Acquisti sotto soglia con procedure negoziate, secondo focus .

In questo secondo focus ci occuperemeo degli acquisti compresi tra i 40000 € ed il sotto soglia ( art 35 D.Lgs 50/16).

Ai sensi del 36 comma 2 lett b, i contratti con oggetto beni e servizi con importi tra i 40000 € ed il sotto soglia “possono” essere affidati colla procedura negoziata invitando all’arena competitiva almeno cinque operatori economici, se esistenti .

L’individuazione si avrà :

  • da indagini di mercato
  • dalla consultazione dell’elenco degli operatori economici

In ogni caso deve essere garantità l’imparzialità procedurale col sistema della rotazione degli inviti .

Per prima cosa si procede colla determinazione a contrarre che almeno conterrà :

  • interesse pubblico da soddisfare
  • caratteristiche salienti e caratterizzanti i servizi/beni da acquisire
  • i criteri dell’invito
  • i criteri di scelta dell’offerta

Le fasi successive sono TRE :

  1. SVOLGIMENTO di indagini di mercato o consultazione di elenchi per il confronto competitivo
  2. Confronto competitivo
  3. Stipulazione del contratto
  1. SVOLGIMENTO di indagini di mercato o consultazione di elenchi per il confronto competitivo.

1.a INDAGINI DI MERCATO

Occorre , come atto prodromico, per conoscere la costituzione del mercato, i concorrenti potenziali e chi tra questi è realmente interessato, le soluzioni tecniche e di scienza disponibili, condizioni commerciali . Chiaramente l’invito all’indagine non fa nascere nessuna pretesa di stipulazione o di invito alla fase competitiva.

L’avviso col quale si innesca deve essere scritto sul profilo del committente ed in AT alla voce BANDI DI GARA E CONTRATTI ( art 37 D.lgs 33/13) e deve contenere :

  1. stima del valore dell’affidamento
  2. elementi essenziali e caratterizzanti del contratto
  3. i requisiti di idoneità professionale
  4. i requisiti di capacità finanziaria, tecnica, economica, etc
  5. il numero minimo / massimo di partecipanti che ci saranno
  6. criteri selettivi dell’OE
  7. Modalità di contatto con la SA / RUP
  8. Facoltà di procedere con sorteggio pubblico ( da comunicare con succesiva pubblicazione)

1.b LA CONSULTAZIONE DEGLI ELENCHI

GLi elenchi ( ed il MEPA potrebbe essere già considerato tale ) devono essere costituiti per avviso pubblico da inserire ex articolo 37 D.Lgs 33/13 in AT.

L’avviso deve contenere e palesare la volontà della SA di realizzare un elenco con classificazione merceologica e di importi , ove attingere per le procedure sotto soglia ( anche non competitive) , ed ovviamente gli istanti devono esser in possesso dei requisiti del’articolo 80, io consiglio di far già in questa fase compilare il DGUE.

L’iscrizione non contiene limiti temporali e deve essere valutata con successivo atto entro trenta giorni dalla ricezione dell’istanza.

Nell’avviso può essere disciplinato il sistema sanzionatorio per la radiazione o per la mancata risposta per tre inviti consecutivi, consiglio l’utilizzo della PEC o dei FORMULARI INFORMATICI per la gestione dell’albo.

2. Confronto competitivo

Finita l’indagine di mercato, ovvero consultati gli elenchi, la SA in modo non discriminatorio invita almeno cinque operatori economici, e nel caso che abbia pubblicizzato il sorteggio lo esegue dando pubblicità dell’evento , ma attenzione a non far rendere noti i nominativi prima della scadenza della consegna delle offerte ( differimento del diritto di accesso ex articolo 53 comma 2 lett b )

Individuati gli OE , sono invitati a presentare offerta a mezzo :

  • PEC
  • Lettera ( articolo 75 co 3)
  • modalità proprie dei mercati elettronici

Ovviamente tutti gli operatori devono essere invitati contemporaneamente.

L’invito conterrà :

  • oggetto prestazionale
  • requisiti generali
  • termine di presentazione e validità temporale dell’offerta
  • termine per la consegna /esecuzione
  • criteri di aggiudicazione ( ed elementi di valutazione ed equazioni ponderali nel caso di offerta economicamente più vantaggiosa)
  • misura delle penali
  • garanzie eventuali
  • il RUP
  • volontà o meno di applicare l’articolo 97 c. 8
  • eventuale foglio dei patti / capitolato e schema di contratto
  • Eventuale esonero ( motivato) dal DUVRI

Ricevute le istanze ( offerte) si procede con i pubblici seggi di gara, inutile ricordare l’importanza della verbalizzazione e che occorre verificare le autodichiarazioni solo dell’aggiudicatario.

3.Stipulazione del contratto.

La stipulazione avverrà di norma con i metodi della corrispondenza commerciale, articolo 32 coma 14 ( di norma, attenzione alle specificità) , non si applica l’articolo 32 comma 1o, e tutti i fatti ( indagini, sorteggi,scelte) vanno pubblicati ai sensi del combinato articolo 29 D.lgs 50/16 e 37 D.lgs 33/13.

 

 

 

 

Adempimenti AGID- SICUREZZA INFORMATICA per il 31/12/2017….corriamo ai ripari

L’avvento del CERT-PA (istituito con l’articolo 20 comma 3 del DL 83/12) purtroppo non è molto noto alle PP.AA. e questa ignoranza fa perdere l’opportunità di sfruttare le competenze di un ufficio con ampie competenze specifiche.

La PA che deve adeguarsi al GDPR rischia un fallimento almeno duplice per questi motivi:

  • Mancanza di un modello organizzativo documentale (il manuale ex art 5 DPCM 03/12/13)
  • Mancanza dell’adeguamento alla Circolare 2/2017 AGID, GU SG n.103 del 5.5.17

Del manuale già ho scritto in altri post, ora voglio velocemente soffermarmi sulla Circolare che al primo articolo indica gli obiettivi: le MMS-PA (Misure minime che poi vedremo essere standard).

