Obiettivi di accessibilita’ ed OBBLIGHI di accessibilita’ – DUE ADEMPIMENTI DIVERSI- RILASCIO DEL 2022. NUOVA MODALITA’ PER GLI OBIETTIVI.

Per gli obiettivi del 2022 occorre utilizzare la modalità che si trova in form.agid.gov.it, quindi finalmente è stata attuata l’integrazione (che in realtà comprende anche i test di usabilità e la dichiarazioni di design).

quindi primo passaggio : form.agid.gov.it

Visualizza articolo

poi si sceglie ACCEDI AL MODULO degli OBIETTIVI di ACCESSIBILITA’

A questo punto basta mettere i flag nelle opzioni scelte e scrivere i tempi di adeguamento.

Salva e pubblica ed il link deve essere messo in AT – ALTRI CONTENUTI – ACCESSIBILITA’ E CATALOGO…..OBIETTIVI.

A PRESTO.

IL VOSTRO RTD

Seconda scadenza per la pubblicazione delle dichiarazioni di accessibilità della legge 4/2004, la STANCA.

Vi lascio il tutorial e come sempre restiamo a vostra disposizione.

Discutiamo ed iniziamo ad adoperarci per gli OBBLIGHI sull’accessibilita’ , adempimento introdotto dal D.Lgs 106/18 e da effettuare senza perdere tempo, iniziamo ad allineare le scadenza, anche questo entro il 31/03.

Inizio col ricordare che e’ un adempimento che deve essere fatto dal RTD ( articolo 17 del CAD) , che riporto

Art. 17 ((Responsabile per la transizione digitale e difensore civico digitale))

1. Le pubbliche amministrazioni garantiscono l’attuazione delle linee strategiche per la riorganizzazione e la digitalizzazione dell’amministrazione definite dal Governo in coerenza con le ((Linee guida)). A tal fine, ((ciascuna pubblica amministrazione)) affida a un unico ufficio dirigenziale generale, fermo restando il numero complessivo di tali uffici, la transizione alla modalita’ operativa digitale e i conseguenti processi di riorganizzazione finalizzati alla realizzazione di un’amministrazione digitale e aperta, di servizi facilmente utilizzabili e di qualita’, attraverso una maggiore efficienza ed economicita’. Al suddetto ufficio sono inoltre attribuiti i compiti relativi a: a) coordinamento strategico dello sviluppo dei sistemi informativi, di telecomunicazione e fonia, in modo da assicurare anche la coerenza con gli standard tecnici e organizzativi comuni; b) indirizzo e coordinamento dello sviluppo dei servizi, sia interni che esterni, forniti dai sistemi informativi di telecomunicazione e fonia dell’amministrazione; c) indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica relativamente ai dati, ai sistemi e alle infrastrutture anche in relazione al sistema pubblico di connettivita’, nel rispetto delle regole tecniche di cui all’articolo 51, comma 1; d) accesso dei soggetti disabili agli strumenti informatici e promozione dell’accessibilita’ anche in attuazione di quanto previsto dalla legge 9 gennaio 2004, n. 4; e) analisi periodica della coerenza tra l’organizzazione dell’amministrazione e l’utilizzo delle tecnologie dell’informazione e della comunicazione, al fine di migliorare la soddisfazione dell’utenza e la qualita’ dei servizi nonche’ di ridurre i tempi e i costi dell’azione amministrativa; f) cooperazione alla revisione della riorganizzazione dell’amministrazione ai fini di cui alla lettera e); g) indirizzo, coordinamento e monitoraggio della pianificazione prevista per lo sviluppo e la gestione dei sistemi informativi di telecomunicazione e fonia; h) progettazione e coordinamento delle iniziative rilevanti ai fini di una piu’ efficace erogazione di servizi in rete a cittadini e imprese mediante gli strumenti della cooperazione applicativa tra pubbliche amministrazioni, ivi inclusa la predisposizione e l’attuazione di accordi di servizio tra amministrazioni per la realizzazione e compartecipazione dei sistemi informativi cooperativi;(28) i) promozione delle iniziative attinenti l’attuazione delle direttive impartite dal Presidente del Consiglio dei Ministri o dal Ministro delegato per l’innovazione e le tecnologie; j) pianificazione e coordinamento del processo di diffusione, all’interno dell’amministrazione, dei sistemi di ((identita’ e domicilio digitale,)) posta elettronica, protocollo informatico, firma digitale o firma elettronica qualificata e mandato informatico, e delle norme in materia di accessibilita’ e fruibilita’ ((nonche’ del processo di integrazione e interoperabilita’ tra i sistemi e servizi dell’amministrazione e quello di cui all’articolo 64-bis)). ((j-bis) pianificazione e coordinamento degli acquisti di soluzioni e sistemi informatici, telematici e di telecomunicazione al fine di garantirne la compatibilita’ con gli obiettivi di attuazione dell’agenda digitale e, in particolare, con quelli stabiliti nel piano triennale di cui all’articolo 16, comma 1, lettera b).))

1-bis. Per lo svolgimento dei compiti di cui al comma 1, le Agenzie, le Forze armate, compresa l’Arma dei carabinieri e il Corpo delle capitanerie di porto, nonche’ i Corpi di polizia hanno facolta’ di individuare propri uffici senza incrementare il numero complessivo di quelli gia’ previsti nei rispettivi assetti organizzativi.

1-ter. Il responsabile dell’ufficio di cui al comma 1 e’ dotato di adeguate competenze tecnologiche, di informatica giuridica e manageriali e risponde, con riferimento ai compiti relativi alla transizione, alla modalita’ digitale direttamente all’organo di vertice politico.

((1-quater. E’ istituito presso l’AgID l’ufficio del difensore civico per il digitale, a cui e’ preposto un soggetto in possesso di adeguati requisiti di terzieta’, autonomia e imparzialita’. Chiunque puo’ presentare al difensore civico per il digitale, attraverso apposita area presente sul sito istituzionale dell’AgID, segnalazioni relative a presunte violazioni del presente Codice e di ogni altra norma in materia di digitalizzazione ed innovazione della pubblica amministrazione da parte dei soggetti di cui all’articolo 2, comma 2. Ricevuta la segnalazione, il difensore civico, se la ritiene fondata, invita il soggetto responsabile della violazione a porvi rimedio tempestivamente e comunque non oltre trenta giorni. Le decisioni del difensore civico sono pubblicate in un’apposita area del sito Internet istituzionale.)) Il difensore segnala le inadempienze all’ufficio competente per i procedimenti disciplinari ((di ciascuna amministrazione)).

1-quinquies. AgID pubblica sul proprio sito una guida di riepilogo dei diritti di cittadinanza digitali previsti dal presente Codice.

1-sexies. Nel rispetto della propria autonomia organizzativa, le pubbliche amministrazioni diverse dalle amministrazioni dello Stato individuano l’ufficio per il digitale di cui ((al comma)) 1 ((…)) tra quelli di livello dirigenziale oppure, ove ne siano privi, individuano un responsabile per il digitale tra le proprie posizioni apicali. In assenza del vertice politico, il responsabile dell’ufficio per il digitale di cui al comma 1 risponde direttamente a quello amministrativo dell’ente.

((1-septies. I soggetti di cui al comma 1-sexies possono esercitare le funzioni di cui al medesimo comma anche in forma associata.))

Come gia’ detto diverse volte, l’inaccessibilità non deve essere solo del sito web, ma anche dei documenti ( e delle postazioni di lavoro ), è quando un documento e’ pubblicato in forma non accessibile non produce effetti dall’origine, non ci credete ?…aspe’

vi riporto il primo comma dell’articolo 32 della L. 69/09 ( ALBO PRETORIO ON LINE )

1. A far data dal 1° gennaio 2010, gli obblighi di pubblicazione di atti e provvedimenti amministrativi aventi effetto di pubblicita’ legale si intendono assolti con la pubblicazione nei propri siti informatici da parte delle amministrazioni e degli enti pubblici obbligati. ((La pubblicazione e’ effettuata nel rispetto dei principi di eguaglianza e di non discriminazione, applicando i requisiti tecnici di accessibilita’ di cui all’articolo 11 della legge 9 gennaio 2004, n. 4. La mancata pubblicazione nei termini di cui al periodo precedente e’ altresi’ rilevante ai fini della misurazione e della valutazione della performance individuale dei dirigenti responsabili)).

e l’articolo 23 ter comma 5 bis del CAD

5-bis. I documenti di cui al presente articolo devono essere fruibili indipendentemente dalla condizione di disabilita’ personale, applicando i criteri di accessibilita’ definiti dai requisiti tecnici di cui all’articolo 11 della legge 9 gennaio 2004, n.

Altre aspetti normativi importanti riguardano l’obbligo della formazione sui temi dell’accessibilita’ e sul codice dell’amministrazione digitale.

Art. 13. Formazione informatica dei dipendenti pubblici 1. Le pubbliche amministrazioni ((, nell’ambito delle risorse finanziarie disponibili, attuano politiche di reclutamento e)) formazione del personale finalizzate alla conoscenza e all’uso delle tecnologie dell’informazione e della comunicazione, nonche’ dei temi relativi all’accessibilita’ e alle tecnologie assistive, ai sensi dell’articolo 8 della legge 9 gennaio 2004, n. 4. 1-bis. Le politiche di formazione di cui al comma 1 sono altresi’ volte allo sviluppo delle competenze tecnologiche, di informatica giuridica e manageriali dei dirigenti, per la transizione alla modalita’ operativa digitale.

e poi segnatamente per l’accessibilita’ l’articolo 8 della L. 4/2004

Art. 8. (Formazione) 1. Le amministrazioni di cui all’articolo 3, comma 1, nell’ambito delle attivita’ di cui al comma 4 dell’articolo 7 del decreto legislativo 30 marzo 2001, n. 165, nonche’ dei corsi di formazione organizzati dalla Scuola superiore della pubblica amministrazione, e nell’ambito delle attivita’ per l’alfabetizzazione informatica dei pubblici dipendenti di cui all’articolo 27, comma 8, lettera g), della legge 16 gennaio 2003, n. 3, inseriscono tra le materie di studio a carattere fondamentale le problematiche relative all’accessibilita’ e alle tecnologie assistive. 2. La formazione professionale di cui al comma 1 e’ effettuata con tecnologie accessibili. 3. Le amministrazioni di cui all’articolo 3, comma 1, nell’ambito delle disponibilita’ di bilancio, predispongono corsi di aggiornamento professionale sull’accessibilita’ ((, ivi inclusi quelli relativi alle modalita’ di creazione, gestione ed aggiornamento di contenuti accessibili dei siti web e delle applicazioni mobili)).

e poi non chiamatemi PETULANTE ma vi riporto la norma sugli obblighi dei dirigenti all’utilizzazione del CAD, articolo 12 del D.lgs 82/05

Art. 12 Norme generali per l’uso delle tecnologie dell’informazione e delle comunicazioni nell’azione amministrativa

1. Le pubbliche amministrazioni nell’organizzare autonomamente la propria attivita’ utilizzano le tecnologie dell’informazione e della comunicazione per la realizzazione degli obiettivi di efficienza, efficacia, economicita’, imparzialita’, trasparenza, semplificazione e partecipazione nel rispetto dei principi di uguaglianza e di non discriminazione, nonche’ per l’effettivo riconoscimento dei diritti dei cittadini e delle imprese di cui al presente Codice in conformita’ agli obiettivi indicati nel Piano triennale per l’informatica nella pubblica amministrazione di cui all’articolo 14-bis, comma 2, lettera b).

1-bis. Gli organi di Governo nell’esercizio delle funzioni di indirizzo politico ed in particolare nell’emanazione delle direttive generali per l’attivita’ amministrativa e per la gestione ai sensi del comma 1 dell’articolo 14 del decreto legislativo 30 marzo 2001, n. 165, e le amministrazioni pubbliche nella redazione del piano di performance di cui all’articolo 10 del decreto legislativo 27 ottobre 2009, n. 150, dettano disposizioni per l’attuazione delle disposizioni del presente Codice.

1-ter. I dirigenti rispondono dell’osservanza ed attuazione delle disposizioni di cui al presente Codice ai sensi e nei limiti degli articoli 21 e 55 del decreto legislativo 30 marzo 2001, n. 165, ferme restando le eventuali responsabilita’ penali, civili e contabili previste dalle norme vigenti. L’attuazione delle disposizioni del presente Codice e’ comunque rilevante ai fini della misurazione e valutazione della performance organizzativa ed individuale dei dirigenti.

2. Le pubbliche amministrazioni utilizzano, nei rapporti interni, in quelli con altre amministrazioni e con i privati, le tecnologie dell’informazione e della comunicazione, garantendo l’interoperabilita’ dei sistemi e l’integrazione dei processi di servizio fra le diverse amministrazioni nel rispetto delle ((Linee guida)). (28)

3. Le pubbliche amministrazioni operano per assicurare l’uniformita’ e la graduale integrazione delle modalita’ di interazione degli utenti con i servizi informatici , ivi comprese le reti di telefonia fissa e mobile in tutte le loro articolazioni, da esse erogati, qualunque sia il canale di erogazione, nel rispetto della autonomia e della specificita’ di ciascun erogatore di servizi.

3-bis. I soggetti di cui all’articolo 2, comma 2, favoriscono l’uso da parte dei lavoratori di dispositivi elettronici personali o, se di proprieta’ dei predetti soggetti, personalizzabili, al fine di ottimizzare la prestazione lavorativa, nel rispetto delle condizioni di sicurezza nell’utilizzo.

4. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179. 5. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179. 5-bis. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179.

Ora veniamo a noi e parliamo degli obblighi di ACCESSIBILITA’ del D.lgs 106/18.

Prima cosa, avete nominato l’RTD ?

Se non l’avete nominato non possiamo iniziare. Avete qualche dubbio ?

Andate in IndicePa.gov.it e cliccate su elenco uffici

Se vi appare da

NOMESEDESERVIZI
Ufficio per la transizione al Digitaleda_indicare – 00100 Roma (RM)Servizi OffertiServizi di Fatturazione ElettronicaNodo Smistamento Ordini
Uff_eFatturaPAVia Quattro Novembre, 119 A – 00187 Roma (RM)Servizi OffertiNodo Smistamento Ordini

in corrispondenza di Ufficio per la transizione al digitale “da_indicare-00100 ROMA (RM) dovete sbrigarvi a fare un atto di nomina ed aggiornare l’indicepa.

A dirla tutta ,vedere che la Citta’ Metropolitana di Roma Capitale e’ inadempiente mi sconforta, anzi no!!!! mi inorgoglisce perche’ tanti piccoli COMUNELLI BELLI ed altre piccole PA sono ADEMPIENTI e rispettano la legge.

Ricordo che dopo la circolare dell’ex ministro BONGIORNO , i RTD devono essere interni ( od a scavalco ) e non possono essere esterni. Il professionista esterno potra’ invece essere da supporto al RTD.

Ora, data per scontata la nomina RTD dobbiamo AUTOVALUTARCI utilizzando l’allegato 2 alle LLGG sull’accessibilita’ .

L’allegato sembra chiedere informazioni ridondanti, in realta’ i requisiti di accessibilita’ sono richiesti per diversi asset analizzati, contenuto web, applicazioni mobili , documenti non web ( attenzione : pdf, video, audio ed altri media pubblicati sul web rientrano tra il contenuto NON WEB)

Questa AUTOVALUTAZIONE, da fare come sempre ONESTAMENTE, senza bluffare ci servira’ per compilare il questionario.
Tuttavia qualora si fosse abituati ad utilizzare altri strumenti di VALUTAZIONE dell’accessibilita’ basta avere dei report da conservare con le evidenze della validazione.

Accediamo al questionario puntando il browser su form.agid.gov.it , apparira’ la schermata iniziale

Inseriamo il nome dell’ente od il codice ipa ….

…il sistema ci chiede se possediamo gia’ la chiave di accesso.

Una volta avuta la chiave( che viene recapitata all’indirizzo mail dell’RTD comunicato all’IPA) si presente il gestionale vero e proprio.

Ovviamente clicchiamo su Compila nuova dichiarazione e si apre l’applicativo, analizziamolo.

Occorre inserire il nome del sito ( COMUNELLOBELLO) e l’url completo di http o https ( preferibilmente per il GDPR )

e poi inserire lo standard di riferimento , WCAG 2.0 oppure WCAG 2.1, per il momento non cambia nulla, dipende dallo strumento utilizzato dall’esaminatore .

Scorrendo abbiamo

Selezionando parzialmente conforme o non conforme si abilita l’area CONTENUTI NON ACCESSIBILI.

Per maggiore chiarezza vi riporto le didascalie :

CONFORME

PARZIALMENTE CONFORME

NON CONFORME

AH!, dimenticavo, non lasciatevi spaventare dalla dicitura “Contenuti in ottemperanza alla Decisione di esecuzione UE 2018/1523“, e’ solo la forma del documento di accessibilita’ EUROPEO.

per quanto riguarda le motivazioni di non accessibilita’

e’ chiaro a tutti quando non risponde alla legge Stanca ( 4/2004) , per gli oneri SPROPORZIONATI, non abbiamo discrezionalita’, troviamo indicazioni nella novellata legge stanca all’articolo 3 ter comma2

2. Per onere sproporzionato si intende  un  onere  organizzativo  o
finanziario eccessivo per i soggetti erogatori ovvero  un  onere  che
pregiudica  la  capacita'  degli  stessi  di  adempiere  allo   scopo
prefissato o di pubblicare le informazioni  necessarie  o  pertinenti
per i compiti e servizi, pur tenendo conto del probabile beneficio  o
pregiudizio che ne deriverebbe per i cittadini e, in particolare, per
le persone con disabilita'. Non possono costituire, di  per  se',  un
onere sproporzionato i tempi occorrenti per sviluppare i siti web  ed
applicazioni mobili ovvero la necessita' di acquisire le informazioni
occorrenti per garantire il rispetto degli  obblighi  previsti  dalla
presente legge e dalle linee guida. 

Invece per ” il contenuto non rientra nell’ambito della legislazione applicabile “… occorre cercare deroghe alla norma o casi organizzativi ( ad esempio l’applicativo web based che gira sullo smartphone del notificatore )

Ora, sempre scorrendo, passiamo ad alcune notizie richieste per la dichiarazione di accessibilita’

Questa sezione e’ di facile compilazione, almeno per i primi due punti, occorre PALLINARE sulla modalita’ di valutazione ( interna od esterna ) e dire se e’ stato utilizzato l’allegato 2 delle LLGG come guida per la compilazione .

Ora la grande novita’, i controllori addosso ,o meglio il meccanismo di feedback, in estrema sintesi un link ( da inserire ) dove c’e’ un form di contatto per il feedback e le comunicazioni verso il RTD ( che come abbiamo visto nell’articolo 17 diviene responsabile dell’accessibilita’)

Scorrendo ancora troviamo la SEZIONE 2, informazioni richieste da AGID

Qui andiamo ad inserire la data di apertura del sito ( o del rinnovo profondo, o dello svecchiamento ) , dichiariamo de sono stati effettuati test di usabilita’ ( che fin quando non saranno obbligatori, o meglio sanzionabili ) sconsiglio di fare per la difficolta che comporta , comunque e’ importante ricordare che ACCESSIBILITA’ ed USABILITA’ sono cose diverse .

Poi ci chiede il CMS di base utilizzato tra

Se non conoscete questa informazione torna utile lo strumento https://whatcms.org

Fosse per me DRUPAL per tutta la vita, ma sono scelte personali.

Avviamoci verso la fine e vediamo le informazioni sulla struttura ( della PA )

Qui niente da dire, si compila con molta semplicita’ , l’unica nota che puo’ spaventare e’ la richiesta del responsabile del processo di integrazione, figura disciplinata dall’articolo 39 ter del D.lgs 165/01, vi riporto solo il primo comma, se rientrate nell’obbligo approfondirete da soli

Articolo 39-ter 
(( (Responsabile  dei  processi  di  inserimento  delle  persone  con
                          disabilita'). )) 
 
  ((1. Al fine di garantire un'efficace integrazione nell'ambiente di
lavoro delle persone con disabilita',  le  amministrazioni  pubbliche
con piu' di 200 dipendenti, senza  nuovi  o  maggiori  oneri  per  la
finanza pubblica e nell'ambito delle  risorse  umane,  finanziarie  e
strumentali  disponibili  a   legislazione   vigente,   nominano   un
responsabile dei processi di inserimento. 

Compilato questo salvate la bozza, rivedete un pochetto le notizie che avete messo poi rendete definitivo il documento ed avrete nell’email del RTD il link da inserire nel footer del sito ed in Amministrazione trasparente , altri contenuti, accessibilita…

Stessa sorte di pubblicazione anche per il feedback.

Ora mi avvio verso la chiusura ricordando che i miei clienti , possono fare richiesta ed avere l’adempimento fatto da me e poi ricordate due cosi importanti , anzi essenziali :

L’accessibilita’ deve essere prevista sin dai momenti precontrattuali come elemento indispensabile , quindi il RUP deve interagire con il RTD e poi non giocate sull’onere sproporzionato, non regge.

Gia’ sapete, resto a disposizione.

vi lascio anche il post tecnico con i dettagli delle voci e con gli allegati richiamati.

La NON motivazione degli affidamenti diretti durante l’emergenza COVID-19.

Chi mi segue conosce la mia fissa per gli affidamenti diretti e per l’opera di Gertrude Stein “Una rosa è una rosa è una rosa è una rosa, così come un bacio è un bacio è un bacio è un bacio

I DL 76/20 (art 1 c 2 ) ed il DL 77/21 (art 51 c 1) hanno introdotto, limitatamente nel tempo (dal 01 01 2020 al 30 06 2023) una nuova procedura ordinaria, snella di motivazione, per la scelta degli affidatari nelle procedure EMERGENZIALI di affidamento diretto.

Che sia chiaro, fino al 30/06/2023 l’emergenza sarà l’ORDINARIETA’ .

Tuttavia la motivazione snella e semplice già appare nel Codice dei Contratti ( con le modifiche del 2017) .

a) per affidamenti di importo inferiore a 40.000 euro, mediante affidamento diretto anche senza previa consultazione di due o piu’ operatori economici o per i lavori in amministrazione diretta. La pubblicazione dell’avviso sui risultati della procedura di affidamento non e’ obbligatoria

In estrema sintesi la motivazione va cercata normativamente solo nell’articolo 3 della Legge 241/90 e non anche in fase procedurale, quindi non occorrerà dilungarsi in motivazioni irragionevolmente lunghe per la scelta dell’affidatario per la procedura ORDINARIA fino al 30/06/2023 (art 51 DL 77/21).

In estrema sintesi occorre una motivazione SPINTA solo quando il RUP decide di utilizzare la procedura dell’articolo 36 del D.Lgs 50/16, vi lascio i pareri del MIT a supporto.

Ed anche un post di approfondimento.

ATTENZIONE per gli INFORMATICI. Il VIRUS RAZZISTA.

Da napoletano devo dire che lo schifo raddoppia. Attenzione a questo attacco.

Vi rimando all’alert del servizio CERT di AGID. Da comunicare agli uffici sicurezza informatica.

https://cert-agid.gov.it/news/il-ransomware-razzista/

Urgente per il supporto tecnico hardware e software

Riporto notizia di CERT-PA

Gli effetti sono il furto delle credenziali dei seguenti applicativi :

Vengono sottratte le credenziali dai seguenti applicativi:

  • IE/Edge
  • Edge Chromium
  • QQ Browser
  • incredimail
  • Eudora
  • Falkon Browser
  • Falkon Browser
  • ClawsMail
  • Flock Browser
  • DynDNS
  • Psi/Psi+
  • Open VPN
  • FileZilla
  • WinSCP
  • FlashFXP
  • FTP Navigator
  • JDownloader
  • Paltalk
  • Pidgin
  • SmartFTP
  • WS_FTP
  • FTPCommander
  • FTPGetter
  • NO-IP
  • NO-IP
  • TheBat
  • Becky!
  • Trillian
  • Outlook
  • Foxmail
  • Opera Mail
  • PocoMail
  • eM Client,
  • Mailbird
  • Mailbird
  • NordVPN,
  • MySQL Workbench
  • Private Internet Access
  • Opera Browser
  • Yandex Browser
  • Iridium Browser
  • Chromium
  • 7Star
  • Torch Browser
  • Cool Novo
  • Kometa
  • Amigo
  • Brave
  • CentBrowser
  • Chedot
  • Orbitum
  • Sputnik
  • Comodo Dragon
  • Vivaldi
  • Citrio
  • 360 Browser
  • Uran
  • Liebao Browser
  • Elements Browser
  • Epic Privacy
  • Coccoc
  • Sleipnir 6
  • QIP Surf
  • Coowon
  • Firefox
  • SeaMonkey
  • Thunderbird
  • BlackHawk
  • CyberFox
  • K-Meleon
  • IceCat
  • PaleMoon
  • IceDragon
  • WaterFox
  • Postbox

Infine vengono sottratti i cookie dai seguenti browser:

  • Opera
  • Comodo Dragon
  • Chrome
  • 360 Browser
  • Yandex
  • SRWare Iron
  • Torch Browser
  • Brave Browser
  • Iridium Browser
  • CoolNovo
  • 7Star
  • Epic Privacy Browser
  • Amigo
  • CentBrowser
  • CocCoc
  • Chedot
  • Elements Browser
  • Kometa
  • Sleipnir 6
  • Citrio
  • Coowon
  • Liebao Browser
  • QIP Surf
  • QQ Browser
  • UC Browser
  • Orbitum
  • Sputnik
  • uCozMedia
  • Vivaldi
  • Firefox
  • IceCat
  • PaleMoon
  • SeaMonkey
  • Flock
  • K-Meleon
  • Postbox
  • Thunderbird
  • IceDragon
  • WaterFox
  • BlackHawk
  • CyberFox

Il codice per il furto dei cookie è simile a quello per il furto delle credenziali ma il risultato è salvato in un file e compresso in memoria.

Attacchi su outlook in corso

COMUNICAZIONE CERT-PA

Attraverso il programma Outlook vengono inviate mail infette con oggetto “Avvertimento Aggiornare Necessaria”. Il target principale sono le pubbliche amministrazioni, ma non si escludono anche i privati. Il CERT-PA indica come difendersi

È in corso una campagna di phishing rivolta agli utenti di Outlook.

Lo segnala il CERT-PA di AgID, che ha rilevato il fenomeno grazie alle attività di condivisione delle informazioni con gli altri CERT istituzionali.

La campagna funziona in questo modo: attraverso mail con oggetto “Avvertimento Aggiornare Necessaria”, veicolate tramite il programma di posta elettronica Outlook, vengono effettuati tentativi di furto delle credenziali personali degli utenti. Le mail provengono da account compromessi sia di privati sia di PA.

Il principale target della campagna di phishing risulta essere la Pubblica Amministrazione, ma non si escludono invii anche ai privati.

Il CERT-PA ha provveduto a condividere gli indicatori di compromissione con la constituency tramite il Canale Nazionale di Trasmissione IoC (CNTI).

Di seguito le URL malevole:

– http[:]//b1z[.]org/ssoutlookupdate

– http[:]//fleingt[.]c1[.]biz/?rel=update

Per aiutare cittadini e PA a difendersi dai fenomeni di phishing, il CERT-PA ha anche elaborato una breve guida su come riconoscere una mail infetta e quali comportamenti adottare.

Il vademecum anti-phishing

– Verifica la correttezza della forma: se la mail non è scritta in italiano corretto, può trattarsi di phishing;

– Controlla l’intestazione: se punta a un generico “cliente” e non contiene il nome o il cognome dell’utente, sei di fronte a una mail sospetta;

– Controlla il link passandoci sopra il mouse: NON cliccare se rimanda a URL inusuali e sconosciuti;

– Se hai dubbi sul contenuto, NON cliccare sul link proposto dalla mail e contatta il servizio clienti del presunto mittente;

– Hai cliccato sul link? Niente paura. Appena atterri sulla pagina e ti chiedono username e password, inserisci credenziali fasulle. Un sito vero non riconoscerà le credenziali inserite e non ti farà passare.

RIPROPOSTO IMPORTANTE!!! BONUS AI CITTADINI COVID-19 TRA RISERVATEZZA E PUBBLICITA’

L’ORDINANZA 658/20 garantisce un bonus ai cittadini da spendere in beni di prima necessita’.

Come sempre sposto l’attenzione sul corretto trattamento dei dati , ne uscira’ un nuovo archivio trattato dai servizi sociali con destinatari esterni (terzo settore).

Ai miei clienti entro qualche giorno arrivera’ l’informativa (nessun consenso) e l’aggiornamento con l’analisi dei rischi ( errato svolgimento delle mansioni, comunicazioni illegali di dati e documenti e furto) .

Vediamo da un punto di vista cosa accade.

Bisogna evidenziare che non vi e’ nessun dato sensibile o particolare ma solo dati c.d. parasensibili (  deliberazione del Garante 17/2007 e 243/14 ) quindi ci saranno delle limitazioni solo ed esclusivamente nella pubblicazione dei dati e non nelle richieste di accesso tradizionale ex articolo 22 L. 241/90 con le limitazione del combinato art 60 D.Lgs 196/03 e 24 L. 241/90 .

Cosa pubblicare allora in AT ?

Seguiamo l’articolo 26 del D.Lgs 33/13 alla lettera e tranquilli, vediamolo

Obblighi di pubblicazione degli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici a persone fisiche ed enti pubblici e privati.
1. Le pubbliche amministrazioni pubblicano gli atti con i quali sono determinati, ai sensi dell’articolo 12 della legge 7 agosto 1990, n. 241, i criteri e le modalita’ cui le amministrazioni stesse devono attenersi per la concessione di sovvenzioni, contributi, sussidi ed ausili finanziari e per l’attribuzione di vantaggi economici di qualunque genere a persone ed enti pubblici e privati.
2. Le pubbliche amministrazioni pubblicano gli atti di concessione delle sovvenzioni, contributi, sussidi ed ausili finanziari alle imprese, e comunque di vantaggi economici di qualunque genere a persone ed enti pubblici e privati ai sensi del citato articolo 12 della legge n. 241 del 1990, di importo superiore a mille euro. Ove i soggetti beneficiari siano controllati di diritto o di fatto dalla stessa persona fisica o giuridica ovvero dagli stessi gruppi di persone fisiche o giuridiche, vengono altresi’ pubblicati i dati consolidati di gruppo.((10))
3. La pubblicazione ai sensi del presente articolo costituisce condizione legale di efficacia dei provvedimenti che dispongano concessioni e attribuzioni di importo complessivo superiore a mille euro nel corso dell’anno solare al medesimo beneficiario. La mancata, incompleta o ritardata pubblicazione rilevata d’ufficio dagli organi di controllo e’ altresi’ rilevabile dal destinatario della prevista concessione o attribuzione e da chiunque altro abbia interesse, anche ai fini del risarcimento del danno da ritardo da parte dell’amministrazione, ai sensi dell’articolo 30 del decreto legislativo 2 luglio 2010, n. 104.
4. E’ esclusa la pubblicazione dei dati identificativi delle persone fisiche destinatarie dei provvedimenti di cui al presente articolo, qualora da tali dati sia possibile ricavare informazioni relative allo stato di salute ovvero alla situazione di disagio economico-sociale degli interessati.

In forza di questa norma quindi pubblicheremo in AT, sottosezione Sovvenzioni, contributi, sussidi, vantaggi economici la massa degli importi senza l’elenco dei beneficiari , comma 2 ( perche’ inferiore a 1000 euro ) e comma 4 ( per il disagio economico-sociale ), nella stessa area anche gli atti che ne regolano modalita’ e criteri ( articolo 12 L. 241/90 ) .

Con questo per il momento e’ tutto , entro qualche giorno vi invio a mezzo PEC l’informativa e la nuova analisi analisi dei rischi, per chi volesse approfondire il concetto di dati para-sensibili riporto un vecchio post ( molto tecnico )

Un regalo . Un aiuto pratico per il questionario della Corte dei Conti per il 30/09/2019.

Ok ok, vi ho rovinato le vacanze, mi faccio perdonare , almeno ci provo anticipandovi il regalo di NATALE.

Prima cosa rileggere questi post

https://www.rtd.cloud/alcune-puntualizzazioni-sugli-adempimenti/
https://www.rtd.cloud/si-parte-verso-lignoto-verso-la-p/
https://www.rtd.cloud/posso-rovinarvi-le-vacanze-luglio-col-bene-che-ti-voglio-vedrai-non-finira-aiaiaiai-luglio-mha-fatto-una-promessa-la-corte-dei-conti-mi-portera-di-vincenzo-de-prisco-e-riccardo-del-turco/

Ora entriamo nel vivo del problema ricognitivo e proviamo a risolverlo insieme, prima cosa occorre avere una utenza SPID o delegare alla compilazione qualcuno che ne sia dotato, allora puntare il browser su https://questionariotd.corteconti.it/

poi accedere con lo SPID

Io utilizzo SIELTE ma sono tutti uguali

Richiesto l’accesso apparirà la schermata che sempre più diverrà amichevole ( diciamo che si dovrebbe smettere di bestemmiare per le tante password da conservare )

Essendo richiesto un livello piû avanzato di sicurezza l’autorizzazione dovrà essere data da un secondo device ( smartphone, token come quello bancario od app dedicata) . In tema di sicurezza qualche anticipazione sulle linee guida Agdi che dovrebbero uscire a Dicembre 2019 …

https://www.rtd.cloud/ll-gg-agid-sicurezza-cibernetica-il-danno-erariale-la-circolare-2-2017-agid/

Una volta autorizzati ( io uso lo smartphone con impronta digitale ) ci troviamo la maschera dell’anagrafica

Una volta compilata ( con il nome del referente che puô essere il supporto all’ufficio del RTD) si entra nel questionario vero e proprio. Per il momento non utilizzerò il web ma farò una simulazione sul foglio di calcolo messo a disposizione dalla CdC, nei prossimi giorni, dopo l’aggiornamento delle FAQ pubblicherò un video con tutto l’ITER .

Per riepilogare le sezioni da compilare sono :

Partiamo dalla sezione A, Gestione del CAMBIAMENTO

A L’Ente si avvale di fornitori esterni per i servizi ICT? 
A Esistono linee guida di governance o criteri interni, che vengono applicati per la scelta dei fornitori?  No
A Qual è il budget annuale di spesa per IT allocato nel bilancio di previsione 2019-2021?  Budget  
Budget 2019: Cifra in euro  
Budget 2020: Cifra in euro  
Budget 2021: Cifra in euro  
A Riportare gli stanziamenti definitivi e gli impegni per IT per gli anni 2016-2018 Stanziamenti Definitivi Impegni
Stanziamenti definitivi/Impegni 2016: Cifra in euro Cifra in euro
Stanziamenti definitivi/Impegni 2017: Cifra in euro Cifra in euro
Stanziamenti definitivi/Impegni 2018: Cifra in euro Cifra in euro

La prima domanda riguarda i fornitori esterni di servizi ICT, la risposta mi sembra davvero scontata.

La seconda domanda riguarda invece le LLGG od i regolamenti per la selezione degli stessi. La risposta dovrebbe essere OVVIA ed affermativa ma penso che la CdC avrà delle delusioni, infatti fino al 1 Aprile 2019 eravamo piuttosto liberi poi con le il cloud marketplace e le LLGG sui fornitori le cosi sono cambiate, ma diciamo le cose come sono , solo per compltetzza vi riporto i due post sul cloud e sulla qualificazione dei fornitori per la cybersicurezza.

https://www.rtd.cloud/servizi-cloud-pa-siti-web-e-software-illegali/
https://www.rtd.cloud/sei-solo-chiacchiere-e-distintivo-la-prima-procedura-ufficiale-per-il-gdpr-da-attuare-con-dpo-e-rtd-2/

Ora qualche domanda di programmazione strategica sul BUDGET 2019, 2020 e 2021 e qualcuna ricognitiva sul triennio 2016 – 2019 sugli stanziamenti definiti e sugli impegni , attenzione , i valori devono essere :

  • interi ed in unità di euro
  • nessuna divisione per le migliaia
  • gli impegni non possono superare gli stanziamento dello stesso anno

Inoltre riporto le definizioni di Stanziamento ed impegno

  • Stanziamenti definitivi: la cifra a bilancio preventivo all’ultimo assestamento. Possono prevedere spese che potrebbero non essere effettivamente sostenute.
  • Impegni: spesa effettiva dal punto di vista giuridico, cioè associata ad un contratto esistente e sottoscritto. La spesa potrebbe anche non essere stata ancora in toto o in parte pagata. Ai fini del Questionario, devono essere comprese tra gli impegni anche le somme prenotate sul fondo pluriennale vincolato.

Ok abbiamo finito con la sezione A, seccante ma non complicato, passiamo alla SEZIONE B INFRASTRUTTURE CONNETTIVITA’

Lo scenario che si presenta è il seguente :

Anche le risposte della sezione B sono semplici, solo qualche accorgimento :

Bisogna rispondere a tutte le domande, non solo a quelle pertinenti ad esempio l’ente avesse la fibra ottica la risposta sarà :

Indicare, fra le seguenti, il numero di utenze attive per tipologia di connessione alla rete Internet utilizzate dall’Amministrazione.   
a) Connessioni fissa di tipo DSL (xDSL, ADSL, SDSL, VDSL, ecc.)  0
b) Via radio (es. WiMAX, Hiperlan, Satellite) 0
c) Fibra Ottica 1
d) Altra connessione a bassa velocità (es. ISDN, modem tradizionale analogico)  0

Ancora ricordo che la velocità di connessione della rilevazione CdC non è quella effettiva ma quella contrattuale e che per il computo dei costi di connettività non occorre impazzire nel calcolo della quota qualora ci fosse un’utenza fonia più dati, in questo caso il costo della connettività equivale al costo totale, mentre le utenze solo fonia non sono computate.

Ora passiamo alla sezione C Infrastrutture fisiche – “Cloud e Data Center” – Mappatura dei servizi e degli applicativi

Il titolo fa paura, ma è una passeggiata, eccolo :

Esiste un censimento delle infrastrutture ICT dell’Amministrazione?
Quando è stato prodotto? [Selezionare]
Esiste un censimento dei servizi e degli applicativi utilizzati? 
Quando è stato prodotto? [Selezionare]
Quanti servizi IT gestisce approssimativamente l’Amministrazione? [Selezionare]
Quanti applicativi sono utilizzati approssimativamente dall’Amministrazione per erogare i servizi IT?  [Selezionare]

Il censimento dei HARDWARE e software è fondamentale, lo potete trovare nella rilevazione della circolare 2/2017 AGID o nel VOSTRO GDPR. Rispondete e proseguite verso verso la sezione D, Infrastrutture fisiche – “Cloud e Data Center” – Percezione del Cloud

L’Amministrazione è a conoscenza e utilizza servizi di Cloud Computing? 
L’Amministrazione è a conoscenza e utilizza il Piano Cloud della PA? 
Quanto si è d’accordo, in merito alle seguenti affermazioni, sui benefici ottenuti o ottenibili dal Cloud? Indicare un valore da 1 a 5, dove 1=”per niente d’accordo” e 5=”pienamente d’accordo” 
Riduzione dei costi ICT 
Maggiore agilità operativa 
Maggiore qualità dei servizi 
Maggior facilità nell’adozione e diffusione dei servizi digitali
Maggior facilità nella nascita di nuovi servizi digitali
Maggiore sicurezza
Maggior facilità nel provisioning di risorse hardware
Maggiore protezione del dato
Maggiore facilità nelle procedure di risoluzione degli incidenti
Minore impegno nell’amministrazione di sistemi
Quanto si è d’accordo, in merito alle seguenti affermazioni, sui preoccupazionirelative alla migrazione al Cloud? Indicare un valore da 1 a 5, dove 1=”per niente d’accordo” e 5=”pienamente d’accordo” 
Alto rischio di Lock-in
Incremento dei costi
Mancanza di competenze
Protezione dei dati sensibili
Lungo percorso di trasformazione delle competenze interne
Difficoltà nella gestione della connettività
Incremento dei costi di approvvigionamento dei servizi a consumo
Processo di migrazione molto complesso

Qui bisogna rispondere in forma libera, è come sempre importante rispondere ad ogni quesito anche se non compete, ad esempio :

Riduzione dei costi ICT  Disaccordo
Maggiore agilità operativa  Disaccordo
Maggiore qualità dei servizi  Indeciso

Solo una precisazione sul concetto di LOCK-IN, anzi due, uno personale ed uno definitorio.
A mio parere il LOCK-IN è il male assoluto nella PA, quello definitorio : rapporto di DIPENDENZA tra fornitore e CLIENTE, in tal guisa ricordo che l’ANAC ha trattato il problema ( non dando risposte, scusatemi la polemica) con le LLGG 8 del 13 settembre 2017 https://www.anticorruzione.it/portal/rest/jcr/repository/collaboration/Digital%20Assets/anacdocs/Attivita/Atti/determinazioni/2017/Linea%20guida8_Determina950.pdf , questo il link, il documento lo troverete in allegato.

In realtà la vera soluzione è inserire nella fase di valutazione dei fornitori di software e soluzioni il principio voluto dall’articolo 68 del CAD …e quindi per la prossima rilevazione ( settembre 2020 compilare la sezione A del questionario in maniera affermativa ).

Ancora è chiaro che la sezione D del questionario è intimamente legata al contesto interno, all’eta del personale dipendente .

Sezione E, Infrastrutture fisiche – “Cloud e Data Center” – Programma di abilitazione al Cloud

L’Amministrazione ha acquisito servizi di Cloud Computing qualificati nell’ambito del Cloud Marketplace di AgID? 
L’Amministrazione ha acquisito altri servizi di Cloud Computing fuori dal Cloud Marketplace di AgID?
L’Amministrazione ha acquisito servizi Cloud dal Contratto Quadro Cloud SPC? 
Quali servizi di Cloud Computing vengono utilizzati dall’Amministrazione?  – Software as a Service (SaaS)
Servizi per la gestione e la protezione dei dati personali
Servizi per la conservazione documentale a norma
Servizi di posta elettronica
Servizi di PEC
Servizi per la comunicazione (Social network, newsletter, etc.)
Servizi di storage condiviso (condivisione di file e cartelle)
Strumenti di firma elettronica, marcatura temporale, identità online, recapito certificato
Strumenti di produttività personale (es. elaborazione testi, fogli di calcolo, presentazioni)
Strumenti per la gestione, valorizzazione e analisi numerica dati, produzione di report con grafici analitici
Strumenti di automazione di compiti ricorrenti
Strumenti di formazione online
Strumenti di Project management (es. coordinamento delle attività e progetti )
Applicazioni per la gestione del protocollo
Applicazioni per la gestione delle video conferenze
Applicazioni per la gestione delle risorse umane
Applicazioni per la gestione della contabilità
Altre applicazioni Cloud
Specificare quali altre applicazioni Cloud sono utilizzate
 
 
Quali servizi di Cloud Computing vengono utilizzati dall’Amministrazione?  – Infrastructure as a Service (IaaS) o Platform as a Service (PaaS)
Servizi di database dell’Ente
Archiviazione di file (storage)
Potenza di calcolo per eseguire le applicazioni dell’Ente (risorse di computer, storage e networking acquisite in modalità IaaS)
Altri servizi Cloud di tipo PaaS o IaaS
Specificare quali altre applicazioni Cloud sono utilizzate
 
 
Che impatto ha avuto l’adozione del Cloud Computing sui seguenti risultati? 
Riduzione dei costi
Semplificazione del supporto tecnico-informatico necessario a mantenere aggiornati i software
Miglioramento dei servizi di sicurezza e privacy
Miglioramento dell’accessibilità e usabilità dei servizi
Miglioramento del livello di interoperabilità dei servizi
L’Amministrazione ha effettuato o pianificato la dismissione dei data center e la migrazione verso il Cloud della PA? 
Indicare la data di completamento o di previsto completamento
Quanto ha impegnato l’Ente, in totale nel 2018, per i servizi di Cloud Computing? 

