Articoli

Sanzioni del GPDP per le graduatorie “affisse”.

C’è molta preoccupazione in giro per una sanzione fatta dal GPDP per quanto riguarda l’affissione di una graduatoria, tanto che qualcuno ha deciso di CANCELLARLE TUTTE.

Diciamo che certamente cancellare la graduatoria comporta SANZIONI GRAVI e che la sanzione è irrogata per l’eccesso di notizie non necessarie nemmeno a difendere i diritti soggettivi dei terzi (situazioni particolari ex art. 9 Reg 2016/679)

Le graduatorie devo essere minimizzate, e questo non significa cancellare i nomi e cognomi (si ho visto graduatorie senza noi e cognomi).

Basta seguire le LL.GG. dell’AGID sulla pubblicità legale degli atti e farsi rilasciare dal fornitore del sito web la dichiarazione di non indicizzazione dell’ALBO.

NON è cambiato nulla, le regole sono sempre le stesse.

Vi lascio qualche vecchio post di riferimento .

Post per le ISTITUZIONI SCOLASTICHE. Graduatorie e contratti tra riservatezza e trasparenza. – Consulenti Associati Campania srls (ca-campania.com)

Dati comuni , sensibili e “parasensibili” – Consulenti Associati Campania srls (ca-campania.com)

Ed inoltre vi lascio le LL.GG AGID sulla pubblicità legale.

Richiesta chiarimenti FEDERAZIONE RINASCIMENTO ITALIA.

Stanno arrivando diverse richieste di informazioni alle ISA da parte di F R I.

L’accesso ai dati ed ai fatti delle pubbliche amministrazioni è quasi sempre consentito, l’accesso alle politiche di gestione NO. Le richieste andrebbero rigettate ai sensi dell’articolo 24 comma 3 della L. 241/90.

per quanto riguarda le politiche sulla tutela dei dati USA vi rimando al PRIVACY SHIELD con un paio di post

DATA BREACH semplificato

Per colpa di qualche mio collega che non conosce minimamente il paradigma RID e la valutazione dei rischi e’ capitato che al Garante per la protezione dei datti siano arrivate tante segnalazioni inutili per danni non VERI sulla riservatezza e quasi nessuna segnalazione per l’integrita’ e disponibilita’.

Ora e’ disponibile il modello di segnalazione ex articolo 33 Reg 2016/679 semplificato dove il titolare del trattamento dei dati puo’ anche valutare se fare o meno la segnalazione.

il link per la segnalazione e’ https://servizi.gpdp.it/databreach/s/self-assessment

Linee Guida sulla sicurezza nel procurement ICT (CAD APPALTI e GDPR)

Con un breve richiamo al nuovo regolamento degli appalti pubblici ( in bozza )

E’ passato quasi un anno da quando ho scritto il primo post su queste linee guida che finalmente il 20 maggio hanno visto la pubblicazione.

Di cosa parliamo ? delle clausole che le SA devono inserire nelle procedure d’acquisto di concerto con il DPO ed anche il RTD.

Vediamo velocemente le linee guida riportandone i paragrafi essenziali

1.2 A chi è rivolto il documento 

Il presente documento è diretto in primo luogo ai dirigenti e ai funzionari delle pubbliche amministrazioni, con particolare riferimento alle strutture che si occupano di acquisizioni informatiche, ai RUP delle gare pubbliche, ai responsabili della transizione al digitale (definiti dal CAD), ai responsabili dell’organizzazione, pianificazione e sicurezza. A questi soggetti sono rivolte le indicazioni pratiche, gli esempi e gli strumenti operativi contenuti nei paragrafi che seguono. 

I contenuti del documento vanno intesi in termini di suggerimenti, buone pratiche e procedure cui allinearsi, anche sulla base della rilevanza e dei profili di criticità delle varie acquisizioni ICT da condurre, come illustrato nel dettaglio, per le varie indicazioni, nel capitolo 2. 

Il documento è rivolto anche, con un diverso percorso di lettura, agli operatori di mercato e in particolare ai fornitori della pubblica amministrazione. Per questi ultimi è opportuno, tra l’altro, essere a conoscenza delle problematiche legate alla sicurezza nel procurement ICT delle pubbliche amministrazioni, in modo che siano pronti a recepire le richieste dei committenti senza impatti rilevanti sulle negoziazioni, e anzi con spirito di collaborazione. Si ritiene infatti che stabilire un lessico comune e condividere gli obiettivi di sicurezza possa rappresentare un vantaggio per i clienti ma anche per i fornitori, rendendo più efficienti le clausole dei contratti e aprendo nuovi spazi di mercato. 

1.3 Finalità del documento 

Il presente documento non costituisce un manuale tecnico, un compendio o uno studio accademico sulla tematica della sicurezza. Al contrario, nel testo si rimanda, per gli eventuali approfondimenti specialistici sulla materia, alla letteratura tecnica: riferimenti puntuali a studi, articoli e standard sono presenti nei paragrafi che seguono. 6 

Allo stesso modo, non è scopo del presente documento fornire al lettore interpretazioni giuridiche, disamine o estensioni di norme e procedure vigenti in tema di appalti pubblici. 

