Rete Piedimonte, info e allegati

19 Settembre 2018/in Senza categoria /da elisa

Le informazioni necessarie alla redazione della manualistica sono:

Nome cognome e c.f. del dirigente e del dsga
Ordini di servizio degli assistenti amministrativi
Nomine delle funzioni strumentali

Per la parte informatica:

nome computer / sistema operativo / antivirus / software / utilizzatore
politiche di back up
amministratore di sistema

Grazie a tutti.

P.s. dal momento in cui avrò le informazioni complete di ogni scuola, entro e non oltre una settimana vi restituirò la modulistica completa.

Buona serata

Elisa Carotenuto e Vincenzo De Prisco

DETERMINA AFFIDAMENTO DIRETTO Download

SCHEMA ART 36 COMMA 2 LET A Download

DETERMINA a contrarre Download

DISCORSI ATTORNO AL CODICE DELL’AMMINISTRAZIONE DIGITALE, L’INUTILITA DI FIRMARE CON STAMPIGLIATURA D.LGS 39/93

Iniziamo da oggi a trattare in modo approfondito il CAD ( dall’origine al 179/16).

Parleremo del CAD di tutti i giorni, la creazione del documento, la copia informatica, la copia dall’analogico , le notifiche e le comunicazioni.

Iniziamo con le basi, ed analizziamo una pessima abitudine che ancora esiste in molte PP.AA. nostrane.

Esiste una forte confusione tra documento massivo analogico, stampato per intenderci, e documento informatico,

In particolare girando sui siti web istituzionali ancora si vedono documento sigillati con la dicitura ” firma autografa omessa ai sensi dell’articolo 3 del D.Lgs 39/93.”

Una piccola parentesi, ricordate della conserva di pomodoro della mia natia terra ? trattare bene i dati significa non solo conservarli, ma selezionarli dall’inizio del processo ( o del procedimento amministrativo).

Far nascere dei documenti, per poi metterli sotto vuoto, in conservazione sostitutiva , con questa postilla equivale e sprecare spazio, a conservare qualcosa di sbagliato, riporto l’articolo di legge

Art. 3. 1. ((COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179)). 2. Nell’ambito delle pubbliche amministrazioni l’immissione, la riproduzione su qualunque supporto e la trasmissione di dati, informazioni e documenti mediante sistemi informatici o telematici, nonche’ l’emanazione di atti amministrativi attraverso i medesimi sistemi, devono essere accompagnate dall’indicazione della fonte e del responsabile dell’immissione, riproduzione, trasmissione o emanazione. Se per la validita’ di tali operazioni e degli atti emessi sia prevista l’apposizione di firma autografa, la stessa e’ sostituita dall’indicazione a stampa, sul documento prodotto dal sistema automatizzato, del nominativo del soggetto responsabile.

E’ chiara l’intenzione di agevolare la firma quando i documenti sono massivi e stampati, in ogni caso questi documenti non hanno la forma del documento scritto.

Invece il documento formato ai sensi del CAD, dell’articolo 20 in particolare soddisfail requisito della forma scritta come da codice civile all’articolo 2702.

Art. 20 Validita’ ed efficacia probatoria dei documenti informatici 1. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179. ((1-bis. Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi e’ apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, e’ formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalita’ tali da garantire la sicurezza, integrita’ e immodificabilita’ del documento e, in maniera manifesta e inequivoca, la sua riconducibilita’ all’autore. In tutti gli altri casi, l’idoneita’ del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrita’ e immodificabilita’. La data e l’ora di formazione del documento informatico sono opponibili ai terzi se apposte in conformita’ alle Linee guida.))

In questo post iniziale non mi dilungherò sui diversi tipi di fima previste dal CAD ( e dall’EiDAS reg. 2014/910) , ma mi fermo con il ricordare che la firma apposta come da articolo 3 del 39/93 non produce nessun effetto, inoltre se qualche banca permettesse di far girare gli assegni senza la firma autografa ma colla dicitura ” ha firmato chi avrebbe dovuto firmare” vi fidereste ? io no.

Alla prossima

Attenti al 18 Ottobre.

