BONUS AI CITTADINI COVID-19 TRA RISERVATEZZA E PUBBLICITA’

L’ORDINANZA 658/20 garantisce un bonus ai cittadini da spendere in beni di prima necessita’.

Come sempre sposto l’attenzione sul corretto trattamento dei dati , ne uscira’ un nuovo archivio trattato dai servizi sociali con destinatari esterni (terzo settore).

Ai miei clienti entro qualche giorno arrivera’ l’informativa (nessun consenso) e l’aggiornamento con l’analisi dei rischi ( errato svolgimento delle mansioni, comunicazioni illegali di dati e documenti e furto) .

Vediamo da un punto di vista cosa accade.

Bisogna evidenziare che non vi e’ nessun dato sensibile o particolare ma solo dati c.d. parasensibili (  deliberazione del Garante 17/2007 e 243/14 ) quindi ci saranno delle limitazioni solo ed esclusivamente nella pubblicazione dei dati e non nelle richieste di accesso tradizionale ex articolo 22 L. 241/90 con le limitazione del combinato art 60 D.Lgs 196/03 e 24 L. 241/90 .

Cosa pubblicare allora in AT ?

Seguiamo l’articolo 26 del D.Lgs 33/13 alla lettera e tranquilli, vediamolo

Obblighi di pubblicazione degli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici a persone fisiche ed enti pubblici e privati.
1. Le pubbliche amministrazioni pubblicano gli atti con i quali sono determinati, ai sensi dell’articolo 12 della legge 7 agosto 1990, n. 241, i criteri e le modalita’ cui le amministrazioni stesse devono attenersi per la concessione di sovvenzioni, contributi, sussidi ed ausili finanziari e per l’attribuzione di vantaggi economici di qualunque genere a persone ed enti pubblici e privati.
2. Le pubbliche amministrazioni pubblicano gli atti di concessione delle sovvenzioni, contributi, sussidi ed ausili finanziari alle imprese, e comunque di vantaggi economici di qualunque genere a persone ed enti pubblici e privati ai sensi del citato articolo 12 della legge n. 241 del 1990, di importo superiore a mille euro. Ove i soggetti beneficiari siano controllati di diritto o di fatto dalla stessa persona fisica o giuridica ovvero dagli stessi gruppi di persone fisiche o giuridiche, vengono altresi’ pubblicati i dati consolidati di gruppo.((10))
3. La pubblicazione ai sensi del presente articolo costituisce condizione legale di efficacia dei provvedimenti che dispongano concessioni e attribuzioni di importo complessivo superiore a mille euro nel corso dell’anno solare al medesimo beneficiario. La mancata, incompleta o ritardata pubblicazione rilevata d’ufficio dagli organi di controllo e’ altresi’ rilevabile dal destinatario della prevista concessione o attribuzione e da chiunque altro abbia interesse, anche ai fini del risarcimento del danno da ritardo da parte dell’amministrazione, ai sensi dell’articolo 30 del decreto legislativo 2 luglio 2010, n. 104.
4. E’ esclusa la pubblicazione dei dati identificativi delle persone fisiche destinatarie dei provvedimenti di cui al presente articolo, qualora da tali dati sia possibile ricavare informazioni relative allo stato di salute ovvero alla situazione di disagio economico-sociale degli interessati.

In forza di questa norma quindi pubblicheremo in AT, sottosezione Sovvenzioni, contributi, sussidi, vantaggi economici la massa degli importi senza l’elenco dei beneficiari , comma 2 ( perche’ inferiore a 1000 euro ) e comma 4 ( per il disagio economico-sociale ), nella stessa area anche gli atti che ne regolano modalita’ e criteri ( articolo 12 L. 241/90 ) .

Con questo per il momento e’ tutto , entro qualche giorno vi invio a mezzo PEC l’informativa e la nuova analisi analisi dei rischi, per chi volesse approfondire il concetto di dati para-sensibili riporto un vecchio post ( molto tecnico )

DAD e Diritto d’autore.

Una delle norme storiche ( 1941 ) che maggiormente ha subito importanti modifiche con l’avvento della rete e’ la disciplina sul diritto d’autore, la L 166/41.

Ai fini della didattica a distanza ( od a causa della DAD) dobbiamo rifarci all’articolo 70

1. Il riassunto, la citazione o la riproduzione di brani o di parti di opera e la loro comunicazione al pubblico sono liberi se effettuati per uso di critica o di discussione, nei limiti giustificati da tali fini e purche’ non costituiscano concorrenza all’utilizzazione economica dell’opera; se effettuati a fini di insegnamento o di ricerca scientifica l’utilizzo deve inoltre avvenire per finalita’ illustrative e per fini non commerciali.

((1-bis. E’ consentita la libera pubblicazione attraverso la rete internet, a titolo gratuito, di immagini e musiche a bassa risoluzione o degradate, per uso didattico o scientifico e solo nel caso in cui tale utilizzo non sia a scopo di lucro. Con decreto del Ministro per i beni e le attivita’ culturali, sentiti il Ministro della pubblica istruzione e il Ministro dell’universita’ e della ricerca, previo parere delle Commissioni parlamentari competenti, sono definiti i limiti all’uso didattico o scientifico di cui al presente comma)).

2. Nelle antologie ad uso scolastico la riproduzione non puo’ superare la misura determinata dal regolamento, il quale fissa la modalita’ per la determinazione dell’equo compenso.

3. Il riassunto, la citazione o la riproduzione debbono essere sempre accompagnati dalla menzione del titolo dell’opera, dei nomi dell’autore, dell’editore e, se si tratti di traduzione, del traduttore, qualora tali indicazioni figurino sull’opera riprodotta.

LA norma di facile lettura ha pero’ ripercussioni diverse in funzione dello strumento che si utilizza per la DAD, mi spiego meglio nessun limite operativo alla norma sulla DIDATTICA, molti limiti ( altrimenti si compiono illeciti ) se la DAD non viene fatta con gli strumenti adeguati.

In pratica , stralci , riassunti e citazioni possono viaggiare attraverso le piattaforme dedicate alla didattica a distanza , con il cavillo del comma 3 dell’articolo 70 della 633/41, le stesse informazioni non devono viaggiare invece quando si utilizzano altre soluzioni per fare la didattica a distanza, ad esempio Facebook .

Proroga TITR dal 1 Aprile al 1 Luglio

L’Arera con determinazione 59/2020/R/COM ha AVUTO pieta’ di noi ed ha prorogato l’applicazione del TESTO INTEGRATO TRASPARENZA RIFIUTI al 1 Luglio.

L’obbligo grava sui gestori servizi di raccolta e Trasporto, di spazzamento e lavaggio strade e le attività di gestione delle tariffe e rapporti con gli utenti che servono una popolazione a partire da 5000 ABITANTI ed i Comuni con popolazione a partire da 5000 abitanti.
Per i comuni con dimensioni inferiore ai 5000 abitanti tale obbligo si palesera’ il 01/01/2021.

