Contenuto principale

Messaggio di avviso

News dal CST

Il Garante per la protezione dei dati personali, con provvedimento 513/2018 "Regole deontologiche per il trattamento a fini di archiviazione nel pubblico interesse o per scopi di ricerca storica" pubblicato sulla Gazzetta ufficiale lo scorso 15 gennaio, ha individuato regole e principi-guida di comportamento  per il trattamento di dati personali in relazione ai documenti conservati negli archivi.

Le regole deontologiche sono rivolte agli archivisti, ai soggetti che operano presso gli enti pubblici svolgendo funzioni archivistiche, agli utenti che per scopi di studio, informazione, di ricerca storica o nell'esercizio del diritto di accesso ai documenti amministrativi effettuano trattamenti di dati personali contenuti nei documenti conservati presso gli archivi.

Le regole deontologiche si applicano anche nelle attività di acquisizione, gestione, conservazione, restauro degli archivi storici, correnti, di deposito degli enti pubblici.

Il provvedimento delinea i profili di liceità del trattamento di tali dati, che deve essere effettuato nel rispetto dei diritti, delle libertà fondamentali e della dignità delle persone interessate, in particolare del diritto alla riservatezza e all'identità personale.

Consulta il documento completo.

In attuazione degli obiettivi di crescita digitale, il Piano triennale per l'informatica nella pubblica amministrazione 2017-2019 ribadisce l'importanza dell'entrata a regime dell'Anpr per consentire la disponibilità dei dati anagrafici e l'interoperabilità delle banche dati. L'Anpr costituisce un asset chiave per lo sviluppo dei servizi digitali innovativi nell'ambito delle attività rivolte alla trasformazione digitale dei servizi pubblici.

Nell'ambito delle iniziative di supporto ai Comuni per il subentro all'Anpr il Dipartimento della Funzione pubblica ha definito, attraverso il Pon Governance e capacità istituzionale, un intervento per l'erogazione di contributi ai Comuni per la migrazione ad Anpr.

Il termine per la presentazione delle richieste di contributo, inizialmente previsto per i subentri effettuati dai Comuni entro il 31 dicembre 2018, è stato prorogato con Decreto della Presidenza del Consiglio dei Ministri del 4 dicembre 18 ( pdf allegato (2.55 MB) ), al 31 dicembre 2019.

Rimangono confermate tutte le modalità e le condizioni di partecipazione indicate nell'avviso del 5 dicembre 2017 e le modalità operative.

La richiesta di contributo deve essere presentata a seguito del completamento delle attività di migrazione e le modalità per la presentazione della richiesta, esclusivamente on line, sono disponibili sul sito Anpr - Contributo al subentro (http://www.funzionepubblica.gov.it/articolo/dipartimento/01-02-2018/istruzioni-operative).

Come previsto nell'ambito del Pon Governance e capacità istituzionale, una volta ricevuto il contributo il Comune beneficiario deve informare il pubblico tramite il proprio sito web sul sostegno ottenuto dai fondi dando evidenza del contributo finanziario ricevuto dall'Unione europea, come indicato nell'avviso (http://www.funzionepubblica.gov.it/articolo/dipartimento/05-12-2017/avviso).

Aggiornamenti importanti dall’ANAC, Autorità Nazionale Anticorruzione, in merito alla procedura relativa agli adempimenti della Legge 190 del 2012.

In particolare le novità riguardano il file in formato XSD relativo alle strutture dati XML da utilizzare per la pubblicazione dei dati in formato digitale standard aperto.

Adempimenti Legge 190 2012: nuova versione del file XSD

Da quest’anno, infatti, l’ANAC ha aggiornato il file XSD, includendo un nuovo aggiornamento retrocompatibile che consentirà di includere, nell’iter procedurale, tre ulteriori procedure di scelta del contraente.

Le tre nuove voci saranno le seguenti:

  • PROCEDURA RISTRETTA SEMPLIFICATA;
  • PROCEDURA DERIVANTE DA LEGGE REGIONALE;
  • AFFIDAMENTO DIRETTO PER VARIANTE SUPERIORE AL 20% DELL’IMPORTO CONTRATTUALE.

La società Datanet Srl di Tremestieri Etneo (CT), azienda che da sempre si occupa di supportare gli Enti nelle procedure legate agli adempimenti anticorruzione, ha rilasciato tempestivamente l’aggiornamento all’interno del proprio gestionale dedicato, onlinePA.

Questo software è stato studiato ad hoc per rendere più efficiente e visibilmente più limpida la trasparenza delle Pubbliche Amministrazioni.

Per questo, già da subito, gli Enti fruitori del Sistema possono beneficiare della nuova funzionalità. Datanet Srl continua così a dimostrarsi attenta agli aggiornamenti normativi e alle esigenze delle Amministrazioni in materia di trasparenza e anticorruzione.

Modalità Operative Adempimenti Legge 190 2012 per l’anno 2019

Si ricorda, come comunicato dall’ANAC con il messaggio del 9 Gennaio 2019, che anche per l’anno 2019 restano invariate le modalità operative per l’assolvimento degli obblighi di pubblicazione e trasmissione dei dati in formato aperto riguardanti il 2018.

