Riproposto.Precisazioni sull’applicazione dell’O M n.11/2020.

In data 06/06/2020 sono pervenuti i chiarimenti per il regime di pubblicita’ degli esiti finali.

Per quieto vivere non scenderò nei dettagli ricordando dell’obbligo di pubblicita’ legale del procedimento amministrativo chiamato “ANNO SCOLASTICO”, in ogni caso la nota ci ricorda di :

  • Pubblicare gli esiti con lo status di AMMESSO o NON AMMESSO nell’area del registro elettronico “RISERVATA ma non troppo” ove accedono tutti gli studenti della classe
  • Pubblicare i voti, anche inferiori alla sufficienza, nell’AREA “RISERVATA RISERVATA” , in modo che i risultati possano essere visionati solo dallo studente in possesso delle proprie credenziali.

In poche parole verra’ a mancare il diritto di opposizione non pubblicando sui CARTELLONI i risultati.

Giova ricordare ai soggetti autorizzati alla pubblicazione dei risultati, ed ai soggetti interessati che possono consultare il registro elettronico, mediante un disclaimer l’obbligo di non divulgare le notizie contenute nell’area riservata .

Disclaimer personale dipendente

Si ricorda che ai sensi dell’articolo 28 della L.241/90 e del DPR 3/57 che le informazioni da lei trattate sono sottoposte al segreto d’ufficio, si intima di non divulgare con nessun mezzo i risultati soggetti a pubblicazioni e qualora ne avesse richiesta di invitare l’utenza a consultare l’area del registro elettronico di competenza

Disclaimer alunni / famiglie

Carissimi ragazzi e gentili genitori,
con la presente nota la scuola vi ricorda di non diffondere tramite web e social i risultati di fine anno.

DUE NOTE .
1) nella rabbia di questo stranissimo 2020 devo ringraziare tutte le scuole per il LAVORO sotto stress che ha eseguito, non vi ringrazio per la resilienza alle procedure amministrative che avete mostrato , ma per aver creato il futuro della societa’ anche con questo bastardo di COVID

2) Disclaimer e’ la parola più CHATTATA del 10/06/2020 nei gruppi social delle scuole, attenzione !!!!!!!

Chi di voi mi conosce bene immagina che scrivendo queste ultime righe mi sia commosso. E’ vero. Ciao amici miei.

Riproposto per le SCUOLE. Precisazioni sull’applicazione dell’O M n.11/2020.

In data 03/06/2021 si ripropongono gli stessi contenuti dello scorso anno. Rimandiamo all’articolo precedente…

In data 06/06/2020 sono pervenuti i chiarimenti per il regime di pubblicita’ degli esiti finali.

Per quieto vivere non scenderò nei dettagli ricordando dell’obbligo di pubblicita’ legale del procedimento amministrativo chiamato “ANNO SCOLASTICO”, in ogni caso la nota ci ricorda di :

  • Pubblicare gli esiti con lo status di AMMESSO o NON AMMESSO nell’area del registro elettronico “RISERVATA ma non troppo” ove accedono tutti gli studenti della classe
  • Pubblicare i voti, anche inferiori alla sufficienza, nell’AREA “RISERVATA RISERVATA” , in modo che i risultati possano essere visionati solo dallo studente in possesso delle proprie credenziali.

In poche parole verra’ a mancare il diritto di opposizione non pubblicando sui CARTELLONI i risultati.

Giova ricordare ai soggetti autorizzati alla pubblicazione dei risultati, ed ai soggetti interessati che possono consultare il registro elettronico, mediante un disclaimer l’obbligo di non divulgare le notizie contenute nell’area riservata .

Disclaimer personale dipendente

Si ricorda che ai sensi dell’articolo 28 della L.241/90 e del DPR 3/57 che le informazioni da lei trattate sono sottoposte al segreto d’ufficio, si intima di non divulgare con nessun mezzo i risultati soggetti a pubblicazioni e qualora ne avesse richiesta di invitare l’utenza a consultare l’area del registro elettronico di competenza

Disclaimer alunni / famiglie

Carissimi ragazzi e gentili genitori,
con la presente nota la scuola vi ricorda di non diffondere tramite web e social i risultati di fine anno.

DUE NOTE .
1) nella rabbia di questo stranissimo 2020 devo ringraziare tutte le scuole per il LAVORO sotto stress che ha eseguito, non vi ringrazio per la resilienza alle procedure amministrative che avete mostrato , ma per aver creato il futuro della societa’ anche con questo bastardo di COVID

2) Disclaimer e’ la parola più CHATTATA del 10/06/2020 (ed anche del giugno 2021) nei gruppi social delle scuole, attenzione !!!!!!!

Chi di voi mi conosce bene immagina che scrivendo queste ultime righe mi sia commosso. E’ vero. Ciao amici miei.

Precisazioni sull’applicazione dell’O M n.11/2020.

In data 06/06/2020 sono pervenuti i chiarimenti per il regime di pubblicita’ degli esiti finali.

Per quieto vivere non scenderò nei dettagli ricordando dell’obbligo di pubblicita’ legale del procedimento amministrativo chiamato “ANNO SCOLASTICO”, in ogni caso la nota ci ricorda di :

  • Pubblicare gli esiti con lo status di AMMESSO o NON AMMESSO nell’area del registro elettronico “RISERVATA ma non troppo” ove accedono tutti gli studenti della classe
  • Pubblicare i voti, anche inferiori alla sufficienza, nell’AREA “RISERVATA RISERVATA” , in modo che i risultati possano essere visionati solo dallo studente in possesso delle proprie credenziali.

In poche parole verra’ a mancare il diritto di opposizione non pubblicando sui CARTELLONI i risultati.

Giova ricordare ai soggetti autorizzati alla pubblicazione dei risultati, ed ai soggetti interessati che possono consultare il registro elettronico, mediante un disclaimer l’obbligo di non divulgare le notizie contenute nell’area riservata .

Disclaimer personale dipendente

Si ricorda che ai sensi dell’articolo 28 della L.241/90 e del DPR 3/57 che le informazioni da lei trattate sono sottoposte al segreto d’ufficio, si intima di non divulgare con nessun mezzo i risultati soggetti a pubblicazioni e qualora ne avesse richiesta di invitare l’utenza a consultare l’area del registro elettronico di competenza

Disclaimer alunni / famiglie

Carissimi ragazzi e gentili genitori,
con la presente nota la scuola vi ricorda di non diffondere tramite web e social i risultati di fine anno.

