• Save
Open Data, Condivisione delle banche dati, Siti delle P.A.
Upcoming SlideShare
Loading in...5
×
 

Open Data, Condivisione delle banche dati, Siti delle P.A.

on

  • 874 views

 

Statistics

Views

Total Views
874
Views on SlideShare
874
Embed Views
0

Actions

Likes
3
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

CC Attribution-NonCommercial-ShareAlike LicenseCC Attribution-NonCommercial-ShareAlike LicenseCC Attribution-NonCommercial-ShareAlike License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Open Data, Condivisione delle banche dati, Siti delle P.A. Open Data, Condivisione delle banche dati, Siti delle P.A. Presentation Transcript

  • Open DataCondivisione delle banche dati Siti delle P.A. Università di Bologna Avv. Ph.D. Michele Martoni
  • SommarioOpen Government e Open DataSiti delle Pubbliche AmministrazioniCondivisione delle Banche Dati pubbliche
  • PremessaTrasparenza, pubblicità, consultabilità dellaattività amministrativa e dei dati personali Accessibilità e comprensibilità dei dati dell’azione amministrativa Accessibilità al dato personale detenuto dalla pubblica amministrazione Azione amministrativa trasparente e rispetto della privacy del cittadino
  • Open Government e Open DataLe nuove tecnologie della comunicazione e dell’informazione aprononuove opportunità agli enti pubblici, dal punto di vista dello svecchiamento dei processi decisionali e degli schemi burocratici. La digitalizzazione, inoltre, permette alle istituzioni di adottare un nuovo modello amministrativo, basato su “apertura” e “trasparenza” nei confronti dei cittadini: l’Open Government.In questo scenario, la pratica di “liberazione” dei dati – conosciutacome Open Data – che caratterizza internet e il Web, rappresenta una strada necessaria, anche se non sufficiente, affinché le amministrazioni adottino il modello di “governo aperto”.Tratto da “Come si fa Open Data”Maggioli Editore, maggio 2011www.datagov.it
  • Open Government cos’è?• nuovo concetto di Governance (modello di amministrazione)• modelli, strumenti e tecnologie nuovi che consentono alle amministrazioni di essere “aperte” e “trasparenti” nei confronti dei cittadini – “apertura” modalità di approccio e relazione basate su bidirezionalità, condivisione e partecipazione ai processi decisionali dell’amministrazione – “trasparenza” libertà di accesso ai dati e alle informazioni amministrative da parte dei cittadini, nonché alla condivisione di documenti, saperi e conoscenze tra istituzioni e comunità locale
  • La svolta• U.S.A., Open Government Directive (del 8/12/2009) My Administration is committed to creating an unprecedented level of openness in Government. We will work together to ensure the public trust and establish a system of transparency, public participation, and collaboration. Openness will strengthen our democracy and promote efficiency and effectiveness in Government (President OBAMA) – Sito Ufficiale: http://www.whitehouse.gov/open – Memorandum: http://www.whitehouse.gov/the_press_office/TransparencyandOpenGov ernment/ – Blog: http://www.whitehouse.gov/open/blog
  • Un approfondimento• United Nations e-Gov Survey 2010
  • Open Data [1/3]• Nuovo approccio nella gestione delle informazioni e dei dati in ambito pubblico mediante ICT• Formato aperto con cui le informazioni sono rese disponibili on line• Formato aperto che consente oltre alla accessibilità anche la interscambiabilità e l’integrabilità delle informazioni
  • Open Data [2/3]I dati per essere “open” devono essere:1) Completi2) Primari3) Tempestivi4) Accessibili5) Leggibili6) Non proprietari7) Liberi da licenze8) Riutilizzabili by Transparency International Georgia9) Ricercabili10)Permanenti
  • Open Data [3/3]• Un esempio: – http://www.dati.piemonte.it/ • DGR 31 - 11679 del 29 giugno 2009. Approvazione del documento "Linee guida relative al riutilizzo del Patrimonio Informativo Regionale" e del modello di licenza standard per il riutilizzo. • Dati disponibili on line
  • Linked Open Data• Collegamento fra i diversi dataset al fine di renderli parte di un unico spazio informativo globale e condiviso.• Incremento del valore informativo complesso, dal dato alla conoscenza [TED ideas worth spreading … Tim Berners-Lee] es. trova tutti i ristoranti vicini a monumenti
  • Linked Data Cloud• Set di dati sono stati pubblicati nella community Linking Open Data.• Interconnessi tra loro questi set di dati costituiscono il Web of Data che contiene molte informazioni preziose.• Linked Data Cloud, gestito da Richard Cyganiak e Anja Jentzsch fornisce una panoramica visiva dei set di dati e delle loro connessioni.• La mappatura delle evidenze di competenza sui Linked Data ha lo scopo di estrarre un sottoinsieme di Linked Data che sia rilevante per la determinazione degli interessi di un utente e delle competenze in un particolare dominio, anche, eventualmente, per sostenere la sua capacità di risolvere i problemi specifici (by www.titticimmino.com)
  • by http://www.milanstankovic.org/
  • Agenda Digitale e strategia Open Data• http://ec.europa.eu/information_society/digital- agenda/scoreboard/download/index_en.htm
  • Profili giuridici Evoluzione del concetto di “trasparenza”• Concezione statica• Concezione dinamica – Trasparenza come principio ispiratore di tutta l’attività amministrativa – Valore del dato e produzione di dati – Riutilizzo dei dati pubblici • [video] http://www.dati.piemonte.it/cose-il-riuso-dei-dati.html
  • Dati delle pubbliche amministrazioni e servizi in rete (Capo V, CAD)• Artt. 2, 12 e 50, D.Lgs. 82/2005• Art. 11, c.1, D.Lgs. 150/2009• Art. 52, c.1 bis, D.Lgs. 82/2005 (235/2010)
  • Art. 2, cc.1 e 4, CAD1) Lo Stato, le regioni e le autonomie locali assicurano la disponibilità, la gestione, laccesso, la trasmissione, la conservazione e la fruibilità dellinformazione in modalità digitale e si organizzano ed agiscono a tale fine utilizzando con le modalità più appropriate le tecnologie dellinformazione e della comunicazione.4) Le disposizioni di cui al capo V, concernenti laccesso ai documenti informatici, e la fruibilità delle informazioni digitali si applicano anche ai gestori di servizi pubblici ed agli organismi di diritto pubblico.
  • Art. 12, cc. 1, 4 e 5, CAD1. Le pubbliche amministrazioni nellorganizzare autonomamente la propria attività utilizzano le tecnologie dellinformazione e della comunicazione per la realizzazione degli obiettivi di efficienza, efficacia, economicità, imparzialità, trasparenza, semplificazione e partecipazione, nonché per la garanzia dei diritti dei cittadini e delle imprese di cui al Capo I, sezione II, del presente decreto4. Lo Stato promuove la realizzazione e lutilizzo di reti telematiche come strumento di interazione tra le pubbliche amministrazioni ed i privati.5. Le pubbliche amministrazioni utilizzano le tecnologie dellinformazione e della comunicazione, garantendo, nel rispetto delle vigenti normative, laccesso alla consultazione, la circolazione e lo scambio di dati e informazioni, nonché linteroperabilità dei sistemi e lintegrazione dei processi di servizio fra le diverse amministrazioni nel rispetto delle regole tecniche stabilite ai sensi dellarticolo 71.
