INFOGRAFICA procedure Acquisto conformate al codice dei contratti – GDPR -CAD

Vi riporto anche il POST COMPLETO, nelle prossime settimane vi arrivera’ una PEC ufficiale con le procedure da eseguire e la formazione obbligatoria.

Linee Guida sulla sicurezza nel procurement ICT (CAD APPALTI e GDPR)

Con un breve richiamo al nuovo regolamento degli appalti pubblici ( in bozza )

E’ passato quasi un anno da quando ho scritto il primo post su queste linee guida che finalmente il 20 maggio hanno visto la pubblicazione.

Di cosa parliamo ? delle clausole che le SA devono inserire nelle procedure d’acquisto di concerto con il DPO ed anche il RTD.

Vediamo velocemente le linee guida riportandone i paragrafi essenziali

1.2 A chi è rivolto il documento 

Il presente documento è diretto in primo luogo ai dirigenti e ai funzionari delle pubbliche amministrazioni, con particolare riferimento alle strutture che si occupano di acquisizioni informatiche, ai RUP delle gare pubbliche, ai responsabili della transizione al digitale (definiti dal CAD), ai responsabili dell’organizzazione, pianificazione e sicurezza. A questi soggetti sono rivolte le indicazioni pratiche, gli esempi e gli strumenti operativi contenuti nei paragrafi che seguono. 

I contenuti del documento vanno intesi in termini di suggerimenti, buone pratiche e procedure cui allinearsi, anche sulla base della rilevanza e dei profili di criticità delle varie acquisizioni ICT da condurre, come illustrato nel dettaglio, per le varie indicazioni, nel capitolo 2. 

Il documento è rivolto anche, con un diverso percorso di lettura, agli operatori di mercato e in particolare ai fornitori della pubblica amministrazione. Per questi ultimi è opportuno, tra l’altro, essere a conoscenza delle problematiche legate alla sicurezza nel procurement ICT delle pubbliche amministrazioni, in modo che siano pronti a recepire le richieste dei committenti senza impatti rilevanti sulle negoziazioni, e anzi con spirito di collaborazione. Si ritiene infatti che stabilire un lessico comune e condividere gli obiettivi di sicurezza possa rappresentare un vantaggio per i clienti ma anche per i fornitori, rendendo più efficienti le clausole dei contratti e aprendo nuovi spazi di mercato. 

1.3 Finalità del documento 

Il presente documento non costituisce un manuale tecnico, un compendio o uno studio accademico sulla tematica della sicurezza. Al contrario, nel testo si rimanda, per gli eventuali approfondimenti specialistici sulla materia, alla letteratura tecnica: riferimenti puntuali a studi, articoli e standard sono presenti nei paragrafi che seguono. 6 

Allo stesso modo, non è scopo del presente documento fornire al lettore interpretazioni giuridiche, disamine o estensioni di norme e procedure vigenti in tema di appalti pubblici. 

Le finalità del documento sono invece: 

– illustrare in maniera semplice e immediatamente fruibile la problematica della sicurezza nel procurement ICT; 

– mettere a sistema (tramite opportuni glossari e classificazioni), formalizzare definizioni e concetti legati alla sicurezza nel procurement ICT, rendendoli coerenti con la norma e con il contesto della pubblica amministrazione; 

– presentare buone prassi, soluzioni già in uso, misure semplici da adottare (strumenti operativi, esempi pratici, riferimenti puntuali), per verificare il livello di sicurezza degli attuali processi di acquisizione ed eventualmente per alzare tale livello senza per questo aumentare in modo eccessivo la complessità dei processi e l’impegno necessario a condurli. 

Sinteticamente si avranno le AZIONI divise in fasi

  • da svolgere prima della fase di procurement
  • da svolgere durante la fase di procurement
  • da svolgere dopo la stipulazione.

Ma cosa fare in pratica, come fare ?

Io farei cosi, attenderei la pubblicazione anche della BOZZA DEL REGOLAMENTO sugli ACQUISTI che all’articolo 13 ( della BOZZA) invita a qualificare i fornitori , poi istituirei un ufficio stabile all’interno dell’organizzazione del RTD per la selezione degli acquisti informatici e scriverei un provvedimento ( ai sensi dell’articolo 11 della BOZZA) per la suddivisione in classi d’importo per procedere senza aggravare ulteriormente il procedimento .

nell’attesa di focus specifici ( che purtroppo saranno fatti in webinar ) vi riporto il mio post originale, dedicato all’immensa Daniela Salzano.