16 Settembre 2018/in Adempimenti PA, Anticorruzione e Trasparenza, Codice Appalti Pubblici, Codice dell'Amministrazione Digitale, dematerializzazione dei processi /da vincenzo de prisco

Spero di essere stato chiaro, il GDPR è un bel piatto vuoto da ornare e guarnire ( e controllare ).

E’ una norma di riferimento, di principi di massima, ma l’applicazione settoriale deve essere contestualizzata con norme specifiche, per questo mi piace dire che non esiste la privacy ma solo il corretto trattamento dei dati.

Molti dati e molte informazioni trattate dalle PP.AA. hanno a che fare con il codice dei contratti ( e proprio in questo caso, vige il principio della trasparenza e non quello della riservatezza, cfr articolo 29 del codice e 37 del D.lgs 33/13 ).

La norma ed i modelli per gestire meglio le informazini derivano da alcune normative che mia paice definire ” le grandi assenti” :

– il codice dell’amministrazione digitale ( D.lgs 82/05)

– Codice dei beni culturali e del paesaggio ( D.lgs 42/2004 ) .

Per dirla in breve, in maniera banale, gli atti devono nascere in digitale, dematerializzati ( ai sensi dell’articolo 40 del CAD ) e sin dall’origine fanno parte del patrimonio dello Stato ( articolo 10 comma 2 lett. b D.lgs 42/2004).

Dal 18 ottobre, la generazione dei documenti digitali hanno un’ulteriore spinta, infatti entra in vigore l’articolo 40 del Codice dei Contratti.

  Art. 40 
 
 
(Obbligo  di  uso  dei  mezzi  di  comunicazione  elettronici   nello
             svolgimento di procedure di aggiudicazione) 
 
  1. Le comunicazioni e gli scambi di informazioni nell'ambito  delle
procedure di cui al presente codice svolte da centrali di committenza
sono eseguiti utilizzando mezzi di comunicazione elettronici ai sensi
dell'articolo 5-bis del decreto legislativo  7  marzo  2005,  n.  82,
Codice dell'amministrazione digitale. 
  2. A decorrere dal 18 ottobre 2018, le comunicazioni e  gli  scambi
di informazioni nell'ambito delle procedure di cui al presente codice
svolte dalle stazioni appaltanti sono eseguiti utilizzando  mezzi  di
comunicazione elettronici.

riporto per facilità di lettura il 5 bis CAD

(Comunicazioni tra imprese e amministrazioni pubbliche).

1. La presentazione di istanze, dichiarazioni, dati e lo scambio di informazioni e documenti, anche a fini statistici, tra le imprese e le amministrazioni pubbliche avviene esclusivamente utilizzando le tecnologie dell’informazione e della comunicazione. Con le medesime modalita’ le amministrazioni pubbliche adottano e comunicano atti e provvedimenti amministrativi nei confronti delle imprese.

2. Con decreto del Presidente del Consiglio dei Ministri, su proposta del Ministro per la pubblica amministrazione e l’innovazione, di concerto con il Ministro dello sviluppo economico e con il Ministro per la semplificazione normativa, sono adottate le modalita’ di attuazione del comma 1 da parte delle pubbliche amministrazioni centrali e fissati i relativi termini.

3. ((AgID)), anche avvalendosi degli uffici di cui all’articolo 17, provvede alla verifica dell’attuazione del comma 1 secondo le modalita’ e i termini indicati nel decreto di cui al comma 2. 4. Il Governo promuove l’intesa con regioni ed enti locali in sede di Conferenza unificata per l’adozione degli indirizzi utili alla realizzazione delle finalita’ di cui al comma 1

Vediamo velocemente cosa succederà tenedo conto il fine pubblico, creare un mercato unico ( anche nelle procedure) che potrebbe portare un incremento di posti di lavoro con circa 415 miliardi di euro circolanti . Il processo ( spesso già digitale) sarà uniformato, in particolare lo stack abbraccia tre sottoprocessi : – Pubblicazione – Gara – Stipula A breve, come da piano triennale per l’informatica iniziaremo quindi ad usare il portale ComproPA, ma ancora prima inizieromo ad utilizzare SIMOG 2.0 o SIMOG EVOLUTION per le comunicazioni in entrata ed in uscita verso gli altri paese UE.

I tipi di accesso alle informazini della PP.AA.

