Contenuto principale

Messaggio di avviso

News dal CST

A novembre 2018 la Provincia di Lecco ha effettuato per gli enti del Cst un’indagine conoscitiva di mercato, ai sensi dell'articolo 36 del Decreto legislativo 50/2016 e delle Linee guida Anac 8, nel rispetto dei principi di non discriminazione, parità di trattamento e trasparenza, per accertare l'esistenza di operatori economici nelle condizioni di espletare il servizio di assistenza, manutenzione e formazione dei software gestionali in uso presso gli enti aderenti al Cst.

L’indagine ha riguardato i moduli applicativi del sistema informatico della Provincia e i moduli applicativi degli enti aderenti al Centro servizi territoriale di cui la Provincia di Lecco è ente capofila.

A seguito di questa indagine la Provincia ha avviato le procedure di affidamento dei servizi di assistenza, manutenzione e formazione dei software gestionali indicati dagli enti aderenti mediante l’ausilio del sistema telematico di Regione Lombardia Sintel, che si concluderanno a gennaio 2019.

La Convenzione che regola i rapporti tra gli enti del Cst prevede infatti, tra le innumerevoli funzioni in capo al Cst, l’acquisto unificato per gli aderenti al Cst - articolo 2 Funzioni poste in gestione associata - per garantire economie di scala e risparmio di costi per la manutenzione degli applicativi su richiesta dei singoli enti, che individuano in autonomia i propri software.

L’AgID (Agenzia per l'Italia Digitale) e il CERT-PA (Computer Emergency Response Team della Pubblica Amministrazione) in diverse occasioni hanno ricordato l’importanza della procedura di aggiornamento del Cms (Content Management System), lo strumento per la pubblicazione e la gestione dei contenuti del proprio sito web.

L’utilizzo di uno strumento Cms sempre aggiornato alle ultime versioni disponibili è di importanza fondamentale perché previene i rischi dovuti ad attacchi informatici al sito web, automatizzati e manuali, come illustrato nell’articolo pubblicato dal CERT-PA.

Per i portali forniti agli enti il Cst utilizza un Cms open source che, dal punto di vista della sicurezza, offre la possibilità di avere un supporto da una comunità mondiale con applicazioni mature, consolidate e che godono di vastissima popolarità (fra i più noti Cms open source: Joomla, WordPress e OpenCMS).

Rispetto a un Cms proprietario i prodotti Cms open source offrono maggiore trasparenza e tempi più rapidi per il rilascio delle patch di sicurezza.

A fronte di questi concreti vantaggi, il sistema open source, che rende di dominio pubblico i codici sorgente e le eventuali vulnerabilità, comporta la necessità di mantenere aggiornato lo strumento Cms di gestione dei contenuti, come raccomandato dall’AgID.

Il costante aggiornamento dello strumento Cms sui portali forniti dal Cst è curato direttamente dal personale tecnico del Cst, che si avvale inoltre di un contratto di servizio, affidato a ditta esterna specializzata nel settore, per l’assistenza, la manutenzione e l’aggiornamento di componenti e moduli dei portali web forniti agli enti.

Le attività di aggiornamento effettuate dal personale tecnico del Cst avvengono secondo procedure standard predefinite.

Nel mese di dicembre 2018 è stato attivato il nuovo sistema antivirus con una gestione centralizzata in cloud.

La fornitura vede coinvolte circa 1500 postazioni dislocate su tutto il territorio provinciale.

L’applicazione cloud di controllo del nuovo sistema è stata configurata in modalità multi dominio, in modo da consentire una completa autonomia di gestione agli gli enti con competenze informatiche interne; al contrario, i Comuni più piccoli avranno una gestione a cura dei tecnici Cst.

I tecnici del Cst, in affiancamento ai Ced dei Comuni, concluderanno le operazioni di migrazione al nuovo sistema nelle prime settimane di gennaio 2019.

Con il nuovo antivirus cloud viene notevolmente ampliato il livello di sicurezza del sistema di protezione grazie all’aggiunta del modulo Intercept X per la difesa degli attacchi malware.

Giovedì 6 dicembre, in occasione della festa di San Nicolò, patrono della città di Lecco, gli Uffici della Provincia di Lecco in piazza Lega Lombarda 4 e in corso Matteotti 3 a Lecco saranno chiusi al pubblico.

Rimarrà aperto l'Infopoint di Lecco, in piazza XX settembre, dalle 9.00 alle 13.00 e dalle 14.00 alle 18.00. 

