P.A., Privacy ed ICT: scadenze di fine anno!
Adempimenti, scadenze e responsabilità dell'Ente pubblico in materia di Privacy, ICT e E-Government: cosa si deve fare entro la fine dell’anno!
di Avv. Andrea Lisi (Studio Associato D.&L. – www.studiodl.it – Direttore editoriale della Rivista di Diritto, Economia e Gestione delle Nuove Tecnologie, Nyberg Editore – www.nyberg.it)
Il necessario utilizzo dei nuovi strumenti informatici da parte dei “gestori della cosa pubblica”, l’implementazione di piani e-government a livello nazionale e internazionale ed il continuo proliferare di normative sempre più tecniche e caoticamente nuove sulla materia della Società dell’Informazione ormai rendono particolarmente gravoso il ruolo dell’ente pubblico perso nei meandri del mondo tecnologico.
Se da una parte è in atto una vera rivoluzione digitale del settore pubblico, dall’altra parte si nota impietosamente quanto ancora ci sia da fare sul versante prima organizzativo e poi normativo.
In ogni caso, precise scadenze attendono le amministrazioni pubbliche e non si può prescindere da esse altrimenti si rischia di rimanere isolati dal flusso di informazioni globali che caratterizzano ormai la nostra “esistenza virtuale”.
Tutte le Pubbliche Amministrazioni dovranno attrezzarsi per sostenere questi cambiamenti delineando nuovi profili di incarico, nuove responsabilità in un organigramma di funzioni che, per poter essere sviluppato, necessita di competenze tecniche e giuridiche non indifferenti.
E’ entrato in vigore ormai da tempo il Codice per la protezione dei dati personali (D. Lgs. 196/2003) che impone entro la fine dell’anno importanti adeguamenti per l’ente pubblico e il 1° gennaio 2006 entrerà in vigore il Codice della Pubblica Amministrazione Digitale (D. Lgs. n. 82 del 2005) con tantissime novità sul versante dell’agire amministrativo digitale.
Pertanto siamo oramai agli sgoccioli per quanto riguarda i primi obbligatori provvedimenti che Comuni e Pubbliche amministrazioni dovranno adottare ai fini del rispetto della normativa sulla privacy e della amministrazione digitale, in generale; il tutto dovrà avvenire entro termini brevissimi.
Possiamo elencare, infatti, tre distinte e importanti scadenze e precisamente:
A) CARTA D’IDENTITÀ ELETTRONICA
31 ottobre 2005, termine entro il quale i Comuni debbono provvedere alla presentazione di un piano di sicurezza per le postazioni in cui sono prodotte, trasmesse, formate, rilasciate, rinnovate o aggiornate le carte di identità elettroniche (CIE). Questo documento dovrà contenere le procedure, le modalità di protezione e monitoraggio delle CIE e verrà inviato alla Prefettura, che procederà alla verifica circa la sua conformità al decreto n. 155 del 2 agosto 2005, emanato dal Ministero dell’Interno (Gazzetta Ufficiale N. 187 del 12 Agosto 2005). Tale decreto è stato emanato in base all’art. Art. 7-vicies ter. II comma della Legge 43/2005, il quale afferma espressamente che “a decorrere dal 1° gennaio 2006 la carta d'identita' su supporto cartaceo e' sostituita, all'atto della richiesta del primo rilascio o del rinnovo del documento, dalla carta d'identita' elettronica, classificata carta valori, prevista dall'articolo 36 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445. A tal fine i comuni che non vi abbiano ancora ottemperato provvedono, entro il 31 ottobre 2005, alla predisposizione dei necessari collegamenti all'Indice nazionale delle anagrafi (INA) presso il Centro nazionale per i servizi demografici (CNSD) ed alla redazione del piano di sicurezza per la gestione delle postazioni di emissione secondo le regole tecniche fornite dal Ministero dell'interno”…in poche parole i Comuni devono attrezzarsi ed in fretta perché il documento da produrre è delicato e complesso e il termine ravvicinatissimo!
B) Documento Programmatico sulla Sicurezza
31 dicembre 2005, termine ultimo per la redazione del Documento Programmatico sulla sicurezza (DPS), rientrante tra le misure minime di sicurezza. Tale documento – che rappresenta una sorta di “scatto fotografico” di tutti i trattamenti di dati personali effettuati dall’ente e di tutte la misure di sicurezza implementate a tutela di tali trattamenti – è obbligatorio ex art. 34 del Codice della Privacy per tutti coloro che trattano elettronicamente dati personali. La sua redazione dovrà essere effettuata nei modi previsti dal disciplinare tecnico contenuto nell’allegato B) del Codice (punti 19 e segg.). In caso di mancata adozione del DPS è prevista la sanzione penale di cui all’art. 169 del Codice.
C) Regolamenti interni sul corretto trattamento dei dati personali, sensibili e giudiziari
31 dicembre 2005, termine ultimo per l’adozione dei “Regolamenti interni sul corretto trattamento dei dati personali, sensibili e giudiziari” (ai sensi degli articoli 20, commi 2 e 3, e 21, comma 2 del D.Lgs. 30 giugno 2003, n. 196): quegli atti, cioè, mediante i quali le pubbliche amministrazioni dovranno rendere trasparenti ai cittadini sia la tipologia di dati personali sensibili e giudiziari che vengono utilizzati, sia le finalità perseguite sia le modalità del loro trattamento. Il Garante in questi giorni ha diffuso sul suo sito web degli schemi-tipo di provvedimenti da adottare in seno all’ente.