DUE NOTE .
1) nella rabbia di questo stranissimo 2020 devo ringraziare tutte le scuole per il LAVORO sotto stress che ha eseguito, non vi ringrazio per la resilienza alle procedure amministrative che avete mostrato , ma per aver creato il futuro della societa’ anche con questo bastardo di COVID

2) Disclaimer e’ la parola più CHATTATA del 10/06/2020 nei gruppi social delle scuole, attenzione !!!!!!!

Chi di voi mi conosce bene immagina che scrivendo queste ultime righe mi sia commosso. E’ vero. Ciao amici miei.

La liberta’ di accesso alle informazioni della PA

Non voglio ripetermi parlando di prevalenza della trasparenza sulla riservatezza CTD ma voglio raccogliere alcuni esempi, episodi e richieste che solitamente vengono rigettate perche’ qualcuno continua a parlare di PRIVACY.

Accesso da parte dei consiglieri. Possibilissimo, vedi articolo 43 del TUEL

Accesso dell’avvocato. Ovvio, 391 quater cpp

Acceso appalti pubblici. Qui spendo due parole in più .

(Accesso agli atti e riservatezza)
1. Salvo quanto espressamente previsto nel presente codice, il diritto di accesso agli atti delle procedure di affidamento e di esecuzione dei contratti pubblici, ivi comprese le candidature e le offerte, e’ disciplinato dagli articoli 22 e seguenti della legge 7 agosto 1990, n. 241. Il diritto di accesso agli atti del processo di asta elettronica puo’ essere esercitato mediante l’interrogazione delle registrazioni di sistema informatico che contengono la documentazione in formato elettronico dei detti atti ovvero tramite l’invio ovvero la messa a disposizione di copia autentica degli atti.
2. Fatta salva la disciplina prevista dal presente codice per gli appalti secretati o la cui esecuzione richiede speciali misure di sicurezza, il diritto di accesso e’ differito: a) nelle procedure aperte, in relazione all’elenco dei soggetti che hanno presentato offerte, fino alla scadenza del termine per la presentazione delle medesime; b) nelle procedure ristrette e negoziate e nelle gare informali, in relazione all’elenco dei soggetti che hanno fatto richiesta di invito o che hanno manifestato il loro interesse, e in relazione all’elenco dei soggetti che sono stati invitati a presentare offerte e all’elenco dei soggetti che hanno presentato offerte, fino alla scadenza del termine per la presentazione delle offerte medesime; ai soggetti la cui richiesta di invito sia stata respinta, e’ consentito l’accesso all’elenco dei soggetti che hanno fatto richiesta di invito o che hanno manifestato il loro interesse, dopo la comunicazione ufficiale, da parte delle stazioni appaltanti, dei nominativi dei candidati da invitare; c) in relazione alle offerte, fino all’aggiudicazione; d) in relazione al procedimento di verifica della anomalia dell’offerta, fino all’aggiudicazione.
3. Gli atti di cui al comma 2, fino alla scadenza dei termini ivi previsti, non possono essere comunicati a terzi o resi in qualsiasi altro modo noti.
4. L’inosservanza dei commi 2 e 3 per i pubblici ufficiali o per gli incaricati di pubblici servizi rileva ai fini dell’articolo 326 del codice penale.
5. Fatta salva la disciplina prevista dal presente codice per gli appalti secretati o la cui esecuzione richiede speciali misure di sicurezza, sono esclusi il diritto di accesso e ogni forma di divulgazione in relazione: a) alle informazioni fornite nell’ambito dell’offerta o a giustificazione della medesima che costituiscano, secondo motivata e comprovata dichiarazione dell’offerente, segreti tecnici o commerciali; b) ai pareri legali acquisiti dai soggetti tenuti all’applicazione del presente codice, per la soluzione di liti, potenziali o in atto, relative ai contratti pubblici; c) alle relazioni riservate del direttore dei lavori ((, del direttore dell’esecuzione)) e dell’organo di collaudo sulle domande e sulle riserve del soggetto esecutore del contratto; d) alle soluzioni tecniche e ai programmi per elaboratore utilizzati dalla stazione appaltante o dal gestore del sistema informatico per le aste elettroniche, ove coperti da diritti di privativa intellettuale.
6. In relazione all’ipotesi di cui al comma 5, lettera a), e’ consentito l’accesso al concorrente ai fini della difesa in giudizio dei propri interessi in relazione alla procedura di affidamento del contratto.

In sintesi, abbiamo una norma speciale limitata ovviamente alle enucleazioni del codice, altrimenti vige il 22 della 241/90.

E’ chiaro che il tenore speciale ( salvo altre espressioni ) si riferisce al differimento dell’accesso finalizzato a non inquinare il procedimento di aggiudicazione. Da sottolineare che con le fasi del nuovo codice ( l’articolo 32 ) , la querelle della legittimazione di accesso differita all’aggiudicazione provvisoria o definitiva è da ritenersi superata.

Accesso agli atti del confinante, l’evergreen

Un confinante chiede l’accesso agli autorizzativi di un cantiere confinante. TAR Roma 2025/2017, il requisito della vicinates legittima sempre l’accesso agli atti. Qualche TAR piu’ vecchio, 2015 , ricorda che non solo il confinante, ma anche il frontista e chiunque’ si trovi in una situazione di stabile collegamento e’ legittimato.

Ovviamente valgono le raccomandazioni di legge dell’articolo 24 della L. 241/90

((1. Il diritto di accesso e’ escluso: a) per i documenti coperti da segreto di Stato ai sensi della legge 24 ottobre 1977, n. 801, e successive modificazioni, e nei casi di segreto o di divieto di divulgazione espressamente previsti dalla legge, dal regolamento governativo di cui al comma 6 e dalle pubbliche amministrazioni ai sensi del comma 2 del presente articolo; b) nei procedimenti tributari, per i quali restano ferme le particolari norme che li regolano; c) nei confronti dell’attivita’ della pubblica amministrazione diretta all’emanazione di atti normativi, amministrativi generali, di pianificazione e di programmazione, per i quali restano ferme le particolari norme che ne regolano la formazione; d) nei procedimenti selettivi, nei confronti dei documenti amministrativi contenenti informazioni di carattere psicoattitudinale relativi a terzi.