Anche in questo caso valgono le solite raccomandazioni, verità nelle risposte, cifra in unità di euro senza segni di punteggiatura per la divisione in migliaia . Inoltre parliamo di ricognizioni al 2018 non di prospettici acquisti, in ogni caso già molti enti lavorano con applicativi sul web ed ahhno l’obbligo della conservazione a norma, voglio per rendere piû agevole la compilazione ricordare la differenza tra SaaS, PaaS e Iaas.

Software as a Service/SaaS
Tra i modelli di servizio offerti dalle piattaforme di Cloud computing, il Software as a Service (SaaS) identifica una classe di servizi fully-managed in cui il gestore del servizio (CSP) si occupa della predisposizione,
configurazione, messa in esercizio e manutenzione dello stesso (utilizzando un’infrastruttura cloud propria o di terzi), lasciando al fruitore del servizio (PA) il solo ruolo di utilizzatore delle funzionalità offerte.
Per intenderci è il classico software che acquistiamo ( o meglio utilizziamo) da operatori evoluti per le questioni lavorative, ad esempio La suite di Google Documents, Drive, Office 365 , il CRM aziendale od anche il CMS .

Platform as a Service/PaaS
Una categoria di servizi cloud in cui le funzionalità cloud offerte sono di tipo programmatico ovvero il CSC (PA)
può amministrare, dispiegare ed eseguire applicazioni Cloud utilizzando uno o più linguaggi di programmazione, uno o più ambienti di sviluppo/esecuzione supportati dal CSP e i relativi componenti software a corredo (code di messaggi, database, ecc.) , il classico esempio di CED avanzati che però preferiscono operare solo sulla programmazione e non sull’infrastruttura, un esempio è il servizio acquistato dal fornitore di HOSTING che mette a disposizione capacità di calcolo , runtime e DB.

Infrastructure as a Service/IaaS
Una categoria di servizi cloud in cui le funzionalità cloud offerte sono di tipo infrastrutturale, tali funzionalità
consentono al CSC ( PA ) di disporre autonomamente in modo programmatico di risorse di computing, di storage e
networking. Si utilizza in pratica solo l’infrastruttura complessa.

Provo a disegnare un grafico per essere più chiaro ( userò GSUITE , quindi un Saas, ahahaha !!!)

non dimentichiamo che fino al 1 Aprile 2019 l’utilizzo del CLOUD sul marketplace era un’oppotunita’ ,poi è divenuto obbligo.

Sezione F, Infrastrutture fisiche – “Cloud e Data Center” – Mappatura competenze del Team ICT

Indicare il livello di conoscenza delle seguenti competenze, con un valore da 1 a 5, dove 1=”nessuna conoscenza” e 5=”esperto”. 
Metodologia agile
Automatizzazione processi di rilascio
Virtualizzazione
Scalabilità dei sistemi in Cloud
Conoscenza dei fornitori Cloud
Sicurezza nel Cloud
Instrastruttura codificata
Sistemi operativi
Gestione e analisi dei log di sistema
Piattaforme di cointainerizzazione
Orchestrazione di servizi
Linguaggi di scripting
Migrazione di dati

Tante risposte soggettive, auguri !!!!!!

Sezione G, Infrastrutture immateriali – Piattaforme abilitanti: contiene informazioni relative all’accesso ai servizi tramite SPID, al rilascio di documenti di identità, al subentro in ANPR, all’utilizzo di servizi per le PA.

Più semplice da rispondere che da leggere, ecco l’abstract

L’Amministrazione rilascia Carta d’Identità Elettronica (CIE)?
Qual è il tempo medio di attesa per l’utente dal momento della domanda per avere l’appuntamento per la richiesta della Carta d’Identità Elettronica (CIE) al momento della consegna materiale della Carta d’Identità?
L’Amministrazione rilascia ancora Carte d’identità cartacee?
L’Amministrazione è subentrata in Anagrafe Nazionale Popolazione Residente (ANPR), art. 62, D.Lgs. n. 82/2005 (CAD)? 
Indicare la data di subentro
Indicare la fase attuale
Indicare la possibile data di subentro
L’Amministrazione consente il pagamento dei propri servizi e tributi attraverso la piattaforma di pagamenti della Pubblica Amministrazione pagoPA (art. 5 D.Lgs. n. 82/2005)? 
Indicare la data di integrazione del primo servizio
Indicare quali dei seguenti servizi sono stati integrati in pagoPA
Multe
TARI
Tasse Scolastiche
SUAP
Altro
Indicare la fase attuale
In fase di test
In fase di collaudo o pre-produzione
Nessuna delle precedenti
Indicare la possibile data di integrazione del primo servizio. 
L’Amministrazione usa NoiPA?

Sezione H, Infrastrutture immateriali – Open data, basi dati di interesse nazionale: contiene informazioni relative all’utilizzo di basi di dati di interesse nazionale e al rilascio di open data

È stata definita una chiara “Data governance” interna, con l’individuazione di ruoli e relative responsabilità, integrando le sue fasi sia verticalmente (rispetto ai processi interni già consolidati) che orizzontalmente (rispetto alle necessità delle diverse Amministrazioni? 
Nel definire la “Data governance” e delineare gruppi interni, l’Ente ha seguito le linee guida nazionali per la valorizzazione del patrimonio informativo pubblico? 
Indicare se, al suo interno, l’Amministrazione ha un gruppo di analisti e data scientist (Open Data Team), che si occupa di analizzare i dati prodotti dalla PA al fine di offrire all’Amministrazione e ai cittadini servizi “intelligenti”. 
L’Amministrazione rende disponibili Open Data, ovvero dati in formato aperto con licenza che ne consente il massimo riutilizzo, anche per finalità commerciali? 
Gli Open Data pubblicati riguardano solamente quelli previsti dal D.Lgs n. 33/2013 in tema di trasparenza?
Specificare quali altri tipi di dati vengono pubblicati. 
 
L’Amministrazione correda i dataset con i relativi metadati, consentendo maggiore comprensione e riuso dei dati stessi? 
Indicare se i dati vengono esposti in conformità al profilo di metadatazione DCAT-AP_IT, necessario per descrivere i dati secondo le specifiche definite dal programma ISA della Commissione Europea.
Indicare come vengono resi disponibili gli Open Data
a) Portale/sito web dell’Amministrazione rispondente
b) Portale/sito web della Regione/Provincia Autonoma
c) I metadati dei dataset pubblicati sono reperibili su dati.gov.it
Nei dataset pubblicati, è indicato il metadato contenente l’informazione sulla licenza di utilizzo (che consente di capire in che modo si può riutilizzare il dataset)? 
Gli utenti possono ottenere i dati in modalità bulk (in maniera massiva)?
È possibile interrogare i dataset pubblicati tramite API (Application Programming Interface)? 
Nel caso vengano pubblicati Linked Open Data, è possibile interrogarli tramite un Open Data SPARQL endpoint?
Indicare i formati con cui vengono resi disponibili gli Open Data (formato dei dati e dei documenti)
PDF
ODF (Open Document Format)
Akoma Ntoso
XML
CSV
JSON
JSON-LD
GeoJSON
Shapefile
KML
GML
GeoPackage
RDF-Notation3 (N3)
RDF-Turtle
RDF-N-Triples
RDF/XML
Altro (specificare)
Indicare i tipi di licenza con cui vengono resi disponibili gli Open Data
CC0
ODC PDDL
CC BY
ODC BY
IODL 2.0
CC BY SA
IODL 1.0
OdBL
Altro:
Indicare, tra i seguenti, a quali ambiti sono riferiti gli Open Data pubblicati: 
a) Cultura
b) Turismo, sport e tempo libero
c) Istruzione, formazione e diritto allo studio
d) Sanità
e) Agricoltura, pesca, politiche forestali e alimentari
f) Economia, finanze e tributi
g) Bilanci e rendiconti
h) Ambiente e meteo
i) Lavoro e politiche sociali
j) Mobilità e trasporti
k) Energia
l) Giustizia e sicurezza
m) Government e settore pubblico
n) Tematiche internazionali
o) Scienza e Tecnologia
Nel corso del 2018 l’Amministrazione ha utilizzato, per finalità istituzionali, le informazioni provenienti dalle seguenti basi di dati di interesse nazionale 
a) Repertorio nazionale dei dati territoriali – Titolare AgID
b) Anagrafe nazionale della popolazione residente (ANPR) – Titolare Ministero dell’Interno
c) Casellario Giudiziale – Titolare Ministero della Giustizia
d) Registro delle imprese – Titolare Unioncamere
e) Archivi automatizzati in materia di immigrazione e di asilo – Titolare Ministero degli Interni
f) Anagrafe delle azioni agricole – Titolari Regioni e Ministero delle Politiche Agricole, Alimentari e forestali
g) Pubblico registro automobilistico (PRA) – Titolare ACI 
h) Sistema informativo nazionale federato delle infrastrutture (SINFI) – Titolare Ministero dello Sviluppo Economico 
i) Archivio nazionale dei numeri civici delle strade urbane (ANNCSU) – Titolare ISTAT e Agenzia delle Entrate
j) Base dati catastale – Titolare: Agenzie delle Entrate 
Indicare se l’amministrazione alimenta nei termini stabiliti, dalle norme previste, in materia le seguenti banche dati: 
SICO (D.Lgs. n. 165/2001)
Partecipazioni PA (D.Lgs. n. 175/2016)
BDAP (L. n. 196/2009)
Con riferimento allagestione del bilancio/rendiconto e all’invio dei dati alla BDAP-Bilanci Armonizzati: 
Il sistema informatico dell’Ente consente di registrare gli accadimenti contabili sotto l’aspetto finanziario e sotto l’aspetto economico-patrimoniale?
Il sistema informatico per la redazione del bilancio/rendiconto è fornito da soggetti esterni all’Amministrazione?
Il sistema informatico consente di verificare la coerenza tra i dati contabili analitici e i dati riportati negli schemi di bilancio?
L’Ente detiene un sistema informatico per la redazione del bilancio/rendiconto che permette l’export in linguaggio XBRL?
E’ stata pianificata dall’Ente la possibilità di aggiornare il proprio sistema informatico di redazione del bilancio/rendiconto per permettere l’export in linguaggio XBRL?
Il software per la trasformazione dei dati di bilancio/rendiconto in formato XBRL è fornito da società esterna?
 
Indicare denominazione e codice fiscale delle società esterna che fornisce il sistema informatico per la redazione del bilancio/rendiconto. 
Indicare denominazione e codice fiscale delle società esterna che fornisce il software per la trasformazione dei dati di bilancio/rendiconto in formato XBRL. 
Indicare il numero di richieste di accesso pubblico (FOIA) ricevute nell’ultimo anno (2018)

Questa sezione che sembrerebbe la piû complessa in realtà potrebbe avere una serie di risposte affermative più alte di quello che ci aspettiamo , qualche esempio ?

dati.anticorruzione.it
dbap.tesoro.it
esportazioni csv degli incarichi perlapa.gov.it ( artt 15 e 18 D.lgs 33/13)
sico
istat
ETC ETC

in ogni caso una chiamata alla software house e tutto si risolve.

Sezione I, Riuso del Software: contiene informazioni relative all’utilizzo e allo sviluppo di programmi informatici

Ricordate le mie imprecazioni per la qualificazione del fornitore per il lock-in e per l’articolo 69 del CAD (RIUSO) ?, ecco questa è la scheda di competenza.

Quanti programmi informatici ha in uso l’Ente, alla data di compilazione del presente questionario, per ciascuna delle seguenti categorie individuate dall’art. 68 del CAD?
a) Software sviluppato per conto della Pubblica Amministrazione
b) Riutilizzo di software o parti di esso sviluppati per conto della Pubblica Amministrazione
c) Software libero o a codice sorgente aperto
d) Software fruibile in modalità Cloud Computing
e) Software di tipo proprietario mediante ricorso a licenza d’uso
f) Software combinazione delle precedenti soluzioni
Quanti programmi informatici ha sviluppato l’Ente, nel corso del 2018 e fino alla data di compilazione del presente questionario, per ciascuna delle seguenti categorie?
a) Software sviluppato con risorse interne all’Amministrazione
b) Software commissionato a società in-house
c) Software commissionato a fornitori privati
Quanti dei suddetti programmi informatici l’Ente ha rilasciato in repertorio pubblico sotto licenza aperta conformemente all’art. 69 del CAD? 

Anche per questa scheda la compilazione è semplice ed intuitiva , riporto solo gli artt. 68 e 69 del CAD

Art. 68. Analisi comparativa delle soluzioni

1. Le pubbliche amministrazioni acquisiscono programmi informatici o parti di essi nel rispetto dei principi di economicita’ e di efficienza, tutela degli investimenti, riuso e neutralita’ tecnologica, a seguito di una valutazione comparativa di tipo tecnico ed economico tra le seguenti soluzioni disponibili sul mercato:
a) software sviluppato per conto della pubblica amministrazione;
b) riutilizzo di software o parti di esso sviluppati per conto della pubblica amministrazione;
c) software libero o a codice sorgente aperto;
d) software fruibile in modalita’ cloud computing;
e) software di tipo proprietario mediante ricorso a licenza d’uso;
f) software combinazione delle precedenti soluzioni.
1-bis. A tal fine, le pubbliche amministrazioni prima di procedere all’acquisto, secondo le procedure di cui al codice di cui al decreto legislativo ((n. 50 del 2016)), effettuano una valutazione comparativa delle diverse soluzioni disponibili sulla base dei seguenti criteri: a) costo complessivo del programma o soluzione quale costo di acquisto, di implementazione, di mantenimento e supporto; b) livello di utilizzo di formati di dati e di interfacce di tipo aperto nonche’ di standard in grado di assicurare l’interoperabilita’ e la cooperazione applicativa tra i diversi sistemi informatici della pubblica amministrazione; c) garanzie del fornitore in materia di livelli di sicurezza, conformita’ alla normativa in materia di protezione dei dati personali, livelli di servizio tenuto conto della tipologia di software acquisito.
1-ter. Ove dalla valutazione comparativa di tipo tecnico ed economico, secondo i criteri di cui al comma 1-bis, risulti motivatamente l’impossibilita’ di accedere a soluzioni gia’ disponibili all’interno della pubblica amministrazione, o a software liberi o a codici sorgente aperto, adeguati alle esigenze da soddisfare, e’ consentita l’acquisizione di programmi informatici di tipo proprietario mediante ricorso a licenza d’uso. La valutazione di cui al presente comma e’ effettuata secondo le modalita’ e i criteri definiti dall’AgID.

Art. 69. (Riuso delle soluzioni e standard aperti).
1. Le pubbliche amministrazioni che siano titolari di soluzioni e programmi informatici realizzati su specifiche indicazioni del committente pubblico, hanno l’obbligo di rendere disponibile il relativo codice sorgente, completo della documentazione e rilasciato in repertorio pubblico sotto licenza aperta, in uso gratuito ad altre pubbliche amministrazioni o ai soggetti giuridici che intendano adattarli alle proprie esigenze, salvo motivate ragioni di ordine e sicurezza pubblica, difesa nazionale e consultazioni elettorali.
2. Al fine di favorire il riuso dei programmi informatici di proprieta’ delle pubbliche amministrazioni, ai sensi del comma 1, nei capitolati o nelle specifiche di progetto e’ previsto, ((salvo che cio’ risulti eccessivamente oneroso per comprovate ragioni di carattere tecnico-economico, che l’amministrazione committente sia sempre titolare di tutti i diritti sui programmi e i servizi delle tecnologie dell’informazione e della comunicazione, appositamente sviluppati per essa)).
((2-bis. Al medesimo fine di cui al comma 2, il codice sorgente, la documentazione e la relativa descrizione tecnico funzionale di tutte le soluzioni informatiche di cui al comma 1 sono pubblicati attraverso una o piu’ piattaforme individuate dall’AgID con proprie Linee guida.))

Inoltre vi allego le recentissime LLGG AGID SUL RIUSO .

Sezione J, Offerta di servizi online: contiene informazioni relative ai servizi online resi disponibili dall’Ente

Quali tra i seguenti servizi sono erogati online dall’Amministrazione, alla data di compilazione del questionario? 
1.  Certificati anagrafici
2.  Carta d’identità
3.  Cambio di indirizzo o residenza 
4.  Richiesta della tessera elettorale
5.  Contrassegno di invalidità
6.  Assegno nucleo familiare
7.  Permessi per costruire (SCIA/VIA)
8.  Visure catastali
9.  Iscrizione asilo nido
10.  Servizi di mensa scolastica
11.  Contributo trasporto scolastico
12.  Offerte di lavoro
13.  Contravvenzioni
14.  Richiesta esenzione ticket
15.  Richiesta o scelta medico di base
16.  Permesso di transito per ZTL
17.  Rimozione veicoli
18.  Contravvenzioni
19.  Tassa per lo smaltimento dei rifiuti solidi urbani (TARI)
20.  Tassa occupazione spazi ed aree pubbliche (TOSAP) 
21.  Imposta comunale sugli immobili (ICI/IMU)
22.  Sportello Unico per le Attività Produttive (SUAP)
23.  Iscrizione a corsi di formazione professionale offerti dall’Ente
24.  Tassa automobilistica
L’Amministrazione eroga altri servizi online oltre a quelli elencati alla domanda precedente? 
Specificare quali altri servizi sono erogati anche online
Nome Servizio 1
Nome Servizio 2
Nome Servizio 3
Nome Servizio 4
Nome Servizio 5
Per ognuno dei servizi erogati, indicare quale % di pratiche viene gestita online
1.  Certificati anagrafici
2.  Carta d’identità
3.  Cambio di indirizzo o residenza 
4.  Richiesta della tessera elettorale
5.  Contrassegno di invalidità
6.  Assegno nucleo familiare
7.  Permessi per costruire (SCIA/VIA)
8.  Visure catastali
9.  Iscrizione asilo nido
10.  Servizi di mensa scolastica
11.  Contributo trasporto scolastico
12.  Offerte di lavoro
13.  Contravvenzioni
14.  Richiesta esenzione ticket
15.  Richiesta o scelta medico di base
16.  Permesso di transito per ZTL
17.  Rimozione veicoli
18.  Contravvenzioni
19.  Tassa per lo smaltimento dei rifiuti solidi urbani (TARI)
20.  Tassa occupazione spazi ed aree pubbliche (TOSAP) 
21.  Imposta comunale sugli immobili (ICI/IMU)
22.  Sportello Unico per le Attività Produttive (SUAP)
23.  Iscrizione a corsi di formazione professionale offerti dall’Ente
24.  Tassa automobilistica
Nome Servizio 1
Nome Servizio 2
Nome Servizio 3
Nome Servizio 4
Nome Servizio 5
L’Amministrazione,  alla data di compilazione del questionario, rende disponibili ai cittadini sistemi di prenotazione online di appuntamenti con referenti dei propri uffici? 
Per quali servizi? 
Per quali dei seguenti settori di interesse ci sono servizi fruibili tramite app?
Cultura, turismo e/o sport (eventi, teatro, guide, musei biblioteche, strutture e impianti)
Rifiuti (raccolta differenziata, porta a porta, ritiro rifiuti ingombranti, ecc.)
Mobilità (uso biciclette, veicoli rimossi, parcheggi, treno, tram, metro)
Istituzionale (anagrafe, calendari eventi, uffici, ecc.)
Sicurezza (sistema allerta in caso di emergenza meteo, protezione civile, catastrofi naturali, polizia)
Aree free wi-fi
Altro
Quali strumenti possono essere utilizzati dall’utenza per accedere ai servizi online dell’Amministrazione? 
a)      Rilascio di credenziali user ID e password 
b)     Carta Nazionale dei Servizi (CNS)
c)      Cartà d’Identità Elettronica (CIE)
d)     Identità digitale (SPID)
e)      Altro 
Specificare quali altri strumenti di accesso per l’utenza sono disponibili.
Quali strumenti possono essere utilizzati dall’utenza per pagare i servizi dell’Amministrazione?
a)      pagoPA
b)     Carta di pagamento
c)      Bonifico di conto corrente
d)     Bollettino Postale
e)     Contante
f)      Altro
Specificare quali altri strumenti di pagamento sono disponibili. 
L’Amministrazione utilizza applicazioni software CRM (Customer/Citizen Relationship Management) per gestire le informazioni sui propri utenti (cittadini/imprese/altro) raccolte attraverso vari canali (web, app, sportello telefono, ecc.)?

Beh!!! se non lo sapete voi….qualche precisazione, bella questa volta…

Poniamoci una domanda ? cosa si intende per servizi erogati on line ? Avete pensato alla risposta ? noooooo è sbagliata.
Ai fini delle rilevazione della CdC ( non solo ) per servizi on line si intendono quelli che oltre ad essere realmente on line ( ahahahaha !!!!) prevedono anche solo il download di un modello, l’upload , l’avvio di un processo e le istanze articolo 65 del CAD , riporto l’articolo delle istanze dei cittadini

Art. 65 Istanze e dichiarazioni presentate alle pubbliche amministrazioni per via telematica

1. Le istanze e le dichiarazioni presentate per via telematica alle pubbliche amministrazioni e ai gestori dei servizi pubblici ai sensi dell’articolo 38, commi 1 e 3, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, sono valide: a) se sottoscritte mediante ((una delle forme di cui all’articolo 20)); b) ovvero, quando l’istante o il dichiarante e’ identificato attraverso il sistema pubblico di identita’ digitale (SPID), nonche’ attraverso uno degli altri strumenti di cui all’articolo 64, comma 2-novies, nei limiti ivi previsti;; c) ovvero sono sottoscritte e presentate unitamente alla copia del documento d’identita’;; c-bis) ovvero se trasmesse dall’istante o dal dichiarante ((dal proprio domicilio digitale)) purche’ le relative credenziali di accesso siano state rilasciate previa identificazione del titolare, anche per via telematica secondo modalita’ definite con ((Linee guida)), e cio’ sia attestato dal gestore del sistema nel messaggio o in un suo allegato. In tal caso, la trasmissione costituisce ((elezione di domicilio speciale ai sensi dell’articolo 47 del Codice civile)). Sono fatte salve le disposizioni normative che prevedono l’uso di specifici sistemi di trasmissione telematica nel settore tributario;

1-bis. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179.

1-ter. Il mancato avvio del procedimento da parte del titolare dell’ufficio competente a seguito di istanza o dichiarazione inviate ai sensi e con le modalita’ di cui al comma 1 comporta responsabilita’ dirigenziale e responsabilita’ disciplinare dello stesso.

2. Le istanze e le dichiarazioni di cui al comma 1 sono equivalenti alle istanze e alle dichiarazioni sottoscritte con firma autografa apposta in presenza del dipendente addetto al procedimento ; 3. COMMA ABROGATO DAL D.LGS. 30 DICEMBRE 2010, N. 235. 4. Il comma 2 dell’articolo 38 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, e’ sostituito dal seguente: “2. Le istanze e le dichiarazioni inviate per via telematica sono valide se effettuate secondo quanto previsto dall’articolo 65 del decreto legislativo 7 marzo 2005, n. 82”.

per maggiore chiarezza ripropongo un vecchio post

https://www.rtd.cloud/le-istanze-nel-cad-riproposto/

Sezione K, Mobile Government: contiene informazioni relative ai punti di accesso wifi, alle applicazioni per smartphone e tablet, ai servizi di monitoraggio

Alla data di compilazione del presente questionario, l’Amministrazione fornisce “punti di accesso” wi-fi gratuiti sul proprio territorio? 
Indicare il numero di “punti di accesso” wi-fi gratuiti forniti dall’Amministrazione sul proprio territorio, suddivisi tra punti di accesso collocati all’interno di edifici o in spazi all’aperto. 
a) punti di accesso gratuiti collocati all’interno di edifici 
b) punti di accesso gratuiti in spazi all’aperto
I servizi offerti online dall’Amministrazione sono fruibili anche con interfacce ottimizzate per i dispositivi mobili come smartphone o tablet? 
L’amministrazione usa strumenti di monitoraggio per conteggiare gli accessi ai siti ed analizzare le modalità di utilizzo più frequenti?
L’Amministrazione rende disponibili gratuitamente per l’utenza applicazioni ufficiali (app) per dispositivi mobili quali tablet e/o smartphone, per offrire i propri servizi online?
Quante applicazioni (app) per dispositivi mobili l’Amministrazione rende disponibili gratuitamente per l’utenza, alla data di compilazione del presente questionario? 

molto semplice, sorvoliamo

sezione L, Formazione dei dipendenti: contiene informazioni relative alla formazione acquisita dai dipendenti in merito all’ICT, ai processi di eGovernment e allo svolgimento delle funzioni ad essi collegate

Nel periodo 2017 – 2019, i dipendenti hanno partecipato ad attività formative in materia di Innovazione, Trasformazione digitale, ICT (Tecnologie dell’Informazione e della Comunicazione)?
Quanti hanno partecipato ad attività formative in materia di ICT (Tecnologie dell’Informazione e della Comunicazione)? 
Di seguito si elencano alcune tematiche che vengono affrontate nei corsi di formazione in materia Innovazione, Trasformazione digitale, ICT (Tecnologie dell’Informazione e della Comunicazione). Indicare quali tematiche sono state affrontate nei corsi di formazione frequentati dal personale in servizio  presso l’Amministrazione.
Strumenti di produttività personale (es. elaborazione testi, fogli di calcolo, presentazioni)
Sistemi operativi desktop e strumenti di base
Sicurezza informatica e networking di base
Protezione dei dati riservati e strumenti crittografici
Servizi Internet di base (web, email, file transfer, cloud drive, pubblicazione web, social network)
Gestione, valorizzazione e analisi numerica dati, produzione di report con grafici analitici
Project Management
Automazione di compiti ricorrenti, sviluppo procedure software
Aspetti giuridici nella pubblicazione e manipolazione di software, codice sorgente e dati (licenze, copyright, open source, Open Data)
Design e co-progettazione di servizi, usabilità, accessibilità
Integrazione di servizi informatici e interoperabilità
Strumenti di formazione online
Conservazione documentale a norma
Strumenti di firma elettronica, marcatura temporale, identità online, recapito certificato
Altro
A partire dal 2016, il personale in servizio presso l’Amministrazione, alla data di compilazione del presente questionario, ha partecipato ad attività formative nelle seguenti aree relative a processi di eGovernment e trasformazione digitale (formazione eGOV)? Includere anche la formazione non tecnologica, come quella di carattere giuridico o di altro tipo.
Digitalizzazione dei flussi e dei processi interni
Servizi web, multimedia, social media
Cloud computing
Pagamenti telematici
Dati aperti (Open Data)
Fatturazione elettronica
Identità digitale
eProcurement (acquisti elettronici)
Privacy, GDPR
Di seguito si elencano alcune funzioni relative all’ICT (Tecnologie dell’Informazione e Comunicazione). Per quelle svolte dall’Amministrazione, indicare se sono gestite con personale interno, in cooperazione con altre Amministrazioni, attraverso soggetti pubblici e privati o società partecipate controllate oppure con fornitori privati esterni. 
Studi, analisi e progettazione
Sviluppo software
Gestione e manutenzione hardware
Gestione e manutenzione software (software di base e software ad hoc)
Gestione e amministrazione di sistemi e/o di reti
Gestione Basi di dati (non con fogli elettronici)
Sicurezza ICT
Gestione e/o sviluppo tecnologie web/internet
Redazione e gestione contenuti web
Supporto tecnologico ed assistenza ad utenti interni
Formazione ICT 

Semplicemente si risponde ad un obbligo di legge, l’articolo 13 del CAD

Art. 13. Formazione informatica dei dipendenti pubblici

1. Le pubbliche amministrazioni ((, nell’ambito delle risorse finanziarie disponibili, attuano politiche di reclutamento e)) formazione del personale finalizzate alla conoscenza e all’uso delle tecnologie dell’informazione e della comunicazione, nonche’ dei temi relativi all’accessibilita’ e alle tecnologie assistive, ai sensi dell’articolo 8 della legge 9 gennaio 2004, n. 4.

1-bis. Le politiche di formazione di cui al comma 1 sono altresi’ volte allo sviluppo delle competenze tecnologiche, di informatica giuridica e manageriali dei dirigenti, per la transizione alla modalita’ operativa digitale.

ed anche il 29 del GDPR…più una decina di altre norme,

per i miei clienti certamente potete rispondere a :

Digitalizzazione dei flussi e dei processi interni

Sicurezza ICT

GDPR

eProcurement (acquisti elettronici)

ed ora l’ultima sezione, M,

Nell’ambito della struttura organizzativa dell’Amministrazione sono istituiti uno o più  servizi di assistenza (help desk – service desk) hardware e software? 
Il servizio di assistenza è composto da personale interno all’Amministrazione o affidato a società esterne? 
A quanto ammonta nel 2018 la spesa (impegni) per il servizio di assistenza affidato a fornitori esterni? 
Quante sono state le richieste di assistenza inoltrate nel 2018? 
Qual è il tempo medio di evasione della richiesta? 
Esiste una rilevazione del grado di soddisfazione del servizio di assistenza? 
Qual è il grado di soddisfazione dell’assistenza ricevuta?Indicare un valore da 1 a 5, dove 1=”pessimo” e 5=”ottimo” 

Fino a questo punto vi ho detto di rispondere con onestà…a buon intenditore….

 

Abbiamo finito questa lettura dell’adempimento, molto semplice e già in questa simulazione è chiara una cosa, l’importanza del RTD e del supporto al RTD ed attuare le LLGG sulla qualificazione dei fornitori.

Entro qualche giorno pubblicherò il video sul canale youtube di Consulenti Associati srls ( che ancora non esiste….) e soprattutto un programma di eventi formativi sulle novità del GDPR e del CAD che ci investiranno entro dicembre 2019, chi vorrà ospitare questi incontri si faccia avanti.

 

il vostro C@ronte Vincenzo De Prisco.

 

Posso rovinarvi le vacanze ? Luglio, col bene che ti voglio vedrai non finirà aiaiaiai Luglio m’ha fatto una promessa la Corte dei Conti mi porterà . Di Vincenzo De Prisco e Riccardo Del Turco.

Come già anticipato nel post che ripropongo

abbiamo una nuova rilevazione che si chiude il 30 Settembre, giusto il tempo di rovinarci le vacanze estive.

In verità è esemplare l’arguzia nello scegliere il mittente della missiva, non l’AGID, la Corte dei CONTI.

Come già scritto nel post riportato l’accesso alla ricognizione avviene attraverso il link https://questionariotd.corteconti.it/

Le PA interessate al questionario sono :

  • Regioni
  • Province autonome
  • Città metropolitane
  • Comuni
  • Province

Ribadisco che la ricognizione è finalizzata a misurare lo stato di attuazione dell’agenda digitale per il PTIPA per il periodo 2017-2019, quindi ha anche la funzione di spingere alla chiusura degli impegni del PIANO.

Sempre per rompere le uova nel paniere faccio notare che l’articolo 12 c 1 – ter del CAD introduce la responsabilità del dirigente per i dettami del CAD, lo riporto

I dirigenti rispondono dell’osservanza ed attuazione delle disposizioni di cui al
presente Codice ai sensi e nei limiti degli articoli 21 e 55 del decreto legislativo 30
marzo 2001, n. 165, ferme restando le eventuali responsabilità penali, civili e
contabili previste dalle norme vigenti. L’attuazione delle disposizioni del presente
Codice e’ comunque rilevante ai fini della misurazione e valutazione della
performance organizzativa ed individuale dei dirigenti.

La compilazione può essere effettuata solo telematicamente ( e ci mancherebbe ) attraverso l’accesso con lo SPID, e può anche essere demandata ad un terzo esterno individuato con atto dirigenziale.

Inutile dirlo ma c’ê forte attenzione sulle spese di server , indi il monitoraggio del cloud , riporto un post.

Altro FOCUS importante riguarda ile infrastrutture immateriali e le piattaforme abilitanti, nello specifico :

  • adesione a SPID
  • emissione CIE
  • subentro in ANPR
  • implementazione di pagoPA per tutti i servizi
  • adesione a noiPA

La compilazione non è molto complessa e le FAQ crescono di giorno in giorno, riporto quelle alla data del 23 Luglio 2019 che ritengo più interessanti.

Cosa si intende per “spesa per IT”?

La spesa per IT comprende tutti i costi relativi a:

  • assistenza informatica ordinaria e straordinaria,
  • acquisto di infrastrutture informatiche (compresi scavi, cavi, etc.),
  • gestione degli applicativi (comprensivi di canoni),
  • gestione della connettività,
  • traffico telefonico, nel caso in cui il contratto copra sia traffico voce che dati (quindi NON se copre SOLO traffico voce).
Il mio Ente fa parte di un’Unione di Comuni. Come mi comporto?

È prevista la partecipazione al Questionario dei soli Comuni e non delle Unioni di Comuni. 
Il Questionario potrà essere compilato dal Responsabile per la Transizione al Digitale (RTD) dell’Unione o da un Referente per il Questionario (a livello di Unione o di singolo Comune).
Non sono necessarie procedure specifiche di nomina; la nomina è interna all’Ente.
Si dovrà compilare un Questionario per ogni singolo Comune facente parte dell’Unione, secondo le istruzioni appresso riportate.

  1. Per i quesiti del questionario per i quali il singolo Comune non è a conoscenza dell’importo da indicare, per quanto di propria competenza, la spesa potrà essere quantificata in proporzione alla contribuzione erogata dal Comune all’Unione.
    Spesa per il servizio del Comune considerato (X): Spesa totale sostenuta dall’Unione dei Comuni per il servizio (1.500) = Importo dei trasferimenti erogati dal Comune considerato (3.000): Importo totale dei trasferimenti erogati da tutti i Comuni (10.000)

    X=1.500*3.000/10.000=450

  2. Per i quesiti del questionario nei quali si chiede il numero dei dipendenti addetti si dovrà riportare il personale con riferimento all’ente locale di provenienza, indicando “0” (zero) per gli enti che nell’Unione non hanno personale assegnato a questi servizi.

  3. Laddove non sia possibile ricorrere al criterio sub 2), si dovrà applicare il criterio sotto indicato.
    Numero di persone/giorni da attribuire al Comune considerato (X): Numero di persone componenti la struttura per il servizio considerato dell’Unione dei comuni (15) = Importo dei trasferimenti erogati dal Comune considerato (3.000): Importo totale dei trasferimenti erogati da tutti i Comuni (10.000)

    X=15*3.000/10.000=4,5

  4. In linea generale nelle risposte alle domande del questionario che richiedono l’inserimento di numero di dipendenti, ore di formazione o altri dati, che sono gestiti a livello di Unione, si deve applicare la regola della ripartizione sulla base del Comune di provenienza.
    Ad esempio: assegnare gli informatici al Comune di provenienza, successivamente ripartire tra questi le ore di formazione e indicare zero per gli altri Comuni.
    Per quanto riguarda i costi, ove richiesti, si deve applicare la regola della ripartizione sulla base della quota di partecipazione del Comune.

Tutti i valori decimali dovranno essere arrotondati all’unità (per eccesso o per difetto, è ammesso lo “0”) facendo attenzione che la somma dei singoli valori indicati per ciascun Comune non superi il valore complessivo dell’Unione dei Comuni.

Cosa si intende per “stanziamenti definitivi” e “impegni”?

Stanziamenti definitivi: la cifra a bilancio preventivo all’ultimo assestamento. Possono prevedere spese che potrebbero non essere effettivamente sostenute.
Impegni: spesa effettiva dal punto di vista giuridico, cioè associata ad un contratto esistente e sottoscritto. La spesa potrebbe anche non essere stata ancora in toto o in parte pagata. Ai fini del Questionario, devono essere comprese tra gli impegni anche le somme prenotate sul fondo pluriennale vincolato.

Vi allego lo schema del questionario in excel.

resto ovviamente a disposizione per la compilazione del questionario.

C@ronte Vincenzo De Prisco

Sei solo chiacchiere e distintivo. La prima procedura ufficiale per il GDPR da attuare con DPO e RTD.

Questo articolo è dedicato a Daniela Salzano.
Sei andata via troppo presto. Resti un esempio.

Iniziano ad uscire le LLGG sulla sicurezza, seguiamole e non facciamo spese inutili, investiamo in modelli di gestione e non in hardware inadeguato (solitamente sovradimensionato e non presidiato)

Preferisco non ripetermi, ribadendo che in Europa non si soggiace ad una legge sulla PRIVACY, ma ad una norma che spinge a dotarsi di un modello organizzativo, il GDPR, e che tuttavia utilizzare, o meglio provare a dotarsi di un modello conforme al GDPR senza essersi conformati al regolamento 2014/910 ( eidas ) è del tutto inutile

IIl 13 Giugno 2019 è stato l’ultimo giorno di consultazione delle LLGG sulle sicurezza nel procurement ICT, nell’attesa della definitiva pubblicazione possiamo iniziare a commentare velocemente i contenuti per quanto attiene al documento “strategico” per gli acquisti ICT .

Chiariamo subito una cosa, destinatari delle LLGG sono TUTTE le PPAA, i soggetti coinvolti sono :

RUP

DPO

Amministratori

RTD.

Il capitolo 2 rappresenta il caposaldo dell’enunciato provvedimento, esso si divide in tre fasi procedimentali

  1. azioni da svolgere prima dell’acquisto
  2. azioni da svolgere durante le procedure d’acquisto
  3. azioni da svolgere dopo la stipula

Le azioni da svolgere prima dell’acquisto sono definite AZIONI GENERALI e sono numerate da 1 a 7:

AG1-PROMOZIONE DI COMPETENZA E CONSAPEVOLEZZA
AG2-RACCOGLIERE BUONE PRASSI ED ESPERIENZA
AG3-STABILIRE RUOLI E RESPONSABILITA’
AG4-EFFETTUARE UNA RICOGNIZIONE DI BENI INFORMATICI E SERVIZI
AG5-CLASSIFICAZIONE DI BENI E SERVIZI SOTTO IL PROFILO DELLA SICUREZZA
AG6-DEFINIRE AUDIT E VALUTAZIONE DEL FORNITORE IN MATERIA DI SICUREZZA
AG7-DEFINIRE METODOLOGIA DI AUDIT INTERNO IN MATERIA DI SICUREZZA

Vediamole velocemente.

AG1-PROMOZIONE DI COMPETENZA E CONSAPEVOLEZZA

Ogni pubblica amministrazione deve essere orientata alla gestione del rischio e dotata di persone capaci al gestione del processo di acquisizione dei beni e servizi .

Qualora fosse conclamata, nei fatti, questa carenza, come spesso accaduto in precedenza bisogna prenderne atto ( e non mentire come fatto per le LLGG Agid 2/2017), quindi delegare a figure esterne questi aspetti; una delle figure potrebbe essere il DPO, il supporto RTD o consulenti selezionati proprio per questo scopo.
Nel piano di formazione del GDPR deve essere inserito un percorso di sensibilizzazione alla gestione del rischio.

AG2-RACCOGLIERE BUONE PRASSI ED ESPERIENZA

Semplicemente occorre creare una o più procedure finalizzate alla raccolta di esperienze interne ed esterne da condividere, la c.d. raccolta delle buone prassi.

Riporto un articolo per qualche spunto ed anche l’URL del CERT-PA

IL PTIPA ha spostato la pubblicazione delle LLGG MMS a Dicembre 2019.

https://www.cert-pa.it/

AG3-STABILIRE RUOLI E RESPONSABILITA’

Praticamente l’essenza della compliance e dell’accountability .

Lo strumento di lavoro sarà la matrice RACI-VS, la matrice prende il nome dalle iniziali dei RUOLI che appaiono, nel dettaglio
Responsabile-colui che produce l’effetto
Accontable-colui che approva
Consult-colui che viene consultato per generare il risultato voluto
Inform-colui che viene informato sul risultato

Verifier-colui che verifica tutto quanto sopra
Signatory-Funzione di approvazione del Verifier

AG4-EFFETTUARE UNA RICOGNIZIONE DI BENI INFORMATICI E SERVIZI

Semplicemente si tratta di inventariare gli asset, anche già presenti perchè come più volte detto la prima cosa da fare per proteggere è avere cognizione di cosa PROTEGGERE. Sembra banale? controllate i lavori in giro in ambito GDPR e poi ci confrontiamo.
Inoltre, il principio di CONOSCENZA di cosa possediamo (anche quindi non in proprietà) è un presidio fondamentali delle LLGG sulla sicurezza informatica che attendiamo per Dicembre 2019 e delle LLGG MMS AGID 2/2017 con la nomenclatura ABSC ID 1 e ABSC ID 2.

AG5-CLASSIFICAZIONE DI BENI E SERVIZI SOTTO IL PROFILO DELLA SICUREZZA

Occorre RI-CLASSIFICARE gli asset in funzione della criticità

AG6-DEFINIRE AUDIT E VALUTAZIOEN DEL FORNITORE IN MATERIA DI SICUREZZA

Occorre in funzione della criticità del procurement valutare il fornitore, le procedure le vedremo in un altro post

AG7-DEFINIRE METODOLOGIA DI AUDIT INTERNO IN MATERIA DI SICUREZZA

Certamente dopo aver AUDITATO (EHEHEH) il fornitore esterno occorre anche ascoltare le componenti interne dell’organizzazione e creare correttivi che naturalmente e fisiologicamente deriveranno dal nuovo asset acquistato.

In sintesi per la prima fase, quella prodromica all’attività di procurement, occorrerà stilare una chek list, che riporto

DENOMINAZIONE PA
AZIONEDOMANDEPUNTI
AG1ESISTE UN PIANO AGGIORNATO DI FORMAZIONE SUI TEMI DELLA SICUREZZA ?
ESISTE UN CALENDARIO DI EVENTI PER SENSIBILIZZARE IL PERSONALE SUI RISCHI?
AG2ESISTE UN ARCHIVIO DI BUONE PRASSI ED ESPERIENZE ?
AG3SONO FORMALIZZATI INCARICHI E RESPONSABILITÀ SULLA SICUREZZA DEGLIA ACQUISTI?
SONO DEFINITE LE MATRICI RACI-VS PER LA GESTIONE DEGLI ACQUISTI ?
AG4ESISTE UN INVENTARIO AGGIORNATO DEI BENI INFORMATICI DELL’AMMINISTRAZIONE?
AG5GLI INVENTARI DI CUI AG4 SONO STATI RICLASSIFICATI  IN FUNZIONE DELLA CRITICITÀ?
AG6È DEFINITA UNA METODOLOGIA DI AUDIT  DEI FORNITORI SULLA SICUREZZA ?
AG7È DEFINITA UNA METODOLOGIA DI AUDIT INTERNO SULLA SICUREZZA ?
SOMMATORIA DEI PUNTI ( SI=1, NO=0,IN PARTE = 0.5)
  • Azioni da svolgere durante le procedure d’acquisto

In questa fase la focalizzazione riguarda la criticità dell’asset ( materiale od immateriale) da acquisire.

La criticità può essere valutata sia in termine di costi che di impatto BIA.