All’articolo 2 si individuano le PA (concetto allargato) destinatarie ed al 3 si individua il soggetto responsabile, quello che poeticamente già ho definito altrove DIFENSORE CIVICO 2.0, ai sensi dell’articolo 17 del CAD (art 17 comma 1 – ter D.lgs 82/2005).

I livelli di misura di sicurezza sono calcolati adoperando il ABSC (Agid Basic Security Controls) ed avere un Tier o Rating :

  • Minimale (oltre al quale non è consentito scendere)
  • Standard (il valore atteso)
  • Alto (limite superiore di tendenza)

Lo standard utilizzato è il SANS 20 che, sinotticamente, prevede:

  • Inventario hardware classificato per IP
  • Inventario software con versione e licenza ed autorizzazione negata per i non censiti
  • Protezione e cifratura
  • Valutazione continua della vulnerabilità
  • ACL
  • Difesa Malware
  • Policy di DR

Le risultanze del SANS 20 – ABSC vanno inserite in Allegato 2, marcate temporalmente ed inviate al CERT-PA in caso di problemi informatici.

Ecco, ora si può iniziare a parlare di GDPR…ricordando che il correttivo al CAD probabilmente introdurrà nuovamente il piano DR-CO e che l’analisi as is deve considerare per il GDPR ( e mi ripeto come anche per il 196) l’analisi dei processi , l’utilizzo degli indicatori, l’ausilio di una matrice RACI  e l’applicazione dei controlli del Trucker del 1997, in altre parole il DPSS 2.0 sarà frutto dell’applicazione della scienza dell’organizzazione e non di informatici che aggiornano gli antivirus e di copiatori seriali che distribuiscono informative in maniera indiscriminata.

 

SANZIONI FINO A 20 MILIONI di €, LA NUOVA PRIVACY, GUIDA PER LE PP.AA.

 

Focus per le PP.AA.

Prepariamoci seriamente al GDPR , ovvero, partiamo da lontano ed impariamo a conoscere le norme fondamentali.

La sicurezza dei dati (di “carta” e di “bit”) è fondamentale per il controllo di una struttura, semplice o complessa che sia, per garantire la disponibilità, l’integrità e la riservatezza delle informazioni.

 

Parto dall’analisi di alcune ipotesi, che prima o poi troveremo trionfanti nelle slide di diversi esperti di PRIVACY, ritenendo sia necessario fare alcune considerazioni per meglio affrontare gli adempimenti direttamente od indirettamente legati al Regolamento 2016/679/UE .

 

Innanzitutto un chiarimento od una precisazione lessicale:  il GDPR, al pari della norma contenuta nel D.Lgs 196/03, non è un testo intitolato alla a Privacy , chiunque ha appellato così il 196 e continua ad appellare in tal modo il GDPR ben poco ha capito del complesso contenuto normativo che mira a creare dei modelli organizzativi  per la tutela e la resilienza delle informazioni; informative e consenso PRIVACY sono la parte residuale, non c’è divieto di circolazione delle informazioni ma regole sul trattamento delle stesse… ma attenzione, in fondo sono le stesse persone  che hanno redatto DPSS stereotipati o peggio ciclostilati applicandovi la data certa.

Il secondo punto da sottolineare è dato dalla disponibilità dei dati dell’ipotesi: questo principio non può e non deve essere un elemento da gestire in maniera nativa nel DPSS, o DPSS 2.0 o nel registro dei trattamenti. Nell’evidenza della manualistica derivante dall’applicazione del GDPR (al pari del 196), il requisito della disponibilità deve essere DERIVATO dalle norme archivistiche della PA, dai manuali di gestione documentale e dalle regole di conservazione (a norma), questo per spostare il cardine della norma al giusto punto. Occorre preservare le informazioni presenti negli archivi, dunque, sarebbe davvero “poco utile” preservare informazioni da attacchi se queste già in modalità normali non sono bene conservate o addirittura mal archiviate o non archiviate o fascicolate affatto.

Uno dei problemi più gravi, eppure molto ricorrente, è delegare all’informatica la scienza, i criteri e le tecniche archivistiche, magari introducendo criteri e multicriteri di ricerca, tralasciando l’euristica fondamentale.
La sicurezza ha un’importanza fondamentale in quanto è necessaria per garantire la disponibilità, l’integrità e la riservatezza delle informazioni proprie del Sistema Informativo di un’organizzazione.
Con molto piacere allo scorso ForumPA ascoltavo l’avv. Andrea Lisi che sottolineava questa criticità, trovandomi ben d’accordo. Troppi informatici e pochi esperti di gestione documentale, il tutto citando il  prof. Gianni Penzo Doria, trovano impiego e mercato nella PA, demandando agli investimenti informatici compiti propri dell’organizzazione interna.

Uno strumento che porterebbe ad un ordine prodromico alla corretta gestione dei dati è senza alcun dubbio il SGPA (Sistema di Gestione dei Procedimenti Amministrativi), grazie al quale finalmente nelle PA poco strutturate (quasi tutte) ci sarebbe organizzazione gestionale dei procedimenti, pur se, purtroppo, derivante da cause esogene e non organizzative interne.

 

 

In queste pagine vorrei rammentare la definizione di conservazione documentale contenuta nel DPCM 03/12/13:

“la conservazione di documenti e fascicoli informatici è l’attività ( indi un processo) volta a proteggere e mantenere nel tempo gli archivi e dati informatici “, il tempo di conservazione ci deriva invece dal CAD, in particolare dall’articolo 43  comma 3.”