9 Settembre 2018/in Anticorruzione e Trasparenza, Codice dell'Amministrazione Digitale, dematerializzazione dei processi, Protezione dei dati /da vincenzo de prisco

E’ ormai chiara la mia lettura e la mia visione sulle normative ( Italiana, Europea, Leggi primarie, secondarie, terziarie e blà blà blà ).

Per corroborare il mio pensiero riporto il quarto considernado GDPR

Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.

È per orogoglio anche una la stringa famosa di una sentenza italiana che è arrivata ancor prima del GDPR, cass. 10280/15 sez III

IL DIRITTO ALLA PROTEZIONE DEI DATI PUR RIENTRANDO NEI DIRITTI FONDAMENTALI NON E’ UN “TOTEM AL QUALE POSSONO SACRIFICARSI ALTRI DIRITTI COSTITUZIONALMENTE GARANTITI” …IL DIRITTO ALLA PROTEZIONE DEI DATI DEVE ESSERE ” COORDINATO E BILANCIATO” CON LE NORME DI CARATTERE PUBBLICISTICO E PRIVATISTICO.

Ed ancora è bello, doveroso ed importante ricordare che trattare bene i dati non significa solo proteggerli e copiarli, si corre in questo modo il rischio di proteggere e conservare qualcosa di sbagliato, non conforme.

La protezione dalla nascita dei dati prevede ( articolo 25 GDPR ) una serie di presidi di tutela proattiva e di resilienza dei sistemi, ma nessun sistema può ben gestire le informazioni se il personale deputato all’inputazione non ha delle direttive valide, queste direttive, queste regole sono gestite e disciplinate dal Manuale della gestione documentale ex art. 5 DPCM 03/12/13.

Faccio un esempio, anzi meglio riporto un caso pratico che mi vede coinvolto.

Anni addietro per la prima volta acquistai in una grossa catena di elettronica il mio primo PC, chiesi la fattura e diedi il mio biglietto da visita .

Nella stringa DENOMINAZIONE del gestionale inserirono quanto riportato sul biglietto da visita, dott. Vincenzo De Prisco.

Ancora oggi quando acquisto qualcosa in questa catena, dando solo il mio nome e cognome io non risulto , solo dopo molte ricerche mi ricordo che sono registrato anche con il titolo di accademia .

Una buona progettazione del sistema avrebbe dovuto memorizzare il titolo in una casella di form text ininfluente sulla ricerca, ed il nominativo in una casella invece influente sulla ricerca.

Qualora il sistema blindato ( ed è il caso dei sistemi IBM AS/400) non permetta questa personalizzazione delle buone regole da manuale dovrebbero colmare questa lacuna, tipo impartire all’operatore l’istruzione di scrivere sempre il titolo accademico senza nessuna abbreviazione alla fine della stringa, oppure tra il cognome ed il nome etc etc, creare in breve delle regole certe.

Questo in un negozio privato ( anche se grande ), immaginate cosa può accadere nei protocolli e negli archivi delle PP.AA, senza regole.

È facile dire ” vabbè ma oggi i sistemi sono più performanti, basta una parolina ed esce tutto ….”, in parte è vero, ma ricordiamoci che l’ordine sistemico è il presidio fondamentale per la correttezza dei dati e soprattutto che sia nel pubblico che nel privato esistono i c.d. sistemi LEGACY, gli ereditati e che la stessa norma GDPR non impone sembre di cambiare il modo di lavorare, ricordiamoci l’incipit degli articli 25 e 32 .

In estrema sintesi, riprendo un simpatico esempio , quello della procedura delle conserve di pomodoro, nessuno conserverebbe il barattolo di conserva se questo è pieno di pomodori marci , non sterilizzati o se il contenitore ha aria all’interno, potremo ordinarli e proteggerli dal sole, ma sempre velenosi sono.

Ora riprendiamo il filo con queste regole , possiamo parlare di protezione e riservatezza solo dopo avere gestite le politiche di accesso alle informaazioni della PA .

Dunque il quesito è : quali sono i sistemi di accesso alle informazioni di una PA ( concetto allargato, vedasi art 1c. 2 d.lgs 165/01) ?

1 – certamente l’accesso documentale della L. 241/90

e poi ?

2 – Certamente l’ accesso civico tradizionale, quello semplice ( avresti dovuto pubblicare in AT, non l’hai fatto ? io cittadino guardiano ti invito a farlo )

3- Si, non sono pienamente in sintonia, ma anche l’accesso civivo generalizzato, anche se solo in parte .