Le azioni sono 4 e saranno siglate come AP ( AZIONI PROCUREMENT)

  • AP1 Analisi e classificazione in base ai criteri di sicurezza
  • AP2 Scelta dello strumento d’acquisto più adeguato
  • AP3 Scelta dei requisiti di sicurezza da inserire nel capitolato
  • AP4 Garantire competenze di sicurezza nella commissione di valutazione

AP1 Analisi e classificazione in base ai criteri di sicurezza

In questa fase, collegata intimamente all’AG 5 bisogna vedere e classificare come l’acquisizione IMPATTA sulla struttura organizzativa, in funzione del servizio reso, ma anche in termini finanziari, infatti la classificazione potrebbe anche essere fatta in funzione degli impegni di spesaRilascio di certificati per invalidi con istanza.

Lo strumento operativo può essere rappresentato da una tabella del genere:

QUESITIPESO DA ATTRIBUIRE (da 1 a 5)Risposte SI=1,NO=0,IN
PARTE 0.5
PONDERAZIONE
L’acquisto impatta su servizi critici ?
L’importo rientra nella programmazione ex articolo 21 c.6 del D.lgs 50/16 ?
La durata del contratto da stipulare supera la soglia minima di criticità?
La sede ove verranno erogate le prestazioni da acquisire è critica ?
Complessivamente quanto si ritiene critico l’investimento?

Facendo le ponderazioni per un migliore impatto visivo conviene attribuire i classici tre colori del semaforo per TRI-RIPARTIRE la magnitudo .

AP2 Scelta dello strumento d’acquisto più adeguato

L’Azione Procurement 2 é legata a filo doppio con la 1, in funzione della classificazione di AP1 infatti potrebbe essere conveniente utilizzare il MEPA ( con bassa criticità quindi ) oppure convenzioni od accordi quadro Consip nel caso di criticità maggiore.

Accordi quadro e convenzioni sono maggiormente curati sull’aspetto della sicurezza, qualora non fossero adatti si prosegue con l’Azione Procurement 3.

AP3 Scelta dei requisiti di sicurezza da inserire nel capitolato

Quando l’amministrazione non è soddisfatta da Mepa e Consip, ovviamente spingerà verso livelli di sicurezza superiori , quindi nel rispetto del D.lgs 50/16, della L.55/19, della circ 2/2017 Agid ( ad oggi) e del GDPR inserirà specifiche tecniche ed amministrative per qualificare il servizio e l’offerente, a tal punto è consigliabile prendere spunto dall’allegato A delle LLgSPICT, a titolo di esempio le riporto appresso :

Queste sono le prime sei, in realtà sono 45 . SIGH!!!!

Ma una volta fatto il bando con tanto di lex specialis non possiamo esimerci dall’avere una commissione ex art 77 validissima, infatti la prescrizione dell’Azione Procurement 4 è

AP4 Garantire competenze di sicurezza nella commissione di valutazione

Nelle more e nell’attesa dell’Albo Nazionale dei commissari ( spostato al 31/12/2020) sarà necessario per non inficiare tutte le AG e le AP scegliere un commissario (anche esterno) adatto all’acquisizione.

La tabella riepilogativa delle PA sarà

AZIONEQUESITIRISPOSTE
AP1COME È STATA CLASSIFICATA L’ACQUISIZIONE IN FUNZIONE DELLA CRITICITÀ ( ALTA, BASSA..)
AP2QUALE STRUMENTO DI ACQUISIZIONE È STATO SCELTO ? ( MEPA, AQ, GARA DA ZERO)
AP3 NEL CAPITOLATO SONO STATI INSERITI TUTTI GLI ELEMENTI DI SICUREZZA ANCHE DELL’ALLEGATO A DELLE LLgSPICT?
AP4LA COMMISSIONE GIUDICATRICE HA COMPETENZE IN AMBITO DELLA SICUREZZA?
I REQUISITI DI SICUREZZA SONO CHIARI ED UNIVOCI ?

AZIONI DA SVOLGERE DOPO LA STIPULA DEL CONTRATTO .

O per meglio dire azioni che vanno svolte dal momento della stipula in poi. Sono 13 Azioni e sono collegate alle AG ed alle AP.

Vediamole :

A1 :UTENZE FORNITORI
A2: GESTIONE DISPOSITIVI FORNITORI
A3: GESTIONE ACCESSO RETE
A4: GESTIONE ACCESSO DB/SERVER
A5: STIPULA ACCORDI DI AUTORIZZAZIONE-RISERVATEZZA-CONFIDENZIALITÀ
A6: VERIFICA RISPETTO PRESCRIZIONI DI SICUREZZA NELLO SVILUPPO DELL’APPLICATIVO
A7: MONITORAGGIO UTENZE ED ACCESSI DEL FORNITORE
A8: VERIFICARE LA DOCUMENTAZIONE FINALE DEL PROGETTO
A9: EFFETTUARE IL DEPROVISIONING
A10: AGGIORNARE L’INVENTARIO DEI BENI
A11: EFFETTURAE IL WIPING
A12: MANUTENZIONE DEI BENI
A13: VULNERABILITY ASSESSMENT

A1 UTENZE FORNITORI

L’amministrazione deve inserire nella propria scheda di account management le credenziali di accesso ai dipendenti del fornitore. Anche loro saranno sottoposti alle ricognizione di log


A2 GESTIONE DISPOSITIVI FORNITORI

I requisiti di sicurezza del parco hardware che i fornitori utilizzeranno nell’espletamento dell’appalto devono essere indicati nell’appalto, ad esempio crittografia e policy della password. Quando il fornitore tratta i dati in nome e per conto dell’amministrazione (configurando nei fatti un addendum contrattuale ex articolo 28 DGPR) le cose si semplificano un bel po’. Potrebbe anche essere che per forniture e servizi altamente critici ci sia il divieto assoluto di utilizzazione di hardware del fornitore, in questo caso A2 si attua con il controllo del divieto imposto già dal capitolato.

A3 GESTIONE ACCESSO RETE

L’accesso alla rete deve essere abilitato e configurato per quanto strettamente necessario. Può avvenire con VPN dedicate e gli accessi dovranno essere tracciati anche ai fini dell’audit AG6.


A4 GESTIONE ACCESSO DB/SERVER

Deve essere consentito solo l’accesso ai DB ed ai server dove insiste l’applicazione da fornire o manutenere . Qualora occorresse accedere ad altri DB/SERVER bisogna gestire le eccezioni .

A5 STIPULA ACCORDI DI AUTORIZZAZIONE-RISERVATEZZA-CONFIDENZIALITÀ

E’ strettamente legata alle buone prassi dell’AG 2. Ogni fornitore dovrà consegnare all’amministrazione l’elenco del personale dipendente impegnato sul progetto che sottoscrive la confidenzialità del rapporto. Anche in questo caso conviene fare riferimento all’articolo 28 del GDPR ed anche al 32.

A6 VERIFICA RISPETTO PRESCRIZIONI DI SICUREZZA NELLO SVILUPPO DELL’APPLICATIVO

I requisiti di questa azione possono essere :

  • generici, in questo caso si lascia al fornitore la massima libertà di scelta di tecnologia e modalità operativa, queste caratteristiche vanno valutate dalla commissione giudicatrice ex articolo 77 del D.lgs 50/16
  • specifiche , in questo secondo caso è l’amministrazione a dare dei paletti ( anche in funzione dell’ambiente già in essere nella PA) .


A7 MONITORAGGIO UTENZE ED ACCESSI DEL FORNITORE

Nel caso (non raro) di susseguirsi di diversi dipendenti e collaboratori dei fornitori occorre avere una doppia matrice di riferimento, PROGETTO-FORNITORi e RUOLI-UTENZE. Queste matrici sono prodromiche all’azione 9.


A8 VERIFICARE LA DOCUMENTAZIONE FINALE DEL PROGETTO

Al termine del progetto il fornitore deve rilasciare :

  • documentazione finale del progetto
  • manuale installazione e di configurazione
  • report assessment di sicurezza con le azioni di mitigazione riportate
  • libretto di manutenzione con indicazioni per mantenere adeguatamente sicuro il progetto acquisito , nel dettaglio

+ produttore e versione del software utilizzato ( librerie, CMS, DBMS, firmware etc etc)
+ indicazioni per reperire i bollettini di sicurezza
+ indicazioni ed istruzioni per installare gli aggiornamenti di sicurezza
+ documento EoL

A9 EFFETTUARE IL DEPROVISIONING

L’amministrazione al termine di ogni progetto deve chiedere il deprovisioning delle utenze, nello specifico :

  • deprovisioning delle utenze fisiche del fornitore
  • deprovisioning delle utenze logiche del fornitore
  • deprovisioning delle utenze VPN
  • deprovisioning delle regole Firewall
  • richiedere dichiarazione di cancellazione dei dati dai dispositivi del fornitore

E’ evidente che avendo effettuato l’A7 diviene tutto più semplice.


A10 AGGIORNARE L’INVENTARIO DEI BENI

Nulla di più semplice per chi è ben adoperato all’utilizzo delle procedure AGID, si tratta di utilizzare gli strumenti del DPCM 10.08.15 e LL.GG Agid 2/2017.

  • ABSC 1.1.1 (M) o ABSC 1.1.2 (S)
  • ABSC 2.1.1 (M) o ABSC 2.2.1 (S)
  • ABSC 10.1.1 (M) o ABSC 10.1.2 (A) e ABSC 10.3.1 (M)

A11 EFFETTUARE IL WIPING

Al termine di ogni progetto di sostituzione di hardware devono essere cancellati i dati contenuti sui supporti.

E’ il caso di farsi rilasciare una relazione di distruzione e fare una verifica ispettiva documentata.

A12 MANUTENZIONE DEI BENI

Si tratta di coordinare quanto detto in A8 ( libretto di manutenzione) con gli aggiornamenti CERT-PA

A13 VULNERABILITY ASSESSMENT

Un assessment sulla vulnerabilità va eseguito almeno con cadenza annuale per gli strumenti collegati al web.
Ovviamente la frequenza deve aumentare in funzione della criticità dell’asset.

Le azioni, sinteticamente sono legate con rapporto 1 a molto alle i requisiti di sicurezza dell’appendice D




Ora riporto, come da LLGG AGID una matrice ancora più semplice che mette in relazione l’Azione con il tipo di fornitura

Ancora meglio vedere in funzione dell’impatto le diverse AZIONI ( Generali, Procurement, ed Azioni tout court)

Ora veniamo alla parte più semplice, o forse la più complessa: i requisiti da inserire nei capitolati dietro consiglio dell’Agid, parliamo del già citato allegato D.

Requisiti generali . Tab 5.1

Requisiti specifici ( forniture di servizi di sviluppo) Tab 5.2

Requisiti specifici ( forniture di oggetti connessi in rete ) Tab 5.3

Requisiti specifici ( forniture di servizi di gestione remota ) Tab 5.4

Comunicazione ed invio del PTPC

Dal 1 Luglio 2019 le PA devono comunicare all’ANAC il proprio PTPC.

Purtroppo la procedura non può essere effettuata automaticamente ma ha bisogno di creare un nuovo PROFILO, il RPCT od in alternativa l’AS-RPTC.

Vediamo come creare questi nuovi profili.

Come sempre si parte dal portale dei servizi ANAC da questo link : https://servizi.anticorruzione.it

Si accede con le credenziali già in nostro possesso

e si crea un nuovo profilo selezionando amministrazione o soggetto aggiudicatore

e subito dopo RPCT.

A questo punto è stata definita la persona, ora occorre collegarlo alla struttura tramite le solite chiavi di ricerca, Denominazione, AUSA o CF.

Fatta la ricerca, col codice fiscale dell’amministrazione andiamo a colpo sicuro, si procede

bisogna inserire il link della nomina e la data.

Si ricorda che queste informazioni sono le stesse delle relazioni annuali e che dovrebbero già essere in AT.

In Particolare la nomina dovrebbe anche essere inserita in PERLAPA quindi recuperabile ai sensi del combinato art 9 bis ,comma 2 ed articolo 18 del 33/13 nella sezione del personale dipendente

Sei solo chiacchiere e distintivo. La prima procedura ufficiale per il GDPR da attuare con DPO e RTD.

Questo articolo è dedicato a Daniela Salzano.
Sei andata via troppo presto. Resti un esempio.

Iniziano ad uscire le LLGG sulla sicurezza, seguiamole e non facciamo spese inutili, investiamo in modelli di gestione e non in hardware inadeguato (solitamente sovradimensionato e non presidiato)

Preferisco non ripetermi, ribadendo che in Europa non si soggiace ad una legge sulla PRIVACY, ma ad una norma che spinge a dotarsi di un modello organizzativo, il GDPR, e che tuttavia utilizzare, o meglio provare a dotarsi di un modello conforme al GDPR senza essersi conformati al regolamento 2014/910 ( eidas ) è del tutto inutile

IIl 13 Giugno 2019 è stato l’ultimo giorno di consultazione delle LLGG sulle sicurezza nel procurement ICT, nell’attesa della definitiva pubblicazione possiamo iniziare a commentare velocemente i contenuti per quanto attiene al documento “strategico” per gli acquisti ICT .

Chiariamo subito una cosa, destinatari delle LLGG sono TUTTE le PPAA, i soggetti coinvolti sono :

RUP

DPO

Amministratori

RTD.

Il capitolo 2 rappresenta il caposaldo dell’enunciato provvedimento, esso si divide in tre fasi procedimentali

  1. azioni da svolgere prima dell’acquisto
  2. azioni da svolgere durante le procedure d’acquisto
  3. azioni da svolgere dopo la stipula

Le azioni da svolgere prima dell’acquisto sono definite AZIONI GENERALI e sono numerate da 1 a 7:

AG1-PROMOZIONE DI COMPETENZA E CONSAPEVOLEZZA
AG2-RACCOGLIERE BUONE PRASSI ED ESPERIENZA
AG3-STABILIRE RUOLI E RESPONSABILITA’
AG4-EFFETTUARE UNA RICOGNIZIONE DI BENI INFORMATICI E SERVIZI
AG5-CLASSIFICAZIONE DI BENI E SERVIZI SOTTO IL PROFILO DELLA SICUREZZA
AG6-DEFINIRE AUDIT E VALUTAZIONE DEL FORNITORE IN MATERIA DI SICUREZZA
AG7-DEFINIRE METODOLOGIA DI AUDIT INTERNO IN MATERIA DI SICUREZZA

Vediamole velocemente.

AG1-PROMOZIONE DI COMPETENZA E CONSAPEVOLEZZA

Ogni pubblica amministrazione deve essere orientata alla gestione del rischio e dotata di persone capaci al gestione del processo di acquisizione dei beni e servizi .

Qualora fosse conclamata, nei fatti, questa carenza, come spesso accaduto in precedenza bisogna prenderne atto ( e non mentire come fatto per le LLGG Agid 2/2017), quindi delegare a figure esterne questi aspetti; una delle figure potrebbe essere il DPO, il supporto RTD o consulenti selezionati proprio per questo scopo.
Nel piano di formazione del GDPR deve essere inserito un percorso di sensibilizzazione alla gestione del rischio.

AG2-RACCOGLIERE BUONE PRASSI ED ESPERIENZA

Semplicemente occorre creare una o più procedure finalizzate alla raccolta di esperienze interne ed esterne da condividere, la c.d. raccolta delle buone prassi.

Riporto un articolo per qualche spunto ed anche l’URL del CERT-PA

IL PTIPA ha spostato la pubblicazione delle LLGG MMS a Dicembre 2019.

https://www.cert-pa.it/

AG3-STABILIRE RUOLI E RESPONSABILITA’

Praticamente l’essenza della compliance e dell’accountability .

Lo strumento di lavoro sarà la matrice RACI-VS, la matrice prende il nome dalle iniziali dei RUOLI che appaiono, nel dettaglio
Responsabile-colui che produce l’effetto
Accontable-colui che approva
Consult-colui che viene consultato per generare il risultato voluto
Inform-colui che viene informato sul risultato

Verifier-colui che verifica tutto quanto sopra
Signatory-Funzione di approvazione del Verifier

AG4-EFFETTUARE UNA RICOGNIZIONE DI BENI INFORMATICI E SERVIZI

Semplicemente si tratta di inventariare gli asset, anche già presenti perchè come più volte detto la prima cosa da fare per proteggere è avere cognizione di cosa PROTEGGERE. Sembra banale? controllate i lavori in giro in ambito GDPR e poi ci confrontiamo.
Inoltre, il principio di CONOSCENZA di cosa possediamo (anche quindi non in proprietà) è un presidio fondamentali delle LLGG sulla sicurezza informatica che attendiamo per Dicembre 2019 e delle LLGG MMS AGID 2/2017 con la nomenclatura ABSC ID 1 e ABSC ID 2.

AG5-CLASSIFICAZIONE DI BENI E SERVIZI SOTTO IL PROFILO DELLA SICUREZZA

Occorre RI-CLASSIFICARE gli asset in funzione della criticità

AG6-DEFINIRE AUDIT E VALUTAZIOEN DEL FORNITORE IN MATERIA DI SICUREZZA

Occorre in funzione della criticità del procurement valutare il fornitore, le procedure le vedremo in un altro post

AG7-DEFINIRE METODOLOGIA DI AUDIT INTERNO IN MATERIA DI SICUREZZA

Certamente dopo aver AUDITATO (EHEHEH) il fornitore esterno occorre anche ascoltare le componenti interne dell’organizzazione e creare correttivi che naturalmente e fisiologicamente deriveranno dal nuovo asset acquistato.

In sintesi per la prima fase, quella prodromica all’attività di procurement, occorrerà stilare una chek list, che riporto

DENOMINAZIONE PA
AZIONEDOMANDEPUNTI
AG1ESISTE UN PIANO AGGIORNATO DI FORMAZIONE SUI TEMI DELLA SICUREZZA ?
ESISTE UN CALENDARIO DI EVENTI PER SENSIBILIZZARE IL PERSONALE SUI RISCHI?
AG2ESISTE UN ARCHIVIO DI BUONE PRASSI ED ESPERIENZE ?
AG3SONO FORMALIZZATI INCARICHI E RESPONSABILITÀ SULLA SICUREZZA DEGLIA ACQUISTI?
SONO DEFINITE LE MATRICI RACI-VS PER LA GESTIONE DEGLI ACQUISTI ?
AG4ESISTE UN INVENTARIO AGGIORNATO DEI BENI INFORMATICI DELL’AMMINISTRAZIONE?
AG5GLI INVENTARI DI CUI AG4 SONO STATI RICLASSIFICATI  IN FUNZIONE DELLA CRITICITÀ?
AG6È DEFINITA UNA METODOLOGIA DI AUDIT  DEI FORNITORI SULLA SICUREZZA ?
AG7È DEFINITA UNA METODOLOGIA DI AUDIT INTERNO SULLA SICUREZZA ?
SOMMATORIA DEI PUNTI ( SI=1, NO=0,IN PARTE = 0.5)
  • Azioni da svolgere durante le procedure d’acquisto

In questa fase la focalizzazione riguarda la criticità dell’asset ( materiale od immateriale) da acquisire.

La criticità può essere valutata sia in termine di costi che di impatto BIA.

Le azioni sono 4 e saranno siglate come AP ( AZIONI PROCUREMENT)

  • AP1 Analisi e classificazione in base ai criteri di sicurezza
  • AP2 Scelta dello strumento d’acquisto più adeguato
  • AP3 Scelta dei requisiti di sicurezza da inserire nel capitolato
  • AP4 Garantire competenze di sicurezza nella commissione di valutazione

AP1 Analisi e classificazione in base ai criteri di sicurezza

In questa fase, collegata intimamente all’AG 5 bisogna vedere e classificare come l’acquisizione IMPATTA sulla struttura organizzativa, in funzione del servizio reso, ma anche in termini finanziari, infatti la classificazione potrebbe anche essere fatta in funzione degli impegni di spesaRilascio di certificati per invalidi con istanza.

Lo strumento operativo può essere rappresentato da una tabella del genere:

QUESITIPESO DA ATTRIBUIRE (da 1 a 5)Risposte SI=1,NO=0,IN
PARTE 0.5
PONDERAZIONE
L’acquisto impatta su servizi critici ?
L’importo rientra nella programmazione ex articolo 21 c.6 del D.lgs 50/16 ?
La durata del contratto da stipulare supera la soglia minima di criticità?
La sede ove verranno erogate le prestazioni da acquisire è critica ?
Complessivamente quanto si ritiene critico l’investimento?

Facendo le ponderazioni per un migliore impatto visivo conviene attribuire i classici tre colori del semaforo per TRI-RIPARTIRE la magnitudo .

AP2 Scelta dello strumento d’acquisto più adeguato

L’Azione Procurement 2 é legata a filo doppio con la 1, in funzione della classificazione di AP1 infatti potrebbe essere conveniente utilizzare il MEPA ( con bassa criticità quindi ) oppure convenzioni od accordi quadro Consip nel caso di criticità maggiore.

Accordi quadro e convenzioni sono maggiormente curati sull’aspetto della sicurezza, qualora non fossero adatti si prosegue con l’Azione Procurement 3.

AP3 Scelta dei requisiti di sicurezza da inserire nel capitolato

Quando l’amministrazione non è soddisfatta da Mepa e Consip, ovviamente spingerà verso livelli di sicurezza superiori , quindi nel rispetto del D.lgs 50/16, della L.55/19, della circ 2/2017 Agid ( ad oggi) e del GDPR inserirà specifiche tecniche ed amministrative per qualificare il servizio e l’offerente, a tal punto è consigliabile prendere spunto dall’allegato A delle LLgSPICT, a titolo di esempio le riporto appresso :

Queste sono le prime sei, in realtà sono 45 . SIGH!!!!

Ma una volta fatto il bando con tanto di lex specialis non possiamo esimerci dall’avere una commissione ex art 77 validissima, infatti la prescrizione dell’Azione Procurement 4 è

AP4 Garantire competenze di sicurezza nella commissione di valutazione

Nelle more e nell’attesa dell’Albo Nazionale dei commissari ( spostato al 31/12/2020) sarà necessario per non inficiare tutte le AG e le AP scegliere un commissario (anche esterno) adatto all’acquisizione.

La tabella riepilogativa delle PA sarà

AZIONEQUESITIRISPOSTE
AP1COME È STATA CLASSIFICATA L’ACQUISIZIONE IN FUNZIONE DELLA CRITICITÀ ( ALTA, BASSA..)
AP2QUALE STRUMENTO DI ACQUISIZIONE È STATO SCELTO ? ( MEPA, AQ, GARA DA ZERO)
AP3 NEL CAPITOLATO SONO STATI INSERITI TUTTI GLI ELEMENTI DI SICUREZZA ANCHE DELL’ALLEGATO A DELLE LLgSPICT?
AP4LA COMMISSIONE GIUDICATRICE HA COMPETENZE IN AMBITO DELLA SICUREZZA?
I REQUISITI DI SICUREZZA SONO CHIARI ED UNIVOCI ?

AZIONI DA SVOLGERE DOPO LA STIPULA DEL CONTRATTO .

O per meglio dire azioni che vanno svolte dal momento della stipula in poi. Sono 13 Azioni e sono collegate alle AG ed alle AP.

Vediamole :

A1 :UTENZE FORNITORI
A2: GESTIONE DISPOSITIVI FORNITORI
A3: GESTIONE ACCESSO RETE
A4: GESTIONE ACCESSO DB/SERVER
A5: STIPULA ACCORDI DI AUTORIZZAZIONE-RISERVATEZZA-CONFIDENZIALITÀ
A6: VERIFICA RISPETTO PRESCRIZIONI DI SICUREZZA NELLO SVILUPPO DELL’APPLICATIVO
A7: MONITORAGGIO UTENZE ED ACCESSI DEL FORNITORE
A8: VERIFICARE LA DOCUMENTAZIONE FINALE DEL PROGETTO
A9: EFFETTUARE IL DEPROVISIONING
A10: AGGIORNARE L’INVENTARIO DEI BENI
A11: EFFETTURAE IL WIPING
A12: MANUTENZIONE DEI BENI
A13: VULNERABILITY ASSESSMENT

A1 UTENZE FORNITORI

L’amministrazione deve inserire nella propria scheda di account management le credenziali di accesso ai dipendenti del fornitore. Anche loro saranno sottoposti alle ricognizione di log


A2 GESTIONE DISPOSITIVI FORNITORI

I requisiti di sicurezza del parco hardware che i fornitori utilizzeranno nell’espletamento dell’appalto devono essere indicati nell’appalto, ad esempio crittografia e policy della password. Quando il fornitore tratta i dati in nome e per conto dell’amministrazione (configurando nei fatti un addendum contrattuale ex articolo 28 DGPR) le cose si semplificano un bel po’. Potrebbe anche essere che per forniture e servizi altamente critici ci sia il divieto assoluto di utilizzazione di hardware del fornitore, in questo caso A2 si attua con il controllo del divieto imposto già dal capitolato.

A3 GESTIONE ACCESSO RETE

L’accesso alla rete deve essere abilitato e configurato per quanto strettamente necessario. Può avvenire con VPN dedicate e gli accessi dovranno essere tracciati anche ai fini dell’audit AG6.


A4 GESTIONE ACCESSO DB/SERVER

Deve essere consentito solo l’accesso ai DB ed ai server dove insiste l’applicazione da fornire o manutenere . Qualora occorresse accedere ad altri DB/SERVER bisogna gestire le eccezioni .

A5 STIPULA ACCORDI DI AUTORIZZAZIONE-RISERVATEZZA-CONFIDENZIALITÀ

E’ strettamente legata alle buone prassi dell’AG 2. Ogni fornitore dovrà consegnare all’amministrazione l’elenco del personale dipendente impegnato sul progetto che sottoscrive la confidenzialità del rapporto. Anche in questo caso conviene fare riferimento all’articolo 28 del GDPR ed anche al 32.

A6 VERIFICA RISPETTO PRESCRIZIONI DI SICUREZZA NELLO SVILUPPO DELL’APPLICATIVO

I requisiti di questa azione possono essere :

  • generici, in questo caso si lascia al fornitore la massima libertà di scelta di tecnologia e modalità operativa, queste caratteristiche vanno valutate dalla commissione giudicatrice ex articolo 77 del D.lgs 50/16
  • specifiche , in questo secondo caso è l’amministrazione a dare dei paletti ( anche in funzione dell’ambiente già in essere nella PA) .


A7 MONITORAGGIO UTENZE ED ACCESSI DEL FORNITORE

Nel caso (non raro) di susseguirsi di diversi dipendenti e collaboratori dei fornitori occorre avere una doppia matrice di riferimento, PROGETTO-FORNITORi e RUOLI-UTENZE. Queste matrici sono prodromiche all’azione 9.


A8 VERIFICARE LA DOCUMENTAZIONE FINALE DEL PROGETTO

Al termine del progetto il fornitore deve rilasciare :

  • documentazione finale del progetto
  • manuale installazione e di configurazione
  • report assessment di sicurezza con le azioni di mitigazione riportate
  • libretto di manutenzione con indicazioni per mantenere adeguatamente sicuro il progetto acquisito , nel dettaglio

+ produttore e versione del software utilizzato ( librerie, CMS, DBMS, firmware etc etc)
+ indicazioni per reperire i bollettini di sicurezza
+ indicazioni ed istruzioni per installare gli aggiornamenti di sicurezza
+ documento EoL

A9 EFFETTUARE IL DEPROVISIONING

L’amministrazione al termine di ogni progetto deve chiedere il deprovisioning delle utenze, nello specifico :

  • deprovisioning delle utenze fisiche del fornitore
  • deprovisioning delle utenze logiche del fornitore
  • deprovisioning delle utenze VPN
  • deprovisioning delle regole Firewall
  • richiedere dichiarazione di cancellazione dei dati dai dispositivi del fornitore

E’ evidente che avendo effettuato l’A7 diviene tutto più semplice.


A10 AGGIORNARE L’INVENTARIO DEI BENI

Nulla di più semplice per chi è ben adoperato all’utilizzo delle procedure AGID, si tratta di utilizzare gli strumenti del DPCM 10.08.15 e LL.GG Agid 2/2017.

  • ABSC 1.1.1 (M) o ABSC 1.1.2 (S)
  • ABSC 2.1.1 (M) o ABSC 2.2.1 (S)
  • ABSC 10.1.1 (M) o ABSC 10.1.2 (A) e ABSC 10.3.1 (M)

A11 EFFETTUARE IL WIPING

Al termine di ogni progetto di sostituzione di hardware devono essere cancellati i dati contenuti sui supporti.

E’ il caso di farsi rilasciare una relazione di distruzione e fare una verifica ispettiva documentata.

A12 MANUTENZIONE DEI BENI

Si tratta di coordinare quanto detto in A8 ( libretto di manutenzione) con gli aggiornamenti CERT-PA

A13 VULNERABILITY ASSESSMENT

Un assessment sulla vulnerabilità va eseguito almeno con cadenza annuale per gli strumenti collegati al web.
Ovviamente la frequenza deve aumentare in funzione della criticità dell’asset.

Le azioni, sinteticamente sono legate con rapporto 1 a molto alle i requisiti di sicurezza dell’appendice D




Ora riporto, come da LLGG AGID una matrice ancora più semplice che mette in relazione l’Azione con il tipo di fornitura

Ancora meglio vedere in funzione dell’impatto le diverse AZIONI ( Generali, Procurement, ed Azioni tout court)

Ora veniamo alla parte più semplice, o forse la più complessa: i requisiti da inserire nei capitolati dietro consiglio dell’Agid, parliamo del già citato allegato D.

Requisiti generali . Tab 5.1

Requisiti specifici ( forniture di servizi di sviluppo) Tab 5.2

Requisiti specifici ( forniture di oggetti connessi in rete ) Tab 5.3

Requisiti specifici ( forniture di servizi di gestione remota ) Tab 5.4

Manuale da adottare per il GDPR

Il manuale allegato è di facile consultazione, deve essere adottato e messo tra i regolamenti ex articolo 12 del D.lgs 33/13.
Contiene le prime quattro procedure e soprattutto la prima procedura che vede coinvolto anche il RTD ( Responsabile Transizione al digitale ) .

NOTA IMPORTANTE : LE PROCEDURE SARANNO di volta in volta aggiornate in un documento separato.

Gli allegati sono scaricabili dal sito www-ca-campania.com area PROCEDURE ed ALLEGATI.

Il manuale permette una migliore gestione per i controlli che dovrà fare il DPO.

Il manuale è scritto per i Comuni ma può essere adattato a tutte le PA ( per le quali valgono tutte le procedure)

Per la formazione specifica ed obbligatoria contattatemi.

Servizi CLOUD PA siti web e software ILLEGALI

Nell’attesa della pubblicazione in Gazzetta delle LL.GG. sulla sicurezza informatica in fase di e procurement ritengo sia importante chiarire alcuni aspetti sui servizi CLOUD obbligatori per le PP.AA.

Sappiamo tutti che dal 1 Aprile tutte le PA devono acquistare solo attraverso fornitori qualificati in CONSIP-AGID , per comodità vi riporto l’elenco degli operatori qualificati, questo molto semplicemente significa che se avete software in cloud ( dopo analizziamo meglio la classificazione ) ed il vostro fornitore non è inserito in questo elenco dobbiamo adeguarci .

24-09-2018IBM ITALIA SPATipo Csilviabellucci@it.ibm.com
12-10-2018Oracle CorporationTipo Cufficio-gare_it@oracle.com
21-11-2018Microsoft CorporationTipo Cmderosa@microsoft.com
05-12-2018Maggioli SpaTipo Bsegreteriacommerciale@maggioli.it
10-12-2018AMAZON WEB SERVICES EMEA SARLTipo Caws-pa-it@amazon.it
11-12-2018SISCOM SPATipo Bcommerciale@siscom.eu
18-12-2018APKAPPA SRLTipo Bcloud@apkappa.it
21-12-2018Aruba S.p.A.Tipo Ccommerciale.cloudpa@staff.aruba.it
21-12-2018Boxxapps S.r.l.Tipo Bemanuele.zanatta@boxxapps.com
21-12-2018CSI PiemonteTipo Cvito.baglio@csi.it
21-12-2018E-SED SOCIETA’ COOPERATIVATipo Bfrancesco.gaoni@e-sed.it
07-01-2019ADS automated data systems SpATipo Badscloud@ads.it
28-01-2019Netalia SrlTipo Cvendite@netalia.it
01-02-2019EX LIBRIS ITALY SRLTipo Binfo-italy@exlibrisgroup.com
05-02-2019Hypergrid srlTipo Cinfo@hypergrid.it
07-02-2019Lombardia Informatica SpaTipo Agiuseppe.ceglie@lispa.it
13-02-2019SALESFORCE.COM EMEA LIMITEDTipo Cpcenci@salesforce.com
21-02-2019Fastweb S.p.A.Tipo Centerprise.cloudpa@fastweb.it
01-03-2019INAZ SRLTipo Bufficiogare@inaz.it
07-03-2019CINECATipo Cdemand.univ@cineca.it
07-03-2019Reevo S.r.lTipo C
13-03-2019Westpole spaTipo Ca.silvi@westpole.it
14-03-2019Enter SrlTipo Csdallera@enter.eu
14-03-2019IRIDEOS spaTipo C
18-03-2019Telecom Italia S.p.A.Tipo Ccsp.pa@telecomitalia.it
19-03-2019CRITICALCASE SRLTipo C
21-03-2019STUDIO AMICA SOC. COOPTipo Bcataldo.lolli@studioamica.it
25-03-2019MEGASP S.R.L.Tipo Bufficiogare@sigmatel.it
29-03-2019GPI SPATipo Bsegreteria.commerciale@gpi.it
29-03-2019SAP SETipo Benzo.pagliaroli@sap.com
30-03-2019ENGINEERING D.HUB S.P.ATipo Cinfo-commerciali@eng.it
05-04-2019Progetti e Soluzioni SPATipo Bcloudpa@progettiesoluzioni.it

Quando diciamo cloud in realtà si apre un mondo avanti, ma per i servizi da acquistare dobbiamo prendere dimestichezza con alcuni concetti fondamentali, anche al fine di chiarire i rapporti contrattuali con i nostri fornitori di software, cosa per la quale ci dovrebbe aiutare il DPO ed il RTD , il C@ronte ed il Giullare per gli amici.

Software as a Service/SaaS
Tra i modelli di servizio offerti dalle piattaforme di Cloud computing, il Software as a Service (SaaS) identifica una classe di servizi fully-managed in cui il gestore del servizio (CSP) si occupa della predisposizione,
configurazione, messa in esercizio e manutenzione dello stesso (utilizzando un’infrastruttura cloud propria o di terzi), lasciando al fruitore del servizio (PA) il solo ruolo di utilizzatore delle funzionalità offerte.
Per intenderci è il classico software che acquistiamo ( o meglio utilizziamo) da operatori evoluti per le questioni lavorative, ad esempio La suite di Google Documents, Drive, Office 365 , il CRM aziendale od anche il CMS .

Platform as a Service/PaaS
Una categoria di servizi cloud in cui le funzionalità cloud offerte sono di tipo programmatico ovvero il CSC (PA)
può amministrare, dispiegare ed eseguire applicazioni Cloud utilizzando uno o più linguaggi di programmazione, uno o più ambienti di sviluppo/esecuzione supportati dal CSP e i relativi componenti software a corredo (code di messaggi, database, ecc.) , il classico esempio di CED avanzati che però preferiscono operare solo sulla programmazione e non sull’infrastruttura, un esempio è il servizio acquistato dal fornitore di HOSTING che mette a disposizione capacità di calcolo , runtime e DB.

Infrastructure as a Service/IaaS
Una categoria di servizi cloud in cui le funzionalità cloud offerte sono di tipo infrastrutturale, tali funzionalità
consentono al CSC ( PA ) di disporre autonomamente in modo programmatico di risorse di computing, di storage e
networking. Si utilizza in pratica solo l’infrastruttura complessa.

Provo a disegnare un grafico per essere più chiaro ( userò GSUITE , quindi un Saas, ahahaha !!!)



Dal grafico è molto più immediato capire la differenza tra Saas, PaaS e IaaS e soprattutto affiancando l’on premise ( il locale) si capisce il perchè dell’urgenza di gestire con strutture qualificate il computo informatico delle PP.AA. come voluto dal Capitolo INFRASTRUTTURE del PTICT 2019-2020, ovviamente c’é di mezzo l’erario , ricordate


CLOUD FIRST
CI VEDIAMO, SULLO STESSO ARGOMENTO PER DISCUTERE DELLE LLGG AGID IN CONSULTAZIONE …
…E RICORDATE SE IL VOSTRO FORNITORE DI CLOUD NON APPARE NELL’ELENCO QUALCHE PROBLEMA C’E’, ANCHE PER IL WEB HOSTING DEL SITO ISTITUZIONALE ( CASISTICA PaaS)

Il documento AMMINISTRATIVO informatico.

Un particolare e peculiare documento informatico è quello AMMINISTRATIVO, prodotto dalla PA ( nel più amplio senso).

E’ disciplinato prima dal TUDA e poi dall’articolo 23 ter del CAD, che riporto per poi poter subito vedere alcuni aspetti pratici di operatività.

Art. 23-ter (Documenti amministrativi informatici).

1. Gli atti formati dalle pubbliche amministrazioni con strumenti informatici, nonche’ i dati e i documenti informatici detenuti dalle stesse, costituiscono informazione primaria ed originale da cui e’ possibile effettuare, su diversi o identici tipi di supporto, duplicazioni e copie per gli usi consentiti dalla legge. ((1-bis. La copia su supporto informatico di documenti formati dalle pubbliche amministrazioni in origine su supporto analogico e’ prodotta mediante processi e strumenti che assicurano che il documento informatico abbia contenuto identico a quello del documento analogico da cui e’ tratto, previo raffronto dei documenti o attraverso certificazione di processo nei casi in cui siano adottate tecniche in grado di garantire la corrispondenza del contenuto dell’originale e della copia.))

2. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179.

3. Le copie su supporto informatico di documenti formati dalla pubblica amministrazione in origine su supporto analogico ovvero da essa detenuti, hanno il medesimo valore giuridico, ad ogni effetto di legge, degli originali da cui sono tratte, se la loro conformita’ all’originale e’ assicurata dal funzionario a cio’ delegato nell’ambito dell’ordinamento proprio dell’amministrazione di appartenenza, mediante l’utilizzo della firma digitale o di altra firma elettronica qualificata e nel rispetto delle ((Linee guida)); in tale caso l’obbligo di conservazione dell’originale del documento e’ soddisfatto con la conservazione della copia su supporto informatico.

((4. In materia di formazione e conservazione di documenti informatici delle pubbliche amministrazioni, le Linee guida sono definite anche sentito il Ministero dei beni e delle attivita’ culturali e del turismo.))

5. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179.

5-bis. I documenti di cui al presente articolo devono essere fruibili indipendentemente dalla condizione di disabilita’ personale, applicando i criteri di accessibilita’ definiti dai requisiti tecnici di cui all’articolo 11 della legge 9 gennaio 2004, n. 4. 6. Per quanto non previsto dal presente articolo si applicano gli articoli 21, 22 , 23 e 23-bis.

Per prima cosa chiariamo che quando si parla di switch off dell’analogico si dice una cavolata non di poco, il legislatore impone che il documento informatico sia la fonte primaria, impone il concetto del DIGITAL FIRST non impone uno switch off.

Per procedere con l’operatività quotidiana leggiamo il comma 5 bis del 23 ter. Il documento deve essere accessibile.

Siamo abituati a pensare al bar ed al ristorante accessibile ai disabili, qualche volta al sito web accessibile, ma se non partiamo dal documento accessibile commettiamo un grosso illecito.

Faccio un esempio.

Questa mia promozione ha degli errori di accessibilità , non è conforme alla L. 4/2004 come modificata dal D.Lgs 106/18, come rendermene conto ?

Con word , con lo strumento principale che utilizziamo tutti i giorni, utilizzando le revisioni ed il controllo sull’accessibilità .

Come è evidente abbiamo un errore di mancanza dell’attributo ” ALT” ed un’immagine non allineata .

Proviamo ad aggiustare …

e poi…

Però attenzione , WORD può fornirci qualche consiglio, se si commettono errori o generalizzazioni descrittive il software non li nota.

Altra cosa non scontata è l’utilizzazione di FONT accessibili ( senza grazie ) e con licenza aperta.

L’articolo 9 del DPCM 13.11.14 è dedicato proprio alla creazione del documento amministrativo informatico, e chiarisce che le modalità di formazione devono essere indicate nel manuale di gestione redatto come da articolo 5 del DPCM 03.12.13

Il documento amministrativo ( generico ) deve essere formato sempre in digitale, in alcuni casi poi ci sono delle espresse previsione di legge , i più ricorrenti sono :

  • accordi tra le PA ( articolo 15 della 241/90)
  • stipulazione di contratti ( articolo 32 comma 14 del Codice dei Contratti)
  • per non parlare della generale dematerializzazione dei contratti prevista dall’articolo 40 del 50/16

Ancora un paletto che spesso viene disatteso è quello comunicativo tra le PA, come dire , se iniziamo e centriamo l’obiettivo sarebbe come prendere due piccioni con una fava, parlo dell’articolo 47 del CAD

Art. 47 Trasmissione dei documenti tra le pubbliche amministrazioni

1. Le comunicazioni di documenti tra le pubbliche amministrazioni avvengono mediante l’utilizzo della posta elettronica o in cooperazione applicativa; esse sono valide ai fini del procedimento amministrativo una volta che ne sia verificata la provenienza. Il documento puo’ essere, altresi’, reso disponibile previa comunicazione delle modalita’ di accesso telematico allo stesso. 1-bis. L’inosservanza della disposizione di cui al comma 1, ferma restando l’eventuale responsabilita’ per danno erariale, comporta responsabilita’ dirigenziale e responsabilita’ disciplinare.

2. Ai fini della verifica della provenienza le comunicazioni sono valide se:

a) sono sottoscritte con firma digitale o altro tipo di firma elettronica qualificata;

b) ovvero sono dotate di segnatura di protocollo di cui all’articolo 55 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445;

c) ovvero e’ comunque possibile accertarne altrimenti la provenienza, secondo quanto previsto dalla normativa vigente o dalle ((Linee guida)). E’ in ogni caso esclusa la trasmissione di documenti a mezzo fax;

d) ovvero trasmesse attraverso sistemi di posta elettronica certificata di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68. 3. ((I soggetti di cui all’articolo 2, comma 2, lettere a) e b),)) provvedono ad istituire e pubblicare ((nell’Indice dei domicili digitali delle pubbliche amministrazioni e dei gestori di pubblici servizi)) almeno una casella di posta elettronica certificata per ciascun registro di protocollo.

((Le pubbliche amministrazioni)) utilizzano per le comunicazioni tra l’amministrazione ed i propri dipendenti la posta elettronica o altri strumenti informatici di comunicazione nel rispetto delle norme in materia di protezione dei dati personali e previa informativa agli interessati in merito al grado di riservatezza degli strumenti utilizzati.

Continuando e leggendo assieme il 23 ter del CAD ed il 9 delle regole non esiste molta differenza tra il documento informatico ed il documento amministrativo informatico, in sintesi abbiamo queste differenze :

  • il documento amministrativo informatico è creato anche dietro impulso dei cittadini e delle imprese che scrivono istanze conformi all’articolo 65 del CAD
  • l’immodificabilità può avvenire anche con il passaggio protocollare
  • l’attestazione di conformità può avvenire anche con dichiarazione del funzionario dedicato

Ladies and gentlemen ed ora ecco a voi la tanto attesa attestazione di conformità .

Le copie informatiche per immagine di documenti analogici devono possedere una dichiarazione che ne attesti la corrispondenza

art 22 comma 2

Le copie per immagine su supporto informatico di documenti originali formati in origine su supporto analogico hanno la stessa efficacia probatoria degli originali da cui sono estratte, se la loro conformita’ e’ attestata da un notaio o da altro pubblico ufficiale a cio’ autorizzato, ((…)) secondo le ((Linee guida)).