Vi riporto il post TRAGICOMICO .

ed un simpatico esempio dell’area della trasparenza rifiuti

Un chiarimento per le procedure di acquisto dei sistemi di lavoro agile ex art. 75 DL 18/20. Differenze tra affidamento diretto e procedura negoziata diretta.

Alla fine del POST una recentissima SENTENZA TAR che meglio chiarisce la differenza tra i due istituti.

Come intuibile le procedure di acquisto consigliate per il lavoro agile previste dall’articolo 75 del DL 18/20 stanno creando qualche perplessità, scenario che gia’ avevo sottolineato nei due post dedicati

Come sempre partiamo dalla recentissima norma, art 75 c1 DL 18/20

 Art. 75

(Acquisti per lo sviluppo di sistemi informativi per la diffusione del lavoro

agile e di servizi in rete per l’accesso di cittadini e imprese)

1.Al fine di agevolare la diffusione del lavoro agile di cui all’articolo 18 della legge 22 maggio 2017, n. 8,

favorire la diffusione di servizi in rete e agevolare l’accesso agli stessi da parte di cittadini e imprese, quali

ulteriori misure di contrasto agli effetti dell’imprevedibile emergenza epidemiologica da COVID-19, le

amministrazioni aggiudicatrici, come definite dall’articolo 3 decreto legislativo 18 aprile 2016, n. 50,

nonché le autorità amministrative indipendenti, ivi comprese la Commissione nazionale per le società e la

borsa e la Commissione di vigilanza sui fondi pensione, in deroga ad ogni disposizione di legge diversa da

quella penale, fatto salvo il rispetto delle disposizioni del codice delle leggi antimafia e delle misure di

prevenzione, di cui al decreto legislativo 6 settembre 2011, n. 159, sono autorizzate, sino al 31 dicembre

2020, ad acquistare beni e servizi informatici, preferibilmente basati sul modello cloud SaaS (software as a

service), nonché servizi di connettività, mediante procedura negoziata senza previa pubblicazione di un

bando di gara ai sensi dell’articolo 63, comma 2, lett. c), del decreto legislativo 18 aprile 2016, n. 50,

selezionando l’affidatario tra almeno quattro operatori economici, di cui almeno una «start-up innovativa» o

una «piccola e media impresa innovativa», iscritta nell’apposita sezione speciale del registro delle imprese di

cui all’articolo 25, comma 8, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni,

dall’art. 1, comma 1, L. 17 dicembre 2012, n. 221 e all’articolo 4, comma 2, del decreto-legge 24 gennaio

2015, n. 3, convertito in legge, con modificazioni, dall’art. 1, comma 1, L. 24 marzo 2015, n. 33.

La perplessità, forse lecita, e’ nell’utilizzo della c.d. procedura negoziata diretta ( sppb ) disciplinata dall’articolo 63 del codice degli appalti, nello specifico al comma 2 lett. c.

A mio parere questa SEMPLIFICAZIONE deve essere attuata quando resta tale, cioe’ non dobbiamo utilizzarla quando ci troviamo in ambito di applicazione dell’istituto dell’affidamento diretto ex articolo 36 comma 2 lett.a , altrimenti la semplificazione proposta risulterebbe un’ulteriore adempimento dell’UCAS ( Ufficio Complicazione Affari Semplici ) .

A mio avviso ne e’ prova speciale ( perche’ contenuta nel D 18/20 ) l’ulteriore deroga ai controlli ordinari, infatti il comma terzo dell’articolo 75 in fase di controlli descrive proprio quelli semplificati delle LL.GG. 4 ANAC ( le procedure sotto soglia ) e poi anche perche’ il codice dei contratti all’articolo 63c 2 lett c recita che la procedura va attuata quando per motivi di urgenza non possono utilizzarsi la procedura aperta, la ristretta e la competitiva sotto soglia .

Quindi in ordine sembrerebbe che:

  • fino a 40000 pure se acquistiamo hardware, software e competenze tecniche per lo smart working possiamo continuare ad utilizzare metodi snelli propri dell’affidamento diretto ex art 36 comma 2 lett a .
  • a partire dai 40000 euro possiamo utilizzare la semplificazione del 63 comma 2 lett c .

Resta inteso che quando si utilizza la procedura negoziata diretta ( sppb) la pa deve ,ai sensi del comma 2 dell’articolo 75 del DL 18/09, inviare al DTD ed al DFP gli atti per gli affidamenti che ha utilizzato, leggendo la stessa norma sembrerebbe invece che qualora si utilizzasse l’affidamento diretto non sia necessario, in quanto si parla di PROCEDURE NEGOZIATE.

Resta inteso che :

  • qualsiasi sia la procedura occorre investire nelle scelte strategiche il RTD, il supporto RTD ed il DPO
  • resta sempre il paradigma del FIRST CLOUD ( anche se male evidenziato nella norma )
  • qualora l’acquisto sia superiore ad euro 40000 occorre inserirlo nel piano biennale ex articolo 21
  • e soprattutto si ricorda che questa norma e’ valida solo fino al 31 dicembre 2020

per questi punti consiglio la lettura dei seguenti post e visto che i guai non vengono mai da soli certamente nel prossimo questionario della Corte dei Conti ci chiederanno anche dello smart working.

Sapete che per l’innovazione nei procedimenti potete sempre contare sul vostro C@ronte.

Il TAR PUGLIA con sentenza 326/2020 chiarisce che la procedura negoziata senza previa pubblicazione del bando differisce dall’affidamento diretto per questi due seguenti elementi :

  • specifica motivazione
  • che l’assegnazione sia perfettamente aderente alle specifiche ( e limitate ) ipotesi predefinite dal legislatore,

quindi il RUP entro i 40000 utilizzera’ le procedure semplificate caratterizzate dalla mancanza di formalismi ed anche sopra la soglia invece puo’ utilizzare la PSPPB che pero’ deve avere una motivazione specifica e valida ( ad esempio il comma 1 dell’articolo 75 del DL 18/20). Si allega la sentenza.

COVIDIZZATO TRA I DIPENDENTI, PROCEDURE SEMPLICI.


…come si dice ? quando il gioco si fa duro i duri iniziano a giocare .

Come comportarsi in caso di COVIDIZZATO tra i dipendenti ?
Con sangue freddo . Prima cosa contattare il RSPP ( prima lui perche’ il datore di lavoro gia’ e’ stato avvisato dai sanitari ).
Non e’ un ambiente piccolo, ci sono molti dipendenti e molti utenti ed avventori, quindi prima cosa occorre razionalizzare, per ipotesi immaginiamo che sia una scuola superiore.

