2. Sommario
Open Government e Open Data
Siti delle Pubbliche Amministrazioni
Condivisione delle Banche Dati pubbliche
3. Premessa
Trasparenza, pubblicità, consultabilità della
attività amministrativa e dei dati personali
Accessibilità e comprensibilità dei dati dell’azione
amministrativa
Accessibilità al dato personale detenuto dalla pubblica
amministrazione
Azione amministrativa trasparente e rispetto della privacy
del cittadino
4. Open Government e
Open Data
Le nuove tecnologie della comunicazione e dell’informazione aprono
nuove opportunità agli enti pubblici, dal punto di vista dello
svecchiamento dei processi decisionali e degli schemi burocratici.
La digitalizzazione, inoltre, permette alle istituzioni di adottare un
nuovo modello amministrativo, basato su “apertura” e
“trasparenza” nei confronti dei cittadini: l’Open Government.
In questo scenario, la pratica di “liberazione” dei dati – conosciuta
come Open Data – che caratterizza internet e il Web, rappresenta una
strada necessaria, anche se non sufficiente, affinché le
amministrazioni adottino il modello di “governo aperto”.
Tratto da “Come si fa Open Data”
Maggioli Editore, maggio 2011
www.datagov.it
5. Open Government
cos’è?
• nuovo concetto di Governance (modello di amministrazione)
• modelli, strumenti e tecnologie nuovi che consentono alle
amministrazioni di essere “aperte” e “trasparenti” nei confronti dei
cittadini
– “apertura” modalità di approccio e relazione basate su bidirezionalità,
condivisione e partecipazione ai processi decisionali
dell’amministrazione
– “trasparenza” libertà di accesso ai dati e alle informazioni
amministrative da parte dei cittadini, nonché alla condivisione di
documenti, saperi e conoscenze tra istituzioni e comunità locale
6. La svolta
• U.S.A., Open Government Directive (del 8/12/2009)
My Administration is committed to creating an unprecedented level
of openness in Government. We will work together to ensure the
public trust and establish a system of transparency, public
participation, and collaboration. Openness will strengthen our
democracy and promote efficiency and effectiveness in Government
(President OBAMA)
– Sito Ufficiale:
http://www.whitehouse.gov/open
– Memorandum:
http://www.whitehouse.gov/the_press_office/TransparencyandOpenGov
ernment/
– Blog:
http://www.whitehouse.gov/open/blog
8. Open Data [1/3]
• Nuovo approccio nella gestione delle
informazioni e dei dati in ambito pubblico
mediante ICT
• Formato aperto con cui le informazioni
sono rese disponibili on line
• Formato aperto che consente oltre alla
accessibilità anche la interscambiabilità e
l’integrabilità delle informazioni
9. Open Data [2/3]
I dati per essere “open” devono essere:
1) Completi
2) Primari
3) Tempestivi
4) Accessibili
5) Leggibili
6) Non proprietari
7) Liberi da licenze
8) Riutilizzabili by Transparency International Georgia
9) Ricercabili
10)Permanenti
10. Open Data [3/3]
• Un esempio:
– http://www.dati.piemonte.it/
• DGR 31 - 11679 del 29 giugno 2009.
Approvazione del documento "Linee guida relative
al riutilizzo del Patrimonio Informativo Regionale" e
del modello di licenza standard per il riutilizzo.
• Dati disponibili on line
11. Linked Open Data
• Collegamento fra
i diversi dataset
al fine di renderli
parte di un unico spazio informativo globale e condiviso.
• Incremento del valore informativo complesso, dal dato
alla conoscenza
[TED ideas worth spreading … Tim Berners-Lee]
es. trova tutti i ristoranti vicini a monumenti
12. Linked Data Cloud
• Set di dati sono stati pubblicati nella community Linking Open Data.
• Interconnessi tra loro questi set di dati costituiscono il Web
of Data che contiene molte informazioni preziose.
• Linked Data Cloud, gestito da Richard Cyganiak e Anja
Jentzsch fornisce una panoramica visiva dei set di dati e delle loro
connessioni.
• La mappatura delle evidenze di competenza sui Linked Data ha lo
scopo di estrarre un sottoinsieme di Linked Data che sia rilevante
per la determinazione degli interessi di un utente e delle
competenze in un particolare dominio, anche, eventualmente, per
sostenere la sua capacità di risolvere i problemi specifici (by
www.titticimmino.com)
14. Agenda Digitale
e strategia Open Data
• http://ec.europa.eu/information_society/digital-
agenda/scoreboard/download/index_en.htm
15. Profili giuridici
Evoluzione del concetto di “trasparenza”
• Concezione statica
• Concezione dinamica
– Trasparenza come principio ispiratore di tutta l’attività
amministrativa
– Valore del dato e produzione di dati
– Riutilizzo dei dati pubblici
• [video] http://www.dati.piemonte.it/cose-il-riuso-dei-dati.html
16. Dati delle pubbliche amministrazioni e
servizi in rete (Capo V, CAD)
• Artt. 2, 12 e 50, D.Lgs. 82/2005
• Art. 11, c.1, D.Lgs. 150/2009
• Art. 52, c.1 bis, D.Lgs. 82/2005 (235/2010)
17. Art. 2, cc.1 e 4, CAD
1) Lo Stato, le regioni e le autonomie locali assicurano
la disponibilità, la gestione, l'accesso, la trasmissione,
la conservazione e la fruibilità dell'informazione in
modalità digitale e si organizzano ed agiscono a tale
fine utilizzando con le modalità più appropriate le
tecnologie dell'informazione e della comunicazione.
4) Le disposizioni di cui al capo V, concernenti l'accesso
ai documenti informatici, e la fruibilità delle
informazioni digitali si applicano anche ai gestori di
servizi pubblici ed agli organismi di diritto pubblico.
18. Art. 12, cc. 1, 4 e 5, CAD
1. Le pubbliche amministrazioni nell'organizzare autonomamente la propria
attività utilizzano le tecnologie dell'informazione e della comunicazione per
la realizzazione degli obiettivi di efficienza, efficacia, economicità,
imparzialità, trasparenza, semplificazione e partecipazione, nonché per la
garanzia dei diritti dei cittadini e delle imprese di cui al Capo I, sezione II,
del presente decreto
4. Lo Stato promuove la realizzazione e l'utilizzo di reti telematiche come
strumento di interazione tra le pubbliche amministrazioni ed i privati.
5. Le pubbliche amministrazioni utilizzano le tecnologie dell'informazione e
della comunicazione, garantendo, nel rispetto delle vigenti normative,
l'accesso alla consultazione, la circolazione e lo scambio di dati e
informazioni, nonché l'interoperabilità dei sistemi e l'integrazione dei
processi di servizio fra le diverse amministrazioni nel rispetto delle regole
tecniche stabilite ai sensi dell'articolo 71.
19. Art. 50, CAD
Disponibilità dei dati …
1. I dati delle pubbliche amministrazioni sono formati, raccolti, conservati, resi disponibili e
accessibili con l'uso delle tecnologie dell'informazione e della comunicazione che ne
consentano la fruizione e riutilizzazione, alle condizioni fissate dall'ordinamento, da parte
delle altre pubbliche amministrazioni e dai privati; restano salvi i limiti alla conoscibilità dei
dati previsti dalle leggi e dai regolamenti, le norme in materia di protezione dei dati
personali ed il rispetto della normativa comunitaria in materia di riutilizzo delle informazioni
del settore pubblico.
2. Qualunque dato trattato da una pubblica amministrazione, con le esclusioni di cui
all'articolo 2, comma 6, salvi i casi previsti dall'articolo 24 della legge 7 agosto 1990, n.
241, e nel rispetto della normativa in materia di protezione dei dati personali, è reso
accessibile e fruibile alle altre amministrazioni quando l'utilizzazione del dato sia
necessaria per lo svolgimento dei compiti istituzionali dell'amministrazione richiedente,
senza oneri a carico di quest'ultima, salvo per la prestazione di elaborazioni aggiuntive è
fatto comunque salvo il disposto dell'articolo 43, comma 4, del decreto del Presidente della
Repubblica 28 dicembre 2000, n. 445.
3. Al fine di rendere possibile l'utilizzo in via telematica dei dati di una pubblica
amministrazione da parte dei sistemi informatici di altre amministrazioni l'amministrazione
titolare dei dati predispone, gestisce ed eroga i servizi informatici allo scopo necessari,
secondo le regole tecniche del sistema pubblico di connettività di cui al presente decreto.
