenti. Nell’evidenza della manualistica derivante dall’applicazione del GDPR (al pari del 196), il requisito della disponibilità deve essere DERIVATO dalle norme archivistiche della PA, dai manuali di gestione documentale e dalle regole di conservazione (a norma), questo per spostare il cardine della norma al giusto punto. Occorre preservare le informazioni presenti negli archivi, dunque, sarebbe davvero “poco utile” preservare informazioni da attacchi se queste già in modalità normali non sono bene conservate o addirittura mal archiviate o non archiviate o fascicolate affatto.

Uno dei problemi più gravi, eppure molto ricorrente, è delegare all’informatica la scienza, i criteri e le tecniche archivistiche, magari introducendo criteri e multicriteri di ricerca, tralasciando l’euristica fondamentale.
La sicurezza ha un’importanza fondamentale in quanto è necessaria per garantire la disponibilità, l’integrità e la riservatezza delle informazioni proprie del Sistema Informativo di un’organizzazione.
Con molto piacere allo scorso ForumPA ascoltavo l’avv. Andrea Lisi che sottolineava questa criticità, trovandomi ben d’accordo. Troppi informatici e pochi esperti di gestione documentale, il tutto citando il  prof. Gianni Penzo Doria, trovano impiego e mercato nella PA, demandando agli investimenti informatici compiti propri dell’organizzazione interna.

Uno strumento che porterebbe ad un ordine prodromico alla corretta gestione dei dati è senza alcun dubbio il SGPA (Sistema di Gestione dei Procedimenti Amministrativi), grazie al quale finalmente nelle PA poco strutturate (quasi tutte) ci sarebbe organizzazione gestionale dei procedimenti, pur se, purtroppo, derivante da cause esogene e non organizzative interne.

 

 

In queste pagine vorrei rammentare la definizione di conservazione documentale contenuta nel DPCM 03/12/13:

“la conservazione di documenti e fascicoli informatici è l’attività ( indi un processo) volta a proteggere e mantenere nel tempo gli archivi e dati informatici “, il tempo di conservazione ci deriva invece dal CAD, in particolare dall’articolo 43  comma 3.”

“I documenti informatici, di cui è prescritta la conservazione per legge o regolamento, possono essere archiviati per le esigenze correnti anche con modalità cartacee e sono conservati in modo permanente con modalità digitali

Forse ora è arrivato il momento di utilizzare la terminologia adatta e fare distinzione tra chi crea un documento da conservare e che ha l’onere di preservarlo distinguendo tra:

  • SOGGETTO PRODUTTORE – ente, famiglia o persona che ha posto in essere, accumulato e conservato la documentazione nello svolgimento della propria attività personale od istituzionale
  • SOGGETTO CONSERVATORE – soggetto che conserva i fondi archivistici e li rende disponibili alla consultazione.

Il codice dei beni culturali (D.lgs 42/2004) ,  definisce gli archivi ed i singoli documenti di ogni PA “bene culturale” dalla fase corrente a quella storica ( art 10 c.2 lett b D.Lgs 42/2004) e ne sanziona l’incorretta conservazione ( art 30 e 170 D.lgs 42/2004) .

I documenti sono inseriti tramite un processo di classificazione in un fascicolo (aggregazione per nome, materia, affare, etc); il fascicolo informatico, già dall’inizio, deve garantire interoperabilità e segregazione nella consultazione, derivando sempre e comunque il carattere atomistico dell’archiviazione (articolo 41 del CAD) .

 

Voglio altresì velocemente trattare le relazioni che esistono tra la gestione e la conservazione, utilizzando sinteticamente alcuni punti fondamentali:

 

  • Piano di classificazione e fascicolazione: consente di ricostruire l’archivio nel sistema di conservazione
  • Piano di conservazione: definisce i tempi di invio in conservazione ed i tempi dello scarto archivistico
  • Formati: devono essere aperti ed idonei alla conservazione anche utilizzando regole tassonomiche
  • Metadati: informazioni di contesto associate al documento ed al fascicolo da inviare in conservazione
  • Tempi di trasferimento: qui si apre un altro bello scenario derivante dall’applicazione di norme nuove senza conoscere quelle più remote: ad esempio con l’introduzione del DPCM 03/12/13, in particolare dell’articolo 7 comma 5 sulla conservazione del giornale del protocollo, molte PA hanno dimenticato che i continui versamenti in conservazione non costituiscono l’implementazione del protocollo (per dire: dal protocollo finale e conforme si può fare l’estrapolazione legale e probante, dalla somma dei singoli versamenti non si può invece costruire tout court il registro di protocollo) mancando il trasferimento complessivo di fascicoli e serie di cui l’articolo 67 del TUDA e 44 del CAD.

