Trasparenza e riservatezza, attenzione ad entrambi i fattori da parte delle Pubbliche Amministrazioni.

Questo sia per le deliberazioni affisse all’albo pretorio che nei documenti accessibili al pubblico o su internet.
Il provvedimento si intitola “Linee guida in materia di trattamento di dati personali per finalità di pubblicazione e diffusione di atti e documenti di enti locali”.

Talvolta la pubblicazione di atti implica l’emergere di informazioni sensibili su condizioni di salute, handicap o situazioni di disagio di cittadini (vedi documenti sull’assegnazione di alloggi popolari, assistenza e contributi,  ammissione di minori agli asili nido ecc.).

Prima di  pubblicare gli atti (anche su internet) la PA deve valutare se i dati in pubblicazione sono dati pertinenti e non  eccedenti rispetto alle finalità di trasparenza che l’ente intende raggiungere. I dati sensibili e giudiziari possono essere  diffusi solo se realmente indispensabili e se l’ente abbia adottato il regolamento previsto dal Codice sull’uso di questi dati. É sempre vietato diffondere informazioni sulla salute.bNel caso di internet, una volta terminato il periodi di pubblicazione i dati devono essere spostati in una parte del sito dove non siano più rintracciabili dai motori di ricerca esterni.

Anche per i beneficiari di crediti, sussidi o sovvenzioni, limiti nella conoscibilità dei dati: possono essere pubblicati i nominativi dei beneficiari e la data di nascita senza diffondere però indirizzi, codici fiscali, coordinate bancarie o informazioni sulla loro vita privata. 

Le graduatorie dei vincitori dei pubblici concorsi possono essere pubblicate integralmente anche on line, ma per accedere agli elaborati, ai verbali o ai titoli posseduti devono prevedersi accessi limitati (user id e password, numero di protocollo ad esempio).

 

Comments(0)

Come deve essere un sito di una Pubblica Amministrazione. Percorsi accidentati tra usabilità, accessibilità, privacy e riuso.

Il riferimento normativo per le Pubbliche Amministrazioni (PA) per la realizzazione e la gestione del loro sito web istituzionale è il Codice dell’Amministrazione Digitale (CAD -  Dlgs. 7 marzo 2005, n. 82, integrato dal Dlgs. 4 aprile 2006, n. 159).
I temi trattati dal Codice sono molti (tra cui l’obbligatorietà del sito web per ogni ente), indicazioni su  contenuti dei siti, accessibilità, usabilità, reperibilità, gestione dei dati, gestioni degli accessi, ed il Codice precisa che il sito di un PA deve avere come caratteristiche la “completezza di informazione, chiarezza di linguaggio, affidabilità, semplicità di consultazione, qualità, omogeneità ed interoperabilità”. Oltre al CAD sono da considerarsi ovviamente la normativa sul diritto d’autore e quella sulla privacy.

Andiamo con ordine

1) Contenuti del sito web
L’articolo 57 del Codice indica rigorosamente il contenuto che un sito di una PA dovrebbe avere. Tanto per avere un’idea si parla di trasparenza dell’organizzazione interna, intendendosi con questo che le responsabilità attribuite devono essere esplicitate sul sito web, con ogni informazione relativa ai procedimenti di ciascun ufficio. Tali procedimenti si auspica che siano gestibili dal cittadino on line e si prevede comunque che, anche ove non lo siano, sia possibile almeno ricavare on line tutti gli elementi necessari a completare il procedimento (istruzioni, materiale di riferimento, modulistica da stampare o compilare on lien ecc.).

2) Modulistica on line
Buone notizie in materia di modulistica per i cittadini e le imprese: se entro fine 2007 le PA non riusciranno a garantire modulistica esauriente e ben esplicitata sul sito, gli interessati avranno diritto di completare il procedimento senza presentare alcuna documentazione.

3) Scelta dei servizi da erogare on line a favore di imprese e cittadini
Nella scelta dei servizi da erogare via web il CAD stabilisce il ricorso a criteri di valutazione quali: efficacia, economicità ed utilità (oltre a doversi rispettare i princìpi di eguaglianza e non discriminazione, tenendo presenti le dimensioni dell’utenza, la frequenza dell’uso e l’eventuale destinazione all’utilizzazione da parte di categorie in situazioni di disagio).

4) Modalità di accesso ed identificazione
Il principio di non discriminazione impone che il sito della PA sia accessibile per tutte le categorie di utenti, con particolare attenzione alle categorie disagiate. Oltre agli opportuni accorgimenti tecnici per rendere fruibile il sito a tutti, si dovranno affiancare al web anche altri strumenti come il telefono.
Per quanto riguarda l’identificazione per accedere ad alcune sezioni del sito per ora sono sufficienti user id e password, gradita la firma digitale e auspicato l’uso della CIE Carta d’Identità Elettronica. 
Privacy

5) Privacy
Per quanto riguarda la privacy, il relativo Codice (D lgs. 196/2003) necessaria la presenza (visibile) dell’informativa, un avviso al navigante che descrive le modalità di trattamento dei dati da parte della PA (in particolare chi è il titolare, come avviene il trattamento, per quali fini è obbligatorio, a chi sono comunicati i dati, quali sono i diritti del cittadino ecc.). Se si impiegano cookies, il loro utilizzo deve essere dichiarato e spiegato.
In tema di responsabilità sarebbe opportuno pubblicare on line la lista aggiornata dei responsabili privacy, nonché un modulo standard per l’inoltro di istanze alla PA in materia di privacy.

6) Copyright
Valgono le norme generali sul diritto d’autore. Un argomento specifico è il “riuso” regolato dall’art. 50 del CAD secondo il quale i dati delle Pa devono essere resi disponibili e accessibili per la fruizione e riutilizzazione da parte delle altre pubbliche amministrazioni e dei privati.
Direttive ministeriali utili
Da citare la “Direttiva per la qualità dei servizi on line e la misurazione della soddisfazione degli utenti”, che fornisce indicazioni per migliorare la qualità e promuovere l’utilizzo dei servizi on line, attraverso la rilevazione delle esigenze degli utenti e promuove l’impiego di strumenti di misurazione della soddisfazione del “cliente cittadino”.