“I documenti informatici, di cui è prescritta la conservazione per legge o regolamento, possono essere archiviati per le esigenze correnti anche con modalità cartacee e sono conservati in modo permanente con modalità digitali

Forse ora è arrivato il momento di utilizzare la terminologia adatta e fare distinzione tra chi crea un documento da conservare e che ha l’onere di preservarlo distinguendo tra:

  • SOGGETTO PRODUTTORE – ente, famiglia o persona che ha posto in essere, accumulato e conservato la documentazione nello svolgimento della propria attività personale od istituzionale
  • SOGGETTO CONSERVATORE – soggetto che conserva i fondi archivistici e li rende disponibili alla consultazione.

Il codice dei beni culturali (D.lgs 42/2004) ,  definisce gli archivi ed i singoli documenti di ogni PA “bene culturale” dalla fase corrente a quella storica ( art 10 c.2 lett b D.Lgs 42/2004) e ne sanziona l’incorretta conservazione ( art 30 e 170 D.lgs 42/2004) .

I documenti sono inseriti tramite un processo di classificazione in un fascicolo (aggregazione per nome, materia, affare, etc); il fascicolo informatico, già dall’inizio, deve garantire interoperabilità e segregazione nella consultazione, derivando sempre e comunque il carattere atomistico dell’archiviazione (articolo 41 del CAD) .

 

Voglio altresì velocemente trattare le relazioni che esistono tra la gestione e la conservazione, utilizzando sinteticamente alcuni punti fondamentali:

 

  • Piano di classificazione e fascicolazione: consente di ricostruire l’archivio nel sistema di conservazione
  • Piano di conservazione: definisce i tempi di invio in conservazione ed i tempi dello scarto archivistico
  • Formati: devono essere aperti ed idonei alla conservazione anche utilizzando regole tassonomiche
  • Metadati: informazioni di contesto associate al documento ed al fascicolo da inviare in conservazione
  • Tempi di trasferimento: qui si apre un altro bello scenario derivante dall’applicazione di norme nuove senza conoscere quelle più remote: ad esempio con l’introduzione del DPCM 03/12/13, in particolare dell’articolo 7 comma 5 sulla conservazione del giornale del protocollo, molte PA hanno dimenticato che i continui versamenti in conservazione non costituiscono l’implementazione del protocollo (per dire: dal protocollo finale e conforme si può fare l’estrapolazione legale e probante, dalla somma dei singoli versamenti non si può invece costruire tout court il registro di protocollo) mancando il trasferimento complessivo di fascicoli e serie di cui l’articolo 67 del TUDA e 44 del CAD.

Purtroppo lo stesso problema c’è anche per le serie che dovrebbero essere generate dalle imputazioni e dalle pubblicazioni sul web, per dirne una, nessuna PA da me intervista conserva referta di pubblicazione della pubblicità legale con evidenza della mancanza di funzionamento.

 

 

A questo punto passiamo alla pratica e proviamo a sintetizzare come si costruisce un piano di classificazione, tenendo conto che è essenziale tener conto dei tre requisiti fondamentali: Astrazione, semplificazione, strutturazione.

Astrazione: Nel costruire il titolario si tiene conto delle funzioni ( definite e stabili ) e non dell’organigramma, sempre mutevole.

Semplificazione:

–             Andare dal generale al particolare

–              Non ripetere a livelli inferiori quanto dovrebbe essere ai livelli superiori

–              Ridurre al minimo possibile le voci, le peculiarità sono evidenziate a livello fascicolare.

Strutturazione: due o tre livelli (titolo e classe, oppure titolo, classe e sottoclasse).

 

Sul tema dell’astrazione e la raccomandazione di lavorare sulle funzioni è importante tenere conto di una considerazione della SSPA :

“ È opportuno che il piano di classificazione individui con molta attenzione e coerenza tutte le componenti costitutive principali, con particolare attenzione alle voci di primo livello che devono essere attribuite ai documenti con rapidità e senza rischi di duplicazione, soprattutto in ambienti organizzativi di notevole complessità.. Come si specificherà meglio in seguito tali voci si distinguono per convenienza in due grandi categorie in base alla natura delle funzioni:

  • funzioni istituzionali (primarie), specifiche di ciascuna area organizzativa;
  • funzioni di gestione e strumentali (secondarie), condivisibili da più divisioni organizzative perché relative ad attività di funzionamento comuni a tutta la struttura di un soggetto pubblico o privato e, spesso, condivisibili anche in ambienti più ampi.”

 

Fatta la struttura occorre classificare e fascicolare: qui nascono i primi problemi, o meglio, nella fase immediatamente antecedente, quella della protocollazione. Raccomando infatti di non esagerare, evitando la panprotocollazione, chiaro sintomo di cattiva organizzazione aziendale e di attriti interni.

La classificazione è il processo che, tramite un indice (di classificazione) desunto da una struttura di voci (piano di classificazione), attribuisce ad ogni documento una definita unità archivistica, e giova nuovamente ricordarlo, l’unità atomistica di archiviazione non è il documento stesso, ma il fascicolo.

Il fascicolo, in altre parole, rappresenta la risposta pratica e concreta di un sistema di catalogazione generale ed astratto.

 

 

Riporto l’esempio, sempre CALZANTE, dei Calzini  del principe Carlo.

Problema: il principe Carlo di Windsor ha 8.340 paia di calzini. Ogni calzino ha le giarrettiere abbinate e fiocchi ornamentali. Ogni mattina il suo maggiordomo Archibald deve trovare quelli intonati con la cravatta e ha 5 minuti di tempo per farlo

Come fa?

Li classifica!

 

Archibald mette tutti i calzini in un armadio e dà inizio ad un processo di classificazione.