Purtroppo lo stesso problema c’è anche per le serie che dovrebbero essere generate dalle imputazioni e dalle pubblicazioni sul web, per dirne una, nessuna PA da me intervista conserva referta di pubblicazione della pubblicità legale con evidenza della mancanza di funzionamento.

 

 

A questo punto passiamo alla pratica e proviamo a sintetizzare come si costruisce un piano di classificazione, tenendo conto che è essenziale tener conto dei tre requisiti fondamentali: Astrazione, semplificazione, strutturazione.

Astrazione: Nel costruire il titolario si tiene conto delle funzioni ( definite e stabili ) e non dell’organigramma, sempre mutevole.

Semplificazione:

–             Andare dal generale al particolare

–              Non ripetere a livelli inferiori quanto dovrebbe essere ai livelli superiori

–              Ridurre al minimo possibile le voci, le peculiarità sono evidenziate a livello fascicolare.

Strutturazione: due o tre livelli (titolo e classe, oppure titolo, classe e sottoclasse).

 

Sul tema dell’astrazione e la raccomandazione di lavorare sulle funzioni è importante tenere conto di una considerazione della SSPA :

“ È opportuno che il piano di classificazione individui con molta attenzione e coerenza tutte le componenti costitutive principali, con particolare attenzione alle voci di primo livello che devono essere attribuite ai documenti con rapidità e senza rischi di duplicazione, soprattutto in ambienti organizzativi di notevole complessità.. Come si specificherà meglio in seguito tali voci si distinguono per convenienza in due grandi categorie in base alla natura delle funzioni:

  • funzioni istituzionali (primarie), specifiche di ciascuna area organizzativa;
  • funzioni di gestione e strumentali (secondarie), condivisibili da più divisioni organizzative perché relative ad attività di funzionamento comuni a tutta la struttura di un soggetto pubblico o privato e, spesso, condivisibili anche in ambienti più ampi.”

 

Fatta la struttura occorre classificare e fascicolare: qui nascono i primi problemi, o meglio, nella fase immediatamente antecedente, quella della protocollazione. Raccomando infatti di non esagerare, evitando la panprotocollazione, chiaro sintomo di cattiva organizzazione aziendale e di attriti interni.

La classificazione è il processo che, tramite un indice (di classificazione) desunto da una struttura di voci (piano di classificazione), attribuisce ad ogni documento una definita unità archivistica, e giova nuovamente ricordarlo, l’unità atomistica di archiviazione non è il documento stesso, ma il fascicolo.

Il fascicolo, in altre parole, rappresenta la risposta pratica e concreta di un sistema di catalogazione generale ed astratto.

 

 

Riporto l’esempio, sempre CALZANTE, dei Calzini  del principe Carlo.

Problema: il principe Carlo di Windsor ha 8.340 paia di calzini. Ogni calzino ha le giarrettiere abbinate e fiocchi ornamentali. Ogni mattina il suo maggiordomo Archibald deve trovare quelli intonati con la cravatta e ha 5 minuti di tempo per farlo

Come fa?

Li classifica!

 

Archibald mette tutti i calzini in un armadio e dà inizio ad un processo di classificazione.

 

L’armadio ha 3 ante (titoli):

I – Calzini estivi

II – Calzini invernali

III – Calzini di media stagione

 

L’anta I, “Calzini estivi”, ha 4 sottoante (classi):

 

1 – Seta

2 – Cotone

3 – Fresco di lana

4 – Fibra

 

Ogni sottoanta contiene delle ripartizioni non più logiche, ma fisiche, dove trovano posto tutti i calzini raggruppati per colore (procedimento/affare).

 

La sottoanta fresco di lana ha 6 cassetti (fascicoli):

1 – Verdi

2 – Blu

3 – Neri

4 – Scozzesi

5 – Grigi

6 – Marroni

 

Un giorno di luglio il principe Carlo indossa una cravatta scozzese ed il maggiordomo-archivista Archibald apre l’anta I/3.4. Cioè apre l’anta I (“calzini estivi”), la sottoanta 3 (“fresco di lana”, in Inghilterra può far fresco anche d’estate) ed il cassetto 4 (“calzini scozzesi”), dove trova il paio di calzini appropriato con attaccate le giarrettiere e i fiocchi ornamentali.

