Articoli

I tipi di accesso alle informazioni della PP.AA.

E’ ormai chiara la mia lettura e la mia visione sulle normative ( Italiana, Europea, Leggi primarie, secondarie, terziarie e blà blà blà ).

Per corroborare il mio pensiero riporto il quarto considernado GDPR

  Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.

 È per orogoglio anche una la stringa famosa di una sentenza italiana che è arrivata ancor prima del GDPR, cass. 10280/15 sez III

IL DIRITTO ALLA PROTEZIONE DEI DATI PUR RIENTRANDO NEI DIRITTI FONDAMENTALI NON E’ UN “TOTEM AL QUALE POSSONO SACRIFICARSI ALTRI DIRITTI COSTITUZIONALMENTE GARANTITI” …IL DIRITTO ALLA PROTEZIONE DEI DATI DEVE ESSERE ” COORDINATO E BILANCIATO” CON LE NORME DI CARATTERE PUBBLICISTICO E PRIVATISTICO.

Ed ancora è bello, doveroso ed importante ricordare che trattare bene i dati non significa solo proteggerli e copiarli, si corre in questo modo il rischio di proteggere e conservare qualcosa di sbagliato, non conforme.

La protezione dalla nascita dei dati prevede ( articolo 25 GDPR ) una serie di presidi di tutela proattiva e di resilienza dei sistemi, ma nessun sistema può ben gestire le informazioni se il personale deputato all’inputazione non ha delle direttive valide, queste direttive, queste regole sono gestite e disciplinate dal Manuale della gestione documentale ex art. 5 DPCM 03/12/13.

Faccio un esempio, anzi meglio riporto un caso pratico che mi vede coinvolto.

Anni addietro per la prima volta acquistai in una grossa catena di elettronica il mio primo PC, chiesi la fattura e diedi il mio biglietto da visita .

Nella stringa DENOMINAZIONE del gestionale inserirono quanto riportato sul biglietto da visita, dott. Vincenzo De Prisco.

Ancora oggi quando acquisto qualcosa in questa catena, dando solo il mio nome e cognome io non risulto , solo dopo molte ricerche mi ricordo che sono registrato anche con il titolo di accademia .

Una buona progettazione del sistema avrebbe dovuto memorizzare il titolo in una casella di form text ininfluente sulla ricerca, ed il nominativo in una casella invece influente sulla ricerca.

Qualora il sistema blindato ( ed è il caso dei sistemi IBM AS/400) non permetta questa personalizzazione delle buone regole da manuale dovrebbero colmare questa lacuna, tipo impartire all’operatore l’istruzione di scrivere sempre il titolo accademico senza nessuna abbreviazione alla fine della stringa, oppure tra il cognome ed il nome etc etc, creare in breve delle regole certe.

Questo in un negozio privato ( anche se grande ), immaginate cosa può accadere nei protocolli e negli archivi delle PP.AA, senza regole.

È facile dire ” vabbè ma oggi i sistemi sono più performanti, basta una parolina ed esce tutto ….”, in parte è vero, ma ricordiamoci che l’ordine sistemico è il presidio fondamentale per la correttezza dei dati e soprattutto che sia nel pubblico che nel privato esistono i c.d. sistemi LEGACY, gli ereditati e che la stessa norma GDPR non impone sembre di cambiare il modo di lavorare, ricordiamoci l’incipit degli articli 25 e 32 .

In estrema sintesi, riprendo un simpatico esempio , quello della procedura delle conserve di pomodoro, nessuno conserverebbe il barattolo di conserva se questo è pieno di pomodori marci , non sterilizzati o se il contenitore ha aria all’interno, potremo ordinarli e proteggerli dal sole, ma sempre velenosi sono.

Ora riprendiamo il filo con queste regole , possiamo parlare di protezione e riservatezza solo dopo avere gestite le politiche di accesso alle informaazioni della PA .

Dunque il quesito è : quali sono i sistemi di accesso alle informazioni di una PA ( concetto allargato, vedasi art 1c. 2 d.lgs 165/01) ?

1 – certamente l’accesso documentale della L. 241/90

e poi ?

2 – Certamente l’ accesso civico tradizionale, quello semplice ( avresti dovuto pubblicare in AT, non l’hai fatto ? io cittadino guardiano ti invito a farlo )

3-  Si, non sono pienamente in sintonia, ma anche l’accesso civivo generalizzato, anche se solo in parte .

E poi ?

Il problema che spesso dimentichiamo alcuni strumenti importanti come la pubblicazione tramite Openda Data ( ricordo, con gli OD accedo ai dati informativi, non ai documenti .