Come detto RAZIONALIZZARE , il primo passo da fare e’ chiederci quanti potrebbero essere i potenziali contagiati vedendo ad esempio la frequentazione o meno degli alunni nei giorni in cui il COVIDIZZATO era infetto .

Seconda ipotesi : siamo stati fortunati, nessun alunno ( stando ai tempi di contagio dati dai sanitari in nostro supporto ).

Ovviamente a questo punto nasce un nuovo trattamento dei dati ( che terminera’ 60 gg dopo la chiusura dell’emergenza ) e ci chiediamo se occorre una DPIA , la risposta e’ NO !

Pero’ occorre rifare un’analisi dei rischi anche se i trattamenti non cambiano, chiedete l’aiuto del VOSTRO DPO ( che solitamente non fa ma l’analisi), ma perche’ se non cambia nulla occorre fare l’analisi nuovamente ?
Per il calcolo della magnitudo ! Mi spiego pure se la frequenza dell’evento dannoso non cambia e resta ‘BASSA” varia la quantificazione del possibile danno , che ora diviene ‘ GRAVE’, da qui calcoliamo la magnitudo ed abbiamo un valore nuovo da abbassare e rendere gestibile con le procedure che sono :

  • formazione ai dipendenti ( ulteriore e specifica )da inserire nella designazione od in altro modo efficace
  • applicazione articolo 32 del GDPR .

FORMAZIONE AL DIPENDENTE ed ASPETTI DELLA SICUREZZA ex ART 32 GDPR ( Ovviamente il titolare minimizzera’ sia per profilassi che per protezione dei dati il numero di persone nominate per la gestione dell’emergenza COVID-19)

  1. Non dare il nominativo del contagiato a nessuno che non sia autorizzato, lasciare sempre traccia del passaggio di consegne .
  2. Vige in ogni caso l’articolo 28 della l. 241/90, il dovere di rispettare il segreto d’ufficio
  3. Non lasciare interviste agli organi di stampa se non autorizzati dal Dirigente o dal Funzionario.
  4. Non comunicare nessuna informazione se non autorizzato
  5. Distruggere le copie cartacee che non servono
  6. NON USARE pennette USB od HARD DISK esterni, se indispensabile utilizzare una chiave di crittografia, i piu’ moderni device di copia esterna sono gia’ muniti di tale tecnologia, qualora non fosse ravvisabile questa tecnologia scaricate https://www.veracrypt.fr/en/Home.html od altro applicativo consigliato dai vostri consulenti informatici
  7. La criptografia deve essere utilizzata anche sui computer FISSI e sui NOTEBOOK
  8. Si ricorda che non solo non e’ vietato dare i nominativi delle persone potenzialmente contagiate all’ASL, alla Regione ed alla protezione civile , ma e’ un obbligo per contrastare l’edipemia .
  9. INDIVIDUARE i CONTITOLARI del trattamento ( PROTEZIONE CVILE, ASL, ETC)
  10. Alla fine dell’emergenza contattate il vostro DPO per decidere le sorti del trattamento.
  11. In questa fase di emergenza non occorro formalismi per l’informativa e per la nomina degli incaricati/designati come previsto dall’articolo 14 del DL 14/20
  12. consegna dei due documenti allegati
  13. ricordare i contatti del DPO ( che si dovra’ rendere disponibile H24 )
  14. Lettura del post seguente

Qualche CIALTRONERIA sulla gestione amministrativa del COVID-19. IMPORTANTE.

A chi non e’ diretto questo articolo ?

A chi ha messo questa stringa su FB

Scadenza domani!!!Tutto quello che avete postato diventa pubblico da domani. Anche i messaggi che sono stati eliminati o le foto non autorizzate. Non costa nulla per un semplice copia e incolla, meglio prevenire che curare. Canale 13 ha parlato del cambiamento nella normativa sulla privacy di Facebook.Io non do facebook o qualsiasi entità associata a facebook il permesso di usare le mie immagini, informazioni, i messaggi o i post, passato e futuro. Con questa dichiarazione, do avviso a Facebook che è severamente vietato divulgare, copiare, distribuire, trasmettere o prendere qualsiasi altra azione contro di me sulla base di questo profilo e / o il suo contenuto. Il contenuto di questo profilo è privato e le informazioni riservate. La violazione della privacy può essere punita dalla legge (UCC 1-308-1 1 308-103 e lo statuto di Roma). Nota: Facebook è ora un’entità pubblica. Tutti i membri devono pubblicare una nota come questa. Se preferisci, puoi copiare e incollare questa versione. Se non pubblichi una dichiarazione almeno una volta, Sara ‘ tatticamente permettendo l’uso delle tue foto, così come le informazioni contenute negli aggiornamenti di stato di profilo. Non condivido. Copia e incolla per stare sul sicuro.

A chi fa i giochetti per sapere come sara’ tra trenta anni non sapendo che sta regalando i dati a qualcuno, a chi usa Tripadvisor, a chi usa la mail, a chi usa whathsapp messenger etc etc ….

Beh !!!! in effetti nessuno dovrebbe leggerlo, diciamo che allora il post e’ indicato a tutti quelli che in ogni ambito professionale, pubblico e privato fanno le cose con consapevolezza , comunque ritengo necessario per scremare l’utenza condividere una cosa simpaticissima trovata su FACEBOOK

… ora termino la parte simpatica del post ed inizio ad analizzare la parte NORMATIVA-PROCEDURALE dell’emergenza COVID-19 sul CORRETTO TRATTAMENTO DEI DATI, ricordando che anche la Carta di Nizza ( Diritti FONDAMENTALI UE ) attribuisce pesi diversi ai diritti FONDAMENTALI, come ricordato in apertura del GDPR riporto il IV considerando sul CORRETTO TRATTAMENTO DEI DATI


Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità

Ora abbiamo un obiettivo da raggiungere su scala MONDIALE, arginare il COVID-19 ed ogni Paese coniugherà in maniera più o meno ampia la normativa GDPR, Privacy , ect etc. , analizziamo la cosa nel Belpaese.