La procedura è a livello normativo regolata ai dall’art. 1, comma 32 Legge 190/2012 come indicato nella Deliberazione ANAC n. 39 del 2 gennaio 2016.

Appare importante fare presente che a partire da febbraio 2019 saranno effettuati i tentativi di accesso automatizzato alle URL comunicate dalle Amministrazioni per l’acquisizione dei file XML pubblicati.

A riguardo, si consiglia di verificare che tutti i file pubblicati siano accessibili e rispettino le specifiche tecniche definite dall’Autorità.

Anche per l’anno 2019 la Datanet Srl, in quanto Società specializzata in servizi ICT per le PA e, in particolar modo per la pubblicazione dei dati previsti dal D.lgs 33/2013, modificato dal D.lgs 97/2016, nonché dalla legge 190/2012, è pronta alla scadenza.

Un supporto sicuramente utile per ottenere tutte le informazioni utili per comprendere i motivi dell’eventuale scarto automatico della validazione del file.

Contattando la società, all’indirizzo Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo., può essere richiesto un check up gratuito sulla posizione del proprio ente.

Come sempre, il dettaglio dell’esito dell’ultimo tentativo di accesso automatizzato alle URL è consultabile attraverso il link presente nel campo ‘Identificativo messaggio PEC’ oppure ‘Esito accesso’ della tabella disponibile al seguente link: https://dati.anticorruzione.it/#/l190.

Restano pertanto valide sia le specifiche tecniche per la comunicazione via PEC dell’avvenuta pubblicazione dei dati entro il 31 gennaio 2019.

A novembre 2018 la Provincia di Lecco ha effettuato per gli enti del Cst un’indagine conoscitiva di mercato, ai sensi dell'articolo 36 del Decreto legislativo 50/2016 e delle Linee guida Anac 8, nel rispetto dei principi di non discriminazione, parità di trattamento e trasparenza, per accertare l'esistenza di operatori economici nelle condizioni di espletare il servizio di assistenza, manutenzione e formazione dei software gestionali in uso presso gli enti aderenti al Cst.

L’indagine ha riguardato i moduli applicativi del sistema informatico della Provincia e i moduli applicativi degli enti aderenti al Centro servizi territoriale di cui la Provincia di Lecco è ente capofila.

A seguito di questa indagine la Provincia ha avviato le procedure di affidamento dei servizi di assistenza, manutenzione e formazione dei software gestionali indicati dagli enti aderenti mediante l’ausilio del sistema telematico di Regione Lombardia Sintel, che si concluderanno a gennaio 2019.

La Convenzione che regola i rapporti tra gli enti del Cst prevede infatti, tra le innumerevoli funzioni in capo al Cst, l’acquisto unificato per gli aderenti al Cst - articolo 2 Funzioni poste in gestione associata - per garantire economie di scala e risparmio di costi per la manutenzione degli applicativi su richiesta dei singoli enti, che individuano in autonomia i propri software.

Entro maggio la Carta d’identità elettronica, come già lo Spid, potrà essere utilizzata per accedere ai servizi digitali offerti in tutti gli Stati membri

Dopo avere ultimato il percorso per la notifica europea di Spid, il sistema pubblico di identità digitale, con il quale la piattaforma è stata giudicata conforme ai parametri del Regolamento comunitario eIDAS e di conseguenza i cittadini italiani potranno utilizzarla in futuro anche per accedere ai servizi digitali offerti negli altri Stati dell’UE, AgID, l’Agenzia per l’Italia Digitale, sta per avviare un analogo percorso per garantire il mutuo riconoscimento della Carta di identità elettronica (Cie), affinché anche questo strumento possa essere utilizzato in futuro per l’accesso ai servizi digitali offerti da tutte le amministrazioni degli Stati membri.

Il 30 gennaio - si legge in una nota dell’Agenzia - nel corso della riunione con gli altri Stati membri, AgID introdurrà il progetto Cie, dando ufficialmente avvio al “peer reviewing” che precede l’ufficializzazione della notifica italiana.

Alla riunione parteciperanno rappresentanti del Ministero dell’Interno, titolare del progetto Cie, del Team per l’Italia Digitale e dell’Istituto Poligrafico e Zecca dello Stato.

Il confronto tecnico con gli altri Stati membri si concluderà a maggio 2019. Al termine del percorso, la Commissione pubblicherà lo schema nella Gazzetta ufficiale europea, consentendo - entro i successivi 12 mesi - l’adeguamento dei sistemi di tutti gli Stati dell’Unione che permetteranno l’accesso, oltre che con l’identità digitale SPID, anche tramite CIE ai propri servizi digitali.

Anche Belgio, Croazia, Repubblica Ceca, Estonia, Germania, Lussemburgo, Portogallo, Spagna, Olanda e Regno Unito hanno provveduto a notificare i propri sistemi di autenticazione ai servizi online.

Prosegue speditamente il percorso attuativo del regolamento eIDAS per la realizzazione della cittadinanza digitale europea.

Nel mese di dicembre 2018 è stato attivato il nuovo sistema antivirus con una gestione centralizzata in cloud.

La fornitura vede coinvolte circa 1500 postazioni dislocate su tutto il territorio provinciale.