Voglio sottolineare che Archibald non trova il singolo calzino/documento, ma l’intero fascicolo, istruito per item aventi classificazione omogenea: i calzini con i reggicalzini e i fiocchi adatti a quel paio. Archibald, inoltre, ha scelto di non creare ulteriori ripartizioni logiche, individuando per es. la suddivisione verde chiaro – verde scuro, per evitare il rischio di classificazioni non univoche.

 

Partendo dal buon esempio di Archibald, conviene analizzare e strutturare bene i criteri costitutivi del fascicolo, solo così ci sarà l’efficienza nella ricerca documentale; il tutto diviene più semplice (una volta presa la mano) tenendo conto delle tipologie fascicolari convenzionali:

  1. a) Attività
  2. b) Affare
  3. c) Procedimento
  4. d) Persona fisica
  5. e) Persona giuridica

 

Consideriamo che i fascicoli vanno incamiciati solitamente al livello più basso, seguendo la struttura generalista del titolario archivistico.

 

Detto quanto sopra e tenendo conto che i piani di classificazione si basano sulle funzioni, occorre in maniera imperativa NON classificare i documenti per tipologia di mittente / destinatario, ricordando che occorre tener conto che i fascicoli sono elementi dei procedimenti amministrativi, riportati (anche) nell’amministrazione trasparente della PA (articolo 35 d.lgs 33/13).

 

Il titolario di classificazione per la PA ad oggi più efficiente è quello nato dal Forum dei conservatori istituito dall’AgID in collaborazione col MiBACT e che riporto in allegato.

Questa premessa per sottolineare quanto sia inutile proteggere i dati se non sono nativamente classificati ed organizzati un più amplio sistema organizzativo.

Analizziamo ora la disciplina propria della protezione partendo da una questio, la questio fondamentale:

Perché voglio tenere le mie informazioni al sicuro?

Per garantirne:

  • Disponibilità
  • Integrità
  • Riservatezza

Ora dovrebbe evincersi un concetto fondamentale, la RISERVATEZZA (o PRIVACY che dir si voglia) è solo una parte degli adempimenti da mettere in atto con il GDPR (come lo era anche per il 196/03).
Lo strumento di lavoro per attuare la sicurezza delle informazioni non possono essere INFORMATIVE (spesso sterili e stereotipate) e consensi acquisiti o negati. Occorre necessariamente la stesura di un MOG, vale la pena quindi ispirarsi al manuale di gestione ex art. 5 DPCM 03/12/13.

Lavoro duro per i pseudo consulenti (che però faranno breccia nel mercato con ottimi prezzi, SIGH!!!)

I requisiti della DISPONIBILITA: è evidente che si hanno con la classificazione delle informazioni aderenti al titolario, con tecniche archivistiche e di sussunzione delle informazioni; giova ricordare che l’attività dei sistemi informatici che si acquistano sono fallaci, spesso derivanti dalla mancanza di progettazione ex art 21 e 23 co 14 del D.lgs 50/16.

Le minacce che possono colpire la disponibilità, l’integrità e la riservatezza sono da:

  • Fuori porta: corruzione dei dati, acquisizione indebita, spionaggio, motivi ideologici
  • Dentro porta: accessi inappropriati derivanti da mancanza di politiche ACL
  • Software cattivi: piratati, non adatti, system fault.

 

Il regolamento 2016/679 mette nero su bianco la consapevolezza che le politiche di SICUREZZA non possono essere standardizzate ma devono necessariamente essere di tipo sartoriale, by design; tuttavia chi ha ben operato in ambito 196 utilizzava già una modellazione, anticipando il concetto di P.I.A. ( Privacy Impact Assessment), ancora, si passa dalle misure minime (art 33 d.Lgs 196/03 ed allegato B) all’obbligo di adozione di misure tecniche ed organizzative  per la tutela delle informazioni, indi dal risk assessment si passa al risk management.

 

 

La sicurezza dell’informazione del dato personale deve essere conforme all’articolo 32 del Regolamento:

Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

 

  1. la pseudonimizzazione e la cifratura dei dati personali;
  2. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  3. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  4. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento

 

 

Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

 

L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

 

Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

 

E’ chiarissimo che l’efficacia di tutto il modello organizzativo della gestione dei dati personali dipenda dal soddisfacimento di quanto contenuto nell’articolo 32 comma 1 lett d del GDPR.