 

L’armadio ha 3 ante (titoli):

I – Calzini estivi

II – Calzini invernali

III – Calzini di media stagione

 

L’anta I, “Calzini estivi”, ha 4 sottoante (classi):

 

1 – Seta

2 – Cotone

3 – Fresco di lana

4 – Fibra

 

Ogni sottoanta contiene delle ripartizioni non più logiche, ma fisiche, dove trovano posto tutti i calzini raggruppati per colore (procedimento/affare).

 

La sottoanta fresco di lana ha 6 cassetti (fascicoli):

1 – Verdi

2 – Blu

3 – Neri

4 – Scozzesi

5 – Grigi

6 – Marroni

 

Un giorno di luglio il principe Carlo indossa una cravatta scozzese ed il maggiordomo-archivista Archibald apre l’anta I/3.4. Cioè apre l’anta I (“calzini estivi”), la sottoanta 3 (“fresco di lana”, in Inghilterra può far fresco anche d’estate) ed il cassetto 4 (“calzini scozzesi”), dove trova il paio di calzini appropriato con attaccate le giarrettiere e i fiocchi ornamentali.

Voglio sottolineare che Archibald non trova il singolo calzino/documento, ma l’intero fascicolo, istruito per item aventi classificazione omogenea: i calzini con i reggicalzini e i fiocchi adatti a quel paio. Archibald, inoltre, ha scelto di non creare ulteriori ripartizioni logiche, individuando per es. la suddivisione verde chiaro – verde scuro, per evitare il rischio di classificazioni non univoche.

 

Partendo dal buon esempio di Archibald, conviene analizzare e strutturare bene i criteri costitutivi del fascicolo, solo così ci sarà l’efficienza nella ricerca documentale; il tutto diviene più semplice (una volta presa la mano) tenendo conto delle tipologie fascicolari convenzionali:

  1. a) Attività
  2. b) Affare
  3. c) Procedimento
  4. d) Persona fisica
  5. e) Persona giuridica

 

Consideriamo che i fascicoli vanno incamiciati solitamente al livello più basso, seguendo la struttura generalista del titolario archivistico.

 

Detto quanto sopra e tenendo conto che i piani di classificazione si basano sulle funzioni, occorre in maniera imperativa NON classificare i documenti per tipologia di mittente / destinatario, ricordando che occorre tener conto che i fascicoli sono elementi dei procedimenti amministrativi, riportati (anche) nell’amministrazione trasparente della PA (articolo 35 d.lgs 33/13).

 

Il titolario di classificazione per la PA ad oggi più efficiente è quello nato dal Forum dei conservatori istituito dall’AgID in collaborazione col MiBACT e che riporto in allegato.

Questa premessa per sottolineare quanto sia inutile proteggere i dati se non sono nativamente classificati ed organizzati un più amplio sistema organizzativo.

Analizziamo ora la disciplina propria della protezione partendo da una questio, la questio fondamentale:

Perché voglio tenere le mie informazioni al sicuro?

Per garantirne:

  • Disponibilità
  • Integrità
  • Riservatezza

Ora dovrebbe evincersi un concetto fondamentale, la RISERVATEZZA (o PRIVACY che dir si voglia) è solo una parte degli adempimenti da mettere in atto con il GDPR (come lo era anche per il 196/03).
Lo strumento di lavoro per attuare la sicurezza delle informazioni non possono essere INFORMATIVE (spesso sterili e stereotipate) e consensi acquisiti o negati. Occorre necessariamente la stesura di un MOG, vale la pena quindi ispirarsi al manuale di gestione ex art. 5 DPCM 03/12/13.

Lavoro duro per i pseudo consulenti (che però faranno breccia nel mercato con ottimi prezzi, SIGH!!!)

I requisiti della DISPONIBILITA: è evidente che si hanno con la classificazione delle informazioni aderenti al titolario, con tecniche archivistiche e di sussunzione delle informazioni; giova ricordare che l’attività dei sistemi informatici che si acquistano sono fallaci, spesso derivanti dalla mancanza di progettazione ex art 21 e 23 co 14 del D.lgs 50/16.

Le minacce che possono colpire la disponibilità, l’integrità e la riservatezza sono da:

  • Fuori porta: corruzione dei dati, acquisizione indebita, spionaggio, motivi ideologici
  • Dentro porta: accessi inappropriati derivanti da mancanza di politiche ACL
  • Software cattivi: piratati, non adatti, system fault.

 

Il regolamento 2016/679 mette nero su bianco la consapevolezza che le politiche di SICUREZZA non possono essere standardizzate ma devono necessariamente essere di tipo sartoriale, by design; tuttavia chi ha ben operato in ambito 196 utilizzava già una modellazione, anticipando il concetto di P.I.A. ( Privacy Impact Assessment), ancora, si passa dalle misure minime (art 33 d.Lgs 196/03 ed allegato B) all’obbligo di adozione di misure tecniche ed organizzative  per la tutela delle informazioni, indi dal risk assessment si passa al risk management.

 

 

La sicurezza dell’informazione del dato personale deve essere conforme all’articolo 32 del Regolamento:

Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

 

  1. la pseudonimizzazione e la cifratura dei dati personali;
  2. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  3. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  4. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento

 

 

Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

 

L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

 

Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

 

E’ chiarissimo che l’efficacia di tutto il modello organizzativo della gestione dei dati personali dipenda dal soddisfacimento di quanto contenuto nell’articolo 32 comma 1 lett d del GDPR.

 

Spostiamoci ancora di più nel settore pubblico riportando l’articolo 51 del D.lgs 82/2005, che in qualche modo ha voluto supplire all’abrogazione dell’articolo 50 bis intitolato alla CO-DR, e sul quale a mio avviso si sarebbe dovuto insistere creando una vera cultura degli obiettivi di sicurezza:

 

Sicurezza dei dati,

dei sistemi e delle infrastrutture delle pubbliche amministrazioni

 

  1. Con le regole tecniche adottate ai sensi dell’articolo 71  sono

individuate  ((le  soluzioni   tecniche   idonee   a   garantire   la

protezione,)) la disponibilita’, l’accessibilita’, l’integrita’ e  la

riservatezza ((dei dati e la continuita’ operativa))  dei  sistemi  e

delle infrastrutture.