L’applicazione cloud di controllo del nuovo sistema è stata configurata in modalità multi dominio, in modo da consentire una completa autonomia di gestione agli gli enti con competenze informatiche interne; al contrario, i Comuni più piccoli avranno una gestione a cura dei tecnici Cst.

I tecnici del Cst, in affiancamento ai Ced dei Comuni, concluderanno le operazioni di migrazione al nuovo sistema nelle prime settimane di gennaio 2019.

Con il nuovo antivirus cloud viene notevolmente ampliato il livello di sicurezza del sistema di protezione grazie all’aggiunta del modulo Intercept X per la difesa degli attacchi malware.

Il TAR Lombardia: nessun motivo, almeno in astratto, per negare la consultazione delle offerte tecniche ed economiche

Con la sentenza 45, depositata lo scorso 11 gennaio, il Tribunale amministrativo regionale della Lombardia ha stabilito che, almeno in astratto, non esistono motivi per negare l’accesso civico alla documentazione amministrativa presentata nell’ambito di una gara pubblica.

Il pronunciamento, oggetto di analisi su Giurdanella.it, è stato formulato in risposta al ricorso di una società che, pur non avendo partecipato ad una gara, aveva chiesto di poter visionare le offerte tecniche ed economiche presentate e si era vista negata la richiesta dall’amministrazione che aveva indetto la selezione.

Il Tar Lombardia - si legge su Giurdanella.it - premette che il cosiddetto accesso civico può applicarsi anche ai procedimenti di appalto delle pubbliche amministrazioni di cui al vigente Decreto legislativo 50/2016.

In particolare non è sufficiente a negare tale applicazione dell’accesso civico generalizzato l’articolo 5 bis del Decreto legislativo 33/2013, secondo cui l’accesso civico è escluso «nei casi di segreto di Stato e negli altri casi di divieti di accesso o divulgazione previsti dalla legge, ivi compresi i casi in cui l’accesso è subordinato dalla disciplina vigente al rispetto di specifiche condizioni, modalità o limiti, inclusi quelli di cui all’articolo 24, comma 1, della legge 241 del 1990.

Invero, secondo il giudici, quella del Decreto legislativo 33/2013 costituisce la regola generale e le eccezioni alla medesima devono essere interpretate restrittivamente, per evitare la sostanziale vanificazione dell’intendimento del legislatore di garantire l’accesso civico.

Quindi anche se la disciplina dell’accesso agli atti in materia di appalti come si rinviene nell’articolo 53 del codice dei contratti pubblici configura una disciplina peculiare, ciò non può escludere definitivamente l’accesso civico.

L’esclusione dell’accesso civico agli atti di gara deve essere motivato
Dalle premesse finora citate discende che l’accesso civico potrà essere in materia di appalti temporalmente vietato, negli stessi limiti in cui ciò avviene per i partecipanti alla gara, e dunque fino a che questa non sarà terminata, ma non escluso definitivamente, se non per quanto stabilito da altre disposizioni, e così, prima di tutte, dalla chiara previsione dell’articolo 5 comma 2 del Decreto legislativo 33/2013.

Sono in scadenza dal 31 dicembre 2018 i servizi di connettività Adsl e wireless per gli enti aderenti al Cst.

Per il superamento del problema del digital divide per gli enti attualmente serviti da linea wireless è stata effettuata una verifica di copertura Adsl che ha dato esito positivo a esclusione delle due sedi di Sueglio e Introzzo.

Per queste due ultime sedi la localizzazione geografica in zona montana e la distanza dalla centralina Adsl di afferenza non permettono una copertura Adsl con banda soddisfacente.

Si è dato quindi avvio alle procedure di fornitura del servizio di connettività sia Adsl che wireless.

Nella Gazzetta ufficiale 12 del 15 gennaio è stata pubblicata una delibera pubblicata lo scorso 19 dicembre dal Garante per la protezione dei dati personali recante le Regole deontologiche per il trattamento a fini di archiviazione nel pubblico interesse o per scopi di ricerca storica (ai sensi dell’articolo 20, comma 4, del decreto legislativo 101 del 10 agosto 2018).

Di seguito l’articolo 1 della delibera, riguardante finalità e ambito di applicazione delle Regole:

  1. Le regole sono volte a garantire che l´utilizzazione di dati di carattere personale acquisiti nell´esercizio della libera ricerca storica e del diritto allo studio e all´informazione, nonché nell´accesso ad atti e documenti, si svolga nel rispetto dei diritti, delle libertà fondamentali e della dignità delle persone interessate, in particolare del diritto alla riservatezza e del diritto all´identità personale
  2. Le regole riguardano i trattamenti di dati personali effettuati per scopi storici in relazione ai documenti conservati presso archivi delle pubbliche amministrazioni, enti pubblici e archivi privati dichiarati di notevole interesse storico. Le regole deontologiche si applicano, senza necessità di sottoscrizione, all´insieme dei trattamenti di dati personali comunque effettuati dagli utenti per scopi storici
  3. Le regole recano principi-guida di comportamento dei soggetti che trattano per scopi storici dati personali conservati presso archivi pubblici e archivi privati dichiarati di notevole interesse storico, in particolare:
    1. nei riguardi degli archivisti, individua regole di correttezza e di non discriminazione nei confronti degli utenti, indipendentemente dalla loro nazionalità, categoria di appartenenza, livello di istruzione
    2. nei confronti degli utenti, individua cautele per la raccolta, l´utilizzazione e la diffusione dei dati contenuti nei documenti
  1. La competente sovrintendenza archivistica riceve comunicazione da parte di proprietari, possessori e detentori di archivi privati non dichiarati di notevole interesse storico o di singoli documenti di interesse storico, i quali manifestano l´intenzione di applicare le presenti regole nella misura per essi compatibile