2. Le singole pubbliche amministrazioni individuano le categorie di documenti da esse formati o comunque rientranti nella loro disponibilita’ sottratti all’accesso ai sensi del comma 1.

3. Non sono ammissibili istanze di accesso preordinate ad un controllo generalizzato dell’operato delle pubbliche amministrazioni.

4. L’accesso ai documenti amministrativi non puo’ essere negato ove sia sufficiente fare ricorso al potere di differimento.

5. I documenti contenenti informazioni connesse agli interessi di cui al comma 1 sono considerati segreti solo nell’ambito e nei limiti di tale connessione. A tale fine le pubbliche amministrazioni fissano, per ogni categoria di documenti, anche l’eventuale periodo di tempo per il quale essi sono sottratti all’accesso.

6. Con regolamento, adottato ai sensi dell’articolo 17, comma 2, della legge 23 agosto 1988, n. 400, il Governo puo’ prevedere casi di sottrazione all’accesso di documenti amministrativi: a) quando, al di fuori delle ipotesi disciplinate dall’articolo 12 della legge 24 ottobre 1977, n. 801, dalla loro divulgazione possa derivare una lesione, specifica e individuata, alla sicurezza e alla difesa nazionale, all’esercizio della sovranita’ nazionale e alla continuita’ e alla correttezza delle relazioni internazionali, con particolare riferimento alle ipotesi previste dai trattati e dalle relative leggi di attuazione; b) quando l’accesso possa arrecare pregiudizio ai processi di formazione, di determinazione e di attuazione della politica monetaria e valutaria; c) quando i documenti riguardino le strutture, i mezzi, le dotazioni, il personale e le azioni strettamente strumentali alla tutela dell’ordine pubblico, alla prevenzione e alla repressione della criminalita’ con particolare riferimento alle tecniche investigative, alla identita’ delle fonti di informazione e alla sicurezza dei beni e delle persone coinvolte, all’attivita’ di polizia giudiziaria e di conduzione delle indagini; d) quando i documenti riguardino la vita privata o la riservatezza di persone fisiche, persone giuridiche, gruppi, imprese e associazioni, con particolare riferimento agli interessi epistolare, sanitario, professionale, finanziario, industriale e commerciale di cui siano in concreto titolari, ancorche’ i relativi dati siano forniti all’amministrazione dagli stessi soggetti cui si riferiscono; e) quando i documenti riguardino l’attivita’ in corso di contrattazione collettiva nazionale di lavoro e gli atti interni connessi all’espletamento del relativo mandato.

7. Deve comunque essere garantito ai richiedenti l’accesso ai documenti amministrativi la cui conoscenza sia necessaria per curare o per difendere i propri interessi giuridici. Nel caso di documenti contenenti dati sensibili e giudiziari, l’accesso e’ consentito nei limiti in cui sia strettamente indispensabile e nei termini previsti dall’articolo 60 del decreto legislativo 30 giugno 2003, n. 196, in caso di dati idonei a rivelare lo stato di salute e la vita sessuale)).

e degli articolo 59 e 60 del D.lgs 196/03

Art. 59 ( Accesso a documenti amministrativi ((e accesso civico)) )

1. Fatto salvo quanto previsto dall’articolo 60, i presupposti, le modalita’, i limiti per l’esercizio del diritto di accesso a documenti amministrativi contenenti dati personali, e la relativa tutela giurisdizionale, restano disciplinati dalla legge 7 agosto 1990, n. 241, e successive modificazioni e dalle altre disposizioni di legge in materia, nonche’ dai relativi regolamenti di attuazione, anche per cio’ che concerne i tipi di dati ((di cui agli articoli 9 e 10 del regolamento)) e le operazioni di trattamento eseguibili in esecuzione di una richiesta di accesso. ((PERIODO SOPPRESSO DAL D.LGS. 10 AGOSTO 2018, N. 101)).

((1-bis. I presupposti, le modalita’ e i limiti per l’esercizio del diritto di accesso civico restano disciplinati dal decreto legislativo 14 marzo 2013, n. 33.))

Art. 60 (( Dati relativi alla salute o alla vita sessuale o all’orientamento sessuale). ))

((1. Quando il trattamento concerne dati genetici, relativi alla salute, alla vita sessuale o all’orientamento sessuale della persona, il trattamento e’ consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi, e’ di rango almeno pari ai diritti dell’interessato, ovvero consiste in un diritto della personalita’ o in un altro diritto o liberta’ fondamentale.))

Chiudo riportando un vecchio post sulla richiesta di accesso da parte delle forze dell’ordine nei Comuni e sui tipi di accesso da parte della PA.

La liberta’ di accesso alle informazioni della PA

Non voglio ripetermi parlando di prevalenza della trasparenza sulla riservatezza CTD ma voglio raccogliere alcuni esempi, episodi e richieste che solitamente vengono rigettate perche’ qualcuno continua a parlare di PRIVACY.

Accesso da parte dei consiglieri. Possibilissimo, vedi articolo 43 del TUEL

Accesso dell’avvocato. Ovvio, 391 quater cpp

Acceso appalti pubblici. Qui spendo due parole in più .

