Articoli

ELEZIONI TRASPARENTI, legge SPAZZA-CORROTTI e GDPR

Più volte ho sottolineato che la privacy non è disciplinata dal GDPR che ha invece l’obiettivo di dettare politiche per il corretto trattamento dei dati e la libera circolazione degli stessi , basta leggere il titolo corretto del GDPR.

La protezione dei dati non è il diritto fondamentale ASSOLUTO, ma va contemperato con altri diritti fondamentali, proporzionalmente. ( IV considerando).

Già abbiamo visto che alcuni diritti hanno valore superiore ( e non derogatorio) alla riservatezza delle informazioni personali, cfr questo post

Sulla stessa lunghezza d’onda si muove il comma 15 articolo 1 della legge 3/2019, la spazza-corrotti per intenderci, che istituisce la sezione del sito “ELEZIONI TRASPARENTI”

In questa nuova sezione andranno pubblicati i curricula dei candidati nonchè i certificati penali.

15. In apposita sezione, denominata «Elezioni trasparenti», del sito internet dell’ente cui si riferisce la consultazione elettorale, ovvero del Ministero dell’interno in caso di elezioni del Parlamento nazionale o dei membri del Parlamento europeo spettanti all’Italia, entro il settimo giorno antecedente la data della consultazione elettorale, per ciascuna lista o candidato ad essa collegato nonche’ per ciascun partito o movimento politico che presentino candidati alle elezioni di cui al comma 14 sono pubblicati in maniera facilmente accessibile il curriculum vitae e il certificato penale dei candidati rilasciato dal casellario giudiziale non oltre novanta giorni prima della data fissata per l’elezione, gia’ pubblicati nel sito internet del partito o movimento politico ovvero della lista o del candidato con essa collegato di cui al comma 11, primo periodo, previamente comunicati agli enti di cui al presente periodo. La pubblicazione deve consentire all’elettore di accedere alle informazioni ivi riportate attraverso la ricerca per circoscrizione, collegio, partito e per cognome e nome del singolo candidato. Con decreto del Ministro dell’interno, da emanare entro novanta giorni dalla data di entrata in vigore della presente legge, sono definite le modalita’ tecniche di acquisizione dei dati su apposita piattaforma informatica.

Questa parte del sito istituzionale ( ma anche tutte le altre sezioni che contengono dati personali, anche non particolari) dovrà essere conformata con il combinato articolo 32 GDPR e Deliberazione 02/03/2011 del Garante Protezione dei dati Personali del Garante Protezione dei dati Personali.

Ed ora viene il bello… non occorre nessun consenso, come quasi sempre mi piace aggiungere . Infatti c’è l’espressa previsione di legge per il trattamento dei dati personali-particolari-di appartenenza politica, dapprima nel considerando 56, poi nell’arcinoto ( almeno così dovrebbe essere ) articolo 6 paragrafo 1 lettera e) , nonché articolo 9 paragrafo 2 lett. b ) GDPR, senza contare le norme settoriali, D.P.R. 16 maggio 1960, n. 570; Legge 21 marzo 1990, n. 53; Legge 25 marzo 1993, n. 81; D.P.R. 28 aprile 1993, n. 132; D.Lgs. 12 aprile 1996, n. 197; Legge 30 aprile 1999, n. 120; D.Lgs. 18 agosto 2000, n. 267 e cosi via.

BASTA L’INFORMATIVA, non serve consenso. Ovviamente diviene indispensabile il ruolo del DPO che dovrà imporre un tempo non eccessivo di pubblicazione dei dati in ELEZIONI TRASPARENTI, anche in ossequio alle LL.GG sulla pubblicità legale degli atti AGID del maggio 2016 .

Grazie di tutto, vi allego una piccola informativa da adattare ovviamente alle vostre esigenze , in rosso le parti da utilizzare se si rientra nell’ambito del comma 15 dell’articolo 1 della spazza-corrotti. I Comuni miei clienti che hanno elezioni sono pregati di avvisarmi per l’inserimento del trattamento nel registro articolo 30.

Devo ringraziare per il supporto l’amico dott. Raffaele Rosolia

Alcune puntualizzazioni sugli adempimenti

Sono partite le PEC per i controlli intermedi agli Enti Locali.

La pec contiene una missiva scritta “malissimo” che riporto corretta nel post ed un’analisi specifica per ogni destinatario.

Da questo momento si considera finito l’assessment ed inizia il management.

Nei prossimi post riceverete un modello di regolamento GDPR ( una sorta di vademecum , no obbligatorio) e poi un calendario con le attività di controllo, di management e di aggiornamento.

Si ricorda che in forza al protocollo d’intesa tra Agid e Corte dei Conti sarà prioritario il processo di digitalizzazione.

LL.GG. AGID Sicurezza Cibernetica. Il danno erariale. La circolare 2/2017 AGID.

Per il 2018 non occorre compilare ( più o meno ) l’allegato alla circolare 2 di Agid 2/2017.
Bisogna attendere le LL.GG. AGID sulla sicurezza , ed in funzione di queste rivedere le mms . Il documento sarà  pronte entro i primi 15 giorni di Gennaio 2019 . Come sempre il dcontenuto mira a modelli organizzativi e non solo all’acquisto di appartai ( firewall, nas, server e ferro vario ), e chiunque ancor prima di queste LL.GG. abbia fatto acquisti non proporzionati ( obbligazioni di mezzi e non di risultato come tante volte detto nel GDPR e non solo ) è a rischio danno erariale.

Le LL.GG , ripeto , sono la normale evoluzione del DPCM 01.08.15 e circolare 2/2017 AGID.

L’architettura sarà basata su tre top level, e 10 principi ( semplici ed immediati ).
L’analisi delle risultantze dell’applicazione delle LL.GG. , l’analisi dei rischi che dovrebbe essere in ogni modello GDPR ( grandi assenti ) ed il confronto con la circolare 2/2017 AGID costituirà  la base di partenza per poi fare gli investimenti ( sentiti il RTD ex articolo 17 82/05 e DPO 37 reg 2016/679).

I TRE LIVELLI .

I PRINCIPI : Politiche culturali e problemi da affrontare

II MISURE DI SICUREZZA : Cosa fare nel dettaglio per esplicare i principi enunciati nel primo livello.

III REGOLE TECNICHE : Praticamente cosa fare nel dettaglio .

Praticamente, come ci insegna l’arte e la tecnica della compliance, abbiamo le prime tre W della regola delle 5 W (WHO , WHEN, WHAT , WHY , WHERE – CHI,QUANDO,COSA,PERCHÈ, DOVE ), infatti i tre livelli rispondono alle domande PERCHE ? – COSA ? – COME ?.

Un esempio dei tre principi  potrebbe essere:

I MISURA : I dati della PA devono essere riservati ed utilizzati per fini istituzionali ( euristica )

II MISURA : di conseguenza tutti gli utenti devono essere univocamente identificti da user e password

III MISURA : le password devono essere composte da almeno 8 caratteri alfanumerici, un carattere maiuscolo ed uno speciale .

È chiaro che l’euristica, la politica data non varia, la seconda e la terza misura  potrebbero  variare ,a partire dal terzo ( analisi del contesto ) ,non otto ma magari 10 caratteri , oppure non potrebbe bastare la combinazione user e password ma anche un terzo fattore, magari biometrico.

I DIECI COMANDAMENTI – o PRINCIPI.

Principio di inventario

Per proteggere bisogna conoscere se stessi, principio fortemente analizzato in circolare 2/2017 , ABSC ID 1 e ABSC ID 2. Per proteggere gli asset devo conoscere ed avere un elenco degli asset da preservare.

Principio di attribuzione

E’ un elemento base della segregazione funzionale propria dei MOG, risponde alla domanda “conosci chi fa cosa e cosa fa cosa, ha fatto o farà ?”.

Quando si parla di trattare bene i dati è inutili spostare l’attenzione solo ed esclusivamente sulla copia e sui virus ( dimenticando sempre i dati analogici ) ma occorre sapere all’interno dell’organizzazione come viene attuato il paradigma CRUD ( CREATE. READ,UDPATE, DELETE).

Principio della pervasività

La sicurezza deve essere pervasiva, trasparente agli utilizzatori , quindi come un abito su misura ( è evidente il richiamo all’articolo 25 del GDPR).

Attenzione, per essere pervasivo uno strumento non può essere calato dall’alto ( procedure ISO ) ma disegnate dal basso con la maieutica ( proedure D.Lgs 231/01 ad esempio ).

Principio della ridondanza

Se hai valore per me, devo copiarti ed avere un sostituto valido. da un punto di vista fisico devo avere ridondanze strutturate ( RAID 5  ,server in cluster, locale o geografico, e più in generale assenza di Single Point of Failure ) .

Dal punto di vista organizzativo non devono esserci centri unici di potere all’interno di ufficio , non posso lancaiare testate nucleari da solo e non posso distruggere documenti nello stesso modo, mentre dal lato logico dovrei permettere come regola del principio della pervasività la possibilità di accedere ale informazioni con più metodologie ( web, cell, sportello etc ).

Chi tratta l’argomento da tempo non può non notar ele analogie del TIER delle LL.GG. sul DISASTER RECOVERY dell’articolo 50 bis del vecchio CAD ( 235/10).

Principio del minimo
Citazione popolare ” Tre so’ ‘e putiente: ‘o Papa, ‘o Rre e chi nun tene niente” traduzione ” i potenti sono il Papa , il Re  e chi non ha niente “.

Il Papa ed il Re hanno grossi patrimoni e le risorse per il loro presidio, chi non ha niente  non ha nulla da perdere e quel poco che ha può essere presidiato in economia.

tecnologicamente si traduce nel ridurre la superficie di attacco elimianndo tanti servizi inutili che si interfacciano sul web, organizzativamente invece si attua con le review delle utenze attivate ( ci ricolleghiamo al paradigma CRUD del primo comandamento ).

Principio del miglioramento continuo
Non restiamo mai indietro, formiamo continuamente il nostro personale sugli aspetti tecnologici e normativi.

Principio dell’Automatizzazione

L’uomo può sbagliare nei lavori ripetitivi, la mente dell’uomo deve programmare gli eventi e creare e controllare le procedure. Trattare bene i dati prevede alcuni automatismi , con i limiti ovviamente di natura etica e normati ( art 22 GDPR)

Principio della temporalità

Massima priorità agli aggiornamenti tecnologici ed alla PATCH ( ampliamente tratato nelle mms AGID ) , essenziale l’abbonamento al CERT-PA.

Principio della diversità

Chi è appassionato di automobili ? io no ma faccio un esempio .

Avete un antifurto con immobilizer sull’auto ? Avete anche il block shaft ? Si ? perche non non avete montato due antifurti di tipo immobilizer ?.

Proeggere significa differenziare i presidi di sicurezza, Un esempio da non seguire ? DUE o PIU’ FIREWALL identici. BUCATO uno, bucati gli altri.

A ben vedere è una regola biologica evolutiva .

Principio della separazione
Deve sempre vigere il principio della separation of duties , esempi sono quelli costituzionali ( separazione del potere legislativo , esecutivo e giudicante ).

Il modello di riferimento potrebbe nuovamente essere quello dei MOG ex d.lgs 231/01. In alcuni aspetti è l’atra faccia del principio della ridondanza.

Tecnologicamente si attua con avere ambienti fisici e virtuali, reti separate e soluzioni confinate in ambienti diversi. Per assurdo se virtualizzo un server fisico facendolo girare sullo stesso con un black out perdo tutto.