20. Art. 52, CAD
Accesso telematico e
riutilizzazione dei dati …
1. L'accesso telematico a dati, documenti e procedimenti è disciplinato
dalle pubbliche amministrazioni secondo le disposizioni del presente
codice e nel rispetto delle disposizioni di legge e di regolamento in
materia di protezione dei dati personali, di accesso ai documenti
amministrativi, di tutela del segreto e di divieto di divulgazione. I
regolamenti che disciplinano l'esercizio del diritto di accesso sono
pubblicati su siti pubblici accessibili per via telematica.
1-bis. Le pubbliche amministrazioni, al fine di valorizzare e rendere
fruibili i dati pubblici di cui sono titolari, promuovono progetti di
elaborazione e di diffusione degli stessi anche attraverso l’uso di
strumenti di finanza di progetto, assicurando:
a) il rispetto di quanto previsto dall’articolo 54, comma 3;
b) la pubblicazione dei dati e dei documenti in formati aperti di cui
all’articolo 68, commi 3 e 4.
21. Art. 11, c.1
D.lgs. 150/2009
1. La trasparenza e' intesa come accessibilità totale, anche
attraverso lo strumento della pubblicazione sui siti istituzionali
delle amministrazioni pubbliche, delle informazioni
concernenti ogni aspetto dell'organizzazione, degli indicatori
relativi agli andamenti gestionali e all'utilizzo delle risorse per
il perseguimento delle funzioni istituzionali, dei risultati
dell'attività di misurazione e valutazione svolta dagli organi
competenti, allo scopo di favorire forme diffuse di controllo
del rispetto dei principi di buon andamento e imparzialità.
Essa costituisce livello essenziale delle prestazioni
erogate dalle amministrazioni pubbliche ai sensi dell'articolo
117, secondo comma, lettera m), della Costituzione.
22. Licenza
• Non c’è una precisa indicazione normativa
• I principi che ispirano la materia fanno propendere per licenze c.d.
“open”
• Formez PA “Italian Open Data Licence” IODL
• Libertà di:
– Consultare, estrarre, scaricare, copiare, pubblicare, distribuire, trasmettere le
informazioni
– Creare un lavoro derivato (es. mashup), includendo le informazioni in un prodotto o
sviluppando una applicazioni che le utilizzi come base di dati
• Dovere di:
– Indicare la fonte delle informazioni e il nome del soggetto che fornisce il dato
includendo un link alla licenza
– Pubblicare e condividere eventuali lavori derivati con la stessa licenza o con altra
licenza aperta ritenuta compatibile (Creative Commons CC-BY-SA, Open Data
Commons)
23. Privacy ?
• Open data non significa rendere pubblici
tutti i dati formati nell’esercizio delle attività
istituzionali.
• Le norme in materia di privacy, e non solo,
restano ferme
– Linee Guida del Garante per la pubblicazione
dei dati pubblici sul Web (n. 88/2011)
24. Indicazioni del Garante
per i siti delle P.A.
• Deliberazione n. 17 del 19 aprile 2007
(1407101)
• Provvedimento n. 88 del 2 marzo 2011
(1793203)
25. Linee guida
in materia di trattamento di dati
personali per finalità di pubblicazione
e diffusione di atti e documenti
di enti locali
G.U. n. 120 del 25 maggio 2007
Deliberazione n. 17 del 19 aprile 2007
26. Premessa
• In questa sede vengono prese in specifica
considerazione solo questioni riguardanti la
pubblicazione e diffusione di atti e documenti
tenendo presente che, accanto alle forme di
pubblicità scelte dagli enti locali o imposte per
legge, restano vigenti gli obblighi per i medesimi
enti di attuare la disciplina sul diritto di accesso
ai documenti amministrativi e sul distinto diritto di
accesso ai dati personali, che sono stati oggetto di
numerosi provvedimenti del Garante.
27. Precisazione
• La necessità di garantire un livello elevato di tutela dei diritti e delle
libertà fondamentali rispetto al trattamento dei dati personali (art. 2,
comma 1, del Codice) non ostacola una piena trasparenza
dell'attività amministrativa.
• Tale tutela non preclude la valorizzazione delle attività di
comunicazione istituzionale e la partecipazione dei cittadini alla vita
democratica, favorite dall'impiego di nuove tecnologie che sono già
utilizzate nell'ambito di proficue esperienze avviate nell'e-
government e nelle reti civiche.
• In presenza di taluni dati personali o di determinate forme di
diffusione vanno però individuate specifiche soluzioni e modalità per
attuare la trasparenza in modo ponderato, secondo correttezza e
misura.
28. Principi generali
• Gli enti locali, in quanto soggetti pubblici, possono
trattare dati di carattere personale anche sensibile e
giudiziario solo per svolgere le rispettive funzioni
istituzionali (art. 18, comma 2, del Codice).
• Oltre alle garanzie previste dal Codice e da altre
disposizioni normative in materia di protezione dei
dati, l'ente locale deve osservare i presupposti e i limiti
previsti da ogni altra disposizione di legge o di
regolamento che rilevi ai fini del trattamento (art. 18,
comma 3, del Codice).
29. Pubblicazione on line
• La pubblicazione e la divulgazione di atti e
documenti determinano una diffusione di dati
personali, comportando la conoscenza di dati
da parte di un numero indeterminato di
cittadini.
• L'interferenza nella sfera personale degli
interessati che ne consegue è legittima, solo
se la diffusione è prevista da una norma di
legge o di regolamento (artt. 4, comma 1, lett.
m), e 19, comma 3, del Codice).
30. Valutazione preliminare
principio di necessità
• Prima di intraprendere un'attività che comporta una
diffusione di dati personali, l'ente locale deve valutare
se la finalità di trasparenza e di comunicazione può
essere perseguita senza divulgare tali dati, oppure
rendendo pubblici atti e documenti senza indicare
dati identificativi adottando modalità che
permettano di identificare gli interessati solo
quando è necessario
– lo impone il principio di necessità, il quale comporta un
obbligo di attenta configurazione di sistemi informativi e di
programmi informatici per ridurre al minimo l'utilizzazione di
dati personali (art. 3 del Codice).
31. Principio di
proporzionalità
• Se questa valutazione preliminare porta a
constatare che gli atti e i documenti resi
conoscibili o pubblici devono contenere dati
di carattere personale, l'ente deve rispettare
anche l'ulteriore principio di proporzionalità
• i tipi di dati e il genere di operazioni svolte per
pubblicarli e diffonderli devono essere infatti
pertinenti e non eccedenti rispetto alle
finalità perseguite (art. 11, comma 1, lett. d),
del Codice)
32. Dati sensibili e giudiziari
• L'ente può trovarsi di fronte all'interrogativo se
pubblicare e diffondere anche dati sensibili o
giudiziari. La loro particolare delicatezza ne
rende lecita la diffusione solo se:
– è realmente indispensabile (artt. 3, 4, comma 1, lett.
d) ed e), 22, commi 3, 8 e 9, del Codice);
– l'ente ha adottato il regolamento in materia previsto
dal Codice su parere conforme del Garante (artt. 20,
comma 2, 21, comma 2 e 181, comma 1, lett. a)).
33. Il ruolo delle tecnologie
... la logica sottesa ...
• In questo quadro, l'ente locale deve prevedere le diverse forme di
accessibilità ad atti e documenti evitando, per quanto possibile, di
applicare modalità indifferenziate che non tengano conto delle
finalità sottostanti alla trasparenza, nonché delle diverse situazioni
personali. Mentre alcuni documenti possono essere forniti
agevolmente ai cittadini solo a richiesta, altri possono essere
pubblicati, anche in rete, integralmente o per estratto.
• Con un approccio equilibrato e meditato, l'ente locale dovrebbe fare,
opportunamente, largo uso di nuove tecnologie che facilitino la
conoscenza da parte dei cittadini, tenuto conto anche del diritto
all'utilizzo nei loro confronti delle tecnologie telematiche (art. 3 d.lg.
7 marzo 2005, n. 82, recante il "Codice dell'amministrazione
digitale").
34. Accessi selezionati
[1/2]
• Laddove la finalità da perseguire riguardi prevalentemente
solo una o alcune categorie di persone, andrebbero previste
forme di accesso in rete selezionato, attribuendo agli
interessati una chiave personale (username e password; n. di
protocollo o altri estremi identificativi di una pratica forniti
dall'ente agli aventi diritto).