(Accesso agli atti e riservatezza)
1. Salvo quanto espressamente previsto nel presente codice, il diritto di accesso agli atti delle procedure di affidamento e di esecuzione dei contratti pubblici, ivi comprese le candidature e le offerte, e’ disciplinato dagli articoli 22 e seguenti della legge 7 agosto 1990, n. 241. Il diritto di accesso agli atti del processo di asta elettronica puo’ essere esercitato mediante l’interrogazione delle registrazioni di sistema informatico che contengono la documentazione in formato elettronico dei detti atti ovvero tramite l’invio ovvero la messa a disposizione di copia autentica degli atti.
2. Fatta salva la disciplina prevista dal presente codice per gli appalti secretati o la cui esecuzione richiede speciali misure di sicurezza, il diritto di accesso e’ differito: a) nelle procedure aperte, in relazione all’elenco dei soggetti che hanno presentato offerte, fino alla scadenza del termine per la presentazione delle medesime; b) nelle procedure ristrette e negoziate e nelle gare informali, in relazione all’elenco dei soggetti che hanno fatto richiesta di invito o che hanno manifestato il loro interesse, e in relazione all’elenco dei soggetti che sono stati invitati a presentare offerte e all’elenco dei soggetti che hanno presentato offerte, fino alla scadenza del termine per la presentazione delle offerte medesime; ai soggetti la cui richiesta di invito sia stata respinta, e’ consentito l’accesso all’elenco dei soggetti che hanno fatto richiesta di invito o che hanno manifestato il loro interesse, dopo la comunicazione ufficiale, da parte delle stazioni appaltanti, dei nominativi dei candidati da invitare; c) in relazione alle offerte, fino all’aggiudicazione; d) in relazione al procedimento di verifica della anomalia dell’offerta, fino all’aggiudicazione.
3. Gli atti di cui al comma 2, fino alla scadenza dei termini ivi previsti, non possono essere comunicati a terzi o resi in qualsiasi altro modo noti.
4. L’inosservanza dei commi 2 e 3 per i pubblici ufficiali o per gli incaricati di pubblici servizi rileva ai fini dell’articolo 326 del codice penale.
5. Fatta salva la disciplina prevista dal presente codice per gli appalti secretati o la cui esecuzione richiede speciali misure di sicurezza, sono esclusi il diritto di accesso e ogni forma di divulgazione in relazione: a) alle informazioni fornite nell’ambito dell’offerta o a giustificazione della medesima che costituiscano, secondo motivata e comprovata dichiarazione dell’offerente, segreti tecnici o commerciali; b) ai pareri legali acquisiti dai soggetti tenuti all’applicazione del presente codice, per la soluzione di liti, potenziali o in atto, relative ai contratti pubblici; c) alle relazioni riservate del direttore dei lavori ((, del direttore dell’esecuzione)) e dell’organo di collaudo sulle domande e sulle riserve del soggetto esecutore del contratto; d) alle soluzioni tecniche e ai programmi per elaboratore utilizzati dalla stazione appaltante o dal gestore del sistema informatico per le aste elettroniche, ove coperti da diritti di privativa intellettuale.
6. In relazione all’ipotesi di cui al comma 5, lettera a), e’ consentito l’accesso al concorrente ai fini della difesa in giudizio dei propri interessi in relazione alla procedura di affidamento del contratto.

In sintesi, abbiamo una norma speciale limitata ovviamente alle enucleazioni del codice, altrimenti vige il 22 della 241/90.

E’ chiaro che il tenore speciale ( salvo altre espressioni ) si riferisce al differimento dell’accesso finalizzato a non inquinare il procedimento di aggiudicazione. Da sottolineare che con le fasi del nuovo codice ( l’articolo 32 ) , la querelle della legittimazione di accesso differita all’aggiudicazione provvisoria o definitiva è da ritenersi superata.

Accesso agli atti del confinante, l’evergreen

Un confinante chiede l’accesso agli autorizzativi di un cantiere confinante. TAR Roma 2025/2017, il requisito della vicinates legittima sempre l’accesso agli atti. Qualche TAR piu’ vecchio, 2015 , ricorda che non solo il confinante, ma anche il frontista e chiunque’ si trovi in una situazione di stabile collegamento e’ legittimato.

Ovviamente valgono le raccomandazioni di legge dell’articolo 24 della L. 241/90

((1. Il diritto di accesso e’ escluso: a) per i documenti coperti da segreto di Stato ai sensi della legge 24 ottobre 1977, n. 801, e successive modificazioni, e nei casi di segreto o di divieto di divulgazione espressamente previsti dalla legge, dal regolamento governativo di cui al comma 6 e dalle pubbliche amministrazioni ai sensi del comma 2 del presente articolo; b) nei procedimenti tributari, per i quali restano ferme le particolari norme che li regolano; c) nei confronti dell’attivita’ della pubblica amministrazione diretta all’emanazione di atti normativi, amministrativi generali, di pianificazione e di programmazione, per i quali restano ferme le particolari norme che ne regolano la formazione; d) nei procedimenti selettivi, nei confronti dei documenti amministrativi contenenti informazioni di carattere psicoattitudinale relativi a terzi.

2. Le singole pubbliche amministrazioni individuano le categorie di documenti da esse formati o comunque rientranti nella loro disponibilita’ sottratti all’accesso ai sensi del comma 1.

3. Non sono ammissibili istanze di accesso preordinate ad un controllo generalizzato dell’operato delle pubbliche amministrazioni.

4. L’accesso ai documenti amministrativi non puo’ essere negato ove sia sufficiente fare ricorso al potere di differimento.

5. I documenti contenenti informazioni connesse agli interessi di cui al comma 1 sono considerati segreti solo nell’ambito e nei limiti di tale connessione. A tale fine le pubbliche amministrazioni fissano, per ogni categoria di documenti, anche l’eventuale periodo di tempo per il quale essi sono sottratti all’accesso.

6. Con regolamento, adottato ai sensi dell’articolo 17, comma 2, della legge 23 agosto 1988, n. 400, il Governo puo’ prevedere casi di sottrazione all’accesso di documenti amministrativi: a) quando, al di fuori delle ipotesi disciplinate dall’articolo 12 della legge 24 ottobre 1977, n. 801, dalla loro divulgazione possa derivare una lesione, specifica e individuata, alla sicurezza e alla difesa nazionale, all’esercizio della sovranita’ nazionale e alla continuita’ e alla correttezza delle relazioni internazionali, con particolare riferimento alle ipotesi previste dai trattati e dalle relative leggi di attuazione; b) quando l’accesso possa arrecare pregiudizio ai processi di formazione, di determinazione e di attuazione della politica monetaria e valutaria; c) quando i documenti riguardino le strutture, i mezzi, le dotazioni, il personale e le azioni strettamente strumentali alla tutela dell’ordine pubblico, alla prevenzione e alla repressione della criminalita’ con particolare riferimento alle tecniche investigative, alla identita’ delle fonti di informazione e alla sicurezza dei beni e delle persone coinvolte, all’attivita’ di polizia giudiziaria e di conduzione delle indagini; d) quando i documenti riguardino la vita privata o la riservatezza di persone fisiche, persone giuridiche, gruppi, imprese e associazioni, con particolare riferimento agli interessi epistolare, sanitario, professionale, finanziario, industriale e commerciale di cui siano in concreto titolari, ancorche’ i relativi dati siano forniti all’amministrazione dagli stessi soggetti cui si riferiscono; e) quando i documenti riguardino l’attivita’ in corso di contrattazione collettiva nazionale di lavoro e gli atti interni connessi all’espletamento del relativo mandato.