 

Comments(0)

Cosa è, a cosa serve e perché è importante il piano di Disaster Recovery - parte I

Il seguente articolo ha l’obiettivo di fornire alcune linee guida che un’organizzazione deve seguire per poter redigere un piano di Disater recovery e quindi poter gestire efficacemente, dalla attuazione del piano, una situazione di incidente/attacco/disastro. Non saranno trattati argomenti tecnici ma indicate procedure e metodologie per il piano di ripristino delle condizioni operative normali.
Il disastro per una azienda può avere facce e sfumature diverse, può colpire settori disparate (edifici, risorse umane, sistemi informatici, documentazione cartacea) e può causare una quantità di danni ingente, compromettendo a volte pesantemente l’ordinaria operatività dell’azienda.
Ritenersi in uno stato di sicurezza significa operare avendo ottenuto una ragionevole riduzione delle probabilità di accadimento (vulnerabilità) di una determinata minaccia la cui presenza espone i beni da proteggere a un certo rischio, appare quindi superfluo sottolineare come non esista un sistema informativo totalmente impenetrabile, ma misure di protezione che, in relazione al valore degli asset (beni) da proteggere, possono ritenersi sufficientemente affidabili.Per tutte le aziende pubbliche o private, attivare un piano di Disaster Ricovery e Business Continuity, è ritenuto quindi di vitale importanza. La continuità operativa ovvero “l’insieme di attività volte a ripristinare lo stato del sistema informatico o parte di esso, compresi gli aspetti fisici e organizzativi e le persone necessarie per il suo funzionamento, con l’obiettivo di riportarlo alle condizioni antecedenti a un evento disastroso” deve infatti essere percepita come parte integrante della strategia aziendale.
Perché serve un piano?

1.      perché altrimenti durante l’emergenza potremmo essere incapaci di reperire risorse
2.      perché “durante” non siamo lucidi quanto “prima”
3.      perché le persone sbagliano sotto stress
Le conseguenze del verificarsi di un evento a carattere disastroso possono essere classificate secondo il seguente schema:
§         danni diretti: danni materiali direttamente provocati dall’evento disastroso. Per esempio, un incendio può provocare la distruzione completa o parziale delle risorse elaborative utilizzate presso un centro di elaborazione dati;
§         danni indiretti: la mancata disponibilità di risorse limita la capacità operativa dell’organizzazione e genera ulteriori danni la cui entità è proporzionale al periodo di indisponibilità. Per esempio, le mancate vendite costituiscono un danno indiretto;
§danni conseguenti (o consequenziali): tutti i danni che sopravvivono al ripristino delle risorse rese indisponibili dal disastro. Per esempio, la perdita di quote di mercato generata dalla incapacità di soddisfare appieno le esigenze dei clienti.

Lo sviluppo di un piano di Disaster Recovery segue generalmente un percorso articolato nelle seguenti fasi:
1.   analisi dei beni o asset da proteggere
2.   analisi dei rischi
3.   pianificazione e formalizzazione del PDR
4.   collaudo
5.   mantenimento

Individuazione dei beni da proteggere

Le risorse da proteggere possono variare a seconda del tipo di organizzazione, possiamo comunque distinguerle in due categorie: risorse tangibili e intangibili.

Sono risorse tangibili:
computer
dati riservati
backup e archivi
manuali, guide, libri
tabulati
applicazioni software
dispositivi hardware
dispositivi di comunicazione

Sono risorse intangibili:
sicurezza e salute del personale
privacy degli utenti
password personali
immagine pubblica e reputazione dell’azienda
soddisfazione dei clienti

Oltre all’individuazione delle risorse è utile stabilire, ad esempio per le applicazioni, quali sono prioritarie per l’attuazione dei processi aziendali e il loro tempo massimo di indisponibilità e inoperabilità sopportabile dall’azienda per non perdere credibilità e posizione sul mercato. Si possono ad esempio prendere come riferimento i tempi di altre aziende dello stesso settore e poi calibrarli in relazione alle esigenze della propria azienda. Questo valore potrà essere utilizzato nell’analisi dei rischi per determinare i tempi massimi di ripristino delle applicazioni e degli accessi ai dati.
Il Codice in materia di protezione dei dati personali prescrive infatti al punto 23 dell’Allegato B l’obbligo di adottare misure idonee a garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi e compatibili con i diritti degli interessati e non superiori a sette giorni.

L’elemento fondamentale del ripristino in caso di disastro è quello della salvaguardia e disponibilità dei dati; infatti non è possibile ripristinare alcun servizio i cui dati non siano disponibili, cioè non siano stati copiati al pianificato livello di aggiornamento (back-up) e trasportati con il mezzo più conveniente in una sede diversa e opportunamente protetta (sito alternativo).
Questo riguarda tutte le categorie di dati: quelli applicativi, ma anche le versioni correnti di tutto il software sia applicativo che di sistema. In particolare riguarda i dati vitali, quei dati cioè la cui disponibilità e il cui corretto livello di aggiornamento, sono indispensabili all’erogazione dei servizi informatici fondamentali per la continuità operativa dell’azienda.
Per quanto riguarda il back-up è bene stabilire chi è il responsabile delle copie di sicurezza, in che modo vanno prodotte, chi le custodisce e dove. Si ricorda che le copie di sicurezza devono essere testate per verificarne l’efficienza ed evitare l’impossibilità di rimediare a un eventuale danneggiamento dei dati originali.
Non ci soffermeremo in questa sede a individuare i possibili supporti di back-up dei dati utilizzabili.

Analisi dei rischi

La fase di analisi dei rischi è finalizzata all’identificazione dei rischi potenziali, alla valutazione della probabilità e all’individuazione delle strategie di gestione che si ritiene opportuno utilizzare nei confronti di ciascun rischio. La scelta della strategia è condizionata dalla probabilità e dal livello di gravità dell’evento, dal rapporto tra investimento richiesto dall’implementazione e danno economico provocato dall’evento.

È noto che la valutazione del rischio comporta gravi lacune nell’abito della valutazione dei rischi operativi catastrofici in quanto è impossibile identificare tutte le minacce (alluvioni, inondazioni, terremoto, perturbazioni elettromagnetiche, valanghe) anche se andrebbero considerate per prime le minacce derivanti dalla collocazione territoriale dell’azienda, inoltre le stime delle probabilità rappresentano solo tentativi e si basano su informazioni storiche a volte inesatte. Tuttavia focalizzandosi sulle funzioni più urgenti, la valutazione del rischio può essere ridotta a un ambiente più gestibile.

