domenica 11 ottobre 2015

Protocollo Informatico: istruzioni per l'uso da parte di Agid. Tutto chiaro?

Dal 6 ottobre è stato pubblicato sul sito istituzionale di Agid un documento contenente le istruzioni operative per la produzione e conservazione del registro di protocollo.
Il documento è chiaro in molti suoi punti e coerente con ciò che la normativa richiede (si ricorda che da lunedi prossimo tutte le PA devono essere in linea con quanto prevede il DPCM 3 dicembre 2013 e quindi tutte le PA devono - tra le altre cose - trasferire il registro di protocollo  entro il giorno successivo nel sistema di conservazione). Quindi, senz'altro un documento utile.
Ma...ci sono dei ma.
Il documento pubblicato appare non registrato a protocollo da Agid, non ha un autore preciso e non ha una data e un sigillo elettronico...e forse su questi aspetti Agid dovrebbe cercare di essere più in linea con ciò che la normativa tecnica prevede.
A parte questo aspetto non di poco conto, i metadati indicati mi sembrano eccessivi, ma soprattutto c'è un problema giuridico grande quanto una casa. Nel documento publicato infatti - al punto 3.3 dello stesso - si afferma che il registro di protocollo è generato in via automatica attraverso l’estrazione dal sistema documentale di un insieme di dati, secondo una struttura predeterminata, trasferita in forma statica in un sistema di conservazione, come indicato all'art. 3, comma 1, lettera d), del DPCM 13 novembre 2014. Tale modalità di formazione del registro di protocollo - secondo queste istruzioni - non renderebbe necessaria la sua sottoscrizione con firma digitale né ai fini di garantirne le caratteristiche di immodificabilità ed integrità né, eventualmente, allo scopo di assicurarne la provenienza e l’autenticità, in quanto il registro di protocollo è comunque riferibile al pubblico ufficiale da cui è formato, cioè il responsabile della gestione documentale o responsabile del servizio per la tenuta del protocollo. Alla luce di ciò la sottoscrizione del Registro giornaliero di protocollo con firma digitale o con firma elettronica qualificata sarebbe quindi da ritenersi facoltativa.
Questo ragionamento - ineccepibile da punto di vista strettamente informatico - è pericolosissimo dal punto di vista giuridico-informatico sia nella definizione delle responsabilità e sia nelle garanzie di attribuzione e di "fede pubblica" dell'archivio pubblico digitale.
La registrazione di protocollo è - come sapiamo bene - un atto pubblico di fede privilegiata, garantito, quindi, da un pubblico ufficiale. Ogni documento informatico amministrativo che ha un'efficacia erga omnes va sottoscritto con firma digitale secondo l'art. 24 comma 2 del Codice dell'Amministrazione Digitale (*). Ora il ragionamento di AGID potrebbe essere (forse) giuridicamente ammissibile se il sistema di gestione documentale e il sistema di conservazione siano entrambi "in house" presso l'ente pubblico e i due responsabili della conservazione siano "interni" all'ente e quindi - se uno di essi non provvede a "sigillare" il registro - lo può fare l'altro (e la normativa consente anche che queste due figure coincidano) (**). Ma se il sistema di conservazione invece è in outsourcing presso un conservatore esterno all'ente si genera una fase pericolosissima dove c'è un pacchetto di versamento NON sottoscritto da nessuno che passa da un sistema all'altro, poi viene rielaborato da una parte privata (il conservatore) e poi sottoscritto come pacchetto di archiviazione....da chi? Dal Responsabile interno all'ente o dal Responsabile del servizio di conservazione (come si legge spesso in giro)?
Come si fa a garantire dal punto di vista giuridico-informatico un atto pubblico di fede privilegiata in questo modo??
Su questo non potremo non confrontarci a Roma durante il Dig.eat - www.digeat.it (Centro Congressi Fontana di Trevi, 14 ottobre - a partire dalle 9.00 - ingresso gratuito - registrazione obbligatoria).
A presto. Andrea Lisi
---
(*) Si ricorda che secondo il comma 2 dell'art. 24 "l'apposizione di firma digitale integra e sostituisce l'apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente". Quindi secondo la normativa primaria contenuta nel CAD qualsiasi atto di una PA avente efficacia esterna deve essere garantito con una firma digitale.

(**) Infatti, si devono fare sempre e comunque i conti con qunto previsto dal comma 2 dell'art. 23bis del CAD secondo il quale "le copie e gli estratti informatici del documento informatico, se prodotti in conformità alle vigenti regole tecniche di cui all'articolo 71, hanno la stessa efficacia probatoria dell'originale da cui sono tratte se la loro conformità all'originale, in tutti le sue componenti, è attestata da un pubblico ufficiale a ciò autorizzato o se la conformità non è espressamente disconosciuta. Resta fermo, ove previsto, l'obbligo di conservazione dell'originale informatico". Quindi, l'unica possibilità per garantire all'estratto delle registrazioni giornaliere di avere una valenza formale e probatoria è e rimane quella di essere garantito con la firma digitale di un pubblico ufficiale formalmente designato (quindi o il Responsabile della gestione documentale o eventualmente il Responsabile della conservazione).

lunedì 5 gennaio 2015

Di cosa c’è davvero bisogno per l’Agenda Digitale nel 2015?