I dieci principi sono facilmente  individuabili in alcuni ID dell’ABSC Agid 2/2017, ad esempio nel paragrafo

ABSC 2.1.1 Stilare un elenco di software autorizzati e relative versioni necessari per ciascun tipo di sistema, compresi server, workstation e laptop di vari tipi e per diversi usi. Non consentire l’installazione di software non compreso nell’elenco.

Trovo i principi  di Inventario ,di Attribuzione , della Separazione, del Minimo .

Continuiamo la nostral DIGITAL COMMEDIA ricordando come sempre che la Conserva di POMODORO ci insegna le giuste procedure per trattare bene i dati.

COLLEGAMENTI TRA TRASPARENZA E GDPR nel PNA 2018 .Bang !!! SLAAAAAM , SIGH!!! RDP, RPCT, RDP, DPO, GDPR , PNA. IL PNA 2018.

Il PNA 2018, contiene alcuni chiarimenti in merito al DPO ,al RPCT ed alla possibile coincidenza delle due figure.

Ovviamente tale degenerazione è possibile solo qualora si volesse scegliere un DPO interno, possibile ma non performante, infatti all’ultimo capoverso della pagina 16 dell’aggiornamento 2018 al PNA sconsiglia questa scelta.

Nel PNA non poteva mancare il collegamento tra la trasparenza ed il GDPR, questo perchè purtroppo ancora non è chiara la portata della norma, si continua a pensare al GDPR come regolamento PRIVACY, e non protezione dei dati e libera circolazione degli stessi.

Quindi, l’amministrazione trasparente resta integra e non si muove dal suo posto, l’importante e seguire i dettami della legge ( attenzione del 33/13 e non del GDPR che ci delinea dei perimetri e che rimanda a leggi e regolamenti ) .

Il riferimento normativo resta l’articolo 7 comma 4 del 33/13.

ciao ciao vicnenzo de prisco

E se fossimo noi i Responsabili GDPR ? Un caso concreto.

Il responsabile del trattamento ( che come è stato ulteriormente chiarito dal D.Lgs 101/18 è diverso dal responsabile “interno” del codice d.lgs 196/03, tanto che l’articolo 27 ne abroga il contenuto ) è una sorta di terzista del trattamento . Negli enti locali ( invero in tutte le strutture complesse ), diamo per scontato di essere  sempre i nominanti verso terzi di una lettera ex art 28 GDPR.

In realtà puo capitare di essere nominati , perchè per conto di altra PA trattiamo i  dati, ad esempio in forza di un accordo ex articolo 15 l. 241/90.

Un esempio ? L’ISTAT nomina il Comune di Paperopoli responsabile per taluni censimenti ( raccolta ). In questo caso il Comune di Paperopoli deve redigere un ulteriore registro delle attivita ( articolo 30 paragrafo 2 del GDPR) .

Nella lettera di nomina del titolare ( che ricordo non è il Comune di Paperopoli, ma l’ISTAT ) ci devono essere tutte le indiacazioni dell’articolo 28 e le indicazioni indispensabili per il corretto trattamento . La nomina deve essere in forma scritta ( come da articolo 20 comma 1 bis D.lgs 82/05) .

Resta inteso che gli obblighi contenuti nell’articolo 28 della L. 241/90 restano in capo al dipendnete designato incaricato dal responsabile.

Appresso l’articolo 28 del GDPR

Articolo 28

Responsabile del trattamento

1.   Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

2.   Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.

3.   I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:

a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;
b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
c) adotti tutte le misure richieste ai sensi dell’articolo 32;
d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;
e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;
f) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati; e
h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.

Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.

4.   Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.

5.   L’adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo.

6.   Fatto salvo un contratto individuale tra il titolare del trattamento e il responsabile del trattamento, il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 del presente articolo può basarsi, in tutto o in parte, su clausole contrattuali tipo di cui ai paragrafi 7 e 8 del presente articolo, anche laddove siano parte di una certificazione concessa al titolare del trattamento o al responsabile del trattamento ai sensi degli articoli 42 e 43.

7.   La Commissione può stabilire clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo e secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.

8.   Un’autorità di controllo può adottare clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo in conformità del meccanismo di coerenza di cui all’articolo 63.

9.   Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è stipulato in forma scritta, anche in formato elettronico.

10.   Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione.

Sollecito ministeriale nomina RTD

Riporto la circolare odierna per la nomia del RTD ex articolo 17 d.lgs 82/05, appresso prima del testo integrale della cricolare inserisco i link sull’argomento, giuso per il piacere di dire ” te l’avevo detto!!!!”

Qualche anticipazione per i RTD sul D.Lgs 217/17 il NUOVO CAD

Circolare n. 3 del 1 ottobre 2018

Alle Amministrazioni pubbliche di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165

LORO SEDI

Oggetto: Responsabile per la transizione digitale – art. 17 decreto legislativo 7 marzo 2005, n. 82 “Codice dell’amministrazione digitale

Nell’ambito della serie di azioni, a cui il Governo intende dare corso, per la trasformazione digitale della pubblica amministrazione, affinché sia di supporto alla crescita digitale dell’Italia, riveste particolare importanza l’individuazione della figura del responsabile per la transizione al digitale.

Con la presente circolare si richiama l’attenzione su alcuni aspetti di particolare rilevanza connessi alla predetta nomina, ferma restando l’autonomia organizzativa riconosciuta dall’ordinamento giuridico alle amministrazioni in indirizzo.

La trasformazione digitale richiede il contributo ed il coinvolgimento di ogni articolazione della macchina pubblica e a tal fine il Codice dell’Amministrazione Digitale (CAD), adottato con d.lgs. 7 marzo 2005, n. 82, modificato da ultimo con i decreti legislativi n. 179 del 2016 e n. 217 del 2017, prevede all’art. 17 che le pubbliche amministrazioni garantiscano l’attuazione delle linee strategiche per la riorganizzazione e la digitalizzazione dell’amministrazione definite dal Governo.

L’art. 17, comma 1, CAD, stabilisce che ciascuna pubblica amministrazione sia tenuta ad affidare ad un unico ufficio dirigenziale, fermo restando il numero complessivo degli uffici, la “transizione alla modalità operativa digitale e i conseguenti processi di riorganizzazione finalizzati alla realizzazione di un’amministrazione digitale e aperta, di servizi facilmente utilizzabili e di qualità, attraverso una maggiore efficienza ed economicità” nominando un Responsabile per la Transizione al Digitale (RTD). Giova precisare che già nel testo previgente si attribuiva alla struttura per l’organizzazione, l’innovazione e le tecnologie una serie di compiti di rilievo strategico. Si consideri che rientrava tra i suoi compiti (confermati peraltro nella attuale formulazione del CAD) quello di analizzare la coerenza tra l’organizzazione dell’amministrazione e l’utilizzo delle tecnologie digitali, ovvero di ridurre i tempi e i costi dell’azione amministrativa, e anche di promuovere le iniziative attinenti l’attuazione delle direttive impartite dal Presidente del Consiglio dei Ministri o dal Ministro delegato per l’innovazione e le tecnologie.

La novella di cui al d.lgs. 179/2016 istituisce la figura del RTD, ne definisce la collocazione organizzativa e dispone che, con riferimento ai compiti relativi alla transizione alla modalità digitale, risponde direttamente all’organo di vertice politico o, in sua assenza, a quello amministrativo dell’ente (art. 17, commi 1-ter e 1-sexies, CAD). La rilevanza di una tale previsione nell’ordinamento giuridico italiano denota la volontà del legislatore di ricondurre immediatamente al vertice dell’amministrazione la governance – intesa come attività di indirizzo, coordinamento e correlata responsabilità – della transizione del Paese al digitale, attraverso la realizzazione di servizi pubblici rivisitati in un’ottica che ne preveda la piena integrazione con le nuove tecnologie e non più la giustapposizione di queste ultime alle esistenti forme di organizzazione. Da ciò si evince che, nel rispetto degli assetti organizzativi dell’amministrazione di riferimento e del principio di separazione tra funzioni del vertice politico e del vertice amministrativo, il legislatore attribuisce ai compiti demandati al RTD una valenza strategica tale da imprimere ai relativi obiettivi una derivazione diretta da parte del vertice politico che trova immediata espressione nella direttiva generale per l’attività amministrativa, successivamente da declinarsi nella programmazione strategica e operativa delineata nel piano della performance.

Ciò posto, dalla data di entrata in vigore di tale obbligo (14 settembre 2016) ad oggi, risulta che soltanto un numero limitato di amministrazioni ha provveduto ad individuare tale figura, essenziale per la digitalizzazione coordinata del Paese.

Con la presente Circolare, nella convinzione della centralità del ruolo del RTD ai fini della trasformazione digitale dell’amministrazione e del pieno adempimento delle norme in materia di innovazione della pubblica amministrazione, si richiamano le amministrazioni a provvedere, con ogni opportuna urgenza, alla individuazione del RTD preposto all’ufficio per la transizione al digitale e alla relativa registrazione sull’Indice delle pubbliche amministrazioni (IPA – www.indicepa.gov.it).

L’urgenza di provvedere a tale adempimento da parte di tutti i soggetti tenuti all’applicazione del CAD (così come individuati all’art. 2, comma 2, D. Lgs. n. 82/2005), emerge chiaramente dall’elenco esemplificativo e non esaustivo, contenuto nell’art. 17 citato, dei compiti attribuiti al suddetto Ufficio:

  1. coordinamento strategico dello sviluppo dei sistemi informativi di telecomunicazione e fonia;
  2. indirizzo e coordinamento dello sviluppo dei servizi, sia interni sia esterni, forniti dai sistemi informativi di telecomunicazione e fonia dell’amministrazione;
  3. indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica relativamente ai dati, ai sistemi e alle infrastrutture anche in relazione al sistema pubblico di connettività;
  4. accesso dei soggetti disabili agli strumenti informatici e promozione dell’accessibilità;
  5. analisi periodica della coerenza tra l’organizzazione dell’amministrazione e l’utilizzo delle tecnologie dell’informazione e della comunicazione, al fine di migliorare la soddisfazione dell’utenza e la qualità dei servizi nonché di ridurre i tempi e i costi dell’azione amministrativa;
  6. cooperazione alla revisione della riorganizzazione dell’amministrazione;
  7. indirizzo, coordinamento e monitoraggio della pianificazione prevista per lo sviluppo e la gestione dei sistemi informativi di telecomunicazione e fonia;
  8. progettazione e coordinamento delle iniziative rilevanti ai fini di una più efficace erogazione di servizi in rete a cittadini e imprese mediante gli strumenti della cooperazione applicativa tra pubbliche amministrazioni, inclusa la predisposizione e l’attuazione di accordi di servizio tra amministrazioni per la realizzazione e compartecipazione dei sistemi informativi cooperativi;
  9. promozione delle iniziative attinenti l’attuazione delle direttive impartite dal Presidente del Consiglio dei Ministri o dal Ministro delegato per l’innovazione e le tecnologie;
  10. pianificazione e coordinamento del processo di diffusione, all’interno dell’amministrazione, dei sistemi di identità e domicilio digitale, posta elettronica, protocollo informatico, firma digitale o firma elettronica qualificata e mandato informatico, e delle norme in materia di accessibilità e fruibilità nonché del processo di integrazione e interoperabilità tra i sistemi e servizi dell’amministrazione;

j-bis)     pianificazione e coordinamento degli acquisti di soluzioni e sistemi informatici, telematici e di telecomunicazione, al fine di garantirne la compatibilità con gli obiettivi di attuazione dell’agenda digitale e, in particolare, con quelli stabiliti nel piano triennale.