In allegato LLGG ICT PROCUREMENT e BOZZA del Regolamento

Un po’ di contratti pubblici. Consiglio di Stato sulla rotazione.

Nell’attesa della pubblicazione del Regolamento (che sara’ deludente) parliamo velocemente della sentenza 2654/2020 del CdS sulla c.d. r.d.o aperta .

La sentenza ci ricorda che il principio di rotazione , richiamato anche nel primo comma dell’articolo 36 del D.Lgs 50/16 non si applica quando si sceglie la RDO Aperta, cioe’ quando nell’area ad accesso pubblico di una piattaforma di negoziazione si evidenziano le procedure selettive dando poi il tempo agli OE di profilarsi ed iscriversi.

Ricorderete che gia’ tempo addietro ho parlato di questa possibilita’, quindi nell’attesa di confrontarci sul REGOLAMENTO UNICO vi riporto i post di riferimento ( erano TAR e non CDS) e vi allego la sentenza 2654/2020 ( che e’ riferita a SINTEL) .

Direttiva 3/2020. Modalita di ‘ svolgimento della prestazione lavorativa.

Quello che segue e’ un breve commento alla direttiva 3/2020 del Ministro Fabiana Didone ( v.allegato)

Teoricamente i destinatari sono tutte le PP.AA di cui all’articolo 1 comma 2 del D.lgs 165/01, ma in lettera e’ evidente un maggiore coinvolgimento degli EE.LL.

Tra i punti da attenzionare (molto pochi) c’e’ la richiesta di un’analisi as is dell’organizzazione del lavoro ed anche se non espressamente scritto occorre coinvolgere nelle scelte il RTD ( articolo 17 CAD) , infatti alla pagina tre e’ chiaramente detto che

…Sotto tale aspetto, é necessario che, già nella fase attuale, le amministrazioni programmino i
propri approvvigionamenti ricorrendo alle misure di ausilio allo svolgimento del lavoro agile da parte
dei dipendenti delle pubbliche amministrazioni e degli organismi di diritto pubblico di cui all’articolo
75 del citato decreto-legge n. 18 del 2020, convertito, con modificazioni, dalla legge 24 aprile 2020,
n. 27, con l’obiettivo di migliorare la connettività e di acquisire le necessarie dotazioni informatiche
mobili, servizi in cloud e licenze per attivare il lavoro agile. Contestualmente le amministrazioni sono
invitate ad individuare ogni misura utile a consentire la dematerializzazione dei procedimenti (ad es.
provvedere, mediante il personale in presenza, alla scansione e all’invio della documentazione al
personale in modalità agile; provvedere all’utilizzo di cloud, offerti gratuitamente anche in questa
fase da provider privati, per l’archiviazione di documentazione), di modo tale che tutti i dipendenti
possano svolgere la propria prestazione a pieno regime.
É inoltre fondamentale il ricorso all’attività formativa come strumento di accompagnamento
del proprio personale nel processo di trasformazione digitale dell’amministrazione e di diffusione
della capacità di lavorare in modalità agile per il raggiungimento degli obiettivi assegnati, limitando
al massimo il rischio di stress correlato alle nuove modalità di lavoro e garantendo il diritto alla
disconnessione.

Inoltre continuando si invita a fare la formazione OBBLIGATORIA prevista dall’articolo 13 del D.Lgs 82/2005

Art. 13. Formazione informatica dei dipendenti pubblici 1. Le pubbliche amministrazioni ((, nell’ambito delle risorse finanziarie disponibili, attuano politiche di reclutamento e)) formazione del personale finalizzate alla conoscenza e all’uso delle tecnologie dell’informazione e della comunicazione, nonche’ dei temi relativi all’accessibilita’ e alle tecnologie assistive, ai sensi dell’articolo 8 della legge 9 gennaio 2004, n. 4. 1-bis. Le politiche di formazione di cui al comma 1 sono altresi’ volte allo sviluppo delle competenze tecnologiche, di informatica giuridica e manageriali dei dirigenti, per la transizione alla modalita’ operativa digitale.