  ((1-bis. AgID attua, per quanto di competenza e in raccordo con  le

altre autorita’ competenti in materia, il Quadro strategico nazionale

per la sicurezza dello spazio cibernetico e il Piano nazionale per la

sicurezza cibernetica e  la  sicurezza  informatica.  AgID,  in  tale

ambito)):

    ((a)  coordina,  tramite  il  Computer  Emergency  Response  Team

Pubblica Amministrazione  (CERT-PA)  istituito  nel  suo  ambito,  le

iniziative di prevenzione e gestione  degli  incidenti  di  sicurezza

informatici;))

  1. b) promuove intese con le analoghe strutture internazionali;
  2. c) segnala  al  Ministro  per  la  pubblica  amministrazione   e

l’innovazione il mancato rispetto delle regole  tecniche  di  cui  al

comma 1 da parte delle pubbliche amministrazioni.

  1. I documenti informatici delle pubbliche amministrazioni  devono

essere custoditi e controllati  con  modalita’  tali  da  ridurre  al

minimo i rischi di distruzione, perdita, accesso  non  autorizzato  o

non consentito o non conforme alle finalita’ della raccolta.

  2-bis. ((COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179)).

 

 

 

L’avvento del CERT-PA (istituito con l’articolo 20 comma 3 del DL 83/12) purtroppo non è molto noto alle PP.AA. e questa ignoranza fa perdere l’opportunità di sfruttare le competenze di un ufficio con ampie competenze specifiche.

La PA che deve adeguarsi al GDPR rischia un fallimento almeno duplice per questi motivi:

  • Mancanza di un modello organizzativo documentale (il manuale ex art 5 DPCM 03/12/13)
  • Mancanza dell’adeguamento alla Circolare 2/2017 AGID, GU SG n.103 del 5.5.17

Del manuale già ho scritto in altri post, ora voglio velocemente soffermarmi sulla Circolare che al primo articolo indica gli obiettivi: le MMS-PA (Misure minime che poi vedremo essere standard).

All’articolo 2 si individuano le PA (concetto allargato) destinatarie ed al 3 si individua il soggetto responsabile, quello che poeticamente già ho definito altrove DIFENSORE CIVICO 2.0, ai sensi dell’articolo 17 del CAD (art 17 comma 1 – ter D.lgs 82/2005).

I livelli di misura di sicurezza sono calcolati adoperando il ABSC (Agid Basic Security Controls) ed avere un Tier o Rating :

  • Minimale (oltre al quale non è consentito scendere)
  • Standard (il valore atteso)
  • Alto (limite superiore di tendenza)

Lo standard utilizzato è il SANS 20 che, sinotticamente, prevede:

  • Inventario hardware classificato per IP
  • Inventario software con versione e licenza ed autorizzazione negata per i non censiti
  • Protezione e cifratura
  • Valutazione continua della vulnerabilità
  • ACL
  • Difesa Malware
  • Policy di DR

Le risultanze del SANS 20 – ABSC vanno inserite in Allegato 2, marcate temporalmente ed inviate al CERT-PA in caso di problemi informatici.

Ecco, ora si può iniziare a parlare di GDPR…ricordando che il correttivo al CAD probabilmente introdurrà nuovamente il piano DR-CO e che l’analisi as is deve considerare per il GDPR ( e mi ripeto come anche per il 196) l’analisi dei processi , l’utilizzo degli indicatori, l’ausilio di una matrice RACI  e l’applicazione dei controlli del Trucker del 1997, in altre parole il DPSS 2.0 sarà frutto dell’applicazione della scienza dell’organizzazione e non di informatici che aggiornano gli antivirus e di copiatori seriali che distribuiscono informative in maniera indiscriminata.

 

modellotitolario21_7_2016rev

 

Acquisti sotto soglia con procedure negoziate, primo focus .

Il correttivo contenuto nel D.Lgs 56/17 ha non poco turbato le SS.AA. che stavano abituandosi alle nuove procedure e adoperando i nuovi processi interni.

Le norme fondamentali di interesse sono l’articolo 36, il 30 la LG ANAC n.4 ( in sostituzione parziale  del DPR 207/10) ed un poco di giurisprudenza ( presa dal previgente D.lgs 163/06 ed anche dal 50 ).

E’ noto che il D.lgs 50/16 non contempla più gli acquisti in economia all’uopo delle procedure competitive e negoziate sotto soglia , con alcune semplificazioni, in particolare l’abolizione del regolamento ex articolo 125 comma 10 del D. Lgs 163/06.

La differenza non è solo operativa o semantica, infatti con gli acquisti in economia il RUP si impegnava agli adempimenti, con le procedure negoziate sotto soglia esiste un rapporto trilaterale, la PA, il RUP che esegue le volontà della PA ed l’operatore economico.

Tuttavia resta il problema della rotazione.

In risposta voglio ricordare che la rotazione si attua a due livelli :

  • affidamento
  • inviti

Pacifica deve essere considerata l’interpretazione contenuta in questo post. ( CdS4125/2017).

Una modifica importante, soprattutto per i piccoli operatori economici, è contenuta nell’articolo 93 del codice che sancisce la facoltà e non piu l’obbligo della stazione appaltante di chiedere la garanzia provvisoria quando si usa la procedura diretta dell’articolo 36 comma 2 lett a ( affidamento diretto ).