Le finalità del documento sono invece: 

– illustrare in maniera semplice e immediatamente fruibile la problematica della sicurezza nel procurement ICT; 

– mettere a sistema (tramite opportuni glossari e classificazioni), formalizzare definizioni e concetti legati alla sicurezza nel procurement ICT, rendendoli coerenti con la norma e con il contesto della pubblica amministrazione; 

– presentare buone prassi, soluzioni già in uso, misure semplici da adottare (strumenti operativi, esempi pratici, riferimenti puntuali), per verificare il livello di sicurezza degli attuali processi di acquisizione ed eventualmente per alzare tale livello senza per questo aumentare in modo eccessivo la complessità dei processi e l’impegno necessario a condurli. 

Sinteticamente si avranno le AZIONI divise in fasi

  • da svolgere prima della fase di procurement
  • da svolgere durante la fase di procurement
  • da svolgere dopo la stipulazione.

Ma cosa fare in pratica, come fare ?

Io farei cosi, attenderei la pubblicazione anche della BOZZA DEL REGOLAMENTO sugli ACQUISTI che all’articolo 13 ( della BOZZA) invita a qualificare i fornitori , poi istituirei un ufficio stabile all’interno dell’organizzazione del RTD per la selezione degli acquisti informatici e scriverei un provvedimento ( ai sensi dell’articolo 11 della BOZZA) per la suddivisione in classi d’importo per procedere senza aggravare ulteriormente il procedimento .

nell’attesa di focus specifici ( che purtroppo saranno fatti in webinar ) vi riporto il mio post originale, dedicato all’immensa Daniela Salzano.

In allegato LLGG ICT PROCUREMENT e BOZZA del Regolamento

SEMPLICI PROCEDURE BUONI (VANTAGGI ECONOMICI-SUSSIDI) COVID-19

Purtroppo molti Enti Locali non hanno applicato bene le norme per minimizzare i dati esponendo i nominativi dei beneficiari dei sussidi .

Analisi veloce, poi vi rimando ad un post e vi lascio un file excel.

Prima cosa i dati del disagio sociale non sono considerati dati particolari (o sensibili ) ma “informazioni para – sensibili” cioè capaci di dimostrare disagi socio – economici degli interessati / beneficiari .

Operativamente cosa significa ? vediamolo velocemente :

  • preserviamo la dignità delle persone sin dall’applicazione dell’articolo 124 del D.Lgs 267/00 anonimizzando i dati ed inserendo “per relationem” i documenti qualificanti nella pubblicazione ex art. 32 l. 69/09
  • non essendo i dati PARTICOLARI o SENSIBILI non rientrano nell’ambito dell’art 24 della L. 241/90 ( quindi art. 22 L. 241/90 facilmente applicabile)
  • rientrano nell’ultimo comma dell’articolo 26 D.lgs 33/13 ( quindi anche se superiori a 1000 euro, comma 2, non vanno pubblicati i beneficiari comma 4 )

Questi punti sopra sono elencati velocemente, per dettagli vedere ma soprattutto dopo continuate a leggere …

Vi ho chiesto di continuare a leggere perchè molti hanno chiesto quale procedura usare per rendere la tracciabilità dei beneficiari senza pubblicare :

  • nome
  • cognome
  • codice fiscale
  • indirizzo
  • cellulare
  • telefono di casa
  • segno zodiacale
  • numero di piede etc etc

La risposta mia rimane sempre la stessa : una qualsiasi procedura valida deve essere SEMPLICE DA APPLICARE.
Ad esempio essendo un’istanza vi ricordo che è soggetta a protocollazione, art 18 bis L. 241/90 , indi anche il solo protocollo potrebbe garantire un poco di riservatezza e la tracciabilita’ .

Oppure vi allego un foglio excel ( da utilizzare per qualsiasi dato univoco da generare ) che partendo da nome,cognome,codice fiscale e cellulare crea degli identificativi univoci con semplici algoritmi ,

NOMECOGNOMECODICEFISCALECELLULARECODICE UNIVOCO
vincenzo de prico dprvcn75l17c361y3389141276


e513891150vin243

Ovviamente i numeri che vedete sono prima trattati con valori costanti e poi assemblati per avere il CODICE UNIVOCO che andrà pubblicato e consegnato al DESTINATARIO.

Resta inteso che il file excel è modificabile ed ulteriormente “complicabile” ( magari iinserendo il codice Belfiore del Comune di riferimento ) , serve a dimostrare quanto sia semplice generaredati UNIVOCI anonimizzati partendo da dati comuni.