Partiamo dal DL 14/20 ( Potenziamento SSN in relazione all’emergenza COVID-19), segnatamente all’articolo 14 vediamo che

Disposizioni  sul  trattamento  dei  dati  personali   nel   contesto
emergenziale

1. Fino al termine dello stato di emergenza deliberato dal
Consiglio dei ministri in data 31 gennaio 2020, per motivi di
interesse pubblico nel settore della sanita' pubblica e, in
particolare, per garantire la protezione dall'emergenza sanitaria a
carattere transfrontaliero determinata dalla diffusione del COVID-19
mediante adeguate misure di profilassi, nonche' per assicurare la
diagnosi e l'assistenza sanitaria dei contagiati ovvero la gestione
emergenziale del Servizio sanitario nazionale, nel rispetto
dell'articolo 9, paragrafo 2, lettere g), h) e i), e dell'articolo 10
del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio
del 27 aprile 2016, nonche' dell'articolo 2-sexies, comma 2, lettere
t) e u), del decreto legislativo 30 giugno 2003, n. 196, i soggetti
operanti nel Servizio nazionale di protezione civile, di cui agli
articoli 4 e 13 del decreto legislativo 2 gennaio 2018, n. 1, e i
soggetti attuatori di cui all'articolo 1 dell'ordinanza del Capo del
Dipartimento della protezione civile 3 febbraio 2020, n. 630, nonche'
gli uffici del Ministero della salute e dell'Istituto Superiore di
Sanita', le strutture pubbliche e private che operano nell'ambito del
Servizio sanitario nazionale e i soggetti deputati a monitorare e a
garantire l'esecuzione delle misure disposte ai sensi dell'articolo 3
del decreto-legge 23 febbraio 2020, n. 6, convertito, con
modificazioni, dalla legge 5 marzo 2020, n. 13, anche allo scopo di
assicurare la piu' efficace gestione dei flussi e dell'interscambio
di dati personali, possono effettuare trattamenti, ivi inclusa la
comunicazione tra loro, dei dati personali, anche relativi agli
articoli 9 e 10 del regolamento (UE) 2016/679, che risultino
necessari all'espletamento delle funzioni attribuitegli nell'ambito
dell'emergenza determinata dal diffondersi del COVID-19.
2. La comunicazione dei dati personali a soggetti pubblici e
privati, diversi da quelli di cui al comma 1, nonche' la diffusione
dei dati personali diversi da quelli di cui agli articoli 9 e 10 del
regolamento (UE) 2016/679, e' effettuata, nei casi in cui risulti
indispensabile ai fini dello svolgimento delle attivita' connesse
alla gestione dell'emergenza sanitaria in atto.
3. I trattamenti di dati personali di cui ai commi 1 e 2 sono
effettuati nel rispetto dei principi di cui all'articolo 5 del citato
regolamento (UE) 2016/679, adottando misure appropriate a tutela dei
diritti e delle liberta' degli interessati.
4. Avuto riguardo alla necessita' di contemperare le esigenze di
gestione dell'emergenza sanitaria in atto con quella afferente alla
salvaguardia della riservatezza degli interessati, i soggetti di cui
al comma 1 possono conferire le autorizzazioni di cui all'articolo
2-quaterdecies del decreto legislativo 30 giugno 2003, n. 196, con
modalita' semplificate, anche oralmente.
5. Nel contesto emergenziale in atto, ai sensi dell'articolo 23,
paragrafo 1, lettera e), del menzionato regolamento (UE) 2016/679,
fermo restando quanto disposto dall'articolo 82 del decreto
legislativo 30 giugno 2003, n. 196, i soggetti di cui al comma 1
possono omettere l'informativa di cui all'articolo 13 del medesimo
regolamento o fornire una informativa semplificata, previa
comunicazione orale agli interessati della limitazione.
6. Al termine dello stato di emergenza di cui alla delibera del
Consiglio dei ministri del 31 gennaio 2020, i soggetti di cui al
comma 1 adottano misure idonee a ricondurre i trattamenti di dati
personali effettuati nel contesto dell'emergenza, all'ambito delle
ordinarie competenze e delle regole che disciplinano i trattamenti di
dati personali.

In sintesi ? Non fermiamoci al primo comma specifico per l’ambito sanitario ma andiamo al secondo e vediamo che tutti i soggetti pubblici e privati coinvolti nella gestione emergenziale avranno gli obblighi attenuati ( anche per i dati sanitari limitatamente al comma 1 ), si veda ad esempio l’incarico ex art 2 quaterdecies D.Lgs 196/03 dato in forma orale od anche le informative attenuate.

nei fatti qualora le aziende sanitarie abbiano bisogno di un INCARICATO / DESIGNATO ( quindi solo persona fisica ) possono conferire il mandato speciale senza formalismi scritti.

Il tutto fino alla fine del periodo di emergenza, subito dopo il quale occorre razionalizzare i trattamenti eseguiti, comma 6 art 14 DL 14/20 .

Ancora e’ importantissimi da ricordare che la direttiva ePrivacy all’articolo 15 e’ chiarissima

…qualora tale restrizione ( liberta’ dei cittadini ) costituisca, ai sensi dell’articolo
13, paragrafo 1, della direttiva 95/46/CE, una misura necessaria, opportuna e proporzionata all’interno di una società
democratica per la salvaguardia della sicurezza nazionale (cioè
della sicurezza dello Stato), della difesa, della sicurezza pubblica;
e la prevenzione, ricerca, accertamento e perseguimento dei
reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra l’altro
adottare misure legislative le quali prevedano che i dati siano
conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo. Tutte le misure di cui al presente
paragrafo sono conformi ai principi generali del diritto comunitario, compresi quelli di cui all’articolo 6, paragrafi 1 e 2, del
trattato sull’Unione europea

Ogni Paese Europeo per fini di interesse SUPERIORE puo’ ridurre i diritti dell’interessato ( cittadino ) per raggiungere gli obiettivi di rango superiore sul profilo dei diritti fondamentali.

In realta’ anche l’intervista rilasciata dal Garante Italiano e’ stata travisata, infatti sia sul tracciamento GPS che sulla gestione dei nominativi e’ ben aperto alla gestione emergenziale, a patto che non ci siano “scorciatoie”.

Ho letto e riletto il POST, ho provato a renderlo meno confuso , non ci sono riuscito . Sara’ colpa della quarantena ? di Netflix ? dei miei gioielli che urlano per CASA ( lavoro IPERAGILE, da casa condividendo Fibra e spazio di lavoro/studio ) ?