Manca quello che per me rappresenta il verso sistema partecipativo, certamente un’evoluzione del potere di sindacato della 241/90, parlo dell’articolo 41 comma 2 del CAD, l’accesso ed il controllo dinamico del procedimento amministrativo per far valere i diritti dell’articolo 10 della 241.

art 41 c 2 CAD

 La pubblica amministrazione titolare del procedimento raccoglie in un fascicolo informatico gli atti, i documenti e i dati del procedimento medesimo da chiunque formati; all’atto della comunicazione dell’avvio del procedimento ai sensi dell’articolo 8 della legge 7 agosto 1990, n. 241, comunica agli interessati le modalita’ per esercitare in via telematica i diritti di cui all’articolo 10 della citata legge 7 agosto 1990, n. 241. (28)

riporto anche il 10 della 241

 Art. 10. (( (Diritti dei partecipanti al procedimento) )) 1. I soggetti di cui all’articolo 7 e quelli intervenuti ai sensi dell’articolo 9 hanno diritto: a) di prendere visione degli atti del procedimento, salvo quanto previsto dall’articolo 24; b) di presentare memorie scritte e documenti, che l’amministrazione ha l’obbligo di valutare ove siano pertinenti all’oggetto del procedimento.

Per questo motivo gran parte degli approfondimenti futuri  saranno focalizzati sulle istanze telematiche del CAD e sui sistemi di contemperazione di PRIVACY-CTD-TRASPARENZA.

Art. 10. (( (Diritti dei partecipanti al procedimento) )) 1. I soggetti di cui all’articolo 7 e quelli intervenuti ai sensi dell’articolo 9 hanno diritto: a) di prendere visione degli atti del procedimento, salvo quanto previsto dall’articolo 24; b) di presentare memorie scritte e documenti, che l’amministrazione ha l’obbligo di valutare ove siano pertinenti all’oggetto del procedimento.

ABUSO DEL CONSENSO E PROBLEMATICHE.

Provo a fare un’analisi sull’abuso del consenso, analisi forse grottesca, certamente semi-seria .

Ancora c’è in giro un abuso di richieste di consenso, abuso che in parte capisco pur non condividendo, è un modo semplice per dire ” lavoro bene, seriamente, in maniera LECITA”.

In realtà nel porcesso bifasico della liceità del trattamento il consenso è solo uno degli elementi caratterizzanti, per semplicità riporto il sesto articolo del Reg.

1.   Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a)

l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

b)

il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c)

il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

d)

il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;

e)

il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

f)

il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

Nella vita quotidiana ci troveremo sempre avanti, amggiormente, tutti gli altri casi di liceità dell’articolo 6 ( lettere b,c,d,e,f) .

Il simpatico problema che discende dall’abuso dell’articolo 6 par 1 lett a è il seguente, in funzione della legittamente al trattamento variano i diritti degli interessati.

Mi spiego meglio con un esempio :

Pubblica amministrazione, non saprei, servizi demografici di un Comune, ufficio S.C., oppure i registri dei nominativi di uno scolaretto alla scuola elementare ( la primaria per i più pignoli ), denuncio una nascita o l’iscrizione alla seconda elementare.

Qualche PA consegna il consenso da firmare, quindi rende lecito il trattamento ai sensi dell’articolo 6 par 1 lett a, passagio inutile in quanto la legittimazione deriva dalla lettera e .

Andiamo avanti, e leggiamo l’articolo 17, il diritto alla cancellazione, in particolare il par 1 lett b

l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;

oppure il paragrafo 1 lett a dell’articolo 20

il trattamento si basi sul consenso ai sensi dell’articolo 6, paragrafo 1, lettera a), o dell’articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell’articolo 6, paragrafo 1, lettera b);

E’ chiaro che far firmare il consenso fa nascere dei diritti che non possono essere poi rispettati da parte delle PA ( ma casi analoghi ci sono anche nel mondo privato ) , non posso chiedere allo SC di essere cancellato dagli elenchi dei nati o di vantare il diritto alla portabilità dei dati.

D.Lgs 101/18, armonizzazione GDPR

Sarò antipatico come sempre ma mi piace ricordare che il decreto , come anche il regolamento, non è intitolato alla PRIVACY ma al corretto trattamento dei dati.

Dal 19 Settembre, San Gennaro, compleanno di mammá e del defunto nonno Vincenzo entrerà in vigore il decreto di armonizzazione della norma italiana con il GDPR, le anticipazioni date dai SOLONI sono state tutte disattese.

Le novità allontanano ulteriormente le modalità operative dal nostro vecchio codice salvandone però alcuni pilastri fondamentali.

Cosa dire, lascaitemi il tempo di apprendere la pubblicazione e sentiamoci presto.

Nell’ottica di armonizzazione l’articolo 27 del D.Lgs 101/18 ha abrogato dalla prima  il titolo IV, cioè gli articoli 28,29 e 30 del 196, quindi dimentichiamoci nomine fatte con la vecchia nomenclatura ( responsabile interno ed incaricati ).

Ciao ciao , Vincenzo.