7. Deve comunque essere garantito ai richiedenti l’accesso ai documenti amministrativi la cui conoscenza sia necessaria per curare o per difendere i propri interessi giuridici. Nel caso di documenti contenenti dati sensibili e giudiziari, l’accesso e’ consentito nei limiti in cui sia strettamente indispensabile e nei termini previsti dall’articolo 60 del decreto legislativo 30 giugno 2003, n. 196, in caso di dati idonei a rivelare lo stato di salute e la vita sessuale)).

e degli articolo 59 e 60 del D.lgs 196/03

Art. 59 ( Accesso a documenti amministrativi ((e accesso civico)) )

1. Fatto salvo quanto previsto dall’articolo 60, i presupposti, le modalita’, i limiti per l’esercizio del diritto di accesso a documenti amministrativi contenenti dati personali, e la relativa tutela giurisdizionale, restano disciplinati dalla legge 7 agosto 1990, n. 241, e successive modificazioni e dalle altre disposizioni di legge in materia, nonche’ dai relativi regolamenti di attuazione, anche per cio’ che concerne i tipi di dati ((di cui agli articoli 9 e 10 del regolamento)) e le operazioni di trattamento eseguibili in esecuzione di una richiesta di accesso. ((PERIODO SOPPRESSO DAL D.LGS. 10 AGOSTO 2018, N. 101)).

((1-bis. I presupposti, le modalita’ e i limiti per l’esercizio del diritto di accesso civico restano disciplinati dal decreto legislativo 14 marzo 2013, n. 33.))

Art. 60 (( Dati relativi alla salute o alla vita sessuale o all’orientamento sessuale). ))

((1. Quando il trattamento concerne dati genetici, relativi alla salute, alla vita sessuale o all’orientamento sessuale della persona, il trattamento e’ consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi, e’ di rango almeno pari ai diritti dell’interessato, ovvero consiste in un diritto della personalita’ o in un altro diritto o liberta’ fondamentale.))

Chiudo riportando un vecchio post sulla richiesta di accesso da parte delle forze dell’ordine nei Comuni e sui tipi di accesso da parte della PA.

Regolamento all'uso degli strumenti informatici.

destinatari : RPCT, Titolare, DPO, RTD, Amministratore di Sistema, Apicali, RSU.

Questo regolamento deve essere adottato per l’uso di strumenti informatici, qualora l’ente abbia già adottato uno strumento simile deve comunicarmelo all’indirizzo PEC ca@infopec.net , inoltre si ricorda che deve essere condiviso con la componente sindacale.

Premesse importanti :

  • questo regolamento attua le politiche di sicurezza, anche organizzative della propria organizzazione
  • questo regolamento contempla la norma contenuta nell’articolo 12 commi 3 e 3 bis del D.Lgs 82/05, quindi si applica ai device anche non di proprietà od in possesso dell’Ente , ma di proprietà od in possesso del dipendente dell’Ente , c.d. BYOD
  • questo regolamento coniuga ed attua le seguenti norme , la L. 300/70 art 4 c 1, il D.Lgs 196/03, Il reg. 2016/279 per quanto riguarda l’utilizzo degli strumenti informatici ed è vincolante tra le parti una volta approvato
  • questo regolamento deve essere diffuso ai dipendenti e valgono ai sensi degli articoli 2104 e 2105 del codice civile
  • ai fini di questo regolamento per strumenti informatici si intendono strumentazioni hardware, software , locali, dipartimentali, cloud od in altra tecnologia

Parte 1 . Regole generali

  1. non è consentito installare autonomamente programmi provenienti dall’esterno salvo previa autorizzazione esplicita dell’amministratore di sistema, in quanto sussiste il grave pericolo di portare virus e di creare rischi seri per la sicurezza informatica.
  2. non è consentito l’uso di programmi diversi da quelli distribuiti ed installati ufficialmente dal responsabile dei sistemi informatici. L’inosservanza di questa disposizione, infatti, oltre al rischio di danneggiamenti del sistema per incompatibilità con il software esistente, può esporre l’azienda a gravi responsabilità civili ed anche penali in caso di violazione della normativa a tutela dei diritti d’autore sul software.
  3. non è consentito all’utente modificare le caratteristiche impostate sul proprio PC, salvo previa autorizzazione esplicita dell’amministratore di sistema. Il personal computer, inoltre, deve essere spento ogni sera prima di lasciare gli uffici o in caso di assenze prolungate dall’ufficio.
  4. non è consentita l’installazione sul proprio PC di nessun dispositivo di memorizzazione, comunicazione o altro (come ad esempio masterizzatori, modem, ecc…), se non con l’autorizzazione espressa dell’amministratore di sistema. A tal proposito sarebbe altamente consigliato per l’azienda impedire la possibilità per i dipendenti /incaricati di poter salvare i dati e portarli all’esterno bloccando, per esempio, gli accessi alle usb o adottando procedure analoghe.
  5. l’accesso agli strumenti è protetto da password; per l’accesso devono essere utilizzati Username e password assegnate dall’Amministratore di Sistema. A tal proposito si rammenta che essi sono strettamente personali e l’utente è tenuto a conservarli nella massima segretezza. Certamente non con post-it attaccati al PC. A tal proposito è bene responsabilizzare i dipendenti sulle conseguenze di detto comportamento “apparentemente innocuo” e sulle responsabilità che ne derivano.

