Incontro di (in)formazione sui temi della sicurezza informatica, tra Agid e GDPR – Liceo Sensale, Nocera Inferiore

C.A. Dirigenti Scolastici e Direttori S.G.A.

Oggetto: Incontro di (in)formazione su temi normativi cogenti

La Consulenti Associati S.a.s. di Elisa Carotenuto ed il dott. Vincenzo De Prisco di pregiano di invitarVi all’incontro che si terrà il giorno 16 febbraio p.v. alle ore 10.00 presso il Liceo Scientifico Sensale, via S. D’Alessandro, Nocera Inferiore, ospiti della D.s. Prof.ssa Elvira D’Ambrosio.

Il programma dell’incontro verterà sui seguenti argomenti:

  • Il Codice dell’Amministrazione Digitale, tra modifiche e riedizioni
  • Il Corretto Trattamento dei Dati tra social e privacy
  • Il Regolamento Europeo 2016/679. Cosa cambia?
  • La sicurezza informatica tra Agid e GDPR. Minima o adeguata?

Vi aspettiamo!

Cordialmente, Elisa e Vincenzo

Aziende speciali fuori dalla portata della Delibera ANAC 235/17 – Autorità Nazionale Anticorruzione Linee guida n. 7, di attuazione del D.Lgs. 18 aprile 2016, n. 50 recanti « Linee Guida per l’iscrizione nell’ Elenco delle amministrazioni aggiudicatrici e degli enti aggiudicatori che operano mediante affidamenti diretti nei confronti di proprie società in house previsto dall’art. 192 del d.lgs. 50/2016 ».

Preciso e premetto che questo post riporta solo ed esclusivamente una mia analisi, invero di interpretazione minoritaria e contrastante con talune notissime testate specializzate, una fra tutte:

http://www.quotidianoentilocali.ilsole24ore.com/art/servizi-pubblici/2018-01-15/aziende-speciali-fondazioni-e-controlli-controlli-occorre-fare-chiarezza-190643.php?uuid=AEZuqAjD

 

Partiamo dagli elementi normativi prima facie:

L’ articolo 5 del codice degli appalti e gli articoli 4 e 16 del TU delle società partecipate ( D.Lgs 175/16)

L’articolo 5 del D.Lgs 50/16 elenca gli elementi ( che contemporaneamente devono esistere ) di esclusione dall’applicazione del codice , dettagliatamente :

a   l’amministrazione giudicatrice esercita il controllo analogo

b   oltre l’80% dei servizi svolti dalla persona giuridica controllata è attuazione statutaria attuata  in convenzione

c   nella persona giuridica controllata non vi è capitale privato

 

Già leggendo questi elementi è chiaro che i richiami sono propri, anche anche nel  lessico, alle società pubbliche, come anche la rubrica della deliberazione 951.

Gli articoli 4 e 16 del TU delle partecipate chiaramente sono le fonti ispiratrici del predetto articolo del Codice Appalti e dettano alcuni parametri valutativi per srl e spa, non per le aziende costituite ai sensi dell’articolo 114 del Testo Unico degli ENTI LOCALI.

Casistiche e prassi:

Le aziende speciali svolgono attività prive di rilevanza economica come chiarito nell’articolo 113 bis del TUEL lett b.

Se la norma degli affidamenti in house avesse voluto coinvolgere anche le aziende speciali, avrebbe dovuto menzionarle, assieme alle istituzioni ( lett  c ), invece la norma di primo e secondo livello richiama sempre le società partecipate  ( lett a ).

Art. 113-bis (Gestione dei servizi pubblici locali privi di rilevanza economica)

  1. Ferme restando le disposizioni previste per i singoli settori, i servizi pubblici locali privi di rilevanza economica sono gestiti mediante affidamento diretto a:
    a) istituzioni;
    b) aziende speciali, anche consortili;
    c) società a capitale interamente pubblico a condizione che gli enti pubblici titolari del capitale sociale esercitino sulla società un controllo analogo a quello esercitato sui propri servizi e che la società realizzi la parte più importante della propria attività con l’ente o gli enti pubblici che la controllano.