Al fine di assicurare piena attuazione al disposto normativo le Amministrazioni devono individuare, con atto organizzativo interno e nell’ambito della dotazione organica complessiva delle posizioni di funzione dirigenziale, l’ufficio dirigenziale, di livello generale ove previsto nel relativo ordinamento, cui attribuire i compiti per la transizione digitale declinati dal comma 1 dell’art. 17 CAD.

Il responsabile di tale ufficio deve formalmente assumere le funzioni di Responsabile per la transizione al digitale, essere dotato di “adeguate competenze tecnologiche, di informatica giuridica e manageriali”.

Ove sia già in corso l’incarico dirigenziale di titolare dell’ufficio per la transizione digitale, ferma restando la naturale scadenza dell’incarico in essere, l’affidamento delle funzioni aggiuntive previste dalla legge al dirigente responsabile di tale Ufficio avviene mediante atto interno di nomina che configura la fattispecie dell’incarico aggiuntivo ad opera dell’organo già competente al conferimento dell’incarico dirigenziale, nel rispetto del regime di onnicomprensività.

Nel caso in cui l’ufficio per la transizione digitale risulti vacante e, in via generale, per i successivi atti di nomina del responsabile dell’ufficio, la nomina di RTD è contestuale al conferimento dell’incarico dirigenziale, nel rispetto della normativa vigente, annoverando tra i requisiti richiesti il possesso di “adeguate competenze tecnologiche, di informatica giuridica e manageriali”.

Ferma restando l’autonomia organizzativa di ciascuna Amministrazione, la graduazione delle posizioni dirigenziali può essere congruamente rimodulata in considerazione del maggior aggravio di funzioni secondo le modalità previste dalla disciplina dei rispettivi ordinamenti interni.

Relativamente alle pubbliche amministrazioni in cui non siano previste posizioni dirigenziali le funzioni per la transizione digitale di cui all’art. 17, comma 1 CAD, possono essere affidate ad un dipendente in posizione apicale o già titolare di posizione organizzativa in possesso di adeguate competenze tecnologiche e di informatica giuridica fermi restando, mutatis mutandis, gli effetti sul trattamento economico sopra trattati.

È utile precisare che il comma 1-septies dell’art. 17 CAD. prevede la possibilità per le amministrazioni diverse dalle amministrazioni dello Stato di esercitare le funzioni di RTD anche in forma associata. Tale opzione organizzativa, raccomandata specialmente per le PA di piccole dimensioni, può avvenire in forza di convenzioni o, per i comuni, anche mediante l’unione di comuni. La convenzione disciplinerà anche le modalità di raccordo con il vertice delle singole amministrazioni.

Al fine di garantire la piena operatività dell’Ufficio, si raccomanda di prevedere, nell’atto di conferimento dell’incarico o di nomina, nel caso di incarico in essere, oltre che i compiti espressamente previsti, anche quelli sotto indicati in ragione della trasversalità della figura:

  1. il potere del RTD di costituire tavoli di coordinamento con gli altri dirigenti dell’amministrazione e/o referenti nominati da questi ultimi;
  2. il potere del RTD di costituire gruppi tematici per singole attività e/o adempimenti (ad esempio: pagamenti informatici, piena implementazione di SPID, gestione documentale, apertura e pubblicazione dei dati, accessibilità, sicurezza, ecc.);
  3. il potere del RTD di proporre l’adozione di circolari e atti di indirizzo sulle materie di propria competenza (ad esempio, in materia di approvvigionamento di beni e servizi ICT);
  4. l’adozione dei più opportuni strumenti di raccordo e consultazione del RTD con le altre figure coinvolte nel processo di digitalizzazione della pubblica amministrazione (responsabili per la gestione, responsabile per la conservazione documentale, responsabile per la prevenzione della corruzione e della trasparenza, responsabile per la protezione dei dati personali);
  5. la competenza del RTD in materia di predisposizione del Piano triennale per l’informatica della singola amministrazione, nelle forme e secondo le modalità definite dall’Agenzia per l’Italia digitale;
  6. la predisposizione di una relazione annuale sull’attività svolta dall’Ufficio da trasmettere al vertice politico o amministrativo che ha nominato il RTD.

Nel ribadire, quindi, l’urgenza della nomina, si ricorda che il RTD rappresenta il punto di contatto con l’Agenzia per l’Italia Digitale e la Presidenza del Consiglio dei Ministri per le questioni connesse alla trasformazione digitale delle pubbliche amministrazioni, nonché per la partecipazione a consultazioni e censimenti previsti dal Piano triennale per l’informatica della pubblica amministrazione.

L’Agenzia per l’Italia Digitale fornirà mensilmente al Dipartimento della funzione pubblica i dati relativi alle nomine registrate sull’Indice delle Pubbliche Amministrazioni per i provvedimenti di competenza.

Il Ministro per la pubblica amministrazione

I tipi di accesso alle informazini della PP.AA.

E’ ormai chiara la mia lettura e la mia visione sulle normative ( Italiana, Europea, Leggi primarie, secondarie, terziarie e blà blà blà ).

Per corroborare il mio pensiero riporto il quarto considernado GDPR

  Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.

 È per orogoglio anche una la stringa famosa di una sentenza italiana che è arrivata ancor prima del GDPR, cass. 10280/15 sez III

IL DIRITTO ALLA PROTEZIONE DEI DATI PUR RIENTRANDO NEI DIRITTI FONDAMENTALI NON E’ UN “TOTEM AL QUALE POSSONO SACRIFICARSI ALTRI DIRITTI COSTITUZIONALMENTE GARANTITI” …IL DIRITTO ALLA PROTEZIONE DEI DATI DEVE ESSERE ” COORDINATO E BILANCIATO” CON LE NORME DI CARATTERE PUBBLICISTICO E PRIVATISTICO.

Ed ancora è bello, doveroso ed importante ricordare che trattare bene i dati non significa solo proteggerli e copiarli, si corre in questo modo il rischio di proteggere e conservare qualcosa di sbagliato, non conforme.

La protezione dalla nascita dei dati prevede ( articolo 25 GDPR ) una serie di presidi di tutela proattiva e di resilienza dei sistemi, ma nessun sistema può ben gestire le informazioni se il personale deputato all’inputazione non ha delle direttive valide, queste direttive, queste regole sono gestite e disciplinate dal Manuale della gestione documentale ex art. 5 DPCM 03/12/13.

Faccio un esempio, anzi meglio riporto un caso pratico che mi vede coinvolto.

Anni addietro per la prima volta acquistai in una grossa catena di elettronica il mio primo PC, chiesi la fattura e diedi il mio biglietto da visita .

Nella stringa DENOMINAZIONE del gestionale inserirono quanto riportato sul biglietto da visita, dott. Vincenzo De Prisco.

Ancora oggi quando acquisto qualcosa in questa catena, dando solo il mio nome e cognome io non risulto , solo dopo molte ricerche mi ricordo che sono registrato anche con il titolo di accademia .

Una buona progettazione del sistema avrebbe dovuto memorizzare il titolo in una casella di form text ininfluente sulla ricerca, ed il nominativo in una casella invece influente sulla ricerca.

Qualora il sistema blindato ( ed è il caso dei sistemi IBM AS/400) non permetta questa personalizzazione delle buone regole da manuale dovrebbero colmare questa lacuna, tipo impartire all’operatore l’istruzione di scrivere sempre il titolo accademico senza nessuna abbreviazione alla fine della stringa, oppure tra il cognome ed il nome etc etc, creare in breve delle regole certe.

Questo in un negozio privato ( anche se grande ), immaginate cosa può accadere nei protocolli e negli archivi delle PP.AA, senza regole.

È facile dire ” vabbè ma oggi i sistemi sono più performanti, basta una parolina ed esce tutto ….”, in parte è vero, ma ricordiamoci che l’ordine sistemico è il presidio fondamentale per la correttezza dei dati e soprattutto che sia nel pubblico che nel privato esistono i c.d. sistemi LEGACY, gli ereditati e che la stessa norma GDPR non impone sembre di cambiare il modo di lavorare, ricordiamoci l’incipit degli articli 25 e 32 .

In estrema sintesi, riprendo un simpatico esempio , quello della procedura delle conserve di pomodoro, nessuno conserverebbe il barattolo di conserva se questo è pieno di pomodori marci , non sterilizzati o se il contenitore ha aria all’interno, potremo ordinarli e proteggerli dal sole, ma sempre velenosi sono.

Ora riprendiamo il filo con queste regole , possiamo parlare di protezione e riservatezza solo dopo avere gestite le politiche di accesso alle informaazioni della PA .

Dunque il quesito è : quali sono i sistemi di accesso alle informazioni di una PA ( concetto allargato, vedasi art 1c. 2 d.lgs 165/01) ?

1 – certamente l’accesso documentale della L. 241/90

e poi ?

2 – Certamente l’ accesso civico tradizionale, quello semplice ( avresti dovuto pubblicare in AT, non l’hai fatto ? io cittadino guardiano ti invito a farlo )

3-  Si, non sono pienamente in sintonia, ma anche l’accesso civivo generalizzato, anche se solo in parte .

E poi ?

Il problema che spesso dimentichiamo alcuni strumenti importanti come la pubblicazione tramite Openda Data ( ricordo, con gli OD accedo ai dati informativi, non ai documenti .

Manca quello che per me rappresenta il verso sistema partecipativo, certamente un’evoluzione del potere di sindacato della 241/90, parlo dell’articolo 41 comma 2 del CAD, l’accesso ed il controllo dinamico del procedimento amministrativo per far valere i diritti dell’articolo 10 della 241.

art 41 c 2 CAD

 La pubblica amministrazione titolare del procedimento raccoglie in un fascicolo informatico gli atti, i documenti e i dati del procedimento medesimo da chiunque formati; all’atto della comunicazione dell’avvio del procedimento ai sensi dell’articolo 8 della legge 7 agosto 1990, n. 241, comunica agli interessati le modalita’ per esercitare in via telematica i diritti di cui all’articolo 10 della citata legge 7 agosto 1990, n. 241. (28)

riporto anche il 10 della 241

 Art. 10. (( (Diritti dei partecipanti al procedimento) )) 1. I soggetti di cui all’articolo 7 e quelli intervenuti ai sensi dell’articolo 9 hanno diritto: a) di prendere visione degli atti del procedimento, salvo quanto previsto dall’articolo 24; b) di presentare memorie scritte e documenti, che l’amministrazione ha l’obbligo di valutare ove siano pertinenti all’oggetto del procedimento.

Per questo motivo gran parte degli approfondimenti futuri  saranno focalizzati sulle istanze telematiche del CAD e sui sistemi di contemperazione di PRIVACY-CTD-TRASPARENZA.

buatto

mi è venuta fame, a presto. Art. 10. (( (Diritti dei partecipanti al procedimento) )) 1. I soggetti di cui all’articolo 7 e quelli intervenuti ai sensi dell’articolo 9 hanno diritto: a) di prendere visione degli atti del procedimento, salvo quanto previsto dall’articolo 24; b) di presentare memorie scritte e documenti, che l’amministrazione ha l’obbligo di valutare ove siano pertinenti all’oggetto del procedimento.

Ancora sul D.lgs 101/18, corretto trattamento dei dati ed antiriciclaggio , anche per le PP.AA.

In forza di una mia lettura molto personale ( bah !!) sul GDPR mi fa piacere che il D.Lgs 101/18 avvalori la mia interpretazione ( la mia lettura…), ci sono diritti fondamentali superiori al corretto trattamento dei dati ( come chiaro anche nel  quarto considerando GDPR) , si veda l’articolo 2 octies del D.lgs 101.