– Ad esempio, la pubblicità tramite siti web su talune procedure
concorsuali può essere perseguita divulgando integralmente
alcuni atti (ad es., deliberazioni che indicono concorsi o
approvano graduatorie), indicando invece in sezioni dei siti ad
accesso selezionato alcuni dettagli conoscibili da interessati e
controinteressati (elaborati, verbali, valutazioni, documentazione
personale comprovante titoli).
35. Accessi selezionati
[2/2]
• Accorgimenti analoghi andrebbero previsti, a seconda dei
casi, con riferimento alle graduatorie relative al
riconoscimento di autorizzazioni, agevolazioni, benefici ed
iniziative a vantaggio di categorie di cittadini (es., procedure
per ammettere minori ad asili nido, per assegnare alloggi di
edilizia residenziale pubblica, per valutare domande di
mobilità o rilasciare autorizzazioni e concessioni edilizie).
• In questi casi occorre evitare, nuovamente, di considerare la
protezione dei dati come un ostacolo alla trasparenza,
prevenendo al tempo stesso la superflua e ingiustificata
diffusione indifferenziata di specifiche informazioni e dettagli
ininfluenti (che restano conoscibili, in base alla legge, dai soli
soggetti legittimati nel caso concreto).
36. Albo pretorio
[1/2]
• Nell'articolare in modo equilibrato le diverse
situazioni prima sintetizzate, l'ente locale deve
anche tenere presente che, per assicurare
determinati effetti dichiarativi, il predetto Testo
unico delle leggi sull'ordinamento degli enti locali
prevede che la pubblicazione di tutte le
deliberazioni del comune e della provincia debba
avvenire non in rete, ma mediante materiale
affissione all'albo pretorio nella sede dell'ente, per
quindici giorni consecutivi, salvo quanto previsto
da specifiche disposizioni di legge (art. 124 d.lg n.
267/2000 citato)
37. Albo pretorio
[2/2]
• La pubblicazione delle deliberazioni nell'albo
pretorio è quindi lecita e non contrasta, per ciò
stesso, con la protezione dei dati personali,
sempreché sia effettuata osservando gli
accorgimenti di seguito indicati.
• Questa fattispecie è ora ancora più delicata in
quanto sono state prescritte anche per questi atti
modalità di pubblicazione on line.
38. Attenzione
a quello che si pubblica
• Peraltro, questa forma di pubblicazione obbligatoria non autorizza,
di per sé, a trasporre tutte le deliberazioni così pubblicate in una
sezione del sito Internet dell'ente liberamente consultabile. Al
tempo stesso, la previsione normativa in questione non preclude
neanche all'ente di riprodurre in rete alcuni dei predetti documenti,
sulla base di una valutazione responsabile e attenta ai richiamati
princìpi e limiti.
• Riguardo alla diretta indicazione di dati personali nelle deliberazioni
da pubblicare presso l'albo pretorio, va rispettato il richiamato
principio di pertinenza e non eccedenza (o, se i dati sono sensibili
o giudiziari, di indispensabilità) rispetto alle finalità perseguite con i
singoli atti.
– Si pensi, ad esempio, al dettaglio di dati che possono essere indicati
nella redazione di verbali e di resoconti dell'attività degli organi collegiali
o assembleari, in rapporto al fine di rispettare il principio di pubblicità
dell'attività istituzionale.
39. Tecnica di redazione
[1/2]
• La circostanza secondo la quale tutte le deliberazioni sono
pubblicate deve indurre l'amministrazione comunale a valutare con
estrema attenzione le stesse tecniche di redazione delle
deliberazioni e dei loro allegati. Ciò, soprattutto quando vengono in
considerazione informazioni sensibili
– si pensi ad esempio agli atti adottati nel quadro dell'attività di assistenza
e beneficenza, che comportano spesso la valutazione di circostanze e
requisiti personali che attengono a situazioni di particolare disagio
– può risultare ad esempio utile menzionare tali dati solo negli atti a
disposizione negli uffici (richiamati quale presupposto della
deliberazione e consultabili solo da interessati e controinteressati),
come pure menzionare delicate situazioni di disagio personale solo
sulla base di espressioni di carattere più generale o, se del caso, di
codici numerici
40. Tecnica di redazione
[2/2]
• Occorre, poi, una specifica valutazione per
selezionare le informazioni sensibili o a
carattere giudiziario che possono essere
diffuse. Resta salvo il divieto di diffondere
dati idonei a rivelare lo stato di salute
degli interessati (artt. 22, comma 8, 65,
comma 5, e 68, comma 3, del Codice): è il
caso, ad esempio, dell'indicazione di specifici
elementi identificativi dello stato di
diversamente abile.
41. Diffusione di dati personali
su Internet [1/3]
• Alcune disposizioni di legge o di regolamento
dispongono la necessaria messa a disposizione di
determinati atti e documenti sul sito web dell'ente
locale.
• Ad esempio, l'ente locale è soggetto ai predetti
obblighi di rendere noti, attraverso il proprio sito web,
l'organigramma degli uffici corredato dal nominativo
dei dirigenti responsabili, nonché il nominativo e
l'ammontare della retribuzione dei dirigenti con
incarico conferito ai sensi dell'art. 19, comma 6, del
d.lg. 30 marzo 2001, n. 165, dei consulenti, e dei
titolari di incarichi corrisposti (art. 54 d.lg. n. 82/2005
citato; art. 1, comma 593, l. n. 296/2006 citato).
42. Diffusione di dati personali
su Internet [2/3]
• La diffusione in Internet di dati personali pone specifiche valutazioni in
rapporto ai diritti degli interessati. I dati così messi a disposizione di un
numero indefinito di persone sono consultabili da molteplici luoghi e in
qualsiasi momento. Il loro "carattere ubiquitario" è valorizzato dal crescente
accesso ad Internet. Attraverso i motori interni ed esterni di ricerca può
essere ricostruito unitariamente un numero ingente di dati riferiti a soggetti
individuati, più o meno aggiornati e di natura differente.
• Decorsi determinati periodi di tempo, la diffusione tramite siti web di tali dati
può comportare un sacrificio sproporzionato dei diritti degli interessati
specie se si tratta di provvedimenti risalenti nel tempo e che hanno
raggiunto le loro finalità. L'ente locale, oltre ad assicurare l'esattezza,
l'aggiornamento e la pertinenza e non eccedenza dei dati, deve garantire il
rispetto del diritto all'oblio dell'interessato una volta perseguite le finalità
poste alla base del trattamento (art. 11, comma 1, lett. c), d) ed e), del
Codice).
43. Diffusione di dati personali
su Internet [3/3]
• Nel rispetto di eventuali (e, allo stato, rare) disposizioni di
legge o di regolamento che impongano specificamente la
messa a disposizione su Internet di dati personali per puntuali
periodi, l'ente può trovarsi di fronte all'esigenza di stabilire in
via amministrativa per quali congrui periodi di tempo
mantenere in rete documenti contenenti dati personali. In tal
caso l'ente, dopo aver valutato se è giustificato includere i
documenti diffusi in eventuali sezioni del sito che li rendano
direttamente individuabili in rete a partire anche da motori di
ricerca esterni al sito stesso, deve individuare,
opportunamente, con regolamento, periodi di tempo congrui
rispetto alle finalità perseguite. Decorsi tali periodi, determinati
documenti o sezioni del sito dovrebbero rimanere in rete, ma
essere consultabili solo a partire dal sito stesso.
44. Fattispecie concrete
• Per chi volesse approfondire ... il provvedimento in parola prende in esame
alcune fattispecie concrete di interesse per gli Enti.
– atti anagrafici
– estratti degli atti dello stato civile
– pubblicazioni matrimoniali
– organizzazione degli uffici
– dati reddituali
– retribuzioni, compensi ed emolumenti
– autorizzazioni e concessioni edilizie
– concorsi pubblici
– asili nido
– alienazione e assegnazione di alloggi di edilizia agevolata
– graduatorie delle domande di mobilità
45. Linee guida in materia di trattamento di
dati personali contenuti anche in atti e
documenti amministrativi, effettuato da
soggetti pubblici per finalità di
pubblicazione e diffusione sul web
G.U. n. 64 del 19 marzo 2011
Provvedimento n. 88 del 2 marzo 2011
46. Ambito di applicazione
• L'attuale processo di innovazione e digitalizzazione della pubblica
amministrazione è caratterizzato da numerose iniziative, anche
legislative, volte a migliorare l'efficienza, l'efficacia e la qualità delle
prestazioni e dei servizi erogati dai soggetti pubblici mediante
l'incremento dell'utilizzo delle tecnologie informatiche e telematiche.