  • Art. 50, CAD Disponibilità dei dati …1. I dati delle pubbliche amministrazioni sono formati, raccolti, conservati, resi disponibili e accessibili con luso delle tecnologie dellinformazione e della comunicazione che ne consentano la fruizione e riutilizzazione, alle condizioni fissate dallordinamento, da parte delle altre pubbliche amministrazioni e dai privati; restano salvi i limiti alla conoscibilità dei dati previsti dalle leggi e dai regolamenti, le norme in materia di protezione dei dati personali ed il rispetto della normativa comunitaria in materia di riutilizzo delle informazioni del settore pubblico.2. Qualunque dato trattato da una pubblica amministrazione, con le esclusioni di cui allarticolo 2, comma 6, salvi i casi previsti dallarticolo 24 della legge 7 agosto 1990, n. 241, e nel rispetto della normativa in materia di protezione dei dati personali, è reso accessibile e fruibile alle altre amministrazioni quando lutilizzazione del dato sia necessaria per lo svolgimento dei compiti istituzionali dellamministrazione richiedente, senza oneri a carico di questultima, salvo per la prestazione di elaborazioni aggiuntive è fatto comunque salvo il disposto dellarticolo 43, comma 4, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445.3. Al fine di rendere possibile lutilizzo in via telematica dei dati di una pubblica amministrazione da parte dei sistemi informatici di altre amministrazioni lamministrazione titolare dei dati predispone, gestisce ed eroga i servizi informatici allo scopo necessari, secondo le regole tecniche del sistema pubblico di connettività di cui al presente decreto.
  • Art. 52, CAD Accesso telematico e riutilizzazione dei dati …1. Laccesso telematico a dati, documenti e procedimenti è disciplinato dalle pubbliche amministrazioni secondo le disposizioni del presente codice e nel rispetto delle disposizioni di legge e di regolamento in materia di protezione dei dati personali, di accesso ai documenti amministrativi, di tutela del segreto e di divieto di divulgazione. I regolamenti che disciplinano lesercizio del diritto di accesso sono pubblicati su siti pubblici accessibili per via telematica.1-bis. Le pubbliche amministrazioni, al fine di valorizzare e rendere fruibili i dati pubblici di cui sono titolari, promuovono progetti di elaborazione e di diffusione degli stessi anche attraverso l’uso di strumenti di finanza di progetto, assicurando: a) il rispetto di quanto previsto dall’articolo 54, comma 3; b) la pubblicazione dei dati e dei documenti in formati aperti di cui all’articolo 68, commi 3 e 4.
  • Art. 11, c.1 D.lgs. 150/20091. La trasparenza e intesa come accessibilità totale, anche attraverso lo strumento della pubblicazione sui siti istituzionali delle amministrazioni pubbliche, delle informazioni concernenti ogni aspetto dellorganizzazione, degli indicatori relativi agli andamenti gestionali e allutilizzo delle risorse per il perseguimento delle funzioni istituzionali, dei risultati dellattività di misurazione e valutazione svolta dagli organi competenti, allo scopo di favorire forme diffuse di controllo del rispetto dei principi di buon andamento e imparzialità. Essa costituisce livello essenziale delle prestazioni erogate dalle amministrazioni pubbliche ai sensi dellarticolo 117, secondo comma, lettera m), della Costituzione.
  • Licenza• Non c’è una precisa indicazione normativa• I principi che ispirano la materia fanno propendere per licenze c.d. “open”• Formez PA “Italian Open Data Licence” IODL • Libertà di: – Consultare, estrarre, scaricare, copiare, pubblicare, distribuire, trasmettere le informazioni – Creare un lavoro derivato (es. mashup), includendo le informazioni in un prodotto o sviluppando una applicazioni che le utilizzi come base di dati • Dovere di: – Indicare la fonte delle informazioni e il nome del soggetto che fornisce il dato includendo un link alla licenza – Pubblicare e condividere eventuali lavori derivati con la stessa licenza o con altra licenza aperta ritenuta compatibile (Creative Commons CC-BY-SA, Open Data Commons)
  • Privacy ?• Open data non significa rendere pubblici tutti i dati formati nell’esercizio delle attività istituzionali.• Le norme in materia di privacy, e non solo, restano ferme – Linee Guida del Garante per la pubblicazione dei dati pubblici sul Web (n. 88/2011)
  • Indicazioni del Garante per i siti delle P.A.• Deliberazione n. 17 del 19 aprile 2007 (1407101)• Provvedimento n. 88 del 2 marzo 2011 (1793203)
  • Linee guida in materia di trattamento di datipersonali per finalità di pubblicazione e diffusione di atti e documenti di enti locali G.U. n. 120 del 25 maggio 2007Deliberazione n. 17 del 19 aprile 2007
  • Premessa• In questa sede vengono prese in specifica considerazione solo questioni riguardanti la pubblicazione e diffusione di atti e documenti tenendo presente che, accanto alle forme di pubblicità scelte dagli enti locali o imposte per legge, restano vigenti gli obblighi per i medesimi enti di attuare la disciplina sul diritto di accesso ai documenti amministrativi e sul distinto diritto di accesso ai dati personali, che sono stati oggetto di numerosi provvedimenti del Garante.
  • Precisazione• La necessità di garantire un livello elevato di tutela dei diritti e delle libertà fondamentali rispetto al trattamento dei dati personali (art. 2, comma 1, del Codice) non ostacola una piena trasparenza dellattività amministrativa.• Tale tutela non preclude la valorizzazione delle attività di comunicazione istituzionale e la partecipazione dei cittadini alla vita democratica, favorite dallimpiego di nuove tecnologie che sono già utilizzate nellambito di proficue esperienze avviate nelle- government e nelle reti civiche.• In presenza di taluni dati personali o di determinate forme di diffusione vanno però individuate specifiche soluzioni e modalità per attuare la trasparenza in modo ponderato, secondo correttezza e misura.
  • Principi generali• Gli enti locali, in quanto soggetti pubblici, possono trattare dati di carattere personale anche sensibile e giudiziario solo per svolgere le rispettive funzioni istituzionali (art. 18, comma 2, del Codice).• Oltre alle garanzie previste dal Codice e da altre disposizioni normative in materia di protezione dei dati, lente locale deve osservare i presupposti e i limiti previsti da ogni altra disposizione di legge o di regolamento che rilevi ai fini del trattamento (art. 18, comma 3, del Codice).
  • Pubblicazione on line• La pubblicazione e la divulgazione di atti e documenti determinano una diffusione di dati personali, comportando la conoscenza di dati da parte di un numero indeterminato di cittadini.• Linterferenza nella sfera personale degli interessati che ne consegue è legittima, solo se la diffusione è prevista da una norma di legge o di regolamento (artt. 4, comma 1, lett. m), e 19, comma 3, del Codice).
  • Valutazione preliminare principio di necessità• Prima di intraprendere unattività che comporta una diffusione di dati personali, lente locale deve valutare se la finalità di trasparenza e di comunicazione può essere perseguita senza divulgare tali dati, oppure rendendo pubblici atti e documenti senza indicare dati identificativi adottando modalità che permettano di identificare gli interessati solo quando è necessario – lo impone il principio di necessità, il quale comporta un obbligo di attenta configurazione di sistemi informativi e di programmi informatici per ridurre al minimo lutilizzazione di dati personali (art. 3 del Codice).
  • Principio di proporzionalità• Se questa valutazione preliminare porta a constatare che gli atti e i documenti resi conoscibili o pubblici devono contenere dati di carattere personale, lente deve rispettare anche lulteriore principio di proporzionalità• i tipi di dati e il genere di operazioni svolte per pubblicarli e diffonderli devono essere infatti pertinenti e non eccedenti rispetto alle finalità perseguite (art. 11, comma 1, lett. d), del Codice)
  • Dati sensibili e giudiziari• Lente può trovarsi di fronte allinterrogativo se pubblicare e diffondere anche dati sensibili o giudiziari. La loro particolare delicatezza ne rende lecita la diffusione solo se: – è realmente indispensabile (artt. 3, 4, comma 1, lett. d) ed e), 22, commi 3, 8 e 9, del Codice); – lente ha adottato il regolamento in materia previsto dal Codice su parere conforme del Garante (artt. 20, comma 2, 21, comma 2 e 181, comma 1, lett. a)).
  • Il ruolo delle tecnologie ... la logica sottesa ...• In questo quadro, lente locale deve prevedere le diverse forme di accessibilità ad atti e documenti evitando, per quanto possibile, di applicare modalità indifferenziate che non tengano conto delle finalità sottostanti alla trasparenza, nonché delle diverse situazioni personali. Mentre alcuni documenti possono essere forniti agevolmente ai cittadini solo a richiesta, altri possono essere pubblicati, anche in rete, integralmente o per estratto.• Con un approccio equilibrato e meditato, lente locale dovrebbe fare, opportunamente, largo uso di nuove tecnologie che facilitino la conoscenza da parte dei cittadini, tenuto conto anche del diritto allutilizzo nei loro confronti delle tecnologie telematiche (art. 3 d.lg. 7 marzo 2005, n. 82, recante il "Codice dellamministrazione digitale").