NO! La colpa e’ di molte cose discordanti , per fortuna un poco di chiarezza arriva il 19 Marzo dall’ EDPB ( Comitato Europeo sulla Protezione dei Dati ), eh si…nemmeno in Europa usiamo la parola PRIVACY , solo noi italiani continuiamo a farlo rendendo la norma fuorviante, comunque vediamo cosa dice la dl’EDPB il 19 marzo nel documento intitolato “ Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19″

Vi porto una breve sintesi e vi allego il documento integrale

Liceita’ del trattamento
NULLA DI NUOVO, gli artt 6 e 9 del GDPR sono applicabili .
E nel contesto lavorativo ?
I dati sanitari devono ( dovrebbero ) essere trattati solo in alcuni casi chiari ed elencati, ma ci sono deroghe chiare, ad esempio all’articolo 9 par 2 lett i e lett c .
Ed i dati relativi all’ubicazione ?
Ci vorrebbe il consenso od una preventiva strutturazione del dato per renderli anonimi . Tuttavia l’articolo 15 della direttiva ePrivacy deroga e delega alla normativa NAZIONALE misure particolari

PRINCIPI FONDAMENTALI RELATIVI AL TRATTAMENTO DEI DATI PERSONALI
Trasparenza sull’utilizzo, maggiore attenzione ai presidi organizzativi e tecnologici, maggiore documentazione, in sintesi NULLA di NUOVO

USO DEI DATI DI LOCALIZZAZIONE da DISPOSITIVI MOBILI
Si possono usare i dati da localizzazione dei cellulari dei cittadini per meglio mappare gli eventi ?
Si ribadisce che il dato anonimizzato ( utile per studiare modelli di evoluzione dell’epidemia, non certo per contattare le persone ) non rientra in ambito GDPR essendo scevro di dati personali , mantre il dato personale ( non anonimizzato e non aggregato ) . In emergenza ( si vede sempre il 15 della direttiva ePrivacy occorrerà una DUE DILIGENCE ed un trattamento ad HOC ( mia nota , per il quale non possiamo effettuare una DPIA ) .

CONTESTO LAVORATIVO
Un datore di lavoro può chiedere ai visitatori od ai dipendenti di fornire informazioni sanitarie specifiche nel contesto del COVID-19?
IL datore di lavoro di lavoro e’ autorizzato a effettuare controlli medici sui dipendenti ?
Per questi quesiti l’EDPB rimanda alle norme nazionali, si vedano le direttive e le circolari in tal senso
Il datore di lavoro può informare colleghi e o soggetti esterni del fatto che un dipendente è affetto da COVID-19 ?
Qui la risposta e’ criptica , l EDBP dice di informare dell’epidemia ma non facendo il nome del lavoratore, risposta ovvia, minimizzazione delle informazioni. Alla Fiat funzionerebbe , Spett.li LAVORATORI, in data 22 Marzo e’ stato constatato che un dipendente del turno pomeridiano dello stabilimento di QUEL PAESE del reparto SALDATURA …..
Lo stesso tenore minimizzatore in altre realta’ sarebbe inutile, ricordate identificato ed identificabile ? Comunque tendenzialmente NO, non diremo il nome del dipendente COVIDIZZATO .


Ora prima di continuare con un caso pratico ricordiamo tutti insieme che la norma sul GDPR e’ COERENTE con le PREVISIONI sull’epidemia , vedendo il 46imo considerando

Il trattamento di dati personali dovrebbe essere altresì considerato lecito quando è necessario per proteggere un interesse essenziale per la vita dell’interessato o di un’altra persona fisica. Il trattamento di dati personali fondato sull’interesse vitale di un’altra persona fisica dovrebbe avere luogo in principio unicamente quando il trattamento non può essere manifestamente fondato su un’altra base giuridica. Alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana

Leggendolo col il resto del post abbiamo un’unica soluzione ( salvo l’articolo 15 ePrivacy) , capire che LA CACCIA all’untore non cura, anzi fa aumentare il rischio di contagio, quindi permettetemi anche altre due vignette per sdrammatizzare


Per la gestione dei dati dei COVIDIZZATI rimando ad un post specifico

Dedicato ad Alberto Manzi.VADEMECUM per le ISTITUZIONI SCOLASTICHE.

Modificato il 27/03/2020 : Aggiunto il diritto d’autore , L. 633/41.

INFORMATIVA E VADEMECUM INFORMALI, potete anche elaborare il testo contenuto nell’allegato e darlo agli interessati

Che strano periodo che viviamo !!!!
Improvvisamente cambia il nostro modo di lavorare, di studiare e di relazionarci.

Le norme tra DL, DPCM , CIRCOLARI e raccomandazioni ci dicono cosa fare e chiaramente anche il legislatore si rende conto che viviamo un’EMERGENZA a livello mondiale, infatti pur se in burocratese, si permettera’ qualche piccolo errore operativo, un esempio di questa tolleranza e’ chiaramente scritto nell’articolo 1 comma 6 del DPCM 11.03.2020.

Il legislatore ed i governatori sono dalla nostra parte, ci hanno chiesto di non incontrarci ( sono certo che anche loro farebbero a meno di usare il termine ASSEMBRAMENTO ) e quindi di spingere verso il LAVORO AGILE e verso la DIDATTICA a DISTANZA , anzi in questo triste periodo queste forme rappresentano la NORMALITA’. Ma eravamo e siamo pronti a questa epocale svolta?

NO!!!, proprio per questo il Governo tollerera’ qualche piccolo errore .

Per il Lavoro Agile e per la formazione a distanza dobbiamo dare qualche INFOMAZIONE ai DIPENDENTI ( EROI di OGGI ) per quanto riguarda il corretto trattamento dei dati ed alcune regole generali.

Per prima cosa ricordiamo gli undici punti raccomandati dall’AGID

– Segui prioritariamente le policy e le raccomandazioni dettate dalla tua Amministrazione

– Utilizza i sistemi operativi per i quali attualmente è garantito il supporto

– Effettua costantemente gli aggiornamenti di sicurezza del tuo sistema operativo

– Assicurati che i software di protezione del tuo sistema operativo (Firewall, Antivirus, ecc) siano abilitati e costantemente aggiornati

– Assicurati che gli accessi al sistema operativo siano protetti da una password sicura e comunque conforme alle password policy emanate dalla tua Amministrazione

– Non installare software proveniente da fonti/repository non ufficiali

– Blocca l’accesso al sistema e/o configura la modalità di blocco automatico quando ti allontani dalla postazione di lavoro

– Non cliccare su link o allegati contenuti in email sospette

– Utilizza l’accesso a connessioni Wi-Fi adeguatamente protette

– Collegati a dispositivi mobili (pen-drive, hdd-esterno, etc) di cui conosci la provenienza (nuovi, già utilizzati, forniti dalla tua Amministrazione)

– Effettua sempre il log-out dai servizi/portali utilizzati dopo che hai concluso la tua sessione lavorativa.

Ovviamente non sara’ sempre possibile seguire queste raccomandazioni, ma sforziamoci di farlo.

INFORMATIVA e REGOLE per i DIPENDENTI.

Quali dati dei dipendenti trattiamo per il LAVORO AGILE e per la formazione a distanza ?