 

Spostiamoci ancora di più nel settore pubblico riportando l’articolo 51 del D.lgs 82/2005, che in qualche modo ha voluto supplire all’abrogazione dell’articolo 50 bis intitolato alla CO-DR, e sul quale a mio avviso si sarebbe dovuto insistere creando una vera cultura degli obiettivi di sicurezza:

 

Sicurezza dei dati,

dei sistemi e delle infrastrutture delle pubbliche amministrazioni

 

  1. Con le regole tecniche adottate ai sensi dell’articolo 71  sono

individuate  ((le  soluzioni   tecniche   idonee   a   garantire   la

protezione,)) la disponibilita’, l’accessibilita’, l’integrita’ e  la

riservatezza ((dei dati e la continuita’ operativa))  dei  sistemi  e

delle infrastrutture.

  ((1-bis. AgID attua, per quanto di competenza e in raccordo con  le

altre autorita’ competenti in materia, il Quadro strategico nazionale

per la sicurezza dello spazio cibernetico e il Piano nazionale per la

sicurezza cibernetica e  la  sicurezza  informatica.  AgID,  in  tale

ambito)):

    ((a)  coordina,  tramite  il  Computer  Emergency  Response  Team

Pubblica Amministrazione  (CERT-PA)  istituito  nel  suo  ambito,  le

iniziative di prevenzione e gestione  degli  incidenti  di  sicurezza

informatici;))

  1. b) promuove intese con le analoghe strutture internazionali;
  2. c) segnala  al  Ministro  per  la  pubblica  amministrazione   e

l’innovazione il mancato rispetto delle regole  tecniche  di  cui  al

comma 1 da parte delle pubbliche amministrazioni.

  1. I documenti informatici delle pubbliche amministrazioni  devono

essere custoditi e controllati  con  modalita’  tali  da  ridurre  al

minimo i rischi di distruzione, perdita, accesso  non  autorizzato  o

non consentito o non conforme alle finalita’ della raccolta.

  2-bis. ((COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179)).

 

 

 

L’avvento del CERT-PA (istituito con l’articolo 20 comma 3 del DL 83/12) purtroppo non è molto noto alle PP.AA. e questa ignoranza fa perdere l’opportunità di sfruttare le competenze di un ufficio con ampie competenze specifiche.

La PA che deve adeguarsi al GDPR rischia un fallimento almeno duplice per questi motivi:

  • Mancanza di un modello organizzativo documentale (il manuale ex art 5 DPCM 03/12/13)
  • Mancanza dell’adeguamento alla Circolare 2/2017 AGID, GU SG n.103 del 5.5.17

Del manuale già ho scritto in altri post, ora voglio velocemente soffermarmi sulla Circolare che al primo articolo indica gli obiettivi: le MMS-PA (Misure minime che poi vedremo essere standard).

All’articolo 2 si individuano le PA (concetto allargato) destinatarie ed al 3 si individua il soggetto responsabile, quello che poeticamente già ho definito altrove DIFENSORE CIVICO 2.0, ai sensi dell’articolo 17 del CAD (art 17 comma 1 – ter D.lgs 82/2005).

I livelli di misura di sicurezza sono calcolati adoperando il ABSC (Agid Basic Security Controls) ed avere un Tier o Rating :

  • Minimale (oltre al quale non è consentito scendere)
  • Standard (il valore atteso)
  • Alto (limite superiore di tendenza)

Lo standard utilizzato è il SANS 20 che, sinotticamente, prevede:

  • Inventario hardware classificato per IP
  • Inventario software con versione e licenza ed autorizzazione negata per i non censiti
  • Protezione e cifratura
  • Valutazione continua della vulnerabilità
  • ACL
  • Difesa Malware
  • Policy di DR

Le risultanze del SANS 20 – ABSC vanno inserite in Allegato 2, marcate temporalmente ed inviate al CERT-PA in caso di problemi informatici.

Ecco, ora si può iniziare a parlare di GDPR…ricordando che il correttivo al CAD probabilmente introdurrà nuovamente il piano DR-CO e che l’analisi as is deve considerare per il GDPR ( e mi ripeto come anche per il 196) l’analisi dei processi , l’utilizzo degli indicatori, l’ausilio di una matrice RACI  e l’applicazione dei controlli del Trucker del 1997, in altre parole il DPSS 2.0 sarà frutto dell’applicazione della scienza dell’organizzazione e non di informatici che aggiornano gli antivirus e di copiatori seriali che distribuiscono informative in maniera indiscriminata.

 

modellotitolario21_7_2016rev

 

Nuovi servizi e scadenze prossime

Per adempiere alle scadenze di fine 2017 e Maggio 2018 occorre partire per tempo, anzi per chi non ha una struttura informatica a norma direi che siamo in ritardo.

 

Per chiarimenti e delucidazioni chiamateci.