Oltre alle minacce naturali si devono individuare minacce dovute a comportamenti umani (atti terroristici, furti, atti vandalici, spionaggio, distrazione, imperizia, errori accidentali o con colpa), minacce logiche (introduzione di codici maligni come virus, worm, malware, spamming, accessi non consentiti da parte di persone esterne o interne all’organizzazione, intercettazioni, alterazione o cancellazione del contenuto delle comunicazioni, frodi informatiche) e minacce tecnologiche
(indisponibilità della rete o di altri servizi quali telefono, elettricità, acqua, corti circuiti, bug del software). 

Individuate le minacce, bisogna stimare le conseguenze che il disastro provocherebbe considerando il tempo massimo necessario per far ripartire il sistema e individuando i sistemi e dati che devono essere ripristinati con precedenza sugli altri.

Relativamente ai dati si può ipotizzare la seguente scala di valori decrescente per ordine di importanza:
“dati sensibili del personale, dei fornitori, dei clienti e di terzi con i quali l’azienda ha istaurato rapporti d’affari;
dati critici dell’azienda (fatturato, bilancio, rendiconti, piani di marketing e strategie di mercato, dati “proprietari” e “scientifici” quali know-how, brevetti, licenze software);
dati giudiziari e dunque relativi al contenzioso tra azienda e terzi  personale, fornitori, creditori, clienti, P.A., aziende concorrenti);
dati comuni del personale, dei collaboratori, dei fornitori o dei clienti, (partita I.V.A., data di nascita, residenza, numeri telefonici non presenti in pubblici elenchi o numeri di cellulare, indirizzi e-mail );
dati comuni del personale, dei clienti o di terzi che si possono attingere a fonti pubbliche (numeri telefonici inseriti in pubblici elenchi ).” 

Relativamente alle applicazioni è sicuramente prioritario ripristinare per primi i file di istallazione del sw, le misure di protezione logica (firewall, intrusione detection, antivirus), le credenziali di autenticazione per l’accesso ai sistemi e i file di configurazioni della rete preventivamente backuppati.
Seguirà a breve un altro articolo sull’argomento. La redazione.
 

 

Comments(0)

Regolamento dati sensibili nelle pubbliche amministrazioni

E’ stato differito il termine di adozione del regolamento sui dati sensibili e giudiziari. Il D.l. pubblicato nella Gazzetta Ufficiale del 28/12/2006, n. 300, differisce al 28 febbraio 2007 il termine di adozione di tale regolamento da parte di soggetti pubblici.

Comments(0)

Trasparenza e privacy nella Pubblica Amministrazione
Articolo di Giuseppina Volucello    
Tratto da http://iniziativa.info
La disciplina concernente la tutela dei dati personali si atteggia in modo particolare nei riguardi dei soggetti pubblici e dell’attività amministrativa. In questo settore, il trattamento assume caratteristiche qualitative e quantitative di assoluto rilievo. Il legame tra la pubblica amministrazione e gli organi titolari di poteri politici impone di circondare il trattamento dei dati personali di adeguate cautele, volte a salvaguardare il regolare funzionamento delle istituzioni democratiche.