Le LLGG ci vengono in aiuto all’articolo 4 , chiarificatore sul fatto che l’attestazione di conformità può anche essere apposta in un documento terzo.

Altro discorso vale per l’attestazione di conformità della copia analogica del documento informatico, ove in realtà è piu adata la procedura di autentificazione prevista nell’articolo 18 del TUDA.

vecchi POST di collegamento.

DISCORSI ATTORNO AL CODICE DELL’AMMINISTRAZIONE DIGITALE, L’INUTILITA DI FIRMARE CON STAMPIGLIATURA D.LGS 39/93

Iniziamo da oggi a trattare in modo approfondito il CAD ( dall’origine al 179/16).

Parleremo del CAD di tutti i giorni, la creazione del documento, la copia informatica, la copia dall’analogico , le notifiche e le comunicazioni.

Iniziamo con le basi, ed analizziamo una pessima abitudine che ancora esiste in molte PP.AA. nostrane.

Esiste una forte confusione tra documento massivo analogico, stampato per intenderci, e documento informatico,

In particolare girando sui siti web istituzionali ancora si vedono documento sigillati con la dicitura ” firma  autografa omessa ai sensi dell’articolo 3 del D.Lgs 39/93.”

Una piccola parentesi, ricordate della conserva di pomodoro della mia natia terra ? trattare bene i dati significa non solo conservarli, ma selezionarli dall’inizio del processo ( o del procedimento amministrativo).

Far nascere dei documenti, per poi metterli sotto vuoto, in conservazione sostitutiva , con questa postilla equivale e sprecare spazio, a conservare qualcosa di sbagliato, riporto l’articolo di legge

Art. 3. 1. ((COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179)). 2. Nell’ambito delle pubbliche amministrazioni l’immissione, la riproduzione su qualunque supporto e la trasmissione di dati, informazioni e documenti mediante sistemi informatici o telematici, nonche’ l’emanazione di atti amministrativi attraverso i medesimi sistemi, devono essere accompagnate dall’indicazione della fonte e del responsabile dell’immissione, riproduzione, trasmissione o emanazione. Se per la validita’ di tali operazioni e degli atti emessi sia prevista l’apposizione di firma autografa, la stessa e’ sostituita dall’indicazione a stampa, sul documento prodotto dal sistema automatizzato, del nominativo del soggetto responsabile.

E’ chiara l’intenzione di agevolare la firma quando i documenti sono massivi e stampati, in ogni caso questi documenti non hanno la forma del documento scritto.

Invece il documento formato ai sensi del CAD, dell’articolo 20 in particolare soddisfail requisito della forma scritta come da codice civile all’articolo 2702.

Art. 20 Validita’ ed efficacia probatoria dei documenti informatici 1. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179. ((1-bis. Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi e’ apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, e’ formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalita’ tali da garantire la sicurezza, integrita’ e immodificabilita’ del documento e, in maniera manifesta e inequivoca, la sua riconducibilita’ all’autore. In tutti gli altri casi, l’idoneita’ del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrita’ e immodificabilita’. La data e l’ora di formazione del documento informatico sono opponibili ai terzi se apposte in conformita’ alle Linee guida.))

In questo post iniziale non mi dilungherò sui diversi tipi di fima previste dal CAD ( e dall’EiDAS reg. 2014/910) , ma mi fermo con il ricordare che la firma apposta come da articolo 3 del 39/93 non produce nessun effetto, inoltre se qualche banca permettesse di far girare gli assegni senza la firma autografa ma colla dicitura ” ha firmato chi avrebbe dovuto firmare”  vi fidereste ? io no.

NOVITÀ ( VERE O PRESUNTE ) SUL CAD

Per prima cosa vi ricordo che il CAD ormai non si presenta più come un obbligo per le PA ma sempre maggiormente come un diritto per i cittadini, e questo potrebbe ( e già sta accadendo) inficiare molte procedure, anche di notificazioni delle amministrazioni pubbliche.

Iniziamo con il (ri)parlare della trasmissione dei documenti, ribadendo che le PA possono trasmettere i documenti attraverso :

  • PEO
  • PEC
  • INTEROPERABILITA’ / COOPERAZIONE APPLICATIVA

La PEO ( posta elettronica ordinaria ) non è disciplinata dal CAD per un semplice motivo, era preesistente al d.lgs 82/05 , tuttavia occorre ricordare che ha valore giuridico se è possibile accertarne la provenienza ( magari attraverso la protocollazione .

La PEC ( posta elettronica certificata ) è disciplinata sia dal CAD che dal DPR 68/2005 ed ha il vantaggio di garantire e certificare l’invio e la consegna del documento, quindi si parla di presunzione di conoscenza e non di presunzione di conoscibilità.

I servizi di INTEROPERABILITA’ /COOPERAZIONE APPLICATIVA consistono invece in una vera e propria condivisione dei servizi sulle porte di dominio dei server dell’ente

I DOMICILI DIGITALI.

Il 2019 sará l’anno di svolta per i servizi del domicilio digitale, infatti partirà anche il domicilio digitale del cittadino, e guai a non utilizzarlo qualora il cittadino lo abbia comunicato .

il domicilio digitale lo troviamo nella fonte delle definizioni all’articolo 1 comma 1 del CAD, in particolare alla lettera n-ter che riporto

((n-ter) domicilio digitale: un indirizzo elettronico eletto presso un servizio di posta elettronica certificata o un servizio elettronico di recapito certificato qualificato, come definito dal regolamento (UE) 23 luglio 2014 n. 910 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE, di seguito “Regolamento eIDAS”,valido ai fini delle comunicazioni elettroniche aventi valore legale;))

Invece all’articolo 3 bis comma 1 troviamo l’obbligo per le professioni regolamentate , per le imprese e per e per le PA di iscriversi in pubblici registri ove denunciare il proprio domicilio digitale, nello specifico i registri per le imprese ed i professionisti tenuti da INFOCAMERE ( www.inipec.gov.it ) e per le PA gestite in indicepa.gov.it

Tuttavia, come già scritto, la vera novità sarà rappresentata dall’elenco dei domicili digitale per i cittadini ed i professionisti non ordinati , per le associazioni e per tutti i soggetti ( songoli ed associati) che non rientrano nell’elencazione degli articoli 6 bis e 6 ter del D.lgs 82/05.

Infatti recita l’articolo 6 quater

(( (Indice nazionale dei domicili digitali delle persone fisiche e degli altri enti di diritto privato, non tenuti all’iscrizione in albi professionali o nel registro delle imprese). ))((1. E’ istituito il pubblico elenco dei domicili digitali delle persone fisiche e degli altri enti di diritto privato non tenuti all’iscrizione in albi professionali o nel registro delle imprese, nel quale sono indicati i domicili eletti ai sensi dell’articolo 3-bis, comma 1-bis. La realizzazione e la gestione dell’Indice sono affidate all’AgID, che vi provvede avvalendosi delle strutture informatiche delle Camere di commercio gia’ deputate alla gestione dell’elenco di cui all’articolo 6-bis. 2. Per i professionisti iscritti in albi ed elenchi il domicilio digitale e’ l’indirizzo inserito nell’elenco di cui all’articolo 6-bis, fermo restando il diritto di eleggerne uno diverso ai sensi dell’articolo 3-bis, comma 1-bis. Ai fini dell’inserimento dei domicili dei professionisti nel predetto elenco il Ministero dello sviluppo economico rende disponibili all’AgID, tramite servizi informatici individuati nelle Linee guida, i relativi indirizzi gia’ contenuti nell’elenco di cui all’articolo 6-bis. 3. Al completamento dell’ANPR di cui all’articolo 62, AgID provvede al trasferimento dei domicili digitali contenuti nell’elenco di cui al presente articolo nell’ANPR.))

E’ importante notare l’automatismo per i professionisti, infatti il secondo comma dell’articolo 6 quater chiarisce che i professionisti ( avvocati, ingegneri, commercialisti, medici etc) avranno la c.d. ereditarietà del domicilio digitale, è però fatta salva la possibilità di usarne uno diverso da quello professionale ( avere quindi un domicilio per l’articolo 6 bis ed uno per il 6 quater).

L’articolo 47 disciplina invece molto bene , e facendo intendere che la peo resta lo strumento principale di comunicazione, le comunicazioni tra le PA.

Art. 47 Trasmissione dei documenti tra le pubbliche amministrazioni 1. Le comunicazioni di documenti tra le pubbliche amministrazioni avvengono mediante l’utilizzo della posta elettronica o in cooperazione applicativa; esse sono valide ai fini del procedimento amministrativo una volta che ne sia verificata la provenienza. Il documento puo’ essere, altresi’, reso disponibile previa comunicazione delle modalita’ di accesso telematico allo stesso. 1-bis. L’inosservanza della disposizione di cui al comma 1, ferma restando l’eventuale responsabilita’ per danno erariale, comporta responsabilita’ dirigenziale e responsabilita’ disciplinare. 2. Ai fini della verifica della provenienza le comunicazioni sono valide se: a) sono sottoscritte con firma digitale o altro tipo di firma elettronica qualificata; b) ovvero sono dotate di segnatura di protocollo di cui all’articolo 55 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445; c) ovvero e’ comunque possibile accertarne altrimenti la provenienza, secondo quanto previsto dalla normativa vigente o dalle ((Linee guida)). E’ in ogni caso esclusa la trasmissione di documenti a mezzo fax; d) ovvero trasmesse attraverso sistemi di posta elettronica certificata di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68. 3. ((I soggetti di cui all’articolo 2, comma 2, lettere a) e b),))provvedono ad istituire e pubblicare ((nell’Indice dei domicili digitali delle pubbliche amministrazioni e dei gestori di pubblici servizi)) almeno una casella di posta elettronica certificata per ciascun registro di protocollo. ((Le pubbliche amministrazioni)) utilizzano per le comunicazioni tra l’amministrazione ed i propri dipendenti la posta elettronica o altri strumenti informatici di comunicazione nel rispetto delle norme in materia di protezione dei dati personali e previa informativa agli interessati in merito al grado di riservatezza degli strumenti utilizzati.

Cosa comporta questo nuovo assetto giuridico ( ed organizzativo ) ?

Semplice, l’obbligo di avvicinarsi al CAD per evitare che i provvedimenti amministrativi siano carenti di efficacia.

Sembrano cose campate in aria ? direi di no, infatti vi riporto la risposta ( come sempre normata ) sulle procedure di tutti i giorni, l’articolo 6 c1 quater del D.lgs 82/05.

I soggetti di cui all’articolo 2, comma 2, notificano direttamente presso i domicili digitali di cui all’articolo 3-bis i propri atti, compresi i verbali relativi alle sanzioni amministrative, gli atti impositivi di accertamento e di riscossione e le ingiunzioni di cui all’articolo 2 del regio decreto 14 aprile 1910, n. 639, fatte salve le specifiche disposizioni in ambito tributario. La conformita’ della copia informatica del documento notificato all’originale e’ attestata dal responsabile del procedimento in conformita’ a quanto disposto agli articoli 22 e 23-bis.))

Per chiarezza e semplicità di lettura riporto gli articolo 22 e 23 bis del CAD ed aggiungo il link al DPCM 13/11/14

Art. 22 (Copie informatiche di documenti analogici).

1. I documenti informatici contenenti copia di atti pubblici, scritture private e documenti in genere, compresi gli atti e documenti amministrativi di ogni tipo formati in origine su supporto analogico, spediti o rilasciati dai depositari pubblici autorizzati e dai pubblici ufficiali, hanno piena efficacia, ai sensi degli articoli 2714 e 2715 del codice civile, ((se sono formati ai sensi dell’articolo 20, comma 1-bis, primo periodo.)). La loro esibizione e produzione sostituisce quella dell’originale. ((1-bis. La copia per immagine su supporto informatico di un documento analogico e’ prodotta mediante processi e strumenti che assicurano che il documento informatico abbia contenuto e forma identici a quelli del documento analogico da cui e’ tratto, previo raffronto dei documenti o attraverso certificazione di processo nei casi in cui siano adottate tecniche in grado di garantire la corrispondenza della forma e del contenuto dell’originale e della copia.)) 2. Le copie per immagine su supporto informatico di documenti originali formati in origine su supporto analogico hanno la stessa efficacia probatoria degli originali da cui sono estratte, se la loro conformita’ e’ attestata da un notaio o da altro pubblico ufficiale a cio’ autorizzato, ((…)) secondo le ((Linee guida)). 3. Le copie per immagine su supporto informatico di documenti originali formati in origine su supporto analogico nel rispetto delle ((Linee guida)) hanno la stessa efficacia probatoria degli originali da cui sono tratte se la loro conformita’ all’originale non e’ espressamente disconosciuta. 4. Le copie formate ai sensi dei commi 1, ((1-bis,)) 2 e 3 sostituiscono ad ogni effetto di legge gli originali formati in origine su supporto analogico, e sono idonee ad assolvere gli obblighi di conservazione previsti dalla legge, salvo quanto stabilito dal comma 5. 5. Con decreto del Presidente del Consiglio dei Ministri possono essere individuate particolari tipologie di documenti analogici originali unici per le quali, in ragione di esigenze di natura pubblicistica, permane l’obbligo della conservazione dell’originale analogico oppure, in caso di conservazione sostitutiva, la loro conformita’ all’originale deve essere autenticata da un notaio o da altro pubblico ufficiale a cio’ autorizzato con dichiarazione da questi firmata digitalmente ed allegata al documento informatico. 6. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179.

Art. 23-bis (Duplicati e copie informatiche di documenti informatici). 1. I duplicati informatici hanno il medesimo valore giuridico, ad ogni effetto di legge, del documento informatico da cui sono tratti, se prodotti in conformita’ alle ((Linee guida)). 2. Le copie e gli estratti informatici del documento informatico, se prodotti in conformita’ alle vigenti((Linee guida)), hanno la stessa efficacia probatoria dell’originale da cui sono tratte se la loro conformita’ all’originale, in tutti le sue componenti, e’ attestata da un pubblico ufficiale a cio’ autorizzato o se la conformita’ non e’ espressamente disconosciuta. Resta fermo, ove previsto, l’obbligo di conservazione dell’originale informatico.

link al DPCM 13/11/14

Detto questo è evidente che occorre cambiare il nostro modo di lavorare e le software house devono interfacciarsi con le anagrafiche degli elenchi detenuti da INFOCAMERE ai sensi dell’articolo 6 bis.

Ancora più complessa è la situazione nel caso in cui ci sia un’elezione a domicilio speciale dell’articolo 47 del cod.civ., il nostro gestionale amministrativo dovrà contenere una serie di casistiche per delle comunicazioni spot , relative al singolo atto od affare.

Buon lavoro, ovviamente sapete che C@ronte vi accompagnerà

Aggiornamento informazioni nell’IndicePA

Dal 12 aprile sono in vigore le LLGG Agid per il domicilio digitale.

Si ricorda che il domicilio digitale altro non è che il nuovo modo di chiamare la PEC, nomenclatura che deriva dal Reg UE /2014/910, l’eidas.

I domicili digitali sono disciplinati da :

Invito a leggere un vecchio post sulle istanze

Da qualche giorno l’AGID invia mail per invitare ad aggiornare la scheda IPA di ogni singola PA.
Qualora non ci fosse nulla da aggiornare occorre entrare con le credenziali e fare una dichiarazione negativa, ovvero aggiornare con i dati mancanti.
Ne approfitto per ricordarvi di nominare l’ufficio del responsabile alla transizione digitale ex articolo 17 D.lgs 82/05.

Come sempre resto a disposizione.

Seguendo questo link troverete qualche approfondimento sul ruolo del RTD.

Decreto sblocca-cantieri. ‘A carne ‘a sotto e i maccarùne ‘a coppa. Non sempre è un male.

Iniziamo con l’elenco ed una veloce lettura delle modifiche ( già annunciate ) al codice dei contratti da parte del DL 32/19, SBLOCCA CANTIERI.

Il ritorno al regolamento unico era già stato annunciato sul finire del 2018, speriamo in un ritorno armonizzato e non solo ad un raggruppamento di soft law che sarebbe controproducente

REGOLAMENTO UNIFICATO ( vanno via le linee guida vincolanti )

Il ritorno alle abitudini de163/06 è previsto dal comma 27 octies del novellato articolo 216 del 50

NESSUN OBBLIGO DELLE CUC

Per le città non capoluogo di provincia l’aggregazione in CUC è una facoltà e non più in obbligo , come più volte fatto notare dalla giurisprudenza.

Riporto il nuovo comma 4 dell’articolo 37.

Ora proseguiamo con le modifiche più importanti da un punto di vista operativo, quelle per le quali da martedì , ripresi dalle “abbuffate” , lavoreremo diversamente.

La prima novità apprezzabile è la possibilità da parte dell’OE di richiedere l’anticipo del 20 % non solo per i lavori ma anche i contratti di fornitura di beni e servizi, di durata ovviamente. Il DL 32/19 modifica infatti il comma 18 dell’articolo 35 che riporto

Sul valore del contratto di appalto viene calcolato l’importo dell’anticipazione del prezzo pari al 20 per cento da corrispondere all’appaltatore entro quindici giorni dall’effettivo inizio della prestazione.

Ulteriore modifica, ben vista dallo scrivente , è l’abrogazione nei fatti dell’affidamento diretto dei lavori previsto dal comma 912 dell’articolo 1 della L. 145/18, riporto la modifica alla nuova lettera b dell’articolo 36 comma 2

per affidamenti di importo pari o superiore a 40.000 euro e inferiore a 200.000 euro per i lavori, o alle soglie di cui all’articolo 35 per le forniture e i servizi, mediante procedura negoziata previa consultazione, ove esistenti, di almeno tre operatori economici per i lavori, e, per i servizi e le forniture di almeno cinque operatori economici individuati sulla base di indagini di mercato o tramite elenchi di operatori economici.

È chiara la volontà di volere snellire la procedura di affidamento di microlavori senza però andare in contrasto con i principi della buona gestione e rendicontazione, a differenza della modifica apportata ( anche se limitatamente nel tempo ) dalla legge di stabilità , solo per un confronto metto in comparazione le due norme

Articolo 1 comma 912 L. 145/18
Nelle more di una complessiva revisione del codice dei contratti pubblici, di cui al decreto legislativo 18 aprile 2016, n. 50, fino al 31 dicembre 2019, le stazioni appaltanti, in deroga all’articolo 36, comma 2, del medesimo codice, possono procedere all’affidamento di lavori di importo pari o superiore a 40.000 euro e inferiore a 150.000 euro mediante affidamento diretto previa consultazione, ove esistenti, di tre operatori economici e mediante le procedure di cui al comma 2, lettera b), del medesimo articolo 36 per i lavori di importo pari o superiore a 150.000 euro e inferiore a 350.000 euro.
Articolo 36 comma 2 lett b D.lgs 50/16 modificato dal DL 32/19
per affidamenti di importo pari o superiore a 40.000 euro e inferiore a 200.000 euro per i lavori, o alle soglie di cui all’articolo 35 per le forniture e i servizi, mediante procedura negoziata previa consultazione, ove esistenti, di almeno tre operatori economici per i lavori, e, per i servizi e le forniture di almeno cinque operatori economici individuati sulla base di indagini di mercato o tramite elenchi di operatori economici.

E’ chiaro, negoziata a tre contro affidamento diretto ( pur se consultando il mercato).

Ed ora veniamo al titolo del post, ‘A carne ‘a sotto e i maccarùne ‘a coppa .

E’ un detto napoletano per evidenziare il non naturale susseguirsi degli eventi, ha un’accezione solitamente negativa, personalmente credo che nel nostro caso non sia così, parliamo della c.d. INVERSIONE PROCEDIMENTALE.

Va subito chiarita una cosa, non è una novità assoluta del D.lgs 50/16, infatti già ricorre per i settori speciali e senza limite di importo, mentre per i settori ordinari questa possibilità è applicabile solo al sotto soglia .Analizziamo il nuovo comma 5 dell’articolo 36.

Le stazioni appaltanti possono decidere che le offerte siano esaminate prima della verifica della documentazione relativa al possesso dei requisiti di carattere generale e di quelli di idoneità e di capacità degli offerenti. Tale facoltà può essere esercitata se specificamente prevista nel bando di gara o nell’avviso con cui si indice la procedura. Se si avvalgono di tale facoltà, le stazioni appaltanti verificano in maniera imparziale e trasparente che nei confronti del miglior offerente non ricorrano motivi di esclusione e che sussistano i requisiti e le capacità di cui all’articolo 83 stabiliti dalla stazione appaltante; tale controllo è esteso, a campione, anche sugli altri partecipanti, secondo le modalità indicate nei documenti di gara. Sulla base dell’esito di detta verifica, si procede eventualmente a ricalcolare la soglia di anomalia di cui all’articolo 97. Resta salva, dopo l’aggiudicazione, la verifica sul possesso dei requisiti richiesti ai fini della stipula del contratto

Quindi in pratica si deve scrivere in lex specialis la volontà di volere applicare l’inversione procedimentale e quale sarà la numerosità percentuale dei controlli che faremo, in sede di apetura si aprono le buste con le offerte economiche , si controlla il migliore offerente e gli altri previsti .

Per completezza riporto l’ottavo comma del 113 ( per i settori speciali l’inversione vale anche per le procedure ex articolo 60 sopra soglia )

Nelle procedure aperte, gli enti aggiudicatori possono decidere che le offerte saranno esaminate prima della verifica dell’idoneità degli offerenti. Tale facoltà può essere esercitata se specificamente prevista nel bando di gara o nell’avviso con cui si indice la gara.
Se si avvalgono di tale possibilità, le amministrazioni aggiudicatrici garantiscono che la verifica dell’assenza di motivi di esclusione e del rispetto dei criteri di selezione sia effettuata in maniera imparziale

L’altra grande novità OPERATIVA, riguarda i controlli dei requisiti quando si utilizzano gli strumenti elettronici ,infatti abbiamo l’introduzione del comma 6 ter dell’articolo 36 che cosí recita :

Nelle procedure di affidamento effettuate nell’ambito dei mercati elettronici di cui al comma 6, la stazione appaltante verifica esclusivamente il possesso da parte dell’aggiudicatario dei requisiti economici e finanziari e tecnico professionali.

È chiaro che qualora non siano richiesti ulteriori criteri qualificativi ( articolo 83) la stazione appaltante non dovrà verificare nulla , ne consegue che a breve ci saranno le modifiche alla voce 4.2.2 delle LG 4 ANAC ( in gestazione ) e dell’articolo 53 delle regole E-Procurement del MEPA.

Ovviamente altra derivazione di questo articoletto è il maggior controllo da parte di Consip per gli operatori iscritti, infatti nello sblocca cantieri spunta anche l’aggiunta del comma 6 bis al 36 del 50/16

Ai fini dell’ammissione e della permanenza degli operatori economici nei mercati elettronici di cui al comma 6, il soggetto responsabile dell’ammissione verifica l’assenza dei motivi di esclusione di cui all’articolo 80 su un campione significativo di operatori economici. Dalla data di entrata in vigore del decreto di cui all’articolo 81, comma 2, tale verifica sarà effettuata attraverso la Banca dati nazionale degli operatori economici di cui all’articolo 81, anche mediante interoperabilità fra sistemi. I soggetti responsabili dell’ammissione possono consentire
l’accesso ai propri sistemi agli operatori economici per la consultazione dei dati, certificati e informazioni disponibili mediante la banca dati di cui all’articolo 81 per la predisposizione della domanda di ammissione e di permanenza ai mercati elettronici.

Altra modifica, comoda nell’operatività quotidiana e sempre legata al mercato elettronico, riguarda la possibilità di utilizzare formulari più snelli del DGUE.

Ultima novità che porto in analisi oggi è il criterio di aggiudicazione dell’offerta, infatti appare un comma 9 bis all’articolo 36 che ci dice :

Fatto salvo quanto previsto all’articolo 95,

Fatto salvo quanto previsto all’articolo 95 comma 3, le stazioni appaltanti procedono all’aggiudicazione dei contratti di cui al presente articolo
sulla base del criterio del minor prezzo ovvero, previa motivazione, sulla base del criterio dell’offerta
economicamente più vantaggiosa.

E poi per terminare è stato cancellato il limite di peso nell’ OEPV tanto che il comma 10 bis del 95 non impone più il tetto massimo al 30 % della componente economica., appresso la norma novellata

10-bis. La stazione appaltante, al fine di assicurare l’effettiva individuazione del miglior rapporto qualità/prezzo, valorizza gli elementi qualitativi dell’offerta e individua criteri tali da garantire un confronto concorrenziale effettivo sui profili tecnici.

Ovviamente ci saranno degli aggiornamenti …. a presto e ricordatevi che da oggi in poi, solo se lo volete “A carne ‘a sotto e i maccarùne ‘a coppa”

Restando sugli aspetti della valutazione OEPV consiglio di leggere questo post.

Certificazione crediti commerciali ( e professionali)

Come ogni anno occorre preparasi alla scadenza ricognitiva dei debiti non pagati al 31/12.

Ricordo come sempre, che qualora non ci fossero debiti è OBBLIGATORIO segnalarne l’assenza con con apposita dichiarazione c.d. negativa.

Le procedure ( di ricognizione e di assenza ) sono sostanzialmente rimaste identiche anche se il portale del MEF si è rinnovato ( faccialmente e nell’URL)

Il portale è accessibile dal veccio url : certificazionecrediti.mef.gov.it come dal nuovo crediticommerciali.mef.gov.it e per le istanze bisogna essere muniti di firma digitale ( Cades o Pades ) .

La vera novita quest’anno deriva dalle norme sulla trasparenza collegate ai tempi di pagamento della PA, infatti con l’art. 29, comma 1 del D.Lgs 97/16 è stato modificato l’articolo 33 del D.lgs 33/13 , appresso riporto il testo aggiornato : Obblighi di pubblicazione concernenti i tempi di pagamento dell’amministrazione 1. ((Fermo restando quanto previsto dall’articolo 9-bis, le pubbliche amministrazioni)) pubblicano, con cadenza annuale, un indicatore dei propri tempi medi di pagamento relativi agli acquisti di beni, servizi ((prestazioni professionali)) e forniture, denominato ‘indicatore annuale di tempestivita’ dei pagamenti’ ((, nonche’ l’ammontare complessivo dei debiti e il numero delle imprese creditrici)). A decorrere dall’anno 2015, con cadenza trimestrale, le pubbliche amministrazioni pubblicano un indicatore, avente il medesimo oggetto, denominato ‘indicatore trimestrale di tempestivita’ dei pagamenti’ ((, nonche’ l’ammontare complessivo dei debiti e il numero delle imprese creditrici)). Gli indicatori di cui al presente comma sono elaborati e pubblicati, anche attraverso il ricorso a un portale unico, secondo uno schema tipo e modalita’ definiti con decreto del Presidente del Consiglio dei ministri da adottare sentita la Conferenza unificata.

Obblighi  di  pubblicazione  concernenti   i   tempi   di   pagamento                         dell'amministrazione      1.  ((Fermo  restando  quanto  previsto  dall'articolo  9-bis,   le pubbliche  amministrazioni))  pubblicano,  con  cadenza  annuale,  un indicatore dei propri tempi medi di pagamento relativi agli  acquisti di  beni,  servizi   ((prestazioni   professionali))   e   forniture, denominato 'indicatore annuale di tempestivita'  dei  pagamenti'  ((, nonche' l'ammontare complessivo dei debiti e il numero delle  imprese creditrici)). A decorrere dall'anno 2015, con cadenza trimestrale, le pubbliche  amministrazioni  pubblicano  un  indicatore,   avente   il medesimo oggetto, denominato 'indicatore trimestrale di tempestivita' dei pagamenti' ((, nonche' l'ammontare complessivo dei  debiti  e  il numero delle imprese creditrici)). Gli indicatori di cui al  presente comma sono elaborati e pubblicati, anche attraverso il ricorso  a  un portale unico, secondo uno  schema  tipo  e  modalita'  definiti  con decreto del Presidente del Consiglio dei ministri da adottare sentita la Conferenza unificata. 

Obblighi di pubblicazione concernenti i tempi di pagamento dell’amministrazione 1. ((Fermo restando quanto previsto dall’articolo 9-bis, le pubbliche amministrazioni)) pubblicano, con cadenza annuale, un indicatore dei propri tempi medi di pagamento relativi agli acquisti di beni, servizi ((prestazioni professionali)) e forniture, denominato ‘indicatore annuale di tempestivita’ dei pagamenti’ ((, nonche’ l’ammontare complessivo dei debiti e il numero delle imprese creditrici)). A decorrere dall’anno 2015, con cadenza trimestrale, le pubbliche amministrazioni pubblicano un indicatore, avente il medesimo oggetto, denominato ‘indicatore trimestrale di tempestivita’ dei pagamenti’ ((, nonche’ l’ammontare complessivo dei debiti e il numero delle imprese creditrici)). Gli indicatori di cui al presente comma sono elaborati e pubblicati, anche attraverso il ricorso a un portale unico, secondo uno schema tipo e modalita’ definiti con decreto del Presidente del Consiglio dei ministri da adottare sentita la Conferenza unificata.

Obblighi  di  pubblicazione  concernenti   i   tempi   di   pagamento                         dell'amministrazione      1.  ((Fermo  restando  quanto  previsto  dall'articolo  9-bis,   le pubbliche  amministrazioni))  pubblicano,  con  cadenza  annuale,  un indicatore dei propri tempi medi di pagamento relativi agli  acquisti di  beni,  servizi   ((prestazioni   professionali))   e   forniture, denominato 'indicatore annuale di tempestivita'  dei  pagamenti'  ((, nonche' l'ammontare complessivo dei debiti e il numero delle  imprese creditrici)). A decorrere dall'anno 2015, con cadenza trimestrale, le pubbliche  amministrazioni  pubblicano  un  indicatore,   avente   il medesimo oggetto, denominato 'indicatore trimestrale di tempestivita' dei pagamenti' ((, nonche' l'ammontare complessivo dei  debiti  e  il numero delle imprese creditrici)). Gli indicatori di cui al  presente comma sono elaborati e pubblicati, anche attraverso il ricorso  a  un portale unico, secondo uno  schema  tipo  e  modalita'  definiti  con decreto del Presidente del Consiglio dei ministri da adottare sentita la Conferenza unificata. 

Le novità sulla pubblicazione riguardano : – l’inserimento dei debiti derivanti non solo da attività negoziale, ma anche da incarichi professionali ( quindi non solo il D.Lgs 50/16 ma anche gli incarichi ex articolo 7 comma 6 del D.lgs 165/01), in sintesi in amministrazione trasparente troveremo nell’articolo 33 quota parte delle informazioni provenienti da BANDI di GARA e CONTRATTI ( articolo 37 commi 1 e 2 ) e da CONSULENTI e COLLABORATORI ( articolo 15 comma 1 e 2). – l’indicazione dell’ammontare complessivo dei debiti e delle imprese ( e professionisti) creditrici.  

Per la lettura dei post un po’ più vecchiotti :

ELEZIONI TRASPARENTI, legge SPAZZA-CORROTTI e GDPR

Più volte ho sottolineato che la privacy non è disciplinata dal GDPR che ha invece l’obiettivo di dettare politiche per il corretto trattamento dei dati e la libera circolazione degli stessi , basta leggere il titolo corretto del GDPR.

La protezione dei dati non è il diritto fondamentale ASSOLUTO, ma va contemperato con altri diritti fondamentali, proporzionalmente. ( IV considerando).

Già abbiamo visto che alcuni diritti hanno valore superiore ( e non derogatorio) alla riservatezza delle informazioni personali, cfr questo post

Sulla stessa lunghezza d’onda si muove il comma 15 articolo 1 della legge 3/2019, la spazza-corrotti per intenderci, che istituisce la sezione del sito “ELEZIONI TRASPARENTI”

In questa nuova sezione andranno pubblicati i curricula dei candidati nonchè i certificati penali.

15. In apposita sezione, denominata «Elezioni trasparenti», del sito internet dell’ente cui si riferisce la consultazione elettorale, ovvero del Ministero dell’interno in caso di elezioni del Parlamento nazionale o dei membri del Parlamento europeo spettanti all’Italia, entro il settimo giorno antecedente la data della consultazione elettorale, per ciascuna lista o candidato ad essa collegato nonche’ per ciascun partito o movimento politico che presentino candidati alle elezioni di cui al comma 14 sono pubblicati in maniera facilmente accessibile il curriculum vitae e il certificato penale dei candidati rilasciato dal casellario giudiziale non oltre novanta giorni prima della data fissata per l’elezione, gia’ pubblicati nel sito internet del partito o movimento politico ovvero della lista o del candidato con essa collegato di cui al comma 11, primo periodo, previamente comunicati agli enti di cui al presente periodo. La pubblicazione deve consentire all’elettore di accedere alle informazioni ivi riportate attraverso la ricerca per circoscrizione, collegio, partito e per cognome e nome del singolo candidato. Con decreto del Ministro dell’interno, da emanare entro novanta giorni dalla data di entrata in vigore della presente legge, sono definite le modalita’ tecniche di acquisizione dei dati su apposita piattaforma informatica.

Questa parte del sito istituzionale ( ma anche tutte le altre sezioni che contengono dati personali, anche non particolari) dovrà essere conformata con il combinato articolo 32 GDPR e Deliberazione 02/03/2011 del Garante Protezione dei dati Personali del Garante Protezione dei dati Personali.

Ed ora viene il bello… non occorre nessun consenso, come quasi sempre mi piace aggiungere . Infatti c’è l’espressa previsione di legge per il trattamento dei dati personali-particolari-di appartenenza politica, dapprima nel considerando 56, poi nell’arcinoto ( almeno così dovrebbe essere ) articolo 6 paragrafo 1 lettera e) , nonché articolo 9 paragrafo 2 lett. b ) GDPR, senza contare le norme settoriali, D.P.R. 16 maggio 1960, n. 570; Legge 21 marzo 1990, n. 53; Legge 25 marzo 1993, n. 81; D.P.R. 28 aprile 1993, n. 132; D.Lgs. 12 aprile 1996, n. 197; Legge 30 aprile 1999, n. 120; D.Lgs. 18 agosto 2000, n. 267 e cosi via.

BASTA L’INFORMATIVA, non serve consenso. Ovviamente diviene indispensabile il ruolo del DPO che dovrà imporre un tempo non eccessivo di pubblicazione dei dati in ELEZIONI TRASPARENTI, anche in ossequio alle LL.GG sulla pubblicità legale degli atti AGID del maggio 2016 .

Grazie di tutto, vi allego una piccola informativa da adattare ovviamente alle vostre esigenze , in rosso le parti da utilizzare se si rientra nell’ambito del comma 15 dell’articolo 1 della spazza-corrotti. I Comuni miei clienti che hanno elezioni sono pregati di avvisarmi per l’inserimento del trattamento nel registro articolo 30.

Devo ringraziare per il supporto l’amico dott. Raffaele Rosolia

Il Piano triennale per l’informatica nella PA ed il vostro C@ronte, il RTD

Ci siamo, la MONTAGNA ha partorito e non è un topolino, ma un complesso documento STRATEGICO ( e non normativo ) composto dalle 90 AZIONI che come PA dobbiamo affrontare.

In questo primo passaggio analizzeremo solo pochi aspetti del PIANO restando in attesa dell’evoluzione della guida dinamica.

certamente è importante visualizzare e memorizzare questo schema contenuto nel PIANO e vediamo gli aspetti fondamentali subito, almeno i più importanti.

  • Digital by default ( La PA è nativa digitale e cosi i suoi documenti
  • Once only ( i dati e le credenziali del cittadino sono uniche )
  • Digital identity only ( e vai con lo SPID)
  • CLOUD FIRST ( sarà l’architettura unica degli applicativi PA)

Nel piano triennale 19-21 c’è continuita con i data center della PA ( circ 2 e 3 2018 AGID) e tra poco saranno evidenti anche i risultati del censimento ultimo, vi rimando all’articolo

I risultati saranno comunque raggruppati in tre categorie :

  • Poli strategici ( il risultato ottimale )
  • Data Center cat A ( destinati a scomparire ma non nel breve periodo )
  • Data Center cat B ( di breve vita )

Anche questa classificazione mira al concetto del CLOUD nella PA…quindi non compratevi nuovi SERVER.

Una novità auspicata ( in attesa entro il primo semestre ) è l’attuazione dell’articolo71 del CAD sulla gestione unica delle diverse direttive ( dpcm ) sulla gestione del documento , eh si !!! a breve la LLGG sulle norme tecniche del ciclo di vita del documento informatico.

Ancora aspettiamoci un nuovo concetto ( e non l’eliminazione del protocollo ) che andrà ad attuare l’articolo 40 ter del cad

Art. 40-ter (( (Sistema pubblico di ricerca documentale).)) ((1. La Presidenza del Consiglio dei ministri promuove lo sviluppo e la sperimentazione di un sistema volto a facilitare la ricerca dei documenti soggetti a obblighi di pubblicita’ legale, trasparenza o a registrazione di protocollo ai sensi dell’articolo 53 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, e di cui all’articolo 40-bis e dei fascicoli dei procedimenti di cui all’articolo 41, nonche’ a consentirne l’accesso on-line ai soggetti che ne abbiano diritto ai sensi della disciplina vigente.))

e poi…. tutto passa in mano ai RESPONSABILI DELLA TRANSIZIONE, evviva !!!!

Io ho raccolto la sfida.

Iiitalia SI, Italia No..RRROtazione Si rotazione NO, la terra dei CACHI. PITTA SALENTINA e PIADINA ROMAGNOLA.

Nell’attesa di approfondire la nuova LLGG 4 Anac, ed il recepimento del concetto del bagattellare ( articolo 1 comma 130 L 145/18) alle procedure super semplificate ( affidamento e contrarre in un unico atto) , facciamo un breve riepilogo giurisprudenziale sulla rotazione ( degli inviti ).

Premettendo che motivare l’affidamento ( diretto o negoziato, lett a o b ) è sempre evento eccezionale e mai la norma ( e se per anni rinnovo sempre eccezionalmente posso avere qualche problemino ) , vi ricordo che quando vado in MEPA è importante tenere conto di due cose :

  • l’articolo 53 comma 3 delle regole e-procurement prevede l’obbligo del pagamento dell’imposta di bollo e che responsabile della riscossione è la PA che ne bandisce la negoziazione .
  • quando utilizzo la lettera b dell’articolo 36 comma 2 è sempre prevista la garanzia provvisoria ( Delibera 140/19 ANAC) vedi post

Ora un poco di TAR, partiamo dal Salento con la sentenza 1322/2018 TAR LECCE, ove chiarisce che l’invito a rispondere ad una RDO ove sono invitati tutti gli operatori, anche l’affidatario uscente, non equivale a procedura aperta ex articolo 60, per un motivo semplice l’apertura pensata dal legislatore non può precludersi agli operatori del mercato elettronico, l’apertura deve essere per tutti , intra ed extra MEPA.

Diametralmente opposta sembra e sottolineo S E M B R A la decisione del TAR Bologna 519/18, analizziamola bene e capiamone la forte differenza.

Il TAR Romagnolo non vede nessuna lesione della concorrenza in forza del vantaggio dell’operatore uscente se prima della RDO del MEPA c’è manifestazione d’interesse pubblicata sul profilo del committente ai sensi del combinato articolo 29 codice dei contratti e 37 FOIA.

Successivamente , dando almeno 15 giorni, procedo ad una richiesta di RDO allargata dai potenziali concorrenti che nel frattempo possono essersi inseriti in MEPA, e non escludo dall’invito l’uscente che ha richiesto di essere invitato.

Sembra una lotta culinaria, chi vince tra la PITTA salentina e la PIADINA romagnola ? …. the WINNER IS ….

…..In medio stat virtus , sfruttiamo un’altra opportunità ed andiamo tranquilli, la funzione RDO APERTA del MEPA.

Questo sistema a differenza delle RDO ( chiuse ) ed allargate a tutti gli operatori crea un AVVISO accessibile a tutti, non solo agli iscritti al sistema di e – procurement, quindi non lesivo della concorrenza , a mio modesto parere è la migliore soluzione auspicabile anche perchè convergente all’articolo 58 del codice dei contratti che riporto

Art. 58 (Procedure svolte attraverso piattaforme telematiche di negoziazione) 1. Ai sensi della normativa vigente in materia di documento informatico e di firma digitale, nel rispetto dell’articolo 52 e dei principi di trasparenza, semplificazione ed efficacia delle procedure, le stazioni appaltanti ricorrono a procedure di gara interamente gestite con sistemi telematici nel rispetto delle disposizioni di cui al presente codice. L’utilizzo dei sistemi telematici non deve alterare la parita’ di accesso agli operatori o impedire, limitare o distorcere la concorrenza o modificare l’oggetto dell’appalto, come definito dai documenti di gara. 2. Le stazioni appaltanti possono stabilire che l’aggiudicazione di una procedura interamente gestita con sistemi telematici avvenga con la presentazione di un’unica offerta ovvero attraverso un’asta elettronica alle condizioni e secondo le modalita’ di cui all’articolo 56. 3. ((COMMA ABROGATO DAL D.LGS. 19 APRILE 2017, N. 56)). 4. Il sistema telematico crea ed attribuisce in via automatica a ciascun operatore economico che partecipa alla procedura un codice identificativo personale attraverso l’attribuzione di userID e password e di eventuali altri codici individuali necessari per operare all’interno del sistema. 5. Al momento della ricezione delle offerte, la stazione appaltante trasmette in via elettronica a ciascun concorrente la notifica del corretto recepimento dell’offerta stessa. 6. ((COMMA ABROGATO DAL D.LGS. 19 APRILE 2017, N. 56)). 7. Conclusa la procedura di cui al comma 6, il sistema telematico produce in automatico la graduatoria. 8. Le procedure di gara interamente gestite con sistemi telematici possono essere adottate anche ai fini della stipula delle convenzioni di cui all’articolo 26 della legge 23 dicembre 1999, n. 488. 9. Le tecnologie sono scelte in modo tale da assicurare l’accessibilita’ delle persone con disabilita’, conformemente agli standard europei. 10. L’Agenzia per l’Italia Digitale (AGID) emana, entro il 31 luglio 2016, regole tecniche aggiuntive per garantire il colloquio e la condivisione dei dati tra i sistemi telematici di acquisto e di negoziazione.

come dire in un solo colpo risolviamo i problemi della rotazione , della gara telematica e compagnia bella, eh si la coppa di vincitore va alla tranquillità della gestione tramite procedura telematica ex articolo 58.

ed ecco a voi la coppa….

Ancora Gertrude Stein, DELIBERAZIONE 140/19/ANAC

Nel ricordarvi dell’articolo di qualche giorno fa,

devo riportarvi un’altra decisione, questa volta non del CdS ma dell’ANAC , in particolare la deliberazione 140/19.

In questa deliberazione si impone a tutte le SA che entro i 40000 euro non applicano l’istituto dell’affidamento diretto ( 36 comma 2 lett a del codice dei contratti ) di chiedere la garanzia provvisoria dell’articolo 93 comma 1 del codice.