Per chiudere mi soffermo come sempre sulla trasparenza delle cose, infatti e’ I M P O R T A N T I S S I M O ricordare che ai sensi dell’articolo 26 del 33/13 (ma anche del 12 della 241/90) la mancata pubblicazione dei provvedimenti di beneficio rende inefficace il provvedimento, riporto il terzo comma del 26

3. La pubblicazione ai sensi del presente articolo costituisce condizione legale di efficacia dei provvedimenti che dispongano concessioni e attribuzioni di importo complessivo superiore a mille euro nel corso dell’anno solare al medesimo beneficiario. La mancata, incompleta o ritardata pubblicazione rilevata d’ufficio dagli organi di controllo e’ altresi’ rilevabile dal destinatario della prevista concessione o attribuzione e da chiunque altro abbia interesse, anche ai fini del risarcimento del danno da ritardo da parte dell’amministrazione, ai sensi dell’articolo 30 del decreto legislativo 2 luglio 2010, n. 104.

e l’articolo 12 della L. 241/90

Art. 12. (Provvedimenti attributivi di vantaggi economici) 1. La concessione di sovvenzioni, contributi, sussidi ed ausili finanziari e l’attribuzione di vantaggi economici di qualunque genere a persone ed enti pubblici e privati sono subordinate alla predeterminazione ((…)) da parte delle amministrazioni procedenti, nelle forme previste dai rispettivi ordinamenti, dei criteri e delle modalita’ cui le amministrazioni stesse devono attenersi. 2. L’effettiva osservanza dei criteri e delle modalita’ di cui al comma 1 deve risultare dai singoli provvedimenti relativi agli interventi di cui al medesimo comma 1.

In allegato il file excel.

a presto.

Linee guida videosorveglianza

L’EDBP ha approvato le LL.G 3/2019 ( con adozione del 29 Gennaio ) per le telecamere di videosorveglianza. analizziamo insieme il documento.

Il campo di applicazione . Sono esclusi i sistemi di videosorveglianza ad uso familiare e domestico.

In realta’ prima di proseguire dobbiamo chiarire che le LL.G 3/2019, versione 2 adottate il 29 Gennaio 2020 sono intitolate al trattamento dei dati personali attraverso dispositivi video. Tuttavia il maggiore interesse riguarda la vidosorveglianza.

Tornando al campo di applicazione e’ chiaro che il trattamento parli di una esclusione chiara per le famiglie ( vedi filmati turistici, recite dei figli , etc etc ) come anche e’ chiaro il richiamoa ll’ambito di applicazione / esclusione del GDPR

Articolo 2 GDPR

Ambito di applicazione materiale

1.   Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

2.   Il presente regolamento non si applica ai trattamenti di dati personali:

a)effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;
b)effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, TUE;
c)effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico;
d)effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.

3.   Per il trattamento dei dati personali da parte di istituzioni, organi, uffici e agenzie dell’Unione, si applica il regolamento (CE) n. 45/2001. Il regolamento (CE) n. 45/2001 e gli altri atti giuridici dell’Unione applicabili a tale trattamento di dati personali devono essere adeguati ai principi e alle norme del presente regolamento conformemente all’articolo 98.

4.   Il presente regolamento non pregiudica pertanto l’applicazione della direttiva 2000/31/CE, in particolare le norme relative alla responsabilità dei prestatori intermediari di servizi di cui agli articoli da 12 a 15 della medesima direttiva.

Come sempre diviene essenziale cercare la base giuridica di liceita’ del trattamento tra quelle previste dall’articolo 6 del GDPR

Liceità del trattamento

1.   Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a)l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b)il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c)il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d)il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
e)il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f)il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

occorre dire due cose, la prima e’ che come sempre la liceita’ ricercata nel consenso e’ sempre SOSPETTA in quanto lascia intuire una certa svogliatezza da parte del titolare nella ricerca di elementi fondanti giuridicamente validi, l’altra e’ che comunque la videosorveglianza deve essere considerata una soluzione ultima alle altre alternative di controllo, riporto l’esempio della LL.G 3/2019.

TRALASCIANDO aspetti giurisprudenziali e di diritto che troverete nella versione integrale dell’allegato vediamo ora la trasparenza del trattamento.

Parleremo quindi di informazioni di primo livello ed informazioni di secondo livello.

Informazioni di primo livello, la cartellonistica.
In realta’ gia’ nel primo livello occorrerebbe dare tutte le informazioni necessarie ( titolare, durata del trattamento, finalita’ etc etc ) in modo da rendere quasi superflua l’informazione successiva, vi riporto un esempio di cartellonistica

I cartelloni devono essere visibili ancor prima di entrare nel raggio di registrazione ed in prossimita’ di ogni telecamera.

Le informazioni di secondo livello sono invece le informative espresse che vanno redatte con i canoni dell’articolo 13 del GDPR.

Vi riporto un esempio della LL.G

Concludiamo con le misure organizzative e tecnologiche, si applicano le stesse misure che si utilizzano per qualsiasi trattamento con strumenti informatici , si consiglia pero’ l’effettuazione di una DPIA ai sensi dell’articolo 35 del GDPR.