I controlli effettuati dal datore di lavoro sugli strumenti informatici non sono lesivi della riservatezza se non finalizzati al controllo a distanza in forza dell’articolo 4 della L. 300/70 – cassazione 10955/2015 – CEDU 2017

Si allega e si diffonde assieme alle regole qui scritte il doc. web n. 1387522 intitolato le linee guida del Garante per posta elettronica e internet

Inoltre al fine di diffondere la cultura della protezione dei dati l’Ente attraverso i social, newsletter e lezioni frontali promuove il seguente programma formativo :



Obiettivi della formazione, diffondere i nuovi standard di consapevolezza, vedi il post che segue sulle LLGG AGID SICUREZZA INFORMATICA

Sei solo chiacchiere e distintivo. La prima procedura ufficiale per il GDPR da attuare con DPO e RTD.

Questo articolo è dedicato a Daniela Salzano.
Sei andata via troppo presto. Resti un esempio.

Iniziano ad uscire le LLGG sulla sicurezza, seguiamole e non facciamo spese inutili, investiamo in modelli di gestione e non in hardware inadeguato (solitamente sovradimensionato e non presidiato)

Preferisco non ripetermi, ribadendo che in Europa non si soggiace ad una legge sulla PRIVACY, ma ad una norma che spinge a dotarsi di un modello organizzativo, il GDPR, e che tuttavia utilizzare, o meglio provare a dotarsi di un modello conforme al GDPR senza essersi conformati al regolamento 2014/910 ( eidas ) è del tutto inutile

IIl 13 Giugno 2019 è stato l’ultimo giorno di consultazione delle LLGG sulle sicurezza nel procurement ICT, nell’attesa della definitiva pubblicazione possiamo iniziare a commentare velocemente i contenuti per quanto attiene al documento “strategico” per gli acquisti ICT .

Chiariamo subito una cosa, destinatari delle LLGG sono TUTTE le PPAA, i soggetti coinvolti sono :

RUP

DPO

Amministratori

RTD.

Il capitolo 2 rappresenta il caposaldo dell’enunciato provvedimento, esso si divide in tre fasi procedimentali

  1. azioni da svolgere prima dell’acquisto
  2. azioni da svolgere durante le procedure d’acquisto
  3. azioni da svolgere dopo la stipula

Le azioni da svolgere prima dell’acquisto sono definite AZIONI GENERALI e sono numerate da 1 a 7:

AG1-PROMOZIONE DI COMPETENZA E CONSAPEVOLEZZA
AG2-RACCOGLIERE BUONE PRASSI ED ESPERIENZA
AG3-STABILIRE RUOLI E RESPONSABILITA’
AG4-EFFETTUARE UNA RICOGNIZIONE DI BENI INFORMATICI E SERVIZI
AG5-CLASSIFICAZIONE DI BENI E SERVIZI SOTTO IL PROFILO DELLA SICUREZZA
AG6-DEFINIRE AUDIT E VALUTAZIONE DEL FORNITORE IN MATERIA DI SICUREZZA
AG7-DEFINIRE METODOLOGIA DI AUDIT INTERNO IN MATERIA DI SICUREZZA

Vediamole velocemente.

AG1-PROMOZIONE DI COMPETENZA E CONSAPEVOLEZZA

Ogni pubblica amministrazione deve essere orientata alla gestione del rischio e dotata di persone capaci al gestione del processo di acquisizione dei beni e servizi .

Qualora fosse conclamata, nei fatti, questa carenza, come spesso accaduto in precedenza bisogna prenderne atto ( e non mentire come fatto per le LLGG Agid 2/2017), quindi delegare a figure esterne questi aspetti; una delle figure potrebbe essere il DPO, il supporto RTD o consulenti selezionati proprio per questo scopo.
Nel piano di formazione del GDPR deve essere inserito un percorso di sensibilizzazione alla gestione del rischio.

AG2-RACCOGLIERE BUONE PRASSI ED ESPERIENZA

Semplicemente occorre creare una o più procedure finalizzate alla raccolta di esperienze interne ed esterne da condividere, la c.d. raccolta delle buone prassi.

Riporto un articolo per qualche spunto ed anche l’URL del CERT-PA

IL PTIPA ha spostato la pubblicazione delle LLGG MMS a Dicembre 2019.

https://www.cert-pa.it/

AG3-STABILIRE RUOLI E RESPONSABILITA’

Praticamente l’essenza della compliance e dell’accountability .

Lo strumento di lavoro sarà la matrice RACI-VS, la matrice prende il nome dalle iniziali dei RUOLI che appaiono, nel dettaglio
Responsabile-colui che produce l’effetto
Accontable-colui che approva
Consult-colui che viene consultato per generare il risultato voluto
Inform-colui che viene informato sul risultato

Verifier-colui che verifica tutto quanto sopra
Signatory-Funzione di approvazione del Verifier

AG4-EFFETTUARE UNA RICOGNIZIONE DI BENI INFORMATICI E SERVIZI

Semplicemente si tratta di inventariare gli asset, anche già presenti perchè come più volte detto la prima cosa da fare per proteggere è avere cognizione di cosa PROTEGGERE. Sembra banale? controllate i lavori in giro in ambito GDPR e poi ci confrontiamo.
Inoltre, il principio di CONOSCENZA di cosa possediamo (anche quindi non in proprietà) è un presidio fondamentali delle LLGG sulla sicurezza informatica che attendiamo per Dicembre 2019 e delle LLGG MMS AGID 2/2017 con la nomenclatura ABSC ID 1 e ABSC ID 2.

AG5-CLASSIFICAZIONE DI BENI E SERVIZI SOTTO IL PROFILO DELLA SICUREZZA

Occorre RI-CLASSIFICARE gli asset in funzione della criticità

AG6-DEFINIRE AUDIT E VALUTAZIOEN DEL FORNITORE IN MATERIA DI SICUREZZA

Occorre in funzione della criticità del procurement valutare il fornitore, le procedure le vedremo in un altro post

AG7-DEFINIRE METODOLOGIA DI AUDIT INTERNO IN MATERIA DI SICUREZZA

Certamente dopo aver AUDITATO (EHEHEH) il fornitore esterno occorre anche ascoltare le componenti interne dell’organizzazione e creare correttivi che naturalmente e fisiologicamente deriveranno dal nuovo asset acquistato.