  • Accessi selezionati [1/2]• Laddove la finalità da perseguire riguardi prevalentemente solo una o alcune categorie di persone, andrebbero previste forme di accesso in rete selezionato, attribuendo agli interessati una chiave personale (username e password; n. di protocollo o altri estremi identificativi di una pratica forniti dallente agli aventi diritto). – Ad esempio, la pubblicità tramite siti web su talune procedure concorsuali può essere perseguita divulgando integralmente alcuni atti (ad es., deliberazioni che indicono concorsi o approvano graduatorie), indicando invece in sezioni dei siti ad accesso selezionato alcuni dettagli conoscibili da interessati e controinteressati (elaborati, verbali, valutazioni, documentazione personale comprovante titoli).
  • Accessi selezionati [2/2]• Accorgimenti analoghi andrebbero previsti, a seconda dei casi, con riferimento alle graduatorie relative al riconoscimento di autorizzazioni, agevolazioni, benefici ed iniziative a vantaggio di categorie di cittadini (es., procedure per ammettere minori ad asili nido, per assegnare alloggi di edilizia residenziale pubblica, per valutare domande di mobilità o rilasciare autorizzazioni e concessioni edilizie).• In questi casi occorre evitare, nuovamente, di considerare la protezione dei dati come un ostacolo alla trasparenza, prevenendo al tempo stesso la superflua e ingiustificata diffusione indifferenziata di specifiche informazioni e dettagli ininfluenti (che restano conoscibili, in base alla legge, dai soli soggetti legittimati nel caso concreto).
  • Albo pretorio [1/2]• Nellarticolare in modo equilibrato le diverse situazioni prima sintetizzate, lente locale deve anche tenere presente che, per assicurare determinati effetti dichiarativi, il predetto Testo unico delle leggi sullordinamento degli enti locali prevede che la pubblicazione di tutte le deliberazioni del comune e della provincia debba avvenire non in rete, ma mediante materiale affissione allalbo pretorio nella sede dellente, per quindici giorni consecutivi, salvo quanto previsto da specifiche disposizioni di legge (art. 124 d.lg n. 267/2000 citato)
  • Albo pretorio [2/2]• La pubblicazione delle deliberazioni nellalbo pretorio è quindi lecita e non contrasta, per ciò stesso, con la protezione dei dati personali, sempreché sia effettuata osservando gli accorgimenti di seguito indicati.• Questa fattispecie è ora ancora più delicata in quanto sono state prescritte anche per questi atti modalità di pubblicazione on line.
  • Attenzione a quello che si pubblica• Peraltro, questa forma di pubblicazione obbligatoria non autorizza, di per sé, a trasporre tutte le deliberazioni così pubblicate in una sezione del sito Internet dellente liberamente consultabile. Al tempo stesso, la previsione normativa in questione non preclude neanche allente di riprodurre in rete alcuni dei predetti documenti, sulla base di una valutazione responsabile e attenta ai richiamati princìpi e limiti.• Riguardo alla diretta indicazione di dati personali nelle deliberazioni da pubblicare presso lalbo pretorio, va rispettato il richiamato principio di pertinenza e non eccedenza (o, se i dati sono sensibili o giudiziari, di indispensabilità) rispetto alle finalità perseguite con i singoli atti. – Si pensi, ad esempio, al dettaglio di dati che possono essere indicati nella redazione di verbali e di resoconti dellattività degli organi collegiali o assembleari, in rapporto al fine di rispettare il principio di pubblicità dellattività istituzionale.
  • Tecnica di redazione [1/2]• La circostanza secondo la quale tutte le deliberazioni sono pubblicate deve indurre lamministrazione comunale a valutare con estrema attenzione le stesse tecniche di redazione delle deliberazioni e dei loro allegati. Ciò, soprattutto quando vengono in considerazione informazioni sensibili – si pensi ad esempio agli atti adottati nel quadro dellattività di assistenza e beneficenza, che comportano spesso la valutazione di circostanze e requisiti personali che attengono a situazioni di particolare disagio – può risultare ad esempio utile menzionare tali dati solo negli atti a disposizione negli uffici (richiamati quale presupposto della deliberazione e consultabili solo da interessati e controinteressati), come pure menzionare delicate situazioni di disagio personale solo sulla base di espressioni di carattere più generale o, se del caso, di codici numerici
  • Tecnica di redazione [2/2]• Occorre, poi, una specifica valutazione per selezionare le informazioni sensibili o a carattere giudiziario che possono essere diffuse. Resta salvo il divieto di diffondere dati idonei a rivelare lo stato di salute degli interessati (artt. 22, comma 8, 65, comma 5, e 68, comma 3, del Codice): è il caso, ad esempio, dellindicazione di specifici elementi identificativi dello stato di diversamente abile.
  • Diffusione di dati personali su Internet [1/3]• Alcune disposizioni di legge o di regolamento dispongono la necessaria messa a disposizione di determinati atti e documenti sul sito web dellente locale.• Ad esempio, lente locale è soggetto ai predetti obblighi di rendere noti, attraverso il proprio sito web, lorganigramma degli uffici corredato dal nominativo dei dirigenti responsabili, nonché il nominativo e lammontare della retribuzione dei dirigenti con incarico conferito ai sensi dellart. 19, comma 6, del d.lg. 30 marzo 2001, n. 165, dei consulenti, e dei titolari di incarichi corrisposti (art. 54 d.lg. n. 82/2005 citato; art. 1, comma 593, l. n. 296/2006 citato).
  • Diffusione di dati personali su Internet [2/3]• La diffusione in Internet di dati personali pone specifiche valutazioni in rapporto ai diritti degli interessati. I dati così messi a disposizione di un numero indefinito di persone sono consultabili da molteplici luoghi e in qualsiasi momento. Il loro "carattere ubiquitario" è valorizzato dal crescente accesso ad Internet. Attraverso i motori interni ed esterni di ricerca può essere ricostruito unitariamente un numero ingente di dati riferiti a soggetti individuati, più o meno aggiornati e di natura differente.• Decorsi determinati periodi di tempo, la diffusione tramite siti web di tali dati può comportare un sacrificio sproporzionato dei diritti degli interessati specie se si tratta di provvedimenti risalenti nel tempo e che hanno raggiunto le loro finalità. Lente locale, oltre ad assicurare lesattezza, laggiornamento e la pertinenza e non eccedenza dei dati, deve garantire il rispetto del diritto alloblio dellinteressato una volta perseguite le finalità poste alla base del trattamento (art. 11, comma 1, lett. c), d) ed e), del Codice).
  • Diffusione di dati personali su Internet [3/3]• Nel rispetto di eventuali (e, allo stato, rare) disposizioni di legge o di regolamento che impongano specificamente la messa a disposizione su Internet di dati personali per puntuali periodi, lente può trovarsi di fronte allesigenza di stabilire in via amministrativa per quali congrui periodi di tempo mantenere in rete documenti contenenti dati personali. In tal caso lente, dopo aver valutato se è giustificato includere i documenti diffusi in eventuali sezioni del sito che li rendano direttamente individuabili in rete a partire anche da motori di ricerca esterni al sito stesso, deve individuare, opportunamente, con regolamento, periodi di tempo congrui rispetto alle finalità perseguite. Decorsi tali periodi, determinati documenti o sezioni del sito dovrebbero rimanere in rete, ma essere consultabili solo a partire dal sito stesso.