 

In particolare si ricorda l’obbligo di :

  • nominare responsabile alla transizione digitale ex articolo 17 D.Lgs 82/05
  • predisporre il piano di sicurezza informatica circolare 2 / agid
  • nominare DPO ed iniziare a lavorare al nuovo GDPR.

 

Privacy e vaccini, comunicato del Garante per la protezione dei dati personali

Il Garante per la protezione dei dati personali, con provvedimento del 1° settembre 2017, si è espresso in materia di privacy e vaccini.

Il c.d. “Decreto vaccini”, D.L. n. 73 del 07/06/2017 recante “Disposizioni urgenti in materia di prevenzione vaccinale, di malattie infettive e di controversie relative alla somministrazione di farmaci” impone l’obbligo vaccinale per la frequentazione delle scuole, pubbliche o private che siano.

La circolare 0026382-01/09/2017 del Ministero della Salute detta quali dichiarazioni e documentazioni probanti debbano acquisire le Istituzioni Scolastiche ed in quali termini. Gli elenchi degli alunni vanno poi trasmessi agli uffici Asl di competenza per la verifica dei dati e le eventuali regolarizzazioni.

Si rammenta con la presenta che, nel caso della sola scuola dell’infanzia, la mancata ottemperanza all’obbligo vaccinale senza adeguata motivazione comporta l’esclusione del soggetto dalle attività.

L’USR Toscana e diverse associazioni di genitori hanno mosso il quesito al Garante, preoccupati che questo flusso di dati potesse rappresentare una lesione della privacy. Il Garante, con provvedimento urgente, ha chiarito che no, il flusso di tali informazioni non è lesivo della privacy, rammentando che la circolazione delle informazioni tra pubblici uffici era già disciplinata e consentita dagli artt. 19 e 39 del D.Lgs. 196/03 “Codice sul Corretto Trattamento dei Dati”. Il Garante ha inoltre posto l’attenzione sulle motivazioni, il c.d. “Decreto vaccini” è infatti dettato dal “fine di assicurare la tutela della salute pubblica e l mantenimento di adeguate condizioni di sicurezza epidemiologica in termini di profilassi e di copertura vaccinale” (art.1 D.L. 73/17), pertanto il fine della riservatezza è senza dubbio secondario.

Le informazioni possono quindi circolare, nel rispetto del D.Lgs. 196/03, ovvero trattando le stesse secondo i principi della necessarietà e della non eccedenza.

Si allegano il Provvedimento del Garante e la  Circolare Ministeriale.

Elisa Carotenuto

Privacy e vaccini- le scuole potranno inviare gli elenchi degli iscritti alle Asl

circolare vaccini

Sicurezza Informatica

Riporto le raccomandazioni di CERT-PA

La campagna di infezione ransomware “WannaCry (link is external)” ha contaminato negli ultimi due giorni circa 99 paesi e oltre 200.000 sistemi Windows che risultano compromessi, danneggiando aziende telefoniche, ospedali e strutture sanitarie.

L’Agenzia per l’Italia digitale ha pubblicato – attraverso CERT-PA e in vista della ripresa lavorativa di lunedì – le linea guida per mitigare gli effetti (link is external)dannosi e per la riaccensione delle macchine. Nel documento, sono riportate una serie di azioni che possono essere assunte per mitigare l’impatto della campagna, soprattutto cercando di evitare l’estensione della compromissione a sistemi che non sono già compromessi.

Per chi non avesse ancora provveduto, su CERT-PA (link is external), alcuni suggerimenti utili per  fronteggiare il ransomware, tra cui il procedere urgentemente con l’installazione della patch Microsoft risolutiva MS17-010 (link is external) disponibile anche per i sistemi Windows fuori supporto (link is external).

Anche se la propagazione è stata temporaneamente sospesa grazie ad un kill switch di un ricercatore britannico che ha individuato un artificio presente nel codice del malware, la situazione non può considerarsi risolta, in quanto è possibile manomettere lo stesso malware affinchè superi il check previsto dal kill-switch e torni a propagarsi come un worm.

È importante, pertanto, seguire le linee guida per mitigare gli effetti e per la riaccensione delle macchine e su come difendersi dalla minaccia dei Ransomware (link is external) e proteggere i propri dati.

Per le amministrazioni, si rammenta che le nuove Misure minime di sicurezza ICT (link is external) per la PA obbligano tutte le PA a mantenere aggiornati i software di base e gli applicativi.

 

 

ed allego un documento…..

Misure_minime_di_sicurezza_v10.pdf