• Le recenti disposizioni in materia di trasparenza e pubblicità
dell'azione amministrativa e quelle sulla consultabilità degli atti
prevedono in capo ai soggetti pubblici diversi obblighi di messa a
disposizione delle relative informazioni da realizzare con
modalità di divulgazione e ambiti di conoscenza di tipo differente,
comportando, a seconda dei casi, operazioni di comunicazione
oppure di diffusione di dati personali.
47. Scopo delle Linee guida
• La disciplina sulla protezione dei dati personali regola la comunicazione e la
diffusione delle informazioni personali in maniera tendenzialmente uniforme,
indipendentemente dalle modalità tecniche utilizzate; ciò, sia nei casi in cui i
dati personali siano resi noti mediante una pubblicazione cartacea, sia
laddove tali informazioni siano messe a disposizione on line tramite una
pagina web.
• Le Linee guida hanno, pertanto, lo scopo di definire un primo quadro
unitario di misure e accorgimenti finalizzati a individuare opportune cautele
che i soggetti pubblici sono tenuti ad applicare in relazione alle ipotesi in
cui effettuano, in attuazione alle disposizioni normative vigenti, attività di
comunicazione o diffusione di dati personali sui propri siti istituzionali per
finalità di trasparenza, pubblicità dell'azione amministrativa, nonché di
consultazione di atti su iniziativa di singoli soggetti.
48. Eccezione
istanze di accesso
• Non sono presi in considerazione in questo
provvedimento i casi in cui i soggetti pubblici
sono destinatari di istanze di accesso ai dati
personali, in quanto il dare conoscenza
all'interessato delle informazioni in possesso
dell'amministrazione non configura
un'operazione di comunicazione (artt. 4, comma
1, lett. l) e 7 del Codice).
49. Trattamento di dati
in ambito pubblico [1/2]
• I soggetti pubblici possono utilizzare
informazioni personali per lo svolgimento delle
proprie funzioni istituzionali anche in mancanza
di una norma di legge o di regolamento che
preveda espressamente il trattamento di dati
personali e non devono richiedere il consenso
dell'interessato (artt. 18, commi 2 e 4, 19,
comma 1, del Codice).
50. Trattamento di dati
in ambito pubblico [2/2]
• Resta fermo che per la comunicazione e la diffusione devono comunque essere
applicate le seguenti regole:
1. in relazione alle sole operazioni di comunicazione e di diffusione, le
pubbliche amministrazioni, nel mettere a disposizione sui propri siti istituzionali dati
personali, contenuti anche in atti e documenti amministrativi (in forma integrale,
per estratto, ivi compresi gli allegati), devono preventivamente verificare che una
norma di legge o di regolamento preveda tale possibilità (artt. 4, comma 1, lett. l) e
m), 19, comma 3, 20 e 21, del Codice)
2. resta fermo inoltre che la pubblicazione di dati personali aventi natura sensibile
è consentita solo se autorizzata da espressa disposizione di legge nella quale
siano specificati i tipi di dati, le operazioni eseguibili e le finalità di rilevante
interesse pubblico perseguite ovvero qualora tale operazione sia identificata nel
regolamento che l'amministrazione è tenuta ad adottare, previo parere conforme
del Garante (art. 20, commi 1 e 2, del Codice)
3. fermo restando comunque il generale divieto di diffusione dei dati idonei a rivelare
lo stato di salute dei singoli interessati (artt. 22, comma 8, 65, comma 5, 68,
comma 3, del Codice)
51. La recente riforma
in materia di trasparenza
• Le amministrazioni possono disporre la pubblicazione sul proprio sito web di
informazioni personali individuate - sulla base di precisi obblighi normativi,
in parte previsti dal d.lgs. n. 150/2009, in parte da altre normative previgenti
- nel Programma triennale per la trasparenza e l'integrità che ciascuna
amministrazione è tenuta ad adottare in conformità alle "Linee guida per la
predisposizione del Programma triennale per la trasparenza e l'integrità“
(CIVIT).
• In tale quadro, qualora l'amministrazione decida, sulla base di una
valutazione responsabile e attenta ai limiti richiamati, di prevedere la
pubblicazione di ulteriori dati, in assenza di specifici obblighi normativi e in
aggiunta a quelli elencati nelle Linee guida della Civit, dovrà motivare
adeguatamente la propria scelta nell'ambito dello stesso Programma
triennale, dimostrando l'idoneità di tale pubblicazione, in relazione alle
finalità perseguite, e il rispetto dei principi di necessità, proporzionalità e
pertinenza dei dati.
52. Pubblicazione
di informazioni personali
su richiesta dell’interessato
• Nell'ambito dei rapporti intercorrenti con l'amministrazione pubblica, gli
interessati possono formulare specifiche richieste volte a ottenere che taluni
propri dati personali siano pubblicati sul sito istituzionale
dell'amministrazione.
• Tali richieste possono riguardare informazioni personali che sono già nella
disponibilità dell'amministrazione in quanto acquisite per lo svolgimento
delle proprie funzioni istituzionali, ovvero che possono essere conferite
facoltativamente dall'interessato allo specifico scopo di consentirne la
diffusione (art. 13, comma 1, lett. b), del Codice).
• E' facoltà dell'amministrazione valutare se prendere in esame tali richieste
di pubblicazione, che comunque potranno essere accolte solo all'esito di
un'attenta verifica con cui si accerti che tale operazione sia compatibile con
lo svolgimento delle proprie funzioni istituzionali e che i dati oggetto di
diffusione on line risultino pertinenti e non eccedenti rispetto alle finalità
perseguite.
53. Sindacato del Garante
• Tutte le decisioni assunte dalle amministrazioni
in relazione alla pubblicazione sui propri siti
istituzionali di atti e documenti contenenti dati
personali possono essere oggetto di sindacato
da parte del Garante al fine di verificare che
siano rispettati i principi di necessità,
proporzionalità e pertinenza dei dati (artt. 3 e
11, comma 1, del Codice).
54. Trasparenza, pubblicità e
consultabilità [1/3]
TRASPARENZA
• La disponibilità sui siti istituzionali delle amministrazioni
di atti e documenti amministrativi, contenenti dati
personali, per finalità di trasparenza è volta a garantire
una conoscenza generalizzata delle informazioni
concernenti aspetti dell'organizzazione
dell'amministrazione al fine di assicurare un ampio
controllo sulle capacità delle pubbliche amministrazioni
di raggiungere gli obiettivi, nonché sulle modalità
adottate per la valutazione del lavoro svolto dai
dipendenti pubblici.
55. Trasparenza, pubblicità e
consultabilità [2/3]
PUBBLICITÀ
• La disponibilità on line per finalità di pubblicità è
volta a far conoscere l'azione amministrativa in
relazione al rispetto dei principi di legittimità e
correttezza, nonché a garantire che gli atti
amministrativi producano effetti legali al fine di
favorire eventuali comportamenti conseguenti da
parte degli interessati.
56. Trasparenza, pubblicità e
consultabilità [3/3]
CONSULTABILITÀ
• La disponibilità sui siti istituzionali delle
amministrazioni di atti e documenti
amministrativi per finalità di consultabilità è volta
a consentire la messa a disposizione degli stessi
solo a soggetti determinati - anche per categorie
- al fine di garantire in maniera agevole la
partecipazione alle attività e ai procedimenti
amministrativi.
57. Valutazione
• La comunicazione o la diffusione possono perseguire una delle seguenti
finalità:
1. trasparenza
2. pubblicità
3. consultabilità
• Occorre una valutazione da parte delle amministrazioni pubbliche, nel
rispetto dei principi di necessità e proporzionalità del trattamento dei dati
personali (artt. 3 e 11 del Codice), in modo da garantire modalità
differenziate di messa a disposizione di dati e documenti tenendo conto
delle diverse finalità sopra evidenziate e descritte, delle tipologie di
informazioni oggetto di divulgazione, nonché degli strumenti e dei mezzi
utilizzati per assicurarne la conoscibilità, affinché siano correttamente
rispettati i diritti degli interessati.