Le Regole deontologiche sul sito del Garante

La Legge 205/2017 (Legge di Bilancio 2018) ha introdotto l’obbligo, dal 1° gennaio 2019, di emissione e trasmissione di tutte le fatture, a seguito di cessioni di beni e prestazioni di servizi effettuate tra soggetti residenti o stabiliti in Italia, solo in modalità elettronica.

L'Agenzia delle Entrate mette a disposizione il portale Fatturazione e corrispettivi all’interno del quale sono presenti:

  • La guida alla fatturazione elettronica (scarica la guida in pdf)
  • I servizi gratuiti per predisporre, inviare e conservare le fatture elettroniche (software scaricabile su pc e l’app Fatturae, scaricabile dagli store Android o Apple, per emettere, inviare e conservare i documenti fiscali)
  • La normativa, la prassi e le regole
  • Il link vero e proprio per accedere al portale Fatture e Corrispettivi e compilare le proprie fatturazioni in formato elettronico

Vi sono delle prescrizioni, contenute nelle autorizzazioni generali al trattamento dei dati del 2016, che il Garante della privacy ha individuato essere ancora compatibili con il nuovo Regolamento europeo in materia-Gdpr e con la riforma del Codice della privacy.

Si tratta di obblighi che devono essere rispettati da numerosi soggetti, pubblici e privati, in vari settori, come quelli della sanità, del lavoro, della ricerca scientifica e dell'associazionismo.

Le cinque autorizzazioni con specifiche prescrizioni compatibili con il nuovo assetto normativo sono:

  • trattamento dei dati sensibili nei rapporti di lavoro (1/2016)
  • trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni (3/2016)
  • trattamento dei dati sensibili da parte degli investigatori privati (6/2016)
  • trattamento dei dati genetici (8/2016)
  • trattamento dei dati personali effettuato per scopi di ricerca scientifica (9/2016)

In base all'analisi, quattro autorizzazioni hanno cessato completamente i loro effetti, in particolare quella sul trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale; quella sul trattamento dei dati sensibili da parte dei liberi professionisti; quella sul trattamento dei dati sensibili da parte di diverse categorie di titolari; quella sul trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici.

www.garanteprivacy.it

Su Agenda Digitale è stato pubblicato l’approfondimento “DPO di un ente pubblico: qualifica e requisiti”, a firma di Michele Iaselli. “Un unico DPO supportato da un ufficio o da diversi referenti - si legge nell’abstract - sembra la soluzione migliore per le esigenze degli enti pubblici. Cosa prevede la normativa, le questioni legate all’incompatibilità e al conflitto d’interesse, il tema delle certificazioni”.

“Alla luce delle prime esperienze applicative del GDPR - scrive Iaselli in apertura - si rafforza la convinzione che, specialmente nelle realtà organizzative più complesse, sia necessario strutturare un ufficio o comunque un gruppo di lavoro che svolga la funzione di DPO contraddistinto da diverse professionalità.

Cercherò nel seguito di motivare questa mia opinione, partendo dal presupposto che la questione non è affatto semplice, in quanto bisogna tener conto anche della ridotta disponibilità dei dipendenti a svolgere tale attività sicuramente complessa e poco remunerativa e che il Regolamento europeo non fornisce specifiche indicazioni in merito alla qualifica richiesta al dipendente pubblico per svolgere la funzione di DPO.

Il complesso dei compiti assegnati al DPO

È opportuno, in primo luogo, valutare se il complesso dei compiti assegnati al DPO – aventi rilevanza interna (consulenza, pareri, sorveglianza sul rispetto delle disposizioni) ed esterna (cooperazione con l’autorità di controllo e contatto con gli interessati in relazione all’esercizio dei propri diritti) – siano (o meno) compatibili con le mansioni ordinariamente affidate ai dipendenti con qualifica non dirigenziale.

In merito, l’art. 38, par. 3, del GDPR fissa alcune garanzie essenziali per consentire ai DPO di operare con un grado sufficiente di autonomia all’interno dell’organizzazione. In particolare, occorre assicurare che il DPO “non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti”. Il considerando 97 aggiunge che i DPO “dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”. Ciò significa, come chiarito nelle Linee guida, che “il DPO, nell’esecuzione dei compiti attribuitigli ai sensi dell’articolo 39, non deve ricevere istruzioni sull’approccio da seguire nel caso specifico – quali siano i risultati attesi, come condurre gli accertamenti su un reclamo, se consultare o meno l’autorità di controllo. Né deve ricevere istruzioni sull’interpretazione da dare a una specifica questione attinente alla normativa in materia di protezione dei dati”.

Inoltre, sempre ai sensi dell’art. 38, par. 3, del GDPR, il DPO “riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”. Tale rapporto diretto garantisce, in particolare, che il vertice amministrativo venga a conoscenza delle indicazioni e delle raccomandazioni fornite dal DPO nell’esercizio delle funzioni di informazione e consulenza a favore del titolare o del responsabile.