  • Fattispecie concrete• Per chi volesse approfondire ... il provvedimento in parola prende in esame alcune fattispecie concrete di interesse per gli Enti. – atti anagrafici – estratti degli atti dello stato civile – pubblicazioni matrimoniali – organizzazione degli uffici – dati reddituali – retribuzioni, compensi ed emolumenti – autorizzazioni e concessioni edilizie – concorsi pubblici – asili nido – alienazione e assegnazione di alloggi di edilizia agevolata – graduatorie delle domande di mobilità
  • Linee guida in materia di trattamento didati personali contenuti anche in atti edocumenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web G.U. n. 64 del 19 marzo 2011Provvedimento n. 88 del 2 marzo 2011
  • Ambito di applicazione• Lattuale processo di innovazione e digitalizzazione della pubblica amministrazione è caratterizzato da numerose iniziative, anche legislative, volte a migliorare lefficienza, lefficacia e la qualità delle prestazioni e dei servizi erogati dai soggetti pubblici mediante lincremento dellutilizzo delle tecnologie informatiche e telematiche.• Le recenti disposizioni in materia di trasparenza e pubblicità dellazione amministrativa e quelle sulla consultabilità degli atti prevedono in capo ai soggetti pubblici diversi obblighi di messa a disposizione delle relative informazioni da realizzare con modalità di divulgazione e ambiti di conoscenza di tipo differente, comportando, a seconda dei casi, operazioni di comunicazione oppure di diffusione di dati personali.
  • Scopo delle Linee guida• La disciplina sulla protezione dei dati personali regola la comunicazione e la diffusione delle informazioni personali in maniera tendenzialmente uniforme, indipendentemente dalle modalità tecniche utilizzate; ciò, sia nei casi in cui i dati personali siano resi noti mediante una pubblicazione cartacea, sia laddove tali informazioni siano messe a disposizione on line tramite una pagina web.• Le Linee guida hanno, pertanto, lo scopo di definire un primo quadro unitario di misure e accorgimenti finalizzati a individuare opportune cautele che i soggetti pubblici sono tenuti ad applicare in relazione alle ipotesi in cui effettuano, in attuazione alle disposizioni normative vigenti, attività di comunicazione o diffusione di dati personali sui propri siti istituzionali per finalità di trasparenza, pubblicità dellazione amministrativa, nonché di consultazione di atti su iniziativa di singoli soggetti.
  • Eccezione istanze di accesso• Non sono presi in considerazione in questo provvedimento i casi in cui i soggetti pubblici sono destinatari di istanze di accesso ai dati personali, in quanto il dare conoscenza allinteressato delle informazioni in possesso dellamministrazione non configura unoperazione di comunicazione (artt. 4, comma 1, lett. l) e 7 del Codice).
  • Trattamento di dati in ambito pubblico [1/2]• I soggetti pubblici possono utilizzare informazioni personali per lo svolgimento delle proprie funzioni istituzionali anche in mancanza di una norma di legge o di regolamento che preveda espressamente il trattamento di dati personali e non devono richiedere il consenso dellinteressato (artt. 18, commi 2 e 4, 19, comma 1, del Codice).
  • Trattamento di dati in ambito pubblico [2/2]• Resta fermo che per la comunicazione e la diffusione devono comunque essere applicate le seguenti regole:1. in relazione alle sole operazioni di comunicazione e di diffusione, le pubbliche amministrazioni, nel mettere a disposizione sui propri siti istituzionali dati personali, contenuti anche in atti e documenti amministrativi (in forma integrale, per estratto, ivi compresi gli allegati), devono preventivamente verificare che una norma di legge o di regolamento preveda tale possibilità (artt. 4, comma 1, lett. l) e m), 19, comma 3, 20 e 21, del Codice)2. resta fermo inoltre che la pubblicazione di dati personali aventi natura sensibile è consentita solo se autorizzata da espressa disposizione di legge nella quale siano specificati i tipi di dati, le operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite ovvero qualora tale operazione sia identificata nel regolamento che lamministrazione è tenuta ad adottare, previo parere conforme del Garante (art. 20, commi 1 e 2, del Codice)3. fermo restando comunque il generale divieto di diffusione dei dati idonei a rivelare lo stato di salute dei singoli interessati (artt. 22, comma 8, 65, comma 5, 68, comma 3, del Codice)
  • La recente riforma in materia di trasparenza• Le amministrazioni possono disporre la pubblicazione sul proprio sito web di informazioni personali individuate - sulla base di precisi obblighi normativi, in parte previsti dal d.lgs. n. 150/2009, in parte da altre normative previgenti - nel Programma triennale per la trasparenza e lintegrità che ciascuna amministrazione è tenuta ad adottare in conformità alle "Linee guida per la predisposizione del Programma triennale per la trasparenza e lintegrità“ (CIVIT).• In tale quadro, qualora lamministrazione decida, sulla base di una valutazione responsabile e attenta ai limiti richiamati, di prevedere la pubblicazione di ulteriori dati, in assenza di specifici obblighi normativi e in aggiunta a quelli elencati nelle Linee guida della Civit, dovrà motivare adeguatamente la propria scelta nellambito dello stesso Programma triennale, dimostrando lidoneità di tale pubblicazione, in relazione alle finalità perseguite, e il rispetto dei principi di necessità, proporzionalità e pertinenza dei dati.
  • Pubblicazione di informazioni personali su richiesta dell’interessato• Nellambito dei rapporti intercorrenti con lamministrazione pubblica, gli interessati possono formulare specifiche richieste volte a ottenere che taluni propri dati personali siano pubblicati sul sito istituzionale dellamministrazione.• Tali richieste possono riguardare informazioni personali che sono già nella disponibilità dellamministrazione in quanto acquisite per lo svolgimento delle proprie funzioni istituzionali, ovvero che possono essere conferite facoltativamente dallinteressato allo specifico scopo di consentirne la diffusione (art. 13, comma 1, lett. b), del Codice).• E facoltà dellamministrazione valutare se prendere in esame tali richieste di pubblicazione, che comunque potranno essere accolte solo allesito di unattenta verifica con cui si accerti che tale operazione sia compatibile con lo svolgimento delle proprie funzioni istituzionali e che i dati oggetto di diffusione on line risultino pertinenti e non eccedenti rispetto alle finalità perseguite.
  • Sindacato del Garante• Tutte le decisioni assunte dalle amministrazioni in relazione alla pubblicazione sui propri siti istituzionali di atti e documenti contenenti dati personali possono essere oggetto di sindacato da parte del Garante al fine di verificare che siano rispettati i principi di necessità, proporzionalità e pertinenza dei dati (artt. 3 e 11, comma 1, del Codice).
  • Trasparenza, pubblicità e consultabilità [1/3]TRASPARENZA• La disponibilità sui siti istituzionali delle amministrazioni di atti e documenti amministrativi, contenenti dati personali, per finalità di trasparenza è volta a garantire una conoscenza generalizzata delle informazioni concernenti aspetti dellorganizzazione dellamministrazione al fine di assicurare un ampio controllo sulle capacità delle pubbliche amministrazioni di raggiungere gli obiettivi, nonché sulle modalità adottate per la valutazione del lavoro svolto dai dipendenti pubblici.
  • Trasparenza, pubblicità e consultabilità [2/3]PUBBLICITÀ• La disponibilità on line per finalità di pubblicità è volta a far conoscere lazione amministrativa in relazione al rispetto dei principi di legittimità e correttezza, nonché a garantire che gli atti amministrativi producano effetti legali al fine di favorire eventuali comportamenti conseguenti da parte degli interessati.
  • Trasparenza, pubblicità e consultabilità [3/3]CONSULTABILITÀ• La disponibilità sui siti istituzionali delle amministrazioni di atti e documenti amministrativi per finalità di consultabilità è volta a consentire la messa a disposizione degli stessi solo a soggetti determinati - anche per categorie - al fine di garantire in maniera agevole la partecipazione alle attività e ai procedimenti amministrativi.
  • Valutazione• La comunicazione o la diffusione possono perseguire una delle seguenti finalità: 1. trasparenza 2. pubblicità 3. consultabilità• Occorre una valutazione da parte delle amministrazioni pubbliche, nel rispetto dei principi di necessità e proporzionalità del trattamento dei dati personali (artt. 3 e 11 del Codice), in modo da garantire modalità differenziate di messa a disposizione di dati e documenti tenendo conto delle diverse finalità sopra evidenziate e descritte, delle tipologie di informazioni oggetto di divulgazione, nonché degli strumenti e dei mezzi utilizzati per assicurarne la conoscibilità, affinché siano correttamente rispettati i diritti degli interessati.