58. Accorgimenti tecnici e
finalità perseguite
• Occorre preliminare individuare:
– la finalità istituzionale
– la norma di riferimento
– i dati da comunicare/diffondere ( ... termini ...)
– i soggetti destinatari delle informazioni
• Occorre implementare gli accorgimenti tecnici che
consentano il rispetto dei principi generali di:
– Necessità
– Proporzionalità
– Pertinenza
– Esattezza e qualità dei dati
59. Pubblicazione on line
“alert”
• limite temporale
• conoscenza solo da parte di certi soggetti
e solo in certe ipotesi
• manipolazione del dato
• acquisizione e memorizzazione indebita
del dato
• reperimento da parte dei motori di ricerca
e contestualizzazione del dato
60. Motori di ricerca
• Opzioni
– Reperibilità da motori di ricerca esterni
– Reperibilità da motori di ricerca solo interni
• Contestualità
• Maggior fruibilità delle informazioni sul sito
• Accorgimenti
– metatag noindex e noarchive
– Codifica di regole di esclusione (robots.txt)
• Robot Exclusion Protocol
61. Tempi “proporzionati”
e diritto all’oblio
• Individuare un congruo periodo di tempo entro il quale
devono rimanere disponibili
– termine prescritto dalla stessa norma
– tenuto conto delle finalità perseguite e dello scopo del precetto
normativo ove non espressamente individuato il termine
– anonimizzazione dei dati (successivamente)
– cancellazione una volta raggiunto lo scopo
• sistemi automatizzati di rimozione
• cache dei motori di ricerca
• diritto all’oblio (provv. 1116068)
• memoria storica e memorizzazione in una partizione ad accesso
controllato
62. Query massive
e duplicazione del data base
• Adottare cautele per ostacolare operazioni
di duplicazione massiva dei file [(ad
esempio mediante software automatici
(robot)]
– Firewall che controllo tempi e numero degli
accessi
– Strumenti che inibiscono il robot (es. codici
CAPTCHA) e che comunque rallentano
l’attività dell’utente
63. Dati esatti e aggiornati
• Obbligo posto in capo alle amministrazioni pubbliche di
garantire "che le informazioni contenute sui siti siano
conformi e corrispondenti alle informazioni contenute nei
provvedimenti amministrativi originali dei quali si fornisce
comunicazione tramite il sito“
• Impiego di copie di documenti originali (v. CAD)
• Impiego di firma digitale o tecniche analoghe
• Inserimento di dati di contesto (data di aggiornamento,
periodo di validità, amministrazione, segnatura di
protocollo o dell’albo, ecc.) (attenzione ai motori di
ricerca che, infatti, decontestualizzano)
64. Fattispecie esemplificative
• Informazioni riferite agli addetti ad una
funzione pubblica
• Situazione patrimoniale di titolari di cariche
e incarichi pubblici
• Ruoli del personale e bollettini ufficiali
• Albo dei beneficiari di provvidenze di
natura economica
65. Pubblicità degli atti e
Albo pretorio on line
• Verificare se i dati personali contenuti in atti e documenti messi a
disposizione sul sito istituzionale devono essere resi conoscibili all'intera
collettività dei consociati (quindi liberamente reperibili da chiunque sul sito
istituzionale), ovvero ai soli utenti che hanno richiesto un servizio, ovvero
agli interessati o ai contro interessati in un procedimento amministrativo
(utilizzando in tale caso regole per garantire un'accessibilità selezionata).
• Nell'adempimento degli obblighi di pubblicazione on line di atti e
provvedimenti amministrativi aventi effetto di pubblicità legale di cui alla
legge n. 69/2009, risulta sproporzionato, rispetto alla finalità perseguita,
consentirne l'indiscriminata reperibilità tramite i comuni motori di ricerca,
essendo invece ragionevole delimitarne la pubblicazione in una sezione
del sito istituzionale, limitando l'indicizzazione dei documenti e il
tempo di mantenimento della diffusione dei dati.
66. Esempi
• Concorsi e selezioni pubbliche
• Graduatorie, elenchi professionali e altri
atti riguardanti il personale
• Atti e documenti indirizzati a persone
specifiche
• Elenchi del collocamento obbligatorio dei
disabili
67. • Cos’è ?
– Commissione per la Valutazione, la Trasparenza e
l’Integrità delle Amministrazioni Pubbliche
• Provvedimenti
– Delibera n. 6 del 25 febbraio 2010
– Delibera n. 105 del 23 settembre 2010
• Linee Guida per la predisposizione del Programma triennale
per la trasparenza e l’integrità (d.lgs. 150/2009, art. 16, c. 6,
lett. e)
68. Linee Guida
per i siti web della P.A.
• Linee Guida 2010 di DigitPA e Formez, ai sensi
dell’art. 4 della direttiva 8/2009 del Ministro per
la pubblica amministrazione e l’innovazione
– Suggerire criteri e strumenti per la riduzione dei siti
web pubblici obsoleti ed il miglioramento di quelli
attivi, in termini di principi generali, gestione e
aggiornamento, contenuti minimi
69. Caratteristiche dei siti
art. 53, CAD
1. Le pubbliche amministrazioni centrali realizzano siti istituzionali su
reti telematiche che rispettano i principi di accessibilità, nonché di
elevata usabilità e reperibilità, anche da parte delle persone disabili,
completezza di informazione, chiarezza di linguaggio, affidabilità,
semplicità dì consultazione, qualità, omogeneità ed interoperabilità.
Sono in particolare resi facilmente reperibili e consultabili i dati di cui
all'articolo 54.
2. Il CNIPA [?] svolge funzioni consultive e di coordinamento sulla
realizzazione e modificazione dei siti delle amministrazioni centrali.
3. Lo Stato promuove intese ed azioni comuni con le regioni e le
autonomie locali affinché realizzino siti istituzionali con le
caratteristiche di cui al comma 1.
70. Contenuto dei siti
art. 54, CAD [1/2]
1. I siti delle pubbliche amministrazioni contengono necessariamente i seguenti dati pubblici:
a) l'organigramma, l'articolazione degli uffici, le attribuzioni e l'organizzazione di ciascun ufficio anche
di livello dirigenziale non generale, i nomi dei dirigenti responsabili dei singoli uffici, nonché il
settore dell'ordinamento giuridico riferibile all'attività da essi svolta, corredati dai documenti anche
normativi di riferimento;
b) l'elenco delle tipologie di procedimento svolte da ciascun ufficio di livello dirigenziale non generale,
il termine per la conclusione di ciascun procedimento ed ogni altro termine procedimentale, il
nome del responsabile e l'unità organizzativa responsabile dell'istruttoria e di ogni altro
adempimento procedimentale, nonché dell'adozione del provvedimento finale, come individuati ai
sensi degli articoli 2, 4 e 5 della legge 7 agosto 1990, n. 241;
c) le scadenze e le modalità di adempimento dei procedimenti individuati ai sensi degli articoli 2 e 4
della legge 7 agosto 1990, n. 241;
d) l'elenco completo delle caselle di posta elettronica istituzionali attive, specificando anche se si tratta
di una casella di posta elettronica certificata di cui al decreto del Presidente della Repubblica 11
febbraio 2005, n. 68;
e) le pubblicazioni di cui all'articolo 26 della legge 7 agosto 1990, n. 241, nonché i messaggi di
informazione e di comunicazione previsti dalla legge 7 giugno 2000, n. 150;
f) l'elenco di tutti i bandi di gara;
g) l'elenco dei servizi forniti in rete già disponibili e dei servizi di futura attivazione, indicando i tempi
previsti per l'attivazione medesima.
g-bis) i bandi di concorso.
71. Contenuto dei siti
art. 54, CAD [2/2]
2-ter. Le amministrazioni pubbliche pubblicano nei propri siti un indirizzo istituzionale di posta
elettronica certificata a cui il cittadino possa rivolgersi per qualsiasi richiesta ai sensi del
presente codice. Le amministrazioni devono altresì assicurare un servizio che renda noti al
pubblico i tempi di risposta.
2-quater. Le amministrazioni pubbliche che già dispongono di propri siti devono pubblicare il registro
dei processi automatizzati rivolti al pubblico. Tali processi devono essere dotati di appositi
strumenti per la verifica a distanza da parte del cittadino dell’avanzamento delle pratiche che lo
riguardano.
3. I dati pubblici contenuti nei siti delle pubbliche amministrazioni sono fruibili in rete gratuitamente e
senza necessità di identificazione informatica.