Per i tempi di conservazioni e per tutto quanto non descritto nelle LL.G dell’ EDBP occorre rifarsi al Provvedimento del Garante per la Protezione dei dati dell’8 Aprile 2010 ( che a breve variera’) ed alle disposizioni contenute nell’articolo 4 della L. 300/70 .

Una curiosita’ nell’allegato troverete diverse volte il termine “controllore ” traduzione di DATA CONTROLLER che nella norma italiana e’ il TITOLARE.

Tradurre e’ tradire.

Giornata protezione dati e giornata della memoria. Ponetevi qualche domanda.

Molti DPO e molti consulenti PRIVACY ( non sapendo che la norma non parla di privacy) nei piani di durata dell’articolo 30 danno tempo limitato alla durata del trattamento dei dati delle PA.

Stupidi loro, stupidi chi li ascolta.

La PUBBLICA AMMINISTRAZIONE genera il patrimonio archivistico dello STATO. State distruggendo la memoria .

La giornata della MEMORIA non deve essere dimenticata.

Prima di parlare del regolamento leggetevi, anche solo velocemente il D.Lgs 42/2004. chest’è , niente diplomazia per chi distrugge la memoria per la PRIVACY. STUPIDI CRIMINALI.

Qualche spunto.

Dati comuni , sensibili e “parasensibili”

Differenze tra accesso e pubblicazione.

Partiamo dalle precisazioni, io sono uno di quelli che dice “LA PRIVACY NON ESISTE” , esiste solo il corretto trattamento dei dati e la pubblicità ( legale e notiziale) degli accadimenti della PA .

Dati comuni e sensibili ( particolari ex art 9 GDPR per i piu’ cacacaXXi) sono chiaramente disciplinati da una norma positiva, i dati c.d. parasensibili sono concettualmente introdotti dal Garante per la protezione dei dati e non possono, anzi non devono ASSOLUTAMENTE ridurre il diritto di accesso ai documenti amministrativi.

Infatti, tralasciando interpretazioni personalissime, l’esclusione all’accesso di documenti amministrativi è chiaramente disciplinata dalla norma, riporto il 24 della 241.

Art. 24 (( (Esclusione dal diritto di accesso).)) (

(1. Il diritto di accesso e’ escluso:

a) per i documenti coperti da segreto di Stato ai sensi della legge 24 ottobre 1977, n. 801, e successive modificazioni, e nei casi di segreto o di divieto di divulgazione espressamente previsti dalla legge, dal regolamento governativo di cui al comma 6 e dalle pubbliche amministrazioni ai sensi del comma 2 del presente articolo;

b) nei procedimenti tributari, per i quali restano ferme le particolari norme che li regolano;

c) nei confronti dell’attivita’ della pubblica amministrazione diretta all’emanazione di atti normativi, amministrativi generali, di pianificazione e di programmazione, per i quali restano ferme le particolari norme che ne regolano la formazione;

d) nei procedimenti selettivi, nei confronti dei documenti amministrativi contenenti informazioni di carattere psicoattitudinale relativi a terzi.

2. Le singole pubbliche amministrazioni individuano le categorie di documenti da esse formati o comunque rientranti nella loro disponibilita’ sottratti all’accesso ai sensi del comma 1.

3. Non sono ammissibili istanze di accesso preordinate ad un controllo generalizzato dell’operato delle pubbliche amministrazioni.

4. L’accesso ai documenti amministrativi non puo’ essere negato ove sia sufficiente fare ricorso al potere di differimento.

5. I documenti contenenti informazioni connesse agli interessi di cui al comma 1 sono considerati segreti solo nell’ambito e nei limiti di tale connessione. A tale fine le pubbliche amministrazioni fissano, per ogni categoria di documenti, anche l’eventuale periodo di tempo per il quale essi sono sottratti all’accesso.

6. Con regolamento, adottato ai sensi dell’articolo 17, comma 2, della legge 23 agosto 1988, n. 400, il Governo puo’ prevedere casi di sottrazione all’accesso di documenti amministrativi:

a) quando, al di fuori delle ipotesi disciplinate dall’articolo 12 della legge 24 ottobre 1977, n. 801, dalla loro divulgazione possa derivare una lesione, specifica e individuata, alla sicurezza e alla difesa nazionale, all’esercizio della sovranita’ nazionale e alla continuita’ e alla correttezza delle relazioni internazionali, con particolare riferimento alle ipotesi previste dai trattati e dalle relative leggi di attuazione;

b) quando l’accesso possa arrecare pregiudizio ai processi di formazione, di determinazione e di attuazione della politica monetaria e valutaria;

c) quando i documenti riguardino le strutture, i mezzi, le dotazioni, il personale e le azioni strettamente strumentali alla tutela dell’ordine pubblico, alla prevenzione e alla repressione della criminalita’ con particolare riferimento alle tecniche investigative, alla identita’ delle fonti di informazione e alla sicurezza dei beni e delle persone coinvolte, all’attivita’ di polizia giudiziaria e di conduzione delle indagini;

d) quando i documenti riguardino la vita privata o la riservatezza di persone fisiche, persone giuridiche, gruppi, imprese e associazioni, con particolare riferimento agli interessi epistolare, sanitario, professionale, finanziario, industriale e commerciale di cui siano in concreto titolari, ancorche’ i relativi dati siano forniti all’amministrazione dagli stessi soggetti cui si riferiscono;

e) quando i documenti riguardino l’attivita’ in corso di contrattazione collettiva nazionale di lavoro e gli atti interni connessi all’espletamento del relativo mandato.