 

Inoltre è opportuno ricordare che le aziende speciali non hanno degli affidamenti o delle concessioni, ma svolgono (in maniera analoga!!!) un compito, un servizio, un lavoro od una generica attività in seno ad una convenzione .

Ancora, volendo pensare ad affidamenti di lavori o servizi, sarebbero tutti nulli non potendoli programmare ex articolo 21 codice appalti.

Altro problema operativo, non di poco conto e nemmeno remoto, sarebbe l’applicazione dell’articolo 15 della 241/90 (accordi tra PA).

E poi, onestamente visto l’istituto del controllo analogo (proprio caratterizzante le AZIENDE SPECIALI), sarebbe difficile uscirne dalla casistica del conflitto d’interesse dell’articolo 42 del codice degli appalti.

Ma a questo punto nasce una questione verso la quale tutti hanno abbassato la guardia ed accettato che le Aziende SPECIALI SI INSERISSERO NELL’ELENCO delle società affidatarie in house ,

“perché la piattaforma ANAC permette l’iscrizione ?”

A mio avviso semplicemente perché queste in autonomia possono svolgere altri compiti non disciplinati dalla convenzione costitutiva, quindi possono partecipare, garantendone l’economicità, agli affidamenti  ex articolo 36 del D.Lgs 50/16.

 

E poi, il normatore avrebbe potuto intitolare le LL GG

“Linee Guida per l’iscrizione nell’Elenco delle amministrazioni aggiudicatrici e degli enti aggiudicatori che operano mediante affidamenti diretti nei confronti di proprie società in house  ed aziende speciali previsto dall’art. 192 del d.lgs. 50/2016

Il CAD, le novità dirompenti , quelli che…a volte ritornano, e nuovi poteri .

La novità dirompente è certamente rappresentata dalla modificazione all’articolo 6, UTILIZZO DEL DOMICILIO DIGITALE.

Le comunicazioni tramite i domicili digitali sono effettuate
agli indirizzi inseriti negli elenchi di cui agli articoli 6-bis,
6-ter e 6-quater, o a quello eletto come domicilio speciale per
determinati atti o affari ai sensi dell’articolo 3-bis, comma
4-quinquies. Le comunicazioni elettroniche trasmesse ad
uno dei domicili digitali di cui all’articolo 3-bis producono,
quanto al momento della spedizione e del ricevimento, gli
stessi effetti giuridici delle comunicazioni a mezzo raccomandata
con ricevuta di ritorno ed equivalgono alla notificazione
per mezzo della posta salvo che la legge disponga
diversamente. Le suddette comunicazioni si intendono spedite
dal mittente se inviate al proprio gestore e si intendono
consegnate se rese disponibili al domicilio digitale del destinatario,
salva la prova che la mancata consegna sia dovuta
a fatto non imputabile al destinatario medesimo. La data e
l’ora di trasmissione e ricezione del documento informatico
sono opponibili ai terzi se apposte in conformità alle Linee
guida.

La portata è talmente amplia che accanto ai già noti elenchi IPA, INI-PEC e R.I è istituito l’Indice Nazionale dei domicili digitali delle persone fisiche e degli altri enti non tenuti all’iscrizione il albi professionali e CCIAA, come palesato dall’articolo 6 quater

Indice nazionale dei domicili digitali delle persone
fisiche e degli altri enti di diritto privato, non tenuti
all’iscrizione in albi professionali o nel registro delle imprese
1. E’ istituito il pubblico elenco dei domicili digitali delle persone
fisiche e degli altri enti di diritto privato non tenuti all’iscrizione
in albi professionali o nel registro delle imprese, nel
quale sono indicati i domicili eletti ai sensi dell’articolo 3-bis,
comma 1-bis. La realizzazione e la gestione dell’Indice sono
affidate all’AgID, che vi provvede avvalendosi delle strutture
informatiche delle Camere di commercio gia’ deputate
alla gestione dell’elenco di cui all’articolo 6-bis.
2. Per i professionisti iscritti in albi ed elenchi il domicilio
digitale e’ l’indirizzo inserito nell’elenco di cui all’articolo
6-bis, fermo restando il diritto di eleggerne uno diverso ai
sensi dell’articolo 3-bis, comma 1-bis. Ai fini dell’inserimento
dei domicili dei professionisti nel predetto elenco il Ministero
dello sviluppo economico rende disponibili all’AgID,
tramite servizi informatici individuati nelle Linee guida, i
relativi indirizzi gia’ contenuti nell’elenco di cui all’articolo
6-bis.