4. Le pubbliche amministrazioni garantiscono che le informazioni contenute sui siti siano conformi e
corrispondenti alle informazioni contenute nei provvedimenti amministrativi originali dei quali si
fornisce comunicazione tramite il sito.
4-bis. La pubblicazione telematica produce effetti di pubblicità legale nei casi e nei modi
espressamente previsti dall'ordinamento.
72. QUANTO E COME SONO TRASPARENTI
LE GRANDI CITTÀ SUL WEB:
UN’ANALISI DI FORUM PA
• http://www.zeroventiquattro.it/enti-
pubblici/quanto-e-come-sono-trasparenti-
le-grandi-citta-sul-web-
un%E2%80%99analisi-di-forum-pa/
73. Linee guida per la stesura di
convenzioni per la fruibilità dei dati
delle pubbliche amministrazioni
DigitPA, 22 aprile 2011
74. Fruibilità dei dati
art. 58, c. 2, CAD
2. Ai sensi dell’articolo 50, comma 2, nonché al fine di agevolare l’acquisizione d’ufficio ed il controllo
sulle dichiarazioni sostitutive riguardanti informazioni e dati relativi a stati, qualità personali e fatti
di cui agli articoli 46 e 47 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445,
le Amministrazioni titolari di banche dati accessibili per via telematica predispongono, sulla base
delle linee guida redatte da DigitPA, sentito il Garante per la protezione dei dati personali,
apposite convenzioni aperte all’adesione di tutte le amministrazioni interessate volte a disciplinare
le modalità di accesso ai dati da parte delle stesse amministrazioni procedenti, senza oneri a loro
carico. Le convenzioni valgono anche quale autorizzazione ai sensi dell’articolo 43, comma 2, del
citato decreto del Presidente della Repubblica n. 445 del 2000.
3. DigitPA provvede al monitoraggio dell’attuazione del presente articolo, riferendo annualmente con
apposita relazione al Ministro per la pubblica amministrazione e l’innovazione e alla Commissione
per la valutazione, la trasparenza e l’integrità delle amministrazione pubbliche di cui all’articolo 13
del decreto legislativo 27 ottobre 2009, n. 150.
3bis.In caso di mancata predisposizione delle convenzioni di cui al comma 2, il Presidente del
Consiglio dei Ministri stabilisce un termine entro il quale le amministrazioni interessate devono
provvedere. Decorso inutilmente il termine, il Presidente del Consiglio dei Ministri può nominare
un commissario ad acta incaricato di predisporre le predette convenzioni. Al Commissario non
spettano compensi, indennità o rimborsi.
75. Disponibilità dei dati
Art. 50, CAD
1. I dati delle pubbliche amministrazioni sono formati, raccolti, conservati, resi disponibili e
accessibili con l'uso delle tecnologie dell'informazione e della comunicazione che ne consentano
la fruizione e riutilizzazione, alle condizioni fissate dall'ordinamento, da parte delle altre pubbliche
amministrazioni e dai privati; restano salvi i limiti alla conoscibilità dei dati previsti dalle leggi e dai
regolamenti, le norme in materia di protezione dei dati personali ed il rispetto della normativa
comunitaria in materia di riutilizzo delle informazioni del settore pubblico.
2. Qualunque dato trattato da una pubblica amministrazione, con le esclusioni di cui all'articolo 2,
comma 6, salvi i casi previsti dall'articolo 24 della legge 7 agosto 1990, n. 241, e nel rispetto della
normativa in materia di protezione dei dati personali, è reso accessibile e fruibile alle altre
amministrazioni quando l'utilizzazione del dato sia necessaria per lo svolgimento dei compiti
istituzionali dell'amministrazione richiedente, senza oneri a carico di quest'ultima, salvo per la
prestazione di elaborazioni aggiuntive è fatto comunque salvo il disposto dell'articolo 43,
comma 4, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445.
3. Al fine di rendere possibile l'utilizzo in via telematica dei dati di una pubblica amministrazione da
parte dei sistemi informatici di altre amministrazioni l'amministrazione titolare dei dati predispone,
gestisce ed eroga i servizi informatici allo scopo necessari, secondo le regole tecniche del
sistema pubblico di connettività di cui al presente decreto.
76. Art. 15 – L. 183/2011
L’Art. 15, comma 1, L. 183/2011 [rectius art. 40, D.P.R.
445/2000], in punto dispone:
«01. Le certificazioni rilasciate dalla pubblica
amministrazione in ordine a stati, qualità personali e
fatti sono valide e utilizzabili solo nei rapporti tra
privati. Nei rapporti con gli organi della pubblica
amministrazione e i gestori di pubblici servizi i
certificati e gli atti di notorietà sono sempre sostituiti
dalle dichiarazioni di cui agli articoli 46 e 47.
02. Sulle certificazioni da produrre ai soggetti privati è
apposta, a pena di nullità, la dicitura: “Il presente
certificato non può essere prodotto agli organi della
pubblica amministrazione o ai privati gestori di pubblici
servizi.».
77. Art. 43 – D.p.r. 445/2000
«1. Le amministrazioni pubbliche e i gestori di
pubblici servizi sono tenuti ad acquisire
d'ufficio le informazioni oggetto delle
dichiarazioni sostitutive di cui agli articoli
46 e 47, nonché tutti i dati e i documenti che
siano in possesso delle pubbliche
amministrazioni, previa indicazione, da parte
dell'interessato, degli elementi indispensabili
per il reperimento delle informazioni o dei dati
richiesti, ovvero ad accettare la
dichiarazione sostitutiva prodotta
dall'interessato.».
78. Art. 71 – D.p.r. 445/2000
«1. Le amministrazioni procedenti sono tenute ad effettuare idonei controlli, anche a campione,
e in tutti i casi in cui sorgono fondati dubbi, sulla veridicità delle dichiarazioni sostitutive di
cui agli articoli 46 e 47.
2. I controlli riguardanti dichiarazioni sostitutive di certificazione sono effettuati
dall'amministrazione procedente con le modalità di cui all'articolo 43 consultando
direttamente gli archivi dell'amministrazione certificante ovvero richiedendo alla
medesima, anche attraverso strumenti informatici o telematici, conferma scritta della
corrispondenza di quanto dichiarato con le risultanze dei registri da questa custoditi. (R)
3. Qualora le dichiarazioni di cui agli articoli 46 e 47 presentino delle irregolarità o delle
omissioni rilevabili d'ufficio, non costituenti falsità, il funzionario competente a ricevere la
documentazione dà notizia all'interessato di tale irregolarità. Questi è tenuto alla
regolarizzazione o al completamento della dichiarazione; in mancanza il procedimento non
ha seguito.
4. Qualora il controllo riguardi dichiarazioni sostitutive presentate ai privati che vi consentono di
cui all'articolo 2, l'amministrazione competente per il rilascio della relativa certificazione,
previa definizione di appositi accordi, è tenuta a fornire, su richiesta del soggetto privato
corredata dal consenso del dichiarante, conferma scritta, anche attraverso l'uso di
strumenti informatici o telematici, della corrispondenza di quanto dichiarato con le
risultanze dei dati da essa custoditi.»
79. Destinatari
• le presenti linee guida sono rivolte a:
– tutte le amministrazioni dello Stato, ivi compresi gli istituti e le scuole di ogni ordine e
grado e le istituzioni educative, le aziende ed amministrazioni dello Stato ad
ordinamento autonomo, le Regioni, le Province, i Comuni, le Comunità montane, e
loro consorzi e associazioni, le istituzioni universitarie, gli Istituti autonomi case
popolari, le Camere di commercio, industria, artigianato e agricoltura e loro
associazioni, tutti gli Enti pubblici non economici nazionali, regionali e locali, le
amministrazioni, le aziende e gli Enti del Servizio sanitario nazionale, l'Agenzia per la
rappresentanza negoziale delle pubbliche amministrazioni (ARAN) e le Agenzie di cui
al Decreto legislativo 30 luglio 1999, n. 300 (art. 1, comma 2, del Decreto legislativo
30 marzo 2001, n. 165);
– le società, interamente partecipate da enti pubblici o con prevalente capitale pubblico
inserite nel conto economico consolidato della pubblica amministrazione, come
individuate dall'Istituto nazionale di statistica (ISTAT) ai sensi dell'articolo 1, comma 5,
della legge 30 dicembre 2004, n. 311;
– i gestori di servizi pubblici e gli organismi di diritto pubblico.