7. Deve comunque essere garantito ai richiedenti l’accesso ai documenti amministrativi la cui conoscenza sia necessaria per curare o per difendere i propri interessi giuridici. Nel caso di documenti contenenti dati sensibili e giudiziari, l’accesso e’ consentito nei limiti in cui sia strettamente indispensabile e nei termini previsti dall’articolo 60 del decreto legislativo 30 giugno 2003, n. 196, in caso di dati idonei a rivelare lo stato di salute e la vita sessuale)).

Il concetto di dati parasensibili trova quindi applicazione non nel diritto di accesso ex articolo 22 l. 241/90, ma solo nel procedimento di pubblicazione del D.lgs 33/13 ( ed anche TUEL, v. art 124, art 32 69/09 etc ect ).

Questa modalità, ripeto, non deriva da una norma di diritto ma dalla deliberazione 17/2007 e 243/14 del Garante ( che verrà trattato in un altro POST ) e ruota attorno al concetto del DISAGIO dell’interessato.

Ora nascono immediatamente due quesiti ( se ci pensiamo un poco diventano infiniti), chi deve pubblicare le cose ? il PUBBLICATORE ( inventato di sana pianta) che responsabilità ha sui dati pubblicati ?

Le risposte le troviamo nelle LLGG AGID sulla pubblicità legale degli atti del Maggio 2016, a breve in rivisitazione, scritte in maniera fantastica da esperti del settore (….ehmmm, mmmm, sarò di parte ???? ) che vi allego in fondo alla pagina .

Comunque esiste una figura non tanto nota, quella del responsabile del procedimento di pubblicazione ( che in realtà vedo più come processo che come procedimento) , dell’attacchino digitale, disciplinata chiaramente dalla direttiva 8/2009 MPA e dal primo comma dell’articolo 9 del DPR 62/13

Art. 9 Trasparenza e tracciabilita’ ( DPR 62/13)

1. Il dipendente assicura l’adempimento degli obblighi di trasparenza previsti in capo alle pubbliche amministrazioni secondo le disposizioni normative vigenti, prestando la massima collaborazione nell’elaborazione, reperimento e trasmissione dei dati sottoposti all’obbligo di pubblicazione sul sito istituzionale.

2. La tracciabilita’ dei processi decisionali adottati dai dipendenti deve essere, in tutti i casi, garantita attraverso un adeguato supporto documentale, che consenta in ogni momento la replicabilita’.

Da questo combinato ne deriva che non è affatto vero che la pubblicazione in AP deve essere fatta obbligatoriamente dal Messo comunale. Inoltre ricordiamoci di gestire le relate di notifica, che vanno certificate e non solo dai segretari comunali, ma anche dai dirigenti , art 107 comma 3 lett h del TUEL

Sono attribuiti ai dirigenti tutti i compiti di attuazione degli obiettivi e dei programmi definiti con gli atti di indirizzo adottati dai medesimi organi tra i quali in particolare, secondo le modalita’ stabilite dallo statuto o dai regolamenti dell’ente:

…le attestazioni, certificazioni comunicazioni, diffide, verbali, autenticazioni, legalizzazioni ed ogni altro atto costituente manifestazione di giudizio e di conoscenza;

e negli enti di piccole dimensioni dai responsabili di servizio, articolo 109 TUEL.

 

Analizziamo ora un poco di giurisprudenza .

Nel provvedimento 213/2018 il GTD richiama il Comune di Messina per l’ APPROVAZIONE DELLA GRADUATORIA PER ESENZIONE/RIDUZIONE TARI .
Chiaro caso di dati parasensibili, di disagio. In questo caso non solo la giurisprudenza, ma anche la norma è chiara , riporto il quarto comma dell’articolo 26 del D.lgs 33/13.

(ART 26 FOIA) Obblighi di pubblicazione degli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici a persone fisiche ed enti pubblici e privati.

4. E’ esclusa la pubblicazione dei dati identificativi delle persone fisiche destinatarie dei provvedimenti di cui al presente articolo, qualora da tali dati sia possibile ricavare informazioni relative allo stato di salute ovvero alla situazione di disagio economico-sociale degli interessati.