1. L’offerta e’ corredata da una garanzia fideiussoria, denominata “garanzia provvisoria” pari al 2 per cento del prezzo base indicato nel bando o nell’invito, sotto forma di cauzione o di fideiussione, a scelta dell’offerente. Al fine di rendere l’importo della garanzia proporzionato e adeguato alla natura delle prestazioni oggetto del contratto e al grado di rischio ad esso connesso, la stazione appaltante puo’ motivatamente ridurre l’importo della cauzione sino all’1 per cento ovvero incrementarlo sino al 4 per cento. Nel caso di procedure di gara realizzate in forma aggregata da centrali di committenza, l’importo della garanzia e’ fissato nel bando o nell’invito nella misura massima del 2 per cento del prezzo base. In caso di partecipazione alla gara di un raggruppamento temporaneo di imprese, la garanzia fideiussoria deve riguardare tutte le imprese del raggruppamento medesimo. ((Nei casi di cui all’articolo 36, comma 2, lettera a), e’ facolta’ della stazione appaltante non richiedere le garanzie di cui al presente articolo.))

La decisione dell’ANAC è mio modesto parere è giusta, in quanto la norma specifica, l’articolo 103 comma 11 del codice, non prevede una doppia condizione per la richiesta della garanzia provvisoria, importo e metodologia di affidamento, ma salva ( come opzione ) solo la metodologia dell’affidamento diretto ( a prescindere dall’importo ).

E’ facolta’ dell’amministrazione in casi specifici non richiedere una garanzia per gli appalti ((di cui all’articolo 36, comma 2, lettera a), nonche’ per gli appalti)) da eseguirsi da operatori economici di comprovata solidita’ nonche’ per le forniture di beni che per la loro natura, o per l’uso speciale cui sono destinati, debbano essere acquistati nel luogo di produzione o forniti direttamente dai produttori o di prodotti d’arte, macchinari, strumenti e lavori di precisione l’esecuzione dei quali deve essere affidata a operatori specializzati. L’esonero dalla prestazione della garanzia deve essere adeguatamente motivato ed e’ subordinato ad un miglioramento del prezzo di aggiudicazione

Qualora quindi ,le SA volessero anche stando sotto i 40000 euro procedere con l’istituto dell’articolo 36 comma 2 lettera b sarebbero obbligate a chiedere la garanzia dell’articolo 93 comma 1 vedendo ridurre ancora il numero degli operatori economici e quindi la possibilità di EFFETTUARE LA ROTAZIONE DEGLI INVITI.

Vi aspetto nel week end per uno speciale sulla nuova LLGG 4 .

INCONTRO RIMANDATO – La trasformazione digitale nelle P.A.-

Uffà !!!! A causa dell’ordinanza sindacale, l’incontro di domani sarà rimandato, restiamo in contatto ed organizziamoci per i prossimo incontro, e vediamo il lato positivo delle cose….linee guida AGID in arrivo !!!!! ne discuteremo insieme.

Procedura ADEMPIENTO AGID del 31/03/2019

Dopo aver letto il post che vi ripropongo , vediamo come adempiere , prendetevi cinque minuti, non di piu.

Per prima cosa puntate il browser su accessibilita.agid.gov.it

e vi troverete questa schermata

Se è la prima volta che fate l’adempimento registratevi, altrimenti cliccate su accedi al sito, o come sempre accade, recuperate la password, non mi dilungo su questi passaggi perchè davvero semplici.


Una volta entrati nell’applicativo dobbiamo cliccare sugli obiettivi da raggiungere entro il 31/12/2019

Le scelte sono diverse, prima di tutto vedete se c’è l’atto di nomina del responsabile dell’accessibilità , altrimenti nominatelo

Le opzioni da comunicare devono essere ben ponderate, è inutile scrivere cose non raggiungibili nel breve, sarebbe un falso, le opzioni del sistema sono per gli obiettivi :

  • sito web istituzionale
  • sito web tematico
  • sito intranet
  • formazione
  • postazioni di lavoro
  • organizzazione del lavoro

Da questi obiettivi derivano quindici possibili interventi, cosi raggruppati :

  • sette per i siti web
  • due per la formazione
  • uno per le postazioni di lavoro
  • cinque per l’organizzazione del lavoro

Sembra complesso ?, no se siamo soft e veritieri negli obiettivi ,

Il primo obiettivo da raggiungere potrebbe essere quello dell’allegato A del DM Luglio 2005 / 2013

ed uno strumento per valutarne la necessità è il validatore.it

Altra cosa importantissima è abbinare la formazione al personale che deve utilizzare il sito , in modo da avere questo quadro finale :

occorre terminare con l’inserimento del link della pubblicazione dell’analisi , salvare ed inviare la pratica ed attendere la conferma , anche della validazione del link, da parte di no-reply@agid.gov.it.

L’evidenza della operazione deve essere riportata in amministrazione trasparente/altri contenuti/Accessibilità e Catalogo di dati, metadati e banche dati/obiettivi di accessibilità.

ovviamente tutta l’operazione è delegabile al vostro RTD.

BREVE FORMAT DI NOMINA RESPOSANBILE ACCESSIBILTA’

Accessibilità (web) , controlli ed adempimenti

L’articolo 9 comma 7 del DL 179/12 impone i controlli e la verifica dell’accessibilità sui siti web delle PPAA.

La scadenza è per il 31 Marzo.

Sarà l’ultimo anno che l’accessibilità verra valutata sulla legge 4/2004 pura.

Dal prossimo anno la validazione obbligatoriamente dovrà tener conto delle modifiche apportate dal D.lgs 108/16.

Vi riporto i post vecchi per gli approfondimenti .Ovviamente resto a disposizione anche per l’operatività dell’adempimento.

La trasformazione digitale nelle P.A.



Martedì 12 Marzo 2019 ore 14,00
Presso l’ I.I.S. Vittorio Emanuele II di via Barbagallo, 32 – Napoli
 


L’incontro organizzato da Horizon in collaborazione con il Dott. Vincenzo De Prisco,  responsabile della transizione digitale, membro del forum sull’e-procurement istituito dall’ AGID, vuole approfondire l’evoluzione della normativa vigente nelle P.A. affrontando alcuni temi importanti:

  • DPORPDRTRTD: figure, funzioni o persone
  • Trasparenza o riservatezza ? 
  • Informative e liberatorie, consenso o dissenso? Social o asocial?
  • Il nuovo modo di scrivere gli atti: il CAD

 ed inoltre:

  • Uniformità e riconoscibilità dei siti web istituzionali
  • Migrazione dal dominio “.gov.it ” a “.edu.it ” (regolamento e tempi)
  • Le soluzioni Horizon
L’invito è rivolto principalmente ai:
Dirigenti Scolastici – D.s.g.a. – Animatori Digitali – Team Digitale
– Funzioni Strumentali. 
Copyright © 2018 – Horizon srls, All rights reserved.
www.progettohorizon.com

E-mail:
info@progettohorizon.comTel.081-18337079

compila il modulo di partecipazione

Gertrude Stein , Francesco De Gregori , Affidamenti e rotazione dopo la L. 145/18 ed il parere 445/2019 del Consiglio di Stato,

Come in un vecchio post che riporto

ricordo Gertrude Stein nel suo “una rosa è una rosa è una rosa ” e la bellissima ” Ragazza del ’95 ” del mitico De Gregori .

Recentemente il CdS con la pronuncia 445 ha ribadito l’inutilità di indagini od altre procedure similari quando si ha prontezza delle condizioni generali di fornitura od espletamento di un servizio.

Per dirla tutta, le modifiche apportate al Codice dei contratti dal 56/17 e la LG 206/2018 non hanno in molti casi prodotto gli effetti sperati.

La motivazione dell’affidamento diretto ( anche senza previa consultazione di due o più OE) va certamente fatta , ma l’obbligo è da ricercarsi negli articoli 3 l. 241/90 e 191 TUEL.

Altra grande novità non sfruttata della deliberazione 206/2018 ANAC è la possibilità di non assoggettare alla rotazione gli “inviti” allo stesso OE che partecipa a procedure di range di prezzi diversi, ma per questo si consiglia l’utilizzo di un regolamento .

Poniamo però l’attenzione su un aspetto fondamentale, questo regolamento a differenza di quello degli acquisti ex articolo 125 del previgente D.Lgs 163/06 non è obbligatorio, l’assenza non inficia gli acquisti sotto soglia ( 35 d.lgs 50/16) ma agevola la gestione e permette di coordinare meglio inviti per il principi di rotazione.

Con le modifiche apportate all’articolo 1 comma 130 L. 145/18 , l’aumento delle spese bagattellari ad euro 5000 occorre subito muoversi e gestire il regolamento ( anche perchè le Nuove LLGG 4 non toccheranno questo aspetto ).

Mi adopero per preparare un regolamento e la modulistica necessaria agli adempimenti e prossimamente invio tutto.

nell’attesa riporto il post sulle novità della L. 145/18.

Se avete letto tutto tralasciando la visione del mitico Francesco De Gregori e della fantastica Ragazza del ’95 avete dei problemi.

Ciaoooooo

Novità ( vere o presunte ) sul CAD

Per prima cosa vi ricordo che il CAD ormai non si presenta più come un obbligo per le PA ma sempre maggiormente come un diritto per i cittadini, e questo potrebbe ( e già sta accadendo) inficiare molte procedure, anche di notificazioni delle amministrazioni pubbliche.

Iniziamo con il (ri)parlare della trasmissione dei documenti, ribadendo che le PA possono trasmettere i documenti attraverso :

  • PEO
  • PEC
  • INTEROPERABILITA’ / COOPERAZIONE APPLICATIVA

La PEO ( posta elettronica ordinaria ) non è disciplinata dal CAD per un semplice motivo, era preesistente al d.lgs 82/05 , tuttavia occorre ricordare che ha valore giuridico se è possibile accertarne la provenienza ( magari attraverso la protocollazione .

La PEC ( posta elettronica certificata ) è disciplinata sia dal CAD che dal DPR 68/2005 ed ha il vantaggio di garantire e certificare l’invio e la consegna del documento, quindi si parla di presunzione di conoscenza e non di presunzione di conoscibilità.

I servizi di INTEROPERABILITA’ /COOPERAZIONE APPLICATIVA consistono invece in una vera e propria condivisione dei servizi sulle porte di dominio dei server dell’ente

I DOMICILI DIGITALI.

Il 2019 sará l’anno di svolta per i servizi del domicilio digitale, infatti partirà anche il domicilio digitale del cittadino, e guai a non utilizzarlo qualora il cittadino lo abbia comunicato .

il domicilio digitale lo troviamo nella fonte delle definizioni all’articolo 1 comma 1 del CAD, in particolare alla lettera n-ter che riporto

((n-ter) domicilio digitale: un indirizzo elettronico eletto presso un servizio di posta elettronica certificata o un servizio elettronico di recapito certificato qualificato, come definito dal regolamento (UE) 23 luglio 2014 n. 910 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE, di seguito “Regolamento eIDAS”,valido ai fini delle comunicazioni elettroniche aventi valore legale;))

Invece all’articolo 3 bis comma 1 troviamo l’obbligo per le professioni regolamentate , per le imprese e per e per le PA di iscriversi in pubblici registri ove denunciare il proprio domicilio digitale, nello specifico i registri per le imprese ed i professionisti tenuti da INFOCAMERE ( www.inipec.gov.it ) e per le PA gestite in indicepa.gov.it

Tuttavia, come già scritto, la vera novità sarà rappresentata dall’elenco dei domicili digitale per i cittadini ed i professionisti non ordinati , per le associazioni e per tutti i soggetti ( songoli ed associati) che non rientrano nell’elencazione degli articoli 6 bis e 6 ter del D.lgs 82/05.

Infatti recita l’articolo 6 quater

(( (Indice nazionale dei domicili digitali delle persone fisiche e degli altri enti di diritto privato, non tenuti all’iscrizione in albi professionali o nel registro delle imprese). )) ((1. E’ istituito il pubblico elenco dei domicili digitali delle persone fisiche e degli altri enti di diritto privato non tenuti all’iscrizione in albi professionali o nel registro delle imprese, nel quale sono indicati i domicili eletti ai sensi dell’articolo 3-bis, comma 1-bis. La realizzazione e la gestione dell’Indice sono affidate all’AgID, che vi provvede avvalendosi delle strutture informatiche delle Camere di commercio gia’ deputate alla gestione dell’elenco di cui all’articolo 6-bis. 2. Per i professionisti iscritti in albi ed elenchi il domicilio digitale e’ l’indirizzo inserito nell’elenco di cui all’articolo 6-bis, fermo restando il diritto di eleggerne uno diverso ai sensi dell’articolo 3-bis, comma 1-bis. Ai fini dell’inserimento dei domicili dei professionisti nel predetto elenco il Ministero dello sviluppo economico rende disponibili all’AgID, tramite servizi informatici individuati nelle Linee guida, i relativi indirizzi gia’ contenuti nell’elenco di cui all’articolo 6-bis. 3. Al completamento dell’ANPR di cui all’articolo 62, AgID provvede al trasferimento dei domicili digitali contenuti nell’elenco di cui al presente articolo nell’ANPR.))

E’ importante notare l’automatismo per i professionisti, infatti il secondo comma dell’articolo 6 quater chiarisce che i professionisti ( avvocati, ingegneri, commercialisti, medici etc) avranno la c.d. ereditarietà del domicilio digitale, è però fatta salva la possibilità di usarne uno diverso da quello professionale ( avere quindi un domicilio per l’articolo 6 bis ed uno per il 6 quater).

L’articolo 47 disciplina invece molto bene , e facendo intendere che la peo resta lo strumento principale di comunicazione, le comunicazioni tra le PA.

Art. 47 Trasmissione dei documenti tra le pubbliche amministrazioni 1. Le comunicazioni di documenti tra le pubbliche amministrazioni avvengono mediante l’utilizzo della posta elettronica o in cooperazione applicativa; esse sono valide ai fini del procedimento amministrativo una volta che ne sia verificata la provenienza. Il documento puo’ essere, altresi’, reso disponibile previa comunicazione delle modalita’ di accesso telematico allo stesso. 1-bis. L’inosservanza della disposizione di cui al comma 1, ferma restando l’eventuale responsabilita’ per danno erariale, comporta responsabilita’ dirigenziale e responsabilita’ disciplinare. 2. Ai fini della verifica della provenienza le comunicazioni sono valide se: a) sono sottoscritte con firma digitale o altro tipo di firma elettronica qualificata; b) ovvero sono dotate di segnatura di protocollo di cui all’articolo 55 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445; c) ovvero e’ comunque possibile accertarne altrimenti la provenienza, secondo quanto previsto dalla normativa vigente o dalle ((Linee guida)). E’ in ogni caso esclusa la trasmissione di documenti a mezzo fax; d) ovvero trasmesse attraverso sistemi di posta elettronica certificata di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68. 3. ((I soggetti di cui all’articolo 2, comma 2, lettere a) e b),)) provvedono ad istituire e pubblicare ((nell’Indice dei domicili digitali delle pubbliche amministrazioni e dei gestori di pubblici servizi)) almeno una casella di posta elettronica certificata per ciascun registro di protocollo. ((Le pubbliche amministrazioni)) utilizzano per le comunicazioni tra l’amministrazione ed i propri dipendenti la posta elettronica o altri strumenti informatici di comunicazione nel rispetto delle norme in materia di protezione dei dati personali e previa informativa agli interessati in merito al grado di riservatezza degli strumenti utilizzati.

Cosa comporta questo nuovo assetto giuridico ( ed organizzativo ) ?

Semplice, l’obbligo di avvicinarsi al CAD per evitare che i provvedimenti amministrativi siano carenti di efficacia.

Sembrano cose campate in aria ? direi di no, infatti vi riporto la risposta ( come sempre normata ) sulle procedure di tutti i giorni, l’articolo 6 c1 quater del D.lgs 82/05.

I soggetti di cui all’articolo 2, comma 2, notificano direttamente presso i domicili digitali di cui all’articolo 3-bis i propri atti, compresi i verbali relativi alle sanzioni amministrative, gli atti impositivi di accertamento e di riscossione e le ingiunzioni di cui all’articolo 2 del regio decreto 14 aprile 1910, n. 639, fatte salve le specifiche disposizioni in ambito tributario. La conformita’ della copia informatica del documento notificato all’originale e’ attestata dal responsabile del procedimento in conformita’ a quanto disposto agli articoli 22 e 23-bis.))

Per chiarezza e semplicità di lettura riporto gli articolo 22 e 23 bis del CAD ed aggiungo il link al DPCM 13/11/14

Art. 22 (Copie informatiche di documenti analogici).

1. I documenti informatici contenenti copia di atti pubblici, scritture private e documenti in genere, compresi gli atti e documenti amministrativi di ogni tipo formati in origine su supporto analogico, spediti o rilasciati dai depositari pubblici autorizzati e dai pubblici ufficiali, hanno piena efficacia, ai sensi degli articoli 2714 e 2715 del codice civile, ((se sono formati ai sensi dell’articolo 20, comma 1-bis, primo periodo.)). La loro esibizione e produzione sostituisce quella dell’originale. ((1-bis. La copia per immagine su supporto informatico di un documento analogico e’ prodotta mediante processi e strumenti che assicurano che il documento informatico abbia contenuto e forma identici a quelli del documento analogico da cui e’ tratto, previo raffronto dei documenti o attraverso certificazione di processo nei casi in cui siano adottate tecniche in grado di garantire la corrispondenza della forma e del contenuto dell’originale e della copia.)) 2. Le copie per immagine su supporto informatico di documenti originali formati in origine su supporto analogico hanno la stessa efficacia probatoria degli originali da cui sono estratte, se la loro conformita’ e’ attestata da un notaio o da altro pubblico ufficiale a cio’ autorizzato, ((…)) secondo le ((Linee guida)). 3. Le copie per immagine su supporto informatico di documenti originali formati in origine su supporto analogico nel rispetto delle ((Linee guida)) hanno la stessa efficacia probatoria degli originali da cui sono tratte se la loro conformita’ all’originale non e’ espressamente disconosciuta. 4. Le copie formate ai sensi dei commi 1, ((1-bis,)) 2 e 3 sostituiscono ad ogni effetto di legge gli originali formati in origine su supporto analogico, e sono idonee ad assolvere gli obblighi di conservazione previsti dalla legge, salvo quanto stabilito dal comma 5. 5. Con decreto del Presidente del Consiglio dei Ministri possono essere individuate particolari tipologie di documenti analogici originali unici per le quali, in ragione di esigenze di natura pubblicistica, permane l’obbligo della conservazione dell’originale analogico oppure, in caso di conservazione sostitutiva, la loro conformita’ all’originale deve essere autenticata da un notaio o da altro pubblico ufficiale a cio’ autorizzato con dichiarazione da questi firmata digitalmente ed allegata al documento informatico. 6. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179.

Art. 23-bis (Duplicati e copie informatiche di documenti informatici). 1. I duplicati informatici hanno il medesimo valore giuridico, ad ogni effetto di legge, del documento informatico da cui sono tratti, se prodotti in conformita’ alle ((Linee guida)). 2. Le copie e gli estratti informatici del documento informatico, se prodotti in conformita’ alle vigenti ((Linee guida)), hanno la stessa efficacia probatoria dell’originale da cui sono tratte se la loro conformita’ all’originale, in tutti le sue componenti, e’ attestata da un pubblico ufficiale a cio’ autorizzato o se la conformita’ non e’ espressamente disconosciuta. Resta fermo, ove previsto, l’obbligo di conservazione dell’originale informatico.

link al DPCM 13/11/14

Detto questo è evidente che occorre cambiare il nostro modo di lavorare e le software house devono interfacciarsi con le anagrafiche degli elenchi detenuti da INFOCAMERE ai sensi dell’articolo 6 bis.

Ancora più complessa è la situazione nel caso in cui ci sia un’elezione a domicilio speciale dell’articolo 47 del cod.civ., il nostro gestionale amministrativo dovrà contenere una serie di casistiche per delle comunicazioni spot , relative al singolo atto od affare.

Buon lavoro, ovviamente sapete che C@ronte vi accompagnerà .

Consiglio anche di leggere :

DISCORSI ATTORNO AL CODICE DELL’AMMINISTRAZIONE DIGITALE, L’INUTILITA DI FIRMARE CON STAMPIGLIATURA D.LGS 39/93

Attinenze tra Monica Bellucci , Belen Rodriguez ed il codice dei contratti. La sentenza Consiglio di Stato sez. VI 19/6/2017 n. 2969.

Come risolvere alcuni problemi di normalizzazione  dei valori quando il criterio di aggiudicazione è l’offerta economicamente più vantaggiosa, articolo 95 comma 3 D.lgs 50/16.

Spesso capita, per scelta o per espressa previsione legislativa di dovere attribuire un appalto utilizzando il criterio dell’offerta economicamente più vantaggiosa.

Nel valutare la parte squisitamente economica, che (ricordo) potrebbe anche non esservi, la normalizzazione dei prezzi avviene con la semplice e nota funzione lineare scritta al fine di normalizzare il valore economico ( massimo 30 punti ) al prezzo più basso ricevuto in offerta.

Un grosso errore, consiste invece, nell’utilizzare le stesse funzioni, o tabelle ( quindi valori discreti e non lineari) anche per quanto riguarda le qualità non economiche dell’offerta.

Seppure alcune tabelle sono corrette ed indispensabili, queste sono inefficaci quando la valutazione cade sui requisiti  non quantizzabili, quando in altre parole si devono valutare le qualità delle offerte non quantificabili in numeri e valori discreti.

Da questo punto di vista è importantissima la sentenza Consiglio di Stato sez. VI 19/6/2017 n. 2969.

Proviamo a capirci con un esempio , nel valutare ai sensi del terzo comma dell’articolo 95 del codice dei contratti la fornitura di un server nevralgico per il nostro Ente abbiamo come da bando e lettera :

Massimo 30 punti per la tempestività dell’intervento tecnico

Massimo 70 punti per la qualità generale dello staff d’intervento e la professionalità

Pur essendo quantificabili come “offerta qualificativa” per il primo punto una tabella ci risolve ogni problema , ad esempio, 10 punti per interventi entro le 12 ore , 20 punti per 6 ore, 30 punti per 3 ore, ma per il valore della qualità generale come dobbiamo comportarci ? come posso normalizzare e quindi spostare la discrezionalità della commissione verso la componente tecnica allontanandomi dalla discrezionalità dell’an ?

Molti bandi sono fallaci sotto questo punto di vista, la questione non è solo teorica, nel regolamento 207/10 era prevista una specifica tecnica e che ancora deve essere utilizzata come detto dalla sentenza CdS 2969/17.

Un esempio scherzoso , forse sessista , ma efficace .

Incontro con un gruppo di amici, siamo in tre e dopo due birre ghiacciate decidiamo di fare una classifica di bellezza e le candidate sono :

Monica Bellucci (86-61-89)
Belen Rodriguez (83-65-89)
Aida Yespica  (90-61-91)
Manuela Arcuri (94-63-96)

Se decidessimo di valutarle solo in funzione delle loro misure la valutazione non sarebbe difficile ma si ridurrebbe a valorizzare maggiormente il seno od il lato B, comunque sono valutazioni che noi maschietti facciamo dopo la quinta birra e non solo due, vogliamo essere più completi e valutare la bellezza globale delle tre donne .
Come fare ? molto soggettivo ? si certamente  soggettivo , e se questo eccesso di “soggettivo’ dovesse capitare in commissione ex articolo 77 50/16 sarebbero guai .

Usciamone assieme seguendo le norme del vecchio regolamento come dice anche il CdS.
La commissione ex articolo 77 è composta da Mario, Paolo e me e subito ci viene un  dubbio, il seguente “ come poter valutare quattro bellezze così stravolgenti ?” Come ogni gruppetto di amici che bevono birra pensiamo subito ad una normalizzazione dei valori con il confronto a coppie basandoci su valori delle qualità lessicali, come più bella di …, bella uguale a , poco più bella etc

Allora proviamo a risolvere con il metodo del confronto a coppie utilizzando delle matrici triangolari di grandezza n-1.

Ogni commissario per giudicare la bellezza costruisce una semi matrice o matrice triangolare  di ampiezza n-1, cioè per le quattro ragazze la matrice sarà di questo tipo :

     
   
 

Visto che valutiamo qualità come la bellezza la normalizzazione nono può essere che semantica utilizzando la scala :

1 = Parità ;
2 = Preferenza minima  ;
3 = Preferenza piccola;
4 = Preferenza media ;
5= Preferenza grande ;
6 = Preferenza massima.

Ora ogni commissario arricchisce la sua tabella per confrontare a coppie le concorrenti , usiamo questa legenda :

Monica Bellucci -MB-
Belen Rodriguez-BR-
Aida Yespica -AY-
Manuela Arcuri -MA-

Commissario vincenzo de prisco

Come detto, valutare le ragazze in funzione delle loro misure non è complesso, in funzione della bellezza totale è più complicato, facciamo un confronto a coppie e vediamo di volta in volta la nostra preferenza basandoci sulla scala semantica. Per semplicità prima di andare in tabella ( la matrice a coppia di ragione n-1) farò un commento .

Tra Manuela Arcuri e Monica Bellucci preferisco di poco ( minimamente) Monica Bellucci.
Tra Monica Bellucci ed Aida Yespica non c’è storia, decisamente la Bellucci
Tra Monica Bellucci e Belen Rodriguez vedo la parità, nessuna prevalenza
Tra Manuela Arcuri e ed Aida Yespica preferisco mediamente l’italiana
Tra Manuela Arcuri e Belen Rodriguez preferenza grande per la Rodriguez
Tra Aida Yespica e Belen Rodriguez massima preferenza per la più giovane Belen

Come ho appuntato ? la sigla della vincitrice ed il punteggio semantico ( nel caso di parità le due sigle )

Commissario Mario

Commissario Paolo

Ovviamente i commissari hanno compilato le matrici non consultandosi tra di loro ed alla fine tirano le somme :

RISULTA VINCITRICE LA BELEN RODRIGUEZ, se ci fossimo basati solo sulle misure sarebbe stata l’ultima.

Con questo buffo esempio ho voluto focalizzare e commentare la sentenza del CdS, quando non si usano metodi e sistemi di normalizzazione commettiamo degli illeciti, anche se il D.lgs 50/16 non indica le modalità scientifiche conviene come detto in sentenza rifarci agli allegati del DPR 207/2010 .

Solo dopo questi passaggi posso usare le consuete formule lineari e tabellari, altrimenti siamo attaccabili.

Al prossimo giro sul codice degli appalti parleremo comunque delle formule matematiche e statistiche.

Whistleblowing, ci siamo.

Finalmente una risposta certa sul combinato art 54 comma 5 D.lgs 165/01 come modificato dall’articolo 1 comma 51 della L. 190/12.

Abbiamo un soluzione data dall’ANAC per la segnalazione degli illeciti e la tutela del dipendente segnalante.

Siete interessati alla soluzione ? Contattatemi.

Da divulgare ai RPC.

Riporto la notizia ANAC

Disponibile in open source il software per la gestione delle segnalazioni di illeciti

L’Autorità comunica che a partire dal 15 gennaio 2019 sarà disponibile per il riuso l’applicazione informatica “Whistleblower” per l’acquisizione e la gestione – nel rispetto delle garanzie di riservatezza previste dalla normativa vigente – delle segnalazioni di illeciti da parte dei pubblici dipendenti, così come raccomandato dal disposto dell’art. 54 bis, comma 5, del d.lgs. n. 165/2001 e previsto dalle Linee Guida di cui alla Determinazione n. 6 del 2015.

La piattaforma consente la compilazione, l’invio e la ricezione delle segnalazioni di presunti fatti illeciti nonché la possibilità per l’ufficio del Responsabile della prevenzione corruzione e della trasparenza (RPCT), che riceve tali segnalazioni, di comunicare in forma riservata con il segnalante senza conoscerne l’identità. Quest’ultima, infatti, viene segregata dal sistema informatico ed il segnalante, grazie all’utilizzo di un codice identificativo univoco generato dal predetto sistema, potrà “dialogare” con il RPCT in maniera spersonalizzata tramite la piattaforma informatica. Ove ne ricorra la necessità il RPCT può chiedere l’accesso all’identità del segnalante, previa autorizzazione di una terza persona (il cd. “custode dell’identità”).

L’applicativo e la documentazione di installazione sono disponibili sul repository Github dell’ANAC, all’indirizzo https://github.com/anticorruzione/openwhistleblowing. La distribuzione del software è regolata dalla Licenza Pubblica dell’Unione Europea (EUPL v. 1.2 https://eupl.eu/1.2/it/), che ne consente il libero uso a qualunque soggetto interessato senza ulteriore autorizzazione da parte di ANAC.

Il sistema viene fornito completo di un modello di segnalazione predisposto da ANAC che può essere completamente personalizzato dall’utilizzatore.

Per la documentazione, i rapporti periodici, la normativa ed altre informazioni sul whistleblowing vai alla sezione dedicata.

Norme sulla trasparenza bifasica sempre disattese.

La legge annuale per il mercato e la concorrenza per il 2018 ha introdotto novità di trasparenza bifasica ad oggi spesso disattese. La l. 124/17 è stata modificata, ampliandone la portata , dal decreto salviniano intitolato alla sicurezza , il DL 113/18 convertito in L. 132/18.

in particolare l’articolo 12 ter sancisce che :

Art. 12-ter (( (Obblighi di trasparenza per le cooperative sociali che svolgono attivita’ in favore di stranieri). )) ((1. Al comma 125 dell’articolo 1 della legge 4 agosto 2017, n. 124, dopo il primo periodo e’ inserito il seguente: “Le cooperative sociali sono altresi’ tenute, qualora svolgano attivita’ a favore degli stranieri di cui al decreto legislativo 25 luglio 1998, n. 286, a pubblicare trimestralmente nei propri siti internet o portali digitali l’elenco dei soggetti a cui sono versate somme per lo svolgimento di servizi finalizzati ad attivita’ di integrazione, assistenza e protezione sociale”)).

Questa attenzione nulla cambia sulla portata della norma che vede due momenti pubblicitari, uno solito ( e comunque disatteso ) in capo alle PA da inquadrare nell’articolo 26 del 33/13 che riporto :

Obblighi di pubblicazione degli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici a persone fisiche ed enti pubblici e privati. 1. Le pubbliche amministrazioni pubblicano gli atti con i quali sono determinati, ai sensi dell’articolo 12 della legge 7 agosto 1990, n. 241, i criteri e le modalita’ cui le amministrazioni stesse devono attenersi per la concessione di sovvenzioni, contributi, sussidi ed ausili finanziari e per l’attribuzione di vantaggi economici di qualunque genere a persone ed enti pubblici e privati. 2. Le pubbliche amministrazioni pubblicano gli atti di concessione delle sovvenzioni, contributi, sussidi ed ausili finanziari alle imprese, e comunque di vantaggi economici di qualunque genere a persone ed enti pubblici e privati ai sensi del citato articolo 12 della legge n. 241 del 1990, di importo superiore a mille euro. ((Ove i soggetti beneficiari siano controllati di diritto o di fatto dalla stessa persona fisica o giuridica ovvero dagli stessi gruppi di persone fisiche o giuridiche, vengono altresi’ pubblicati i dati consolidati di gruppo)). 3. La pubblicazione ai sensi del presente articolo costituisce condizione legale di efficacia dei provvedimenti che dispongano concessioni e attribuzioni di importo complessivo superiore a mille euro nel corso dell’anno solare al medesimo beneficiario. La mancata, incompleta o ritardata pubblicazione rilevata d’ufficio dagli organi di controllo e’ altresi’ rilevabile dal destinatario della prevista concessione o attribuzione e da chiunque altro abbia interesse, anche ai fini del risarcimento del danno da ritardo da parte dell’amministrazione, ai sensi dell’articolo 30 del decreto legislativo 2 luglio 2010, n. 104. 4. E’ esclusa la pubblicazione dei dati identificativi delle persone fisiche destinatarie dei provvedimenti di cui al presente articolo, qualora da tali dati sia possibile ricavare informazioni relative allo stato di salute ovvero alla situazione di disagio economico-sociale degli interessati.

Ho volutamente evidenziato il terzo comma , per l’efficacia del provvedimento.

Tuttavia, ancora più disattesa ( ASSENTE DIREI ), è la pubblicità da parte del beneficiario della provvista economica, riporto la parte finale del comma 125 della L. 124/17 evidenziandone i punti critici,

Le imprese che ricevono sovvenzioni, contributi, incarichi retribuiti e comunque vantaggi economici di qualunque genere dalle pubbliche amministrazioni e dai soggetti di cui al primo periodo sono tenute a pubblicare tali importi nella nota integrativa del bilancio di esercizio e nella nota integrativa dell’eventuale bilancio consolidato. L’inosservanza di tale obbligo comporta la restituzione delle somme ai soggetti eroganti entro tre mesi dalla data di cui al periodo precedente. Qualora i soggetti eroganti appartengano alle amministrazioni centrali dello Stato ed abbiano adempiuto agli obblighi di pubblicazione previsti dall’articolo 26 del decreto legislativo 14 marzo 2013, n. 33, le somme di cui al terzo periodo sono versate ad apposito capitolo dell’entrata del bilancio dello Stato per essere riassegnate ai pertinenti capitoli degli stati di previsione delle amministrazioni originariamente competenti per materia. Nel caso in cui i soggetti eroganti non abbiano adempiuto ai prescritti obblighi di pubblicazione di cui all’articolo 26 del decreto legislativo 14 marzo 2013, n. 33, le somme di cui al terzo periodo sono versate all’entrata del bilancio dello Stato per essere riassegnate al fondo per la lotta alla poverta’ e all’esclusione sociale, di cui all’articolo 1, comma 386, della legge 28 dicembre 2015, n. 208.

Altre modalità di pubblicità vengono date per la prima parte della stessa norma ( quella modificata dalla L. 132/18) anche grazie alla pubblicazione sui siti web istituzionali .

A decorrere dall’anno 2018, i soggetti di cui all’articolo 13 della legge 8 luglio 1986, n. 349, e successive modificazioni, i soggetti di cui all’articolo 137 del codice di cui al decreto legislativo 6 settembre 2005, n. 206, nonche’ le associazioni, le Onlus e le fondazioni che intrattengono rapporti economici con le pubbliche amministrazioni e con i soggetti di cui all’articolo 2-bis del decreto legislativo 14 marzo 2013, n. 33, nonche’ con societa’ controllate di diritto o di fatto direttamente o indirettamente da pubbliche amministrazioni, ivi comprese quelle che emettono azioni quotate in mercati regolamentati e le societa’ da loro partecipate, e con societa’ in partecipazione pubblica, ivi comprese quelle che emettono azioni quotate in mercati regolamentati e le societa’ da loro partecipate, pubblicano entro il 28 febbraio di ogni anno, nei propri siti o portali digitali, le informazioni relative a sovvenzioni, contributi, incarichi retribuiti e comunque a vantaggi economici di qualunque genere ricevuti dalle medesime pubbliche amministrazioni e dai medesimi soggetti nell’anno precedente.

REGOLAMENTO PER LE ISTITUZIONI SCOLASTICHE, D.I. 129/2018, non sbagliate scrivendo regolamenti inutili.

Arieccoci!!!!!!

E’ cambiato il testo di riferimento per le ISA, addio al 44/01 e benvenuto al decreto interministeriale n. 129/2018.

Cosa dire ?, già nato vecchio e già violentato ( ufficio complicazione affari semplici) alcuni DSGA e DS che hanno regolamentato quello che non andava regolamentato, le procedure di acquisto.

Ma andiamo in ordine.

Il punto più importante , purtroppo passato in sordina è quello della promessa, o minaccia, di adottare il SIOPE + entro breve tempo, infatti il primo articolo al comma 2 richiama il D.lgs 91/11. Si tratta di una novità importante, l’armonizzazione dei flussi , fossi in voi piuttosto che scrivere regolamenti che non servono ( e che vi vincolano ) inizierei a studiarmi il 91/2011…. ci organizziamo ?

Ancora una volta il legislatore , perdono, il regolamentatore, crea terrorismo lessicale e lascia intendere ( pur non vietandolo espressamente ) il divieto dell’anticipazione di cassa, tralasciando che spesso sfugge la gerarchia delle fonti e che esiste il D.lgs 231/02 e che quindi se non utilizzo i travasi contabili l’istituzione scolastica pagherà, senza preventiva messa in mora, interessi altissimi.

Art. 4 d.lgs 231/02 ((Termini di pagamento)) 1. Gli interessi moratori decorrono, senza che sia necessaria la costituzione in mora, dal giorno successivo alla scadenza del termine per il pagamento.

Una cosa fatta bene , a mio avviso, è la centralità del programma triennale dell’offerta formativa, più volte richiamato , ad esempio agli artt 4 ,5, ed al 44 et 45.

Però, e figuriamoci se non ci mettevo un però, ancora il legislatore ha dimenticato di ricordare ( ossimoro ? ) che la primaria norma, quella della programmazione degli acquisti su base biennale, resta disciplinata dall’articolo 21 del D.lgs 50/16 e DM 14/2018 MIT ( per tutte le PA, anche le scuole, cfr art 1 comma 2 165/01).

Riporto appresso un post.

In sintesi la programmazione articolo 4 del 129/18 deve essere una vision allungata del biennio se letta assieme all’articolo 21 della NORMA FONDAMENTALE.

Anche se non normativamente nuovo, esisteva anche nel 44/01, è dettagliatamente disciplinato l’utilizzo della carta di credito all’articolo 19, non volete usarla ?Perderete alcune occasioni di noti marketplace.

Non mancheranno complicazioni , volute, anche per l’applicazione dell’articolo21 del REGOLAMENTO 129/18, il fondo per le minute spese, che come sempre sarà scelto basso, il mio consiglio, visto il richiamo proprio del secondo comma del 21 è quello di fissare gli importi ex D.Lgs 231/07 ad euro 250 per ogni transizione, vi sembra alto ? ok non mettetelo però a 20 euro.

Ora voglio toccare tre punti che vedono un focus su due reati, il danno erariale e la violazione dell’articolo 7 del D.Lgs 165/01.

Gli articoli 41 e 42 del 129/18 dicono chiaramente che non si dovrebbero utilizzare software terzi per la gestione documentale ( 42 ) e contabile-amministrativa ( 41) , in particolare , ma ormai il danno grosso è fatto richiamando al secondo comma, ultimo capoverso, del 42 si cita l’articolo 71 del CAD ( ed io vi riporto il 61 della penultima revisione, il 179/16 )

Fino all’adozione ((delle Linee guida di cui all’articolo 71 del decreto legislativo n. 82 del 2005)), l’obbligo per le amministrazioni pubbliche di adeguare i propri sistemi di gestione informatica dei documenti, di cui all’articolo 17 del decreto del Presidente del Consiglio dei ministri 13 novembre 2014, e’ sospeso, salva la facolta’ per le amministrazioni medesime di adeguarsi anteriormente.

È chiaro che l’utilizzo di software contabili e documentali ( prima delle LLGG che ancora non sono uscite ) è rischioso, sento odore di danno all’erario.

Ancora ricordatevi che quello che può e deve essere fatto internamente con le professionalità che dovrebbero esserci, non può essere dato all’esterno, vedi articolo 43 comma 3, norma vecchia ( che trae origine dal 7 del 165/01, presente nel 44/01 ) ma sempre disattesa.

Per quanto riguarda la capacità negoziale troviamo uno strano valore, 10000 euro , leggibile all’articolo 45 comma 2 lett. a.
Pur non condividendo questa interferenza dell’organo collegiale, condivido ancora di meno, perché illegittimo, che molte ISA ( dietro spinta di associazioni di Ds e DSGA) hanno ulteriormente regolamentato la procedura, alla faccia della semplificazione. La norma contenuta nel 45 comma 2 lett a chiaramente dice che di volta in volta va deliberato, non parla di regolamenti interni, l’unico regolamento interno da adottare è quello dell’inventario ex articolo 29.

Nulla di nuovo nemmeno per l’altra norma molto disattesa, la convenzione di cassa di cui all’articolo 20 del 129/18 ( che resta sostanzialmente identico al 16 del 44/01). Le novità sono la possibilità di accordo di rete ( solo lessicale, in realtà era già esistente ) e la possibilità CONSIP ( uguale a prima).

Perchè disatteso ? Nella mia esperienza non ho . mai visto l’evidenza pubblica.

Le altre novità sono il richiamo al 33/13 e finalmente la dichiarazione esplicita di rifarsi al decreto sul codice degli appalti pubblici.

Qualche perplessità , dal punto di vista delle responsabilità, avviene per l’articolo 39, la manutenzione , che può avvenire programmando un capitolo di spesa dietro delega con l’ente locale, o …bada bada tramite anticipazione di cassa e travaso di partite, comma 2.

Problemi reali non esistono , se non quelli atavici di spese superflue, problemi gravi sono stati creati dai regolamenti degli acquisti mai citati nel decreto, a parte l’iter sempre errato ( cfr articolo 32 l. 69/09 e 12 del 33/13) i regolamenti che girano fanno acqua.

Ci lamentiamo della responsabilità eccessiva e poi in maniera illegittima vogliamo altre responsabilità, bah! , diamo i limiti dei mille auro quando poi l’articolo 1 comma 130 della l. 145/18 ha innalzato il valore ad euro 5000 ed allo stesso articolo al comma 912 gli affidamenti diretti per i lavori sono innalzati a 150000.

Come sempre, se volete, organizzatevi ed organizziamo la formazione…non sul 129 ma sul 50/16, norma dinamica e mutevole.

Le novità sul codice dei contratti pubblici , tra le quali la modifica dell’articolo 1 comma 450 L.296/06.INNALZAMENTO DAI 1000 AI 5000 EURO

Eravamo abituati a tante modifiche al codice degli appalti, dirette ed indirette , non perdiamo questa malsana abitudine, infatti anche il decreto sicurezza ha modificato il codice , e soprattutto è ormai certo che il codice verrà sostituito entro un anno, ma andiamo per ordine e leggete tutto il post, ci sono delle sorprese, vi anticipo solo che si ritornerà entro 24 mesi alla vecchia architettura, codice più regolamento.

La prima modifica, tanto reclamata ma nei fatti superflua è quella contenuta nel DL 135/18, c.d. semplificazione.

In realtà il decreto uniforma l’articolo 80 del d.lgs 50/16 all’articolo ispiratore della direttiva 2014/24/UE, il 57 comma 4.

La lettera c del quinto comma dell’articolo 80 infatti viene sdoppiata in 5 bis e 5 ter e spalmati diversamene i reati fiscali ( D.Lgs 74/00 ), contro l’industria e commercio tra quelli presupposto ex D.Lgs 231/00 ed anche reati urbanistici.

Tuttavia conviene attendere la pubblicazione delle Linee Guida n. 6 ANAC per avere una visione organica dell’impatto organizzativo sui motivi di esclusione da parte della SA .

Modifiche indirette al codice dei contratti pubblici sono state apportate anche dalla conversione del decreto sicurezza come da L. 132/18.

La norma disciplina, con modi molto persuasivi, il sub-appalto non autorizzato portandolo da contravvenzione a delitto .

Ed ora veniamo alle novità più importanti, quelle contenute nella L. 145/2018, Previsione per il 2019 ( STABILITÀ ).

La modifica maggiormente apprezzata nel lavoro quotidiano è senza dubbio l’innalzamento della soglia per gli acquisti c.d. bagatellari, infatti leggiamo all’articolo 1 comma 130 della L. 145/18 TROVIAMO

“All’articolo 1, comma 450, della legge 27 dicembre 2006, n. 296, le parole: « 1.000 euro », ovunque ricorrono, sono sostituite dalle seguenti: « 5.000 euro ». “

E’ evidente che tale innalzamento comporta che fino alla soglia di 5.000 euro non si applicano le procedure dell’articolo 40 del D.lgs 50/16, cfr anche la dichiarazione ANAC del 30 Ottobre 2018 ed il post immediatamente riportato.

Un’altra facilitazione che contiene la L. 145 è quella del comma 912 del primo articolo che innalza l’affidamento diretto dei lavori a 150.000 Euro.