Una cosa fondamentale che ci tengo a sottolineare è che la norma antiriciclaggio si applica anche alle Pubbliche Amministrazioni, invito a leggere questi articoli :

TRATTAMENTO DEI DATI ed altri DIRITTI

Trattamento dei dati Vs altri diritti…..più importanti.

Sono anni ormai, dalla prima vigenza del 196/03 per la precisione, che a differenza di altri operatori ho sempre “snobbato” la difesa della protezione dei dati personali.

Sembra strano ? Chi mi segue da più tempo ben mi capisce , sono di quelli che ha sempre chiamato la norma con il nome esatto e mai PRIVACY, anche perchè il rispetto della privacy non rientra nelle corde di consulente dell’organizzazione aziendale, penso sia più prossimo alle scienze umanistiche.

Chiariamo subito una cosa, così come la direttiva 95/46/CE ( od il nostro 196 ) non abrogò la L. 241/90 , si veda l’articolo 59 del Codice sul corretto trattamento dei dati, il Reg. 2016/679 non tocca il FOIA ( articolo 33 del D.Lgs 33/13).

articolo 59 Codice protezione dei dati (Accesso a documenti amministrativi)

Un’altra particolarità ( che dovrebbe essere la norma) è chiaramente scritta nel quarto considerando del Regolamento.

Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica

Quindi , ponderiamo l’importanza dei diritti fondamentali ( nel nostro caso l’articolo 8 della Carta di Nizza).

Oltre che il legislatore conviene ascoltare anche la giurisprudenza, infatti ….

CASSAZIONE n. 10280/15 sez III

… … IL DIRITTO ALLA PROTEZIONE DEI DATI PUR RIENTRANDO NEI DIRITTI FONDAMENTALI NON E’ UN “TOTEM AL QUALE POSSONO SACRIFICARSI ALTRI DIRITTI COSTITUZIONALMENTE GARANTITI” …IL DIRITTO ALLA PROTEZIONE DEI DATI DEVE ESSERE ” COORDINATO E BILANCIATO” CON LE NORME DI CARATTERE PUBBLICISTICO E PRIVATISTICO.

Per quanto queste affermazioni possano sembrare pensieri solo teorici, bazzecole, quisquilie, pinzellacchere da fessi se letti assieme al 19 considerando scopriremo che immediatamente ci sono evidenze pratiche nel mondo professionale e della PA , infatti :

La protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, e la libera circolazione di tali dati sono oggetto di uno specifico atto dell’Unione. Il presente regolamento non dovrebbe pertanto applicarsi ai trattamenti effettuati per tali finalità. I dati personali trattati dalle autorità pubbliche in forza del presente regolamento, quando utilizzati per tali finalità, dovrebbero invece essere disciplinati da un più specifico atto dell’Unione, segnatamente la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio Gli Stati membri possono conferire alle autorità competenti ai sensi della direttiva (UE) 2016/680 altri compiti che non siano necessariamente svolti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, affinché il trattamento di dati personali per tali altre finalità, nella misura in cui ricada nell’ambito di applicazione del diritto dell’Unione, rientri nell’ambito di applicazione del presente regolamento.

Con riguardo al trattamento dei dati personali da parte di tali autorità competenti per finalità rientranti nell’ambito di applicazione del presente regolamento, gli Stati membri dovrebbero poter mantenere o introdurre disposizioni più specifiche per adattare l’applicazione delle disposizioni del presente regolamento. Tali disposizioni possono determinare con maggiore precisione requisiti specifici per il trattamento di dati personali da parte di dette autorità competenti per tali altre finalità, tenuto conto della struttura costituzionale, organizzativa e amministrativa dei rispettivi Stati membri. Quando il trattamento dei dati personali effettuato da organismi privati rientra nell’ambito di applicazione del presente regolamento, è opportuno che lo stesso preveda la facoltà per gli Stati membri, a determinate condizioni, di adottare disposizioni legislative intese a limitare determinati obblighi e diritti, qualora tale limitazione costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia di importanti interessi specifici, comprese la sicurezza pubblica e le attività di prevenzione, indagine, accertamento e perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica. Ciò riveste particolare importanza ad esempio nel quadro del riciclaggio o di attività di medicina legale

Dalla letture combinata ( e ragionata ) si evidenzia che alcuni dei diritti del’interessato  ( cancellazione ed oblio certamente) non possono sempre essere vantati in quanto ci sono norme che pur se di pari rango hanno valenza maggiore nell’impatto sociale e della giustizia .

Alcuni casi immediati sono l’antiriciclaggio e la medicina del lavoro ,in nessun caso le esigenze di protezionedei dati personali possono prevalere sull’interesse alla sicurezza pubblica e alle attività di prevenzione dei reati .

ABUSO DEL CONSENSO E PROBLEMATICHE.

Provo a fare un’analisi sull’abuso del consenso, analisi forse grottesca, certamente semi-seria .

Ancora c’è in giro un abuso di richieste di consenso, abuso che in parte capisco pur non condividendo, è un modo semplice per dire ” lavoro bene, seriamente, in maniera LECITA”.

In realtà nel porcesso bifasico della liceità del trattamento il consenso è solo uno degli elementi caratterizzanti, per semplicità riporto il sesto articolo del Reg.

1.   Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a)

l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

b)

il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c)

il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

d)

il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;

e)

il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

f)

il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

Nella vita quotidiana ci troveremo sempre avanti, amggiormente, tutti gli altri casi di liceità dell’articolo 6 ( lettere b,c,d,e,f) .

Il simpatico problema che discende dall’abuso dell’articolo 6 par 1 lett a è il seguente, in funzione della legittamente al trattamento variano i diritti degli interessati.

Mi spiego meglio con un esempio :

Pubblica amministrazione, non saprei, servizi demografici di un Comune, ufficio S.C., oppure i registri dei nominativi di uno scolaretto alla scuola elementare ( la primaria per i più pignoli ), denuncio una nascita o l’iscrizione alla seconda elementare.

Qualche PA consegna il consenso da firmare, quindi rende lecito il trattamento ai sensi dell’articolo 6 par 1 lett a, passagio inutile in quanto la legittimazione deriva dalla lettera e .

Andiamo avanti, e leggiamo l’articolo 17, il diritto alla cancellazione, in particolare il par 1 lett b

l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;

oppure il paragrafo 1 lett a dell’articolo 20

il trattamento si basi sul consenso ai sensi dell’articolo 6, paragrafo 1, lettera a), o dell’articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell’articolo 6, paragrafo 1, lettera b);

E’ chiaro che far firmare il consenso fa nascere dei diritti che non possono essere poi rispettati da parte delle PA ( ma casi analoghi ci sono anche nel mondo privato ) , non posso chiedere allo SC di essere cancellato dagli elenchi dei nati o di vantare il diritto alla portabilità dei dati.

D.Lgs 101/18, armonizzazione GDPR

Sarò antipatico come sempre ma mi piace ricordare che il decreto , come anche il regolamento, non è intitolato alla PRIVACY ma al corretto trattamento dei dati.

Dal 19 Settembre, San Gennaro, compleanno di mammá e del defunto nonno Vincenzo entrerà in vigore il decreto di armonizzazione della norma italiana con il GDPR, le anticipazioni date dai SOLONI sono state tutte disattese.

Le novità allontanano ulteriormente le modalità operative dal nostro vecchio codice salvandone però alcuni pilastri fondamentali.

Cosa dire, lascaitemi il tempo di apprendere la pubblicazione e sentiamoci presto.

Nell’ottica di armonizzazione l’articolo 27 del D.Lgs 101/18 ha abrogato dalla prima  il titolo IV, cioè gli articoli 28,29 e 30 del 196, quindi dimentichiamoci nomine fatte con la vecchia nomenclatura ( responsabile interno ed incaricati ).

Ciao ciao , Vincenzo.

D.lgs 39/14, certificati casellario.

Visto il periodo dell’anno, ricordo dell’obbligo per le PA ( e non solo ) di richiedere il certificato penale per tutti i soggetti che lavorano a contatto con i minori, copio appresso un vecchio post.

Giusto per intenderci, chi ha ben attuato la legge 190/12 ( quella volgarmente identificata come anticorruzione) ha già da settembre scorso attuato una serie di procedure per “evitare l’accadimento di un illecito mappato nel procedsso di risk assessment”, stesso vale per chi applica il D.Lgs 231/01, ma in chiusura di articolo torneremo ad analizzare la più grossa novità del 39/14 che certamente non è quella dei certificati penali.

Per quanta riguarda  la richiesta del certificato del casellario, in applicazione di questa norma, ad oggi, non è possibile applicare l’autocertificazione “tout court”, per un motivo semplice e logico : l’onere non è a carico del lavoratore , ma del datore di lavoro, come chiaramente scritto nell’articolo 2 comma 1 del D.lgs 39/204 .

Una dichiarazione sostitutiva può essere accettata e valida solo nelle more del controllo, come chiaramenre consigliato dal Ministero della Giustizia nella nota di chiarimento n.2 al D.lgs 39/2014 che allego.

Che sia chiaro, questo ad oggi, primo giorno di applicazione della norma.

Per tornare alle problemtiche più squisitamente legate al risk assessment della 190 e del 231, è importante iomplementare una procedura all’interno del protocollo sicurezza per il controllo ex novo delle strumentazioni informatiche in quanto l’articolo 1 impone ( tramite sanzioni) l’utilizzo di una diligenza superiore alla media per evitare che siano software che rendano la navigazione in internet “anonima”

NOTA MIN

FAQ

Dal 6 aprile 2014 chi assume nuovi dipendenti per lo svolgimento di attività a contatto con i minori dovrà richiedere il certificato del casellario ai sensi dell’art. 25 bis del DPR 313/2002. L’obbligo c’è anche nei confronti di chi è già stato assunto?

No. L’obbligo per il datore di lavoro sorge all’atto dell’assunzione e quando, scaduto il termine di durata previsto, il datore di lavoro stipuli altro e nuovo contratto con lo stesso lavoratore.

In quali casi il datore di lavoro ha l’obbligo di richiedere il certificato ai sensi dell’art. 25 bis del DPR 313/2002?

In tutti i casi in cui si instaura con la persona un rapporto contrattuale con prestazioni corrispettive, per attività che comportino un contatto diretto e regolare con i minori. L’obbligo non sorge, invece, per le forme di collaborazione che non si strutturino all’interno di un definito rapporto di lavoro.

I certificati valgono 6 mesi. Il datore di lavoro dovrà quindi richiedere il certificato ai sensi dell’art. 25 bis del DPR 313/2002 per i suoi dipendenti ogni 6 mesi?

No. Il certificato va richiesto solo al momento dell’assunzione.

In attesa del certificato richiesto dal datore di lavoro si può procedere alla stipula del contratto?

Si. In attesa dell’acquisizione del certificato, se il datore di lavoro è pubblico può acquisire dal lavoratore una dichiarazione sostitutiva di certificazione; se il datore è privato, una dichiarazione sostitutiva di atto di notorietà .

Le esenzioni dal bollo sono soltanto quelle indicate nel D.P.R. 642/72, tabella allegato B?

Le esenzioni indicate nel DPR 642/72 sono quelle principali. Altri casi di esenzione potrebbero però essere presenti in normative specifiche.

Con riferimento alle prescrizioni del D.Lgs. 39/2014, che si intende per “ attività professionali o attività volontarie organizzate che comportino contatti diretti e regolari con minori”?