Sono in scadenza dal 31 dicembre 2018 i servizi di connettività Adsl e wireless per gli enti aderenti al Cst.

Per il superamento del problema del digital divide per gli enti attualmente serviti da linea wireless è stata effettuata una verifica di copertura Adsl che ha dato esito positivo a esclusione delle due sedi di Sueglio e Introzzo.

Per queste due ultime sedi la localizzazione geografica in zona montana e la distanza dalla centralina Adsl di afferenza non permettono una copertura Adsl con banda soddisfacente.

Si è dato quindi avvio alle procedure di fornitura del servizio di connettività sia Adsl che wireless.

Dal 1° dicembre il Protocollo della Provincia di Lecco è aperto nei seguenti giorni e orari:

  • lunedì, martedì, giovedì dalle 8.30 alle 14.00
  • mercoledì dalle 8.30 alle 17.00
  • venerdì dalle 8.30 alle 12.00

La nuova articolazione dell’orario tiene conto delle esigenze dei cittadini e assicura una efficiente ed efficace gestione organizzativa, consentendo al personale di svolgere un proficuo lavoro di back office in orario di chiusura al pubblico, in considerazione delle riorganizzazione imposta dalla legge 56/2014 (Delrio).

La Legge 205/2017 (Legge di Bilancio 2018) ha introdotto l’obbligo, dal 1° gennaio 2019, di emissione e trasmissione di tutte le fatture, a seguito di cessioni di beni e prestazioni di servizi effettuate tra soggetti residenti o stabiliti in Italia, solo in modalità elettronica.

L'Agenzia delle Entrate mette a disposizione il portale Fatturazione e corrispettivi all’interno del quale sono presenti:

  • La guida alla fatturazione elettronica (scarica la guida in pdf)
  • I servizi gratuiti per predisporre, inviare e conservare le fatture elettroniche (software scaricabile su pc e l’app Fatturae, scaricabile dagli store Android o Apple, per emettere, inviare e conservare i documenti fiscali)
  • La normativa, la prassi e le regole
  • Il link vero e proprio per accedere al portale Fatture e Corrispettivi e compilare le proprie fatturazioni in formato elettronico

Il portale del centro servizi territoriale della Provincia di Lecco, che sino a ora rispondeva solo all’indirizzo http://www.lc-card.it/, è ora raggiungibile anche da http://www.cst.provincia.lecco.it/.

Su Agenda Digitale è stato pubblicato l’approfondimento “DPO di un ente pubblico: qualifica e requisiti”, a firma di Michele Iaselli. “Un unico DPO supportato da un ufficio o da diversi referenti - si legge nell’abstract - sembra la soluzione migliore per le esigenze degli enti pubblici. Cosa prevede la normativa, le questioni legate all’incompatibilità e al conflitto d’interesse, il tema delle certificazioni”.

“Alla luce delle prime esperienze applicative del GDPR - scrive Iaselli in apertura - si rafforza la convinzione che, specialmente nelle realtà organizzative più complesse, sia necessario strutturare un ufficio o comunque un gruppo di lavoro che svolga la funzione di DPO contraddistinto da diverse professionalità.

Cercherò nel seguito di motivare questa mia opinione, partendo dal presupposto che la questione non è affatto semplice, in quanto bisogna tener conto anche della ridotta disponibilità dei dipendenti a svolgere tale attività sicuramente complessa e poco remunerativa e che il Regolamento europeo non fornisce specifiche indicazioni in merito alla qualifica richiesta al dipendente pubblico per svolgere la funzione di DPO.

Il complesso dei compiti assegnati al DPO

È opportuno, in primo luogo, valutare se il complesso dei compiti assegnati al DPO – aventi rilevanza interna (consulenza, pareri, sorveglianza sul rispetto delle disposizioni) ed esterna (cooperazione con l’autorità di controllo e contatto con gli interessati in relazione all’esercizio dei propri diritti) – siano (o meno) compatibili con le mansioni ordinariamente affidate ai dipendenti con qualifica non dirigenziale.

In merito, l’art. 38, par. 3, del GDPR fissa alcune garanzie essenziali per consentire ai DPO di operare con un grado sufficiente di autonomia all’interno dell’organizzazione. In particolare, occorre assicurare che il DPO “non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti”. Il considerando 97 aggiunge che i DPO “dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”. Ciò significa, come chiarito nelle Linee guida, che “il DPO, nell’esecuzione dei compiti attribuitigli ai sensi dell’articolo 39, non deve ricevere istruzioni sull’approccio da seguire nel caso specifico – quali siano i risultati attesi, come condurre gli accertamenti su un reclamo, se consultare o meno l’autorità di controllo. Né deve ricevere istruzioni sull’interpretazione da dare a una specifica questione attinente alla normativa in materia di protezione dei dati”.