“Nelle more di una complessiva revisione del codice dei contratti pubblici, di cui al decreto legislativo 18 aprile 2016, n. 50, fino al 31 dicembre 2019, le stazioni appaltanti, in deroga all’articolo 36, comma 2, del medesimo codice, possono procedere all’affidamento di lavori di importo pari o superiore a 40.000 euro e inferiore a 150.000 euro mediante affidamento diretto previa consultazione, ove esistenti, di tre operatori economici e mediante le procedure di cui al comma 2, lettera b), del medesimo articolo 36 per i lavori di importo pari o superiore a 150.000 euro e inferiore a 350.000 euro.”

E qui viene il bello !!!!

Il disegno di legge che entro 12 mesi delega al governo la riscrittura del Codice dei contratti pubblici ed entro 24 mesi uno o più regolamenti attuativi… a presto sulle ulteriori modifiche della legge di STABILITA’ per il 2019.

LL.GG. AGID Sicurezza Cibernetica. Il danno erariale. La circolare 2/2017 AGID.

Per il 2018 non occorre compilare ( più o meno ) l’allegato alla circolare 2 di Agid 2/2017.
Bisogna attendere le LL.GG. AGID sulla sicurezza , ed in funzione di queste rivedere le mms . Il documento sarà  pronte entro i primi 15 giorni di Gennaio 2019 . Come sempre il dcontenuto mira a modelli organizzativi e non solo all’acquisto di appartai ( firewall, nas, server e ferro vario ), e chiunque ancor prima di queste LL.GG. abbia fatto acquisti non proporzionati ( obbligazioni di mezzi e non di risultato come tante volte detto nel GDPR e non solo ) è a rischio danno erariale.

Le LL.GG , ripeto , sono la normale evoluzione del DPCM 01.08.15 e circolare 2/2017 AGID.

L’architettura sarà basata su tre top level, e 10 principi ( semplici ed immediati ).
L’analisi delle risultantze dell’applicazione delle LL.GG. , l’analisi dei rischi che dovrebbe essere in ogni modello GDPR ( grandi assenti ) ed il confronto con la circolare 2/2017 AGID costituirà  la base di partenza per poi fare gli investimenti ( sentiti il RTD ex articolo 17 82/05 e DPO 37 reg 2016/679).

I TRE LIVELLI .

I PRINCIPI : Politiche culturali e problemi da affrontare

II MISURE DI SICUREZZA : Cosa fare nel dettaglio per esplicare i principi enunciati nel primo livello.

III REGOLE TECNICHE : Praticamente cosa fare nel dettaglio .

Praticamente, come ci insegna l’arte e la tecnica della compliance, abbiamo le prime tre W della regola delle 5 W (WHO , WHEN, WHAT , WHY , WHERE – CHI,QUANDO,COSA,PERCHÈ, DOVE ), infatti i tre livelli rispondono alle domande PERCHE ? – COSA ? – COME ?.

Un esempio dei tre principi  potrebbe essere:

I MISURA : I dati della PA devono essere riservati ed utilizzati per fini istituzionali ( euristica )

II MISURA : di conseguenza tutti gli utenti devono essere univocamente identificti da user e password

III MISURA : le password devono essere composte da almeno 8 caratteri alfanumerici, un carattere maiuscolo ed uno speciale .

È chiaro che l’euristica, la politica data non varia, la seconda e la terza misura  potrebbero  variare ,a partire dal terzo ( analisi del contesto ) ,non otto ma magari 10 caratteri , oppure non potrebbe bastare la combinazione user e password ma anche un terzo fattore, magari biometrico.

I DIECI COMANDAMENTI – o PRINCIPI.

Principio di inventario

Per proteggere bisogna conoscere se stessi, principio fortemente analizzato in circolare 2/2017 , ABSC ID 1 e ABSC ID 2. Per proteggere gli asset devo conoscere ed avere un elenco degli asset da preservare.

Principio di attribuzione

E’ un elemento base della segregazione funzionale propria dei MOG, risponde alla domanda “conosci chi fa cosa e cosa fa cosa, ha fatto o farà ?”.

Quando si parla di trattare bene i dati è inutili spostare l’attenzione solo ed esclusivamente sulla copia e sui virus ( dimenticando sempre i dati analogici ) ma occorre sapere all’interno dell’organizzazione come viene attuato il paradigma CRUD ( CREATE. READ,UDPATE, DELETE).

Principio della pervasività

La sicurezza deve essere pervasiva, trasparente agli utilizzatori , quindi come un abito su misura ( è evidente il richiamo all’articolo 25 del GDPR).

Attenzione, per essere pervasivo uno strumento non può essere calato dall’alto ( procedure ISO ) ma disegnate dal basso con la maieutica ( proedure D.Lgs 231/01 ad esempio ).

Principio della ridondanza

Se hai valore per me, devo copiarti ed avere un sostituto valido. da un punto di vista fisico devo avere ridondanze strutturate ( RAID 5  ,server in cluster, locale o geografico, e più in generale assenza di Single Point of Failure ) .

Dal punto di vista organizzativo non devono esserci centri unici di potere all’interno di ufficio , non posso lancaiare testate nucleari da solo e non posso distruggere documenti nello stesso modo, mentre dal lato logico dovrei permettere come regola del principio della pervasività la possibilità di accedere ale informazioni con più metodologie ( web, cell, sportello etc ).

Chi tratta l’argomento da tempo non può non notar ele analogie del TIER delle LL.GG. sul DISASTER RECOVERY dell’articolo 50 bis del vecchio CAD ( 235/10).

Principio del minimo
Citazione popolare ” Tre so’ ‘e putiente: ‘o Papa, ‘o Rre e chi nun tene niente” traduzione ” i potenti sono il Papa , il Re  e chi non ha niente “.

Il Papa ed il Re hanno grossi patrimoni e le risorse per il loro presidio, chi non ha niente  non ha nulla da perdere e quel poco che ha può essere presidiato in economia.

tecnologicamente si traduce nel ridurre la superficie di attacco elimianndo tanti servizi inutili che si interfacciano sul web, organizzativamente invece si attua con le review delle utenze attivate ( ci ricolleghiamo al paradigma CRUD del primo comandamento ).

Principio del miglioramento continuo
Non restiamo mai indietro, formiamo continuamente il nostro personale sugli aspetti tecnologici e normativi.

Principio dell’Automatizzazione

L’uomo può sbagliare nei lavori ripetitivi, la mente dell’uomo deve programmare gli eventi e creare e controllare le procedure. Trattare bene i dati prevede alcuni automatismi , con i limiti ovviamente di natura etica e normati ( art 22 GDPR)

Principio della temporalità

Massima priorità agli aggiornamenti tecnologici ed alla PATCH ( ampliamente tratato nelle mms AGID ) , essenziale l’abbonamento al CERT-PA.

Principio della diversità

Chi è appassionato di automobili ? io no ma faccio un esempio .

Avete un antifurto con immobilizer sull’auto ? Avete anche il block shaft ? Si ? perche non non avete montato due antifurti di tipo immobilizer ?.

Proeggere significa differenziare i presidi di sicurezza, Un esempio da non seguire ? DUE o PIU’ FIREWALL identici. BUCATO uno, bucati gli altri.

A ben vedere è una regola biologica evolutiva .

Principio della separazione
Deve sempre vigere il principio della separation of duties , esempi sono quelli costituzionali ( separazione del potere legislativo , esecutivo e giudicante ).

Il modello di riferimento potrebbe nuovamente essere quello dei MOG ex d.lgs 231/01. In alcuni aspetti è l’atra faccia del principio della ridondanza.

Tecnologicamente si attua con avere ambienti fisici e virtuali, reti separate e soluzioni confinate in ambienti diversi. Per assurdo se virtualizzo un server fisico facendolo girare sullo stesso con un black out perdo tutto.

I dieci principi sono facilmente  individuabili in alcuni ID dell’ABSC Agid 2/2017, ad esempio nel paragrafo

ABSC 2.1.1 Stilare un elenco di software autorizzati e relative versioni necessari per ciascun tipo di sistema, compresi server, workstation e laptop di vari tipi e per diversi usi. Non consentire l’installazione di software non compreso nell’elenco.

Trovo i principi  di Inventario ,di Attribuzione , della Separazione, del Minimo .

Continuiamo la nostral DIGITAL COMMEDIA ricordando come sempre che la Conserva di POMODORO ci insegna le giuste procedure per trattare bene i dati.

Le comunicazioni elettroniche dell’ARTICOLO 40 DEL D.LGS 50/16

In attesa di intervento chiarificatore dell’ANAC, ulteriore a successivo a quello del 30/10/2018, continuiamo dopo il post già pubblicato ad approfondire le procedure .

Art. 40 (Obbligo di uso dei mezzi di comunicazione elettronici nello svolgimento di procedure di aggiudicazione) 1. Le comunicazioni e gli scambi di informazioni nell’ambito delle procedure di cui al presente codice svolte da centrali di committenza sono eseguiti utilizzando mezzi di comunicazione elettronici ai sensi dell’articolo 5-bis del decreto legislativo 7 marzo 2005, n. 82, Codice dell’amministrazione digitale. 2. A decorrere dal 18 ottobre 2018, le comunicazioni e gli scambi di informazioni nell’ambito delle procedure di cui al presente codice svolte dalle stazioni appaltanti sono eseguiti utilizzando mezzi di comunicazione elettronici.

leggendo il 40 è chiaro il rimando  ad altre due norme, il 52 degli appalti e soprattutto il 5 bis del CAD.

Art. 52 (Regole applicabili alle comunicazioni) 1. Nei settori ordinari e nei settori speciali, tutte le comunicazioni e gli scambi di informazioni di cui al presente codice sono eseguiti utilizzando mezzi di comunicazione elettronici in conformita’ con quanto disposto dal presente comma e dai commi da 2 a 9, nonche’ dal Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82. Gli strumenti e i dispositivi da utilizzare per comunicare per via elettronica, nonche’ le relative caratteristiche tecniche, hanno carattere non discriminatorio, sono comunemente disponibili e compatibili con i prodotti TIC generalmente in uso e non limitano l’accesso degli operatori economici alla procedura di aggiudicazione. In deroga al primo e secondo periodo, le stazioni appaltanti non sono obbligate a richiedere mezzi di comunicazione elettronici nella procedura di presentazione dell’offerta esclusivamente nelle seguenti ipotesi: a) a causa della natura specialistica dell’appalto, l’uso di mezzi di comunicazione elettronici richiederebbe specifici strumenti, dispositivi o formati di file che non sono in genere disponibili o non sono gestiti dai programmi comunemente disponibili; b) i programmi in grado di gestire i formati di file, adatti a descrivere l’offerta, utilizzano formati che non possono essere gestiti mediante altri programmi aperti o generalmente disponibili ovvero sono protetti da licenza di proprieta’ esclusiva e non possono essere messi a disposizione per essere scaricati o per farne un uso remoto da parte della stazione appaltante; c) l’utilizzo di mezzi di comunicazione elettronici richiede attrezzature specializzate per ufficio non comunemente disponibili alle stazioni appaltanti; d) i documenti di gara richiedono la presentazione di un modello fisico o in scala ridotta che non puo’ essere trasmesso per mezzo di strumenti elettronici; e) l’uso di mezzi di comunicazione diversi dai mezzi elettronici e’ necessario a causa di una violazione della sicurezza dei mezzi di comunicazione elettronici ovvero per la protezione di informazioni di natura particolarmente sensibile che richiedono un livello talmente elevato di protezione da non poter essere adeguatamente garantito mediante l’uso degli strumenti e dispositivi elettronici che sono generalmente a disposizione degli operatori economici o che possono essere messi loro a disposizione mediante modalita’ alternative di accesso ai sensi del comma 6. 2. Nei casi in cui non sono utilizzati mezzi di comunicazione elettronici ai sensi del terzo periodo del comma 1, la comunicazione avviene per posta o altro idoneo supporto ovvero mediante una loro combinazione. 3. Le stazioni appaltanti indicano nella relazione unica i motivi per cui l’uso di mezzi di comunicazione diversi dai mezzi elettronici e’ stato ritenuto necessario in applicazione del comma 1, terzo periodo. 4. In deroga ai commi da 1 a 3, la comunicazione orale puo’ essere utilizzata in relazione a comunicazioni diverse da quelle relative agli elementi essenziali della procedura di appalto, purche’ il contenuto della comunicazione orale sia sufficientemente documentato. A tal fine, gli elementi essenziali della procedura di appalto includono i documenti di gara, le richieste di partecipazione, le conferme di interesse e le offerte. In particolare, le comunicazioni orali con offerenti che potrebbero incidere significativamente sul contenuto e la valutazione delle offerte sono documentate in misura sufficiente e con mezzi adeguati. 5. In tutte le comunicazioni, gli scambi e l’archiviazione di informazioni, le stazioni appaltanti garantiscono che l’integrita’ dei dati e la riservatezza delle offerte e delle domande di partecipazione siano mantenute. ((Esse esaminano)) il contenuto delle offerte e delle domande di partecipazione soltanto dopo la scadenza del termine stabilito per la loro presentazione. 6. Le stazioni appaltanti possono, se necessario, richiedere l’uso di strumenti e dispositivi che in genere non sono disponibili, ma, in tale caso, offrono modalita’ alternative di accesso. Sono adeguate modalita’ alternative di accesso quelle che: a)  offrono gratuitamente un accesso completo, illimitato e diretto per via elettronica a tali strumenti e dispositivi a decorrere dalla data di pubblicazione dell’avviso, conformemente all’allegato V o dalla data di invio dell’invito a confermare interesse. Il testo dell’avviso o dell’invito a confermare interesse indica l’indirizzo Internet presso il quale tali strumenti e dispositivi sono accessibili; b)  assicurano che gli offerenti, che non hanno accesso agli strumenti e ai dispositivi in questione o non hanno la possibilita’ di ottenerli entro i termini pertinenti, a condizione che la responsabilita’ del mancato accesso non sia attribuibile all’offerente interessato, possano accedere alla procedura di appalto utilizzando credenziali temporanee elettroniche per un’autenticazione provvisoria fornite gratuitamente online; c) offrono un canale alternativo per la presentazione elettronica delle offerte. 7. Le amministrazioni aggiudicatrici e gli enti aggiudicatori possono imporre agli operatori economici condizioni intese a proteggere il carattere di riservatezza delle informazioni che i predetti soggetti rendono disponibili durante tutta la procedura di appalto. 8. Oltre ai requisiti di cui all’allegato XI, agli strumenti e ai dispositivi di trasmissione e di ricezione elettronica delle offerte e di ricezione elettronica delle domande di partecipazione si applicano le seguenti regole: a) le stazioni appaltanti mettono a disposizione dei soggetti interessati le informazioni sulle specifiche per la presentazione di offerte e domande di partecipazione per via elettronica, compresa la cifratura e la datazione; b)  le stazioni appaltanti specificano il livello di sicurezza richiesto per i mezzi di comunicazione elettronici da utilizzare per le varie fasi della procedura d’aggiudicazione degli appalti. Il livello e’ proporzionato ai rischi connessi; c) qualora ritengano che il livello dei rischi, valutato ai sensi della lettera b), sia tale che sono necessarie firme elettroniche avanzate, come definite nel Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, le stazioni appaltanti accettano le firme elettroniche avanzate basate su un certificato qualificato, considerando se tali certificati siano forniti da un prestatore di servizi di certificazione presente in un elenco di fiducia di cui alla decisione della Commissione 2009/767/CE, create con o senza dispositivo per la creazione di una firma sicura alle seguenti condizioni: 1) le stazioni appaltanti stabiliscono il formato della firma elettronica avanzata sulla base dei formati stabiliti nelle regole tecniche adottate in attuazione del Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, e attuano le misure necessarie per poterli elaborare; qualora sia utilizzato un diverso formato di firma elettronica, la firma elettronica o il supporto del documento elettronico contiene informazioni sulle possibilita’ di convalida esistenti. Le possibilita’ di convalida consentono alla stazione appaltante di convalidare on line, gratuitamente e in modo comprensibile per i non madrelingua, le firme elettroniche ricevute come firme elettroniche avanzate basate su un certificato qualificato. Le stazioni appaltanti, tramite il coordinamento della Cabina di regia, comunicano le informazioni relative al fornitore di servizi di convalida alla Commissione europea che le pubblica su internet; 2) in caso di offerte firmate con il sostegno di un certificato qualificato in un elenco di fiducia, le stazioni appaltanti non applicano ulteriori requisiti che potrebbero ostacolare l’uso di tali firme da parte degli offerenti. 9. Riguardo ai documenti utilizzati nel contesto di una procedura di appalto che sono firmati dall’autorita’ competente o da un altro ente responsabile del rilascio, l’autorita’ o l’ente competente di rilascio puo’ stabilire il formato della firma elettronica avanzata in conformita’ ai requisiti previsti dalle regole tecniche adottate in attuazione del Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82. Essi si dotano delle misure necessarie per trattare tecnicamente tale formato includendo le informazioni necessarie ai fini del trattamento della firma nei documenti in questione. Tali documenti contengono nella firma elettronica o nel supporto del documento elettronico possibilita’ di convalida esistenti che consentono di convalidare le firme elettroniche ricevute on line, gratuitamente e in modo comprensibile per i non madre lingua. 10. Per le concessioni, fatti salvi i casi in cui l’uso dei mezzi elettronici e’ obbligatorio ai sensi del presente codice, le stazioni appaltanti possono scegliere uno o piu’ dei seguenti mezzi di comunicazione per tutte le comunicazioni e gli scambi di informazioni: a)  mezzi elettronici; b)  posta; c)  comunicazione orale, anche telefonica, per comunicazioni diverse da quelle aventi ad oggetto gli elementi essenziali di una procedura di aggiudicazione di una concessione e purche’ il contenuto della comunicazione orale sia sufficientemente documentato su un supporto durevole; d)  la consegna a mano comprovata da un avviso di ricevimento. 11. Nei casi di cui al comma 10, il mezzo di comunicazione scelto deve essere comunemente disponibile e non discriminatorio e non deve limitare l’accesso degli operatori economici alla procedura di aggiudicazione della concessione. Gli strumenti e i dispositivi da utilizzare per comunicare per via elettronica, nonche’ le relative caratteristiche tecniche, devono essere interoperabili con i prodotti della tecnologia dell’informazione e della comunicazione comunemente in uso. 12. Alle concessioni ((si applicano i commi 5 e 7)).

Vediamo ora il 5 bis del CAD che come sempre considero strumentale ad ogni procedimento.

Art. 5-bis (Comunicazioni tra imprese e amministrazioni pubbliche). 1. La presentazione di istanze, dichiarazioni, dati e lo scambio di informazioni e documenti, anche a fini statistici, tra le imprese e le amministrazioni pubbliche avviene esclusivamente utilizzando le tecnologie dell’informazione e della comunicazione. Con le medesime modalita’ le amministrazioni pubbliche adottano e comunicano atti e provvedimenti amministrativi nei confronti delle imprese. 2. Con decreto del Presidente del Consiglio dei Ministri, su proposta del Ministro per la pubblica amministrazione e l’innovazione, di concerto con il Ministro dello sviluppo economico e con il Ministro per la semplificazione normativa, sono adottate le modalita’ di attuazione del comma 1 da parte delle pubbliche amministrazioni centrali e fissati i relativi termini. 3. ((AgID)), anche avvalendosi degli uffici di cui all’articolo 17, provvede alla verifica dell’attuazione del comma 1 secondo le modalita’ e i termini indicati nel decreto di cui al comma 2. 4. Il Governo promuove l’intesa con regioni ed enti locali in sede di Conferenza unificata per l’adozione degli indirizzi utili alla realizzazione delle finalita’ di cui al comma 1.

Come ulteriore riferimento per capire cosa si intende per procedura telematica è importante il CdS n. 4050 del 2016 che crea una discriminante importante , non basta l’utilizzo non armonico degli strumenti del CAD ( Firma, PEC , Mt etc ), ma è necessaria una piattaforma capace di gestire le procedure ed automatizzare le proposte discrezionali ed inoltre detti dall’alto i tempi di apertura, invito, caricamento etc etc. Allego la sentenza.

E’ importante ribadire che vige ancora l’articolo 1 comma 450 della L. 296/06.

Una cosa importante da chiarire è che il 18 ottobre è entrato in vigore solo l’articolo 40 del D.lgs 50/2016 e non il 44 , per il quale siamo in attesa di ulteriori disposizioni e regole tecniche.

Per riepilogare , e soprattutto tranquilizzare ricordo che sarà tutto piû semplice quando l’ANAC finalmente farà partire la BDNOE, nel frattempo si dovranno utilizzare  le solite procedure e… come sempre nulla di nuovo , occorre solo applicare il combinato articolo 29 del D.lgs 50/16 e 37 del D.lgs 33/13 tenendo conto del CAD.

Tutti i miei clienti otterranno nella relazione finale GDPR-ACCESSIBILITA’-TRASPARENZA una relazione puntuale sullo stato degli adempimenti.

Tempo stimato…. BEFANA 2019.

Buona Digital Commedia.

D.lgs 106/2018 e PERFORMANCE. La nuova Legge STANCA per i siti web e non solo…

La legge 4/2004, nota come STANCA, anteriore al CAD, ha fatto che l’ITALIA divenisse un punto di riferimento nell’ambito del diritto all’informazione accessibile a persone con disabilità e che i dipendenti delle PP.AA con le stesse problematiche potessero  essere agevolate nelle operazioni lavorative.

L’accessibilità non è concetto a se stante individuato solo nella legge stanca ( e poi nella modifica contenuta nel D.lgs 106/18) ma è diventata elemento caratterizzante diverse decisioni legislative.

Una figura fondamentale per l’attuazione del diritto all’accessibilità è il RTD, infatti all’articolo 17 comma 1 lett d del CAD troviamo che deve promuovere 

l’ accesso dei soggetti disabili agli strumenti informatici e promozione dell’accessibilita’ anche in attuazione di quanto previsto dalla legge 9 gennaio 2004, n. 4;

L’accessibilità, gli obiettivi della stessa norma, sono contenuti in via di principio ( costituzionale , articolo 3) nel primo articolo della L. 4/2004 che non ha subito grandi modifiche dal D.lgs 106/18.

Art. 1. (Obiettivi e finalita) 1. La Repubblica riconosce e tutela il diritto di ogni persona ad accedere a tutte le fonti di informazione e ai relativi servizi, ivi compresi quelli che si articolano attraverso gli strumenti informatici e telematici. 2. E’ tutelato e garantito, in particolare, il diritto di accesso ai servizi informatici e telematici della pubblica amministrazione e ai servizi di pubblica utilita’ da parte delle ((persone con disabilita’)), in ottemperanza al principio di uguaglianza ai sensi dell’articolo 3 della Costituzione.

Il diritto all’usabilità ed all’accessibilità non si limita al ‘ CONTENITORE SITO WEB  ISTITUZIONALE , ma in maniera pervasiva si applica anche al contenuto, infatti ci sono richiami sia nella pubblicità notiziale ( amministrazione trasaparente ) all’articolo 6 del D.lgs 33/13

Art. 6 Qualita’ delle informazioni 1. Le pubbliche amministrazioni garantiscono la qualita’ delle informazioni riportate nei siti istituzionali nel rispetto degli obblighi di pubblicazione previsti dalla legge, assicurandone l’integrita’, il costante aggiornamento, la completezza, la tempestivita’, la semplicita’ di consultazione, la comprensibilita’, l’omogeneita’, la facile accessibilita’, nonche’ la conformita’ ai documenti originali in possesso dell’amministrazione, l’indicazione della loro provenienza e la riutilizzabilita’ secondo quanto previsto dall’articolo 7. 2. L’esigenza di assicurare adeguata qualita’ delle informazioni diffuse non puo’, in ogni caso, costituire motivo per l’omessa o ritardata pubblicazione dei dati, delle informazioni e dei documenti.

che alla pubblicità legale propria dell’articolo 32 della L. 69/09, norma istitutiva della pubblicità legale on line ( ALBO PRETORIO ON LINE )

Art. 32. (Eliminazione degli sprechi relativi al mantenimento di documenti in forma cartacea) 1. A far data dal 1° gennaio 2010, gli obblighi di pubblicazione di atti e provvedimenti amministrativi aventi effetto di pubblicita’ legale si intendono assolti con la pubblicazione nei propri siti informatici da parte delle amministrazioni e degli enti pubblici obbligati. ((La pubblicazione e’ effettuata nel rispetto dei principi di eguaglianza e di non discriminazione, applicando i requisiti tecnici di accessibilita’ di cui all’articolo 11 della legge 9 gennaio 2004, n. 4. La mancata pubblicazione nei termini di cui al periodo precedente e’ altresi’ rilevante ai fini della misurazione e della valutazione della performance individuale dei dirigenti responsabili)).

E’ importante sottolineare come il legislatore  abbia voluto legare gli adempimenti sull’accessibilità con le performance del D.Lgs 150/09.

Inutile ricordare che ovviamente anche il CAD, articolo 53 c.1 ha imposto l’adeguamneto dei siti web alla l. 4/2004 ( cfr articolo 53 c.1.)

Art. 53 Siti Internet delle pubbliche amministrazioni 1. Le pubbliche amministrazioni realizzano siti istituzionali su reti telematiche che rispettano i principi di accessibilita’, nonche’ di elevata usabilita’ e reperibilita’, anche da parte delle persone disabili, completezza di informazione, chiarezza di linguaggio, affidabilita’, semplicita’ di’ consultazione, qualita’, omogeneita’ ed interoperabilita’. Sono in particolare resi facilmente reperibili e consultabili i dati di cui all’articolo 54.

Nell’attesa dell’emanazione delle linee guida dell’Agid previste dall’articolo 11 della L. 4/2004 iniziamo a prepararci lehgendo l’articolo 3 bis dell novellata Legge Stanca, evidenziando, anche se superfluo, che i destinatari degli dempimenti sono i soggetti contenuti nell’articolo 1 comma 2 del D.Lgs 165/01 ( estesi ) ma anche, qui la grossa novità, ancje le imprese di ogni dimensione che ricevono finanziamenti pubblici per l’adeguamento dei sistemi informativi .

Art. 3-bis. (( (Principi generali per l’accessibilita’). )) ((1. I siti web e le applicazioni mobili dei soggetti erogatori, sono accessibili se sono percepibili, utilizzabili, comprensibili e solidi. 2. Sono accessibili i servizi realizzati tramite sistemi informatici, inclusi i siti web e le applicazioni mobili, che presentano i seguenti requisiti: a) accessibilita’ al contenuto del servizio da parte dell’utente; b) fruibilita’ delle informazioni offerte, caratterizzata da: 1) facilita’ e semplicita’ d’uso, assicurando, fra l’altro, che le azioni da compiere per ottenere servizi e informazioni siano sempre uniformi tra loro; 2) efficienza nell’uso, assicurando, fra l’altro, la separazione tra contenuto, presentazione e modalita’ di funzionamento delle interfacce, nonche’ la possibilita’ di rendere disponibile l’informazione attraverso differenti canali sensoriali; 3) efficacia nell’uso e rispondenza alle esigenze dell’utente, assicurando, fra l’altro, che le azioni da compiere per ottenere in modo corretto servizi e informazioni siano indipendenti dal dispositivo utilizzato per l’accesso; 4) soddisfazione nell’uso, assicurando, fra l’altro, l’accesso al servizio e all’informazione senza ingiustificati disagi o vincoli per l’utente. 3. Con le linee guida adottate ai sensi dell’articolo 11, sono individuate le regole tecniche necessarie per garantire il rispetto dei principi e dei requisiti di accessibilita’ di cui ai commi 1 e 2.))

L’articolo 3 ter , invece parla di una deroga all’adempimento quando lo sforzo ( organizzativo, tecnologico, economico ) è spoporzionato secondo una parametrizzazione che verrà comunque data dall’AGID nelle LL.GG articolo 11.

Al 3 quater si riprende la rendicontazione ( da fare con la dichiarazione di accessibilità ) ed entra in gioco anche il difensore civico digitale ( che con il D.lgs 217/2017 è centrale unico ed indipendente e siede tra le file dell’AGID) .

Andando verso la chiusura ricordo che l’articolo 4 della Stanca impone che già in fase di progettazione dell’acquisto di web, software e servizi mobili occorre tener conto dei principi di accessibilità, ugual discorso per il rinnovo degli stessi servizi.

L’articolo 8 evidenzial l’importanza della formazione,



Art. 8. (Formazione) 1. Le amministrazioni di cui all’articolo 3, comma 1, nell’ambito delle attivita’ di cui al comma 4 dell’articolo 7 del decreto legislativo 30 marzo 2001, n. 165, nonche’ dei corsi di formazione organizzati dalla Scuola superiore della pubblica amministrazione, e nell’ambito delle attivita’ per l’alfabetizzazione informatica dei pubblici dipendenti di cui all’articolo 27, comma 8, lettera g), della legge 16 gennaio 2003, n. 3, inseriscono tra le materie di studio a carattere fondamentale le problematiche relative all’accessibilita’ e alle tecnologie assistive. 2. La formazione professionale di cui al comma 1 e’ effettuata con tecnologie accessibili. 3. Le amministrazioni di cui all’articolo 3, comma 1, nell’ambito delle disponibilita’ di bilancio, predispongono corsi di aggiornamento professionale sull’accessibilita’ ((, ivi inclusi quelli relativi alle modalita’ di creazione, gestione ed aggiornamento di contenuti accessibili dei siti web e delle applicazioni mobili)).

mentre l’articolo 9 ricorda della rilevanza sulla performance e della responsabilita’ amministrativa e dirigenziale degli articoli 21 e 55 del D.lgs 165/01.

Iniziamo un nuovo viaggio insieme.

​La programmazione biennale degli acquisti di beni e servizi. L’ art 21 D.Lgs 50/16 e decreto MIT 14/2018

Con il decreto MIT del 16/01/18, il  numero 14 , si rende finalmente operativo l’articolo 21 del D.Lgs 50/16, sarà infatti questo il primo anno di programmaizone economica degli acquisti di beni e servizi  su base biennale.

Analizziamo qualche aspetto dell’articolo 21 .

 Art. 21 
 
 
(( (Programma degli acquisti e programmazione dei lavori pubblici) )) 
 
  1. Le amministrazioni aggiudicatrici adottano il programma biennale
degli acquisti di beni e servizi e il programma triennale dei  lavori
pubblici, nonche' i relativi aggiornamenti annuali. I programmi  sono
approvati nel rispetto dei documenti programmatori e in coerenza  con
il  bilancio  ((e,  per  gli  enti  locali,  secondo  le  norme   che
disciplinano la programmazione economico-finanziaria degli enti)). 

Al primo comma è chiaro che gli strumenti propri dell programmazioen restano incardinati sulle norme specifiche, infatti l’obbligatorietà della programmazione del D.lgs 50/16 spinge ad uniformare i soli processi di pubbicazione senza incidere, ovviamente sugli strumenti propri di ogni Ente .

Inoltre occorre evidenziare che l’obbligo è delle amministrazini aggiudicatrici e non delle singole SA , quindi in caso di Enti complessi costituiti da più SA la programmazione deve essere aggregata ai fini dell’articolo 21, si pensi a strutture complesse come le aziende sanitarie od enti locali .

Ovviamente nella prorammazione dei beni e dei servizi dell’area ICT occorre tenere conto dell’articolo 1 comma 513 della L. 208/15, che riporto per semplicità di lettura :

L'Agenzia per l'Italia digitale  (Agid)  predispone  il  Piano
triennale per l'informatica nella  pubblica  amministrazione  che  e'
approvato dal Presidente del Consiglio dei ministri  o  dal  Ministro
delegato. Il Piano contiene, per ciascuna amministrazione o categoria
di amministrazioni, l'elenco dei beni  e  servizi  informatici  e  di
connettivita' e dei relativi costi, suddivisi in spese  da  sostenere
per innovazione  e  spese  per  la  gestione  corrente,  individuando
altresi' i beni e servizi la  cui  acquisizione  riveste  particolare
rilevanza strategica. 

E’ anche opprotuno non considerare la programmazione come un peso ulteriore, un atto programmatico sterile e foriero di problemi applicativi, deve essere vista come strumento di budget e di razionalizzazione, programmiamo bene ed iniziamo anche a qualificare i possibili OE per avere un lavoro in discesa, leghiamo quindi la programmazione biennale con la progettazione degli acquisti ( e restando sembre in ambito di informatica giuridica chiedete sempre aiuto al vostro RTD ).

Vediamo ora lo strumento del MIT attuativo dell’articolo 21, cioè l’articolo 6 del decreto 14/18.

 Art. 6 
 
 
Contenuti, ordine di priorita' del programma biennale degli  acquisti
                       di forniture e servizi 
 
  1. Le amministrazioni, secondo i propri ordinamenti e  fatte  salve
le competenze legislative  e  regolamentari  delle  regioni  e  delle
province autonome  in  materia,  adottano,  nel  rispetto  di  quanto
previsto dall'articolo 21, comma 1, secondo periodo, del  codice,  il
programma biennale degli acquisti di forniture e  servizi  nonche'  i
relativi elenchi annuali e aggiornamenti  annuali  sulla  base  degli
schemi-tipo allegati al presente decreto  e  parte  integrante  dello
stesso.  Le  amministrazioni,  ai  fini  della  predisposizione   del
programma biennale degli  acquisti  di  forniture  e  servizi  e  dei
relativi elenchi annuali e  aggiornamenti  annuali,  consultano,  ove
disponibili,  le  pianificazioni   delle   attivita'   dei   soggetti
aggregatori e delle  centrali  di  committenza,  anche  ai  fini  del
rispetto degli obblighi di utilizzo di strumenti  di  acquisto  e  di
negoziazione  previsti  dalle  vigenti  disposizioni  in  materia  di
contenimento della spesa. 
  2. Gli schemi-tipo per la programmazione biennale degli acquisti di
forniture e servizi di cui  all'Allegato  II  sono  costituiti  dalle
seguenti schede: 
    a) A: quadro delle risorse necessarie alle acquisizioni  previste
dal programma, articolate per annualita' e fonte di finanziamento; 
    b) B: elenco degli acquisti del programma con  indicazione  degli
elementi essenziali per la loro  individuazione.  Nella  scheda  sono
indicati le forniture e i servizi connessi ad un lavoro di  cui  agli
articoli da 3 a 5, riportandone il relativo CUP, ove previsto; 
    c)  C:  elenco   degli   acquisti   presenti   nella   precedente
programmazione biennale nei casi previsti dal comma  3  dell'articolo
7. 
  3. I soggetti  che  gestiscono  i  siti  informatici  di  cui  agli
articoli 21, comma 7 e 29 del codice,  assicurano  la  disponibilita'
del  supporto  informatico  per  la  compilazione  degli  schemi-tipo
allegati al presente decreto. 
  4. Ogni acquisto di forniture e servizi riportato nel programma  di
cui al comma 1 e' individuato univocamente dal CUI. Per ogni acquisto
per il quale e' previsto, e' riportato  il  CUP.  Entrambi  i  codici
vengono mantenuti nei programmi  biennali  nei  quali  l'acquisto  e'
riproposto, salvo modifiche sostanziali del progetto che ne  alterino
la possibilita' di precisa individuazione. 
  5. Per gli acquisti di cui al comma 1, nel programma biennale  sono
riportati  gli  importi  degli  acquisti  di  forniture   e   servizi
risultanti dalla  stima  del  valore  complessivo,  ovvero,  per  gli
acquisti di forniture e servizi ricompresi nell'elenco  annuale,  gli
importi del prospetto economico delle acquisizioni medesime. 
  6. Il programma biennale contiene altresi'  i  servizi  di  cui  al
comma  11  dell'articolo  23  del   codice   nonche'   le   ulteriori
acquisizioni di forniture e servizi connessi  alla  realizzazione  di
lavori previsti nella programmazione triennale dei lavori pubblici  o
di  altre  acquisizioni  di  forniture  e  servizi   previsti   nella
programmazione biennale. Gli importi relativi  a  tali  acquisizioni,
qualora  gia'  ricompresi  nell'importo  complessivo  o  nel   quadro
economico del lavoro o acquisizione ai quali sono connessi, non  sono
computati ai fini della quantificazione delle risorse complessive del
programma di cui alla scheda A dell'Allegato II. 
  7. Le acquisizioni di forniture e servizi di cui al  comma  6  sono
individuate da un proprio CUI e sono associate al CUI e al  CUP,  ove
previsto, del lavoro o dell'acquisizione al quale sono connessi. 

Quest’articolo che sembra complicarci la vita, beh, forse lo fa , ci rende gli strumenti di lavoro necessari per adempiere alla pubblicazione della programmazione, e soprattutto introduce un nuovo identificativo , il Codice Unico di Intervento ( CUI ) che può essere anche associato al più noto e rognoso Codice Unico Progetto ( CUP ) del CIPE.

Analizziamo un solo istante il formalismo del CUI, tanto sarà un nuovo codice col quale lavoreremo, è costituito da una lettera ( F di forniture o S di servizi ) , il CF dell’amministrazione aggiudicatrice, l’anno dell’intervento programmato ed un progressivo in ragione naturale .

Ritornando al sesto articolo del decreto MIT 14/18 , vi troviamo lo strumento fondamentale della programmazione biennale, l’allegato2 , costiutito da tre schede di lavoro, A,B e C, vediamole :

Il primo passo compilativo della scheda, poi vediamo tecnicamente come fare,  ha valore di armonizzazione con il piano strategico dell’ente e con il documento di programmazione tradizionale, si tratta in esrema sintesi delle fonti di coperture normali e meno ( 191 del 50 ed articolo 3 DL 310/90 entrate su gestione del patrimonio immobiliare) .

La scheda B, esplode ed analizza quanto gestito solo come flusso di cassa dalla scheda A, analizziamo solo qualche particolarità :

– CUI, già trattato , sarà un nuovo caro amico

– Prima annualità …. , la prima volta che appare nel piano ex articolo 21

– Annualità nella quale si prevede di dare avvio, in sintesi l’anno in cui si procederà a determinare

–  CUP, qualora il bene / servizio sia assoggettato al CUP ( sia master che proprio) , il sistema MIT è collegato al CIPE, quindi ci sono i controlli   incrociati tra CUI e CUP, ovviamente il CUP non è obbligatorio qualora non ricorrano gli estremi dell’articolo 11 della L. 3/3003 e deliberazione CIPE 24/2004.

– Acquisto ricompreso…. e CUI , evidentemente sono legati e serve per alcuni scomputi al fine della quadratura e dell’armonizzazione

– CPV , attenzione è sempre fastidioso individuare il CPV, se soggetto a CUP confrontore con il CUP generato

– Livello di priorità , riporto il decimo comma dell’articolo 6 decreto MIT 14/18

10. Il programma biennale degli acquisti  di  forniture  e  servizi
riporta l'ordine di priorita'. Nell'ambito  della  definizione  degli
ordini di priorita' le amministrazioni individuano come prioritari  i
servizi  e  le  forniture  necessari  in  conseguenza  di   calamita'
naturali, per garantire gli interessi pubblici primari, gli  acquisti
aggiuntivi per il completamento di forniture o  servizi,  nonche'  le
forniture e i servizi cofinanziati con fondi europei, e le  forniture
e i servizi per i quali ricorra la possibilita' di finanziamento  con
capitale privato maggioritario. 

I campi sopra descritti sono solo quelli critici, gli altri richiedono informazioni ormai comuni.

Ultima precisazione sulla scheda B dell’allegato 2, qualora si faccia ricorso alle CUC occorre nel rigo di riferimento dell’acquisto inserire il codice AUSA.

La scheda C dell’allegato 2 sarà da utilizzare nell’invio del 2019 per rettificare il piano 2018-2020.

Ora cerchiamo operativamente di capire come proseguire.

Prima cosa, puntare su www.serviziocontrattipubblici.it e registrarsi .

Appare l’avviso per i vecchi registrati ad AliProg4

ATTENZIONE: il servizio AliProg4 è stato dismesso!

Gli utenti che hanno utilizzato AliProg4 per la pubblicazione sul servizio SCP e risultano abilitati al servizio ad agosto 2018, possono accedere direttamente dai link sotto elencati al nuovo servizio Programmazione. Troveranno nel nuovo sistema i dati dei programmi pregressi.

Gli utenti che hanno utilizzato AliProg4 per l’esportazione del file XML potranno accedervi ancora da qui fino a dicembre 2018, per recuperare gli eventuali dati esportandoli in formato XML. Oltre tale periodo il servizio verrà definitivamente dismesso e non saranno più recupeabili i dati.

Poi selezioniamo la regione di appartenenza della PA

Ed indichiamo che si tratta di una nuova registrazione o subentro

A questo punto si procede con la compilazione dei form necessaria a generare il file da firmare digitalmente e caricare sul sistema.

Terminata la fase di reigistrazione si può accedere all’applicativo MIT

Nell’applicativo occorre inserire il nuovo acquisto e compilare le diverse schermate ( che andranno a generare le schede A e B dell’allegato 2)

Come si può vedere il sistema insiste molto sulla differenza tra le voci ecomoniche e finanziarie di progetto e programmazione per una migliori gestione del bilancio pervisionale ( di raccordo ).

Ad ogni inserimento conviene utilizzare la procedure CONTROLLO DATI INSERITI, il report che ne esce è davvero utile

Terminate le fasi di inserimento del progetto ( A ) e degli investimenti prospettici ( B ) si può procedere con la funzione di pubblicazione con il tasto PUBBLICA

ricordando però che la pubblicazione avviene solo sul SCP e che sarà nostro onere pubblicare anche sulla nostra amministrazione trasparente utilizzando anche il sistema di restituzione di link ex articolo 9 bis comma 2 d.lgs 33/13.

Per la pubblicazione triennale dei lavori , cambiano i link ma le procedure sono le stesse ed occorre fare riferimento all’allegato 1 del decreto MIT.

In allegato il MIT 14/2018.

Vista la fretta il presente è da considerarsi come bozza ( per gli errori di digitazione che non ho voglia di controlalre ) .

In caso di dubbi , i miei contatti li conoscete.

Buon ponte di ognissanti, forse leggendo il post qualche santo verrà evocato.

E se fossimo noi i Responsabili GDPR ? Un caso concreto.

Il responsabile del trattamento ( che come è stato ulteriormente chiarito dal D.Lgs 101/18 è diverso dal responsabile “interno” del codice d.lgs 196/03, tanto che l’articolo 27 ne abroga il contenuto ) è una sorta di terzista del trattamento . Negli enti locali ( invero in tutte le strutture complesse ), diamo per scontato di essere  sempre i nominanti verso terzi di una lettera ex art 28 GDPR.

In realtà puo capitare di essere nominati , perchè per conto di altra PA trattiamo i  dati, ad esempio in forza di un accordo ex articolo 15 l. 241/90.

Un esempio ? L’ISTAT nomina il Comune di Paperopoli responsabile per taluni censimenti ( raccolta ). In questo caso il Comune di Paperopoli deve redigere un ulteriore registro delle attivita ( articolo 30 paragrafo 2 del GDPR) .

Nella lettera di nomina del titolare ( che ricordo non è il Comune di Paperopoli, ma l’ISTAT ) ci devono essere tutte le indiacazioni dell’articolo 28 e le indicazioni indispensabili per il corretto trattamento . La nomina deve essere in forma scritta ( come da articolo 20 comma 1 bis D.lgs 82/05) .

Resta inteso che gli obblighi contenuti nell’articolo 28 della L. 241/90 restano in capo al dipendnete designato incaricato dal responsabile.

Appresso l’articolo 28 del GDPR

Articolo 28

Responsabile del trattamento

1.   Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

2.   Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.