Uno strumento utile per l’applicazione in diverse latitudini del diritto di accesso, di ostensione, degli obblighi di pubblicità legale e e pubblicità notizia , è rappresentato dalla LL.GG .allegate(ll_gg_gdl_pubblicita_legale Maggio 2016 ) , analizziamole.

ISTITUZIONE DELL’ALBO.

L’albo è istituito on line ai sensi dell’articolo 32 della L. 69/09.
Le registrazioni ed i documenti dell’albo rappresentano una serie omogenea, definizione che troviamo in :

art 67 TUDA
Art. 67 (R) Trasferimento dei documenti all’archivio di deposito

1. Almeno una volta ogni anno il responsabile del servizio per la gestione dei flussi documentali e degli archivi provvede a trasferire fascicoli e serie documentarie relativi a procedimenti conclusi in un apposito archivio di deposito costituito presso ciascuna amministrazione. (R)

2. Il trasferimento deve essere attuato rispettando l’organizzazione che i fascicoli e le serie avevano nell’archivio corrente. (R)

3. Il responsabile del servizio per la gestione dei flussi documentali e degli archivi deve formare e conservare un elenco dei fascicoli e delle serie trasferite nell’archivio di deposito.

ed art 13 c 2 DPM 13/11/14 ( ora in rivisitazione, ma non ci saranno stravolgimenti )

Art. 13.
Formazione dei fascicoli informatici

  1. I fascicoli di cui all’art. 41 del Codice e all’art. 64,
    comma 4, e all’art. 65 del decreto del Presidente della
    Repubblica 28 dicembre 2000, n. 445 fanno parte del sistema di gestione informatica dei documenti e contengono l’insieme minimo dei metadati indicati al comma 2 -ter
    del predetto art. 41 del Codice, nel formato specificato
    nell’allegato 5 del presente decreto, e la classificazione
    di cui al citato art. 64 del citato decreto n. 445 del 2000.
  2. Eventuali aggregazioni documentali informatiche
    sono gestite nel sistema di gestione informatica dei documenti e sono descritte nel manuale di gestione. Ad esse si
    applicano le regole che identificano univocamente l’aggregazione documentale informatica ed è associato l’insieme minimo dei metadati di cui al comma 1

ed ancora articolo 41 CAD

Art. 41 Procedimento e fascicolo informatico

1. Le pubbliche amministrazioni gestiscono i procedimenti amministrativi utilizzando le tecnologie dell’informazione e della comunicazione. Per ciascun procedimento amministrativo di loro competenza, esse forniscono gli opportuni servizi di interoperabilita’ ((o integrazione)), ai sensi di quanto previsto ((dagli articoli 12 e 64-bis)).

1-bis. COMMA ABROGATO DAL D.LGS. 26 AGOSTO 2016, N. 179.

2. La pubblica amministrazione titolare del procedimento raccoglie in un fascicolo informatico gli atti, i documenti e i dati del procedimento medesimo da chiunque formati; all’atto della comunicazione dell’avvio del procedimento ai sensi dell’articolo 8 della legge 7 agosto 1990, n. 241, comunica agli interessati le modalita’ per esercitare in via telematica i diritti di cui all’articolo 10 della citata legge 7 agosto 1990, n. 241. (28)

2-bis. Il fascicolo informatico e’ realizzato garantendo la possibilita’ di essere direttamente consultato ed alimentato da tutte le amministrazioni coinvolte nel procedimento ((e dagli interessati, nei limiti ed alle condizioni previste dalla disciplina vigente, attraverso i servizi di cui agli articoli 40-ter e 64-bis)). ((Le Linee guida)) per la costituzione, l’identificazione ((, l’accessibilita’ attraverso i suddetti servizi)) e l’utilizzo del fascicolo ((sono dettate dall’AgID ai sensi dell’articolo 71 e)) sono conformi ai principi di una corretta gestione documentale ed alla disciplina della formazione, gestione, conservazione e trasmissione del documento informatico, ivi comprese le regole concernenti il protocollo informatico ed il sistema pubblico di connettivita’, e comunque rispettano i criteri dell’interoperabilita’ e ((dell’integrazione)).

2-ter. Il fascicolo informatico reca l’indicazione: a) dell’amministrazione titolare del procedimento, che cura la costituzione e la gestione del fascicolo medesimo; b) delle altre amministrazioni partecipanti; c) del responsabile del procedimento; d) dell’oggetto del procedimento; e) dell’elenco dei documenti contenuti, salvo quanto disposto dal comma 2-quater. e-bis) dell’identificativo del fascicolo medesimo ((apposto con modalita’ idonee a consentirne l’indicizzazione e la ricerca attraverso il sistema di cui all’articolo 40-ter nel rispetto delle Linee guida)).