Inoltre, sempre ai sensi dell’art. 38, par. 3, del GDPR, il DPO “riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”. Tale rapporto diretto garantisce, in particolare, che il vertice amministrativo venga a conoscenza delle indicazioni e delle raccomandazioni fornite dal DPO nell’esercizio delle funzioni di informazione e consulenza a favore del titolare o del responsabile.

 

La scelta di un DPO interno
Alla luce delle considerazioni di cui sopra, nel caso in cui si opti per un DPO interno, secondo il Garante sarebbe quindi in linea di massima preferibile che, ove la struttura organizzativa lo consenta e tenendo conto della complessità dei trattamenti, la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità, che possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione.

Lo stesso dipendente dovrà naturalmente avere una specifica conoscenza della normativa in materia di protezione dei dati personali, dei sistemi informativi e di aspetti organizzativi-manageriali.

Inoltre alcune organizzazioni complesse hanno richiesto all’Autorità di valutare la possibilità di designare più DPO.

Un solo DPO con più figure di supporto
Al riguardo, si rileva che l’unicità della figura del DPO è una condizione necessaria per evitare il rischio di sovrapposizioni o incertezze sulle responsabilità, sia con riferimento all’ambito interno all’ente, sia con riferimento a quello esterno, e pertanto occorre che questa sia sempre assicurata.

Nulla osta, invece, all’individuazione di più figure di supporto, con riferimento a settori o ambiti territoriali diversi, anche dislocate presso diverse articolazioni organizzative dell’amministrazione, che facciano però riferimento a un unico soggetto responsabile, sia che la scelta ricada su un DPO interno, sia che questa ricada su un DPO esterno.

Infatti, in relazione alla particolare eterogeneità dei trattamenti di dati personali effettuati (in rapporto, ad esempio, all’effettuazione di trattamenti soggetti a basi giuridiche diverse in ambito di prevenzione, indagine, accertamento e perseguimento di reati) ovvero della complessità della struttura organizzativa dell’ente (talvolta molto ramificata a livello territoriale) può risultare opportuno individuare specifici “referenti” del DPO che potrebbero svolgere un ruolo di supporto e raccordo, sulla base di precise istruzioni del DPO, anche, se del caso, operando quali componenti del suo gruppo di lavoro.

Attualmente, difatti, risulta che molti Ministeri come anche le agenzie fiscali abbiano optato per l’adozione di un unico DPO a livello centrale sebbene supportato da uno specifico gruppo di lavoro. Tale soluzione, per la verità, è molto rischiosa in quanto a prescindere dalle disposizioni del GDPR, indubbiamente sorgerebbero, come evidenziato in precedenza, molti problemi di carattere organizzativo legati ad articolazioni territoriali molto estese ed all’individuazione di diversi titolari del trattamento…

Con decreto direttoriale della ragioneria Generale dello Stato del 21 novembre 2018, pubblicato in Gazzetta ufficiale 275 del 26 novembre 2018, è disponibile msul portale opendata.sose.it relativamente ai Fabbisogni standard degli enti locali il nuovo questionario unico FC40U. Il questionario va compilato in ogni sua parte dai Comuni, Unioni di Comuni e Comunità montane delle RSO e dai Comuni e Unioni di Comuni della regione Sicilia per le informazioni di natura contabile e per quelle di tipo strutturale, con riferimento al 2017.

I moduli

Il primo modulo, Dati strutturali, raccoglie le informazioni in merito alle caratteristiche dell’ente e del territorio, nonché alle risorse a disposizione per la produzione dei servizi svolti per le funzioni di istruzione pubblica, settore sociale e asili nido, amministrazione, gestione e controllo (ufficio tecnico), polizia locale, viabilità e trasporti e gestione del territorio e dell’ambiente.

Il secondo modulo, Dati relativi al personale e dati contabili, raccoglie le informazioni riguardanti le consistenze e le spese del personale addetto a ciascun servizio e riguardanti le entrate (accertamenti) e le spese (impegni) correnti per ogni servizio.

Nella parte conclusiva del questionario, nella sezione Sintesi dei dati contabili, il totale delle spese correnti inserite, calcolato automaticamente dal sistema, deve corrispondere alla somma degli importi presenti nel Quadro 10 del Certificato Consuntivo 2017, codice 10 0930, per il totale dei Macroaggregati.