  • Accorgimenti tecnici e finalità perseguite• Occorre preliminare individuare: – la finalità istituzionale – la norma di riferimento – i dati da comunicare/diffondere ( ... termini ...) – i soggetti destinatari delle informazioni• Occorre implementare gli accorgimenti tecnici che consentano il rispetto dei principi generali di: – Necessità – Proporzionalità – Pertinenza – Esattezza e qualità dei dati
  • Pubblicazione on line “alert”• limite temporale• conoscenza solo da parte di certi soggetti e solo in certe ipotesi• manipolazione del dato• acquisizione e memorizzazione indebita del dato• reperimento da parte dei motori di ricerca e contestualizzazione del dato
  • Motori di ricerca• Opzioni – Reperibilità da motori di ricerca esterni – Reperibilità da motori di ricerca solo interni • Contestualità • Maggior fruibilità delle informazioni sul sito• Accorgimenti – metatag noindex e noarchive – Codifica di regole di esclusione (robots.txt) • Robot Exclusion Protocol
  • Tempi “proporzionati” e diritto all’oblio• Individuare un congruo periodo di tempo entro il quale devono rimanere disponibili – termine prescritto dalla stessa norma – tenuto conto delle finalità perseguite e dello scopo del precetto normativo ove non espressamente individuato il termine – anonimizzazione dei dati (successivamente) – cancellazione una volta raggiunto lo scopo • sistemi automatizzati di rimozione • cache dei motori di ricerca • diritto all’oblio (provv. 1116068) • memoria storica e memorizzazione in una partizione ad accesso controllato
  • Query massive e duplicazione del data base• Adottare cautele per ostacolare operazioni di duplicazione massiva dei file [(ad esempio mediante software automatici (robot)] – Firewall che controllo tempi e numero degli accessi – Strumenti che inibiscono il robot (es. codici CAPTCHA) e che comunque rallentano l’attività dell’utente
  • Dati esatti e aggiornati• Obbligo posto in capo alle amministrazioni pubbliche di garantire "che le informazioni contenute sui siti siano conformi e corrispondenti alle informazioni contenute nei provvedimenti amministrativi originali dei quali si fornisce comunicazione tramite il sito“• Impiego di copie di documenti originali (v. CAD)• Impiego di firma digitale o tecniche analoghe• Inserimento di dati di contesto (data di aggiornamento, periodo di validità, amministrazione, segnatura di protocollo o dell’albo, ecc.) (attenzione ai motori di ricerca che, infatti, decontestualizzano)
  • Fattispecie esemplificative• Informazioni riferite agli addetti ad una funzione pubblica• Situazione patrimoniale di titolari di cariche e incarichi pubblici• Ruoli del personale e bollettini ufficiali• Albo dei beneficiari di provvidenze di natura economica
  • Pubblicità degli atti e Albo pretorio on line• Verificare se i dati personali contenuti in atti e documenti messi a disposizione sul sito istituzionale devono essere resi conoscibili allintera collettività dei consociati (quindi liberamente reperibili da chiunque sul sito istituzionale), ovvero ai soli utenti che hanno richiesto un servizio, ovvero agli interessati o ai contro interessati in un procedimento amministrativo (utilizzando in tale caso regole per garantire unaccessibilità selezionata).• Nelladempimento degli obblighi di pubblicazione on line di atti e provvedimenti amministrativi aventi effetto di pubblicità legale di cui alla legge n. 69/2009, risulta sproporzionato, rispetto alla finalità perseguita, consentirne lindiscriminata reperibilità tramite i comuni motori di ricerca, essendo invece ragionevole delimitarne la pubblicazione in una sezione del sito istituzionale, limitando lindicizzazione dei documenti e il tempo di mantenimento della diffusione dei dati.
  • Esempi• Concorsi e selezioni pubbliche• Graduatorie, elenchi professionali e altri atti riguardanti il personale• Atti e documenti indirizzati a persone specifiche• Elenchi del collocamento obbligatorio dei disabili
  • • Cos’è ? – Commissione per la Valutazione, la Trasparenza e l’Integrità delle Amministrazioni Pubbliche• Provvedimenti – Delibera n. 6 del 25 febbraio 2010 – Delibera n. 105 del 23 settembre 2010 • Linee Guida per la predisposizione del Programma triennale per la trasparenza e l’integrità (d.lgs. 150/2009, art. 16, c. 6, lett. e)
  • Linee Guida per i siti web della P.A.• Linee Guida 2010 di DigitPA e Formez, ai sensi dell’art. 4 della direttiva 8/2009 del Ministro per la pubblica amministrazione e l’innovazione – Suggerire criteri e strumenti per la riduzione dei siti web pubblici obsoleti ed il miglioramento di quelli attivi, in termini di principi generali, gestione e aggiornamento, contenuti minimi
  • Caratteristiche dei siti art. 53, CAD1. Le pubbliche amministrazioni centrali realizzano siti istituzionali su reti telematiche che rispettano i principi di accessibilità, nonché di elevata usabilità e reperibilità, anche da parte delle persone disabili, completezza di informazione, chiarezza di linguaggio, affidabilità, semplicità dì consultazione, qualità, omogeneità ed interoperabilità. Sono in particolare resi facilmente reperibili e consultabili i dati di cui allarticolo 54.2. Il CNIPA [?] svolge funzioni consultive e di coordinamento sulla realizzazione e modificazione dei siti delle amministrazioni centrali.3. Lo Stato promuove intese ed azioni comuni con le regioni e le autonomie locali affinché realizzino siti istituzionali con le caratteristiche di cui al comma 1.
  • Contenuto dei siti art. 54, CAD [1/2]1. I siti delle pubbliche amministrazioni contengono necessariamente i seguenti dati pubblici:a) lorganigramma, larticolazione degli uffici, le attribuzioni e lorganizzazione di ciascun ufficio anche di livello dirigenziale non generale, i nomi dei dirigenti responsabili dei singoli uffici, nonché il settore dellordinamento giuridico riferibile allattività da essi svolta, corredati dai documenti anche normativi di riferimento;b) lelenco delle tipologie di procedimento svolte da ciascun ufficio di livello dirigenziale non generale, il termine per la conclusione di ciascun procedimento ed ogni altro termine procedimentale, il nome del responsabile e lunità organizzativa responsabile dellistruttoria e di ogni altro adempimento procedimentale, nonché delladozione del provvedimento finale, come individuati ai sensi degli articoli 2, 4 e 5 della legge 7 agosto 1990, n. 241;c) le scadenze e le modalità di adempimento dei procedimenti individuati ai sensi degli articoli 2 e 4 della legge 7 agosto 1990, n. 241;d) lelenco completo delle caselle di posta elettronica istituzionali attive, specificando anche se si tratta di una casella di posta elettronica certificata di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68;e) le pubblicazioni di cui allarticolo 26 della legge 7 agosto 1990, n. 241, nonché i messaggi di informazione e di comunicazione previsti dalla legge 7 giugno 2000, n. 150;f) lelenco di tutti i bandi di gara;g) lelenco dei servizi forniti in rete già disponibili e dei servizi di futura attivazione, indicando i tempi previsti per lattivazione medesima.g-bis) i bandi di concorso.
  • Contenuto dei siti art. 54, CAD [2/2]2-ter. Le amministrazioni pubbliche pubblicano nei propri siti un indirizzo istituzionale di posta elettronica certificata a cui il cittadino possa rivolgersi per qualsiasi richiesta ai sensi del presente codice. Le amministrazioni devono altresì assicurare un servizio che renda noti al pubblico i tempi di risposta.2-quater. Le amministrazioni pubbliche che già dispongono di propri siti devono pubblicare il registro dei processi automatizzati rivolti al pubblico. Tali processi devono essere dotati di appositi strumenti per la verifica a distanza da parte del cittadino dell’avanzamento delle pratiche che lo riguardano.3. I dati pubblici contenuti nei siti delle pubbliche amministrazioni sono fruibili in rete gratuitamente e senza necessità di identificazione informatica.4. Le pubbliche amministrazioni garantiscono che le informazioni contenute sui siti siano conformi e corrispondenti alle informazioni contenute nei provvedimenti amministrativi originali dei quali si fornisce comunicazione tramite il sito.4-bis. La pubblicazione telematica produce effetti di pubblicità legale nei casi e nei modi espressamente previsti dallordinamento.