Tuttavia la stessa norma al comma 3 prescrive la temporaneità di questo elenco nelle more della messa a regime dell’ANPR .

Grosse modifiche anche all’articolo 17 del codice che sottolinea :

  • la presenza del RTD in ogni PA
  • e sposta centralmente presso l’AGID l’ufficio del Difensore civico ,

per chi volesse approfondire la previgente norma , che comunque resta valida negli obiettivi :

e

Lo stesso articolo 17 , si novella di precisazioni attorno alle funzioni del RTD al comma 1 lett j bis :

…pianificazione e coordinamento degli acquisti di soluzioni
e sistemi informatici, telematici e di telecomunicazione
al fine di garantirne la compatibilita’ con gli obiettivi di
attuazione dell’agenda digitale e, in particolare, con quelli
stabiliti nel piano triennale di cui all’articolo 16, comma 1,
lettera b).

In poche parole il RTD è il progettista degli acquisti in ambito informatico ( e non scoperchio il vespaio degli acquisti informatici , cfr il grosso danno erariali degli acquisti per la dematerializzazione in barba all’articolo 61 del D.lgs 179/16) .

Altra novità è lo sdoganamento ( come già avviene all’articolo 22 del D.Lgs 50/16) dei portatori di interesse, meglio conosciuti col malefico nome di lobby . Infatti l’articolo 18 del CAD introduce la piattaforma nazionale per la governance della trasformazione digitale , ove possono incontrarsi le esigenze delle PP.AA. e dei portatori di interesse .

Piattaforma nazionale per la governance della trasformazione
digitale
1. E’ realizzata presso l’AgID una piattaforma per la consultazione
pubblica e il confronto tra i portatori di interesse
in relazione ai provvedimenti connessi all’attuazione dell’agenda
digitale.
2. AgID identifica le caratteristiche tecnico-funzionali della
piattaforma in maniera tale da garantire che la stessa sia
accessibile ai portatori di interessi pubblici e privati e che
sia idonea a raccogliere suggerimenti e proposte emendative
in maniera trasparente, qualificata ed efficace.
3. Il Piano triennale per l’informatica nella pubblica
amministrazione di cui all’articolo 14-bis e’ pubblicato sulla
piattaforma e aggiornato di anno in anno.
4. Tutti i soggetti di cui all’articolo 2, comma 2, lettera a),
possono pubblicare sulla piattaforma i provvedimenti che
intendono adottare o, qualora si tratti di provvedimenti soggetti
a modifiche e aggiornamenti periodici, gia’ adottati,
aventi ad oggetto l’attuazione dell’agenda digitale.
5. I soggetti di cui all’articolo 2, comma 2, lettera a), tengono
conto di suggerimenti e proposte emendative raccolte
attraverso la piattaforma.

L’articolo 20, croce e delizia dei giuristi del c.d. DAE ( diritto amministrativo elettronico ) pur non avendo modificato di molto ( per niente ) la portata , ha introdotto un poco di ordine ( che dovrebbe essere proprio del TU ) ricordando dell’efficacia giuridica e dell’opponibilità   ex art 2702 inserendo ne codice il principio dell’articolo 25 del Reg Eu/2014/910( EIDAS) , riporto il comma 1 bis :