Per attività professionali o attività volontarie organizzate si intende tutte le professioni o i lavori (ad es. quelle di insegnante, bidello, pediatra, allenatore, educatore) per i quali l’oggetto della prestazione comporta un contatto diretto e regolare con i minori a fronte di uno specifico rapporto di lavoro.

Attività professionali quali esempio quella di medico odontoiatra o medico pediatra che comporta attività verso i minori è assoggettata alle prescrizioni del DL 39/2014 con riferimento ai propri lavoratori dipendenti?

Si.

Sono la vice-presidente di una Associazione Culturale che organizza, tra le altre cose, corsi di scuola di musica primaria (quindi rivolti principalmente a minorenni). Per l’organizzazione di questi corsi ci avvaliamo della collaborazione di professionisti che rilasciano regolare fattura come titolari di partita iva. Ci dobbiamo ritenere datori di lavoro e quindi richiedere per questi professionisti il certificato penale del casellario giudiziale ai sensi dell’art. 25 bis del DPR 313/2002?

Si, qualora l’attività svolta dal professionista sia oggetto di un contratto, comunque qualificato, che faccia sorgere un rapporto di lavoro con prestazioni corrispettive.

link al modello 6a per la richiesta aggiornato al 7/7/2018

Si ricorda che non occorre nessun consenso sul trattamento essendo un’obbligazione di legge ( supporto normativo articolo 6 par 1 lett b,c,d,e)

Socrate disse ” tanto tuonò che piovve” , aggiornamenti sul GDPR

Lo scorso 8 Agosto, il CDM ha approvato la norma che ha dato nuova vita al Codice sul Corretto trattamento dei dati ( il 196 / 03 per intenderci ).

Già in epoca non sospetta ( il 21 Marzo ) sostenevo che la notizia dell’abrogazione del Codice era del tutto infondata ( fu un’uscita triste della Presidenza gentiloni ), tanto è vero che fu postata la mia osservazione .

Nell’attesa della lettura della norma novellata ( non ancora in GU) vi anticipo qualche rumors, da leggere come si leggono le notizie in estate sotto l’ombrellone, in maniera soft.

Al momento sembra non sciolto il nodo del raccordo lessicale ( vedasi responsabile del codice e del GDPR ) , ma le grandi novità sono :

– ultravigenza dei codici deontologici ( art 12 codice e 40 reg)

– nuova vita per le autorizzazioni ( articolo 21 del codice )

– consenso per i servizi della società dell’informazione a partire dai 14 anni

– nuova liceità dei trattamenti ( una modifica all’articolo 6 del Regolamento, bah ! )

– e soprattutto, purtroppo a causa di consulenti e di cattiva applicazione della norma , l’evidenza il diritto alla protezione dei dati, pur essendo un diritto fondamentale, deve essere ponderata con altri diritti ( vedi quarto considerando  ” Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.”, infatti si richiamano altri diritti ed interessi in maniera esplicita, ad esempio l’anticiriclaggio, invito per questo a leggere il post scritto in epoca non sospetta .

 

Ci sentiamo presto per le modifiche da apportare ai nostri documenti…. buona lettura e ciao ciao

Censimento ICT del Piano Triennale, scadenza del 20 Giugno

Viste le diverse chiamate sulla scadenza del censimento contenuto nel  Piano Triennale dell’Informatica della PA vi tranquillizzo ricordando che al momento si tratta di una semplice ricognizione, eventuali problematiche possono esserci solo per le PA che al momento necessitano di essere inserite nell’elenco dei PSN , mi spiego meglio , il Piano Triennale mira a tripartire le PA in :

  1.  PSN , Polo Strategico Nazionale , caratterizzato  da cespiti tecnologici e base di calcolo elevato da condividere anche con altre Pa in forza di collaborazioni in forza dell’articolo 15 L.241/90
  2. Gruppo A, strutture non elette a PNS ma eleggibili con lievi investimenti ( immobilizzazioni e personale interno)
  3. Gruppo B, strutture con gravi carenze di infrastrutture tecnologiche, immobilizzazione e personale interno .

Qualora non si risponda entro il 20 ( ??? ) anche le PA appartenenti al Gruppo A verranno declassate al Gruppo B.

I prossimi censimenti, in forza del novellato articolo 14 bis D.Lgs 82/05 ( modificato dal 217/17) potrebbero avere una portata diversa avendo l’Agid assunto un ruolo diverso ( emanazione norme di diritto tenue , controllo sul piano triennale 2018-2020, etc ) , ovviamente sarete aggiornati.

Per qualsiasi chiarimento, chiamatemi.

Protetto: Manaule di Gestione documentale ex articolo 5 DPCM 03 12 13

Il contenuto è protetto da password. Per visualizzarlo inserisci di seguito la password:

Bollettino CERT-PA

Il CERT-PA ha pubblicato una nota per allertare sugli effetti dannosi della campagna di diffusione malware attraverso il dominio documenticertificati[.]com.

Nella giornata del 13 marzo 2018 si è diffusa una attività malevola di propagazione malware attraverso il dominio “documenticertificati[.]com”, che appare come un sito sicuro identificato da un certificato di sicurezza e con i loghi di AgID e SPID.

ATTENZIONE! Il dominio in oggetto è estraneo alle attività di AgID e/o del circuito SPID.

L’Agenzia per l’Italia Digitale ha pubblicato – di seguito e attraverso il CERT-PA – delle indicazioni per riconoscere l’attività malevola e gli indicatori di compromissione.

Come arriva il malware

Il link al download arriva all’utente finale tramite una email proveniente dall’account “admin[@]documenticertificati[.]com” e veicolata attraverso il servizio “mailjet[.]com”. La mail dal titolo “Consegna documenti per XXXX” riporta nel corpo del messaggio le credenziali per scaricare la finta “pratica”(con XXX personalizzato per il destinatario). Una volta inserite le credenziali, è proposto in download un file .zip contenente due malware: uno di tipo PE, l’altro JAR.

Quaderno GDPR -PARTE 3- I DIRITTI DELL’INTERESSATO

L’interessato ha diversi poteri sul controllo dei dati che lo riguardano, e solo grazie a questi diritti ” può liberamente proettare la sua identità attarverso le informazioni” come detto da S.Rodotà.

L’interessato deve essere reso edotto riguardo i suoi diritti attraverso una nota alla trasparenza, od informativa .

Tuttavia quando i dati vengono trattati per adempiere ad obblighi di legge l’interessato può essere “passivo” di trattamento senza conoscere l’esistenza di procedure che lo riguardano.

Per contro, non è necessario imporre l’obbligo di fornire l’informazione se l’interessato dispone già dell’informazione, se la registrazione o la comunicazione dei dati personali sono previste per legge o se informare l’interessato si rivela impossibile o richiederebbe uno sforzo sproporzionato. Quest’ultima eventualità potrebbe verificarsi, ad esempio, nei trattamenti eseguiti a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici. In tali casi si può tener conto del numero di interessati, dell’antichità dei dati e di eventuali garanzie adeguate in essere.

Come da considerando 62.

Il diritto di accesso ai dati personali.

Scorrendo il Reg, i lprimo diritto contemplato è normato dall’articolo 15 e sancisce in “prinicpio”  la conferma dell’esistenza e del trattamento dei dati da parte di un titolare del trattamento .

Articolo 15

Diritto di accesso dell’interessato

1.   L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:

a)

le finalità del trattamento;

b)

le categorie di dati personali in questione;

c)

i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;

d)

quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

e)

l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;

f)

il diritto di proporre reclamo a un’autorità di controllo;

g)

qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;

h)

l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

2.   Qualora i dati personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, l’interessato ha il diritto di essere informato dell’esistenza di garanzie adeguate ai sensi dell’articolo 46 relative al trasferimento.

3.   Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune.

4.   Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui.

Il diritto di accesso e conoscenza dei dati è elevato a principio, infatti per esercitarlo non occorre che ci sia una lesione reale o potenziale.

Proprio per questo nn esistono particolari formalismi per esercitare il diritto, tantomeno il report risultante deve garantire particolari forme se non possedere il requisito dell’intellegibilità.

Il paragrafo 3 dell’articolo parte dal pressupposto che le copie del trattamento ( l’output intellegibile ) devono tendenzialmente essere gratuite, mentre il paragrafo 4 sancisce che il diritto dell’istante non deve comunque ledere la riservatezza di terzi, richiamando , pur se in maniera non espressa gli articoli 3 e  5 del DPR 184/2006.

Il diritto di rettifica e di integrazione.

Brevemente l’articolo 16 del GDPR richiama il diritto di avere i dati sempre aggiornati e veritieri, e l’istituto utilizzato per attuarlo è rappresentato dal potere di chiedere rettifiche ed integrazioni.

Articolo 16

Diritto di rettifica

L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

E’ importante notare che l’integrazione della informazione tratatta è strumentale alla situazione “nel sociale” dell’interessato.

Infatti un parere “errato” sull’interessato , magari pubblicato in albi non può essere rettificato ma deve essere integrato con apposita lettera di allungamento, anche in questo caso è evidente un richiamo al diritto amministrativo puro, in particolar modo all’autotutela dell’articolo 21 nonies della L. 241/90.

Il diritto alla cancellazione dei dati.

Il diritto alla cancellazione dei dati ( rettifica radicale) può essere esercitato quando ricorre uno dei seguenti casi :

a) dati non più necessari arispetto alle finalità

b) l’interessato revoca il consenso

c) l’interessato si oppone al trattamento

d) i dati personali sono stati trattati in modo illecito

e) i dati devono essere cancellati ex legem

f) i dati sono stati raccolti per l’erogazione di servizi informatici diretti a minori

Quaderno GDPR -PARTE 2- IL CONSENSO

Iniziamo con una domanda , ” il consenso ha un ruolo centrale ? “, se non volete leggere tutto il post la risposta immediata è  NO!!!.

ll trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.

Partendo dal quarto considerando è evidente l’equiparazione  della circolazione delle informazioni con la protezione dei dati personali, come gia detto nella parte prima del quaderno intitolato al GDPR il reg. 2016/679 deve essere considerato tutt’uno con il reg. 2014/910 , uniformare le informazioni elettroniche per farle circolare protette.

Alcuni principi sono elevati a “valoriali” , quasi simboli di libertà, ma la liberta deve essere proprozionata e bilanciata , proprio per questo il citato considerando recita che “ll trattamento dei dati personali dovrebbe essere al servizio dell’uomo”.

E’ opportuno osservare che anche l’articolo iniziale del GDPR al par 3 ricorda che

La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali

Il consenso, principio valore e principio da attuare, tra il dire ed il fare c’è di mezzo…

Il principio generale, enunciato dall’articolo 5 recita che  i dati deovono essere

trattati in modo lecito corretto e trasparente nei confronti dell’interessato

Ma quando c’è la liceità nel trattamento ? la norma da risposta in senso “esclusivo” e spostandoci dal principio – valore, astrattamente e difficilmente applicabile in un modello organizzativo dei trattament dei dati , ad un modello attuativo occorre utilizzare un processo di controllo bifasico.

Si parte dall’articolo 6 del Regolamento rubricato appunto Liceità del trattamento

1.   Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a)

l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

b)

il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c)

il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

d)

il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;

e)

il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

f)

il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

E’ chiaro, nella prima fase di accertamento che è condizione necessaria ma non sufficiente che si sia almeno una delle condizioni legittimanti.