In soldoni le attivita’ emergenziali devono ora diventare di sistema come le riunioni telematiche degli organi collegiali, qui un post

ed occorre iniziare ad approvvigionarsi di asset con le procedure dell’articolo 75 del Dl 18/20, il post

Ora che e’ finita la fase di emergenza, aggiungo io, le PA devono iniziare a prendere seriamente in conto le politiche BYOD ( Bring your own device  ) come gia’ previsto nell’articolo 12 comma 3 – bis del cad

3-bis. I soggetti di cui all’articolo 2, comma 2, favoriscono l’uso da parte dei lavoratori di dispositivi elettronici personali o, se di proprieta’ dei predetti soggetti, personalizzabili, al fine di ottimizzare la prestazione lavorativa, nel rispetto delle condizioni di sicurezza nell’utilizzo.

quindi occorrerà censire tra gli asset da analizzare per i rischi anche i suddetti device ed inziare ad operare tramite VPN.

Vi riporto un vecchio post sul lavoro agile “EMERGENZIALE”

La direttiva 3/2020 chiude attenzionando ovviamente l’aspetto sanitario ed invitando ad usare mezzi anche informali per aggiornare i dipendenti ( o meglio avventori ) delle PA sulle direttive di sicurezza lavorativa date dall’INAIL a questo URL

https://www.inail.it/cs/internet/comunicazione/pubblicazioni/catalogo-generale/pubbl-rimodulazione-contenimento-covid19-sicurezza-lavoro.html

Direttiva NIS, si parte concretamente.

CYBER SECURITY: AVVIO DELLE ATTIVITA’ DELLO CSIRT ITALIA

Dal 6 maggio passaggio graduale di consegne tra CERT-PA – CERT Nazionale e CSIRT Italia

Roma – A partire dal prossimo 6 maggio il CERT-PA e il CERT Nazionale, strutture che sino ad oggi hanno rispettivamente supportato le pubbliche amministrazioni e il settore privato nella prevenzione e nella risposta agli incidenti cibernetici, termineranno tutti i servizi proattivi, reattivi e di risposta a tali incidenti, passando con gradualità le consegne allo CSIRT Italia, il nuovo team per gestire la cyber-difesa nazionale istituito presso il Dipartimento Informazioni per la Sicurezza (DIS). Da tale data, inoltre, i due CERT cesseranno contestualmente di esistere come soggetti autonomi.

La decisione rientra nell’ambito del piano di attuazione della Direttiva NIS (Decreto legislativo 18 maggio 2018 n. 65), recante le misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione europea, che – tra le altre misure – prevede anche in Italia la costituzione di un Computer Security Incident Response Team unico (cosiddetto CSIRT).

L’attività dello CSIRT è disciplinata dal DPCM 8 agosto 2019 in materia di “Disposizioni sull’organizzazione e il funzionamento del Computer Security Incident Response Team – CSIRT italiano”, pubblicato in Gazzetta Ufficiale l’8 novembre 2019.

In tale quadro, i soggetti pubblici e privati, a partire dalla data menzionata, in caso di incidente cibernetico e/o di segnalazione di evento, avranno quale nuovo ed unico interlocutore lo CSIRT Italiache già riceve le notifiche obbligatorie e volontarie degli operatori di servizi essenziali (cosiddetti OSE) e Fornitori di Servizi Digitali (cosiddetti FSD) ai sensi della Direttiva NIS.

La liberta’ di accesso alle informazioni della PA

Non voglio ripetermi parlando di prevalenza della trasparenza sulla riservatezza CTD ma voglio raccogliere alcuni esempi, episodi e richieste che solitamente vengono rigettate perche’ qualcuno continua a parlare di PRIVACY.

Accesso da parte dei consiglieri. Possibilissimo, vedi articolo 43 del TUEL

Accesso dell’avvocato. Ovvio, 391 quater cpp

Acceso appalti pubblici. Qui spendo due parole in più .