Ma non c’è solo il rischio di abusi da parte del soggetto pubblico. Un trattamento inappropriato dei dati personali da parte delle amministrazioni, le quali detengono una massa ingente di informazioni relative a soggetti determinati, può rappresentare, sul piano della probabilità statistica, la fonte più ricorrente, ancorché correlata ad ulteriori condotte di diffusione svolte da privati, del pregiudizio all’interesse alla riservatezza. Il pericolo deriva dalla circostanza che il trattamento dei dati personali dai soggetti pubblici, pur subordinato ad alcune regole peculiari, non richiede il consenso dell’interessato. Al tempo stesso però, l’esigenza di incoraggiare un controllo diffuso sui comportamenti amministrativi spinge verso un ampliamento della visibilità dei flussi informativi di cui dispone il soggetto pubblico. In questo contesto, articolato e complesso, emerge, inevitabilmente, la contrapposizione tra due principi nettamente distinti, destinati a realizzare una antitesi frontale: a) il criterio portante della trasparenza amministrativa, attuato, con forza, dalle leggi ordinamentali amministrative (legge n. 241/1990; decreto legislativo n. 29/1993; testo unico degli enti locali n. 267/2000), e direttamente correlato al valore costituzionale dell’imparzialità e del buon andamento; b) il canone della protezione della riservatezza, anch’esso presente nella normativa primaria ed espressivo di regole di rango costituzionale, attinenti alla salvaguardia dei diritti inviolabili personali. L’interferenza tra i due principi propone svariati problemi applicativi, derivanti da molteplici fattori: 1) il quadro normativo, pur ricco e variegato, non pare offrire, ancora, opzioni risolutive chiare ed univoche, se non in relazione ad aspetti relativamente marginali del problema; 2) le prassi amministrative risultano ancora molto incerte, anche in relazione alla definizione dell’assetto regolamentare dei singoli settori; 3) la giurisprudenza manifesta atteggiamenti articolati e non sufficientemente consolidati, benché riguardanti un’ampia casistica; 4) in questo ambito, gli stessi interventi del Garante non forniscono indicazioni interpretative del tutto appaganti, oscillando tra l’affermazione di una assoluta prevalenza del valore della riservatezza (almeno con riferimento ai dati sensibili), e la persistente operatività del sistema della trasparenza amministrativa (con riguardo specifico alla disciplina dell’accesso ai documenti). La questione del rapporto tra privacy e trasparenza dei soggetti pubblici si è concentrata, in modo pressoché esclusivo, nella definizione dei limiti del diritto di accesso ai documenti amministrativi. Dal punto di vista della normativa sui dati personali, la conoscenza da parte dei terzi consentita dall’amministrazione rappresenta una specifica forma di “trattamento” dei dati (comunicazione o diffusione), suscettibile di arrecare un notevole pregiudizio alla sfera giuridico patrimoniale dell’interessato. In questa direzione, si spiega la costruzione dell’articolo 27 della legge n. 675/1996, il quale, completando la disciplina applicabile al trattamento effettuato dai soggetti pubblici, detta una disposizione generale ed una speciale. La norma generale subordina il trattamento dei dati alla circostanza che esso sia funzionale allo svolgimento delle attività istituzionali del soggetto pubblico: le norme di legge o di regolamento possono introdurre solo “limiti” (essenzialmente negativi) a tale facoltà. Per l’attività di diffusione e di comunicazione dei dati personali, invece, la specifica norma legislativa o regolamentare rappresenta il necessario presupposto (positivo) legittimante l’attività del soggetto pubblico. La maggiore severità imposta dal legislatore risulta coerente con l’idea che il pericolo di lesione del diritto alla privacy dell’interessato assume la massima dimensione quando il dato personale fuoriesce dalla sfera di controllo dell’amministrazione. D’altro canto, nell’ambito della normativa riguardante l’accesso, la rilevanza della riservatezza come possibile limite alla ostensibilità dei documenti amministrativi è costantemente riconosciuta, a livello sia legislativo che regolamentare, salva la difficoltà interpretativa di precisare l’effettiva misura di questo risalto. Dunque, entrambi i microsistemi normativi, quello della trasparenza amministrativa e quello della protezione dei dati personali, avvertono la sussistenza di un problema di coesistenza (o di opposizione) fra interessi giuridici eterogenei, potenzialmente conflittuali. La giurisprudenza amministrativa (e, in misura meno frequente, quella ordinaria) ha, in primo luogo, affrontato la questione del riparto di giurisdizione. Si tratta di stabilire a quale giudice spettano le controversie in cui siano implicate, al tempo stesso, la pretesa all’accesso ai documenti amministrativi e la contrapposta situazione giuridica relativa alla tutela della riservatezza. Il dato normativo non esprime con assoluta chiarezza l’opzione legislativa. Secondo l’articolo 29, comma 8, della legge n. 675/1996, “tutte le controversie, ivi comprese quelle inerenti al rilascio dell’autorizzazione di cui all’articolo 22, comma 1, o che riguardano, comunque, l’applicazione della presente legge, sono di competenza dell’autorità giudiziaria ordinaria”. Secondo l’articolo 25, comma 5, della legge n. 241/1990, invece, “contro le determinazioni amministrative concernenti il diritto di accesso e nei casi previsti dal comma 4 è dato ricorso, nel termine di trenta giorni, al tribunale amministrativo regionale”. Nonostante alcune perplessità emerse nella dottrina, la soluzione della giurisprudenza è costantemente nel senso della giurisdizione amministrativa, tanto nel contesto precedente l’entrata in vigore della legge n. 675/1996, quanto nell’assetto conseguente alla nuova disciplina in tema di privacy. L’indirizzo si collega strettamente all’idea secondo cui l’articolo 25, della legge n. 241/1990 prevede un’ipotesi di giurisdizione esclusiva amministrativa, relativa alla valutazione della legittimità della determinazione amministrativa sulla richiesta di accesso, a nulla rilevando la consistenza delle posizioni giuridiche coinvolte, o comunque poste alla base degli interessi fatti valere in giudizio. In questo senso, si afferma che sussiste la competenza del giudice amministrativo sulle controversie in tema di accesso agli atti amministrativi ex art. 25, l. 7 agosto 1990 n. 241, anche nel caso in cui il relativo giudizio sia promosso nei riguardi di un ente che, per perseguire le proprie finalita’ istituzionali, svolge in tutto o in parte un’attivita’ “iure privatorum”. L’istituto dell’accesso, che e’ escluso nei soli casi espressamente stabiliti dalla legge e puo’ esser escluso solo nei confronti di chi, senza alcun interesse, intende ingerirsi nella sfera delle libere valutazioni della p.a. - in ordine alla convenienza delle scelte da adottare -, serve a una piu’ diffusa conoscenza dei processi decisionali, intende favorire la partecipazione e il controllo sui comportamenti dei soggetti che agiscono per conto della p.a. e, infine, svolge un compito deflattivo del contenzioso. Nella specie, un’azienda speciale, costituita da un comune ai sensi dell’art. 23, l. 8 giugno 1990 n. 142, aveva indetto una procedura pubblica di selezione per l’assunzione di alcuni addetti tra i soggetti piu’ capaci e meritevoli, con cio’ ponendo in essere un procedimento di natura comparativa con criteri precostituiti, i cui atti sono quindi accessibili come quelli di un concorso a pubblici impieghi, attesa la compresenza dell’aspetto soggettivo e di quello oggettivo della gestione di un servizio pubblico (Consiglio Stato sez. V, 1 ottobre 1999, n. 1248, Foro amm. 1999, 2066). In senso analogo, si è precisato che il diritto d’accesso relativo alla documentazione pertinente alla procedura giurisdizionale esecutiva di rilascio dell’immobile, riguarda atti e documenti che si riferiscono a un procedimento soggettivamente ed oggettivamente amministrativo, perche’ espletato da organi dell’amministrazione dell’interno in funzione di un interesse pubblico, ancorche’ strumentale all’esercizio della funzione giurisdizionale devoluta al giudice dell’esecuzione in materia di sfratti: la richiesta d’accesso rientra, pertanto, nella competenza esclusiva del giudice amministrativo (Consiglio Stato sez. IV, 3 agosto 1995, n. 589, Giur. it. 1996, III, 1, 147). Si tratta di un indirizzo che, in termini generali, è condiviso anche dalla Cassazione, secondo la quale, il diritto di accesso ai documenti amministrativi spetta a chiunque vi abbia un interesse personale e concreto per la tutela di situazioni giuridicamente rilevanti, che ricorrono, per espressa previsione di legge, nell’ipotesi in cui la conoscenza di documenti sia necessaria ai singoli per “curare o difendere i loro interessi”. La distinzione fra “conoscenza del documento” e “difesa degli interessi del privato” e il nesso di strumentalita’ tra l’una e l’altra rende palese che la pendenza di un procedimento giurisdizionale (nel quale siano rilevanti i documenti in questione) non e’ di per se’ preclusivo della sperimentabilita’ del procedimento speciale previsto dall’art. 25 della l. n. 241 del 1990 e riservato alla giurisdizione speciale del giudice amministrativo. In questo contesto, e’ inammissibile la doglianza di difetto di giurisdizione compendiantesi nel rilievo dell’inesistenza della legittimazione al procedimento speciale previsto dalla disposizione indicata, potendo i documenti di cui trattasi essere acquisiti secondo le regole proprie del procedimento giurisdizionale in corso. In tal caso, infatti, non si pone una questione di giurisdizione in senso tecnico, ma una questione di merito relativa all’esistenza o meno del diritto di accesso (Cassazione civile sez. un., 28 maggio 1998, n. 5292). Il carattere esclusivo della giurisdizione, poi, conduce ad affermare che le doglianze in tema di accesso ai documenti amministrativi non possono essere fatte valere in sede di ricorso straordinario al presidente della Repubblica, in quanto la legge prevede all’uopo un apposito procedimento attivabile dinanzi al giudice amministrativo. (Fattispecie relativa al diniego di accesso opposto ad un appuntato in congedo della Guardia di finanza circa il carteggio inerente alla proposta applicazione nei suoi confronti di una sanzione disciplinare di stato ( Consiglio Stato sez. III, 9 giugno 1998, n. 32, Cons. Stato 1999, I, 1049). Detto indirizzo ha l’indubbio pregio di semplificare notevolmente una questione non risolta, in modo adeguato, dal legislatore. Alla base di questa linea interpretativa si pone anche l’argomento testuale secondo cui l’articolo 43 della legge n. 675/1996 ha espressamente fatto salva la precedente normativa in materia di accesso ai documenti, comprendendo, implicitamente, anche la disciplina relativa alla tutela processuale.