 

La scelta di un DPO interno
Alla luce delle considerazioni di cui sopra, nel caso in cui si opti per un DPO interno, secondo il Garante sarebbe quindi in linea di massima preferibile che, ove la struttura organizzativa lo consenta e tenendo conto della complessità dei trattamenti, la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità, che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione.

Lo stesso dipendente dovrà naturalmente avere una specifica conoscenza della normativa in materia di protezione dei dati personali, dei sistemi informativi e di aspetti organizzativi-manageriali.

Inoltre alcune organizzazioni complesse hanno richiesto all’Autorità di valutare la possibilità di designare più DPO.

Un solo DPO con più figure di supporto
Al riguardo, si rileva che l’unicità della figura del DPO è una condizione necessaria per evitare il rischio di sovrapposizioni o incertezze sulle responsabilità, sia con riferimento all’ambito interno all’ente, sia con riferimento a quello esterno, e pertanto occorre che questa sia sempre assicurata.

Nulla osta, invece, all’individuazione di più figure di supporto, con riferimento a settori o ambiti territoriali diversi, anche dislocate presso diverse articolazioni organizzative dell’amministrazione, che facciano però riferimento a un unico soggetto responsabile, sia che la scelta ricada su un DPO interno, sia che questa ricada su un DPO esterno.

Infatti, in relazione alla particolare eterogeneità dei trattamenti di dati personali effettuati (in rapporto, ad esempio, all’effettuazione di trattamenti soggetti a basi giuridiche diverse in ambito di prevenzione, indagine, accertamento e perseguimento di reati) ovvero della complessità della struttura organizzativa dell’ente (talvolta molto ramificata a livello territoriale) può risultare opportuno individuare specifici “referenti” del DPO che potrebbero svolgere un ruolo di supporto e raccordo, sulla base di precise istruzioni del DPO, anche, se del caso, operando quali componenti del suo gruppo di lavoro.

Attualmente, difatti, risulta che molti Ministeri come anche le agenzie fiscali abbiano optato per l’adozione di un unico DPO a livello centrale sebbene supportato da uno specifico gruppo di lavoro. Tale soluzione, per la verità, è molto rischiosa in quanto a prescindere dalle disposizioni del GDPR, indubbiamente sorgerebbero, come evidenziato in precedenza, molti problemi di carattere organizzativo legati ad articolazioni territoriali molto estese ed all’individuazione di diversi titolari del trattamento…

L'Autorità nazionale anticorruzione (Anac) ha reso pubbliche le modalità operative per gli Adempimenti legge 190/2012 articolo 1, comma 32.

Le modalità operative restano invariate anche per il 2019: entro il 31 gennaio 2019 ogni ente dovrà assolvere agli obblighi di pubblicazione e trasmissione dei dati in formato aperto riguardanti il 2018, ai sensi dell'articolo 1, comma 32 della legge 190/2012, così come indicato nella Deliberazione Anac 39 del 2 gennaio 2016.

Restano quindi valide:

  • le specifiche tecniche per la comunicazione via Pec dell'avvenuta pubblicazione dei dati entro il 31 gennaio 2019
  • le specifiche di pubblicazione dei dati in formato XSD


Per maggiori dettagli, puoi consultare la pagina dedicata sul sito di Anac.

Tutte le informazioni per procedere alla corretta predisposizione e comunicazione dei dati sono disponibili sul Portale eGovernment Halley, nella sezione Dichiarazione adempimento legge 190/2012.

Per garantire un'assistenza tempestiva ed efficace, eventuali segnalazioni in merito alla pubblicazione dei dati nella sezione "Bandi di gara e contratti" dovranno essere inoltrate al Centro Assistenza Halley mediante la funzione Contatta Assistenza presente all'interno dei Programmi Halley in ogni procedura.
 

Scarica le istituzioni

Su Agenda Digitale è stato pubblicato l’approfondimento “Domicilio digitale: perché il recapito certificato qualificato non soppianterà la posta elettronica certificata”, a firma di Massimiliano Nicotra. “Posta elettronica certificata e servizio di recapito certificato qualificato - si legge nell’abstract - sembrerebbero equivalenti ai fini degli effetti dell’elezione del domicilio digitale, in realtà hanno effetti giuridici e funzionalità diverse. Vediamo le caratteristiche e le differenze tra i due servizi”. Di seguito l’introduzione dell’articolo:

Il Codice dell’Amministrazione digitale ha rafforzato il concetto di domicilio digitale quale luogo virtuale del cittadino, di imprese ed enti, presso cui inviare comunicazioni elettroniche ad ogni effetto di legge. Vediamo meglio cos’è il domicilio digitale, le caratteristiche della Posta elettronica certificata e del servizio di recapito certificato qualificato e perché difficilmente quest’ultimo rimpiazzerà la Pec”.

Cos’è il domicilio digitale
Ai sensi dell’art. 1, 1° comma, comma n-ter) del d.l.vo n. 82/2005 (C.A.D.) n-ter) per domicilio digitale si intende “un indirizzo elettronico eletto presso un servizio di posta elettronica certificata o un servizio elettronico di recapito certificato qualificato, come definito dal regolamento (UE) 23 luglio 2014 n. 910 del Parlamento europeo e del Consiglio (…)”.