2-quater. Il fascicolo informatico puo’ contenere aree a cui hanno accesso solo l’amministrazione titolare e gli altri soggetti da essa individuati; esso e’ formato in modo da garantire la corretta collocazione, la facile reperibilita’ e la collegabilita’, in relazione al contenuto ed alle finalita’, ((dei singoli documenti. Il fascicolo informatico)) e’ inoltre costituito in modo da garantire l’esercizio in via telematica dei diritti previsti dalla citata legge n. 241 del 1990 ((e dall’articolo 5, comma 2, del decreto legislativo 14 marzo 2013, n. 33, nonche’ l’immediata conoscibilita’ anche attraverso i servizi di cui agli articoli 40-ter e 64-bis, sempre per via telematica, dello stato di avanzamento del procedimento, del nominativo e del recapito elettronico del responsabile del procedimento. AgID detta, ai sensi dell’articolo 71, Linee guida idonee a garantire l’interoperabilita’ tra i sistemi di gestione dei fascicoli dei procedimenti e i servizi di cui agli articoli 40-ter e 64-bis)).

 

 

Vediamo un poco le cose ( gravi) solitamente disattese dalla pubblicazione in Albo.

La pubblicazione in Albo on line non è permanente, occorre rispettare il dettato dell’articolo 124 del TUDA, ovviamente le pubblicazioni in albo non devono essere indicizzate ed ogni forma di ALBO STORICO ( sempre consultabile dagli utenti ) è illecita.

Altro punto che deve essere chiaro è quello disciplinato dal paragrafo 7 della LG, il periodo di pubblicazione , il computo del periodo di pubblicazione.


Il periodo di pubblicazione è di quindici giorni interi e consecutivi, salvo termini diversi previsti da norme speciali. 
Il computo dei giorni inizia dal giorno successivo alla data di pubblicazione. 
Se l’ultimo giorno coincide con un giorno festivo, il termine di pubblicazione è proroga-to al primo giorno lavorativo utile. 
Per i propri documenti e con provvedimento espresso, le amministrazioni pubbliche possono stabilire periodi più brevi fino a cinque giorni o periodi più lunghi fino a sessanta giorni. 
Le amministrazioni pubbliche possono stabilire tempi di permanenza dei documenti sul sito informatico oltre il periodo di pubblicazione, nel rispetto dei principi di necessità, indispensabilità, pertinenza e non eccedenza. 
La pubblicazione si intende soddisfatta se un documento è rimasto disponibile sul sito complessivamente per almeno dodici ore per ciascun giorno di pubblicazione. 
Il periodo di pubblicazione è prorogato di un giorno per ciascun giorno di pubblicazione inferiore complessivamente a dodici ore, in base a un’attestazione del responsabile della pubblicazione o di un suo delegato. 

Altro spunto viene dal paragrafo 13, lo riporto :


13. Annullamento di una pubblicazione 
Con adeguata motivazione, il responsabile del procedimento amministrativo può richiedere l’annullamento di una pubblicazione. 
In caso di errori od omissioni nel documento pubblicato, la registrazione del documento è annullata e il computo dei giorni è interrotto; se necessario, viene contestualmente pubblicato il documento corretto, con il computo dei giorni di pubblicazione che decorre nuovamente. 
La registrazione è annullata nel repertorio dell’albo on-line apponendo la dicitura «Annullato» in maniera tale da consentire la lettura delle informazioni registrate in precedenza. 
In caso di annullamento sono indicati la data di annullamento, il nome dell’operatore e gli estremi della richiesta di annullamento, aggiornando senza ritardo la pubblicazione on-line. 
Nello stesso tempo, nei dati di registrazione è associata la dicitura «Annullato» in maniera visibile, immodificabile e permanente, anche in caso di acquisizione del documento da parte di terzi. 
Il documento annullato rimane pubblicato fino alla scadenza dei termini precedentemente assegnati, tranne nel caso in cui l’annullamento sia motivato da una possibile violazione di legge o per disposizione dell’autorità competente. 
Le informazioni relative all’annullamento sono conservate permanentemente sia nel repertorio dell’albo sia nel rispettivo fascicolo informatico, secondo le regole tecniche previste dall’art. 71 del Codice dell’amministrazione digitale. 

Come vedete le modifiche sostanziali vanno sempre fatte dal RP e mai dal RPP ( responsabile procedimento di pubblicazione).

In caso di errori meramente materiali è possibile l’annotazione “errata corrige” , cfr par 12.


12. Integrazioni alla pubblicazione 
Annotazioni immodificabili inserite da operatori abilitati possono integrare o prorogare i termini di pubblicazione. 
Ogni integrazione dei campi della registrazione nel sistema di gestione informatica dei documenti aggiorna senza ritardo la pubblicazione on-line. 
È ammessa la formula di «errata corrige» esclusivamente per mero errore materiale o refuso. 

Non possiamo tenere anche conto del ritiro dalla pubblicazione e della prova , la c.d. referta, paragrafo 14.