Qualche problema ancora resta invece sulla motivazione ( che ai sensi dell’articolo 3 della 241/90) deve sempre esserci sulla scelta del contraente ed anche sul punto cruciale delle fasi, infatti all’articolo 32 comma 2 si è autorizzati ad usare la determina semplificata dove già ab origine è individuato il costo del bene / servizio ed il nome dell’affidatario, ebbene è evidente che questo modo di operare è contrastante con l’articolo 192 del D.lgs 267/00 , sarebbe meglio chiamare questo atto ( che diventa amministrativo e non prodromico ) con un altro nome, determina di affidamento.

Vediamo quali sono gli elementi della deermina a contrarre propriamente detta:

  • Interesse pubblico
  • caratteristiche di massima del bene / servizi da acquisire
  • importo massimo stimato e copertura finanziaria
  • procedura che si intende utilizzare, ed il perchè
  • i criteri per selezionare OE ed Offerte
  • le condizioni contrattuali salienti

Mentre per la determina semplificata ( DETERMINA DI AFFIDAMENTO) ex articolo 32 comma 2 del 50

  • oggetto dell’affidamento
  • importo ( certo ) e fornitore
  • le ragioni della scelta
  • il possesso dei requisiti generali del fornitore

E’ chiara una cosa, la possibilità di commettere l’acquisto in violazione della copertura finanziaria, a reponsabilità del RUP.

Tornando al maggiore dei problemi, quello della rotazione , il comma 1 dell’articolo 36 è chiaro nel descrivere l’eccezionalità della conferma dell’operatore uscente, nella motivazione la SA deve dar conto :

  • di assenza di alternative
  • grado di soddisfazione maturato ( tempi e costi pattuiti )
  • competitivtà del prezzo / qualità servizi

La stipula del contratto e la pubblicità notiziale.

Ai sensi del comma 14 dell’articolo 32 per importi fino a 40000 € la stipulazione è del tipo informale ed avviene mediante corrispondenza secondo l’uso del commercio, io consiglierei la PEC, ed inoltre non si applica lo stand still period ( articolo 32 comma 10 lett . b).

La pubblicità notiziale avverrà mediante l’inserimento in AT :

  • provvedimenti dirigenziali
  • bandi di gara e contratto
  • file anac art 1 comma 32 l. 190/12

 

 

 

 

 

 

 

Chiarimenti sull’obbligo del MEPA da parte di alcune SA e del versamento dell’imposta di bollo.

Ancora si vocifera in giro che le Istituzioni Scolastiche Autonome abbiano l’obbligo di acquisire in MEPA per gli importi pari o superiori ad € 1000.

Questa convinzione è sbagliata, deriva da una lettura errata dell’aritcolo 1 comma 502 della L. 208/2015 ( Finanziaria per il 2016 ) che riporto

502. All’articolo 1, comma 450, della legge 27 dicembre 2006, n.
296, sono apportate le seguenti modificazioni:
a) le parole: «Dal 1º luglio 2007,» sono soppresse;
b) al primo periodo, dopo le parole: «per gli acquisti di beni e
servizi» sono inserite le seguenti: «di importo pari o superiore a
1.000 euro e»;

Questa norma modifica l’articolo 1 comma 450 della L. 296/2006 ( Finanziaria per il 2007 ) , della quale riporto la previgenza :

Dal 1° luglio 2007, le amministrazioni statali centrali e
periferiche, ad esclusione degli istituti e delle scuole di ogni
ordine e grado, delle istituzioni educative e delle istituzioni
universitarie, per gli acquisti di beni e servizi al di sotto della
soglia di rilievo comunitario, sono tenute a fare ricorso al mercato
elettronico della pubblica amministrazione di cui all’articolo 328,
comma 1, del regolamento di cui al decreto del Presidente della
Repubblica 5 ottobre 2010, n. 207. Fermi restando gli obblighi e le
facolta’ previsti …

quindi molto semplicemente dalla modifica apportata alla lettera dell’articolo 1 comma 450 della L. 296/06 da parte dell’articolo 1 comma 502 della legge 208/15 avremo il seguente contenuto normattivo , oggi vigente :

 

Le amministrazioni statali centrali e periferiche, ad
esclusione degli istituti e delle scuole di ogni ordine e grado,
delle istituzioni educative e delle istituzioni universitarie,
nonche’ gli enti nazionali di previdenza e assistenza sociale
pubblici e le agenzie fiscali di cui al decreto legislativo 30 luglio
1999, n. 300, per gli acquisti di beni e servizi di importo pari o
superiore a 1.000 euro e al di sotto della soglia di rilievo
comunitario

Quindi le ISA non hanno l’obbligo ma solo la facoltà di utilizzare il MEPA, le altre PP.AA. hanno l’obbligo del MEPA a partire da 1000 € .

Vale la pena ricordare in questo post chec occorre stare molto attenti quando si gestiscono le gare col MEPA , infatti sia  DPR 642/72 che  l’articolo 53 comma 3 delle regole dell’e-procurement impongono che che :

Il Soggetto Aggiudicatore è tenuto ad assicurare, tra l’altro, il rispetto delle norme sull’imposta di bollo e degli adempimenti pubblicitari, documentali,tributari e fiscali, nonché, in generale, degli adempimenti richiesti dalle normeapplicabili al procedimento posto in essere e al relativo Contratto stipulato.
Quindi c’è il chiaro concorso in evasione di imposta di bollo tra Aggiudicatario ed Aggiudicatore . Come sempre ho riportate le norme per permettervi di poter constatare oggettivamente i fatti, in allegato  :
Risoluzione 96/2013 Agenzia delle Entrate

Nuovi servizi e scadenze prossime

Per adempiere alle scadenze di fine 2017 e Maggio 2018 occorre partire per tempo, anzi per chi non ha una struttura informatica a norma direi che siamo in ritardo.

 

Per chiarimenti e delucidazioni chiamateci.

 

In particolare si ricorda l’obbligo di :

  • nominare responsabile alla transizione digitale ex articolo 17 D.Lgs 82/05
  • predisporre il piano di sicurezza informatica circolare 2 / agid
  • nominare DPO ed iniziare a lavorare al nuovo GDPR.