Il domicilio digitale, pertanto, può essere costituito o da una casella di posta elettronica certificata (che secondo la lettera v-bis del medesimo articolo è il “sistema di comunicazione in grado di attestare l’invio e l’avvenuta consegna di un messaggio di posta elettronica e di fornire ricevute opponibili ai terzi”) oppure da un servizio di recapito certificato qualificato (disciplinato dall’art. 44 del Regolamento (UE) 910/2014 (eIDAS).

I due strumenti, che la norma appena richiamata sembrerebbe far equivalere ai fini degli effetti dell’elezione del domicilio digitale, in realtà hanno effetti giuridici e funzionalità diverse.

Caratteristiche della Pec
La posta elettronica certificata, che oramai in Italia è ampiamente diffusa, trova la sua originaria regolamentazione nel D.P.R. n. 68/2005. Il suo principale effetto è quello di rendere opponibili ai terzi la data e l’ora di trasmissione e ricezione di un messaggio. L’utilizzo della posta elettronica certificata è trasparente per l’utente, nel senso che essa funziona come una normale casella di posta elettronica, a cui però sono associate ulteriori comunicazioni, prodotte dal gestore del servizio e firmate elettronicamente dal medesimo, che servono proprio ad attestare il momento in cui un messaggio è stato spedito e quello in cui lo stesso è recapitato nella casella del destinatario.

Il sistema della posta elettronica certificata, è opportuno sottolinearlo, è strutturato per rispondere all’impianto normativo italiano: la PEC non è strumento di identificazione del mittente del messaggio, in quanto per attribuire la paternità del documento informatico è necessario l’utilizzo di una firma elettronica, né del destinatario dello stesso. Inoltre, il sistema è strutturato secondo la presunzione di conoscenza di cui all’art. 1335 del codice civile, secondo cui le dichiarazioni ricettizie si reputano conosciute dal destinatario nel momento in cui giungono all’indirizzo di questi. Non è quindi necessario che il mittente fornisca prova dell’avvenuta conoscenza del contenuto del messaggio da parte del destinatario, essendo sufficiente dimostrare di aver correttamente recapitato il messaggio all’indirizzo previamente dichiarato dal destinatario (o risultante da un “elenco ufficiale”).

La semplicità d’uso e la possibilità di dichiarare un unico indirizzo di posta elettronica certificata valido per tutte le comunicazioni che un determinato soggetto voglia ricevere elettronicamente hanno favorito la diffusione di questo strumento in Italia, unitamente alla circostanza che alcune norme ne hanno imposto l’adozione nelle comunicazioni tra determinati soggetti (si pensi al processo telematico o alle comunicazioni con le pubbliche amministrazioni, o, infine all’obbligatorietà per le pubbliche amministrazioni di dotarsi di almeno un indirizzo PEC)...”

La prima multa per mancato rispetto del Gdpr è stata data alla fine di dicembre.

All'Ospedale Barreiro Montijo, nei pressi di Lisbona, è arrivata una sanzione di 400mila euro dalla Comissão Nacional de Protecção de Dados-CNPD (l'Autorità garante per la privacy portoghese) per non aver protetto i dati sensibili dei propri pazienti.

La multa è stata comminata all'Ospedale perché non era stato rispettato il controllo sui dati sensibili dei pazienti, i cui dati venivano utilizzati anche da persone non autorizzato, in violazione del Gdpr.


www.cnpd.pt

La normativa in materia di conservazione vigente per gli enti pubblici, e in particolar modo la distinzione tra gestione corrente, deposito e conservazione dei documenti informatici, rischia di essere troppo complicata e onerosa per i soggetti privati, e non tiene conto delle loro esigenze e specificità. A sostenerlo è Luigi Foglia, autore di un approfondimento in materia per Agenda Digitale. L’articolo si apre con la descrizione delle tre fasi del ciclo di vita del documento informatico normate dal Codice dell’Amministrazione Digitale, e quindi passa a elencare le ragioni per cui sarebbe auspicabile non riproporre lo stesso sistema anche in ambito privato.

Se tale corretta distinzione tra diverse fasi del documento informatico ha ben ragion d’esistere per il documento amministrativo - scrive Foglia - meno si comprende la sua applicazione in ambito privato.

A nostro avviso, infatti, in merito alla (ri)definizione del ciclo di vita del documento informatico, occorrerebbe una nuova e approfondita riflessione sulla necessità di mantenere regole uguali per tutti documenti (pubblici e privati), nonostante esigenze di conservazione così diverse.

Procedendo con ordine, le prime norme in tema di conservazione, si preoccupavano principalmente di garantire l’integrità e l’autenticità del contenuto del documento informatico; successivamente le regole tecniche, approvate con DPCM 3 dicembre 2013, hanno, invece, puntato ad un cambio di approccio, verso un modello che tenesse conto anche del distinto profilo storico culturale proprio di tutti i documenti pubblici. Per tale motivo, quindi, le regole del 2013 risultano molto più stringenti di quelle precedenti e sono state ritenute valide come misure per preservare nel tempo i documenti amministrativi. Regole, quindi, dedicate principalmente alle Amministrazioni pubbliche che, però, anche per via di alcuni ulteriori richiami presenti in normative di settore (si pensi, ad esempio, all’art. 3 del DMEF 17 giugno 2014) devono essere applicate anche dai privati.