Comments(0)

Notifiche e privacy, tassativa la busta chiusa e sigillata

Ogni atto, documento, comunicazione o avviso va notificato in busta chiusa e sigillata, lo ha ribadito il Garante a seguito di un reclamo di un dipendente pubblico. Il dipendente, destinatario di una lettera con la quale la sua amministrazione gli contestava alcuni addebiti, si è visto la lettera notificata aperta al padre.

La lettera, pur portando la dicitura “Riservata Amministrativa”, era stata recapitata senza alcuna busta e il vigile urbano che aveva provveduto alla notifica, al momento della consegna al padre, avrebbe espresso considerazioni personali sul contenuto del messaggio. L’Autorità ha subito segnalato la violazione al Comando di Polizia del Comune d’appartenenza dell’interessato, invitandolo ad uniformarsi al Codice della privacy, che dal 2004 ha modificato la normativa in materia di notificazione, e ad utilizzare in futuro modalità più idonee per assicurare il rispetto dei diritti, delle libertà fondamentali e della dignità della persona. Il Comando di polizia municipale ha quindi predisposto tre nuovi modelli per la notifica: un primo modello per la notifica urgente; un secondo con il quale il delegato, al momento della consegna, dichiara di averne ricevuto la notifica in busta chiusa; un terzo modello adesivo, utilizzato per sigillare il contenuto o l’atto da notificare. Va ricordato che se  il dipendente ritenga di aver subito un danno, anche non patrimoniale, derivante dal trattamento di dati personali effettuato per procedere alla notifica, può rivolgersi all’autorità giudiziaria per un eventuale risarcimento.  

 

 

Comments(0)

Accesso ai dati e privacy nella Pubblica Amministrazione

Sintesi di una parte dell’articolo di Lorenzo Alfredo sul sito www.diritto.it

Trasparenza dell’attività amministrativa e privacy, D.LGS. 196/03, costituiscono entrambe, sul piano legislativo, attuazione di principi di rango costituzionale: da un lato i principi di imparzialità e di buon andamento della pubblica amministrazione, il diritto all’informazione, il diritto alla libera manifestazione del pensiero; dall’altro i principi di eguaglianza e di non discriminazione, e il diritto alla riservatezza.

RAPPORTO TRA DIRITTO DI ACCESSO E TUTELA DEI DATI PERSONALI.

Art. 24, 2° comma, lettera d), della legge 7 agosto 1990, n. 241 inseriva la riservatezza di terzi, persone, gruppi ed imprese tra le aree che l’esecutivo era chiamato a salvaguardare, tolto il caso in cui la stessa fosse di intralcio alla cura o alla difesa di interessi giuridici.

L. 241 si prefiggesse il fine di ribaltare il rapporto tra segretezza e pubblicità dell’azione amministrativa, consentendo al privato di partecipare attivamente al procedimento amministrativo e di contribuire a promuovere e ad assicurare l’imparzialità e il buon andamento dell’azione amministrativa. Tutto ciò sarebbe stato realizzato mediante la partecipazione dei privati al procedimento e il diritto di accesso ai documenti posseduti dall’amministrazione.

Normativa privacy prevede che restino ferme, in quanto compatibili, le norme in materia di accesso ai documenti amministrativi (contemperare dunque).

Contemporanea esistenza di due differenti modi di tutela, il primo contenuto nella legge privacy che offriva una protezione generalizzata della riservatezza, il secondo di carattere eccezionale nella legge 241/90, che consentiva il superamento del diritto alla privacy di fronte al diritto di difesa, mentre la legge privacy  stabiliva a sua volta una graduazione dei livelli di tutela da una soglia minima inerente i cd. dati personali a una soglia massima di inaccessibilità inerente i cd. dati sensibili. Abbattuta la vecchia barriera della generale segretezza dell’azione amministrativa, un’altra se ne era alzata questa volta a tutela della sfera individuale dei privati.

Come interpretare ora l’art. 24, 2° comma, lettera d) davanti alle differenti ipotesi che un documento contenga dati personali o dati sensibili?

Per quanto riguarda i primi, l’art. 27, 3° comma, della L. 675/96 stabiliva che i dati personali potessero essere comunicati e diffusi da parte di soggetti pubblici a privati o a enti pubblici economici soltanto nelle ipotesi previste da norme di legge o di regolamento. E’ stato a proposito osservato che sulla base di questa riserva di legge nell’area dei dati personali non ritenuti sensibili avrebbero dovuto continuare ad essere operativi i principi in materia di accesso definiti dalla 241/90 e dal D.P.R. 352/92, e questo perché tali principi ben potevano rientrare in tale riserva, essendo contenuti proprio all’interno di norme rispettivamente di rango primario e secondario.