Appurato il possesso di una condizione al processo del trattamento dei dati occorre verificare la fase n.2 di valutazione della liceità,  ed in aiuto ci viene l’articolo 5

1.   I dati personali sono:

a)

trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);

b)

raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);

c)

adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);

d)

esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);

e)

conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);

f)

trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

Pur non volendo approfondire , deve essere chiara una cosa, il consenso è solo una delle condizioni che legittimano il trattamento dei dati, le altre sono , cfr art 6 :

b)

il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c)

il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

d)

il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;

e)

il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

f)

il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

Il trattamento di particolari categorie di dati personali .

Come per il vecchio codice, anche nel GDPR c’è una forte attenzione ad alcuni particolari dati personali, vediamo l’articolo 9

  È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

2.   Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:

a)

l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;

b)

il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;

c)

il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;

d)

il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato;

e)

il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;

f)

il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;

g)

il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato;

h)

il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;

i)

il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale;

j)

il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

E’ evidente che da un’apertura semanticamente riduttiva del paragrafo 1 si passa ad una copiosa serie di condizioni legittimanti.

Caratteristiche del consenso, la forma dello stesso.

L’articolo 7 del GDPR recita

Condizioni per il consenso

1.   Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.

2.   Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante.

3.   L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato.

4.   Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.

Il consenso è qualsiasi manifestazione di volontà chiara ed incontrovertibile di accettazione delle condizioni di trasparenza ( l’informativa) porposta dal titolare del trattamento dei dati , per meglio capire del consenso e della forma è necessario prendere in esama anche il 32 ° considerando

Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.

Quindi  :

  • il consenso è  atto di accettazione del trattamento dei dati
  • la forma del consenso non deve essere necessariamente scritto, l’importante è la chiara manifestazione di volontà adesiva al trattamento
  • il consenso dovrebbe essere inizialmente espresso per ogni finalità di trattamento specifico, con la trasparenza sull’oggetto, le mdalità di trattamento, la circolazione delle informazioni, la durata, etc

Importante è non sottovalutare la disciplina della durata del trattamento nella nota alla trasparenza sul trattamento dei dati, essendo da un punto di vista giuridico, secondo la classificazione del Galgano , un contratto di durata ( atto negoziale recettizio unilaterale). Tuttavia la durata può anche essere sine die .

Forma scritta ab substantiam ? ad probationem ? .NO ! come detto l’importante è la chiarezza della volontà nel formare un atto di autodeterminazione da chi può agire ( con la specialità dell’eta nell’agire dato dall’articolo 8, eccezionalmente 16 anni).

Tuttavia conviene focalizzarci nuovamente sull’articolo 5 par. 2

Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo

e sull’articolo 7 par 1

.   Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali

da qui si evince che la dimostrazione di un fatto scritto è racomandabile ,

Quaderno GDPR – PARTE I-

Strutturalmente  il General Data Protection Regulation – Regolamento Generale sulla Protezione dei Dati

non si allontana molto dal nostro vecchio Codice del trattamento, salvo alcune specificità :

  • L’informativa
  • La modalità del consenso ( e  la liceità del trattamento in forza del consenso bifasico )
  • Sanzioni più incisive
  • Consenso del minore

da un punto di vista formale, e da un punto di vista operativo l’introduzione del principio dell’ ACCOUNTABILITY, la vera rivoluzione .

Cosa cambia ?

E’ cambiata la società, sono cambiati i tempi sono cambiate le aspettative verso l’informazione .

La norma comunitaria, come quella nostrana , no è intitolata alla PRIVACY, ma al corretto trattamento dei dati, e soprattutto occorre fare una precisazione fondamentale di politica regolamentare , il Reg. 2016/679 ed il Reg . 2014/910 devono essere letti come una complessiva idea comunitaria con l’obiettivo di uniformare il modo di generare le informazioni e di farle circolare liberamente nel mercato .

Infatti l’informazione ( il dato personale riferibile ad una persona fisica ) è definito come

bene giuridico , economicamente valutabile ed oggetto di scambio .

Tuttavia per ben approfondire la nuova norma rcordiamo anche che l‘informazione ed il dato personale  oltre ad avere una definizione economica hanno anche una definzione data dalla carat Europea dei Diritti Fondamentale , infatti l’articolo 8 recita:

Protezione dei dati di carattere personale

1.   Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

2.   Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica.

3.   Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente.

Proprio da questo richiamo ( non solitario ed univoco come vedremo nei prossimi approfondimenti ) , è chiaro che la norma non è intitlata ed intitolabile alla PRIVACY o RISERVATEZZA , ma al corretto trattamento dei DATI, come chiarito fin dal titolo “Regolamento Generale sulla Protezione dei Dati”

Il diritto alla protezione dei dati tutela l’informazioen riferita ( ed anche riferibile) ad un individuo, non tutela la personalità complessiva, solo una parte .
Anzi , occorre ribadire, che la tutela dell’identità personale è un istituto molto presente nel nostro ordinamento a differenza di quello europeo e pur essendo di creazione giurisprudenziale ha ben raccolto favori e successi, uno fra tutti il diritto all’oblio, non sempre conosciuto e disciplinato in altre realtà tranfrontaliere.

Ora conviene fermarci un moemnto e vedere le differenze tra il diritto alla protezione dei dati ed il diritto alla riservatezza.

Il primo diritto , quello alla protezione dei dati personali, consiste nella possibilità in capo al soggetto i cui dati si riferiscono,di esercitare un controllo, e come detto trova fonte primaria nell’articolo 8 della Carta dei Diritti Fondamentali dell’UE .

Il diritto alla riservatezza , invece , si concretizza nell’escludere la conoscenza di vicende personali e familiari , e trae evidentemente origine proprio dalla pietra miliare della PRIVACY, l’articolo WARREN – BRANDEIS  sul

“RIGHT TO BE LET ALONE ” e sul ” JUS SOLITUDINES” .

Enunciati che ritroviamo all’aritolo 7 della Carta Europea :

Rispetto della vita privata e della vita familiare

Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni.

In Italia il diritto alla riservatezza è stato riconosciuto dalla Corte di Cassazione con pronuncia 2129/1975.

In estrema sintesi, il diritto alla protzione dei dati ed il diritto alla riservatezza hanno oggetto diverso, possono talvolta coincidere, esempio classico è LA CARTELLA CLINICA.

Spostiamo ora l’attenzione sul perchè nasce l’esigenza del GDPR, la risposta è chiara ed univoca , contenuta nel considerando n. 9 ;

Sebbene i suoi obiettivi e principi rimangano tuttora validi, la direttiva 95/46/CE non ha impedito la frammentazione dell’applicazione della protezione dei dati personali nel territorio dell’Unione, né ha eliminato l’incertezza giuridica o la percezione, largamente diffusa nel pubblico, che in particolare le operazioni online comportino rischi per la protezione delle persone fisiche. La compresenza di diversi livelli di protezione dei diritti e delle libertà delle persone fisiche, in particolare del diritto alla protezione dei dati personali, con riguardo al trattamento di tali dati negli Stati membri può ostacolare la libera circolazione dei dati personali all’interno dell’Unione. Tali differenze possono pertanto costituire un freno all’esercizio delle attività economiche su scala dell’Unione, falsare la concorrenza e impedire alle autorità nazionali di adempiere agli obblighi loro derivanti dal diritto dell’Unione. Tale divario creatosi nei livelli di protezione è dovuto alle divergenze nell’attuare e applicare la direttiva 95/46/CE.

Inoltre come all’inizio scritto bisogna ben ricordare che il GDPR è il completamento naturale e fisiologico dell’ EIDAS, letti assieme hanno l’obiettivo di creare il MERCATO UNICO DIGITALE delle informazioni.

Ovviamente i dati trattati non possono essere utilizzati senza nessuna regola, e di queste regole bisogna tenerne conto, da qui il principio dell’ACCOUNTABILITY , articolo 32 GDPR .

Sicurezza del trattamento

1.   Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a)

la pseudonimizzazione e la cifratura dei dati personali;

b)

la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c)

la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

d)

una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

2.   Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

3.   L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

4.   Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

L’articolo parla chairamente di misure :

  • TECNICHE
  • ORGANIZZATIVE
  • GESTIONALI

indi è necessario non commettere l’errore di delegare le politiche di sicurezza dei dati alla funzione informatica e basta.

La valutazione tecnico – gestionale deve avere le connotazioni proprie dei modelli organizzativi, dell’as is anlisys , della ricerca del gap, del management , dell’assessment, delle politica correttive, dei risultati attesi e dei correttivi sulla dispersione da questi.

Solo partendo dalla suddetta valutazione contempliamo  l’acconutability, che viaggerà su due livelli :

1) Misure obbligatorie e prova dell’attuazione

2) Misure e sistemi volontaristici.

La valutazione dell’impatto .

Ancor prima di iniziare un trattamento il titolare deve valutare i rischi e decidere le politiche ( policy, presidi, controlli e rendicontazione ) per minimizzare l’uso illecito dei dati personali .

Qualora siano i rischi residuali ( terminologia ISO 31000 ) siano elevati occorre la consultazione preventiva coll’Autorità Amministrativa Indipendente.

Il Bilanciamento degli interessi .

Fin dal 2003, con il D.Lgs 196/03 ho rappresentato una parte minoritaria della dottrina che considerava il diritto alla protezioen dei dati un diritto “fondamentale ma non troppo” , ma lottavo in un’arena dove la norma era intitolata alla PRIVACY ( o meglio PRAIVACI , scusatemi la poca aleganza ) , prendendomi sempre qualche bella soddisfazione .

Già si considerava l’informazione un bene economico, era quindi chiara la tendenza normativa, poi con il Reg.  UE 2014/910 sempre più mi son fatto forte del fatto che anche il legislatore stava correndo ai ripari ( lessicali , l’intento era chiaro anche nella direttiva 95/46/CE ) , poi nel 2015 una chiara sentenza della Corte di Cassazione, n. 10280/15 sez III recita e sancisce

IL DIRITTO ALLA PROTEZIONE DEI DATI PUR RIENTRANDO NEI DIRITTI FONDAMENTALI NON E’ UN “TOTEM AL QUALE POSSONO SACRIFICARSI ALTRI DIRITTI COSTITUZIONALMENTE GARANTITI” …IL DIRITTO ALLA PROTEZIONE DEI DATI DEVE ESSERE ” COORDINATO E BILANCIATO” CON LE NORME DI CARATTERE PUBBLICISTICO E PRIVATISTICO.

Poi, nel 2016 con il GDPR la massima chiarezza nella lettera del 4 ° considerando :

Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.

La norma sembrerà complessa, ma è chiara, ancora una volta avremo come interocutori faccendieri improvvisati che non hanno la minima conoscenza di norme pubbliche e di gestione organizzativa dell’azienda, ma quando sentite parlare di PRAIVACI scappate, chiedete di discutere sul Corretto Trattamento dei Dati..

Continua la nostra DIGITAL COMMEDIA .

A presto

Qualche anticipazione per i RTD sul D.Lgs 217/17 il NUOVO CAD

Il correttivo al CAD oltre a continuare sul filone filosofico e concettuale introduce nuovamente alcuni istituti cancellati dal D.Lgs 179/16 ( a parere dello scrivente erroneamente ), come ad esempio :

  • come già accennato si riconferma l’importanza del responsabile alla transizione in ogni PA , infatti l’articolo 17 del D. Lgs 217/2017 che modifica l’articolo 17 del D.lgs 82/05 ( già variato dal D.lgs 179/16) mette maggiore enfasi sull’importanza del RTD in ogni PA ed istituisce l’ufficio centrale presso l’AGID del Difensore Civico Digitale .
    Al RTD spetta : progettazione sugli acquisti ed integrazione, rispetto delle misure articolo 71 del CAD ed impulso per il nuovo servizio di “identità e domicilio digitale”
  • identita’ e domicilio digitale, sistema di prossima attuazione ibrido tra PEC-ID e SPID
  • Reintroduzione della continuità operativa ( art. 46 del D.lgs 217/2017 che introduce il comma 2 – quater all’articolo 51 del CAD)
  • Interoperabilità
  • Riutilizzazione del softwareOvviamente il tutto anche in ottica GDPR.  Ben venga la rivoluzione .
    