(Accesso agli atti e riservatezza)
1. Salvo quanto espressamente previsto nel presente codice, il diritto di accesso agli atti delle procedure di affidamento e di esecuzione dei contratti pubblici, ivi comprese le candidature e le offerte, e’ disciplinato dagli articoli 22 e seguenti della legge 7 agosto 1990, n. 241. Il diritto di accesso agli atti del processo di asta elettronica puo’ essere esercitato mediante l’interrogazione delle registrazioni di sistema informatico che contengono la documentazione in formato elettronico dei detti atti ovvero tramite l’invio ovvero la messa a disposizione di copia autentica degli atti.
2. Fatta salva la disciplina prevista dal presente codice per gli appalti secretati o la cui esecuzione richiede speciali misure di sicurezza, il diritto di accesso e’ differito: a) nelle procedure aperte, in relazione all’elenco dei soggetti che hanno presentato offerte, fino alla scadenza del termine per la presentazione delle medesime; b) nelle procedure ristrette e negoziate e nelle gare informali, in relazione all’elenco dei soggetti che hanno fatto richiesta di invito o che hanno manifestato il loro interesse, e in relazione all’elenco dei soggetti che sono stati invitati a presentare offerte e all’elenco dei soggetti che hanno presentato offerte, fino alla scadenza del termine per la presentazione delle offerte medesime; ai soggetti la cui richiesta di invito sia stata respinta, e’ consentito l’accesso all’elenco dei soggetti che hanno fatto richiesta di invito o che hanno manifestato il loro interesse, dopo la comunicazione ufficiale, da parte delle stazioni appaltanti, dei nominativi dei candidati da invitare; c) in relazione alle offerte, fino all’aggiudicazione; d) in relazione al procedimento di verifica della anomalia dell’offerta, fino all’aggiudicazione.
3. Gli atti di cui al comma 2, fino alla scadenza dei termini ivi previsti, non possono essere comunicati a terzi o resi in qualsiasi altro modo noti.
4. L’inosservanza dei commi 2 e 3 per i pubblici ufficiali o per gli incaricati di pubblici servizi rileva ai fini dell’articolo 326 del codice penale.
5. Fatta salva la disciplina prevista dal presente codice per gli appalti secretati o la cui esecuzione richiede speciali misure di sicurezza, sono esclusi il diritto di accesso e ogni forma di divulgazione in relazione: a) alle informazioni fornite nell’ambito dell’offerta o a giustificazione della medesima che costituiscano, secondo motivata e comprovata dichiarazione dell’offerente, segreti tecnici o commerciali; b) ai pareri legali acquisiti dai soggetti tenuti all’applicazione del presente codice, per la soluzione di liti, potenziali o in atto, relative ai contratti pubblici; c) alle relazioni riservate del direttore dei lavori ((, del direttore dell’esecuzione)) e dell’organo di collaudo sulle domande e sulle riserve del soggetto esecutore del contratto; d) alle soluzioni tecniche e ai programmi per elaboratore utilizzati dalla stazione appaltante o dal gestore del sistema informatico per le aste elettroniche, ove coperti da diritti di privativa intellettuale.
6. In relazione all’ipotesi di cui al comma 5, lettera a), e’ consentito l’accesso al concorrente ai fini della difesa in giudizio dei propri interessi in relazione alla procedura di affidamento del contratto.

In sintesi, abbiamo una norma speciale limitata ovviamente alle enucleazioni del codice, altrimenti vige il 22 della 241/90.

E’ chiaro che il tenore speciale ( salvo altre espressioni ) si riferisce al differimento dell’accesso finalizzato a non inquinare il procedimento di aggiudicazione. Da sottolineare che con le fasi del nuovo codice ( l’articolo 32 ) , la querelle della legittimazione di accesso differita all’aggiudicazione provvisoria o definitiva è da ritenersi superata.

Accesso agli atti del confinante, l’evergreen

Un confinante chiede l’accesso agli autorizzativi di un cantiere confinante. TAR Roma 2025/2017, il requisito della vicinates legittima sempre l’accesso agli atti. Qualche TAR piu’ vecchio, 2015 , ricorda che non solo il confinante, ma anche il frontista e chiunque’ si trovi in una situazione di stabile collegamento e’ legittimato.

Ovviamente valgono le raccomandazioni di legge dell’articolo 24 della L. 241/90

((1. Il diritto di accesso e’ escluso: a) per i documenti coperti da segreto di Stato ai sensi della legge 24 ottobre 1977, n. 801, e successive modificazioni, e nei casi di segreto o di divieto di divulgazione espressamente previsti dalla legge, dal regolamento governativo di cui al comma 6 e dalle pubbliche amministrazioni ai sensi del comma 2 del presente articolo; b) nei procedimenti tributari, per i quali restano ferme le particolari norme che li regolano; c) nei confronti dell’attivita’ della pubblica amministrazione diretta all’emanazione di atti normativi, amministrativi generali, di pianificazione e di programmazione, per i quali restano ferme le particolari norme che ne regolano la formazione; d) nei procedimenti selettivi, nei confronti dei documenti amministrativi contenenti informazioni di carattere psicoattitudinale relativi a terzi.

2. Le singole pubbliche amministrazioni individuano le categorie di documenti da esse formati o comunque rientranti nella loro disponibilita’ sottratti all’accesso ai sensi del comma 1.