 

Privacy e vaccini, comunicato del Garante per la protezione dei dati personali

Il Garante per la protezione dei dati personali, con provvedimento del 1° settembre 2017, si è espresso in materia di privacy e vaccini.

Il c.d. “Decreto vaccini”, D.L. n. 73 del 07/06/2017 recante “Disposizioni urgenti in materia di prevenzione vaccinale, di malattie infettive e di controversie relative alla somministrazione di farmaci” impone l’obbligo vaccinale per la frequentazione delle scuole, pubbliche o private che siano.

La circolare 0026382-01/09/2017 del Ministero della Salute detta quali dichiarazioni e documentazioni probanti debbano acquisire le Istituzioni Scolastiche ed in quali termini. Gli elenchi degli alunni vanno poi trasmessi agli uffici Asl di competenza per la verifica dei dati e le eventuali regolarizzazioni.

Si rammenta con la presenta che, nel caso della sola scuola dell’infanzia, la mancata ottemperanza all’obbligo vaccinale senza adeguata motivazione comporta l’esclusione del soggetto dalle attività.

L’USR Toscana e diverse associazioni di genitori hanno mosso il quesito al Garante, preoccupati che questo flusso di dati potesse rappresentare una lesione della privacy. Il Garante, con provvedimento urgente, ha chiarito che no, il flusso di tali informazioni non è lesivo della privacy, rammentando che la circolazione delle informazioni tra pubblici uffici era già disciplinata e consentita dagli artt. 19 e 39 del D.Lgs. 196/03 “Codice sul Corretto Trattamento dei Dati”. Il Garante ha inoltre posto l’attenzione sulle motivazioni, il c.d. “Decreto vaccini” è infatti dettato dal “fine di assicurare la tutela della salute pubblica e l mantenimento di adeguate condizioni di sicurezza epidemiologica in termini di profilassi e di copertura vaccinale” (art.1 D.L. 73/17), pertanto il fine della riservatezza è senza dubbio secondario.

Le informazioni possono quindi circolare, nel rispetto del D.Lgs. 196/03, ovvero trattando le stesse secondo i principi della necessarietà e della non eccedenza.

Si allegano il Provvedimento del Garante e la  Circolare Ministeriale.

Elisa Carotenuto

Privacy e vaccini- le scuole potranno inviare gli elenchi degli iscritti alle Asl

circolare vaccini

Novità in consultazione per gli affidamenti diretti ex articolo 36 comma 2 lett.a

La motivazione in merito alla scelta dell’affidatario è comunque obbligatoria e ricollegata all’art. 3 L.241/1990 (è peraltro prevista anche dall’art. 32, c.2, tra i contenuti minimi della determina a contrattare semplificata per gli affidamenti diretti).

L’acquisizione dei due preventivi è facoltativa, ma rappresenta una “best practice”. Va in ogni caso verificata l’economicità, anche mediante un confronto con la spesa per precedenti affidamenti o con il corrispettivo riconosciuto da altre amministrazioni per affidamenti analoghi.
“4.3.1 In ottemperanza agli obblighi di motivazione del provvedimento amministrativo sanciti dalla legge 7 agosto 1990 n. 241 e al fine di assicurare la massima trasparenza, la stazione appaltante motiva in merito alla scelta dell’affidatario, dando dettagliatamente conto del possesso da parte dell’operatore economico selezionato dei requisiti richiesti nella determina a contrarre o nell’atto ad essa equivalente, della rispondenza di quanto offerto all’interesse pubblico che la stazione appaltante deve soddisfare, di eventuali caratteristiche migliorative offerte dall’affidatario, della congruità del prezzo in rapporto alla qualità della prestazione, nonché del rispetto del principio di rotazione.

4.3.2 Il rispetto del principio di rotazione espressamente sancito dall’art. 36, comma 1, del Codice dei contratti pubblici fa sì che l’affidamento al contraente uscente abbia carattere eccezionale e richiede un onere motivazionale più stringente. La stazione appaltante motiva tale scelta in considerazione o della riscontrata effettiva assenza di alternative ovvero del grado di soddisfazione maturato a conclusione del precedente rapporto contrattuale (esecuzione a regola d’arte, nel rispetto dei tempi e dei costi pattuiti) e in ragione della competitività del prezzo offerto rispetto alla media dei prezzi praticati nel settore di mercato di riferimento, anche tenendo conto della qualità della prestazione.

4.3.3 L’onere motivazionale relativo all’economicità dell’affidamento può essere soddisfatto, ad esempio, mediante un confronto con la spesa per precedenti affidamenti o con il corrispettivo riconosciuto da altre amministrazioni per affidamenti analoghi o, se ritenuto opportuno, mediante il confronto dei preventivi di spesa forniti da due o più operatori economici, la quale rappresenta una best practice anche alla luce del principio di concorrenza.

4.3.4 Per affidamenti di modico valore, ad esempio inferiori a 1.000 euro, o per affidamenti effettuati nel rispetto di apposito regolamento (ad esempio regolamento di contabilità) già adottato dalla stazione appaltante, che tiene conto dei principi comunitari e nazionali in materia di affidamento di contratti pubblici, la motivazione può essere espressa richiamando il regolamento stesso.

4.3.5 In caso di affidamento diretto, è facoltà della stazione appaltante non richiedere la garanzia provvisoria di cui all’art. 93, comma 1, del Codice dei contratti pubblici. La stazione appaltante ha, altresì, la facoltà di esonerare l’affidatario dalla garanzia definitiva di cui all’art. 103 del Codice dei contratti pubblici, in casi specifici, e alle condizioni dettate dal comma 11 del citato art. 103”.