Le attuali regole tecniche sono state disegnate su un modello architetturale, in origine sviluppato dalla NASA , idoneo a preservare nel lungo periodo documenti e informazioni: regole spesso troppo onerose per i soggetti privati i cui obblighi di conservazione non vanno oltre i 10 anni.

Nuove norme per i documenti dei soggetti privati
Tralasciando l’approccio tipico di alcuni altri Stati, che non prevedono regole precise per la materia, ma solo conseguenze (e sanzioni) per la mancata esibizione di documenti che si aveva l’obbligo di conservare, riteniamo che i tempi siano maturi per alleggerire il peso di una regolamentazione nazionale che si limita ad estendere ai privati, quanto previsto per la PA. Senza questa indispensabile separazione concettuale tra finalità decisamente differenti, si rischia, a causa di distrazione o scarsa consapevolezza, di appesantire inutilmente le attività dei soggetti privati. Un esempio che rende evidente l’esigenza di una nuova normazione di un tema così delicato come quello della conservazione dei documenti informatici è rappresentato dall’attuale combinato disposto degli artt. 34 e 44 del CAD…”.

Sono 3,9 miliardi le persone (il 51,2% della popolazione mondiale) che alla fine del 2018 hanno utilizzato Internet. E' un dato diffuso alla fine dello scorso anno dall'International Telecommunication Union-ITU, l'organizzazione internazionale che definisce gli standard nelle telecomunicazioni e nell'uso delle onde radio.

Dice il report che a livello mondiale il digital divide è diminuito e che la percentuale di popolazione che utilizza Internet nei paesi sviluppati è passata dal 51,3% nel 2005 all'80,9% nel 2018, in particolare la percentuale è aumentata nei paesi in via di sviluppo dove, dal 7,7% del 2005, ha raggiunto il 45,3% alla fine del 2018.

Le connessioni a banda larga fissa nel 2018 hanno raggiunto 1,1 miliardi di persone contro le connessioni telefoniche fisse che sono ferme a 942 milioni. Anche il tasso di penetrazione degli abbonamenti attivi a banda larga mobile è aumentato conseguendo il 69,3% di abbonamenti (erano quattro ogni 100 persone nel 2007). Per numeri, gli abbonamenti attivi a banda larga mobile sono passati dai 268 milioni del 2007 ai 5,3 miliardi nel 2018.

www.itu.int

“Non più solo conoscitore del documento, esperto della sua conservazione: l’archivista digitale è protagonista di un processo che interviene sin dal momento della produzione del documento informatico, ne assicura valenza, efficacia nel tempo, svolge analisi sulla produttività dell’ente”. Questa la descrizione sintetica della figura professionale dell’archivista digitale tracciata da Donatella Mazzetto con l'articolo “L’archivista digitale è un middle manager”, pubblicato su Agenda Digitale.

Nella information society, introdotta qualche anno fa con il Cad, il Codice dell’amministrazione digitale - scrive l’esperta in apertura - l’archivista gestisce e organizza l’informazione espressa dai documenti: è quindi un “manager”, o meglio un “middle manager”, in grado di rispondere ad un’utenza in crescita, che a propria volta usa le tecnologie informatiche. Fino a poco tempo fa era il conoscitore del documento nelle sue declinazioni, storiche, sociali, giuridiche, ma oggi con la digitalizzazione l’archivista non può esimersi dalle conoscenze informatiche.

Un esempio semplice è il formato del documento: non più un mero supporto o “pezzo” di carta (pergamena, carta bianca – vergine – o riciclata) bensì un file (.doc, .docx, .pdf, .pdf/a, .tiff, .jpg, .xml, formati zippati, formati dei messaggi di posta elettronica), in un processo evolutivo continuo. I formati sono importanti per mantenere inalterato ed integro i documenti digitali nel tempo. Ma il punto è: fino a quando?

L’archivista digitale, da esecutore a protagonista

Facciamo un passo indietro. Vorrei porre l’accento sul termine “procedamus”, che semanticamente indica agli operatori della Pubblica Amministrazione, nella coniugazione dell’imperativo presente del verbo “procedere”, l’esortazione a “fare” nel nuovo contesto della società dell’informazione. Nel fluire eracliteo dei fenomeni della vita (Eraclito era il filosofo presocratico che diceva tutto fluisce, scorre e si trasforma) anche il documento ha la sua collocazione definitiva nell’archivio (leggi le proposte degli archivisti italiani sulla digitalizzazione dell’archivio documenti PA).

L’archivio quindi come sintesi di un processo che vede la relazione tra un documento e l’organizzazione, come fatto dinamico che provvede alla sua gestione, interpretazione, collocazione, e quindi messa a disposizione anche telematica dell’utenza, dove l’Utente è soggetto portatore di interessi qualificati che dialoga con l’organizzazione amministrativa. L’archivista quindi è l’altro soggetto che opera nel team amministrativo, esperto, non mero notaio, protagonista all’interno del processo ora informatico.