E poi ?

Il problema che spesso dimentichiamo alcuni strumenti importanti come la pubblicazione tramite Openda Data ( ricordo, con gli OD accedo ai dati informativi, non ai documenti .

Manca quello che per me rappresenta il verso sistema partecipativo, certamente un’evoluzione del potere di sindacato della 241/90, parlo dell’articolo 41 comma 2 del CAD, l’accesso ed il controllo dinamico del procedimento amministrativo per far valere i diritti dell’articolo 10 della 241.

art 41 c 2 CAD

La pubblica amministrazione titolare del procedimento raccoglie in un fascicolo informatico gli atti, i documenti e i dati del procedimento medesimo da chiunque formati; all’atto della comunicazione dell’avvio del procedimento ai sensi dell’articolo 8 della legge 7 agosto 1990, n. 241, comunica agli interessati le modalita’ per esercitare in via telematica i diritti di cui all’articolo 10 della citata legge 7 agosto 1990, n. 241. (28)

riporto anche il 10 della 241

Art. 10. (( (Diritti dei partecipanti al procedimento) )) 1. I soggetti di cui all’articolo 7 e quelli intervenuti ai sensi dell’articolo 9 hanno diritto: a) di prendere visione degli atti del procedimento, salvo quanto previsto dall’articolo 24; b) di presentare memorie scritte e documenti, che l’amministrazione ha l’obbligo di valutare ove siano pertinenti all’oggetto del procedimento.

Per questo motivo gran parte degli approfondimenti futuri saranno focalizzati sulle istanze telematiche del CAD e sui sistemi di contemperazione di PRIVACY-CTD-TRASPARENZA.

mi è venuta fame, a presto. Art. 10. (( (Diritti dei partecipanti al procedimento) )) 1. I soggetti di cui all’articolo 7 e quelli intervenuti ai sensi dell’articolo 9 hanno diritto: a) di prendere visione degli atti del procedimento, salvo quanto previsto dall’articolo 24; b) di presentare memorie scritte e documenti, che l’amministrazione ha l’obbligo di valutare ove siano pertinenti all’oggetto del procedimento.

Ancora sul D.lgs 101/18, corretto trattamento dei dati ed antiriciclaggio , anche per le PP.AA.

8 Settembre 2018/in Adempimenti PA, Antiriciclaggio, Protezione dei dati /da vincenzo de prisco

In forza di una mia lettura molto personale ( bah !!) sul GDPR mi fa piacere che il D.Lgs 101/18 avvalori la mia interpretazione ( la mia lettura…), ci sono diritti fondamentali superiori al corretto trattamento dei dati ( come chiaro anche nel quarto considerando GDPR) , si veda l’articolo 2 octies del D.lgs 101.

Una cosa fondamentale che ci tengo a sottolineare è che la norma antiriciclaggio si applica anche alle Pubbliche Amministrazioni, invito a leggere questi articoli :

Procedura ANTIRICICLAGGIO da adottare anche nelle PP.AA.

Differenze tra esenzione ed esclusione dell’IVA, come incidono le voci sulle gare di appalto e sull’ANTIRICICLAGGIO nelle PA.

Antiriciclaggio nella Pubblica Amministrazione.

TRATTAMENTO DEI DATI ed altri DIRITTI

Trattamento dei dati Vs altri diritti…..più importanti.

Sono anni ormai, dalla prima vigenza del 196/03 per la precisione, che a differenza di altri operatori ho sempre “snobbato” la difesa della protezione dei dati personali.

Sembra strano ? Chi mi segue da più tempo ben mi capisce , sono di quelli che ha sempre chiamato la norma con il nome esatto e mai PRIVACY, anche perchè il rispetto della privacy non rientra nelle corde di consulente dell’organizzazione aziendale, penso sia più prossimo alle scienze umanistiche.

Chiariamo subito una cosa, così come la direttiva 95/46/CE ( od il nostro 196 ) non abrogò la L. 241/90 , si veda l’articolo 59 del Codice sul corretto trattamento dei dati, il Reg. 2016/679 non tocca il FOIA ( articolo 33 del D.Lgs 33/13).

articolo 59 Codice protezione dei dati (Accesso a documenti amministrativi)

Un’altra particolarità ( che dovrebbe essere la norma) è chiaramente scritta nel quarto considerando del Regolamento.

Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica

Quindi , ponderiamo l’importanza dei diritti fondamentali ( nel nostro caso l’articolo 8 della Carta di Nizza).

Oltre che il legislatore conviene ascoltare anche la giurisprudenza, infatti ….

CASSAZIONE n. 10280/15 sez III

… … IL DIRITTO ALLA PROTEZIONE DEI DATI PUR RIENTRANDO NEI DIRITTI FONDAMENTALI NON E’ UN “TOTEM AL QUALE POSSONO SACRIFICARSI ALTRI DIRITTI COSTITUZIONALMENTE GARANTITI” …IL DIRITTO ALLA PROTEZIONE DEI DATI DEVE ESSERE ” COORDINATO E BILANCIATO” CON LE NORME DI CARATTERE PUBBLICISTICO E PRIVATISTICO.

Per quanto queste affermazioni possano sembrare pensieri solo teorici, bazzecole, quisquilie, pinzellacchere da fessi se letti assieme al 19 considerando scopriremo che immediatamente ci sono evidenze pratiche nel mondo professionale e della PA , infatti :

La protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, e la libera circolazione di tali dati sono oggetto di uno specifico atto dell’Unione. Il presente regolamento non dovrebbe pertanto applicarsi ai trattamenti effettuati per tali finalità. I dati personali trattati dalle autorità pubbliche in forza del presente regolamento, quando utilizzati per tali finalità, dovrebbero invece essere disciplinati da un più specifico atto dell’Unione, segnatamente la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio Gli Stati membri possono conferire alle autorità competenti ai sensi della direttiva (UE) 2016/680 altri compiti che non siano necessariamente svolti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, affinché il trattamento di dati personali per tali altre finalità, nella misura in cui ricada nell’ambito di applicazione del diritto dell’Unione, rientri nell’ambito di applicazione del presente regolamento.
Con riguardo al trattamento dei dati personali da parte di tali autorità competenti per finalità rientranti nell’ambito di applicazione del presente regolamento, gli Stati membri dovrebbero poter mantenere o introdurre disposizioni più specifiche per adattare l’applicazione delle disposizioni del presente regolamento. Tali disposizioni possono determinare con maggiore precisione requisiti specifici per il trattamento di dati personali da parte di dette autorità competenti per tali altre finalità, tenuto conto della struttura costituzionale, organizzativa e amministrativa dei rispettivi Stati membri. Quando il trattamento dei dati personali effettuato da organismi privati rientra nell’ambito di applicazione del presente regolamento, è opportuno che lo stesso preveda la facoltà per gli Stati membri, a determinate condizioni, di adottare disposizioni legislative intese a limitare determinati obblighi e diritti, qualora tale limitazione costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia di importanti interessi specifici, comprese la sicurezza pubblica e le attività di prevenzione, indagine, accertamento e perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica. Ciò riveste particolare importanza ad esempio nel quadro del riciclaggio o di attività di medicina legale

Dalla letture combinata ( e ragionata ) si evidenzia che alcuni dei diritti del’interessato ( cancellazione ed oblio certamente) non possono sempre essere vantati in quanto ci sono norme che pur se di pari rango hanno valenza maggiore nell’impatto sociale e della giustizia .

Alcuni casi immediati sono l’antiriciclaggio e la medicina del lavoro ,in nessun caso le esigenze di protezionedei dati personali possono prevalere sull’interesse alla sicurezza pubblica e alle attività di prevenzione dei reati .

ABUSO DEL CONSENSO E PROBLEMATICHE.

7 Settembre 2018/in Codice dell'Amministrazione Digitale, dematerializzazione dei processi, Protezione dei dati /da vincenzo de prisco

Provo a fare un’analisi sull’abuso del consenso, analisi forse grottesca, certamente semi-seria .

Ancora c’è in giro un abuso di richieste di consenso, abuso che in parte capisco pur non condividendo, è un modo semplice per dire ” lavoro bene, seriamente, in maniera LECITA”.

In realtà nel porcesso bifasico della liceità del trattamento il consenso è solo uno degli elementi caratterizzanti, per semplicità riporto il sesto articolo del Reg.