I soliti dati , quelli per i quali siamo salvi dalla richiesta del consenso ( perche’  l’articolo 6 par 1 lett B) del GDPR ce lo consente ) ed in piu’, visto il mezzo telematico i dati dell’IP e l’indirizzo della posta elettronica .
Ma attenzione , lo Statuto di Lavoratori ( articolo 4 della . 300/70 ) ci tutela ancor di piu’, nessun datore di lavoro puo’ utilizzare le informazioni per il controllo a distanza .
Qualcuno puo’ anche trasmettere la propria immagina ed alcune riprese video personali ( ad esempio videoconferenza tra i dipendenti del comune o le lezioni a distanza dei docenti ) Quali ulteriori tutele per questo tipo di informazioni ? La sicurezza dei sistemi utilizzati ed il carattere di confidenzialita’ , mi spiego meglio . Tutte le informazioni girano nello stesso circuito tradizionale, cambia il supporto ma non il tenore ( siamo comunque tutti noi sottoposti alle regole dello status lavorativo, anche se a distanza ), ma per fare questo abbiamo bisogno di fornitori di tecnologia che noi non possediamo. Questi fornitori ai fini del GDPR si chiamano RESPONSABILI del TRATTAMENTO, ed in qualsiasi momento e’ diritto dell’interessato conoscerne la lista. IL TITOLARE DEL TRATTAMENTO resta sempre il datore di lavoro.

Quindi in estrema sintesi l’informativa tradizionale gia’ in possesso dell’Amministrazione resta invariata, ma in questo frangente e’ aumentata nella portata.
I video e le immagini saranno conservate solo per la durata dell’emergenza COVID-19, gli elaborati, i carteggi propedeutici, le valutazioni, i pareri e chi piu’ ne ha piu’ ne metta seguiranno le tradizioni sorti dei piani di conservazione e di scarto archivistico, come sempre alcune informazioni potrebbero essere conservate sine die.

SI RACCOMANDA di rispettare i limiti dell’articolo 70 della L. 633/41 ( DIRITTO D’AUTORE ), per una più semplice lettura vi allego la norma .

Ma quando lavoro od insegno a distanza quali ulteriori adempimenti comportamentali devo adottare ? Vuoi la verita’ ? … nessuno, infatti il DPR 3/57 , il D.lgs 165/01 , la l. 241/90 parlano sempre dello status del lavoratore , del suo RUOLO e non del luogo dello svolgimento, quindi anche se a distanza sempre belli, svegli, educati e cortesi , non si fuma , non si mangia si rispetta il proprio datore di lavoro, il nostro Ministro, il Presidente della Repubblica e la nostra meravigliosa Costituzione, e ricordate il DOVERE al SEGRETO d’ufficio vige sempre, l’ufficio e’ una funzione non un luogo fisico.

Siamo tutti nella stessa barca, lo Stato ITALIANO ringrazia tutti i dipendenti che con spirito di abnegazione stanno portando la BARCA ITALIA avanti.

INVECE GLI ALUNNI che seguono la DIDATTICA a DISTANZA ?
Vale lo stesso discorso , non abbiamo bisogno il consenso ( in forza dell’articolo 6 par 1 lett e) del GDPR) ed anche per i nostri piccoli ometti e belle signorine ( non chiamiamoli bambini , anche loro stanno dimostrando una forza di volonta’ UNICA ) i dati trattati restano gli stessi, aggiungendo un univoco telematico ( le credenziali delle piattaforma a distanza ) , l’indirizzo IP ed un indirizzo di posta elettronica ordinaria. Vale lo stesso discorso per la durata del trattamento e rimandiamo come sempre all’informativa gia’ in possesso.

#CELAFAREMO #AD0000 #REPUBBLICADIGITALE #TRANSIZIONEALDIGITALE.

W l’ ITALIA, quella che lavora e reagisce.

Il VOSTRO DPO .

Focus art 73 DL 18/2020. VIDEOCONFERENZA CONSIGLIO COMUNALE

Partiamo dalla lettura delle norma

 Art. 73

(Semplificazioni in materia di organi collegiali)

1. Al fine di contrastare e contenere la diffusione del virus COVID-19 e fino alla data di cessazione dello stato di emergenza deliberato dal Consiglio dei ministri il 31 gennaio 2020, i consigli dei comuni, delle province e delle città metropolitane e le giunte comunali, che non abbiano regolamentato modalità di svolgimento delle sedute in videoconferenza, possono riunirsi secondo tali modalità, nel rispetto di criteri di trasparenza e tracciabilità previamente fissati dal presidente del consiglio, ove previsto, o dal sindaco, purché siano individuati sistemi che consentano di identificare con certezza i partecipanti, sia assicurata la regolarit dello svolgimento delle sedute e vengano garantiti lo svolgimento delle funzioni di cui all’articolo 97 del decreto legislativo 18 agosto 2000, n. 267, nonché adeguata pubblicità delle sedute, ove previsto, secondo le modalità individuate da ciascun ente.

2. Per lo stesso tempo previsto dal comma 1, i presidenti degli organi collegiali degli enti pubblici nazionali, anche articolati su base territoriale, nonché degli enti e degli organismi del sistema camerale, possono disporre lo svolgimento delle sedute dei predetti organi in videoconferenza, anche ove tale modalità non sia prevista negli atti regolamentari interni, garantendo comunque la certezza nell’identificazione dei partecipanti e la sicurezza delle comunicazioni.

3. Per lo stesso tempo di cui ai commi precedenti è sospesa l’applicazione delle disposizioni di cui all’articolo 1, commi 9 e 55, della legge 7 aprile 2014, n. 56, relativamente ai pareri delle assemblee dei sindaci e delle conferenze metropolitane per l’approvazione dei bilanci preventivi e consuntivi, nonché degli altri pareri richiesti dagli statuti provinciali e metropolitani.

4. Per lo stesso tempo previsto dal comma 1, le associazioni private anche non riconosciute e le fondazioni che non abbiano regolamentato modalità di svolgimento delle sedute in videoconferenza, possono riunirsi secondo tali modalità, nel rispetto di criteri di trasparenza e tracciabilità previamente fissati, purché siano individuati sistemi che consentano di identificare con certezza i partecipanti nonché adeguata pubblicità delle sedute, ove previsto, secondo le modalità individuate da ciascun ente.

5. Dall’attuazione della presente disposizione non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le amministrazioni pubbliche interessate provvedono agli adempimenti di cui al presente articolo con le risorse umane, finanziarie e strumentali disponibili a legislazione vigente sui propri bilanci.

Facciamo una breve premessa premessa basata come sempre sulle norme fondamentali, in questo caso il TUEL, il CAD e la L. 241/90 con un ulteriore APPUNTO, come sempre la privacy ne resta fuori avendo degli obblighi di PUBBLICITA’ e TRASPARENZA, quindi siamo assoggettati solo all’informativa senza nessun consenso ( come nella stragrande maggioranza dei DATI ), allora parleremo di CORRETTO TRATTAMENTO DEI DATI e non di PRIVACY .