Fabbisogni standard enti locali, il questionario

Il questionario unico FC40U è stato progettato per valutare in modo omogeneo le singole funzioni/servizi svolte dai differenti Comuni; l’obiettivo è raggiungibile attraverso la riclassificazione delle spese e la riallocazione delle risorse, in modo che i Comuni vengano confrontati rispettando il principio di omogeneità.

Nel compilare ogni Quadro, in riferimento a ciascuna funzione/servizio va sempre rispettata la regola di pertinenza, cioè il servizio prodotto deve corrispondere alla quantità di risorse impiegate.

Infine, particolare attenzione va posta al raccordo tra gli interventi del vecchio bilancio (Decreto legislativo 267/2000) e i corrispondenti macroaggregati del nuovo bilancio (Decreto legislativo 110/2011), così come riportato nella tabella presente nella Premessa generale delle istruzioni.

Si ricorda inoltre che:

  • • per assistenza tecnica, come smarrimento credenziali o difficoltà di accesso, si può scrivere una mail a Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
  • • per assistenza alla compilazione, invece, è possibile rivolgersi allo 06 88816323 dal lunedì al venerdì, dalle 9.30 alle 16.30, oppure è possibile inviare una mail a Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Su Agenda Digitale è stato pubblicato l’approfondimento “Domicilio digitale: perché il recapito certificato qualificato non soppianterà la posta elettronica certificata”, a firma di Massimiliano Nicotra. “Posta elettronica certificata e servizio di recapito certificato qualificato - si legge nell’abstract - sembrerebbero equivalenti ai fini degli effetti dell’elezione del domicilio digitale, in realtà hanno effetti giuridici e funzionalità diverse. Vediamo le caratteristiche e le differenze tra i due servizi”. Di seguito l’introduzione dell’articolo:

Il Codice dell’Amministrazione digitale ha rafforzato il concetto di domicilio digitale quale luogo virtuale del cittadino, di imprese ed enti, presso cui inviare comunicazioni elettroniche ad ogni effetto di legge. Vediamo meglio cos’è il domicilio digitale, le caratteristiche della Posta elettronica certificata e del servizio di recapito certificato qualificato e perché difficilmente quest’ultimo rimpiazzerà la Pec”.

Cos’è il domicilio digitale
Ai sensi dell’art. 1, 1° comma, comma n-ter) del d.l.vo n. 82/2005 (C.A.D.) n-ter) per domicilio digitale si intende “un indirizzo elettronico eletto presso un servizio di posta elettronica certificata o un servizio elettronico di recapito certificato qualificato, come definito dal regolamento (UE) 23 luglio 2014 n. 910 del Parlamento europeo e del Consiglio (…)”.

Il domicilio digitale, pertanto, può essere costituito o da una casella di posta elettronica certificata (che secondo la lettera v-bis del medesimo articolo è il “sistema di comunicazione in grado di attestare l’invio e l’avvenuta consegna di un messaggio di posta elettronica e di fornire ricevute opponibili ai terzi”) oppure da un servizio di recapito certificato qualificato (disciplinato dall’art. 44 del Regolamento (UE) 910/2014 (eIDAS).

I due strumenti, che la norma appena richiamata sembrerebbe far equivalere ai fini degli effetti dell’elezione del domicilio digitale, in realtà hanno effetti giuridici e funzionalità diverse.

Caratteristiche della Pec
La posta elettronica certificata, che oramai in Italia è ampiamente diffusa, trova la sua originaria regolamentazione nel D.P.R. n. 68/2005. Il suo principale effetto è quello di rendere opponibili ai terzi la data e l’ora di trasmissione e ricezione di un messaggio. L’utilizzo della posta elettronica certificata è trasparente per l’utente, nel senso che essa funziona come una normale casella di posta elettronica, a cui però sono associate ulteriori comunicazioni, prodotte dal gestore del servizio e firmate elettronicamente dal medesimo, che servono proprio ad attestare il momento in cui un messaggio è stato spedito e quello in cui lo stesso è recapitato nella casella del destinatario.

Il sistema della posta elettronica certificata, è opportuno sottolinearlo, è strutturato per rispondere all’impianto normativo italiano: la PEC non è strumento di identificazione del mittente del messaggio, in quanto per attribuire la paternità del documento informatico è necessario l’utilizzo di una firma elettronica, né del destinatario dello stesso. Inoltre, il sistema è strutturato secondo la presunzione di conoscenza di cui all’art. 1335 del codice civile, secondo cui le dichiarazioni ricettizie si reputano conosciute dal destinatario nel momento in cui giungono all’indirizzo di questi. Non è quindi necessario che il mittente fornisca prova dell’avvenuta conoscenza del contenuto del messaggio da parte del destinatario, essendo sufficiente dimostrare di aver correttamente recapitato il messaggio all’indirizzo previamente dichiarato dal destinatario (o risultante da un “elenco ufficiale”).