3.   I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:

a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;
b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
c) adotti tutte le misure richieste ai sensi dell’articolo 32;
d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;
e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;
f) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati; e
h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.

Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.

4.   Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.

5.   L’adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo.

6.   Fatto salvo un contratto individuale tra il titolare del trattamento e il responsabile del trattamento, il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 del presente articolo può basarsi, in tutto o in parte, su clausole contrattuali tipo di cui ai paragrafi 7 e 8 del presente articolo, anche laddove siano parte di una certificazione concessa al titolare del trattamento o al responsabile del trattamento ai sensi degli articoli 42 e 43.

7.   La Commissione può stabilire clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo e secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.

8.   Un’autorità di controllo può adottare clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo in conformità del meccanismo di coerenza di cui all’articolo 63.

9.   Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è stipulato in forma scritta, anche in formato elettronico.

10.   Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione.

(Obbligo di uso dei mezzi di comunicazione elettronici nello svolgimento di procedure di aggiudicazione)

OGGI,  18 Ottobre entra in vigore l’articolo 40 del D.lgs 50/16.

Art. 40 (Obbligo di uso dei mezzi di comunicazione elettronici nello svolgimento di procedure di aggiudicazione) 1. Le comunicazioni e gli scambi di informazioni nell’ambito delle procedure di cui al presente codice svolte da centrali di committenza sono eseguiti utilizzando mezzi di comunicazione elettronici ai sensi dell’articolo 5-bis del decreto legislativo 7 marzo 2005, n. 82, Codice dell’amministrazione digitale. 2. A decorrere dal 18 ottobre 2018, le comunicazioni e gli scambi di informazioni nell’ambito delle procedure di cui al presente codice svolte dalle stazioni appaltanti sono eseguiti utilizzando mezzi di comunicazione elettronici.

Le comunicazione ed i mezzi di comunicazione elttronici sono quelli disciplinati dall’articolo 52 che richiama ovviamente i proncipi del CAD

Art. 52 (Regole applicabili alle comunicazioni) 1. Nei settori ordinari e nei settori speciali, tutte le comunicazioni e gli scambi di informazioni di cui al presente codice sono eseguiti utilizzando mezzi di comunicazione elettronici in conformita’ con quanto disposto dal presente comma e dai commi da 2 a 9, nonche’ dal Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82. Gli strumenti e i dispositivi da utilizzare per comunicare per via elettronica, nonche’ le relative caratteristiche tecniche, hanno carattere non discriminatorio, sono comunemente disponibili e compatibili con i prodotti TIC generalmente in uso e non limitano l’accesso degli operatori economici alla procedura di aggiudicazione. In deroga al primo e secondo periodo, le stazioni appaltanti non sono obbligate a richiedere mezzi di comunicazione elettronici nella procedura di presentazione dell’offerta esclusivamente nelle seguenti ipotesi: a) a causa della natura specialistica dell’appalto, l’uso di mezzi di comunicazione elettronici richiederebbe specifici strumenti, dispositivi o formati di file che non sono in genere disponibili o non sono gestiti dai programmi comunemente disponibili; b) i programmi in grado di gestire i formati di file, adatti a descrivere l’offerta, utilizzano formati che non possono essere gestiti mediante altri programmi aperti o generalmente disponibili ovvero sono protetti da licenza di proprieta’ esclusiva e non possono essere messi a disposizione per essere scaricati o per farne un uso remoto da parte della stazione appaltante; c) l’utilizzo di mezzi di comunicazione elettronici richiede attrezzature specializzate per ufficio non comunemente disponibili alle stazioni appaltanti; d) i documenti di gara richiedono la presentazione di un modello fisico o in scala ridotta che non puo’ essere trasmesso per mezzo di strumenti elettronici; e) l’uso di mezzi di comunicazione diversi dai mezzi elettronici e’ necessario a causa di una violazione della sicurezza dei mezzi di comunicazione elettronici ovvero per la protezione di informazioni di natura particolarmente sensibile che richiedono un livello talmente elevato di protezione da non poter essere adeguatamente garantito mediante l’uso degli strumenti e dispositivi elettronici che sono generalmente a disposizione degli operatori economici o che possono essere messi loro a disposizione mediante modalita’ alternative di accesso ai sensi del comma 6. 2. Nei casi in cui non sono utilizzati mezzi di comunicazione elettronici ai sensi del terzo periodo del comma 1, la comunicazione avviene per posta o altro idoneo supporto ovvero mediante una loro combinazione. 3. Le stazioni appaltanti indicano nella relazione unica i motivi per cui l’uso di mezzi di comunicazione diversi dai mezzi elettronici e’ stato ritenuto necessario in applicazione del comma 1, terzo periodo. 4. In deroga ai commi da 1 a 3, la comunicazione orale puo’ essere utilizzata in relazione a comunicazioni diverse da quelle relative agli elementi essenziali della procedura di appalto, purche’ il contenuto della comunicazione orale sia sufficientemente documentato. A tal fine, gli elementi essenziali della procedura di appalto includono i documenti di gara, le richieste di partecipazione, le conferme di interesse e le offerte. In particolare, le comunicazioni orali con offerenti che potrebbero incidere significativamente sul contenuto e la valutazione delle offerte sono documentate in misura sufficiente e con mezzi adeguati. 5. In tutte le comunicazioni, gli scambi e l’archiviazione di informazioni, le stazioni appaltanti garantiscono che l’integrita’ dei dati e la riservatezza delle offerte e delle domande di partecipazione siano mantenute. ((Esse esaminano)) il contenuto delle offerte e delle domande di partecipazione soltanto dopo la scadenza del termine stabilito per la loro presentazione. 6. Le stazioni appaltanti possono, se necessario, richiedere l’uso di strumenti e dispositivi che in genere non sono disponibili, ma, in tale caso, offrono modalita’ alternative di accesso. Sono adeguate modalita’ alternative di accesso quelle che: a)  offrono gratuitamente un accesso completo, illimitato e diretto per via elettronica a tali strumenti e dispositivi a decorrere dalla data di pubblicazione dell’avviso, conformemente all’allegato V o dalla data di invio dell’invito a confermare interesse. Il testo dell’avviso o dell’invito a confermare interesse indica l’indirizzo Internet presso il quale tali strumenti e dispositivi sono accessibili; b)  assicurano che gli offerenti, che non hanno accesso agli strumenti e ai dispositivi in questione o non hanno la possibilita’ di ottenerli entro i termini pertinenti, a condizione che la responsabilita’ del mancato accesso non sia attribuibile all’offerente interessato, possano accedere alla procedura di appalto utilizzando credenziali temporanee elettroniche per un’autenticazione provvisoria fornite gratuitamente online; c) offrono un canale alternativo per la presentazione elettronica delle offerte. 7. Le amministrazioni aggiudicatrici e gli enti aggiudicatori possono imporre agli operatori economici condizioni intese a proteggere il carattere di riservatezza delle informazioni che i predetti soggetti rendono disponibili durante tutta la procedura di appalto. 8. Oltre ai requisiti di cui all’allegato XI, agli strumenti e ai dispositivi di trasmissione e di ricezione elettronica delle offerte e di ricezione elettronica delle domande di partecipazione si applicano le seguenti regole: a) le stazioni appaltanti mettono a disposizione dei soggetti interessati le informazioni sulle specifiche per la presentazione di offerte e domande di partecipazione per via elettronica, compresa la cifratura e la datazione; b)  le stazioni appaltanti specificano il livello di sicurezza richiesto per i mezzi di comunicazione elettronici da utilizzare per le varie fasi della procedura d’aggiudicazione degli appalti. Il livello e’ proporzionato ai rischi connessi; c) qualora ritengano che il livello dei rischi, valutato ai sensi della lettera b), sia tale che sono necessarie firme elettroniche avanzate, come definite nel Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, le stazioni appaltanti accettano le firme elettroniche avanzate basate su un certificato qualificato, considerando se tali certificati siano forniti da un prestatore di servizi di certificazione presente in un elenco di fiducia di cui alla decisione della Commissione 2009/767/CE, create con o senza dispositivo per la creazione di una firma sicura alle seguenti condizioni: 1) le stazioni appaltanti stabiliscono il formato della firma elettronica avanzata sulla base dei formati stabiliti nelle regole tecniche adottate in attuazione del Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, e attuano le misure necessarie per poterli elaborare; qualora sia utilizzato un diverso formato di firma elettronica, la firma elettronica o il supporto del documento elettronico contiene informazioni sulle possibilita’ di convalida esistenti. Le possibilita’ di convalida consentono alla stazione appaltante di convalidare on line, gratuitamente e in modo comprensibile per i non madrelingua, le firme elettroniche ricevute come firme elettroniche avanzate basate su un certificato qualificato. Le stazioni appaltanti, tramite il coordinamento della Cabina di regia, comunicano le informazioni relative al fornitore di servizi di convalida alla Commissione europea che le pubblica su internet; 2) in caso di offerte firmate con il sostegno di un certificato qualificato in un elenco di fiducia, le stazioni appaltanti non applicano ulteriori requisiti che potrebbero ostacolare l’uso di tali firme da parte degli offerenti. 9. Riguardo ai documenti utilizzati nel contesto di una procedura di appalto che sono firmati dall’autorita’ competente o da un altro ente responsabile del rilascio, l’autorita’ o l’ente competente di rilascio puo’ stabilire il formato della firma elettronica avanzata in conformita’ ai requisiti previsti dalle regole tecniche adottate in attuazione del Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82. Essi si dotano delle misure necessarie per trattare tecnicamente tale formato includendo le informazioni necessarie ai fini del trattamento della firma nei documenti in questione. Tali documenti contengono nella firma elettronica o nel supporto del documento elettronico possibilita’ di convalida esistenti che consentono di convalidare le firme elettroniche ricevute on line, gratuitamente e in modo comprensibile per i non madre lingua. 10. Per le concessioni, fatti salvi i casi in cui l’uso dei mezzi elettronici e’ obbligatorio ai sensi del presente codice, le stazioni appaltanti possono scegliere uno o piu’ dei seguenti mezzi di comunicazione per tutte le comunicazioni e gli scambi di informazioni: a)  mezzi elettronici; b)  posta; c)  comunicazione orale, anche telefonica, per comunicazioni diverse da quelle aventi ad oggetto gli elementi essenziali di una procedura di aggiudicazione di una concessione e purche’ il contenuto della comunicazione orale sia sufficientemente documentato su un supporto durevole; d)  la consegna a mano comprovata da un avviso di ricevimento. 11. Nei casi di cui al comma 10, il mezzo di comunicazione scelto deve essere comunemente disponibile e non discriminatorio e non deve limitare l’accesso degli operatori economici alla procedura di aggiudicazione della concessione. Gli strumenti e i dispositivi da utilizzare per comunicare per via elettronica, nonche’ le relative caratteristiche tecniche, devono essere interoperabili con i prodotti della tecnologia dell’informazione e della comunicazione comunemente in uso. 12. Alle concessioni ((si applicano i commi 5 e 7)).

Deve essere chiara una cosa fondamentale, facciamo attenzione e tranquilizziamoci, questa norma non è dirompente ( anzi come già richiesto dall’ANCI probabilemnte verrà cassata nella modifica al Codice) ma analizziamola bene .

queste norme, sono di stretta derivazione comunitaria ed attuano gli articoli 22 ( regole delle comunicazioni ) e 90 ( periodo transitorio ) della direttiva 2014/24/UE per le gestioni ordinarie .e trovano chiara ed immediata applicazione, senza deroga alcuna , alle procedure soprasoglia dell’articolo 35 del codice appalti.

Si ricorda infatti , che la prassi è quella di utilizzare gli stumenti elettronici di CONSIP e MEPA per le procedure rientrante invece nel sottosoglia .

Quindi nella maggior parte dei casi non cambia nulla.

Ora sorge la domanda di chi pratica gli acquisti tutti i giorni, quelli c.d. bagatellari, gli infa 1000 Euro.

No, anche in questo caso non cambia nulla essendo salvo il contenuto ( norma speciale ) dell’articolo 1 comma 450 L 296/06, lo stesso vale per le scuole, anzi per maggiore chiarezza riporto il testo citato, ad oggi 18 ottobre vigente su normattiva.it.

Le amministrazioni statali centrali e periferiche, ad esclusione degli istituti e delle scuole di ogni ordine e grado, delle istituzioni educative e delle istituzioni universitarie, nonche’ gli enti nazionali di previdenza e assistenza sociale pubblici e le agenzie fiscali di cui al decreto legislativo 30 luglio 1999, n. 300, per gli acquisti di beni e servizi di importo pari o superiore a 1.000 euro e al di sotto della soglia di rilievo comunitario, sono tenute a fare ricorso al mercato elettronico della pubblica amministrazione di cui all’articolo 328, comma 1, del regolamento di cui al decreto del Presidente della Repubblica 5 ottobre 2010, n. 207. Fermi restando gli obblighi e le facolta’ previsti al comma 449 del presente articolo, le altre amministrazioni pubbliche di cui all’articolo 1 del decreto legislativo 30 marzo 2001, n. 165, nonche’ le autorita’ indipendenti, per gli acquisti di beni e servizi di importo pari o superiore a 1.000 euro e inferiore alla soglia di rilievo comunitario sono tenute a fare ricorso al mercato elettronico della pubblica amministrazione ovvero ad altri mercati elettronici istituiti ai sensi del medesimo articolo 328 ovvero al sistema telematico messo a disposizione dalla centrale regionale di riferimento per lo svolgimento delle relative procedure. Per gli istituti e le scuole di ogni ordine e grado, le istituzioni educative, tenendo conto delle rispettive specificita’, sono definite, con decreto del Ministro dell’istruzione, dell’universita’ e della ricerca, linee guida indirizzate alla razionalizzazione e al coordinamento degli acquisti di beni e servizi omogenei per natura merceologica tra piu’ istituzioni, avvalendosi delle procedure di cui al presente comma. A decorrere dal 2014 i risultati conseguiti dalle singole istituzioni sono presi in considerazione ai fini della distribuzione delle risorse per il funzionamento.

DISCORSI ATTORNO AL CODICE DELL’AMMINISTRAZIONE DIGITALE, L’INUTILITA DI FIRMARE CON STAMPIGLIATURA D.LGS 39/93

Iniziamo da oggi a trattare in modo approfondito il CAD ( dall’origine al 179/16).

Parleremo del CAD di tutti i giorni, la creazione del documento, la copia informatica, la copia dall’analogico , le notifiche e le comunicazioni.

Iniziamo con le basi, ed analizziamo una pessima abitudine che ancora esiste in molte PP.AA. nostrane.

Esiste una forte confusione tra documento massivo analogico, stampato per intenderci, e documento informatico,

In particolare girando sui siti web istituzionali ancora si vedono documento sigillati con la dicitura ” firma  autografa omessa ai sensi dell’articolo 3 del D.Lgs 39/93.”

Una piccola parentesi, ricordate della conserva di pomodoro della mia natia terra ? trattare bene i dati significa non solo conservarli, ma selezionarli dall’inizio del processo ( o del procedimento amministrativo).

Far nascere dei documenti, per poi metterli sotto vuoto, in conservazione sostitutiva , con questa postilla equivale e sprecare spazio, a conservare qualcosa di sbagliato, riporto l’articolo di legge

Art. 3. 1. ((COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179)). 2. Nell’ambito delle pubbliche amministrazioni l’immissione, la riproduzione su qualunque supporto e la trasmissione di dati, informazioni e documenti mediante sistemi informatici o telematici, nonche’ l’emanazione di atti amministrativi attraverso i medesimi sistemi, devono essere accompagnate dall’indicazione della fonte e del responsabile dell’immissione, riproduzione, trasmissione o emanazione. Se per la validita’ di tali operazioni e degli atti emessi sia prevista l’apposizione di firma autografa, la stessa e’ sostituita dall’indicazione a stampa, sul documento prodotto dal sistema automatizzato, del nominativo del soggetto responsabile.

E’ chiara l’intenzione di agevolare la firma quando i documenti sono massivi e stampati, in ogni caso questi documenti non hanno la forma del documento scritto.

Invece il documento formato ai sensi del CAD, dell’articolo 20 in particolare soddisfail requisito della forma scritta come da codice civile all’articolo 2702.

Art. 20 Validita’ ed efficacia probatoria dei documenti informatici 1. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179. ((1-bis. Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi e’ apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, e’ formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalita’ tali da garantire la sicurezza, integrita’ e immodificabilita’ del documento e, in maniera manifesta e inequivoca, la sua riconducibilita’ all’autore. In tutti gli altri casi, l’idoneita’ del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrita’ e immodificabilita’. La data e l’ora di formazione del documento informatico sono opponibili ai terzi se apposte in conformita’ alle Linee guida.))

In questo post iniziale non mi dilungherò sui diversi tipi di fima previste dal CAD ( e dall’EiDAS reg. 2014/910) , ma mi fermo con il ricordare che la firma apposta come da articolo 3 del 39/93 non produce nessun effetto, inoltre se qualche banca permettesse di far girare gli assegni senza la firma autografa ma colla dicitura ” ha firmato chi avrebbe dovuto firmare”  vi fidereste ? io no.

Alla prossima

Attenti al 18 Ottobre.

Spero di essere stato chiaro, il GDPR è un bel piatto vuoto da ornare  e guarnire ( e controllare ).

E’ una norma di riferimento, di principi di massima, ma l’applicazione settoriale deve essere contestualizzata con norme specifiche, per questo mi piace dire che non esiste la privacy ma solo il corretto trattamento dei dati.

Molti dati e molte informazioni trattate dalle PP.AA. hanno a che fare con il codice dei contratti ( e proprio in questo caso, vige il principio della trasparenza e non quello della riservatezza, cfr articolo 29 del codice e 37 del D.lgs 33/13 ).

La norma ed i modelli per gestire meglio le informazini derivano da alcune normative che mia paice definire ” le grandi assenti” :

– il codice dell’amministrazione digitale ( D.lgs 82/05)

– Codice dei beni culturali e del paesaggio ( D.lgs 42/2004 ) .

Per dirla in breve, in maniera banale, gli atti devono nascere in digitale, dematerializzati ( ai sensi dell’articolo 40 del CAD ) e sin dall’origine fanno parte del patrimonio dello Stato ( articolo 10 comma 2 lett. b D.lgs 42/2004).

Dal 18 ottobre, la generazione dei documenti digitali hanno un’ulteriore spinta, infatti entra in vigore l’articolo 40 del Codice dei Contratti.

  Art. 40 
 
 
(Obbligo  di  uso  dei  mezzi  di  comunicazione  elettronici   nello
             svolgimento di procedure di aggiudicazione) 
 
  1. Le comunicazioni e gli scambi di informazioni nell'ambito  delle
procedure di cui al presente codice svolte da centrali di committenza
sono eseguiti utilizzando mezzi di comunicazione elettronici ai sensi
dell'articolo 5-bis del decreto legislativo  7  marzo  2005,  n.  82,
Codice dell'amministrazione digitale. 
  2. A decorrere dal 18 ottobre 2018, le comunicazioni e  gli  scambi
di informazioni nell'ambito delle procedure di cui al presente codice
svolte dalle stazioni appaltanti sono eseguiti utilizzando  mezzi  di
comunicazione elettronici. 

riporto per facilità di lettura il 5 bis CAD

(Comunicazioni tra imprese e amministrazioni pubbliche).

1. La presentazione di istanze, dichiarazioni, dati e lo scambio di informazioni e documenti, anche a fini statistici, tra le imprese e le amministrazioni pubbliche avviene esclusivamente utilizzando le tecnologie dell’informazione e della comunicazione. Con le medesime modalita’ le amministrazioni pubbliche adottano e comunicano atti e provvedimenti amministrativi nei confronti delle imprese.

2. Con decreto del Presidente del Consiglio dei Ministri, su proposta del Ministro per la pubblica amministrazione e l’innovazione, di concerto con il Ministro dello sviluppo economico e con il Ministro per la semplificazione normativa, sono adottate le modalita’ di attuazione del comma 1 da parte delle pubbliche amministrazioni centrali e fissati i relativi termini.

3. ((AgID)), anche avvalendosi degli uffici di cui all’articolo 17, provvede alla verifica dell’attuazione del comma 1 secondo le modalita’ e i termini indicati nel decreto di cui al comma 2. 4. Il Governo promuove l’intesa con regioni ed enti locali in sede di Conferenza unificata per l’adozione degli indirizzi utili alla realizzazione delle finalita’ di cui al comma 1

        Vediamo velocemente cosa succederà tenedo conto il fine pubblico, creare un mercato unico ( anche nelle procedure) che potrebbe portare un incremento di posti di lavoro con circa 415 miliardi di euro circolanti .   Il processo ( spesso già digitale) sarà uniformato, in particolare lo stack abbraccia tre sottoprocessi : – Pubblicazione – Gara – Stipula   A breve, come da piano triennale per l’informatica iniziaremo quindi ad usare il portale ComproPA, ma ancora prima inizieromo ad utilizzare SIMOG 2.0 o SIMOG EVOLUTION per le comunicazioni in entrata ed in uscita verso gli altri paese UE.

I tipi di accesso alle informazioni della PP.AA.

E’ ormai chiara la mia lettura e la mia visione sulle normative ( Italiana, Europea, Leggi primarie, secondarie, terziarie e blà blà blà ).

Per corroborare il mio pensiero riporto il quarto considernado GDPR

  Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.

 È per orogoglio anche una la stringa famosa di una sentenza italiana che è arrivata ancor prima del GDPR, cass. 10280/15 sez III

IL DIRITTO ALLA PROTEZIONE DEI DATI PUR RIENTRANDO NEI DIRITTI FONDAMENTALI NON E’ UN “TOTEM AL QUALE POSSONO SACRIFICARSI ALTRI DIRITTI COSTITUZIONALMENTE GARANTITI” …IL DIRITTO ALLA PROTEZIONE DEI DATI DEVE ESSERE ” COORDINATO E BILANCIATO” CON LE NORME DI CARATTERE PUBBLICISTICO E PRIVATISTICO.

Ed ancora è bello, doveroso ed importante ricordare che trattare bene i dati non significa solo proteggerli e copiarli, si corre in questo modo il rischio di proteggere e conservare qualcosa di sbagliato, non conforme.

La protezione dalla nascita dei dati prevede ( articolo 25 GDPR ) una serie di presidi di tutela proattiva e di resilienza dei sistemi, ma nessun sistema può ben gestire le informazioni se il personale deputato all’inputazione non ha delle direttive valide, queste direttive, queste regole sono gestite e disciplinate dal Manuale della gestione documentale ex art. 5 DPCM 03/12/13.

Faccio un esempio, anzi meglio riporto un caso pratico che mi vede coinvolto.

Anni addietro per la prima volta acquistai in una grossa catena di elettronica il mio primo PC, chiesi la fattura e diedi il mio biglietto da visita .

Nella stringa DENOMINAZIONE del gestionale inserirono quanto riportato sul biglietto da visita, dott. Vincenzo De Prisco.

Ancora oggi quando acquisto qualcosa in questa catena, dando solo il mio nome e cognome io non risulto , solo dopo molte ricerche mi ricordo che sono registrato anche con il titolo di accademia .

Una buona progettazione del sistema avrebbe dovuto memorizzare il titolo in una casella di form text ininfluente sulla ricerca, ed il nominativo in una casella invece influente sulla ricerca.

Qualora il sistema blindato ( ed è il caso dei sistemi IBM AS/400) non permetta questa personalizzazione delle buone regole da manuale dovrebbero colmare questa lacuna, tipo impartire all’operatore l’istruzione di scrivere sempre il titolo accademico senza nessuna abbreviazione alla fine della stringa, oppure tra il cognome ed il nome etc etc, creare in breve delle regole certe.

Questo in un negozio privato ( anche se grande ), immaginate cosa può accadere nei protocolli e negli archivi delle PP.AA, senza regole.

È facile dire ” vabbè ma oggi i sistemi sono più performanti, basta una parolina ed esce tutto ….”, in parte è vero, ma ricordiamoci che l’ordine sistemico è il presidio fondamentale per la correttezza dei dati e soprattutto che sia nel pubblico che nel privato esistono i c.d. sistemi LEGACY, gli ereditati e che la stessa norma GDPR non impone sembre di cambiare il modo di lavorare, ricordiamoci l’incipit degli articli 25 e 32 .

In estrema sintesi, riprendo un simpatico esempio , quello della procedura delle conserve di pomodoro, nessuno conserverebbe il barattolo di conserva se questo è pieno di pomodori marci , non sterilizzati o se il contenitore ha aria all’interno, potremo ordinarli e proteggerli dal sole, ma sempre velenosi sono.

Ora riprendiamo il filo con queste regole , possiamo parlare di protezione e riservatezza solo dopo avere gestite le politiche di accesso alle informaazioni della PA .

Dunque il quesito è : quali sono i sistemi di accesso alle informazioni di una PA ( concetto allargato, vedasi art 1c. 2 d.lgs 165/01) ?

1 – certamente l’accesso documentale della L. 241/90

e poi ?

2 – Certamente l’ accesso civico tradizionale, quello semplice ( avresti dovuto pubblicare in AT, non l’hai fatto ? io cittadino guardiano ti invito a farlo )

3-  Si, non sono pienamente in sintonia, ma anche l’accesso civivo generalizzato, anche se solo in parte .

E poi ?

Il problema che spesso dimentichiamo alcuni strumenti importanti come la pubblicazione tramite Openda Data ( ricordo, con gli OD accedo ai dati informativi, non ai documenti .

Manca quello che per me rappresenta il verso sistema partecipativo, certamente un’evoluzione del potere di sindacato della 241/90, parlo dell’articolo 41 comma 2 del CAD, l’accesso ed il controllo dinamico del procedimento amministrativo per far valere i diritti dell’articolo 10 della 241.

art 41 c 2 CAD

 La pubblica amministrazione titolare del procedimento raccoglie in un fascicolo informatico gli atti, i documenti e i dati del procedimento medesimo da chiunque formati; all’atto della comunicazione dell’avvio del procedimento ai sensi dell’articolo 8 della legge 7 agosto 1990, n. 241, comunica agli interessati le modalita’ per esercitare in via telematica i diritti di cui all’articolo 10 della citata legge 7 agosto 1990, n. 241. (28)

riporto anche il 10 della 241

 Art. 10. (( (Diritti dei partecipanti al procedimento) )) 1. I soggetti di cui all’articolo 7 e quelli intervenuti ai sensi dell’articolo 9 hanno diritto: a) di prendere visione degli atti del procedimento, salvo quanto previsto dall’articolo 24; b) di presentare memorie scritte e documenti, che l’amministrazione ha l’obbligo di valutare ove siano pertinenti all’oggetto del procedimento.

Per questo motivo gran parte degli approfondimenti futuri  saranno focalizzati sulle istanze telematiche del CAD e sui sistemi di contemperazione di PRIVACY-CTD-TRASPARENZA.

Art. 10. (( (Diritti dei partecipanti al procedimento) )) 1. I soggetti di cui all’articolo 7 e quelli intervenuti ai sensi dell’articolo 9 hanno diritto: a) di prendere visione degli atti del procedimento, salvo quanto previsto dall’articolo 24; b) di presentare memorie scritte e documenti, che l’amministrazione ha l’obbligo di valutare ove siano pertinenti all’oggetto del procedimento.

Ancora sul D.lgs 101/18, corretto trattamento dei dati ed antiriciclaggio , anche per le PP.AA.

In forza di una mia lettura molto personale ( bah !!) sul GDPR mi fa piacere che il D.Lgs 101/18 avvalori la mia interpretazione ( la mia lettura…), ci sono diritti fondamentali superiori al corretto trattamento dei dati ( come chiaro anche nel  quarto considerando GDPR) , si veda l’articolo 2 octies del D.lgs 101.

Una cosa fondamentale che ci tengo a sottolineare è che la norma antiriciclaggio si applica anche alle Pubbliche Amministrazioni, invito a leggere questi articoli :

TRATTAMENTO DEI DATI ed altri DIRITTI

Trattamento dei dati Vs altri diritti…..più importanti.

Sono anni ormai, dalla prima vigenza del 196/03 per la precisione, che a differenza di altri operatori ho sempre “snobbato” la difesa della protezione dei dati personali.

Sembra strano ? Chi mi segue da più tempo ben mi capisce , sono di quelli che ha sempre chiamato la norma con il nome esatto e mai PRIVACY, anche perchè il rispetto della privacy non rientra nelle corde di consulente dell’organizzazione aziendale, penso sia più prossimo alle scienze umanistiche.

Chiariamo subito una cosa, così come la direttiva 95/46/CE ( od il nostro 196 ) non abrogò la L. 241/90 , si veda l’articolo 59 del Codice sul corretto trattamento dei dati, il Reg. 2016/679 non tocca il FOIA ( articolo 33 del D.Lgs 33/13).

articolo 59 Codice protezione dei dati (Accesso a documenti amministrativi)

Un’altra particolarità ( che dovrebbe essere la norma) è chiaramente scritta nel quarto considerando del Regolamento.

Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica

Quindi , ponderiamo l’importanza dei diritti fondamentali ( nel nostro caso l’articolo 8 della Carta di Nizza).

Oltre che il legislatore conviene ascoltare anche la giurisprudenza, infatti ….

CASSAZIONE n. 10280/15 sez III

… … IL DIRITTO ALLA PROTEZIONE DEI DATI PUR RIENTRANDO NEI DIRITTI FONDAMENTALI NON E’ UN “TOTEM AL QUALE POSSONO SACRIFICARSI ALTRI DIRITTI COSTITUZIONALMENTE GARANTITI” …IL DIRITTO ALLA PROTEZIONE DEI DATI DEVE ESSERE ” COORDINATO E BILANCIATO” CON LE NORME DI CARATTERE PUBBLICISTICO E PRIVATISTICO.

Per quanto queste affermazioni possano sembrare pensieri solo teorici, bazzecole, quisquilie, pinzellacchere da fessi se letti assieme al 19 considerando scopriremo che immediatamente ci sono evidenze pratiche nel mondo professionale e della PA , infatti :

La protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, e la libera circolazione di tali dati sono oggetto di uno specifico atto dell’Unione. Il presente regolamento non dovrebbe pertanto applicarsi ai trattamenti effettuati per tali finalità. I dati personali trattati dalle autorità pubbliche in forza del presente regolamento, quando utilizzati per tali finalità, dovrebbero invece essere disciplinati da un più specifico atto dell’Unione, segnatamente la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio Gli Stati membri possono conferire alle autorità competenti ai sensi della direttiva (UE) 2016/680 altri compiti che non siano necessariamente svolti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, affinché il trattamento di dati personali per tali altre finalità, nella misura in cui ricada nell’ambito di applicazione del diritto dell’Unione, rientri nell’ambito di applicazione del presente regolamento.

Con riguardo al trattamento dei dati personali da parte di tali autorità competenti per finalità rientranti nell’ambito di applicazione del presente regolamento, gli Stati membri dovrebbero poter mantenere o introdurre disposizioni più specifiche per adattare l’applicazione delle disposizioni del presente regolamento. Tali disposizioni possono determinare con maggiore precisione requisiti specifici per il trattamento di dati personali da parte di dette autorità competenti per tali altre finalità, tenuto conto della struttura costituzionale, organizzativa e amministrativa dei rispettivi Stati membri. Quando il trattamento dei dati personali effettuato da organismi privati rientra nell’ambito di applicazione del presente regolamento, è opportuno che lo stesso preveda la facoltà per gli Stati membri, a determinate condizioni, di adottare disposizioni legislative intese a limitare determinati obblighi e diritti, qualora tale limitazione costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia di importanti interessi specifici, comprese la sicurezza pubblica e le attività di prevenzione, indagine, accertamento e perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica. Ciò riveste particolare importanza ad esempio nel quadro del riciclaggio o di attività di medicina legale

Dalla letture combinata ( e ragionata ) si evidenzia che alcuni dei diritti del’interessato  ( cancellazione ed oblio certamente) non possono sempre essere vantati in quanto ci sono norme che pur se di pari rango hanno valenza maggiore nell’impatto sociale e della giustizia .

Alcuni casi immediati sono l’antiriciclaggio e la medicina del lavoro ,in nessun caso le esigenze di protezionedei dati personali possono prevalere sull’interesse alla sicurezza pubblica e alle attività di prevenzione dei reati .

D.lgs 39/14, certificati casellario.

Visto il periodo dell’anno, ricordo dell’obbligo per le PA ( e non solo ) di richiedere il certificato penale per tutti i soggetti che lavorano a contatto con i minori, copio appresso un vecchio post.

Giusto per intenderci, chi ha ben attuato la legge 190/12 ( quella volgarmente identificata come anticorruzione) ha già da settembre scorso attuato una serie di procedure per “evitare l’accadimento di un illecito mappato nel procedsso di risk assessment”, stesso vale per chi applica il D.Lgs 231/01, ma in chiusura di articolo torneremo ad analizzare la più grossa novità del 39/14 che certamente non è quella dei certificati penali.

Per quanta riguarda  la richiesta del certificato del casellario, in applicazione di questa norma, ad oggi, non è possibile applicare l’autocertificazione “tout court”, per un motivo semplice e logico : l’onere non è a carico del lavoratore , ma del datore di lavoro, come chiaramente scritto nell’articolo 2 comma 1 del D.lgs 39/204 .

Una dichiarazione sostitutiva può essere accettata e valida solo nelle more del controllo, come chiaramenre consigliato dal Ministero della Giustizia nella nota di chiarimento n.2 al D.lgs 39/2014 che allego.

Che sia chiaro, questo ad oggi, primo giorno di applicazione della norma.

Per tornare alle problemtiche più squisitamente legate al risk assessment della 190 e del 231, è importante iomplementare una procedura all’interno del protocollo sicurezza per il controllo ex novo delle strumentazioni informatiche in quanto l’articolo 1 impone ( tramite sanzioni) l’utilizzo di una diligenza superiore alla media per evitare che siano software che rendano la navigazione in internet “anonima”

NOTA MIN

FAQ

Dal 6 aprile 2014 chi assume nuovi dipendenti per lo svolgimento di attività a contatto con i minori dovrà richiedere il certificato del casellario ai sensi dell’art. 25 bis del DPR 313/2002. L’obbligo c’è anche nei confronti di chi è già stato assunto?

No. L’obbligo per il datore di lavoro sorge all’atto dell’assunzione e quando, scaduto il termine di durata previsto, il datore di lavoro stipuli altro e nuovo contratto con lo stesso lavoratore.

In quali casi il datore di lavoro ha l’obbligo di richiedere il certificato ai sensi dell’art. 25 bis del DPR 313/2002?

In tutti i casi in cui si instaura con la persona un rapporto contrattuale con prestazioni corrispettive, per attività che comportino un contatto diretto e regolare con i minori. L’obbligo non sorge, invece, per le forme di collaborazione che non si strutturino all’interno di un definito rapporto di lavoro.

I certificati valgono 6 mesi. Il datore di lavoro dovrà quindi richiedere il certificato ai sensi dell’art. 25 bis del DPR 313/2002 per i suoi dipendenti ogni 6 mesi?

No. Il certificato va richiesto solo al momento dell’assunzione.

In attesa del certificato richiesto dal datore di lavoro si può procedere alla stipula del contratto?

Si. In attesa dell’acquisizione del certificato, se il datore di lavoro è pubblico può acquisire dal lavoratore una dichiarazione sostitutiva di certificazione; se il datore è privato, una dichiarazione sostitutiva di atto di notorietà .

Le esenzioni dal bollo sono soltanto quelle indicate nel D.P.R. 642/72, tabella allegato B?

Le esenzioni indicate nel DPR 642/72 sono quelle principali. Altri casi di esenzione potrebbero però essere presenti in normative specifiche.

Con riferimento alle prescrizioni del D.Lgs. 39/2014, che si intende per “ attività professionali o attività volontarie organizzate che comportino contatti diretti e regolari con minori”?

Per attività professionali o attività volontarie organizzate si intende tutte le professioni o i lavori (ad es. quelle di insegnante, bidello, pediatra, allenatore, educatore) per i quali l’oggetto della prestazione comporta un contatto diretto e regolare con i minori a fronte di uno specifico rapporto di lavoro.

Attività professionali quali esempio quella di medico odontoiatra o medico pediatra che comporta attività verso i minori è assoggettata alle prescrizioni del DL 39/2014 con riferimento ai propri lavoratori dipendenti?

Si.

Sono la vice-presidente di una Associazione Culturale che organizza, tra le altre cose, corsi di scuola di musica primaria (quindi rivolti principalmente a minorenni). Per l’organizzazione di questi corsi ci avvaliamo della collaborazione di professionisti che rilasciano regolare fattura come titolari di partita iva. Ci dobbiamo ritenere datori di lavoro e quindi richiedere per questi professionisti il certificato penale del casellario giudiziale ai sensi dell’art. 25 bis del DPR 313/2002?

Si, qualora l’attività svolta dal professionista sia oggetto di un contratto, comunque qualificato, che faccia sorgere un rapporto di lavoro con prestazioni corrispettive.

link al modello 6a per la richiesta aggiornato al 7/7/2018

Si ricorda che non occorre nessun consenso sul trattamento essendo un’obbligazione di legge ( supporto normativo articolo 6 par 1 lett b,c,d,e)

Il Confronto a Coppie

Tra qualche giorno il post sarà arricchito da un tutorial per la normalizzazione dei valori aggiudicati sui requisiti qualitativi utilizzando le procedure del vecchio DPR 207/10….continuate a seguirmi

Riporto una sentenza che avvalora ulteriormente le mie raccomandazioni.

1. Nel “confronto a coppie” la comparazione tra coppie di offerte è mediata dall’ attribuzione da parte di ciascun commissario di un punteggio – che va da un minimo ad un massimo – a quella di esse che considera prevalente, e, in pari tempo, dà conto del grado di tale prevalenza ovvero di parità tra di esse.
Per espressa previsione delle linee guida di cui all’allagato G del Regolamento recato dal d.P.R. n.207 del 2010, al punteggio di ciascun commissario di gara corrisponde un giudizio di preferenza variamente graduato espresso in forma lessicale che, sommato a quello degli altri commissari, individua la preferenza della commissione sull’offerta di ciascun concorrente e che vale come motivazione del punteggio finale da essa attributo
In tal senso è del resto il costante orientamento di questo Consiglio, da cui non si ha ragione di dissentire, a mente del quale – al fine altresì di non consentire un inammissibile sindacato sul merito dei punteggi attributi dalla commissione di gara – “non sussiste alcun vizio di motivazione laddove il metodo di valutazione è basato sul c.d.confronto a coppie” (cfr., Cons.Stato, sez.III, n.2050/2015).
È appena il caso di aggiungere che, una volta accertata la correttezza dell’applicazione del metodo del confronto a coppie ovvero quando non ne sia stato accertato l’uso distorto o irrazionale, non c’è spazio alcuno per un sindacato del giudice amministrativo nel merito dei singoli apprezzamenti effettuati.

Consiglio di Stato sez. VI 19/6/2017 n. 2969

Inadempienze siti web. L’importanza della pubblicità legale e della pubblicità notizia. IMPORTANTE PER la misura 1.4.1 PNRR.

NOTA : SEGUITE BENE per non perdere i SOLDI della MISURA 1.4.1 PNRR

Il 27 luglio l’AGID con determina 224/22 ha emanato le LLGG di design e servizi digitali della PA.

Le norme toccate dalle LLGG sono:

CAD

Decreto legislativo 7 marzo 2005, n. 82 e s.m.i. recante «Codice dell’amministrazione digitale».

Reg. UE eIDAS

Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE.

Codice privacy

Decreto legislativo 30 giugno 2003, n. 196 e s.m.i. recante «Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE».

GDPR

Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).

D. Lgs. 33/2013

Decreto legislativo 14 marzo 2013, n. 33 e s.m.i. recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni».

L. 4/2004

Legge 9 gennaio 2004, n. 4 e s.m.i. recante «Disposizioni per favorire l’accesso dei soggetti disabili agli strumenti informatici».

Direttiva (UE) 2016/2102

Direttiva (UE) 2016/2102 del 26 ottobre 2016 relativa all’accessibilità dei siti web e delle applicazioni mobili degli enti pubblici.

Circolare AGID 2/2017

Circolare AGID 18 aprile 2017, n. 2 in sostituzione della Circolare 17 marzo 2017, n. 1 recante «Misure minime di sicurezza ICT per le pubbliche amministrazioni. (Direttiva del Presidente del Consiglio dei ministri 1° agosto 2015)».

GPDP 229/2014

Provvedimento del Garante per la protezione dei dati personali n. 229 in data 8 maggio 2014 recante «Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie».

GPDP 243/2014

Provvedimento del Garante per la protezione dei dati personali n. 243 in data 15 maggio 2014 recante «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati».

EDPB LG DPIA

«Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento «possa presentare un rischio elevato» ai fini del regolamento (UE) 2016/679» (WP 248 rev.01), come modificate e adottate dal Comitato europeo per la protezione dei dati il 4 ottobre 2017.

EDPB LG ART. 25

«Linee guida 4/2019 sull’articolo 25 – Protezione dei dati fin dalla progettazione e per impostazione predefinita», adottate dal Comitato europeo per la protezione dei dati il 20 ottobre 2020.

EDPB LG 7/2020

«Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR», adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021.

GPDP 186/2021

Provvedimento del Garante per la protezione dei dati personali n. 186 in data 29 aprile 2021 recante «Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico».

GPDP LG COOKIE

«Linee guida cookie e altri strumenti di tracciamento» emesse dal Garante per la protezione dei dati personali in data 10 giugno 2021.

LG_ACCESS

Linee guida AGID sull’accessibilità degli strumenti informatici, adottate da AGID con Determinazione n. 396 in data 8 settembre 2020.

LG_RIUSO

Linee guida su acquisizione e riuso di software per le pubbliche amministrazioni, adottate da AGID con Determinazione n. 115/2019 del 9 maggio 2019.

LG_INTEROP

Linee Guida sull’interoperabilità tecnica delle Pubbliche Amministrazioni, adottate da AGID con Determinazione n. 547 del 1° ottobre 2021.

Direttiva (UE) 2016/1148

Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione.

D.Lgs. 65/2018

Decreto legislativo 18 maggio 2018, n. 65 – Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione.

LG_DOC

Linee Guida sulla formazione, gestione e conservazione dei documenti informatici, adottate da AGID, come modificate con Determinazione n. 371 in data 17 maggio 2021.

LG_PAT

Linee guida nazionali per la valorizzazione del patrimonio informativo pubblico, già adottate da AgID nel 2017 e in corso di aggiornamento ai sensi dell’art. 71 del CAD.

Importante ricordare che cassano le precedenti “Linee guida per i siti web delle PA” previste dall’art. 4 della Direttiva del Ministro per la Pubblica Amministrazione e l’innovazione 26 novembre 2009, n. 8, per intenderci la norma grande assente, quella che imponeva nel footer dei portali istituzionali il responsabile della pubblicazione.

Da questo momento in poi occorre prendere dimestichezza con il lessico delle norme ISO/IEC Directives, Part 3, infatti nelle note di lettura delle LLGG troviamo …

“Conformemente alle norme ISO/IEC Directives, Part 3 per la stesura dei documenti tecnici, le presenti linee guida utilizzeranno le seguenti parole chiave e relativa interpretazione:

DEVE o DEVONO, indicano un requisito obbligatorio per rispettare la linea guida.

NON DEVE o NON DEVONO o NON PUÒ o NON POSSONO, indicano un assoluto divieto delle specifiche;

DOVREBBE o NON DOVREBBE, indicano che le implicazioni devono essere comprese e attentamente pesate prima di scegliere approcci alternativi;

PUÒ o POSSONO o l’aggettivo OPZIONALE, indica che il lettore può scegliere di applicare o meno senza alcun tipo di implicazione la specifica.”