    

Nuovo CAD e NUOVA PRIVACY ! Siete Pronti ? Direi di no!!!!

Meno di 20 giorni per il nuovo codice dell’amministrazione digitale e circa 60 per prepararci al GDPR, già vedo in giro tante soluzioni hardware e software con grande danno erariale ( vedi segreteria digitale etc etc )!!!!

 

Come sempre dovrebbe essere il RTD a dare le dritte , a buon intenditore poche parole…

…oltre  al danno erariale nullità originale degli atti e sanzioni amministrative e penali,

 

 

SCHEDA INFORMATIVA REGOLAMENTO 2016/679/UE: LE PRIORITA’ PER LE PA

Riporto la scheda delle priorità per le PP.AA. redatta dal GPDR .

La principale novità introdotta dal regolamento è il principio di “responsabilizzazione” (cd. accountability), che attribuisce direttamente ai titolari del trattamento il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali (art. 5).

In quest’ottica, la nuova disciplina impone alle amministrazioni un diverso approccio nel trattamento dei dati personali, prevede nuovi adempimenti e richiede un’intensa attività di adeguamento, preliminare alla sua definitiva applicazione a partire dal 25 maggio 2018.

Al fine di fornire un primo orientamento il Garante per la protezione dei dati personali suggerisce alle Amministrazioni pubbliche di avviare, con assoluta priorità:

1. la designazione del Responsabile della protezione dei dati – RPD (artt. 37-39)

Questa nuova figura, che il regolamento richiede sia individuata in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati, costituisce il fulcro del processo di attuazione del principio di “responsabilizzazione”. Il diretto coinvolgimento del RPD in tutte le questioni che riguardano la protezione dei dati personali, sin dalla fase transitoria, è sicuramente garanzia di qualità del risultato del processo di adeguamento in atto. In questo ambito, sono da tenere in attenta considerazione i requisiti normativi relativamente a: posizione (riferisce direttamente al vertice), indipendenza (non riceve istruzioni per quanto riguarda l’esecuzione dei compiti) e autonomia (attribuzione di risorse umane e finanziarie adeguate);

2. l’istituzione del Registro delle attività di trattamento (art. 30 e cons. 171)

Essenziale avviare quanto prima la ricognizione dei trattamenti svolti e delle loro principali caratteristiche (finalità del trattamento, descrizione delle categorie di dati e interessati, categorie di destinatari cui è prevista la comunicazione, misure di sicurezza, tempi di conservazione, e ogni altra informazione che il titolare ritenga opportuna al fine di documentare le attività di trattamento svolte) funzionale all’istituzione del registro. La ricognizione sarà l’occasione per verificare anche il rispetto dei principi fondamentali (art. 5), la liceità del trattamento (verifica dell’idoneità della base giuridica, artt. 6, 9 e 10) nonché l’opportunità dell’introduzione di misure a protezione dei dati fin dalla progettazione e per impostazione (privacy by design e by default, art. 25), in modo da assicurare, entro il 25 maggio 2018, la piena conformità dei trattamenti in corso (cons. 171);

3. la notifica delle violazioni dei dati personali (cd. data breach, art. 33 e 34)

Fondamentale appare anche, nell’attuale contesto caratterizzato da una crescente minaccia alla sicurezza dei sistemi informativi, la pronta attuazione delle nuove misure relative alle violazioni dei dati personali, tenendo in particolare considerazione i criteri di attenuazione del rischio indicati dalla disciplina e individuando quanto prima idonee procedure organizzative per dare attuazione alle nuove disposizioni.

SANZIONI FINO A 20 MILIONI di €, LA NUOVA PRIVACY, GUIDA PER LE PP.AA.

 

Focus per le PP.AA.

Prepariamoci seriamente al GDPR , ovvero, partiamo da lontano ed impariamo a conoscere le norme fondamentali.

La sicurezza dei dati (di “carta” e di “bit”) è fondamentale per il controllo di una struttura, semplice o complessa che sia, per garantire la disponibilità, l’integrità e la riservatezza delle informazioni.

 

Parto dall’analisi di alcune ipotesi, che prima o poi troveremo trionfanti nelle slide di diversi esperti di PRIVACY, ritenendo sia necessario fare alcune considerazioni per meglio affrontare gli adempimenti direttamente od indirettamente legati al Regolamento 2016/679/UE .

 

Innanzitutto un chiarimento od una precisazione lessicale:  il GDPR, al pari della norma contenuta nel D.Lgs 196/03, non è un testo intitolato alla a Privacy , chiunque ha appellato così il 196 e continua ad appellare in tal modo il GDPR ben poco ha capito del complesso contenuto normativo che mira a creare dei modelli organizzativi  per la tutela e la resilienza delle informazioni; informative e consenso PRIVACY sono la parte residuale, non c’è divieto di circolazione delle informazioni ma regole sul trattamento delle stesse… ma attenzione, in fondo sono le stesse persone  che hanno redatto DPSS stereotipati o peggio ciclostilati applicandovi la data certa.

Il secondo punto da sottolineare è dato dalla disponibilità dei dati dell’ipotesi: questo principio non può e non deve essere un elemento da gestire in maniera nativa nel DPSS, o DPSS 2.0 o nel registro dei trattamenti. Nell’evidenza della manualistica derivante dall’applicazione del GDPR (al pari del 196), il requisito della disponibilità deve essere DERIVATO dalle norme archivistiche della PA, dai manuali di gestione documentale e dalle regole di conservazione (a norma), questo per spostare il cardine della norma al giusto punto. Occorre preservare le informazioni presenti negli archivi, dunque, sarebbe davvero “poco utile” preservare informazioni da attacchi se queste già in modalità normali non sono bene conservate o addirittura mal archiviate o non archiviate o fascicolate affatto.

Uno dei problemi più gravi, eppure molto ricorrente, è delegare all’informatica la scienza, i criteri e le tecniche archivistiche, magari introducendo criteri e multicriteri di ricerca, tralasciando l’euristica fondamentale.
La sicurezza ha un’importanza fondamentale in quanto è necessaria per garantire la disponibilità, l’integrità e la riservatezza delle informazioni proprie del Sistema Informativo di un’organizzazione.
Con molto piacere allo scorso ForumPA ascoltavo l’avv. Andrea Lisi che sottolineava questa criticità, trovandomi ben d’accordo. Troppi informatici e pochi esperti di gestione documentale, il tutto citando il  prof. Gianni Penzo Doria, trovano impiego e mercato nella PA, demandando agli investimenti informatici compiti propri dell’organizzazione interna.

Uno strumento che porterebbe ad un ordine prodromico alla corretta gestione dei dati è senza alcun dubbio il SGPA (Sistema di Gestione dei Procedimenti Amministrativi), grazie al quale finalmente nelle PA poco strutturate (quasi tutte) ci sarebbe organizzazione gestionale dei procedimenti, pur se, purtroppo, derivante da cause esogene e non organizzative interne.

 

 

In queste pagine vorrei rammentare la definizione di conservazione documentale contenuta nel DPCM 03/12/13:

“la conservazione di documenti e fascicoli informatici è l’attività ( indi un processo) volta a proteggere e mantenere nel tempo gli archivi e dati informatici “, il tempo di conservazione ci deriva invece dal CAD, in particolare dall’articolo 43  comma 3.”

“I documenti informatici, di cui è prescritta la conservazione per legge o regolamento, possono essere archiviati per le esigenze correnti anche con modalità cartacee e sono conservati in modo permanente con modalità digitali

Forse ora è arrivato il momento di utilizzare la terminologia adatta e fare distinzione tra chi crea un documento da conservare e che ha l’onere di preservarlo distinguendo tra:

  • SOGGETTO PRODUTTORE – ente, famiglia o persona che ha posto in essere, accumulato e conservato la documentazione nello svolgimento della propria attività personale od istituzionale
  • SOGGETTO CONSERVATORE – soggetto che conserva i fondi archivistici e li rende disponibili alla consultazione.

Il codice dei beni culturali (D.lgs 42/2004) ,  definisce gli archivi ed i singoli documenti di ogni PA “bene culturale” dalla fase corrente a quella storica ( art 10 c.2 lett b D.Lgs 42/2004) e ne sanziona l’incorretta conservazione ( art 30 e 170 D.lgs 42/2004) .

I documenti sono inseriti tramite un processo di classificazione in un fascicolo (aggregazione per nome, materia, affare, etc); il fascicolo informatico, già dall’inizio, deve garantire interoperabilità e segregazione nella consultazione, derivando sempre e comunque il carattere atomistico dell’archiviazione (articolo 41 del CAD) .

 

Voglio altresì velocemente trattare le relazioni che esistono tra la gestione e la conservazione, utilizzando sinteticamente alcuni punti fondamentali:

 

  • Piano di classificazione e fascicolazione: consente di ricostruire l’archivio nel sistema di conservazione
  • Piano di conservazione: definisce i tempi di invio in conservazione ed i tempi dello scarto archivistico
  • Formati: devono essere aperti ed idonei alla conservazione anche utilizzando regole tassonomiche
  • Metadati: informazioni di contesto associate al documento ed al fascicolo da inviare in conservazione
  • Tempi di trasferimento: qui si apre un altro bello scenario derivante dall’applicazione di norme nuove senza conoscere quelle più remote: ad esempio con l’introduzione del DPCM 03/12/13, in particolare dell’articolo 7 comma 5 sulla conservazione del giornale del protocollo, molte PA hanno dimenticato che i continui versamenti in conservazione non costituiscono l’implementazione del protocollo (per dire: dal protocollo finale e conforme si può fare l’estrapolazione legale e probante, dalla somma dei singoli versamenti non si può invece costruire tout court il registro di protocollo) mancando il trasferimento complessivo di fascicoli e serie di cui l’articolo 67 del TUDA e 44 del CAD.

Purtroppo lo stesso problema c’è anche per le serie che dovrebbero essere generate dalle imputazioni e dalle pubblicazioni sul web, per dirne una, nessuna PA da me intervista conserva referta di pubblicazione della pubblicità legale con evidenza della mancanza di funzionamento.

 

 

A questo punto passiamo alla pratica e proviamo a sintetizzare come si costruisce un piano di classificazione, tenendo conto che è essenziale tener conto dei tre requisiti fondamentali: Astrazione, semplificazione, strutturazione.

Astrazione: Nel costruire il titolario si tiene conto delle funzioni ( definite e stabili ) e non dell’organigramma, sempre mutevole.

Semplificazione:

–             Andare dal generale al particolare

–              Non ripetere a livelli inferiori quanto dovrebbe essere ai livelli superiori

–              Ridurre al minimo possibile le voci, le peculiarità sono evidenziate a livello fascicolare.

Strutturazione: due o tre livelli (titolo e classe, oppure titolo, classe e sottoclasse).