1-bis. Il documento informatico soddisfa il requisito della
forma scritta e ha l’efficacia prevista dall’articolo 2702 del
Codice civile quando vi e’ apposta una firma digitale, altro
tipo di firma elettronica qualificata o una firma elettronica
avanzata o, comunque, e’ formato, previa identificazione
informatica del suo autore, attraverso un processo
avente i requisiti fissati dall’AgID ai sensi dell’articolo 71
con modalita’ tali da garantire la sicurezza, integrita’ e
immodificabilita’ del documento e, in maniera manifesta e
inequivoca, la sua riconducibilita’ all’autore. In tutti gli
altri casi, l’idoneita’ del documento informatico a soddisfare
il requisito della forma scritta e il suo valore probatorio sono
liberamente valutabili in giudizio, in relazione alle caratteristiche
di sicurezza, integrita’ e immodificabilita’. La data e
l’ora di formazione del documento informatico sono opponibili
ai terzi se apposte in conformita’ alle Linee guida.
1-ter. L’utilizzo del dispositivo di firma elettronica qualificata
o digitale si presume riconducibile al titolare di firma
elettronica, salvo che questi dia prova contraria.
1-quater. Restano ferme le disposizioni concernenti il deposito
degli atti e dei documenti in via telematica secondo la
normativa, anche regolamentare, in materia di processo telematico.

Ritorna inoltre , ci è mancato per un anno circa, il piano di emergenza e continuità operativa delle PP AA, infatti l’articolo 51 ai commi 2 ter e quater reintroduce quanto abrogato dal D.Lgs 179/16

2-ter. I soggetti di cui all’articolo 2, comma 2, aderiscono
ogni anno ai programmi di sicurezza preventiva coordinati e
promossi da AgID secondo le procedure dettate dalla medesima
AgID con le Linee guida.
2-quater. I soggetti di cui articolo 2, comma 2, predispongono,
nel rispetto delle Linee guida adottate dall’AgID, piani
di emergenza in grado di assicurare la continuita’ operativa
delle operazioni indispensabili per i servizi erogati e il ritorno
alla normale operativita’. Onde garantire quanto previsto,
e’ possibile il ricorso all’articolo 15 della legge 7 agosto
1990, n. 241, per l’erogazione di servizi applicativi, infrastrutturali
e di dati, con ristoro dei soli costi di funzionamento.
Per le Amministrazioni dello Stato coinvolte si provvede
mediante rimodulazione degli stanziamenti dei pertinenti
capitoli di spesa o mediante riassegnazione alla spesa degli
importi versati a tale titolo ad apposito capitolo di entrata
del bilancio statale.

 

Ed ora la novità più grande che dovrebbe eliminare lo stallo di tutti i precedenti CAD, il potere in capo all’Agid di emanare LLGG dal tenore di soft law, infatti ora le regole tecniche dell’articolo 71 saranno targate AGID.

Penso che dopo 13 anni, la maturità della norma sia arrivata . CAD  , facci vedere cosa puoi fare !!!!

E poi mi piace sempre sottolineare che la risposta ad ogni “variazione” è sempre data dalla formazione, articolo 13 CAD

Formazione informatica dei dipendenti pubblici

Le pubbliche amministrazioni nell’ambito delle risorse finanziarie
disponibili, attuano politiche di reclutamento e formazione
del personale finalizzate alla conoscenza e all’uso delle
tecnologie dell’informazione e della comunicazione, nonché dei
temi relativi all’accessibilità e alle tecnologie assistive, ai sensi
dell’articolo 8 della legge 9 gennaio 2004, n. 4.
1-bis. Le politiche di formazione di cui al comma 1 sono altresì
volte allo sviluppo delle competenze tecnologi-che, di informatica
giuridica e manageriali dei dirigenti, per la transizione alla
modalità operativa digitale.

 

 

Scadenze varie !

Prossime scadenze :

– tempestivià dei pagamenti ( anche annuale ) — si ricorda che è possibile utilizzare l’istituto dell’articolo 7bis D.lgs 33/13
– file xml ANAC art 1 comma 32 L. 190/12
– Rilevazione del RPTC
– Piano triennale TeC

Scadenze e procedure !!!! RASA e whistleblowing

Un consiglio, se non volete vivere nell’emergenza gli adempimenti fateli leggendo le mie news e non aspettando i solleciti dei vari sindacati ed associazioni.