  • QUANTO E COME SONO TRASPARENTI LE GRANDI CITTÀ SUL WEB: UN’ANALISI DI FORUM PA• http://www.zeroventiquattro.it/enti- pubblici/quanto-e-come-sono-trasparenti- le-grandi-citta-sul-web- un%E2%80%99analisi-di-forum-pa/
  • Linee guida per la stesura diconvenzioni per la fruibilità dei dati delle pubbliche amministrazioni DigitPA, 22 aprile 2011
  • Fruibilità dei dati art. 58, c. 2, CAD2. Ai sensi dell’articolo 50, comma 2, nonché al fine di agevolare l’acquisizione d’ufficio ed il controllo sulle dichiarazioni sostitutive riguardanti informazioni e dati relativi a stati, qualità personali e fatti di cui agli articoli 46 e 47 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, le Amministrazioni titolari di banche dati accessibili per via telematica predispongono, sulla base delle linee guida redatte da DigitPA, sentito il Garante per la protezione dei dati personali, apposite convenzioni aperte all’adesione di tutte le amministrazioni interessate volte a disciplinare le modalità di accesso ai dati da parte delle stesse amministrazioni procedenti, senza oneri a loro carico. Le convenzioni valgono anche quale autorizzazione ai sensi dell’articolo 43, comma 2, del citato decreto del Presidente della Repubblica n. 445 del 2000.3. DigitPA provvede al monitoraggio dell’attuazione del presente articolo, riferendo annualmente con apposita relazione al Ministro per la pubblica amministrazione e l’innovazione e alla Commissione per la valutazione, la trasparenza e l’integrità delle amministrazione pubbliche di cui all’articolo 13 del decreto legislativo 27 ottobre 2009, n. 150.3bis.In caso di mancata predisposizione delle convenzioni di cui al comma 2, il Presidente del Consiglio dei Ministri stabilisce un termine entro il quale le amministrazioni interessate devono provvedere. Decorso inutilmente il termine, il Presidente del Consiglio dei Ministri può nominare un commissario ad acta incaricato di predisporre le predette convenzioni. Al Commissario non spettano compensi, indennità o rimborsi.
  • Disponibilità dei dati Art. 50, CAD1. I dati delle pubbliche amministrazioni sono formati, raccolti, conservati, resi disponibili e accessibili con luso delle tecnologie dellinformazione e della comunicazione che ne consentano la fruizione e riutilizzazione, alle condizioni fissate dallordinamento, da parte delle altre pubbliche amministrazioni e dai privati; restano salvi i limiti alla conoscibilità dei dati previsti dalle leggi e dai regolamenti, le norme in materia di protezione dei dati personali ed il rispetto della normativa comunitaria in materia di riutilizzo delle informazioni del settore pubblico.2. Qualunque dato trattato da una pubblica amministrazione, con le esclusioni di cui allarticolo 2, comma 6, salvi i casi previsti dallarticolo 24 della legge 7 agosto 1990, n. 241, e nel rispetto della normativa in materia di protezione dei dati personali, è reso accessibile e fruibile alle altre amministrazioni quando lutilizzazione del dato sia necessaria per lo svolgimento dei compiti istituzionali dellamministrazione richiedente, senza oneri a carico di questultima, salvo per la prestazione di elaborazioni aggiuntive è fatto comunque salvo il disposto dellarticolo 43, comma 4, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445.3. Al fine di rendere possibile lutilizzo in via telematica dei dati di una pubblica amministrazione da parte dei sistemi informatici di altre amministrazioni lamministrazione titolare dei dati predispone, gestisce ed eroga i servizi informatici allo scopo necessari, secondo le regole tecniche del sistema pubblico di connettività di cui al presente decreto.
  • Art. 15 – L. 183/2011L’Art. 15, comma 1, L. 183/2011 [rectius art. 40, D.P.R. 445/2000], in punto dispone:«01. Le certificazioni rilasciate dalla pubblica amministrazione in ordine a stati, qualità personali e fatti sono valide e utilizzabili solo nei rapporti tra privati. Nei rapporti con gli organi della pubblica amministrazione e i gestori di pubblici servizi i certificati e gli atti di notorietà sono sempre sostituiti dalle dichiarazioni di cui agli articoli 46 e 47.02. Sulle certificazioni da produrre ai soggetti privati è apposta, a pena di nullità, la dicitura: “Il presente certificato non può essere prodotto agli organi della pubblica amministrazione o ai privati gestori di pubblici servizi.».
  • Art. 43 – D.p.r. 445/2000«1. Le amministrazioni pubbliche e i gestori di pubblici servizi sono tenuti ad acquisire dufficio le informazioni oggetto delle dichiarazioni sostitutive di cui agli articoli 46 e 47, nonché tutti i dati e i documenti che siano in possesso delle pubbliche amministrazioni, previa indicazione, da parte dellinteressato, degli elementi indispensabili per il reperimento delle informazioni o dei dati richiesti, ovvero ad accettare la dichiarazione sostitutiva prodotta dallinteressato.».
  • Art. 71 – D.p.r. 445/2000«1. Le amministrazioni procedenti sono tenute ad effettuare idonei controlli, anche a campione, e in tutti i casi in cui sorgono fondati dubbi, sulla veridicità delle dichiarazioni sostitutive di cui agli articoli 46 e 47.2. I controlli riguardanti dichiarazioni sostitutive di certificazione sono effettuati dallamministrazione procedente con le modalità di cui allarticolo 43 consultando direttamente gli archivi dellamministrazione certificante ovvero richiedendo alla medesima, anche attraverso strumenti informatici o telematici, conferma scritta della corrispondenza di quanto dichiarato con le risultanze dei registri da questa custoditi. (R)3. Qualora le dichiarazioni di cui agli articoli 46 e 47 presentino delle irregolarità o delle omissioni rilevabili dufficio, non costituenti falsità, il funzionario competente a ricevere la documentazione dà notizia allinteressato di tale irregolarità. Questi è tenuto alla regolarizzazione o al completamento della dichiarazione; in mancanza il procedimento non ha seguito.4. Qualora il controllo riguardi dichiarazioni sostitutive presentate ai privati che vi consentono di cui allarticolo 2, lamministrazione competente per il rilascio della relativa certificazione, previa definizione di appositi accordi, è tenuta a fornire, su richiesta del soggetto privato corredata dal consenso del dichiarante, conferma scritta, anche attraverso luso di strumenti informatici o telematici, della corrispondenza di quanto dichiarato con le risultanze dei dati da essa custoditi.»
  • Destinatari• le presenti linee guida sono rivolte a: – tutte le amministrazioni dello Stato, ivi compresi gli istituti e le scuole di ogni ordine e grado e le istituzioni educative, le aziende ed amministrazioni dello Stato ad ordinamento autonomo, le Regioni, le Province, i Comuni, le Comunità montane, e loro consorzi e associazioni, le istituzioni universitarie, gli Istituti autonomi case popolari, le Camere di commercio, industria, artigianato e agricoltura e loro associazioni, tutti gli Enti pubblici non economici nazionali, regionali e locali, le amministrazioni, le aziende e gli Enti del Servizio sanitario nazionale, lAgenzia per la rappresentanza negoziale delle pubbliche amministrazioni (ARAN) e le Agenzie di cui al Decreto legislativo 30 luglio 1999, n. 300 (art. 1, comma 2, del Decreto legislativo 30 marzo 2001, n. 165); – le società, interamente partecipate da enti pubblici o con prevalente capitale pubblico inserite nel conto economico consolidato della pubblica amministrazione, come individuate dallIstituto nazionale di statistica (ISTAT) ai sensi dellarticolo 1, comma 5, della legge 30 dicembre 2004, n. 311; – i gestori di servizi pubblici e gli organismi di diritto pubblico.