Partiamo dal TUEL e dall’articolo 38 c.7

7. Le sedute del consiglio e delle commissioni sono pubbliche salvi i casi previsti dal regolamento ((e, nei comuni con popolazione fino a 15.000 abitanti, si tengono preferibilmente in un arco temporale non coincidente con l’orario di lavoro dei partecipanti)).

e dall’articolo 10

Articolo 10 Diritto di accesso e di informazione
1. Tutti gli atti dell’amministrazione comunale e provinciale sono pubblici, ad eccezione di quelli riservati per espressa indicazione di legge o per effetto di una temporanea e motivata dichiarazione del sindaco o del presidente della provincia che ne vieti l’esibizione, conformemente a quanto previsto dal regolamento, in quanto la loro diffusione possa pregiudicare il diritto alla riservatezza delle persone, dei gruppi o delle imprese.
2. Il regolamento assicura ai cittadini, singoli e associati, il diritto di accesso agli atti amministrativi e disciplina il rilascio di copie di atti previo pagamento dei soli costi; individua, con norme di organizzazione degli uffici e dei servizi, i responsabili dei procedimenti; detta le norme necessarie per assicurare ai cittadini l’informazione sullo stato degli atti e delle procedure e sull’ordine di esame di domande, progetti e provvedimenti che comunque li riguardino; assicura il diritto dei cittadini di accedere, in generale, alle informazioni di cui e’ in possesso l’amministrazione.
3. Al fine di rendere effettiva la partecipazione dei cittadini all’attivita’ dell’amministrazione, gli enti locali assicurano l’accesso alle strutture, ed ai servizi gli enti, alle organizzazioni di volontariato e alle associazioni.

Le sedute collegiali sono INFORMAZIONI soggette alla L. 241/90 ed al D.lgs 33/13 , sono da considerarsi atti e documenti non solo quelli tradizionalmente scritti “nero su bianco “, ma ai sensi dell’articolo 22 c1 lett d della 241/90

d) per “documento amministrativo”, ogni rappresentazione grafica, fotocinematografica, elettromagnetica o di qualunque altra specie del contenuto di atti, anche interni o non relativi ad uno specifico procedimento, detenuti da una pubblica amministrazione e concernenti attivita’ di pubblico interesse, indipendentemente dalla natura pubblicistica o privatistica della loro disciplina sostanziale

Ora tornando al primo comma dell’articolo 73 del Dl 18/20 e’ chiaro che chiunque, pure chi non ha deliberato un regolamento DEVE riunire gli organi collegiali in VIDEOCONFERENZA, garantendo la certezza dei membri partecipanti.

Il tenore della norma e’ chiaramente quello derogatorio ( cfr anche l’articolo 1 comma 6 del DPCM 11032020 sul lavoro agile ), solo per la mancanza della regolamentazione.

DA un punto di vista del corretto trattamento dei dati ci sono diverse fasi, e’ comunque importante chiarire che non occorre nessun consenso o liberatoria, basta rendere una buona informativa ( che allego ), ma non solo in questo frangete storico ( nefasto ) , infatti proprio i principi dell’articolo 8 comma 7 del TUEL legittimano quanto detto, tanto e’ vero che questo e’ stato ispiratore del CdS 358/11 e nota Garante Corretto Trattamento dei Dati 11/03/2002 ( tra le tante ).

Resta inteso il limite di divulgazione dei dati particolari , si vedano l’articolo 24 della L. 241/90 e gli artt. 59 e 60 del D.lgs 196/03, ma sono cose che non dovrebbero comunque essere trattate quando ci SONO LE PORTE APERTE, e’ un illecito e basta.

Un discorso a parte per il CORRETTO TRATTAMENTO DEI DATI riguarda la necessita’ di eseguire una DPIA ai sensi dell’art 35 del Reg. 2016/679, ebbene non posso dare una risposta preventiva sulla redazione o meno , occorre analizzare caso per caso.

Prima di lasciarvi l’informativa pero’ vi prego di fare un atto formale di nomina a responsabile ex art 28 GDPR al fornitore del sistema di videoconferenza .

breve riepilogo, nessun consenso e cosa che non ho visto nelle informative che girano la durata del trattamento, ecco qui apriamo un altro piccolo paragrafo, quanto deve durare il trattamento ?, prima risposta per trattamento si intende per trattamento ? ricordiamo il CRUDS ( Create, read, delete, update, STORAGE ), anche la conservazione e’ un trattamento, ancora poi abbiamo un obbligo che ci deriva dal TUDA, segnatamente dall’articolo 68

Art. 68 (R) Disposizioni per la conservazione degli archivi
1. Il servizio per la gestione dei flussi documentali e degli archivi elabora ed aggiorna il piano di conservazione degli archivi, integrato con il sistema di classificazione, per la definizione dei criteri di organizzazione dell’archivio, di selezione periodica e di conservazione permanente dei documenti, nel rispetto delle vigenti disposizioni contenute in materia di tutela dei beni culturali e successive modificazioni ed integrazioni.
2. Dei documenti prelevati dagli archivi deve essere tenuta traccia del movimento effettuato e della richiesta di prelevamento.
3. Si applicano in ogni caso, per l’archiviazione e la custodia dei documenti contenenti dati personali, le disposizioni di legge sulla tutela della riservatezza dei dati personali.

Ci viene anche in aiuto MIBACT e l’articolo 10 comma 2 lett b del D.lgs 42/04


2. Sono inoltre beni culturali:

b) gli archivi e i singoli documenti dello Stato, delle regioni, degli altri enti pubblici territoriali, nonche’ di ogni altro ente ed istituto pubblico

Per quanto riguarda il MASSIMARIO di scarto ed il piano di conservazione del MIBACT, che vi allego, la conservazione dei documenti ( ed il Consiglio Comunale ) diviene un documento in forza degli articoli del CAD e della L. 241/90 richiamati e’ permanente.

Esempio di INFORMATIVA in allegato ( SI RICORDA che e’ una bozza che deve essere fortemente personalizzata, e’ indispensabile una buona analisi dei rischi ed eventualmente una DPIA ) .

Vincenzo de prisco #ad0000 #transizionealdigitale #repbblicadigitale.

Vi riporto i post che potrebbero aiutarci.

Per chi volesse meglio disciplinare le sedute consiglio un magistrale articolo scritto dal dott. Antonio Le Donne, Segretario generale del Comune di Palermo e dal dott. Corrado Grimaldi, Segretario generale del Comune di Lucca . ( IN ALLEGATO )

Per le ISTITUZIONI SCOLASTICHE CAMPANE -2-

Come gia’ ribadito diverse volte, non complicatevi la vita chiedendo i consensi per la DAD. E’ un illecito . Occorre una semplice informativa e l’ utilizzo di strumenti VALIDATi da AGID.

I miei clienti sono pregati di utilizzare l’informativa allegata nel post che riporto

CURA ITALIA -COVID, VERSIONE DEFINITIVA .