Questa interpretazione ha avuto come logica conseguenza che l’eccezione contenuta nell’art. 27 della 675/96, è divenuta la regola in materia di accesso agli atti in virtù del fatto che è una legge a stabilire che tutti gli atti siano conoscibili salvo eccezioni e che in difetto di un’espressa sottrazione di particolari categorie se ne deve consentire la conoscibilità da parte dei soggetti privati.

Diverso discorso meritava il caso dei cd. dati sensibili. L’art. 22 della L. 675/96 disponeva infatti che fosse la legge ad individuare i dati che potessero essere trattati e quali operazioni fossero consentite per tali fini, escludendo innanzitutto le fonti secondarie, e richiedendo che tale legge individuasse le rilevanti finalità di interesse pubblico da perseguire mediante l’autorizzazione all’accesso. Orbene, elementi di questo genere non erano riscontrabili né nel Capo V della L. 241/90, né nel regolamento di attuazione, il D.p.r. 352/92.

La dottrina concludeva perciò che i documenti amministrativi contenenti dati sensibili erano sottratti sempre alla possibilità di essere conosciuti da terzi, anche quando la conoscenza del loro contenuto fosse stata in ipotesi l’unica via per esercitare il diritto di difesa.

Adunanza Plenaria del Consiglio di Stato, n. 5 del 1997: il supremo consesso della giustizia amministrativa stabilì che l’accesso ai dati cd. personali non sensibili dovesse essere consentito nella sola forma della visione, di per sé ritenuta in grado di effettuare un bilanciamento tra i due opposti interessi, consentendo la cura o la difesa degli interessi giuridici sottesi all’istanza di ostensione , ma impedendo la divulgazione dei relativi dati (cd. tutela modale).

IL D.LGS. 196/03 E LA L. 15/05

L’assetto complessivo della normativa non ha subito modificazioni significative con l’approvazione del d.lgs. n. 196 del 2003, anche in virtù anche del mantenimento del rinvio alla l. 241/90 contenuto nell’ art. 59.
Il nuovo decreto legislativo sulla privacy ha però introdotto nuove categorie di dati personali da tutelare: i dati comuni, i dati sensibili, i dati giudiziari e i dati ipersensibili. Relativamente alle prime tre categorie, come è stato già detto, l’art. 59 ha previsto espressamente che ad esse si applichi la disciplina dettata dalla L. 241/90 e successive modifiche.

Il successivo art. 60, ha invece stabilito che in materia di dati ipersersibili “il trattamento è consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi è di rango almeno pari ai diritti dell’interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile”.

Questa norma è stata interpretata dalla giurisprudenza come un’attribuzione all’amministrazione del potere discrezionale di valutare se la posizione soggettiva dell’istante sia o meno di rango uguale o superiore a quella concessa dall’art. 60 del d.lgs 196/03 ai dati cd. ipersensibili. Com’è ovvio, tale valutazione discrezionale della P.A. sarebbe successivamente impugnabile davanti al giudice competente, il quale avrebbe il compito di valutare nel merito se la P.A. abbia o meno effettuato un bilanciamento degli opposti interessi non in astratto ma in concreto, e nel caso sostituirsi ad essa in tale valutazione.

Il completamento dell’odierno panorama legislativo è avvenuto prima con l’entrata in vigore della L. 11 febbraio 2005, n. 15, e poi del D.L. 14 marzo 2005, n. 35, convertito dalla Legge 14 maggio 2005, n. 80. Con essi l’istituto dell’accesso ai documenti amministrativi ha subìto una completa rivisitazione finalizzata anche al coordinamento dell’istituto dell’accesso con la riforma del Titolo V della Costituzione e con il d.lgs 30 giugno 2003, n. 196.

Con particolare riferimento a quest’ultimo è stata inserita la norma contenuta all’art. 22, 4° comma, in base alla quale “non sono accessibili le informazioni in possesso di una pubblica amministrazione che non abbiano forma di documento amministrativo”. Essa però fa salve le previsione contenute dal codice della privacy in materia di accesso. In questo modo si sono voluti tenere distinti gli ambiti di applicazione delle due leggi perché, mentre la L. 241/90 novellata si preoccupa di disciplinare l’accesso ai documenti amministrativi, alla nozione dei quali bisogna quindi richiamarsi, il codice della privacy si preoccupa di tutelare i dati personali, siano essi o no contenuti in documenti amministrativi.

Altra norma cruciale nei rapporti tra accesso è privacy all’interno della 241/90 novellata è l’art. 24, 7° comma, il quale dispone che “nel caso di documenti contenenti dati sensibili e giudiziari, l’accesso è consentito nei limiti in cui sia strettamente indispensabile e nei termini previsti dall’articolo 60 del decreto legislativo 30 giugno 2003, n. 196, in caso di dati idonei a rivelare lo stato di salute e la vita sessuale” imponendo così all’amministrazione, questa volta a livello normativo e non più giurisprudenziale, di valutare il rango del diritto che si intende tutelare fornendo così un criterio con cui risolvere i potenziali conflitti.

LA LEGITTIMAZIONE A RICHIEDERE L’ACCESSO AGLI ATTI

Per ciò che riguarda l’area dei legittimati a richiedere e ad ottenere l’accesso agli atti è necessario tenere a mente che ai sensi dell’art. 22 come novellato dalla L. 15/2005 al 1° comma, lettera b), definisce interessati “tutti i soggetti privati, compresi quelli portatori di interessi pubblici o diffusi, che abbiano un interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l’accesso”.

Con la riforma, perché si abbia legittimazione all’accesso, è stato reso necessario che l’interessato sia titolare di una posizione avente il carattere dell’attualità, e che il documento di cui si chiede l’ostensione sia collegato a tale posizione soggettiva, con consistenti ricadute sull’obbligo di motivazione della richiesta di accesso da parte dell’interessato, dato che mentre nella vigenza del vecchio testo era ritenuto sufficiente indicare soltanto l’interesse e le finalità che si intendevano perseguire, sembra ora di potersi dire che per poter legittimamente accedere ad un documento amministrativo sia necessario poter vantare anche i requisiti per ricorrere in sede giurisdizionale.

Ma ciò che interessa è l’introduzione alla lettera c) del 1° comma dell’art. 22[27] della figura dei controinteressati alla domanda di accesso, qualificati come “tutti i soggetti, […], che dall’esercizio dell’accesso vedrebbero compromesso il loro diritto alla riservatezza”.