80. Termini di adempimento
• In relazione a quanto disposto dall’art. 57 comma
14 del D.Lgs. 235/2010 le convenzioni in parola
devono essere predisposte entro 12 mesi
dall’entrata in vigore del decreto medesimo. Ciò
stante, come previsto dall’art. 58, comma 3-bis del
CAD, in caso di mancata predisposizione delle
convenzioni, il Presidente del Consiglio dei Ministri
stabilisce un termine entro il quale le
amministrazioni interessate devono provvedere.
Decorso inutilmente tale termine, lo stesso
Presidente del Consiglio potrà nominare un
commissario ad acta.
81. Per la valutazione e la
misurazione
• ai sensi dell’art. 12 comma 1-ter del CAD, le
disposizioni richiamate nelle linee guida sono
rilevanti ai fini della misurazione e della
valutazione della performance sia organizzativa,
sia individuale previste dagli articoli 8 e 9 del
Decreto legislativo 27 ottobre 2009, n. 150, di
attuazione della Legge 4 marzo 2009, n. 15, in
materia di ottimizzazione della produttività del
lavoro pubblico e di efficienza e trasparenza delle
pubbliche amministrazioni.
82. Contesto
• Il contesto cui fanno riferimento le presenti
linee guida è quello delineato dal CAD e,
in quanto tale, riferito alle pubbliche
amministrazioni connesse per il tramite del
Sistema Pubblico di Connettività (SPC).
83. Quali solo le PA
connesse al SPC ?
• ai sensi dell’art. 75, comma 1 del CAD, al sistema
pubblico di connettività si collegano tutte le
pubbliche amministrazioni indicate dall’art. 1
comma 2, del Decreto legislativo 30 marzo 2001,
n. 165 e le società, interamente partecipate da enti
pubblici o con prevalente capitale pubblico inserite
nel conto economico consolidato della pubblica
amministrazione, come individuate dall'Istituto
nazionale di statistica (ISTAT) ai sensi dell'articolo
1, comma 5, della legge 30 dicembre 2004, n. 311
84. SPC e Sicurezza
• DPCM 1 aprile 2008, Regole tecniche e di sicurezza per il funzionamento
del Sistema pubblico di connettività, garantisce un adeguato livello di
sicurezza e di fiducia nella interazione tra le pubbliche amministrazioni.
• la governance del SPC è affidata alla Commissione di coordinamento di cui
all’ art. 79 del CAD che assicura un continuo aggiornamento del sistema.
• A tale proposito, come previsto dall’art. 76 del CAD gli scambi di documenti
informatici tra le pubbliche amministrazioni nell'ambito del SPC, realizzati
attraverso la cooperazione applicativa e nel rispetto delle relative procedure
e regole tecniche di sicurezza, costituiscono invio documentale valido ad
ogni effetto di legge.
• Gli altri soggetti che al momento ancora non aderiscono all’SPC devono
esplicitamente prevedere idonee misure di sicurezza all’interno delle
convenzioni che stipulano, in linea con le indicazioni che seguono.
85. Raccolta del dato
• Le informazioni o i dati necessari per l’espletamento delle attività
istituzionali delle pubbliche amministrazioni devono essere raccolti e
formati secondo criteri di economicità e di pubblicità
• Le pubbliche amministrazioni prima di procedere alla raccolta diretta
di nuovi dati, sono tenute a verificare se le informazioni relative
possano essere acquisite attraverso la fruibilità di dati in possesso
di altre pubbliche amministrazioni o soggetti pubblici
• A tal fine è necessario che le diverse tipologie di dati che possono
essere fruibili da altre pubbliche amministrazioni siano rese
pubbliche sul sito web delle rispettive amministrazione titolari, in
un’apposita sezione, denominata “DATI FRUIBILI DA ALTRE
AMMINISTRAZIONI”, unitamente alle relative modalità di accesso
86. Formazione del dato
• Per un efficace ed efficiente scambio dei dati
è indispensabile che le pubbliche
amministrazioni adottino soluzioni
informatiche che assicurino l’interoperabilità e
la cooperazione applicativa e consentano la
rappresentazione del dato in più formati, di
cui almeno uno di tipo aperto, ossia reso
pubblico e documentato esaustivamente (art.
68, CAD).
87. Accesso alla banca dati
• Le pubbliche amministrazioni che aderiscono
alle convenzioni possono avvalersi per
l’accesso ai servizi d’interscambio, di altra
pubblica amministrazione, ovvero di altro
soggetto delegato o incaricato, previa
comunicazione all’amministrazione
erogatore. Tale eventualità deve essere,
naturalmente, esplicitamente indicata nella
convenzione, nel rispetto della disciplina sul
trattamento dei dati personali.
88. Opzioni tecniche
per l’accesso
• cooperazione applicativa, componente del
sistema pubblico di connettività finalizzata
all'interazione tra i sistemi informatici delle
pubbliche amministrazioni per garantire
l'integrazione dei metadati, delle informazioni
e dei procedimenti amministrativi;
• accesso via web, attraverso il sito
istituzionale dell’amministrazione titolare dei
dati o un sito tematico all’uopo predisposto.
89. Modalità alternative
e transitorie
• Fermo restando le modalità di accesso telematico definite al punto
precedente, che devono considerarsi quelle di riferimento, le
amministrazioni possono utilizzare modalità alternative, laddove si
presentino documentabili vantaggi economici o la situazione infrastrutturale
e organizzativa non consenta l’adozione di quelle sopra riportate. In tali
casi, le modalità di accesso telematico prevedibili sono:
– soluzioni di “Trasferimento di File” in modalità FTP, qualora preesistenti investimenti,
la natura stessa delle richieste e le specifiche condizioni facciano propendere per tale
soluzione;
– la posta elettronica certificata, nei casi specifici, quando la periodicità di acquisizione
del dato è limitata (in linea di massima una volta all’anno o meno) e la quantità dei dati
da acquisire è contenuta (dell’ordine massimo di 1MB), ovvero in caso di maggiore
economicità della soluzione.
90. Servizi erogabili
• Servizi di ricerca che consentano, ad
esempio, di cercare i dati in base al
contenuto di metadati e di visualizzare il
contenuto dei metadati medesimi
• Servizi di consultazione
• Servizi di download
91. Sicurezza e Privacy
• L’amministrazione erogatore deve disporre
di informazioni complete e strutturate sulla
molteplicità di soggetti che, a vario titolo,
accedono alle banche dati
92. Documento
dei flussi
• l’amministrazione erogatore redige un documento, con
formalità descrittive standard, che riporti tutti i flussi di
trasferimento di dati da e verso la banca dati e tutti gli accessi
di tipo interattivo o di altro genere, specificando per ciascun
flusso o accesso:
– l'identità dei soggetti legittimati a realizzarlo, la base normativa;
– la finalità istituzionale, la natura e la qualità dei dati trasferiti o a
cui si è avuto accesso;
– la frequenza e il volume dei trasferimenti o degli accessi e il
numero di soggetti che utilizzano la procedura.
• Tale documento dovrà essere mantenuto costantemente
aggiornato, nonché reso disponibile nel caso di controlli.
93. Controlli periodici
“annuali”
• Persistenza della finalità
• Numero di utenze attive, anche in
considerazione delle finalità
• Controllo di conformità degli accessi
94. Garanzie per la correttezza
del trattamento dei dati [1/7]
• Le convenzioni stipulate con ciascun ente
devono prevedere espressamente i vincoli
necessari ad assicurare un corretto
trattamento dei dati e devono stabilire le
condizioni per escludere il rischio di
duplicazione delle basi dati realizzata
anche attraverso l'utilizzo di strumenti
automatizzati di interrogazione.