La semplicità d’uso e la possibilità di dichiarare un unico indirizzo di posta elettronica certificata valido per tutte le comunicazioni che un determinato soggetto voglia ricevere elettronicamente hanno favorito la diffusione di questo strumento in Italia, unitamente alla circostanza che alcune norme ne hanno imposto l’adozione nelle comunicazioni tra determinati soggetti (si pensi al processo telematico o alle comunicazioni con le pubbliche amministrazioni, o, infine all’obbligatorietà per le pubbliche amministrazioni di dotarsi di almeno un indirizzo PEC)...”

L'accesso indiscriminato ai documenti del registro di protocollo da parte dei dipendenti di tutti gli uffici dell'amministrazione può comportare rischi dal punto di vista del trattamento dei dati personali.

L'approccio indistinto, fatti salvi comunque gli obblighi di tutela dei dati sensibili e giudiziari, può essere sostenibile solo in piccole amministrazioni e solo a seguito di un'analisi ponderata e critica rispetto alle effettive necessità del trattamento.

Le regole tecniche in materia di protocollo informatico, DPCM 3 dicembre 2013, stabiliscono che "Il sistema di protocollo informatico deve consentire il controllo differenziato dell'accesso alle risorse del sistema per ciascun utente o gruppo di utenti".

I livelli di autorizzazione all'inserimento, alla modifica e alla visualizzazione delle informazioni registrate devono essere definiti nel Manuale di gestione dei documenti che deve essere pubblicato sul sito internet dell'ente.

La normativa in materia di conservazione vigente per gli enti pubblici, e in particolar modo la distinzione tra gestione corrente, deposito e conservazione dei documenti informatici, rischia di essere troppo complicata e onerosa per i soggetti privati, e non tiene conto delle loro esigenze e specificità. A sostenerlo è Luigi Foglia, autore di un approfondimento in materia per Agenda Digitale. L’articolo si apre con la descrizione delle tre fasi del ciclo di vita del documento informatico normate dal Codice dell’Amministrazione Digitale, e quindi passa a elencare le ragioni per cui sarebbe auspicabile non riproporre lo stesso sistema anche in ambito privato.

Se tale corretta distinzione tra diverse fasi del documento informatico ha ben ragion d’esistere per il documento amministrativo - scrive Foglia - meno si comprende la sua applicazione in ambito privato.

A nostro avviso, infatti, in merito alla (ri)definizione del ciclo di vita del documento informatico, occorrerebbe una nuova e approfondita riflessione sulla necessità di mantenere regole uguali per tutti documenti (pubblici e privati), nonostante esigenze di conservazione così diverse.

Procedendo con ordine, le prime norme in tema di conservazione, si preoccupavano principalmente di garantire l’integrità e l’autenticità del contenuto del documento informatico; successivamente le regole tecniche, approvate con DPCM 3 dicembre 2013, hanno, invece, puntato ad un cambio di approccio, verso un modello che tenesse conto anche del distinto profilo storico culturale proprio di tutti i documenti pubblici. Per tale motivo, quindi, le regole del 2013 risultano molto più stringenti di quelle precedenti e sono state ritenute valide come misure per preservare nel tempo i documenti amministrativi. Regole, quindi, dedicate principalmente alle Amministrazioni pubbliche che, però, anche per via di alcuni ulteriori richiami presenti in normative di settore (si pensi, ad esempio, all’art. 3 del DMEF 17 giugno 2014) devono essere applicate anche dai privati.

Le attuali regole tecniche sono state disegnate su un modello architetturale, in origine sviluppato dalla NASA , idoneo a preservare nel lungo periodo documenti e informazioni: regole spesso troppo onerose per i soggetti privati i cui obblighi di conservazione non vanno oltre i 10 anni.