No, Non basta “Fare”. Per l’Italia Digitale non bastano neppure l’Entusiasmo, la Bellezza (citata recentemente da Renzi) e la Tenacia (indicata da Alessandra Poggiani) purtroppo, anche se sono importantissimi.
Non basta neppure saper Comunicare bene. Abbiamo ottimi Comunicatori oggi nelle tante (forse troppe) Cabine di Regia del Digitale e abbiamo un esercito di Digital Champion che senz’altro hanno/avranno entusiasmo genuino e speriamo anche tanta tenacia.
Ma senza una strategia precisa rischiano di andare in tante direzioni e soprattutto di comunicare diverse iniziative tra loro scoordinate e confuse nella loro applicazione pratica.
L’Italia invece ha bisogno di una Direzione precisa nelle sue strategie di digitalizzazione per evitare di andare alla deriva.
Questa Direzione l’abbiamo avuta in qualche modo in passato. Forse perfettibile, ma spesso sensata. E spesso siamo stati primi in Europa nella Regolamentazione Tecnica degli strumenti della digitalizzazione. Non possiamo dimenticarlo.
È vero anche che questa nostra “primarietà europea” l’abbiamo spesso ignorata, addirittura derisa e di certo non l’abbiamo comunicata bene. Per questo, a mio modesto avviso, l’odierna attenzione verso il mondo social e i mass media è importantissima, ma non deve essere fine a se stessa. Sarebbe un grave limite e un inganno. Sarebbe scelta opposta rispetto al recente passato, ma altrettanto dannosa per l’Italia Digitale.
Non ci sono e non ci possono essere Open Data, Trasparenza, Accessibilità, Comunicazione Digitale senza Competenze tecniche verticalizzate, Contenuti seri e Strategie precise da seguire. E la bussola qualcuno con autorevolezza deve averla in mano e io penso che finalmente Agid vada rafforzata e debba avere il coraggio di prendere oggi con decisione il timone dell’Agenda Digitale Italiana e conferire così una precisa direzione al caos di iniziative che si avverte e si legge in questi giorni ( o che almeno avverto io ;)).
E allora non c’è Digital Champion che serva a qualcosa se non ha una squadra di Digital Minion pronta a supportarlo. E non c’è Digital Minion che serva se non ha un abile Digital Champion che possa coadiuvarlo nel comunicare le strategie condivise, sviluppate, attuate (o da attuare).
Insomma spero in un 2015 dove ognuno conosca bene e in modo chiaro e ineccepibile il suo ruolo e sappia rispettarlo, favorendo una sana e coesa cooperazione in una precisa direzione (magari tracciata da Agid).
Questo spero e secondo me di questo c’è bisogno.
Questo è anche il senso di questo articolo così tanto letto e così tanto commentato che ho pubblicato qualche giorno fa su Forum Pa (http://saperi.forumpa.it/story/97739/digital-champion-edigital-minion). E come legale rappresentante di ANORC (www.anorc.it), ANORC Professioni (http://www.anorc.it/anorc_professioni/) e  AIFAG (www.aifag.org) cercherò in tutti i modi di avere il timone di queste strutture puntato verso lo sviluppo di serie professionalità (Digital Minion :)) in grado di avviare e prendere in mano concreti progetti di digitalizzazione da  mettere a disposizione di strutturate strategie di comunicazione affidate ai nostri Digital Champion.
Tantissimi Auguri a tutti per uno splendido 2015. Andrea Lisi

venerdì 13 giugno 2014

Un paio di riflessioni su Spam e Social Network (in attesa dell’arresto di un pericoloso spammatore: tal Avv. Andrea Lisi)


Ma è possibile che con questo caldo devo ricevere (in modo indiretto) da Amici comunicazioni e-mail di questo tenore?


"Quindi state iscrivendomi senza previo consenso ad una newsletter pubblicitaria, chiedendomi di esplicitare il mio DINIEGO invece che CONSENSO. Interessante! Fatelo, per favore! Così ci vediamo direttamente dal Garante e vediamo un po' che succede a voi e soprattutto alla reputazione dello Studio Lisi. Iniziamo, anzi, con il pubblicare questa mail a una decina di migliaia di contatti su Facebook e Twitter per vedere, in termini di Reputazione cosa succede."