In sintesi per la prima fase, quella prodromica all’attività di procurement, occorrerà stilare una chek list, che riporto

DENOMINAZIONE PA
AZIONEDOMANDEPUNTI
AG1ESISTE UN PIANO AGGIORNATO DI FORMAZIONE SUI TEMI DELLA SICUREZZA ?
ESISTE UN CALENDARIO DI EVENTI PER SENSIBILIZZARE IL PERSONALE SUI RISCHI?
AG2ESISTE UN ARCHIVIO DI BUONE PRASSI ED ESPERIENZE ?
AG3SONO FORMALIZZATI INCARICHI E RESPONSABILITÀ SULLA SICUREZZA DEGLIA ACQUISTI?
SONO DEFINITE LE MATRICI RACI-VS PER LA GESTIONE DEGLI ACQUISTI ?
AG4ESISTE UN INVENTARIO AGGIORNATO DEI BENI INFORMATICI DELL’AMMINISTRAZIONE?
AG5GLI INVENTARI DI CUI AG4 SONO STATI RICLASSIFICATI  IN FUNZIONE DELLA CRITICITÀ?
AG6È DEFINITA UNA METODOLOGIA DI AUDIT  DEI FORNITORI SULLA SICUREZZA ?
AG7È DEFINITA UNA METODOLOGIA DI AUDIT INTERNO SULLA SICUREZZA ?
SOMMATORIA DEI PUNTI ( SI=1, NO=0,IN PARTE = 0.5)
  • Azioni da svolgere durante le procedure d’acquisto

In questa fase la focalizzazione riguarda la criticità dell’asset ( materiale od immateriale) da acquisire.

La criticità può essere valutata sia in termine di costi che di impatto BIA.

Le azioni sono 4 e saranno siglate come AP ( AZIONI PROCUREMENT)

  • AP1 Analisi e classificazione in base ai criteri di sicurezza
  • AP2 Scelta dello strumento d’acquisto più adeguato
  • AP3 Scelta dei requisiti di sicurezza da inserire nel capitolato
  • AP4 Garantire competenze di sicurezza nella commissione di valutazione

AP1 Analisi e classificazione in base ai criteri di sicurezza

In questa fase, collegata intimamente all’AG 5 bisogna vedere e classificare come l’acquisizione IMPATTA sulla struttura organizzativa, in funzione del servizio reso, ma anche in termini finanziari, infatti la classificazione potrebbe anche essere fatta in funzione degli impegni di spesaRilascio di certificati per invalidi con istanza.

Lo strumento operativo può essere rappresentato da una tabella del genere:

QUESITIPESO DA ATTRIBUIRE (da 1 a 5)Risposte SI=1,NO=0,IN
PARTE 0.5
PONDERAZIONE
L’acquisto impatta su servizi critici ?
L’importo rientra nella programmazione ex articolo 21 c.6 del D.lgs 50/16 ?
La durata del contratto da stipulare supera la soglia minima di criticità?
La sede ove verranno erogate le prestazioni da acquisire è critica ?
Complessivamente quanto si ritiene critico l’investimento?

Facendo le ponderazioni per un migliore impatto visivo conviene attribuire i classici tre colori del semaforo per TRI-RIPARTIRE la magnitudo .

AP2 Scelta dello strumento d’acquisto più adeguato

L’Azione Procurement 2 é legata a filo doppio con la 1, in funzione della classificazione di AP1 infatti potrebbe essere conveniente utilizzare il MEPA ( con bassa criticità quindi ) oppure convenzioni od accordi quadro Consip nel caso di criticità maggiore.

Accordi quadro e convenzioni sono maggiormente curati sull’aspetto della sicurezza, qualora non fossero adatti si prosegue con l’Azione Procurement 3.

AP3 Scelta dei requisiti di sicurezza da inserire nel capitolato

Quando l’amministrazione non è soddisfatta da Mepa e Consip, ovviamente spingerà verso livelli di sicurezza superiori , quindi nel rispetto del D.lgs 50/16, della L.55/19, della circ 2/2017 Agid ( ad oggi) e del GDPR inserirà specifiche tecniche ed amministrative per qualificare il servizio e l’offerente, a tal punto è consigliabile prendere spunto dall’allegato A delle LLgSPICT, a titolo di esempio le riporto appresso :

Queste sono le prime sei, in realtà sono 45 . SIGH!!!!

Ma una volta fatto il bando con tanto di lex specialis non possiamo esimerci dall’avere una commissione ex art 77 validissima, infatti la prescrizione dell’Azione Procurement 4 è

AP4 Garantire competenze di sicurezza nella commissione di valutazione

Nelle more e nell’attesa dell’Albo Nazionale dei commissari ( spostato al 31/12/2020) sarà necessario per non inficiare tutte le AG e le AP scegliere un commissario (anche esterno) adatto all’acquisizione.

La tabella riepilogativa delle PA sarà

AZIONEQUESITIRISPOSTE
AP1COME È STATA CLASSIFICATA L’ACQUISIZIONE IN FUNZIONE DELLA CRITICITÀ ( ALTA, BASSA..)
AP2QUALE STRUMENTO DI ACQUISIZIONE È STATO SCELTO ? ( MEPA, AQ, GARA DA ZERO)
AP3 NEL CAPITOLATO SONO STATI INSERITI TUTTI GLI ELEMENTI DI SICUREZZA ANCHE DELL’ALLEGATO A DELLE LLgSPICT?
AP4LA COMMISSIONE GIUDICATRICE HA COMPETENZE IN AMBITO DELLA SICUREZZA?
I REQUISITI DI SICUREZZA SONO CHIARI ED UNIVOCI ?

AZIONI DA SVOLGERE DOPO LA STIPULA DEL CONTRATTO .

O per meglio dire azioni che vanno svolte dal momento della stipula in poi. Sono 13 Azioni e sono collegate alle AG ed alle AP.