Nuove norme per i documenti dei soggetti privati
Tralasciando l’approccio tipico di alcuni altri Stati, che non prevedono regole precise per la materia, ma solo conseguenze (e sanzioni) per la mancata esibizione di documenti che si aveva l’obbligo di conservare, riteniamo che i tempi siano maturi per alleggerire il peso di una regolamentazione nazionale che si limita ad estendere ai privati, quanto previsto per la PA. Senza questa indispensabile separazione concettuale tra finalità decisamente differenti, si rischia, a causa di distrazione o scarsa consapevolezza, di appesantire inutilmente le attività dei soggetti privati. Un esempio che rende evidente l’esigenza di una nuova normazione di un tema così delicato come quello della conservazione dei documenti informatici è rappresentato dall’attuale combinato disposto degli artt. 34 e 44 del CAD…”.

Le frequently asked question del Garante Privacy in materia di “Definizione agevolata delle violazioni in materia di protezione dei dati personali”, divulgate lo scorso ottobre, presenterebbero alcune incongruenze rispetto a quanto disposto su questo specifico aspetto con l’articolo 18 del decreto 101/2018, col quale sono stati recepiti i dettami del nuovo Regolamento comunitario in materia di dati personali nell’ordinamento normativo nazionale.

La discrepanza è stata oggetto di un approfondimento a firma di Luigi Padovan per Agenda Digitale.

“Non più solo conoscitore del documento, esperto della sua conservazione: l’archivista digitale è protagonista di un processo che interviene sin dal momento della produzione del documento informatico, ne assicura valenza, efficacia nel tempo, svolge analisi sulla produttività dell’ente”. Questa la descrizione sintetica della figura professionale dell’archivista digitale tracciata da Donatella Mazzetto con l'articolo “L’archivista digitale è un middle manager”, pubblicato su Agenda Digitale.

Nella information society, introdotta qualche anno fa con il Cad, il Codice dell’amministrazione digitale - scrive l’esperta in apertura - l’archivista gestisce e organizza l’informazione espressa dai documenti: è quindi un “manager”, o meglio un “middle manager”, in grado di rispondere ad un’utenza in crescita, che a propria volta usa le tecnologie informatiche. Fino a poco tempo fa era il conoscitore del documento nelle sue declinazioni, storiche, sociali, giuridiche, ma oggi con la digitalizzazione l’archivista non può esimersi dalle conoscenze informatiche.

Un esempio semplice è il formato del documento: non più un mero supporto o “pezzo” di carta (pergamena, carta bianca – vergine – o riciclata) bensì un file (.doc, .docx, .pdf, .pdf/a, .tiff, .jpg, .xml, formati zippati, formati dei messaggi di posta elettronica), in un processo evolutivo continuo. I formati sono importanti per mantenere inalterato ed integro i documenti digitali nel tempo. Ma il punto è: fino a quando?

L’archivista digitale, da esecutore a protagonista

Facciamo un passo indietro. Vorrei porre l’accento sul termine “procedamus”, che semanticamente indica agli operatori della Pubblica Amministrazione, nella coniugazione dell’imperativo presente del verbo “procedere”, l’esortazione a “fare” nel nuovo contesto della società dell’informazione. Nel fluire eracliteo dei fenomeni della vita (Eraclito era il filosofo presocratico che diceva tutto fluisce, scorre e si trasforma) anche il documento ha la sua collocazione definitiva nell’archivio (leggi le proposte degli archivisti italiani sulla digitalizzazione dell’archivio documenti PA).

L’archivio quindi come sintesi di un processo che vede la relazione tra un documento e l’organizzazione, come fatto dinamico che provvede alla sua gestione, interpretazione, collocazione, e quindi messa a disposizione anche telematica dell’utenza, dove l’Utente è soggetto portatore di interessi qualificati che dialoga con l’organizzazione amministrativa. L’archivista quindi è l’altro soggetto che opera nel team amministrativo, esperto, non mero notaio, protagonista all’interno del processo ora informatico.

L’archivista è il conoscitore dei tempi di conservazione delle diverse tipologie documentarie (è l’unico attore preparato per lo scarto e/o per la conservazione del documento, sia esso analogico o informatico). Di conseguenza, interviene sin dal momento della produzione del documento informatico al fine di assicurarne la sua valenza, la sua efficacia nel tempo e lo organizza, in linea con le norme vigenti, a partire dalla sua formazione, ai fini del trattamento e alla sua conservazione…

Agid lancia un laboratorio e un programma di co-progettazione per favorire lo sviluppo di progetti d’Intelligenza Artificiale nelle amministrazioni pubbliche italiane. Al programma hanno già chiesto di partecipare quasi 100 tra imprese innovative e start up

Nasce IAGOV, laboratorio di progetti, soluzioni e attività sperimentali volte a favorire la diffusione delle tecnologie di Intelligenza artificiale nella Pubblica amministrazione italiana, facilitando la contaminazione tra Pa, imprese innovative, start up e centri di ricerca.