Ovviamente l’adozione di questi provvedimenti/documenti è particolarmente complessa ed impone un prodromico studio particolareggiato della struttura dell’ente ed una precedente ridefinizione di ruoli, competenze, misure di sicurezza da implementare.
L’ente in questi giorni è chiamato, quindi, a compiere i primi passi verso la rivoluzione digitale che lo attende, dove il cittadino diverrà cliente-depositario di nuovi servizi e, quindi, diritti “digitali”. Infatti, il Codice della Pubblica Amministrazione Digitale ridisegnerà il rapporto cittadino – pubblica amministrazione, ponendo il servizio digitale al centro del processo di trasparenza di una più democratica azione amministrativa. Si ricordano, tra i tanti, l’art. 3 (diritto all’uso delle tecnologie), l’art. 4 (partecipazione al procedimento amministrativo), o ancora l’art. 7 (qualità dei servizi e soddisfazione dell’utenza) - dove la pubblica amministrazione dovrà confrontarsi con gli schemi aziendali del C.R.M., fino all’avveniristico art. 9 (partecipazione democratica elettronica) e al più concreto art. 10 (Sportello Unico delle Attività Produttive). Di grande rilievo risultano gli articoli dedicati all’accessibilità dei siti web della Pubblica Amministrazione, i quali devono rispettare “i principi di accessibilità, nonché di elevata usabilità e reperibilità, anche da parte delle persone disabili, completezza di informazione, chiarezza di linguaggio, affidabilità, semplicità di consultazione, qualità, omogeneità ed interoperabilità” (art. 53), rendendo più attuale e operativa la legge 4/2004 contenente “Disposizioni per favorire l’accesso dei soggetti disabili agli strumenti informatici”. E ancora di grande rilievo è quanto risulta dall’art. 6, secondo il quale le pubbliche amministrazioni centrali devono utilizzare la posta elettronica certificata, di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, per ogni scambio di documenti e informazioni con i soggetti interessati che ne fanno richiesta e che hanno preventivamente dichiarato il proprio indirizzo di posta elettronica certificata.
Ma la rivoluzione più importante è, forse, contenuta nell’obbligatorio passaggio epocale dal cartaceo al digitale: gli atti formati con strumenti informatici, i dati e i documenti informatici delle pubbliche amministrazioni costituiscono informazione primaria ed originale da cui è possibile effettuare, su diversi tipi di supporto, riproduzioni e copie per gli usi consentiti dalla legge (art. 22).
Tutto nel prossimo futuro sarà emesso, protocollato, fascicolato, memorizzato, archiviato digitalmente e nessuno può permettersi di aspettare ancora. E per l’attuazione di questi principi innovativi sono presenti nel Codice della P.A.D. importanti, ulteriori scadenze per l’ente pubblico che, se non saprà rinnovarsi e attrezzarsi, rischierà un totale isolamento dalla Rete informativa nazionale.
Ad esempio, si ricorda che:
- a decorrere dal 30 giugno 2007, le pubbliche amministrazioni centrali con sede nel territorio italiano consentono l'effettuazione dei pagamenti ad esse spettanti, a qualsiasi titolo dovuti, con l'uso delle tecnologie dell'informazione e della comunicazione (art. 5);
- entro il 31 maggio di ciascun anno le pubbliche amministrazioni centrali trasmettono al Ministro delegato per la funzione pubblica e al Ministro delegato per l'innovazione e le tecnologie una relazione sulla qualità dei servizi resi e sulla soddisfazione dell'utenza (art. 7);
- entro ventiquattro mesi dalla data di entrata in vigore del presente codice le pubbliche amministrazioni centrali provvedono a: a) istituire almeno una casella di posta elettronica istituzionale ed una casella di posta elettronica certificata ai sensi del decreto del Presidente della Repubblica 11 febbraio 2005, n. 68, per ciascun registro di protocollo; b) utilizzare la posta elettronica per le comunicazioni tra l'amministrazione ed i propri dipendenti, nel rispetto delle norme in materia di protezione dei dati personali e previa informativa agli interessati in merito al grado di riservatezza degli strumenti utilizzati (art. 47);
- le pubbliche amministrazioni provvedono a definire e a rendere disponibili anche per via telematica l'elenco della documentazione richiesta per i singoli procedimenti, i moduli e i formulari validi ad ogni effetto di legge, anche ai fini delle dichiarazioni sostitutive di certificazione e delle dichiarazioni sostitutive di notorietà. Trascorsi ventiquattro mesi dalla data di entrata in vigore del presente codice, i moduli o i formulari che non siano stati pubblicati sul sito non possono essere richiesti ed i relativi procedimenti possono essere conclusi anche in assenza dei suddetti moduli o formulari (art. 57);
- con decreto del Presidente del Consiglio dei Ministri o del Ministro delegato per l'innovazione e le tecnologie, di concerto con il Ministro per la funzione pubblica e d'intesa con la Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, è fissata la data, comunque non successiva al 31 dicembre 2007, a decorrere dalla quale non e' più consentito l'accesso ai servizi erogati in rete dalle pubbliche amministrazioni, con strumenti diversi dalla carta d'identità elettronica e dalla carta nazionale dei servizi (art. 64).
Per concludere, si ricorda che dietro ogni adempimento, scadenza, principio programmatico c’è sempre l’acquisizione di interessi, ruoli, diritti e soprattutto di nuova consapevolezza per il cittadino e, nel quadro generale di riorganizzazione dell’ente pubblico, non si può più prescindere da una efficace, sicura, giuridicamente corretta informatizzazione di ogni procedura interna ed esterna, anche per rendere effettivi i principi di trasparenza ed economicità che devono caratterizzare l’agire amministrativo.
Inserito il 18/10/2005 | Informatica e P.A.