L’archivista è il conoscitore dei tempi di conservazione delle diverse tipologie documentarie (è l’unico attore preparato per lo scarto e/o per la conservazione del documento, sia esso analogico o informatico). Di conseguenza, interviene sin dal momento della produzione del documento informatico al fine di assicurarne la sua valenza, la sua efficacia nel tempo e lo organizza, in linea con le norme vigenti, a partire dalla sua formazione, ai fini del trattamento e alla sua conservazione…

Il nostro Paese è stato classificato al 18° posto su 28 e inserito nella categoria "non-consolidated eGov" fra gli Stati che hanno ancora parecchia strada da fare sul fronte della digitalizzazione della macchina e dei servizi pubblici.

La capacità della pubblica amministrazione di sfruttare le potenzialità dell'Ict è del 58% contro una media europea del 63%.

Lo rileva l'eGovernment Benchmark Report 2018 della Commissione europea, realizzato da un consorzio guidato da Capgemini, con Politecnico di Milano e Idc.

I dati dicono che sempre più italiani utilizzano internet in modo evoluto e che gli scarsi risultati registrati nell'utilizzo dei servizi di eGovernment sono riferiti alla fruibilità, usabilità, punti di accesso e adeguatezza ai bisogni del cittadino per quel che viene messo a disposizione sul web da parte delle amministrazioni pubbliche.

In termini di indicatori relativi, sul fronte dell'apertura di dati e informazioni l'Italia è al 76% contro il 72% dell'Ue; della digitalizzazione del settore privato l'Italia è al 37% contro il 41% dell'Ue a conferma che il nostro Paese è quasi in linea con la media europea.

Diversa la situazione se si valutano le competenze digitali che ci vede al 41% contro il 55% dell'Ue; l'utilizzo dell'Ict in cui siamo al 37% contro il 53% dell'Ue; le qualità dei servizi con il 57% dell'Italia verso il 71% dell'Ue e la connettività dove siamo al 53% contro il 64% dell'Ue.

Risultati sempre sotto la media.

http://ec.europa.eu

Il Regolamento UE 679 risale al 27 aprile 2016 ed è entrato in vigore solo lo scorso 25 maggio; considerato il ritardo del decreto legislativo di adeguamento all’ordinamento italiano e osservato l’imponente rinnovamento introdotto nella disciplina relativa al trattamento e alla protezione dei dati personali, è comprensibile come possa essere slittata la sua presa in carico da parte delle Pubbliche amministrazioni e degli enti locali.

Al netto dell’ormai fondamentale interesse pubblico che il GDPR rappresenta, esso si manifesta come l’ennesimo adempimento amministrativo che municipalità sempre più compromesse sul piano delle risorse finanziarie e organiche debbono affrontare.

Il legislatore europeo, cui si adegua con il Decreto legislativo 101 del 10 agosto 2018 quello italiano, attraverso 173 “considerato” e la stesura di 99 articoli, restituisce la dimensione normativa del GDPR e ne chiarisce il valore anche mediante l’enorme portata delle sanzioni da applicare a quanti vi trasgredissero.

Da ciò si evince anche quello che è poi lo spirito stesso del Regolamento europeo: quello dell’accountability, che è qualcosa in più della responsabilità.

L’ente, nelle persone del sindaco (che dei dati è il titolare), del segretario comunale, dei funzionari e quindi degli istruttori amministrativi (quando nominati), ha da implementare e rendere conto del processo organizzativo e tecnico atto a garantire e dimostrare ai cittadini il rispetto dei dati personali che li riguardano. È un principio che richiede la consapevolezza dell’importanza delle informazioni che si posseggono, che pretende la responsabilità del trattamento ed esige prontezza nel saper rispondere della loro protezione.

A tutela delle parti coinvolte, il Regolamento introduce la figura del DPO (Data Protection Officer), o se si preferisce RDP (Responsabile della Protezione dei Dati): una sorta di benevolo e, al tempo stesso, severo controllore della regolarità delle procedure normative e informatiche adottate per giungere ad un GDPR compliance.

Certo per il personale degli enti locali costituisce un impegno gravoso realizzare la conformità al GDPR: servono competenze, tempo, strumenti tecnologici che spesso non si posseggono, e servivano già “da ieri”.

I controlli da parte delle autorità deputate a sanzionare quanti violassero il GDPR, sono prossimi: il Garante ha inforcato gli occhialini, la Guardia di Finanza sta scaldando i motori; le Pubbliche amministrazioni non possono più tardare l’attuazione del Regolamento.

Un soccorso ai Comuni deriva da quelle società di servizi che forniscono alle Pa soluzioni ad hoc: come Golem ICT srl, società del gruppo Golem Software, specializzata nello sviluppo di software e servizi per la Pubblica amministrazione locale, alle prese con il trattamento e la protezione dei dati, ha sviluppato competenze, assunto metodologie organizzative e adoperato strumenti innovativi in grado di preparare gli enti a una gestione attenta, puntuale e capillare dei dati in uso, consentendo non solo la conformità al GDPR e il conseguente riparo da penose sanzioni, ma anche l’occasione di ottenere servizi necessari a costi decisamente sostenibili.

https://www.golemict.com/territorioservizi/gdpr-trattamento-e-protezione-dei-dati-personali/