Il laboratorio, promosso da AgID, è stato presentato a Roma in contemporanea con il lancio della call “Cambia la burocrazia, usa l’Intelligenza!”, programma di co-progettazione pubblico-privato pensato proprio per creare percorsi di open innovation nella pubblica amministrazioni e sviluppare progetti di Intelligenza Artificiale finalizzati a migliorare i processi interni e i servizi della Pa, in linea con le raccomandazioni del Libro bianco per l’Intelligenza artificiale al servizio del cittadino.

Al programma, la cui gestione sarà al centro delle attività del laboratorio, hanno partecipato quasi 100 start up e imprese innovative, presentando progetti pilota che utilizzano tecniche di intelligenza artificiale specificamente rivolti al settore pubblico.

Nei prossimi mesi Agid provvederà a selezionare le migliori progettualità e a supportare imprese e amministrazioni nell’iter di sviluppo, fornendo metodologie e competenze.

Il laboratorio IAGOV e il programma di coprogettazione Cambia la burocrazia, usa l’Intelligenza! rappresentano la naturale evoluzione del percorso tracciato da Agid per promuovere la conoscenza e l’utilizzo di nuove tecnologie nelle PA italiane, dopo la nascita della Task force IA e la pubblicazione del Libro bianco per l’Intelligenza artificiale al servizio del cittadino, il primo documento che fornisce indicazioni e raccomandazioni su come sfruttare l’IA per migliorare i servizi pubblici.

Il Regolamento UE 679 risale al 27 aprile 2016 ed è entrato in vigore solo lo scorso 25 maggio; considerato il ritardo del decreto legislativo di adeguamento all’ordinamento italiano e osservato l’imponente rinnovamento introdotto nella disciplina relativa al trattamento e alla protezione dei dati personali, è comprensibile come possa essere slittata la sua presa in carico da parte delle Pubbliche amministrazioni e degli enti locali.

Al netto dell’ormai fondamentale interesse pubblico che il GDPR rappresenta, esso si manifesta come l’ennesimo adempimento amministrativo che municipalità sempre più compromesse sul piano delle risorse finanziarie e organiche debbono affrontare.

Il legislatore europeo, cui si adegua con il Decreto legislativo 101 del 10 agosto 2018 quello italiano, attraverso 173 “considerato” e la stesura di 99 articoli, restituisce la dimensione normativa del GDPR e ne chiarisce il valore anche mediante l’enorme portata delle sanzioni da applicare a quanti vi trasgredissero.

Da ciò si evince anche quello che è poi lo spirito stesso del Regolamento europeo: quello dell’accountability, che è qualcosa in più della responsabilità.

L’ente, nelle persone del sindaco (che dei dati è il titolare), del segretario comunale, dei funzionari e quindi degli istruttori amministrativi (quando nominati), ha da implementare e rendere conto del processo organizzativo e tecnico atto a garantire e dimostrare ai cittadini il rispetto dei dati personali che li riguardano. È un principio che richiede la consapevolezza dell’importanza delle informazioni che si posseggono, che pretende la responsabilità del trattamento ed esige prontezza nel saper rispondere della loro protezione.

A tutela delle parti coinvolte, il Regolamento introduce la figura del DPO (Data Protection Officer), o se si preferisce RDP (Responsabile della Protezione dei Dati): una sorta di benevolo e, al tempo stesso, severo controllore della regolarità delle procedure normative e informatiche adottate per giungere ad un GDPR compliance.

Certo per il personale degli enti locali costituisce un impegno gravoso realizzare la conformità al GDPR: servono competenze, tempo, strumenti tecnologici che spesso non si posseggono, e servivano già “da ieri”.

I controlli da parte delle autorità deputate a sanzionare quanti violassero il GDPR, sono prossimi: il Garante ha inforcato gli occhialini, la Guardia di Finanza sta scaldando i motori; le Pubbliche amministrazioni non possono più tardare l’attuazione del Regolamento.