1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a)
l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b)
il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c)
il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d)
il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
e)
il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f)
il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

Nella vita quotidiana ci troveremo sempre avanti, amggiormente, tutti gli altri casi di liceità dell’articolo 6 ( lettere b,c,d,e,f) .

Il simpatico problema che discende dall’abuso dell’articolo 6 par 1 lett a è il seguente, in funzione della legittamente al trattamento variano i diritti degli interessati.

Mi spiego meglio con un esempio :

Pubblica amministrazione, non saprei, servizi demografici di un Comune, ufficio S.C., oppure i registri dei nominativi di uno scolaretto alla scuola elementare ( la primaria per i più pignoli ), denuncio una nascita o l’iscrizione alla seconda elementare.

Qualche PA consegna il consenso da firmare, quindi rende lecito il trattamento ai sensi dell’articolo 6 par 1 lett a, passagio inutile in quanto la legittimazione deriva dalla lettera e .

Andiamo avanti, e leggiamo l’articolo 17, il diritto alla cancellazione, in particolare il par 1 lett b

l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;

oppure il paragrafo 1 lett a dell’articolo 20

il trattamento si basi sul consenso ai sensi dell’articolo 6, paragrafo 1, lettera a), o dell’articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell’articolo 6, paragrafo 1, lettera b);

E’ chiaro che far firmare il consenso fa nascere dei diritti che non possono essere poi rispettati da parte delle PA ( ma casi analoghi ci sono anche nel mondo privato ) , non posso chiedere allo SC di essere cancellato dagli elenchi dei nati o di vantare il diritto alla portabilità dei dati.

D.Lgs 101/18, armonizzazione GDPR

5 Settembre 2018/in Adempimenti PA, Codice dell'Amministrazione Digitale, dematerializzazione dei processi, Protezione dei dati /da vincenzo de prisco

Sarò antipatico come sempre ma mi piace ricordare che il decreto , come anche il regolamento, non è intitolato alla PRIVACY ma al corretto trattamento dei dati.

Dal 19 Settembre, San Gennaro, compleanno di mammá e del defunto nonno Vincenzo entrerà in vigore il decreto di armonizzazione della norma italiana con il GDPR, le anticipazioni date dai SOLONI sono state tutte disattese.

Le novità allontanano ulteriormente le modalità operative dal nostro vecchio codice salvandone però alcuni pilastri fondamentali.

Cosa dire, lascaitemi il tempo di apprendere la pubblicazione e sentiamoci presto.

Nell’ottica di armonizzazione l’articolo 27 del D.Lgs 101/18 ha abrogato dalla prima il titolo IV, cioè gli articoli 28,29 e 30 del 196, quindi dimentichiamoci nomine fatte con la vecchia nomenclatura ( responsabile interno ed incaricati ).

Ciao ciao , Vincenzo.

D.lgs 39/14, certificati casellario.

1 Settembre 2018/in Adempimenti PA, Protezione dei dati /da vincenzo de prisco

Visto il periodo dell’anno, ricordo dell’obbligo per le PA ( e non solo ) di richiedere il certificato penale per tutti i soggetti che lavorano a contatto con i minori, copio appresso un vecchio post.

Giusto per intenderci, chi ha ben attuato la legge 190/12 ( quella volgarmente identificata come anticorruzione) ha già da settembre scorso attuato una serie di procedure per “evitare l’accadimento di un illecito mappato nel procedsso di risk assessment”, stesso vale per chi applica il D.Lgs 231/01, ma in chiusura di articolo torneremo ad analizzare la più grossa novità del 39/14 che certamente non è quella dei certificati penali.

Per quanta riguarda la richiesta del certificato del casellario, in applicazione di questa norma, ad oggi, non è possibile applicare l’autocertificazione “tout court”, per un motivo semplice e logico : l’onere non è a carico del lavoratore , ma del datore di lavoro, come chiaramente scritto nell’articolo 2 comma 1 del D.lgs 39/204 .

Una dichiarazione sostitutiva può essere accettata e valida solo nelle more del controllo, come chiaramenre consigliato dal Ministero della Giustizia nella nota di chiarimento n.2 al D.lgs 39/2014 che allego.