  • Termini di adempimento• In relazione a quanto disposto dall’art. 57 comma 14 del D.Lgs. 235/2010 le convenzioni in parola devono essere predisposte entro 12 mesi dall’entrata in vigore del decreto medesimo. Ciò stante, come previsto dall’art. 58, comma 3-bis del CAD, in caso di mancata predisposizione delle convenzioni, il Presidente del Consiglio dei Ministri stabilisce un termine entro il quale le amministrazioni interessate devono provvedere. Decorso inutilmente tale termine, lo stesso Presidente del Consiglio potrà nominare un commissario ad acta.
  • Per la valutazione e la misurazione• ai sensi dell’art. 12 comma 1-ter del CAD, le disposizioni richiamate nelle linee guida sono rilevanti ai fini della misurazione e della valutazione della performance sia organizzativa, sia individuale previste dagli articoli 8 e 9 del Decreto legislativo 27 ottobre 2009, n. 150, di attuazione della Legge 4 marzo 2009, n. 15, in materia di ottimizzazione della produttività del lavoro pubblico e di efficienza e trasparenza delle pubbliche amministrazioni.
  • Contesto• Il contesto cui fanno riferimento le presenti linee guida è quello delineato dal CAD e, in quanto tale, riferito alle pubbliche amministrazioni connesse per il tramite del Sistema Pubblico di Connettività (SPC).
  • Quali solo le PA connesse al SPC ?• ai sensi dell’art. 75, comma 1 del CAD, al sistema pubblico di connettività si collegano tutte le pubbliche amministrazioni indicate dall’art. 1 comma 2, del Decreto legislativo 30 marzo 2001, n. 165 e le società, interamente partecipate da enti pubblici o con prevalente capitale pubblico inserite nel conto economico consolidato della pubblica amministrazione, come individuate dallIstituto nazionale di statistica (ISTAT) ai sensi dellarticolo 1, comma 5, della legge 30 dicembre 2004, n. 311
  • SPC e Sicurezza• DPCM 1 aprile 2008, Regole tecniche e di sicurezza per il funzionamento del Sistema pubblico di connettività, garantisce un adeguato livello di sicurezza e di fiducia nella interazione tra le pubbliche amministrazioni.• la governance del SPC è affidata alla Commissione di coordinamento di cui all’ art. 79 del CAD che assicura un continuo aggiornamento del sistema.• A tale proposito, come previsto dall’art. 76 del CAD gli scambi di documenti informatici tra le pubbliche amministrazioni nellambito del SPC, realizzati attraverso la cooperazione applicativa e nel rispetto delle relative procedure e regole tecniche di sicurezza, costituiscono invio documentale valido ad ogni effetto di legge.• Gli altri soggetti che al momento ancora non aderiscono all’SPC devono esplicitamente prevedere idonee misure di sicurezza all’interno delle convenzioni che stipulano, in linea con le indicazioni che seguono.
  • Raccolta del dato• Le informazioni o i dati necessari per l’espletamento delle attività istituzionali delle pubbliche amministrazioni devono essere raccolti e formati secondo criteri di economicità e di pubblicità• Le pubbliche amministrazioni prima di procedere alla raccolta diretta di nuovi dati, sono tenute a verificare se le informazioni relative possano essere acquisite attraverso la fruibilità di dati in possesso di altre pubbliche amministrazioni o soggetti pubblici• A tal fine è necessario che le diverse tipologie di dati che possono essere fruibili da altre pubbliche amministrazioni siano rese pubbliche sul sito web delle rispettive amministrazione titolari, in un’apposita sezione, denominata “DATI FRUIBILI DA ALTRE AMMINISTRAZIONI”, unitamente alle relative modalità di accesso
  • Formazione del dato• Per un efficace ed efficiente scambio dei dati è indispensabile che le pubbliche amministrazioni adottino soluzioni informatiche che assicurino l’interoperabilità e la cooperazione applicativa e consentano la rappresentazione del dato in più formati, di cui almeno uno di tipo aperto, ossia reso pubblico e documentato esaustivamente (art. 68, CAD).
  • Accesso alla banca dati• Le pubbliche amministrazioni che aderiscono alle convenzioni possono avvalersi per l’accesso ai servizi d’interscambio, di altra pubblica amministrazione, ovvero di altro soggetto delegato o incaricato, previa comunicazione all’amministrazione erogatore. Tale eventualità deve essere, naturalmente, esplicitamente indicata nella convenzione, nel rispetto della disciplina sul trattamento dei dati personali.
  • Opzioni tecniche per l’accesso• cooperazione applicativa, componente del sistema pubblico di connettività finalizzata allinterazione tra i sistemi informatici delle pubbliche amministrazioni per garantire lintegrazione dei metadati, delle informazioni e dei procedimenti amministrativi;• accesso via web, attraverso il sito istituzionale dell’amministrazione titolare dei dati o un sito tematico all’uopo predisposto.
  • Modalità alternative e transitorie• Fermo restando le modalità di accesso telematico definite al punto precedente, che devono considerarsi quelle di riferimento, le amministrazioni possono utilizzare modalità alternative, laddove si presentino documentabili vantaggi economici o la situazione infrastrutturale e organizzativa non consenta l’adozione di quelle sopra riportate. In tali casi, le modalità di accesso telematico prevedibili sono: – soluzioni di “Trasferimento di File” in modalità FTP, qualora preesistenti investimenti, la natura stessa delle richieste e le specifiche condizioni facciano propendere per tale soluzione; – la posta elettronica certificata, nei casi specifici, quando la periodicità di acquisizione del dato è limitata (in linea di massima una volta all’anno o meno) e la quantità dei dati da acquisire è contenuta (dell’ordine massimo di 1MB), ovvero in caso di maggiore economicità della soluzione.
  • Servizi erogabili• Servizi di ricerca che consentano, ad esempio, di cercare i dati in base al contenuto di metadati e di visualizzare il contenuto dei metadati medesimi• Servizi di consultazione• Servizi di download
  • Sicurezza e Privacy• L’amministrazione erogatore deve disporre di informazioni complete e strutturate sulla molteplicità di soggetti che, a vario titolo, accedono alle banche dati
  • Documento dei flussi• l’amministrazione erogatore redige un documento, con formalità descrittive standard, che riporti tutti i flussi di trasferimento di dati da e verso la banca dati e tutti gli accessi di tipo interattivo o di altro genere, specificando per ciascun flusso o accesso: – lidentità dei soggetti legittimati a realizzarlo, la base normativa; – la finalità istituzionale, la natura e la qualità dei dati trasferiti o a cui si è avuto accesso; – la frequenza e il volume dei trasferimenti o degli accessi e il numero di soggetti che utilizzano la procedura. • Tale documento dovrà essere mantenuto costantemente aggiornato, nonché reso disponibile nel caso di controlli.
  • Controlli periodici “annuali”• Persistenza della finalità• Numero di utenze attive, anche in considerazione delle finalità• Controllo di conformità degli accessi
  • Garanzie per la correttezza del trattamento dei dati [1/7]• Le convenzioni stipulate con ciascun ente devono prevedere espressamente i vincoli necessari ad assicurare un corretto trattamento dei dati e devono stabilire le condizioni per escludere il rischio di duplicazione delle basi dati realizzata anche attraverso lutilizzo di strumenti automatizzati di interrogazione.