La rotazione negli appalti , arriva in aiuto il Consiglio di Stato, Sezione VI, 31 agosto 2017, n. 4125,

La rotazione negli appalti ha lo scopo di evitare rendite e vantaggi non dovuti agli operatori economici che “radicano” nelle PA da un lato, dall’altro serve assieme alla trasparenza alla riduzione della dicrezionalità decisoria.

E’ evidente, dovrebbe esserlo, che la rotazione è un istituto che si applica solo alle procedure negoziate e non a quelle ordinarie.

Una decisione del CdS, la 4125/2017, pure se in maniera indiretta chiarisce quando e come applicare e disapplicare la rotazione “degli inviti”.

La sintesi, che diviene ispiratrice della devisione di Palazzo Spada recita ““Il principio di rotazione ‒ che per espressa previsione normativa deve orientare le stazioni appaltanti nella fase di consultazione degli operatori economici da consultare e da invitare a presentare le offerte ‒ trova fondamento nella esigenza di evitare il consolidamento di rendite di posizione in capo al gestore uscente (la cui posizione di vantaggio deriva soprattutto dalle informazioni
acquisite durante il pregresso affidamento), soprattutto nei mercati in cui il numero di agenti economici attivi non è elevato. Pertanto, al fine di ostacolare le pratiche di affidamenti senza gara ripetuti nel tempo che ostacolino l’ingresso delle piccole e medie imprese, e di favorire la distribuzioni temporale delle opportunità di aggiudicazione tra tutti gli operatori potenzialmente idonei, il principio di rotazione comporta in linea generale che l’invito all’affidatario uscente riveste carattere eccezionale e deve essere adeguatamente motivato, avuto riguardo al numero ridotto di operatori presenti sul mercato, al grado di soddisfazione maturato a conclusione del precedente rapporto contrattuale ovvero all’oggetto e alle caratteristiche del mercato di riferimento (in tal senso, cfr. la delibera 26 ottobre 2016, n. 1097 dell’Autorità nazionale anticorruzione, linee guida n. 4)”.

 

La rotazione è obbligatoria, per derogarla occorrono giuste motivazioni, con discrezionalità tecnica ( derivante da modelli organizzativi interni) e qualificazione del fornitore.

 Parere del Cds (cds4125_2017)

 

Affidamento diretto

Affidamento Diretto ed  accountability, la differenza con l’incarico fiduciario.

 

“… una rosa è una rosa, è una rosa è ,una rosa”…….. scriveva Gertrude Stein e cantava Franesco  De Gregori, mi vien da dire allora che l’affidamento  diretto, citato ben tre volte , articolo 31 coma 8 , 32 comma 2 e 36 comma 2 lett a …è un “affidamento diretto, è un affidamento diretto”…..

 

Chi continuerà a scappare dall’affidamento diretto, magari ricorrendo a forme “bastarde” come gli acquisti infra 40000 con la procedura negoziata vedrà sempre più peggiorare la propria situazione per il grosso costo – opportunità che si tramuta in DANNO ERARIALE .

Certo è che chi ha il coraggio di usare gli strumenti di legge non deve essere considerato un folle spericolato.

Vediamo un poco la differenza tra l’affidamento diretto e l’incarico fiduciario.

 

Sono istituti molto, ma molto diversi tra loro, gli elementi di maggior differenza sono :

  • L’ambito di applicazione
  • I controlli passivi

Per quanto riguarda gli ambiti, l’incarico fiduciario è proprio delle consulenze , cfr art 7 D.lgs 165/01 ed a differenza dell’affidamento diretto, i controlli passivi sono molto meno insistenti , diciamo quindi che tra i due istituti c’è una grossa discriminante, quella dell’accountability.

 

L’aver tolto dal codice degli appalti i termini  “adeguatamente , motivato” certamente non significa che le acquisizioni possono farsi senza logia e senza confronto, tanto è vero che la norma non può che essere ispirata dagli articoli 97 Cost e 3 comma 1 della L. 241/90 .

 

Nuove Imprese a tasso zero

Nuove Imprese a Tasso Zero è il bando gestito da Invitalia per la costituzione di nuove imprese.

 

Il bando è rivolto a giovani di età compresa tra 18 e 35 anni od a donne, di tutte le età che si costituiscano in società. Il requisito soggettivo di età e sesso deve essere soddisfatto per maggioranza numerica e di quote. Sono ammesse società di persone, di capitali e cooperative. Sono escluse le ditte individuali, le società semplici e le società di fatto.

 

La localizzazione non è delimitata, il bando vale su tutto il territorio nazionale.

 

Il finanziamento prevede un contributo a tasso zero pari al 75% dell’investimento, quest’ultimo non potrà superare 1,5 milioni di euro.

 

Le Attività comprese sono le seguenti:

  • Produzione di beni
  • Trasformazione prodotti agricoli
  • Servizi alle imprese
  • Servizi alle persone
  • Commercio di beni e servizi
  • Filiera turistico-culturale

Le spese ammissibili sono parametrate anche in base alla tipologia di attività: in alcuni casi (Produzione beni e trasformazione di prodotti agricoli) è prevista anche una percentuale sull’acquisto del terreno, in altri casi le spese perle opere murarie (costruzione, acquisto, ristrutturazione) sono più alte (filiera turistica culturale).

Spese ammissibili sono le solite e necessarie, paramentrate in base a percentuali di contribuzione (limite massimo): opere murarie (40%); impianti, macchinari ed attrezzature (nessun limite); brevetti, licenze, marchi (20%); servizi ict (20%); formazione (5%); consulenze (5%); programmi informatici (nessun limite).

 

La domanda è già presentabile, è necessario il possesso di indirizzo P.E.C. e firma digitale.

 

Possono presentare la domanda le imprese già costituite da meno di 12 mesi dalla di presentazione della domanda oltre che le persone fisiche, con l’impegno di costituire la società non oltre i 45 giorni dall’ammissione alle agevolazioni.