Anche per risolvere i problemi collegati alla definizione dei confini tra accesso e riservatezza posti da quest’ultima norma, sono state previste forme di consultazione istituzionale tra Garante e Commissione per l’accesso al fine di circoscrivere i margini di discrezionalità che il d.lgs. 196/2003 gli concede nella verifica della rilevanza dell’interesse pubblico al trattamento dei dati. Questo avviene mediante la richiesta di pareri obbligatori non vincolanti tra la Commissione e il Garante a seconda che ad una delle due sia stato presentato ricorso per questioni che coinvolgono il diritto all’accesso, e la riservatezza dei “controinteressati”.

Infatti “se l’accesso è negato o differito per motivi inerenti ai dati personali che si riferiscono a soggetti terzi, la Commissione provvede, sentito il Garante per la protezione dei dati personali, il quale si pronuncia entro il termine di dieci giorni dalla richiesta, decorso inutilmente il quale il parere si intende reso”, mentre qualora un procedimento davanti al Garante “interessi l’accesso ai documenti amministrativi, il Garante per la protezione dei dati personali chiede il parere, obbligatorio e non vincolante, della Commissione per l’accesso ai documenti amministrativi “.

LE TUTELE 

Merita a questo punto ripercorrere le discipline dettate rispettivamente per il procedimento di accesso agli atti (art. 25, 4° comma, l. 241/90) e per la tutela dei dati personali (artt. 145-151, d.lgs 196/03). La prima è stata modificata in più punti dalla L. 15/05, e tra questi vi è il criterio per identificare il difensore civico competente che andrà individuato in quello costituito nell’ambito dello stesso ente territoriale di riferimento, quindi quello comunale avverso il diniego il differimento pronunciati dagli organi comunali, e quelli provinciale e regionale per i corrispondenti provvedimenti emanati da Provincia e Regione, mentre, in ossequio al principio di sussidiarietà verticale, nel caso in cui uno di questi enti non abbia provveduto ad istituire il proprio ufficio del difensore civico, la competenza sarà dell’ufficio istituito presso l’ente territoriale immediatamente superiore. Il difensore civico regionale inoltre si è visto privare del potere di riesame avverso i provvedimenti degli enti periferici dello stato operanti nel territorio regionale, di competenza ora della Commissione per l’accesso.

Sia quest’ultima, che i difensori civici, sono tra l’altro stati assoggettati ad un nuovo termine di 30 giorni per pronunciarsi sui ricorsi a loro presentati, spirato il quale, sul ricorso si formerà il silenzio-rigetto ricorribile in sede giurisdizionale amministrativa. E’ rimasto invece immutato il termine di 30 giorni concesso all’amministrazione cui viene richiesto l’accesso per provvedere a riguardo, ed evitare che operi il silenzio-rigetto, così come è stata conservata l’alternatività della tutela esperibile contro di esso, o in sede giurisdizionale o al difensore civico / commissione per l’accesso.

Analogo principio vale per il ricorso al Garante per la tutela dei dati personali. Stabilisce infatti l’art. 145 del d.lgs. 196/2003 che “I diritti di cui all’articolo 7 possono essere fatti valere dinanzi all’autorità giudiziaria o con ricorso al Garante. Il ricorso al Garante non può essere proposto se, per il medesimo oggetto e tra le stesse parti, è stata già adita l’autorità giudiziaria.

 

La presentazione del ricorso al Garante rende improponibile un’ulteriore domanda dinanzi all’autorità giudiziaria tra le stesse parti e per il medesimo oggetto.”

 

Maggiore attenzione è invece rivolta ai requisiti di forma del ricorso e al procedimento davanti al Garante, dinanzi al quale è prevista l’instaurazione di una vera e propria fase contenziosa ricalcata sulla falsariga dei procedimenti davanti all’autorità giudiziaria, al termine della quale il Garante ha il potere di emanare provvedimenti aventi natura di titolo esecutivo ai sensi del codice di procedura civile.

 

 

 

Comments(0)

Tra videosorveglianza e privacy: la scelta del comune di Cuneo 

http://grandain.com

Articolo di Federico Maiocco

Cuneo - E’ stato presentato questa mattina in Comune a Cuneo il nuovo sistema di videosorveglianza del capoluogo della Granda. Palazzi comunali per la tutela del patrimonio pubblico, ma anche vie cittadine per la prevenzione di attività illecite e per il controllo della viabilità urbana: tutto sotto l’occhio freddo, ma democratico delle telecamere.
Il sistema è composto da una centrale operativa per la visualizzazione e il controllo delle immagini, collocata presso il Comando della Polizia Municipale, un sistema di acquisizione e memorizzazione collocato presso il Settore Elaborazione Dati e un insieme di telecamere digitali controllate a distanza e connesse esclusivamente alla rete telematica comunale.
Presso la centrale operativa è possibile visualizzare le immagini di tutte le telecamere, brandeggiare (in orizzontale ed in verticale) le telecamere mobili, analizzare le registrazioni.
L’impianto è dotato di un sistema centralizzato di registrazione su disco per consentire la memorizzazione in modo sicuro delle riprese effettuate da tutte le telecamere.
Tutte queste immagini saranno gestite, ci itengono a sottolineare in Municipio, nel massimo rispetto della privacy. Ed è giusto sottolinearlo, perchè, se le telecamere sono una risposta alla richiesta di sicurezza del cittadino, la gente non nasconde la propria diffidenza nel sentirsi osservato dall’alto.
Il Sindaco Valmaggia, durante la conferenza, ha spiegato come questi strumenti all’avanguardia possano sopperire in parte alla mancanza di personale sia del corpo della Polizia Municipale che delle altre forze dell’ordine, che potranno usufruire della rete di telecamere, sempre nel rispetto delle norme sulla privacy.
Il Prefetto di Cuneo ha sottolineato come il capoluogo della Granda sia una città sicura, e come questi nuovi strumenti siano fondamentali per mantenerla tale.
In Comune ci tengono a ribadire come questo progetto sia stato ideato, progettato e realizzato internamente all’Amministrazione cittadina, con un notevole risparmio nei costi ed gestione futura semplificata ed economica. La trasmissione delle immagini delle telecamere si appoggia alla rete a fibre ottiche di proprietà del Comune. Una rete che sarà presto ampliata; ampliamento al quale seguirà anche una maggiore diffusione delle telecamere sul territorio di Cuneo e delle sue frazioni.
La soluzione delle fibre ottiche garantisce una maggiore qualità d’immagini, una migliore protezione della trasmissione e l’azzeramento delle emissioni elettromagnetiche.