  • Garanzie per la correttezza del trattamento dei dati [2/7]• In particolare il fruitore: – utilizza le informazioni acquisite dal titolare esclusivamente per le finalità dichiarate, nel rispetto della normativa vigente, anche in materia di consultazione delle banche dati, osservando le misure di sicurezza ed i vincoli di riservatezza previsti dal Codice della Privacy – procede al trattamento dei dati personali, in particolare di quelli sensibili, osservando le misure di sicurezza ed i vincoli di riservatezza previsti dal Codice della Privacy rispettando i canoni di pertinenza e non eccedenza nel trattamento delle informazioni acquisite
  • Garanzie per la correttezza del trattamento dei dati [3/7]– garantisce che non si verifichino divulgazioni, comunicazioni, cessioni a terzi, né in alcun modo riproduzioni dei dati nei casi diversi da quelli previsti dalla legge, provvedendo ad impartire, ai sensi dell’art. 30 del Codice della Privacy, precise e dettagliate istruzioni agli incaricati del trattamento, richiamando la loro attenzione sulle responsabilità connesse all’uso illegittimo dei dati;– s’impegna a non duplicare i dati resi disponibili e a non creare autonome banche dati non conformi alle finalità per le quali è stato autorizzato l’accesso;– garantisce che l’accesso ai dati verrà consentito esclusivamente a personale o assimilati ovvero da soggetti che siano stati designati dal fruitore quali incaricati o responsabili esterni del trattamento dei dati;
  • Garanzie per la correttezza del trattamento dei dati [4/7]– ha consapevolezza del Codice della Privacy e della possibilità di controlli ivi previsti per verificare il rispetto dei vincoli di utilizzo dei servizi, previo preavviso tra le rispettive funzioni organizzative preposte alla sicurezza. Per l’espletamento di tali controlli, che potranno essere effettuati anche presso le sedi del fruitore dove viene utilizzato il servizio, Il fruitore si impegna a fornire ogni necessaria collaborazione;– si impegna, non appena siano state utilizzate le informazioni secondo le finalità dichiarate, a cancellare i dati ricevuti dal titolare;– si impegna a formare gli utenti abilitati sulle specifiche caratteristiche, proprietà e limiti del sistema utilizzato per l’accesso ai dati ed a controllarne il corretto utilizzo.
  • Garanzie per la correttezza del trattamento dei dati [5/7]– garantisce che l’adozione al proprio interno delle regole di sicurezza atte ad: • adottare procedure di registrazione che prevedano il riconoscimento diretto e l’identificazione certa dell’utente; • adottare regole di gestione delle credenziali di autenticazione e modalità che ne assicurino adeguati livelli di sicurezza quali ad esempio: – identificazione univoca di una persona fisica; – processi di emissione e distribuzione agli utenti in maniera sicura seguendo una stabilita procedura operativa; – possono essere costituite da un dispositivo in possesso ed uso esclusivo dell’incaricato e provvisto di pin o una coppia username/password, o, infine, da credenziali che garantiscano analoghe condizioni di robustezza; • nel caso le credenziali siano costituite da una coppia username/password, devono essere previste politiche di gestione della password che rispettino le misure minime di sicurezza previste dal Codice della Privacy; • la procedura di autenticazione dell’utente deve essere protetta dal rischio di intercettazione delle credenziali da meccanismi crittografici di robustezza adeguata.
  • Garanzie per la correttezza del trattamento dei dati [6/7]– si impegna ad utilizzare i sistemi di accesso ai dati in consultazione on line esclusivamente secondo le modalità con cui sono stati resi disponibili e, di conseguenza, a non estrarre i dati per via automatica e massiva (attraverso ad esempio i cosiddetti “robot”) allo scopo di velocizzare le attività e creare autonome banche dati non conformi alle finalità per le quali è stato autorizzato all’accesso;
  • Garanzie per la correttezza del trattamento dei dati [7/7]– s’impegna altresì a comunicare: • tempestivamente all’amministrazione titolare incidenti sulla sicurezza occorsi al proprio sistema di autenticazione qualora tali incidenti abbiano impatto direttamente o indirettamente nei processi di sicurezza afferenti la cooperazione applicativa l’amministrazione titolare; • al titolare ogni eventuale esigenza di aggiornamento di stato degli utenti gestiti (nuovi inserimenti, disabilitazioni, cancellazioni) in caso di consultazione on line; • al titolare ogni modificazione tecnica e/o organizzativa del proprio dominio, che comporti l’impossibilità di garantire l’applicazione delle regole di sopra riportate e/o la loro perdita di efficacia.– garantisce, in caso di cooperazione applicativa, che i servizi resi disponibili verranno esclusivamente integrati con il proprio sistema informativo e non saranno resi disponibili a terzi né direttamente né indirettamente per via informatica.– Infine il titolare, al fine di salvaguardare la sicurezza dei propri sistemi informativi, può prevedere ulteriori strumenti di gestione atti a gestire i profili di abilitazione, verificare accessi anomali, provvedere al tracciamento delle operazioni di accesso.
  • Livelli di servizio [1/2]• L’amministrazione titolare rende disponibili i dati, secondo predefiniti livelli di servizio, che tengono conto delle proprie esigenze e capacità elaborative e di una ragionevole previsione di soddisfacimento delle esigenze delle amministrazioni fruitori.• I livelli di servizio devono specificare, inoltre, eventuali limitazioni, restrizioni, condizioni esterne, affinché risultino chiare le prestazioni che l’infrastruttura messa a disposizione dall’amministrazione titolare è in grado di soddisfare.
  • Livelli di servizio [2/2]• l’amministrazione titolare ha l’obbligo di informare, nelle modalità concordate nell’allegato tecnico alla convenzione, i tempi previsti di interruzione programmata e ripristino del servizio• la convenzione deve esplicitare la disponibilità e le modalità di attivazione del servizio di assistenza, che l’amministrazione titolare dei dati è in grado di garantire all’amministrazione fruitore del dato• anche qualora tale servizio di assistenza non sia disponibile, l’amministrazione titolare è tenuta a indicare nella convenzione i recapiti di un responsabile – che potrà coincidere anche con il responsabile della convenzione – cui l’amministrazione fruitore potrà rivolgersi in caso di malfunzionamenti nell’accesso dei dati
  • Contenuto della convenzione• Ambito di applicazione e scopo• Modalità di accesso• Oneri economici• Durata della convenzione• Utilizzo dei dati• Conservazione dei dati• Titolarità del dato• Allegati alla convenzione – Glossario – Descrizione della infrastruttura – Modalità di fruizione dei dati e regole di accesso – Servizi forniti – Regole minime di sicurezza – Livelli di servizio e modalità di assistenza – Periodicità di aggiornamento dei dati
  • Comunicazione della convenzione• La stipulazione di una convenzione per l’accesso alla banca dati di una pubblica amministrazione deve essere comunicata all’Ufficio dati pubblici di DigitPa (datipubblici@digitpa.gov.it) da parte dell’amministrazione titolare del dato, ai fini di quanto previsto dal comma 3 dell’art. 58 del CAD.• In particolare, l’amministrazione titolare dovrà fornire le seguenti informazioni: – oggetto della convenzione; – durata della convenzione; – amministrazione fruitore; – responsabili per la convenzione dell’amministrazione titolare e dell’amministrazione fruitore.• Tale comunicazione risulta già soddisfatta nei casi nei quali la fruizione dei dati avvenga in cooperazione applicativa, attraverso l’infrastruttura di cooperazione applicativa SPCoop.
  • Criteri tecnici per le modalità di accesso• Principi generali da garantire e da definire in convenzione – Trattamenti solo da parte di soggetti incaricati – Trattamenti solo nell’ambito delle funzioni che hanno legittimato il collegamento – Segmentazione dei dati visualizzabili (principio di pertinenza e di non eccedenza) – Periodici controlli del Garante – Monitoraggio e alert da parte dell’erogatore
  • Servizi di consultazione• Prevedono: – La messa a disposizione di un applicativo di consultazione con accesso mediante profili di autorizzazione definiti – Gestione e tracciamento delle utenze e delle operazioni poste in essere – (dovrebbero prevedere) sessioni HTTPS/SSL – Il divieto di sessioni contemporanee con le stesse credenziali • In punto deve essere prevista la visualizzazione alla apertura della sessione di informazioni relative all’ultima sessione (data, ora, IP)
  • Modalità di identificazione• Credenziali di autenticazione – CIE, CNS – Token di one time password – userID e PW assegnate dall’erogatore• Meccanismo previsto per la gestione federata dell’identità digitale
  • Modalità alternative FTP• Regime transitorio• Motivazione espressa• Canali sicuri di comunicazione• Credenziali di autenticazione sicure• Definizione del ciclo di vita del dato
  • michele.martoni[at]unibo.it