Solitamente avviso con un anno di anticipo, anzi per il RASA è stato raccomandato  anni addietro ,

scusate lo sfogo

Chi è il RASA ? E ‘ colui che gestisce anagarficamente l’AUSA !!!!!

Identificato in ? nell PA a struttura semplice è solitamente il RL . In quelle complesse è scelto tra i RUP, anche per motivi di economia gestionale, infatti così facendo si aggiunge un profilo piuttosto che un RUOLO .

Procedura iscrizione :

1) si va in https://servizi.anticorruzione.it/ e si inseriscono i dati del RUP

2) crea nuovo profilo

3) in tipologia del soggetto rappresentato scegliere AMMINISTRAZIONE O SOGGETTO AGGIUDICATORE

4) spuntare RASA

5) rispondere alle domande ( basta solo il CF della PA )

6) validate la PEC se richiesto.

 

SCADENZA della redazione del PTPC

Occorre aggiornare il PTPC , vi invito a leggere i PNA in particolare :

  •   IL 2014 per i principi generali di analisi del rischi
  • Il 2016 ( delibera ANAC 831 ) per Istituzioni Scolastiche , Ordini Professionali, Sanità

Si ricorda che per le ISA i RPC è il DG dell’USR, quindi attende direttive , infatti alla PARTE SPECIALE, Titolo IV, Par 1 , pag 56 è chiarmaente indicato.

Tutela del segnlatore di illeciti, il WHISTLEBLOWER.

Quanta confusione !!!

La recente modifica alla disciplina del WHISTLEBLOWER tocca maggiormente LE AZIENDE PRIVATE, infatti ha modificato l’articolo 6 del D.lgs 231/01, per il pubblico resta il vigore l’articolo 54 bis del D.Lgs 165/01, vi allego il modello da tempo presente in ANAC. Le procedure alternative devono essere gestire dal RPCT.

 

Il  miglior presidio resta un buon codice di comportamento ex DPR 62/13.

20160224_segnalazioni_illeciti_WB

 

 

 

 

Qualche anticipazione per i RTD sul D.Lgs 217/17 il NUOVO CAD

Il correttivo al CAD oltre a continuare sul filone filosofico e concettuale introduce nuovamente alcuni istituti cancellati dal D.Lgs 179/16 ( a parere dello scrivente erroneamente ), come ad esempio :

  • come già accennato si riconferma l’importanza del responsabile alla transizione in ogni PA , infatti l’articolo 17 del D. Lgs 217/2017 che modifica l’articolo 17 del D.lgs 82/05 ( già variato dal D.lgs 179/16) mette maggiore enfasi sull’importanza del RTD in ogni PA ed istituisce l’ufficio centrale presso l’AGID del Difensore Civico Digitale .
    Al RTD spetta : progettazione sugli acquisti ed integrazione, rispetto delle misure articolo 71 del CAD ed impulso per il nuovo servizio di “identità e domicilio digitale”
  • identita’ e domicilio digitale, sistema di prossima attuazione ibrido tra PEC-ID e SPID
  • Reintroduzione della continuità operativa ( art. 46 del D.lgs 217/2017 che introduce il comma 2 – quater all’articolo 51 del CAD)
  • Interoperabilità
  • Riutilizzazione del softwareOvviamente il tutto anche in ottica GDPR.  Ben venga la rivoluzione .
    
    

Nuovo CAD e NUOVA PRIVACY ! Siete Pronti ? Direi di no!!!!

Meno di 20 giorni per il nuovo codice dell’amministrazione digitale e circa 60 per prepararci al GDPR, già vedo in giro tante soluzioni hardware e software con grande danno erariale ( vedi segreteria digitale etc etc )!!!!

 

Come sempre dovrebbe essere il RTD a dare le dritte , a buon intenditore poche parole…

…oltre  al danno erariale nullità originale degli atti e sanzioni amministrative e penali,