95. Garanzie per la correttezza
del trattamento dei dati [2/7]
• In particolare il fruitore:
– utilizza le informazioni acquisite dal titolare
esclusivamente per le finalità dichiarate, nel rispetto
della normativa vigente, anche in materia di
consultazione delle banche dati, osservando le
misure di sicurezza ed i vincoli di riservatezza previsti
dal Codice della Privacy
– procede al trattamento dei dati personali, in
particolare di quelli sensibili, osservando le misure di
sicurezza ed i vincoli di riservatezza previsti dal
Codice della Privacy rispettando i canoni di
pertinenza e non eccedenza nel trattamento delle
informazioni acquisite
96. Garanzie per la correttezza
del trattamento dei dati [3/7]
– garantisce che non si verifichino divulgazioni,
comunicazioni, cessioni a terzi, né in alcun modo
riproduzioni dei dati nei casi diversi da quelli previsti dalla
legge, provvedendo ad impartire, ai sensi dell’art. 30 del
Codice della Privacy, precise e dettagliate istruzioni agli
incaricati del trattamento, richiamando la loro attenzione
sulle responsabilità connesse all’uso illegittimo dei dati;
– s’impegna a non duplicare i dati resi disponibili e a non
creare autonome banche dati non conformi alle finalità per
le quali è stato autorizzato l’accesso;
– garantisce che l’accesso ai dati verrà consentito
esclusivamente a personale o assimilati ovvero da soggetti
che siano stati designati dal fruitore quali incaricati o
responsabili esterni del trattamento dei dati;
97. Garanzie per la correttezza
del trattamento dei dati [4/7]
– ha consapevolezza del Codice della Privacy e della
possibilità di controlli ivi previsti per verificare il rispetto dei
vincoli di utilizzo dei servizi, previo preavviso tra le
rispettive funzioni organizzative preposte alla sicurezza.
Per l’espletamento di tali controlli, che potranno essere
effettuati anche presso le sedi del fruitore dove viene
utilizzato il servizio, Il fruitore si impegna a fornire ogni
necessaria collaborazione;
– si impegna, non appena siano state utilizzate le
informazioni secondo le finalità dichiarate, a cancellare i
dati ricevuti dal titolare;
– si impegna a formare gli utenti abilitati sulle specifiche
caratteristiche, proprietà e limiti del sistema utilizzato per
l’accesso ai dati ed a controllarne il corretto utilizzo.
98. Garanzie per la correttezza
del trattamento dei dati [5/7]
– garantisce che l’adozione al proprio interno delle regole di sicurezza
atte ad:
• adottare procedure di registrazione che prevedano il riconoscimento diretto e
l’identificazione certa dell’utente;
• adottare regole di gestione delle credenziali di autenticazione e modalità che ne
assicurino adeguati livelli di sicurezza quali ad esempio:
– identificazione univoca di una persona fisica;
– processi di emissione e distribuzione agli utenti in maniera sicura seguendo una
stabilita procedura operativa;
– possono essere costituite da un dispositivo in possesso ed uso esclusivo dell’incaricato
e provvisto di pin o una coppia username/password, o, infine, da credenziali che
garantiscano analoghe condizioni di robustezza;
• nel caso le credenziali siano costituite da una coppia username/password,
devono essere previste politiche di gestione della password che rispettino le
misure minime di sicurezza previste dal Codice della Privacy;
• la procedura di autenticazione dell’utente deve essere protetta dal rischio di
intercettazione delle credenziali da meccanismi crittografici di robustezza
adeguata.
99. Garanzie per la correttezza
del trattamento dei dati [6/7]
– si impegna ad utilizzare i sistemi di accesso ai
dati in consultazione on line esclusivamente
secondo le modalità con cui sono stati resi
disponibili e, di conseguenza, a non estrarre i
dati per via automatica e massiva (attraverso
ad esempio i cosiddetti “robot”) allo scopo di
velocizzare le attività e creare autonome
banche dati non conformi alle finalità per le
quali è stato autorizzato all’accesso;
100. Garanzie per la correttezza
del trattamento dei dati [7/7]
– s’impegna altresì a comunicare:
• tempestivamente all’amministrazione titolare incidenti sulla sicurezza occorsi al
proprio sistema di autenticazione qualora tali incidenti abbiano impatto
direttamente o indirettamente nei processi di sicurezza afferenti la cooperazione
applicativa l’amministrazione titolare;
• al titolare ogni eventuale esigenza di aggiornamento di stato degli utenti gestiti
(nuovi inserimenti, disabilitazioni, cancellazioni) in caso di consultazione on line;
• al titolare ogni modificazione tecnica e/o organizzativa del proprio dominio, che
comporti l’impossibilità di garantire l’applicazione delle regole di sopra riportate
e/o la loro perdita di efficacia.
– garantisce, in caso di cooperazione applicativa, che i servizi resi
disponibili verranno esclusivamente integrati con il proprio sistema
informativo e non saranno resi disponibili a terzi né direttamente né
indirettamente per via informatica.
– Infine il titolare, al fine di salvaguardare la sicurezza dei propri sistemi
informativi, può prevedere ulteriori strumenti di gestione atti a gestire i
profili di abilitazione, verificare accessi anomali, provvedere al
tracciamento delle operazioni di accesso.
101. Livelli di servizio [1/2]
• L’amministrazione titolare rende disponibili i dati,
secondo predefiniti livelli di servizio, che tengono
conto delle proprie esigenze e capacità elaborative e
di una ragionevole previsione di soddisfacimento delle
esigenze delle amministrazioni fruitori.
• I livelli di servizio devono specificare, inoltre, eventuali
limitazioni, restrizioni, condizioni esterne, affinché
risultino chiare le prestazioni che l’infrastruttura messa
a disposizione dall’amministrazione titolare è in grado
di soddisfare.
102. Livelli di servizio [2/2]
• l’amministrazione titolare ha l’obbligo di informare, nelle
modalità concordate nell’allegato tecnico alla convenzione, i
tempi previsti di interruzione programmata e ripristino del
servizio
• la convenzione deve esplicitare la disponibilità e le modalità di
attivazione del servizio di assistenza, che l’amministrazione
titolare dei dati è in grado di garantire all’amministrazione
fruitore del dato
• anche qualora tale servizio di assistenza non sia disponibile,
l’amministrazione titolare è tenuta a indicare nella
convenzione i recapiti di un responsabile – che potrà
coincidere anche con il responsabile della convenzione – cui
l’amministrazione fruitore potrà rivolgersi in caso di
malfunzionamenti nell’accesso dei dati
103. Contenuto
della convenzione
• Ambito di applicazione e scopo
• Modalità di accesso
• Oneri economici
• Durata della convenzione
• Utilizzo dei dati
• Conservazione dei dati
• Titolarità del dato
• Allegati alla convenzione
– Glossario
– Descrizione della infrastruttura
– Modalità di fruizione dei dati e regole di accesso
– Servizi forniti
– Regole minime di sicurezza
– Livelli di servizio e modalità di assistenza
– Periodicità di aggiornamento dei dati
104. Comunicazione
della convenzione
• La stipulazione di una convenzione per l’accesso alla banca dati di una
pubblica amministrazione deve essere comunicata all’Ufficio dati pubblici di
DigitPa (datipubblici@digitpa.gov.it) da parte dell’amministrazione titolare
del dato, ai fini di quanto previsto dal comma 3 dell’art. 58 del CAD.
• In particolare, l’amministrazione titolare dovrà fornire le seguenti
informazioni:
– oggetto della convenzione;
– durata della convenzione;
– amministrazione fruitore;
– responsabili per la convenzione dell’amministrazione titolare e dell’amministrazione
fruitore.
• Tale comunicazione risulta già soddisfatta nei casi nei quali la fruizione dei
dati avvenga in cooperazione applicativa, attraverso l’infrastruttura di
cooperazione applicativa SPCoop.
105. Criteri tecnici
per le modalità di accesso
• Principi generali da garantire e da definire in
convenzione
– Trattamenti solo da parte di soggetti incaricati
– Trattamenti solo nell’ambito delle funzioni che hanno
legittimato il collegamento
– Segmentazione dei dati visualizzabili (principio di
pertinenza e di non eccedenza)
– Periodici controlli del Garante
– Monitoraggio e alert da parte dell’erogatore
106. Servizi di consultazione
• Prevedono:
– La messa a disposizione di un applicativo di
consultazione con accesso mediante profili di
autorizzazione definiti
– Gestione e tracciamento delle utenze e delle
operazioni poste in essere
– (dovrebbero prevedere) sessioni HTTPS/SSL
– Il divieto di sessioni contemporanee con le stesse
credenziali
• In punto deve essere prevista la visualizzazione alla apertura
della sessione di informazioni relative all’ultima sessione
(data, ora, IP)
107. Modalità di identificazione
• Credenziali di autenticazione
– CIE, CNS
– Token di one time password
– userID e PW assegnate dall’erogatore
• Meccanismo previsto per la gestione
federata dell’identità digitale
108. Modalità alternative
FTP
• Regime transitorio
• Motivazione espressa
• Canali sicuri di comunicazione
• Credenziali di autenticazione sicure
• Definizione del ciclo di vita del dato