14. Ritiro e referta di pubblicazione 
Le amministrazioni pubbliche stabiliscono modalità tecniche e organizzative che garan-tiscono, attraverso i propri sistemi informatici, il ritiro automatico dei documenti dall’albo on-line una volta terminato il rispettivo periodo di pubblicazione. 
Al termine del periodo di pubblicazione, il sistema informatico trasmette una referta di pubblicazione al responsabile del procedimento o all’area organizzativa omogenea ri-chiedente, secondo le modalità descritte nel manuale di gestione; nel caso di richiedente esterno, il responsabile della pubblicazione trasmette la referta al richiedente a corredo del documento pubblicato. 
La referta contiene la dichiarazione di regolare avvenuta pubblicazione, l’indicazione del periodo di pubblicazione e il numero di registrazione a repertorio. 
La referta è firmata digitalmente dal responsabile della pubblicazione. 
Nel fascicolo informatico sono conservati il documento pubblicato, la segnatura, la referta di pubblicazione e i metadati necessari per la conservazione affidabile a lungo termine, in armonia con quanto previsto dal DPCM 3 dicembre 2013 in materia di conservazione digitale. 

Terminata questa breve carrellata penso sia il caso di arricchire , o meglio rinfrescare, il nostro glossario :

Archivio corrente
Complesso di documenti conservati presso gli uffici usati prevalentemente per finalità pratico-amministrative, per il disbrigo degli affari in corso.

Archivio di deposito
Complesso di documenti relativi ad affari esauriti, non più occorrenti alla trattazione degli affari in corso ma non ancora destinata istituzionalmente alla conservazione permanente e alla consultazione da parte del pubblico.

Archivio storico
Complesso di documenti relativi ad affari esauriti, destinati alla conservazione permanente e alla consultazione da parte del pubblico per finalità di studio o non di studio (privati, amministrativi o legali).

NOTA BENE : le tre definizioni vanno intesi nell’università del concetto archivistico, sono momenti di un solo elemento, non tre elementi distinti.

Protocollo
In diplomatica si chiama protocollo la parte iniziale del documento. Nella redazione di un documento infatti si segue uno schema definito che distingue tre parti essenziali: protocollo, testo, escatocollo.
Si chiama protocollo il registro su cui vengono annotati quotidianamente i documenti spediti e ricevuti da un ente. Nelle apposite caselle del registro di protocollo vengono registrati tutti gli elementi che compaiono nella parte iniziale del documento. L’annotazione sul registro di protocollo costituisce un elemento probante dell’autenticità del documento ed è un’operazione con cui un documento entra a far parte integrante di un archivio: la classificazione e il riferimento ai precedenti e ai susseguenti, riportati sul registro di protocollo, collegano quel documento con gli altri dello stesso archivio appartenenti alla medesima pratica, istituendo quel vincolo archivistico o di necessità che qualifica e distingue la documentazione dell’archivio di un ente da quella di altri enti.

Repertorio
Registro su cui vengono annotati con un numero progressivo i fascicoli secondo l’ordine cronologico in cui si costituiscono all’interno delle suddivisioni del titolario: il repertorio deve essere organizzato in maniera da riprodurre le suddivisioni del titolario.

Serie archivistica
Ciascun raggruppamento di documenti con caratteristiche omogenee, all’interno di un fondo archivistico. Può essere articolata in sottoserie.

 

 

alla prossima C@ronte Vincenzo De Prisco.

 

Manuale da adottare per il GDPR

Il manuale allegato è di facile consultazione, deve essere adottato e messo tra i regolamenti ex articolo 12 del D.lgs 33/13.
Contiene le prime quattro procedure e soprattutto la prima procedura che vede coinvolto anche il RTD ( Responsabile Transizione al digitale ) .

NOTA IMPORTANTE : LE PROCEDURE SARANNO di volta in volta aggiornate in un documento separato.

Gli allegati sono scaricabili dal sito www-ca-campania.com area PROCEDURE ed ALLEGATI.

Il manuale permette una migliore gestione per i controlli che dovrà fare il DPO.

Il manuale è scritto per i Comuni ma può essere adattato a tutte le PA ( per le quali valgono tutte le procedure)

Per la formazione specifica ed obbligatoria contattatemi.

PAGINA DEDICATA AL GDPR

Riporto la raccolta dei POST sul GDPR di maggiore interesse. Questa raccolta è fondamentale per il passaggio ala seconda fase, stesura di autoregolamentazione interna ( in parte data dall’articolo 40 ) ed i controlli interni, dopo un ulteriore passaggio di coordinamento tra FOIA e RISERVATEZZA e con le politiche date dal RTD.

e ricrodiamo che …occorrono politiche di tipo :

  • TECNICHE
  • ORGANIZZATIVE
  • GESTIONALI

indi è necessario non commettere l’errore di delegare le politiche di sicurezza dei dati alla funzione informatica e basta.

La valutazione tecnico – gestionale deve avere le connotazioni proprie dei modelli organizzativi, dell’as is anlisys , della ricerca del gap, del management , dell’assessment, delle politica correttive, dei risultati attesi e dei correttivi sulla dispersione da questi.