La versione ufficiale del CURA ITALIA, numerata con n. 18 e pubblicata il 17 marzo porta qualche modifica ( non solo in progressivo di articolo ) agli articoli d’interesse trattai ieri, nella sostanza anche qualche deroga al D.lgs 50/16, vediamoli velocemente.

Gli ” Acquisti per lo sviluppo di sistemi informativi per la diffusione del lavoro agile e di servizi in rete per l’accesso di cittadini e imprese” trattati all’articolo 72 della bozza ora li troviamo nell’articolo 75 del DL 18/20, proviamo a raffrontarli

Testo della bozza ( art 72 )Testo definitivo ( art 75 DL 18/20)
1.Al fine di agevolare la diffusione del lavoro agile di cui all’articolo 18 della legge 22 maggio
2017, n. 8, favorire la diffusione di servizi in rete e agevolare l’accesso agli stessi da parte di
cittadini e imprese, quali ulteriori misure di contrasto agli effetti dell’imprevedibile emergenza
epidemiologica da COVID-19, le amministrazioni pubbliche di cui all’articolo 1, comma 2, del
decreto legislativo 30 marzo 2001, n. 165, nonché le autorità amministrative indipendenti, ivi
comprese la Commissione nazionale per le società e la borsa e la Commissione di vigilanza sui
fondi pensione, sono autorizzate, sino al 31 dicembre 2020, ad acquistare beni e servizi

informatici, preferibilmente basati sul modello cloud SaaS (software as a service), nonché
servizi di connettività, mediante procedura negoziata senza previa pubblicazione di un bando
di gara ai sensi dell’articolo 63, comma 2, lett. c), del decreto legislativo 18 aprile 2016, n. 50,
nei limiti della soglia comunitaria, selezionando l’affidatario tra almeno quattro operatori
economici.
2. Le amministrazioni trasmettono allo stesso Dipartimento per la trasformazione digitale della
Presidenza del Consiglio dei ministri gli atti con i quali sono indette le procedure negoziate.
3.Gli acquisti di cui al comma 1 devono essere relativi a progetti coerenti con il Piano triennale
per l’informatica nella pubblica amministrazione. Gli interventi di sviluppo e implementazione
dei sistemi informativi devono prevedere, nei casi in cui ciò è possibile, l’integrazione con le
piattaforme abilitanti previste dagli articoli 5, 62, 64 e 64-bis dal decreto legislativo 7 marzo
2005, n. 82.
4. Le amministrazioni pubbliche procedono ai sensi del comma 1 con le risorse disponibili a
legislazione vigente. Dall’attuazione della disposizione non derivano nuovi o maggiori oneri a
carico della finanza pubblica.

 1.Al fine di agevolare la diffusione del lavoro agile di cui all’articolo 18 della legge 22 maggio 2017, n. 8, favorire la diffusione di servizi in rete e agevolare l’accesso agli stessi da parte di cittadini e imprese, quali ulteriori misure di contrasto agli effetti dell’imprevedibile emergenza epidemiologica da COVID-19, le
amministrazioni aggiudicatrici, come definite dall’articolo 3 decreto legislativo 18 aprile 2016, n. 50,
nonché le autorità amministrative indipendenti, ivi comprese la Commissione nazionale per le società e la
borsa e la Commissione di vigilanza sui fondi pensione, in deroga ad ogni disposizione di legge diversa da
quella penale, fatto salvo il rispetto delle disposizioni del codice delle leggi antimafia e delle misure di
prevenzione, di cui al decreto legislativo 6 settembre 2011, n. 159, sono autorizzate, sino al 31 dicembre
2020, ad acquistare beni e servizi informatici, preferibilmente basati sul modello cloud SaaS  (software as a
service ), nonché servizi di connettività, mediante procedura negoziata senza previa pubblicazione di un
bando di gara ai sensi dell’articolo 63, comma 2, lett. c), del decreto legislativo 18 aprile 2016, n. 50,
selezionando l’affidatario tra almeno quattro operatori economici, di cui almeno una «start-up innovativa» o
un «piccola e media impresa innovativa», iscritta nell’apposita sezione speciale del registro delle imprese di
cui all’articolo 25, comma 8, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni,
dall’art. 1, comma 1, L. 17 dicembre 2012, n. 221 e all’articolo 4, comma 2, del decreto-legge 24 gennaio
2015, n. 3, convertito in legge, con modificazioni, dall’art. 1, comma 1, L. 24 marzo 2015, n. 33.
2. Le amministrazioni trasmettono al Dipartimento per la trasformazione digitale e al Dipartimento della funzione pubblica della Presidenza del Consiglio dei ministri gli atti con i quali sono indette le procedure negoziate.
3. Le amministrazioni possono stipulare il contratto previa acquisizione di una autocertificazione
dell’operatore economico aggiudicatario attestante il possesso dei requisiti generali, finanziari e tecnici, la
regolarità del DURC e l’assenza di motivi di esclusione secondo segnalazioni rilevabili dal Casellario
Informatico di Anac, nonché previa verifica del rispetto delle prescrizioni imposte dalle disposizioni del
codice delle leggi antimafia e delle misure di prevenzione, di cui al decreto legislativo 6 settembre 2011, n.
159. Al termine delle procedure di gara, le amministrazioni stipulano immediatamente il contratto ed avviano
l’esecuzione degli stessi, anche in deroga ai termini di cui all’articolo 32 del decreto legislativo n. 50 del
2016.
4. Gli acquisti di cui al comma 1 devono essere relativi a progetti coerenti con il Piano triennale per
l’informatica nella pubblica amministrazione. Gli interventi di sviluppo e implementazione dei sistemi
informativi devono prevedere, nei casi in cui ciò è possibile, l’integrazione con le piattaforme abilitanti
previste dagli articoli 5, 62, 64 e 64-bis  dal decreto legislativo 7 marzo 2005, n. 82.
5. Le amministrazioni pubbliche procedono ai sensi del comma 1 con le risorse disponibili a legislazione
vigente. Dall’attuazione della disposizione non derivano nuovi o maggiori oneri a carico della finanza
pubblica.

In estrema sintesi la mia perplessita’ sulle procedure da utilizzare vengono incorporate non tanto nelle procedure di selezione ma in quelle di controllo utilizzando metodi delle LL.GG. 4 ANAC e si derogano le fasi dell’articolo 32 commi 9 e 10 del D.lgs 50/16 ( fattispecie che non si applica comunque alle procedure di cui all’articolo 36 comma 2 lett. a e b ). Inoltre nasce l’obbligo di invitare tra i quattro concorrenti una start up innovativa od una piccola media impresa innovativa.

Per quanto riguarda le  Semplificazioni in materia di organi collegiali, vediamo solo una variazione nell’ordine, non piu’ articolo 70 ma 73 del Dl 18/20 .

Tra poco un breve post per la disciplina degli organi collegiali a DISTANZA.

In allegato il DL 18/20