IL CAPITOLO 4 delle LLGG è diviso in 8 paragrafi, i REQUISITI da soddisfare.

Ogni requisito è valorizzato dalla finalità e dalle azioni previste con richiamo alle norme ISO/IEC Directives, Part 3.

Vediamo velocemente cosa fare e poi vi manderò le consuete griglie di controllo e PRE-AUDIT.

4.1. Accessibilità

Finalità: rendere accessibili a tutti gli utenti il contenuto, la struttura e il comportamento degli strumenti informatici, secondo i requisiti di legge.

  • Azioni richieste:
    • DEVE essere garantito il rispetto dei dettami della L. 4/2004 e s.m.i. e delle correlate «Linee guida sull’accessibilità degli strumenti informatici», emanate da AGID con Determinazione n. 396 in data 8 settembre 2020.

4.2. Affidabilità, trasparenza e sicurezza

Finalità: progettare e sviluppare servizi digitali che garantiscano la trasparenza delle informazioni e la sicurezza, nel rispetto della normativa unionale e nazionale in materia di protezione dei dati personali.

  • Azioni richieste:
    • DEVE essere garantita la protezione dei dati personali nello sviluppo di un sito web o di un servizio digitale, fin dalla progettazione e per impostazione predefinita, nel rispetto dell’art. 25 del GDPR e delle Line guida del Comitato europeo per la protezione dei dati nelle «Linee guida 4/2019 sull’articolo 25 – Protezione dei dati fin dalla progettazione e per impostazione predefinita» adottate dal Comitato europeo per la protezione dei dati il 20 ottobre 2020;
    • DEVE essere rispettato almeno il livello base di sicurezza stabilito dalle «Misure minime di sicurezza ICT per le pubbliche amministrazioni», ove non sia specificamente richiesto un livello superiore dal citato documento, fermo restando – in ogni caso e al fine di una effettiva protezione dei dati personali – che DEVE sempre essere effettuata la necessaria e puntuale valutazione in merito a quanto stabilito agli artt. 5, par. 1, lett. f) e 32 del GDPR;
    • DEVONO essere poste in atto misure tecniche e organizzative atte a garantire un livello di sicurezza adeguato al rischio, nel rispetto di quanto richiesto all’art. 32 del GDPR e in ottica di responsabilizzazione ai sensi dell’art. 5, par. 2 del GDPR;
    • prima di procedere al trattamento, in presenza di un rischio elevato per i diritti e le libertà delle persone fisiche, DEVE essere effettuata, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35 del GDPR e, al ricorrere delle condizioni previste dall’art. 36 del GDPR, DEVE essere altresì consultato il Garante per la protezione dei dati personali, anche alla luce delle «Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento «possa presentare un rischio elevato» ai fini del regolamento (UE) 2016/679», come modificate e adottate dal Comitato europeo per la protezione dei dati il 4 ottobre 2017;
    • DEVE essere pubblicata, sul singolo sito, l’informativa sul trattamento dei dati personali e, laddove individuato quale base giuridica del trattamento, altresì richiesto il consenso eventualmente anche con riferimento all’uso dei c.d. cookie;
    • DEVONO essere rese agli utenti, sul trattamento dei loro dati personali, informazioni concise, trasparenti, intelligibili, facilmente accessibili, formulate con un linguaggio semplice e chiaro, specialmente nel caso d’informazioni destinate ai minori, nel rispetto dell’art. 12 del GDPR;
    • DOVREBBE essere chiaramente visibile, su ogni pagina del sito, un link diretto all’informativa sul trattamento dei dati personali che riporti una dicitura di uso comune (come «Privacy», «Informativa sulla privacy» o «Informativa sulla protezione dei dati»);
    • DEVE essere fornito, al momento della raccolta dei dati personali in ambiente online, il link all’informativa sul trattamento dei dati personali o, in alternativa, DEVONO essere messe a disposizione le informazioni sul trattamento dei dati sulla stessa pagina in cui sono raccolti i dati personali;
    • qualora i siti web o i servizi digitali siano specificamente indirizzati a soggetti con disabilità, DEVE essere possibile ai relativi utenti fruire effettivamente dei contenuti dell’informativa sul trattamento dei dati personali;
    • qualora i siti web o i servizi digitali siano specificamente indirizzati ai minori d’età, l’informativa da rendere agli interessati DEVE essere predisposta utilizzando un linguaggio semplice e chiaro, in modo che un minore possa comprendere facilmente i relativi contenuti;
    • qualora l’erogazione di servizi digitali avvenga mediante applicazioni per dispositivi mobili (app), le necessarie informazioni sul trattamento dei dati personali DEVONO riguardare specificamente l’app e non meramente l’informativa generica della pubblica amministrazione che è proprietaria dell’app o che la mette a disposizione pubblicamente e DEVONO essere messe a disposizione presso gli store delle app prima del download; una volta installata l’app, le informazioni DEVONO continuare a essere facilmente accessibili al suo interno, ad esempio garantendo che tali informazioni non siano mai a più di due «tocchi» di distanza includendo un’opzione «Privacy» o «Protezione dei dati» nella funzione di menù dell’app;
    • DEVONO essere pubblicati i dati di contatto del responsabile della protezione dei dati (RPD) che la PA è tenuta a designare, ai sensi dell’art. 37 del GDPR Regolamento; tali dati di contatto DEVONO essere pubblicati sul sito web dell’amministrazione, all’interno di una sezione facilmente riconoscibile dall’utente e accessibile già dalla homepage, oltre che nell’ambito della sezione dedicata all’organigramma dell’ente e ai relativi contatti, ai sensi del «Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico» allegato al Provvedimento 29 aprile 2021, n. 186 emesso dal Garante per la protezione dei dati personali;
    • DEVE essere effettuata un’attenta valutazione in merito all’effettiva necessità di ricorrere all’utilizzo di cookie o altri strumenti di tracciamento nell’ambito di un sito web o un servizio digitale rispetto alle finalità perseguite dalla PA; tale valutazione DEVE riguardare, altresì, la base giuridica degli eventuali successivi trattamenti che si intendono porre in essere attraverso i dati personali raccolti dai dispositivi degli utenti sulla base dell’art. 122 del Codice privacy, tenendo conto anche delle garanzie da assicurare in relazione a possibili trasferimenti di dati verso Paesi terzi che, in ogni caso, DEVONO avvenire nel rispetto degli artt. 44 e ss. del GDPR;
    • qualora nel sito web e nel servizio digitale siano utilizzati i c.d. cookie o altri strumenti di tracciamento, gli utenti DEVONO essere informati in merito all’impiego degli stessi, ai sensi degli artt. 12-13 del GDPR e 122 del Codice privacy, con le modalità illustrate nelle «Linee guida cookie e altri strumenti di tracciamento» del Garante per la protezione dei dati personali in data 10 giugno 2021, che integrano e precisano quanto illustrato nel precedente provvedimento recante «Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie» in data 8 maggio 2014, n. 229, anche con riferimento all’eventuale consenso, ove necessario; anche laddove l’utente non intenda prestare il proprio consenso all’archiviazione di informazioni sul proprio dispositivo o all’accesso alle informazioni ivi archiviate, DEVE essere assicurata, in ogni caso, la piena fruibilità del sito web o del servizio digitale;
    • qualora si intenda delegare a fornitori di servizi informatici (ad es. fornitori di servizi web, di servizi di hosting o cloud computing) alcune attività che comportino il trattamento di dati personali, DEVE esser fatto ricorso unicamente a soggetti che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell’interessato; tali soggetti DEVONO essere nominati responsabili del trattamento ai sensi dell’art. 4, n. 8) del GDPR e nel rispetto di quanto richiesto all’art. 28 del GDPR; in particolare, DEVE individuarsi una corretta ripartizione delle responsabilità tra titolare e responsabile per quanto concerne il trattamento dei dati personali effettuato nell’ambito dei siti web e dei servizi digitali, anche in relazione all’adozione di adeguate misure tecniche e organizzative di sicurezza, evitando, in particolare, sproporzionati esoneri di responsabilità, soprattutto in caso di contratti standard, con margini di negoziazione pressoché nulli in capo al titolare del trattamento; PUÒ, inoltre, essere previsto che il responsabile possa ricorrere ad altro responsabile, individuando misure organizzative volte a garantire alla PA titolare del trattamento idonei strumenti di controllo delle attività di trattamento effettuate sotto la propria responsabilità; DOVREBBE essere previsto, infine, che, qualora tali fornitori di servizi siano stabiliti in Paesi terzi, DEVONO essere soddisfatte le condizioni previste dagli artt. 44 e ss. del GDPR ai fini della liceità del trasferimento dei dati personali in tali Paesi (anche ai sensi delle «Guidelines 07/2020 on the concepts of controller and processor in the GDPR», adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021);
    • DEVONO inserirsi i trattamenti di dati personali effettuati mediante il sito web o il servizio online nel Registro dei trattamenti, ai sensi dell’art. 30 del GDPR.

4.3. Semplicità di consultazione ed esperienza d’uso

Finalità: progettare, realizzare e mantenere siti internet e servizi digitali utili e facili da usare, secondo una metodologia di progettazione centrata sull’utente.

  • Azioni richieste:
    • SI DEVE adottare un approccio progettuale orientato alle persone capace di coinvolgere, ascoltare e osservare gli utenti nelle fasi di analisi, ideazione, progettazione, sviluppo e manutenzione del sito/servizio in un’ottica di miglioramento continuo, secondo una logica iterativa, utilizzando ove possibile metodologie agile;
    • SI DEVONO definire e valutare in modo esplicito obiettivi, destinatari, processi e attori nella progettazione del sito/servizio;
    • SI DEVONO svolgere attività di ricerca con utenti, per definire e valutare in modo esplicito le caratteristiche e i bisogni delle persone rispetto allo specifico contesto d’uso per il quale si sta progettando il sito/servizio;
    • SI DEVONO mappare gli scenari d’uso e le funzionalità del sito/servizio dal punto di vista degli utenti per creare prototipi che verifichino la soluzione progettuale adottata e la sua usabilità;
    • SI DEVONO tenere presenti i risultati delle ricerche effettuate con utenti per la definizione dell’architettura dell’informazione;
    • SI DEVONO condurre test di usabilità per comprendere se i servizi digitali, esistenti o in fase di progettazione, corrispondano alle esigenze degli utenti;
    • SI DEVONO utilizzare ontologie e vocabolari controllati standard della Pubblica Amministrazione;
    • SI DEVE utilizzare un linguaggio e un’organizzazione dei contenuti adeguati all’utente destinatario;
    • SI DEVE rendere facilmente trovabile, mediante motori di ricerca esterni (ove consentito dalle vigenti normative) e interni al sito, il contenuto pubblicato;
    • SI DOVREBBE pubblicare, su ogni pagina del sito internet, la data dell’ultimo aggiornamento o verifica del contenuto.

4.4. Monitoraggio dei servizi

Finalità: analizzare e migliorare l’esperienza d’uso dei siti/servizi digitali mediante la rilevazione qualitativa e quantitativa dei dati di fruizione.

zioni richieste:

  • SI DEVONO effettuare la raccolta e l’analisi statistica del traffico e del comportamento utente rispetto all’accesso e utilizzo di siti e servizi digitali;
  • SI DEVONO pubblicare le informazioni, opportunamente aggregate e anonimizzate, derivanti dal monitoraggio statistico attivato sul singolo sito e/o servizio;
  • SI DOVREBBE adottare la piattaforma Web Analytics Italia (WAI), avendo cura di informarne adeguatamente gli utenti ai sensi degli artt. 12 e 13 del GDPR e 122 del Codice privacy e assicurando il rispetto di quanto previsto nelle richiamate «Linee guida cookie e altri strumenti di tracciamento» emanate dal Garante per la protezione dei dati personali;
  • SI DEVE consentire agli utenti di comunicare facilmente all’amministrazione il livello di soddisfazione ed eventuali difficoltà riscontrate, rispetto alla qualità dell’informazione e dei servizi on line;
  • SI DEVONO condurre attività di raccolta, analisi e valutazione dei feedback degli utenti relativi alla qualità percepita;
  • SI DOVREBBE condurre un’attività di manutenzione evolutiva dei siti internet e servizi digitali, facendo ricorso alle principali metodologie di testing e ricerca quantitativa e qualitativa.

4.5. Interfaccia utente

  • Finalità: mettere a disposizione interfacce utenti semplici da utilizzare.
  • Azioni richieste:
    • SI DEVONO utilizzare, ove disponibili, modelli di design realizzati per specifiche tipologie di siti internet e servizi digitali;
    • SI DEVONO realizzare, nell’ambito dello stesso sito internet o servizio digitale, interfacce coerenti nello stile e nell’esperienza d’uso, privilegiando le indicazioni e gli strumenti previsti su https://designers.italia.it;
    • SI DEVONO realizzare interfacce che si adattino al dispositivo dell’utente.

4.6. Integrazione delle piattaforme abilitanti

  • Finalità: prevedere un’esperienza d’uso comune alle diverse procedure on line.
  • Azioni richieste:
    • SI DEVE garantire l’accesso ai servizi digitali della PA con i sistemi di autenticazione previsti dal CAD, nel rispetto del principio di minimizzazione di dati e assicurando che, nell’ambito delle procedure di autenticazione informatica, siano acquisiti e successivamente trattati solo dati personali degli utenti (attributi dell’identità digitale) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono trattati;
    • DEVE valutarsi la sussistenza di un’idonea base giuridica, ai sensi degli artt. 5, par. 1, lett. a) e 6 del GDPR e dell’art. 2-ter del Codice privacy, e di adeguate garanzie, ai sensi degli artt. 44 e ss. del GDPR, qualora si intenda utilizzare eventuali elementi di terze parti incorporati sui propri siti web (ad es. font tipografici, video player, social plug-in, ecc.), che possono comportare la comunicazione di dati personali a terzi e, in alcuni casi, anche il trasferimento dei dati personali in Paesi terzi;
    • SI DEVE consentire agli utenti di effettuare i pagamenti online mediante gli strumenti di pagamento previsti dal CAD.

4.7. Licenze

  • Finalità: privilegiare l’applicazione di una licenza aperta ai contenuti.
  • Azioni richieste:
    • SI DEVE associare ai contenuti una licenza aperta, ove non diversamente previsto dalla vigente normativa;
    • SI DEVE inserire il link alla licenza adottata riportando la versione aggiornata della stessa.

4.8. Attuazione

  • Finalità: assicurarsi che le attività di progettazione, sviluppo e manutenzione di siti e servizi digitali rispondano alle presenti linee guida.
  • Azioni richieste:
    • SI DEVE inserire la seguente dicitura all’interno della documentazione dei contratti pubblici concernenti l’affidamento di attività di progettazione, sviluppo e manutenzione di siti internet e servizi digitali: «Il fornitore incaricato deve rispettare le indicazioni riportate nelle Linee guida di design per i siti internet e i servizi digitali della PA».

Detto questo è evidente per i miei clienti un “quasi nulla di nuovo”, tuttavia ricordo che da questo momento in poi sarà obbligatorio utilizzare il protocollo eGLU e fare i TEST di usabilità oltre a quelli di accessibilità.

Attendete le mie nuove griglie e rivedete le linee guida sulla pubblicita’ legale dei siti web, ancora vigenti.

Consiglio anche un refresh sull’accessibilità

e sulle procedure di affidamento dei contratti ICT

COME SEMPRE RESTIAMO DISPONIBILI per il SUPPORTO e per i WORKSHOP

Vincenzo De Prisco cell 3389141276

dott.ssa Elisa Carotenuto cell. 3382797858

DECRETO TRASPARENZA DIPENDENTI.

Dal giorno 14 Agosto 2022 (in pratica da martedí 16) entra in vigore il D.lgs 104/22, attuativo della Direttiva 1152/2019.

Come sempre c’è confusione nell’armonizzazione, tuttavia nell’attesa di alcuni chiarimenti amministrativi vi scrivo cosa ci aspetta e vi lascio un addendum all’informativa 13-14 GDPR.

AMBITO DI APPLICAZIONE :

Si applica a tutti i rapporti di lavoro, con le esclusioni (chiare) che troviamo nell’articolo 1 comma 4 del D.Lgs 104/2022

 4. Sono esclusi dall'applicazione del presente decreto: 
    a) i rapporti di lavoro autonomo di cui al titolo III del libro V
del codice civile e quelli di  lavoro  autonomo  di  cui  al  decreto
legislativo 28 febbraio 2021, n. 36, purche' non integranti  rapporti
di collaborazione coordinata e continuativa, di cui all'articolo 409,
n. 3, del codice di procedura civile; 
    b) i rapporti di lavoro caratterizzati  da  un  tempo  di  lavoro
predeterminato ed effettivo di durata pari o inferiore a una media di
tre ore a settimana in un periodo di riferimento di quattro settimane
consecutive. E' considerato nella media delle tre  ore  il  tempo  di
lavoro  prestato  in  favore  di  tutti  i  datori  di   lavoro   che
costituiscono una stessa impresa, uno stesso gruppo  di  imprese.  La
presente esclusione non opera in  relazione  ai  rapporti  di  lavoro
nell'ambito dei quali non sia stata stabilita una quantita' garantita
di lavoro retribuito prima dell'inizio del lavoro; 
    c) i rapporti di agenzia e rappresentanza commerciale; 
    d) i rapporti di collaborazione prestati nell'impresa del  datore
di lavoro dal coniuge, dai parenti e dagli affini non oltre il  terzo
grado, che siano con lui conviventi; 
    e)  i  rapporti   di   lavoro   del   personale   dipendente   di
amministrazioni  pubbliche  in  servizio  all'estero,   limitatamente
all'articolo 2 del decreto legislativo 26 maggio 1997, n.  152,  come
modificato dal presente decreto; 
    f) i rapporti di lavoro del personale di cui all'articolo  3  del
decreto  legislativo  30  marzo  2001,  n.  165,  relativamente  alle
disposizioni di cui al Capo III del presente decreto. 

In cosa consiste l’adempimento per quanto riguarda la disciplina generale?

In base all’art. 4 comma 1, le informazioni che dovranno essere comunicate ai lavoratori sono le seguenti:

  • l’identità delle parti, ivi compresa quella dei co-datori di lavoro;
  • il luogo di lavoro. In mancanza di un luogo di lavoro fisso o predominante, il datore di lavoro dovrà specificare che la sede può corrispondere a luoghi diversi, oppure che il lavoratore è libero di decidere il proprio luogo di lavoro;
  • la sede o il domicilio del datore di lavoro;
  • l’inquadramento, il livello e la qualifica attribuiti al lavoratore o, in alternativa, le caratteristiche o la descrizione sommaria del lavoro svolto dal lavoratore;
  • la data di inizio del rapporto di lavoro;
  • la tipologia di rapporto di lavoro, precisandone la durata nel caso di rapporti a termine;
  • nel caso di lavoratori dipendenti da agenzia di somministrazione di lavoro, l’identita’ delle imprese utilizzatrici, quando e non appena sia nota;
  • la durata del periodo di prova, se previsto;
  • il diritto a ricevere la formazione erogata dal datore di lavoro, se prevista;
  • la durata del congedo per ferie, nonché degli altri congedi retribuiti a cui il lavoratore ha diritto o, se ciò non può essere indicato all’atto dell’informazione, le modalità di determinazione e di fruizione degli stessi;
  • la procedura, la forma e i termini del preavviso in caso di recesso del datore di lavoro o del lavoratore;
  • l’importo iniziale della retribuzione o comunque il compenso e i relativi elementi costitutivi, con l’indicazione del periodo e delle modalità di pagamento;
  • la programmazione dell’orario normale di lavoro e le eventuali condizioni relative al lavoro straordinario e alla sua retribuzione, nonché le eventuali condizioni per i cambiamenti di turno, se il contratto di lavoro prevede un’organizzazione dell’orario di lavoro in tutto o in gran parte prevedibile;
  • se il rapporto di lavoro, caratterizzato da modalità organizzative in gran parte o interamente imprevedibili, non prevede un orario normale di lavoro programmato, il datore di lavoro informa il lavoratore circa:
  1. la variabilità della programmazione del lavoro, l’ammontare minimo delle ore retribuite garantite e la retribuzione per il lavoro prestato in aggiunta alle ore garantite;
  2. le ore e i giorni di riferimento in cui il lavoratore e’ tenuto a svolgere le prestazioni lavorative;
  3. il periodo minimo di preavviso a cui il lavoratore ha diritto prima dell’inizio della prestazione lavorativa e, ove ciò sia consentito dalla tipologia contrattuale in uso e sia stato pattuito, il termine entro cui il datore di lavoro può annullare l’incarico;
  • il contratto collettivo, anche aziendale, applicato al rapporto di lavoro, con l’indicazione delle parti che lo hanno sottoscritto;
  • gli enti e gli istituti che ricevono i contributi previdenziali e assicurativi dovuti dal datore di lavoro e qualunque forma di protezione in materia di sicurezza sociale fornita dal datore di lavoro stesso;
  • gli elementi previsti dall’articolo 1-bis qualora le modalità di esecuzione della prestazione siano organizzate mediante l’utilizzo di sistemi decisionali o di monitoraggio automatizzati.

In cosa consiste l’adempimento per quanto riguarda la disciplina del GDPR ?

“Ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati”, obbliga inoltre il datore di lavoro “a informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori”.

Nel caso, quindi, in cui il datore di lavoro faccia uso di tali sistemi, oggi davvero diffusi, al lavoratore devono essere fornite anche le seguenti informazioni:

  • gli aspetti del rapporto di lavoro sui quali incide l’utilizzo di tali sistemi decisionali o di monitoraggio;
  • gli scopi e le finalità di tali sistemi;
  • la logica e il funzionamento di tali sistemi;
  • le categorie di dati e i parametri principali utilizzati per programmare o addestrare tali sistemi, inclusi i meccanismi di valutazione delle prestazioni;
  • le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
  • il livello di accuratezza, robustezza e cybersicurezza di tali sistemi, le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

Nell’informativa che ho dato ai miei clienti già sono date queste informazioni e soprattutto i trattamenti sono censiti ai sensi dell’articolo 30 del GDPR (Registro delle attività dei trattamenti), quindi nell’attesa di ulteriori precisazioni basta consegnare questo addendum con la modalità che ogni DATORE di LAVORO-TITOLARE riterrà più opportuna.

DANNO ERARIALE. INIZIA IL PROCESSO DI MIGRAZIONE. DETERMINAZIONE 628/21.

IL 28 LUGLIO È INIZIATO IL PROCESSO DI PROCESSO DI MIGRAZIONE AL CLOUD ATTRAVERSO IL CENSIMENTO SU PADIGITALE2026.

Mi piace ricordarci due cose importanti :

  • se dal 2018 in poi avete acquistato server o fatto manutenzione ai server locali, preoccupatevi e chiamatemi
  • la digitalizzazione ed il PNRR sono due cose diverse, il PNRR è strumentale alla digitalizzazione ma poi sono percorsi separati.

Vi allego la determinazione 628/2021 dell’AGID sul nuovo processo di migrazione.

Con le istruzione della suddetta dovrà terminare il processo di dismissione dei data center ( circa 11000 in ITALIA) visto che :

  • SONO ENERGIVORI (energia elettrica diretta, energia e gasolio per il backup, energia indiretta per la climatizzazione)
  • SONO POCO SICURI SUI DATI
  • COSTO ECCESSIVO DI MANUTENZIONE E MEV

QUESTO PROCESSO SAREBBE DOVUTO INIZIARE il 2013, ha avuto un forte incremento nel 2018 (circolari 2 e 3 AGID) e terminerà il 30 GIUGNO del 2026.

Ma vediamo ora le tappe più prossime.

L’articolo 10 della determinazione 628/21 al punto 3 ci ricorda che entro il 28 FEBBRAIO 2023 occorre inviare al DTD il piano di migrazione.

La CONSULENTI ASSOCIATI come sempre, prima degli altri è pronta.

COMUNICAZIONI e MINACCE di MONITORAPA

Avete ricevuto in questi giorni un messaggio da parte di MONITORAPA, vi dico subito che non è un ENTE DI CONTROLLO od ISPETTIVO, come lo stesso firmatario chiaramente dichiara.

Il messaggio di tipo massivo ha una base di verita’, ma avrei approfondito il discorso al rientro dalle vacanze agostane.

Il 27 Luglio 2022 , l’AGID con Determina 224/22 ha emanato le nuove linee guida sui portali delle PP.AA.

L’adeguamento prevede grosse modifiche e molto lavoro da parte dei webmaster, vi allego le LL.GG ed entro settembre vi mando le indicazioni che dovrebbero gia’ essere note ai webmaster ed ai sistemisti dei CMS.

Tuttavia devo precisare che i trenta giorni “minacciati” dall’epistole di MONITORAPA lasciano il tempo che trovano, gli unici che possono mettervi in mora sono le autorità indipendenti ed ispettive , e chi ha gia’ deciso di adeguare il sito con i fondi PNRR non deve accelerare nessun processo ma solo mettere in contatto gli esperti web con me.

Ragazzi, buone vacanze….vi lascio il post dove avevo anticipato la modifica ai siti istituzionali.

io ci sono.

PNRR-Ci siamo, sono arrivati i finanziamenti….ed ora le cose si fanno difficili. – Consulenti Associati Campania (ca-campania.com)

PNRR-Ci siamo, sono arrivati i finanziamenti….ed ora le cose si fanno difficili.

Dall’inizio ho sempre detto che la difficoltà dei PNRR “STANDARD” per la digitalizzazione degli enti pubblici si sarebbe palesata dal momento della pubblicazione del decreto di finanziamento, fare 5/7 click infatti è alla portata di tutti, ora il gioco si fa’ duro ed io…..inizio a giocare.

Vi hanno detto che occorre la qualificazione dei fornitori secondo le regole per gli acquisti ICT di AGID, vi hanno detto di preparare la matrice RACI ? vi hanno parlato della qualificazione dell’articolo 11 degli avvisi pubblici?

sapete che da tre giorni tutti i siti web non sono più conformi? e che occorre una formazione particolare per SPID e CIE?

Se la risposta è NO …..non sono stati cattivi, ma solo inconsapevoli.

Vi lascio qualche vecchio POST

Ora, da questo momento in poi, siamo a disposizione per il supporto operativo e normativo sul CAD e sul Codice dei Contratti. Sarebbe stato umiliante proporci prima per aiutarvi a fare 5 CLICK. A buon intenditore poche parole.

Come sempre :

Elisa 3382797858

Vincenzo 3389141276

Ci vediamo a settembre, è iniziato il conto alla rovescia ma abbiamo molto pi’ di un anno.

Contatti telefonici fino al 30 luglio

Fino la 30 luglio siamo raggiungibile sul cellulare solo tramite WHATSAPP, oppure al numero internazionale

00355676825143

Qualche dritta sui PNRR. PARTE SECONDA. CONTABILITA’

LA VARIAZIONE DI BILANCIO,

La competenza per le variazioni di bilancio resta in capo al CC, tuttavia è sempre ipotizzabile la variazione in giunta e la successiva ratifica entro 60 gg come da TUEL, art. 175 c.4.

Ora ci ritorna UTILE l’ASSUNTO della prima parte di questo FOCUS. Le misure STANDARD del PNRR sono da considerarsi SPESE CORRENTI !!!!

Come tali, dunque, vanno inserite nella prima annualità UTILE ( il 2022) e non occorre variare il piano biennale ex articolo 21 D.Lgs 50/16 in sede di variazione di bilancio, ma solo successivamente, in fase di gara (e per gara intendo ovviamente anche gli affidamenti diretti)

A questo punto occorre poi attuare l’articolo 23 del Codice degli appalti.

Poniamoci ora il problema dell’accertamento dell’entrata riprendendo la FAQ 48 ARCONET, anzi facendo collimare la suddetta FAQ con il cruscotto di padigitale2026.gov.it

Posso accertare la spesa quando sul cruscotto mi troverò in questa condizione

Ora occorre fare moltissima attenzione ad un altro aspetto, LA CASSA VINCOLATA.

Bisogna aprire un sotto-conto-tesoreria-dedicato alle reversali ed ai mandati derivanti dai trasferimenti.

L’utilizzazione del sotto-conto-tesoreria-dedicato è necessario quando utilizzo le provviste trasferite e solo fino alla rendicontazione del risultato. Raggiunto l’obiettivo le eccedenze contabili sono semi-svincolate, o meglio svilncolate dal sotto-conto-tesoreria-dedicato ma utilizzabili comunque solo per la transizione al digitale, almeno fino a chiarimenti dall’alto.

Dal basso è tutto. Buon lavoro!

Qualche dritta sui PNRR in risposta alle cazzate sentite. PARTE PRIMA.

Ma non potete continuare a fare i virologi? Ora tutti esperti di PIAO e di PNRR. LO DICHIARO APERTAMENTE, SONO RITARDATO per questi motivi:

  • PRIMA DI AIUTARE SUI PNRR ho studiato la normativa speciale e mi sono rivisto tutta la parte prodromica
  • ANCORA NON MI PROPONGO sul PIAO perchè ancora non ho approfondito bene la situazione, soprattutto in vista delle raccomandazioni arrivate dagli organi che controlleranno (il tutto deve essere rendicontato con strumenti scientifici, senza chiacchiere etc etc)

Detto questo, i clienti della CA-CAMPANIA sono stati finanziati per centinaia e centinaia di migliaia di EURO per i PNRR.

Le cose più strane che ho sentito sui PNRR ovviamente riguardano la rendicontazione, le supertecnologie che sono possedute solo da chi di volta in volta si propone come fornitore ed i requisiti di parità di genere etc etc.

Nessuno forse ha detto cazzate MASTODONTICHE, ma tutti hanno esagerato dimenticandosi due cose:

  • L’allegato 4 richiamato dall’articolo 11 degli avvisi. Qui trovate approfondimenti e modello requisiti

  • La differenza tra requisiti qualificanti l’OE e requisiti dell’offerta (ma dai ragazzi !!!!) siamo ai minimi della decenza, ditemi che state scherzando !!!!!
    In ogni caso vi ricordo il sacrosanto principio della tassatività delle cause di esclusione dell’articolo 83 comma 8 del D.Lgs 50/16.

Un altro approfondimento possiamo trovarlo qui

ORA vediamo un poco di cose, visto che siamo a buon punto, cerchiamo di capire come cambiare i CONTI dell’ENTE

Sicuramente dobbiamo accendere 1 CAPITOLO DI ENTRATA ed almeno 1 CAPITOLO DI USCITE (come sempre uso poca fantasia, art.3 c 3 DM MEF 11/2021), la codifica sarà:

CAPITOLI DI ENTRATA

TITOLO 2 – TRASFERIMENTI CORRENTI
TIPOLOGIA 101- TRASFERIMENTI TRA PPAA
CATEGORIA 01
PDC E.2.01.01.01.001
TRANSIZIONE UE -1 NON RICORRENTE

CAPITOLI DI SPESA

MISSIONE 01
PROGRAMMA 08
TITOLO 1
MACROAGGREGATO 03
PDC U.1.03.02.19.000
TRANSIZIONE UE 4 NON RICORRENTE COFOG 01.03

… ed oggi 03 Luglio (data di uscita di RITORNO AL FUTURO) è doveroso aggiungere …..

LA NOTIFICAZIONE DIGITALE. IL POSTINO PAT p.II IL PROCESSO DI NOTIFICAZIONE.

Il processo di notificazione inizia con la PA mittente che richiede a PN di prendere in carico l’effettuazione di una notifica.
Questa operazione avviene in due fasi:

  • prima fase , la PA fornisce a PN gli atti da notificare unitamente, se del caso, a quanto necessario per il pagamento da parte
    del destinatario (obbligatoriamente l’avviso pagoPA e, se necessario, l’eventuale F24, uno per ciascun tipo di processo di notificazione adottabile
    per raggiungere il cittadino in quanto hanno costi diversi)
  • seconda fase, la PA genera la richiesta di creazione della notifica, fornendo i dati del destinatario (CF, se si tratta di persona fisica o giuridica, nome e cognome o ragione sociale, indirizzo fisico del domicilio noto alla PA, domicilio digitale speciale, Codice Avviso e Codice Fiscale della PA), un numero di protocollo, modalità dell’eventuale spedizione analogica (890/AR), importo e data di scadenza del pagamento (se presente), eventuale attivazione della spedizione cartacea degli atti qualora venga
    intrapreso il percorso di notificazione analogico, i documenti facenti parte della notifica (attraverso gli identificativi forniti da PN nella precedente
    fase) e l’hash SHA-256 dei documenti stessi. La PA indica anche quali dei documenti allegati devono essere obbligatoriamente visualizzati dal destinatario o dal suo delegato per poter stabilire il perfezionamento della notifica per presa visione. Inoltre la PA può indicare che, nel caso di notificazione analogica, i documenti vengano inviati congiuntamente all’AAR. In questo caso non è possibile abilitare il pagamento attraverso F24 in quanto il costo di notifica dipenderebbe dal numero di pagine stampate. PN, ricevute queste informazioni, verifica che siano sintatticamente corrette e restituisce al mittente un token che servirà alla PA stessa per ricevere l’esito delle successive attività di verifica poste in atto da PN. A questo punto PN verifica che lo SHA-256 fornito dalla PA coincida con quello calcolato da PN a partire dai documenti allegati, che ciascun CF fornito esista veramente e che esista un indirizzo fisico noto per ciascun destinatario (quest’ultima verifica per garantire la possibilità di notificare
    al destinatario). Se le verifiche hanno successo, PN genera lo IUN che viene restituito alla PA mittente unitamente al token generato all’atto di creazione della notifica. Questo perfeziona la notifica per la PA mittente con data della creazione della notifica stessa. In caso contrario PN informa la PA della presenza di errori nella richiesta inoltrata inviando un codice di errore unitamente al token generato all’atto di creazione della notifica.

I documenti allegati devono essere in formato PDF e conformi a quanto richiesto dagli articoli 20 e 21 del CAD, perciò firmati digitalmente dalla PA mittente. I documenti prodotti dalla PA vengono conservati per 120 giorni a partire dalla data di perfezionamento della notifica per il destinatario. PN genera un’attestazione opponibile ai terzi contenenti le informazioni relative alla data e all’ora di ricezione della richiesta di notificazione da parte del mittente ed agli indirizzi forniti dal mittente per raggiungere il destinatario. La messa a disposizione di questo atto viene notificato alla PA a conferma dell’inizio delle operazioni di notificazione.
Nel caso in cui la PA mittente non sia in grado di determinare se un Codice Fiscale appartenga ad una persona fisica o ad una persona giuridica,consigliamo che la stessa assuma che il Codice Fiscale appartenga alla persona fisica.

PN genera l’Avviso di Avvenuta Ricezione (AAR) che contiene le informazioni relative all’esistenza della notificazione, il suo IUN e le indicazioni
sulle modalità che il destinatario può utilizzare per accedere agli atti notificati. PN a questo punto verifica se è possibile effettuare la notificazione
attraverso canali digitali. Questo è possibile se la PA mittente ha fornito un domicilio digitale (speciale), oppure se esiste negli archivi di PN un
domicilio digitale (di piattaforma) collegato al destinatario oppure, infine, se è possibile reperire un domicilio digitale (generale) nei registri pubblici
(IniPEC o INAD). Se non è possibile determinare alcun domicilio digitale, la notificazione avverrà attraverso canali analogici.
In entrambi i casi, se il destinatario ha configurato un recapito digitale (es. un numero di cellulare al quale inviare SMS o un indirizzo e-mail o l’
abilitazione su app IO dei messaggi di PN), verrà generato un avviso di cortesia che, pur non avendo di per sé valore legale, permette al
destinatario di accedere all’atto anche prima di aver ricevuto la notifica attraverso i canali di comunicazione a valore legale. L’avviso di cortesia
viene inviato su tutti i recapiti disponibili. Nel caso sia stato possibile inviare l’avviso di cortesia ad un cittadino che verrebbe raggiunto con
notificazione analogica, la notificazione viene ritardata di X giorni per permettere eventualmente al cittadino di accedere alla notifica su PN e
perfezionare di conseguenza la stessa. In questo caso la notificazione analogica non avviene ed il cittadino ne risparmia i costi.
Una volta che il destinatario ha ricevuto l’AAR, questi può accedere agli atti notificati ed ai relativi atti opponibili a terzi con le seguenti modalità:
effettuando l’accesso sul portale di PN, utilizzando la propria identità digitale, e poi selezionando la notifica in base al rispettivo IUN e
quindi accedendo agli atti oggetto di notifica aventi ciascuno un link fornito dal portale; accedendo alla timeline della notifica, il
destinatario avrà anche accesso agli atti opponibili ai terzi;
attraverso l’app IO, nel caso siano stata abilitata la ricezione di messaggi da PN; selezionando il messaggio si accede al dettagli della
notifica che permette di accedere agli atti e, attraverso la timeline, ai relativi atti opponibili ai terzi;
utilizzando il link di accesso rapido presente nell’AAR, valido per 120 giorni dal primo utilizzo e riutilizzabile per al più tre volte,
identificandosi attraverso SPID o CIE o codice OTP (vedi RADD) ed accedendo agli atti attraverso i link forniti dal portale; accedendo
alla timeline della notifica, il destinatario avrà anche accesso ai relativi atti opponibili ai terzi. Il link di accesso rapido viene disabilitato
dopo tre fallimenti del processo di identificazione o dopo tre utilizzi con successo;
per il tramite di una persona a ciò delegata dal destinatario, previa ogni opportuna attività di delega tramite la specifica funzione sul
portale di PN (vedi qui);
con le modalità descritte per l’accesso a PN tramite Rete di Assorbimento del Digital Divide (RADD) (vedi qui).
Laddove la notifica non si sia perfezionata secondo le modalità descritte nelle sezioni relative alla notificazione analogica e digitale, l’accesso da
parte del destinatario o di un suo delegato, attraverso PN o app IO, a tutti i documenti identificati dalla PA come rilevanti per il perfezionamento
della notifica, perfeziona la notifica anche in via anticipata. Lo stesso accade se il destinatario ottiene gli atti notificati attraverso la rete RADD o
attraverso una persona delegata. PN genera un’attestazione opponibile ai terzi indicante la data e l’ora di perfezionamento.
Spese della notifica
Le spese di notificazione per la PA mittente differiscono sulla base del canale utilizzato per addivenire al perfezionamento della notifica.
La PA mittente ha facoltà di richiedere a PN la gestione puntuale delle spese di notifica da richiedere al destinatario oppure di applicare allo
stesso un costo forfettario stabilito dalla PA mittente stessa.
In ogni caso PN fatturerà alla PA mittente le spese effettive di notificazione sostenute per ciascun destinatario della notifica. In caso di destinatari
multipli, il pagamento sarà reso disponibile a tutti i destinatari fino al pagamento effettuato da parte di uno di essi (il primo che effettua il
pagamento). I costi di notifica sostenuti per raggiungere gli altri destinatari dovranno essere riscossi dalla PA in autonomia.
Per permettere la corretta determinazione dell’importo da pagare in caso di pagamento da effettuare attraverso pagoPA, PN mette a disposizione
della PA Mittente una specifica API che, fornendo Codice Avviso e Codice Fiscale della PA per il pagamento, restituisce il costo della notifica e la
data di perfezionamento per il destinatario della stessa.

Notificazione digitale
In presenza di almeno un domicilio digitale, PN notifica l’AAR attraverso PEC o SERCQ. In presenza di più domicili digitali diversi, questi
verranno utilizzati secondo il seguente ordine di priorità:
– Domicilio digitale di piattaforma
– Domicilio digitale speciale
– Domicilio digitale generale

PN interromperà il tentativo di invio al primo successo. Nel caso di fallimento nel primo tentativo di invio digitale (es. casella postale satura o
indisponibilità momentanea causa di disservizio del fornitore della PEC o SERCQ), la notifica in via digitale sarà ritentata dopo almeno 7 giorni
dal primo fallimento. La distanza tra il primo ed il secondo tentativo può variare da 7 a 9 giorni in base al carico del sistema.
Nel caso in cui il processo di notificazione attraverso PEC o SERCQ fallisca anche al secondo tentativo, viene creato un Avviso di Mancato
Recapito (AMR) e collegato allo IUN in modo che sia visibile al destinatario nel caso egli acceda al portale di PN. L’AMR è nello specifico un
elemento di timeline visibile a tutti i destinatari della notifica. Viene inoltre inviato al destinatario l’AAR con raccomandata semplice.
Sia nel caso di successo che di fallimento del processo di notificazione in via digitale viene creata un’attestazione opponibile ai terzi indicante i
passi di notificazione intentati ed il loro esito.
Nel caso di fallimento del processo di notificazione in via digitale viene creata un’attestazione opponibile ai terzi indicante l’istante di generazione
dell’AMR.
La notifica si perfeziona per il destinatario dopo 7 giorni dalla consegna dell’AAR attraverso PEC o SERCQ oppure 15 giorni dopo la generazione
dell’AMR.
Notificazione analogica
In assenza di domicilio digitale, l’AAR è direttamente inoltrato all’indirizzo fisico del destinatario attraverso 890 o Raccomandata A/R. E’ in capo al
mittente specificare quale dei due canali utilizzare.
Nel caso in cui il mittente non abbia specificato un indirizzo fisico per il destinatario, PN ricerca un indirizzo fisico in ANPR, nel caso in cui il
destinatario sia una persona fisica, o nel Registro delle Imprese nel caso in cui il destinatario sia una persona giuridica, ed effettua la
notificazione verso quell’indirizzo fisico.
PN riceve dall’operatore postale gli aggiornamenti sullo stato della consegna e la copia digitale conforme dei relativi documenti comprovanti l’iter
della notifica di ogni documento generato durante la notificazione (es. ricevuta firmata dal destinatario). Tali documenti sono memorizzati in PN in
modo immutabile e collegati allo IUN in modo da poter essere reperiti attraverso il portale di PN.
Nel caso il destinatario sia irreperibile all’indirizzo fisico fornito, PN tenta di determinare un secondo indirizzo fisico di inoltro. Nel caso in cui il
primo invio fosse stato effettuato verso l’indirizzo fisico fornito dalla PA, PN ricerca un nuovo indirizzo fisico in ANPR o nel Registro delle
Imprese. Nel caso in cui non si riesca a determinare un nuovo indirizzo fisico presso questi registri o nel caso in cui il primo invio fosse stato
effettuato verso un indirizzo fisico fornito da ANPR o Registro delle Imprese, PN utilizza, se disponibile, l’indirizzo fisico fornito dall’operatore
postale a seguito di una indagine effettuata presso l’indirizzo fisico di primo inoltro. Se viene identificato un nuovo indirizzo fisico, PN tenta la
notifica una seconda volta con le stesse modalità, tranne per l’assenza della verifica di esistenza di un nuovo indirizzo fisico.
Nel caso in cui il destinatario sia del tutto irreperibile, l’AAR sarà comunque disponibile per il destinatario attraverso il portale di PN o gli altri
meccanismi di accesso agli atti sopra descritti.
La notifica si perfeziona per il destinatario dopo 10 giorni dalla consegna dell’AAR oppure 10 giorni dal fallimento della stessa.
Nel caso in cui l’indirizzo fisico di spedizione appartenga ad un paese estero, l’invio sarà effettuato utilizzando Raccomandata Internazionale AR
a prescindere da quanto indicato dalla PA Mittente. In questo caso non è possibile richiedere all’operatore postale di ricercare un nuovo indirizzo
in caso di fallimento della consegna.