3. Non sono ammissibili istanze di accesso preordinate ad un controllo generalizzato dell’operato delle pubbliche amministrazioni.

4. L’accesso ai documenti amministrativi non puo’ essere negato ove sia sufficiente fare ricorso al potere di differimento.

5. I documenti contenenti informazioni connesse agli interessi di cui al comma 1 sono considerati segreti solo nell’ambito e nei limiti di tale connessione. A tale fine le pubbliche amministrazioni fissano, per ogni categoria di documenti, anche l’eventuale periodo di tempo per il quale essi sono sottratti all’accesso.

6. Con regolamento, adottato ai sensi dell’articolo 17, comma 2, della legge 23 agosto 1988, n. 400, il Governo puo’ prevedere casi di sottrazione all’accesso di documenti amministrativi: a) quando, al di fuori delle ipotesi disciplinate dall’articolo 12 della legge 24 ottobre 1977, n. 801, dalla loro divulgazione possa derivare una lesione, specifica e individuata, alla sicurezza e alla difesa nazionale, all’esercizio della sovranita’ nazionale e alla continuita’ e alla correttezza delle relazioni internazionali, con particolare riferimento alle ipotesi previste dai trattati e dalle relative leggi di attuazione; b) quando l’accesso possa arrecare pregiudizio ai processi di formazione, di determinazione e di attuazione della politica monetaria e valutaria; c) quando i documenti riguardino le strutture, i mezzi, le dotazioni, il personale e le azioni strettamente strumentali alla tutela dell’ordine pubblico, alla prevenzione e alla repressione della criminalita’ con particolare riferimento alle tecniche investigative, alla identita’ delle fonti di informazione e alla sicurezza dei beni e delle persone coinvolte, all’attivita’ di polizia giudiziaria e di conduzione delle indagini; d) quando i documenti riguardino la vita privata o la riservatezza di persone fisiche, persone giuridiche, gruppi, imprese e associazioni, con particolare riferimento agli interessi epistolare, sanitario, professionale, finanziario, industriale e commerciale di cui siano in concreto titolari, ancorche’ i relativi dati siano forniti all’amministrazione dagli stessi soggetti cui si riferiscono; e) quando i documenti riguardino l’attivita’ in corso di contrattazione collettiva nazionale di lavoro e gli atti interni connessi all’espletamento del relativo mandato.

7. Deve comunque essere garantito ai richiedenti l’accesso ai documenti amministrativi la cui conoscenza sia necessaria per curare o per difendere i propri interessi giuridici. Nel caso di documenti contenenti dati sensibili e giudiziari, l’accesso e’ consentito nei limiti in cui sia strettamente indispensabile e nei termini previsti dall’articolo 60 del decreto legislativo 30 giugno 2003, n. 196, in caso di dati idonei a rivelare lo stato di salute e la vita sessuale)).

e degli articolo 59 e 60 del D.lgs 196/03

Art. 59 ( Accesso a documenti amministrativi ((e accesso civico)) )

1. Fatto salvo quanto previsto dall’articolo 60, i presupposti, le modalita’, i limiti per l’esercizio del diritto di accesso a documenti amministrativi contenenti dati personali, e la relativa tutela giurisdizionale, restano disciplinati dalla legge 7 agosto 1990, n. 241, e successive modificazioni e dalle altre disposizioni di legge in materia, nonche’ dai relativi regolamenti di attuazione, anche per cio’ che concerne i tipi di dati ((di cui agli articoli 9 e 10 del regolamento)) e le operazioni di trattamento eseguibili in esecuzione di una richiesta di accesso. ((PERIODO SOPPRESSO DAL D.LGS. 10 AGOSTO 2018, N. 101)).

((1-bis. I presupposti, le modalita’ e i limiti per l’esercizio del diritto di accesso civico restano disciplinati dal decreto legislativo 14 marzo 2013, n. 33.))

Art. 60 (( Dati relativi alla salute o alla vita sessuale o all’orientamento sessuale). ))

((1. Quando il trattamento concerne dati genetici, relativi alla salute, alla vita sessuale o all’orientamento sessuale della persona, il trattamento e’ consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi, e’ di rango almeno pari ai diritti dell’interessato, ovvero consiste in un diritto della personalita’ o in un altro diritto o liberta’ fondamentale.))

Chiudo riportando un vecchio post sulla richiesta di accesso da parte delle forze dell’ordine nei Comuni e sui tipi di accesso da parte della PA.