 

Sul tema dell’astrazione e la raccomandazione di lavorare sulle funzioni è importante tenere conto di una considerazione della SSPA :

“ È opportuno che il piano di classificazione individui con molta attenzione e coerenza tutte le componenti costitutive principali, con particolare attenzione alle voci di primo livello che devono essere attribuite ai documenti con rapidità e senza rischi di duplicazione, soprattutto in ambienti organizzativi di notevole complessità.. Come si specificherà meglio in seguito tali voci si distinguono per convenienza in due grandi categorie in base alla natura delle funzioni:

  • funzioni istituzionali (primarie), specifiche di ciascuna area organizzativa;
  • funzioni di gestione e strumentali (secondarie), condivisibili da più divisioni organizzative perché relative ad attività di funzionamento comuni a tutta la struttura di un soggetto pubblico o privato e, spesso, condivisibili anche in ambienti più ampi.”

 

Fatta la struttura occorre classificare e fascicolare: qui nascono i primi problemi, o meglio, nella fase immediatamente antecedente, quella della protocollazione. Raccomando infatti di non esagerare, evitando la panprotocollazione, chiaro sintomo di cattiva organizzazione aziendale e di attriti interni.

La classificazione è il processo che, tramite un indice (di classificazione) desunto da una struttura di voci (piano di classificazione), attribuisce ad ogni documento una definita unità archivistica, e giova nuovamente ricordarlo, l’unità atomistica di archiviazione non è il documento stesso, ma il fascicolo.

Il fascicolo, in altre parole, rappresenta la risposta pratica e concreta di un sistema di catalogazione generale ed astratto.

 

 

Riporto l’esempio, sempre CALZANTE, dei Calzini  del principe Carlo.

Problema: il principe Carlo di Windsor ha 8.340 paia di calzini. Ogni calzino ha le giarrettiere abbinate e fiocchi ornamentali. Ogni mattina il suo maggiordomo Archibald deve trovare quelli intonati con la cravatta e ha 5 minuti di tempo per farlo

Come fa?

Li classifica!

 

Archibald mette tutti i calzini in un armadio e dà inizio ad un processo di classificazione.

 

L’armadio ha 3 ante (titoli):

I – Calzini estivi

II – Calzini invernali

III – Calzini di media stagione

 

L’anta I, “Calzini estivi”, ha 4 sottoante (classi):

 

1 – Seta

2 – Cotone

3 – Fresco di lana

4 – Fibra

 

Ogni sottoanta contiene delle ripartizioni non più logiche, ma fisiche, dove trovano posto tutti i calzini raggruppati per colore (procedimento/affare).

 

La sottoanta fresco di lana ha 6 cassetti (fascicoli):

1 – Verdi

2 – Blu

3 – Neri

4 – Scozzesi

5 – Grigi

6 – Marroni

 

Un giorno di luglio il principe Carlo indossa una cravatta scozzese ed il maggiordomo-archivista Archibald apre l’anta I/3.4. Cioè apre l’anta I (“calzini estivi”), la sottoanta 3 (“fresco di lana”, in Inghilterra può far fresco anche d’estate) ed il cassetto 4 (“calzini scozzesi”), dove trova il paio di calzini appropriato con attaccate le giarrettiere e i fiocchi ornamentali.

Voglio sottolineare che Archibald non trova il singolo calzino/documento, ma l’intero fascicolo, istruito per item aventi classificazione omogenea: i calzini con i reggicalzini e i fiocchi adatti a quel paio. Archibald, inoltre, ha scelto di non creare ulteriori ripartizioni logiche, individuando per es. la suddivisione verde chiaro – verde scuro, per evitare il rischio di classificazioni non univoche.

 

Partendo dal buon esempio di Archibald, conviene analizzare e strutturare bene i criteri costitutivi del fascicolo, solo così ci sarà l’efficienza nella ricerca documentale; il tutto diviene più semplice (una volta presa la mano) tenendo conto delle tipologie fascicolari convenzionali:

  1. a) Attività
  2. b) Affare
  3. c) Procedimento
  4. d) Persona fisica
  5. e) Persona giuridica

 

Consideriamo che i fascicoli vanno incamiciati solitamente al livello più basso, seguendo la struttura generalista del titolario archivistico.

 

Detto quanto sopra e tenendo conto che i piani di classificazione si basano sulle funzioni, occorre in maniera imperativa NON classificare i documenti per tipologia di mittente / destinatario, ricordando che occorre tener conto che i fascicoli sono elementi dei procedimenti amministrativi, riportati (anche) nell’amministrazione trasparente della PA (articolo 35 d.lgs 33/13).

 

Il titolario di classificazione per la PA ad oggi più efficiente è quello nato dal Forum dei conservatori istituito dall’AgID in collaborazione col MiBACT e che riporto in allegato.

Questa premessa per sottolineare quanto sia inutile proteggere i dati se non sono nativamente classificati ed organizzati un più amplio sistema organizzativo.

Analizziamo ora la disciplina propria della protezione partendo da una questio, la questio fondamentale:

Perché voglio tenere le mie informazioni al sicuro?

Per garantirne:

  • Disponibilità
  • Integrità
  • Riservatezza

Ora dovrebbe evincersi un concetto fondamentale, la RISERVATEZZA (o PRIVACY che dir si voglia) è solo una parte degli adempimenti da mettere in atto con il GDPR (come lo era anche per il 196/03).
Lo strumento di lavoro per attuare la sicurezza delle informazioni non possono essere INFORMATIVE (spesso sterili e stereotipate) e consensi acquisiti o negati. Occorre necessariamente la stesura di un MOG, vale la pena quindi ispirarsi al manuale di gestione ex art. 5 DPCM 03/12/13.

Lavoro duro per i pseudo consulenti (che però faranno breccia nel mercato con ottimi prezzi, SIGH!!!)

I requisiti della DISPONIBILITA: è evidente che si hanno con la classificazione delle informazioni aderenti al titolario, con tecniche archivistiche e di sussunzione delle informazioni; giova ricordare che l’attività dei sistemi informatici che si acquistano sono fallaci, spesso derivanti dalla mancanza di progettazione ex art 21 e 23 co 14 del D.lgs 50/16.

Le minacce che possono colpire la disponibilità, l’integrità e la riservatezza sono da:

  • Fuori porta: corruzione dei dati, acquisizione indebita, spionaggio, motivi ideologici
  • Dentro porta: accessi inappropriati derivanti da mancanza di politiche ACL
  • Software cattivi: piratati, non adatti, system fault.

 

Il regolamento 2016/679 mette nero su bianco la consapevolezza che le politiche di SICUREZZA non possono essere standardizzate ma devono necessariamente essere di tipo sartoriale, by design; tuttavia chi ha ben operato in ambito 196 utilizzava già una modellazione, anticipando il concetto di P.I.A. ( Privacy Impact Assessment), ancora, si passa dalle misure minime (art 33 d.Lgs 196/03 ed allegato B) all’obbligo di adozione di misure tecniche ed organizzative  per la tutela delle informazioni, indi dal risk assessment si passa al risk management.

 

 

La sicurezza dell’informazione del dato personale deve essere conforme all’articolo 32 del Regolamento:

Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

 

  1. la pseudonimizzazione e la cifratura dei dati personali;
  2. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  3. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  4. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento

 

 

Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

 

L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

 

Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

 

E’ chiarissimo che l’efficacia di tutto il modello organizzativo della gestione dei dati personali dipenda dal soddisfacimento di quanto contenuto nell’articolo 32 comma 1 lett d del GDPR.

 

Spostiamoci ancora di più nel settore pubblico riportando l’articolo 51 del D.lgs 82/2005, che in qualche modo ha voluto supplire all’abrogazione dell’articolo 50 bis intitolato alla CO-DR, e sul quale a mio avviso si sarebbe dovuto insistere creando una vera cultura degli obiettivi di sicurezza:

 

Sicurezza dei dati,

dei sistemi e delle infrastrutture delle pubbliche amministrazioni

 

  1. Con le regole tecniche adottate ai sensi dell’articolo 71  sono

individuate  ((le  soluzioni   tecniche   idonee   a   garantire   la

protezione,)) la disponibilita’, l’accessibilita’, l’integrita’ e  la

riservatezza ((dei dati e la continuita’ operativa))  dei  sistemi  e

delle infrastrutture.

  ((1-bis. AgID attua, per quanto di competenza e in raccordo con  le

altre autorita’ competenti in materia, il Quadro strategico nazionale

per la sicurezza dello spazio cibernetico e il Piano nazionale per la

sicurezza cibernetica e  la  sicurezza  informatica.  AgID,  in  tale

ambito)):

    ((a)  coordina,  tramite  il  Computer  Emergency  Response  Team

Pubblica Amministrazione  (CERT-PA)  istituito  nel  suo  ambito,  le

iniziative di prevenzione e gestione  degli  incidenti  di  sicurezza

informatici;))

  1. b) promuove intese con le analoghe strutture internazionali;
  2. c) segnala  al  Ministro  per  la  pubblica  amministrazione   e

l’innovazione il mancato rispetto delle regole  tecniche  di  cui  al

comma 1 da parte delle pubbliche amministrazioni.

  1. I documenti informatici delle pubbliche amministrazioni  devono

essere custoditi e controllati  con  modalita’  tali  da  ridurre  al

minimo i rischi di distruzione, perdita, accesso  non  autorizzato  o

non consentito o non conforme alle finalita’ della raccolta.

  2-bis. ((COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179)).

 

 

 

L’avvento del CERT-PA (istituito con l’articolo 20 comma 3 del DL 83/12) purtroppo non è molto noto alle PP.AA. e questa ignoranza fa perdere l’opportunità di sfruttare le competenze di un ufficio con ampie competenze specifiche.

La PA che deve adeguarsi al GDPR rischia un fallimento almeno duplice per questi motivi:

  • Mancanza di un modello organizzativo documentale (il manuale ex art 5 DPCM 03/12/13)
  • Mancanza dell’adeguamento alla Circolare 2/2017 AGID, GU SG n.103 del 5.5.17

Del manuale già ho scritto in altri post, ora voglio velocemente soffermarmi sulla Circolare che al primo articolo indica gli obiettivi: le MMS-PA (Misure minime che poi vedremo essere standard).

All’articolo 2 si individuano le PA (concetto allargato) destinatarie ed al 3 si individua il soggetto responsabile, quello che poeticamente già ho definito altrove DIFENSORE CIVICO 2.0, ai sensi dell’articolo 17 del CAD (art 17 comma 1 – ter D.lgs 82/2005).

I livelli di misura di sicurezza sono calcolati adoperando il ABSC (Agid Basic Security Controls) ed avere un Tier o Rating :

  • Minimale (oltre al quale non è consentito scendere)
  • Standard (il valore atteso)
  • Alto (limite superiore di tendenza)

Lo standard utilizzato è il SANS 20 che, sinotticamente, prevede:

  • Inventario hardware classificato per IP
  • Inventario software con versione e licenza ed autorizzazione negata per i non censiti
  • Protezione e cifratura
  • Valutazione continua della vulnerabilità
  • ACL
  • Difesa Malware
  • Policy di DR

Le risultanze del SANS 20 – ABSC vanno inserite in Allegato 2, marcate temporalmente ed inviate al CERT-PA in caso di problemi informatici.

Ecco, ora si può iniziare a parlare di GDPR…ricordando che il correttivo al CAD probabilmente introdurrà nuovamente il piano DR-CO e che l’analisi as is deve considerare per il GDPR ( e mi ripeto come anche per il 196) l’analisi dei processi , l’utilizzo degli indicatori, l’ausilio di una matrice RACI  e l’applicazione dei controlli del Trucker del 1997, in altre parole il DPSS 2.0 sarà frutto dell’applicazione della scienza dell’organizzazione e non di informatici che aggiornano gli antivirus e di copiatori seriali che distribuiscono informative in maniera indiscriminata.

 

modellotitolario21_7_2016rev