Comments(0)

Crittografia, firma digitale, linguaggio XML

http://giuristitelematici.it

Tratto dal sito CNIPA
Inviato da Giovanni Battista Gallus

E’ stata pubblicata sulla Gazzetta Ufficiale del 3 ottobre 2006 - serie generale, n. 230 - la DELIBERAZIONE 18 maggio 2006, recante: ” Regole tecniche per la definizione del profilo di busta crittografica per la firma digitale in linguaggio XML.” (Deliberazione n. 34/06). La deliberazione da corso alla previsione normativa dell’articolo 12, comma 8 della Deliberazione n. 4 del 17 febbraio 2005, il cui scopo è l’individuazione di ulteriori formati standard di busta crittografica, riconosciuti a livello nazionale o internazionale, conformi a specifiche pubbliche (Publicly Available Specification – PAS). L’obiettivo è quello di rispondere rapidamente alle esigenze rappresentate dalle pubbliche amministrazioni e dal mercato rendendo fruibili formati di busta crittografica che possano rispondere a specifiche esigente tecniche, organizzative, amministrative e tecnico/giuridiche.

In questo ambito si inquadra la Deliberazione 34 del 2006 che individua la modalità con cui produrre la busta crittografica realizzata con il linguaggio XML (eXtended Markup Language).

La possibilità di utilizzare la firma digitale con buste crittografiche XML consente di potenziare l’interoperabilità nello scambio dei documenti informatici sottoscritti digitalmente. E’ infatti in XML che sono prodotti i documenti elettronici di tipo sanitario e finanziario (corporate banking).

La disponibilità di questi formati consente di omogeneizzare le strutture dei dati scambiati nel sistema pubblico di connettività (SPC) con le informazioni relative all’autenticazione e sottoscrizione degli stessi.

I formati oggetto della Deliberazione 34/2006 sono conformi a quanto stabilito dagli enti di standardizzazione dell’Unione europea, proseguendo quindi il percorso iniziato con la Deliberazione 4/2005 volto a rendere la firma digitale nel nostro Paese sempre più interoperabile, fruibile e interpretabile in Europa.

Comments(0)

Il Garante Privacy blocca il servizio delle ‘Iene’ su Italia 1

http://repubblica.it

Doveva essere trasmesso questa sera su Italia 1
L’autore del programma, Davide Parenti: “Mai violata la privacy di nessuno”

Paissan: “Se andranno in onda scatteranno sanzioni”

 ROMA - Il garante per la Privacy ferma le Iene. L’Authority ha deciso di bloccare il contestato servizio del programma di Italia 1 sul test antidroga a 50 deputati, che sarebbe dovuto andare in onda questa sera. In base alle indiscrezioni fatte trapelare dagli autori della trasmissione, il test, eseguito all’insaputa dei parlamentari, avrebbe dato esiti clamorosi, con ben 16 casi di positività all’uso di stupefacenti. Lo stop del Garante è legato alla “raccolta illecita di dati di natura sensibile in quanto attinenti allo stato di salute” che sarebbe stata effettuata nel servizio.

Il provvedimento cautelativo dispone, con effetto immediato, “il blocco dell’ulteriore trattamento, in qualunque forma, di ogni dato di natura personale raccolto e trattato nel caso in esame, consistente in informazioni, immagini e risultanze di test”. Nel caso poi le Iene non cambiassero la programmazione il Garante partirà con le sanzioni. Come spiega Maurizio Paissan, componente dell’Authority: “Se le Iene non aderiscono al nostro invito di blocco delle informazioni ci saranno sanzioni, ma penso che Mediaset capisca le nostre motivazioni”.

“Non è possibile - spiega Paissan - travolgere le persone in nome del diritto di cronaca. Il nostro ruolo è quello di trovare il punto di equilibrio fra libertà di stampa, di satira in questo caso, e il diritto del singolo cittadino ad essere tutelato nei suoi valori fondamentali come la propria dignità, la propria riservatezza e la propria identità”.

L’annuncio del servizio delle Iene, fatto alla vigilia della prima puntata della nuova serie del programma, aveva subito scatenato polemiche fortissime. L’esame condotto è il cosiddetto drug wipe, un tampone frontale che secondo Davide Parenti, capo autore delle Iene, “ha una percentuale di infallibilità del 100%”. I deputati sono stati avvicinati con la scusa di un’intervista. Poi una finta truccatrice si accorgeva che la fronte dell’ intervistato era “troppo lucida” e tamponava. In realtà, l’ignaro si sottoponeva, senza saperlo, al test che svela se si è fatto uso di stupefacenti nelle ultime 36 ore.

Critico verso la decisione del garante il papà e autore delle Iene, Davide Parenti: “Andiamo in onda da dieci anni rispettando la privacy di tutti, perfino dei guaritori filippini e dei ladri di motorini, figuriamoci quella dei deputati. Abbiamo fatto decine di servizi in questi anni cancellando sempre i volti delle persone coinvolte”.

Drastica la reazione del leghista Roberto Calderoli che chiede di spendere i senatori “che assumono sostanze stupefacenti o abusano dell’alcol”. Per il Codacons, invece, “l’indagine viola i più sacri principi della privacy. Chi assicura infatti che le prove, raccolte in modo illegale e con un furbo espediente, siano state distrutte e che quindi sia impossibile risalire ai singoli soggetti risultati positivi al test?”.

Ironico il ministro per la Famiglia, Rosy Bindi: “Alle Iene sono imbroglioni, ma se i miei colleghi non facessero uso di droghe, non si vedrebbe”. Mentre il segretario dei Radicali italiani Daniele Capezzone chiede di “dissequestrare le Iene. La privacy vale, ma la libertà di informazione vale anche di più. Dico no alla censura”. Mentre Ignazio La Russa di an lancia una proposta ai colleghi parlamentari: “Invito i 50 ‘tamponati a firmare la liberatoria per far sapere se è vero che hanno assunto sostanze stupefacenti, Abbiamo il coraggio delle loro azioni”.

Comments(0)