Un soccorso ai Comuni deriva da quelle società di servizi che forniscono alle Pa soluzioni ad hoc: come Golem ICT srl, società del gruppo Golem Software, specializzata nello sviluppo di software e servizi per la Pubblica amministrazione locale, alle prese con il trattamento e la protezione dei dati, ha sviluppato competenze, assunto metodologie organizzative e adoperato strumenti innovativi in grado di preparare gli enti a una gestione attenta, puntuale e capillare dei dati in uso, consentendo non solo la conformità al GDPR e il conseguente riparo da penose sanzioni, ma anche l’occasione di ottenere servizi necessari a costi decisamente sostenibili.

https://www.golemict.com/territorioservizi/gdpr-trattamento-e-protezione-dei-dati-personali/

Sono 768 i Comuni che a fine ottobre hanno aderito all’Anpr fornendo alla banca dati le informazioni anagrafiche di oltre 10 milioni di abitanti residenti. Di questi, 481 Comuni hanno richiesto il parziale rimborso per le spese di migrazione, approfittando dell’opportunità concessa dal progetto Anagrafe nazionale della popolazione residente del dipartimento della Funzione pubblica, per un ammontare pari a 957.200 euro.

Il progetto della Funzione pubblica è nato proprio per supportare e incentivare il subentro dei Comuni nell’Anagrafe nazionale della popolazione residente, piattaforma informatica prevista dal piano triennale per l’informatica nella Pa 2017-2019.

Supporto agli enti, quindi, sullo sviluppo di competenze e capacità amministrativa dei dipendenti comunali preposti alla gestione e all’erogazione dei servizi anagrafici ai cittadini. Con azioni di accompagnamento e formazione sulle nuove modalità operative messe a disposizione dall’Anpr:

  • sull’estrazione, analisi e bonifica dei dati
  • sull’adeguamento degli strumenti operativi in possesso del Comune
  • sulla riorganizzazione del lavoro e le prassi operative

Il contributo previsto copre parzialmente le spese affrontate dagli enti locali dopo che questi abbiano concluso la migrazione con successo.

È ancora possibile chiedere i contributi per il supporto al subentro.

Per i Comuni che migreranno all’Anagrafe nazionale della popolazione residente entro il 31 dicembre 2018 ci sono le risorse finanziarie erogate dalla Funzione pubblica. E provenienti dall’Ue. Specificamente fondi del Pon Governance e Capacità Istituzionale 2014-2020.

Un aiuto concreto al personale è fornito in rete dalla società Datanet srl di Tremestieri Etneo.

Un software specifico offre il supporto alla analisi e normalizzazione dei dati. Consentendo di ridurre, drasticamente e in modo semplificato attraverso delle utility, ad una percentuale di errore fisiologicamente accettabile, prima di trasmettere i dati all’ANPR.

Compilando il form on line sul sito della società può essere richiesta una consulenza gratuita sul nuovo software sviluppato per supportare gli enti nella transizione al nuovo regime: http://www.datanetsrl.eu/anpr_smart/

Tra venerdì 21 e lunedì 24 settembre, avendo migrato il data center del Centro servizi territoriale della Provincia di Lecco nel sistema Spc Cloud gestito da Telecom Italia, c'è stata un’interruzione dei servizi applicativi per 24 enti che si affidano alla piattaforma di erogazione.

Il Cst ha avviato la procedura di contestazione e ha chiesto a Consip di approfondire questa problematica e sottoporla all’attenzione del Comitato di direzione tecnica di progetto.

Il gestore ha fornito un report dettagliato del disservizio, delle cause, delle azioni messe in campo per il ripristino del servizio e il piano di miglioramento previsto per evitare il ripetersi di problematiche simili, attraverso un aggiornamento tecnologico della piattaforma che eviti l’indisponibilità delle applicazioni.

In considerazione del disservizio procurato, il gestore procederà con il riconoscimento della penale prevista per il mancato rispetto degli indicatori di qualità, che verrà riconosciuta nel 2019 dal Cst agli enti interessati dal disservizio.

Lo European Archives Group, gruppo che riunisce i rappresentanti delle istituzioni archivistiche nazionali degli Stati membri, ha pubblicato le linee guida sull’applicazione in ambito archivistico di quanto disposto con il nuovo Regolamento europeo in materia di protezione dei dati (Guidance on data protection for archive services).

Le linee guida sono rivolte alle organizzazioni archivistiche pubbliche e private e, più in generale, a tutte le istituzioni della conservazione, quali musei, biblioteche, fondazioni e chiunque altro attivo in questo settore.

Gli estensori precisano che il documento è concepito come un work in progress, passibile di modifiche e miglioramenti, anche tenendo conto delle sollecitazioni e proposte che potrebbero arrivare dagli esperti e addetti ai lavori cui si rivolgono. Le linee guida potranno essere successivamente integrate anche nel caso in cui le istituzioni comunitarie dovessero produrre nuove norme in materia di protezione dei dati, o a seguito della divulgazione di documenti di indirizzo da parte dell’European Data Protection Board.