Vediamole :

A1 :UTENZE FORNITORI
A2: GESTIONE DISPOSITIVI FORNITORI
A3: GESTIONE ACCESSO RETE
A4: GESTIONE ACCESSO DB/SERVER
A5: STIPULA ACCORDI DI AUTORIZZAZIONE-RISERVATEZZA-CONFIDENZIALITÀ
A6: VERIFICA RISPETTO PRESCRIZIONI DI SICUREZZA NELLO SVILUPPO DELL’APPLICATIVO
A7: MONITORAGGIO UTENZE ED ACCESSI DEL FORNITORE
A8: VERIFICARE LA DOCUMENTAZIONE FINALE DEL PROGETTO
A9: EFFETTUARE IL DEPROVISIONING
A10: AGGIORNARE L’INVENTARIO DEI BENI
A11: EFFETTURAE IL WIPING
A12: MANUTENZIONE DEI BENI
A13: VULNERABILITY ASSESSMENT

A1 UTENZE FORNITORI

L’amministrazione deve inserire nella propria scheda di account management le credenziali di accesso ai dipendenti del fornitore. Anche loro saranno sottoposti alle ricognizione di log


A2 GESTIONE DISPOSITIVI FORNITORI

I requisiti di sicurezza del parco hardware che i fornitori utilizzeranno nell’espletamento dell’appalto devono essere indicati nell’appalto, ad esempio crittografia e policy della password. Quando il fornitore tratta i dati in nome e per conto dell’amministrazione (configurando nei fatti un addendum contrattuale ex articolo 28 DGPR) le cose si semplificano un bel po’. Potrebbe anche essere che per forniture e servizi altamente critici ci sia il divieto assoluto di utilizzazione di hardware del fornitore, in questo caso A2 si attua con il controllo del divieto imposto già dal capitolato.

A3 GESTIONE ACCESSO RETE

L’accesso alla rete deve essere abilitato e configurato per quanto strettamente necessario. Può avvenire con VPN dedicate e gli accessi dovranno essere tracciati anche ai fini dell’audit AG6.


A4 GESTIONE ACCESSO DB/SERVER

Deve essere consentito solo l’accesso ai DB ed ai server dove insiste l’applicazione da fornire o manutenere . Qualora occorresse accedere ad altri DB/SERVER bisogna gestire le eccezioni .

A5 STIPULA ACCORDI DI AUTORIZZAZIONE-RISERVATEZZA-CONFIDENZIALITÀ

E’ strettamente legata alle buone prassi dell’AG 2. Ogni fornitore dovrà consegnare all’amministrazione l’elenco del personale dipendente impegnato sul progetto che sottoscrive la confidenzialità del rapporto. Anche in questo caso conviene fare riferimento all’articolo 28 del GDPR ed anche al 32.

A6 VERIFICA RISPETTO PRESCRIZIONI DI SICUREZZA NELLO SVILUPPO DELL’APPLICATIVO

I requisiti di questa azione possono essere :

  • generici, in questo caso si lascia al fornitore la massima libertà di scelta di tecnologia e modalità operativa, queste caratteristiche vanno valutate dalla commissione giudicatrice ex articolo 77 del D.lgs 50/16
  • specifiche , in questo secondo caso è l’amministrazione a dare dei paletti ( anche in funzione dell’ambiente già in essere nella PA) .


A7 MONITORAGGIO UTENZE ED ACCESSI DEL FORNITORE

Nel caso (non raro) di susseguirsi di diversi dipendenti e collaboratori dei fornitori occorre avere una doppia matrice di riferimento, PROGETTO-FORNITORi e RUOLI-UTENZE. Queste matrici sono prodromiche all’azione 9.


A8 VERIFICARE LA DOCUMENTAZIONE FINALE DEL PROGETTO

Al termine del progetto il fornitore deve rilasciare :

  • documentazione finale del progetto
  • manuale installazione e di configurazione
  • report assessment di sicurezza con le azioni di mitigazione riportate
  • libretto di manutenzione con indicazioni per mantenere adeguatamente sicuro il progetto acquisito , nel dettaglio

+ produttore e versione del software utilizzato ( librerie, CMS, DBMS, firmware etc etc)
+ indicazioni per reperire i bollettini di sicurezza
+ indicazioni ed istruzioni per installare gli aggiornamenti di sicurezza
+ documento EoL

A9 EFFETTUARE IL DEPROVISIONING

L’amministrazione al termine di ogni progetto deve chiedere il deprovisioning delle utenze, nello specifico :

  • deprovisioning delle utenze fisiche del fornitore
  • deprovisioning delle utenze logiche del fornitore
  • deprovisioning delle utenze VPN
  • deprovisioning delle regole Firewall
  • richiedere dichiarazione di cancellazione dei dati dai dispositivi del fornitore

E’ evidente che avendo effettuato l’A7 diviene tutto più semplice.


A10 AGGIORNARE L’INVENTARIO DEI BENI

Nulla di più semplice per chi è ben adoperato all’utilizzo delle procedure AGID, si tratta di utilizzare gli strumenti del DPCM 10.08.15 e LL.GG Agid 2/2017.

  • ABSC 1.1.1 (M) o ABSC 1.1.2 (S)
  • ABSC 2.1.1 (M) o ABSC 2.2.1 (S)
  • ABSC 10.1.1 (M) o ABSC 10.1.2 (A) e ABSC 10.3.1 (M)

A11 EFFETTUARE IL WIPING

Al termine di ogni progetto di sostituzione di hardware devono essere cancellati i dati contenuti sui supporti.

E’ il caso di farsi rilasciare una relazione di distruzione e fare una verifica ispettiva documentata.

A12 MANUTENZIONE DEI BENI

Si tratta di coordinare quanto detto in A8 ( libretto di manutenzione) con gli aggiornamenti CERT-PA

A13 VULNERABILITY ASSESSMENT

Un assessment sulla vulnerabilità va eseguito almeno con cadenza annuale per gli strumenti collegati al web.
Ovviamente la frequenza deve aumentare in funzione della criticità dell’asset.

Le azioni, sinteticamente sono legate con rapporto 1 a molto alle i requisiti di sicurezza dell’appendice D




Ora riporto, come da LLGG AGID una matrice ancora più semplice che mette in relazione l’Azione con il tipo di fornitura

Ancora meglio vedere in funzione dell’impatto le diverse AZIONI ( Generali, Procurement, ed Azioni tout court)

Ora veniamo alla parte più semplice, o forse la più complessa: i requisiti da inserire nei capitolati dietro consiglio dell’Agid, parliamo del già citato allegato D.

Requisiti generali . Tab 5.1

Requisiti specifici ( forniture di servizi di sviluppo) Tab 5.2

Requisiti specifici ( forniture di oggetti connessi in rete ) Tab 5.3

Requisiti specifici ( forniture di servizi di gestione remota ) Tab 5.4