Che sia chiaro, questo ad oggi, primo giorno di applicazione della norma.

Per tornare alle problemtiche più squisitamente legate al risk assessment della 190 e del 231, è importante iomplementare una procedura all’interno del protocollo sicurezza per il controllo ex novo delle strumentazioni informatiche in quanto l’articolo 1 impone ( tramite sanzioni) l’utilizzo di una diligenza superiore alla media per evitare che siano software che rendano la navigazione in internet “anonima”

NOTA MIN

FAQ

Dal 6 aprile 2014 chi assume nuovi dipendenti per lo svolgimento di attivitÃ a contatto con i minori dovrÃ richiedere il certificato del casellario ai sensi dellâ€™art. 25 bis del DPR 313/2002. L’obbligo c’Ã¨ anche nei confronti di chi Ã¨ giÃ stato assunto?

No. Lâ€™obbligo per il datore di lavoro sorge allâ€™atto dellâ€™assunzione e quando, scaduto il termine di durata previsto, il datore di lavoro stipuli altro e nuovo contratto con lo stesso lavoratore.

In quali casi il datore di lavoro ha l’obbligo di richiedere il certificato ai sensi dell’art. 25 bis del DPR 313/2002?

In tutti i casi in cui si instaura con la persona un rapporto contrattuale con prestazioni corrispettive, per attivitÃ che comportino un contatto diretto e regolare con i minori. Lâ€™obbligo non sorge, invece, per le forme di collaborazione che non si strutturino allâ€™interno di un definito rapporto di lavoro.

I certificati valgono 6 mesi. Il datore di lavoro dovrÃ quindi richiedere il certificato ai sensi dellâ€™art. 25 bis del DPR 313/2002 per i suoi dipendenti ogni 6 mesi?

No. Il certificato va richiesto solo al momento dell’assunzione.

In attesa del certificato richiesto dal datore di lavoro si puÃ² procedere alla stipula del contratto?

Si. In attesa dell’acquisizione del certificato, se il datore di lavoro Ã¨ pubblico puÃ² acquisire dal lavoratore una dichiarazione sostitutiva di certificazione; se il datore Ã¨ privato, una dichiarazione sostitutiva di atto di notorietÃ .

Le esenzioni dal bollo sono soltanto quelle indicate nel D.P.R. 642/72, tabella allegato B?

Le esenzioni indicate nel DPR 642/72 sono quelle principali. Altri casi di esenzione potrebbero perÃ² essere presenti in normative specifiche.

Con riferimento alle prescrizioni del D.Lgs. 39/2014, che si intende per â€œ attivitÃ professionali o attivitÃ volontarie organizzate che comportino contatti diretti e regolari con minoriâ€?

Per attivitÃ professionali o attivitÃ volontarie organizzate si intende tutte le professioni o i lavori (ad es. quelle di insegnante, bidello, pediatra, allenatore, educatore) per i quali lâ€™oggetto della prestazione comporta un contatto diretto e regolare con i minori a fronte di uno specifico rapporto di lavoro.

AttivitÃ professionali quali esempio quella di medico odontoiatra o medico pediatra che comporta attivitÃ verso i minori Ã¨ assoggettata alle prescrizioni del DL 39/2014 con riferimento ai propri lavoratori dipendenti?

Si.

Sono la vice-presidente di una Associazione Culturale che organizza, tra le altre cose, corsi di scuola di musica primaria (quindi rivolti principalmente a minorenni). Per l’organizzazione di questi corsi ci avvaliamo della collaborazione di professionisti che rilasciano regolare fattura come titolari di partita iva. Ci dobbiamo ritenere datori di lavoro e quindi richiedere per questi professionisti il certificato penale del casellario giudiziale ai sensi dellâ€™art. 25 bis del DPR 313/2002?

Si, qualora l’attivitÃ svolta dal professionista sia oggetto di un contratto, comunque qualificato, che faccia sorgere un rapporto di lavoro con prestazioni corrispettive.

link al modello 6a per la richiesta aggiornato al 7/7/2018

Si ricorda che non occorre nessun consenso sul trattamento essendo un’obbligazione di legge ( supporto normativo articolo 6 par 1 lett b,c,d,e)

Archivio per mese: Settembre, 2018

TRATTAMENTO DEI DATI ed altri DIRITTI