Proviamo a fare ordine partendo dal fatto: il Reparto Comunicazione del mio Studio Legale ha inoltrato ieri una comunicazione e-mail a professionisti e imprese acquisiti da miei contatti diretti di Linkedin. In tale comunicazione, in piena trasparenza e correttezza, si spiegava l'origine del trattamento  (contatto professionale dell'avv. Lisi su Linkedin) e si chiedeva a tali contatti se volessero in futuro ricevere dal nostro Studio Legale comunicazioni e-mail (ovviamente non commerciali) di carattere informativo e dai contenuti scientifici! Del resto uno Studio Legale per dovere deontologico non può fare pubblicità!


Trovo sia a questo punto giusto ricordare a TUTTI come - nonostante il "pericolosissimo e insidiosissimo Codice privacy" (davvero da pochi letto con doverosa attenzione nei suoi numerosi dettagli) - sia ancora in vigore il Decreto legislativo n. 70 del 2003, il quale all'art. 9 espressamente prevede che "fatti salvi gli obblighi previsti dal decreto legislativo 22 maggio 1999, n. 185 e dal decreto legislativo 13 maggio 1998, n. 171, le comunicazioni commerciali non sollecitate trasmesse da un prestatore per posta elettronica devono, in modo chiaro e inequivocabile, essere identificate come tali fin dal momento in cui il destinatario le riceve e contenere l'indicazione che il destinatario del messaggio può opporsi al ricevimento in futuro di tali comunicazioni".

In questo caso, lo ripeto ancora, di comunicazione commerciale neppure si tratta, essendo la nostra una comunicazione informativa e di contenuto didattico/scientifico ed evidentemente siamo nel B2B (e non nel B2C).


Inoltre, mi sembra utile ricordare sempre a TUTTI che anche il Garante Privacy nelle sue interessanti e recentissime "Linee Guida in materia di attività promozionale e di contrasto allo spam" (4 luglio 2013) ha precisato che "per quanto riguarda i fan della pagina di un’impresa o i follower di un determinato marchio, personaggio, prodotto o servizio, l'invio di comunicazione promozionale riguardante un determinato marchio, prodotto o servizio, effettuato dall'impresa a cui fa riferimento la relativa pagina, può considerarsi lecita se dal contesto o dalle modalità di funzionamento del social network, anche sulla base delle informazioni fornite, può evincersi in modo inequivocabile che l'interessato abbia in tal modo voluto manifestare anche la volontà di fornire il proprio consenso alla ricezione di messaggi promozionali da parte di quella determinata impresa. Se invece l'interessato si cancella dal gruppo, oppure smette di "seguire" quel marchio o quel personaggio, o comunque si oppone ad eventuali ulteriori comunicazioni promozionali, il successivo invio di messaggi promozionali sarà illecito, con le relative conseguenze sanzionatorie".

Parole sante del Garante privacy! :)


Del resto la funzione di Linkedin è inequivocabile: si tratta di un "business-oriented social networking service"...quindi, se noi ci siamo "legati" su Linkedin con qualcuno è "per fare affari insieme" o per ricevere reciprocamente notizie su attività professionali o commerciali. La funzione è questa ed è ineccepibile. E per attività di questo tipo, lo ricordo, si applicherebbero anche le "esimenti del consenso" previste dall’art. 24 del Codice per la protezione dei dati personali proprio per garantire un minimo di libertà nella gestione di fasi commerciali, anche di natura pre-contrattuale. Provo a fare un esempio che appartiene al mondo più “analogico”. Ci incontriamo domani ad un convegno. Ci stringiamo la mano e, (non per questioni sentimentali), ci scambiamo un biglietto da visita: questo scambio contiene in re ipsa la volontà di intrecciare rapporti d'affari e, quindi, ci autorizza a lasciare quel biglietto da visita nella disponibilità del nostro Reparto Comunicazione che lo deve ovviamente trattare con attenzione ed è implicitamente autorizzato anche ad inviare un messaggio non direttamente commerciale, ma informativo, su ciò che la nostra struttura scientificamente (o anche meno scientificamente) produce o realizza.

Ad essere sinceri solitamente gli amici e gli interessati ci ringraziano per questa attività che svolgiamo di carattere informativo e di approfondimento… ;)

Cosa cambia, in effetti, tra uno scambio di biglietti da visita cartacei e uno scambio professionale più dinamico su Linkedin?
Su Linkedin, in verità, chi è collegato con il nostro profilo professionale già da noi riceve automaticamente notifiche costanti con informazioni commerciali e aggiornamenti e decide di riceverle, quindi, proprio per il tipo di servizio che ha richiesto a quel determinato Social Network.

Mi sembra giusto riferire, per concludere, che a volte abbiamo la sensazione che il Garante per la protezione dei dati personali sia un “talebano burocrate della privacy”, invece tale importante Authority cavalca da tempo l'innovazione (anche quella digitale più social oriented che a volte ci spaventa così tanto!), pur tutelando gli interessati con doverosa attenzione (ma da reali violazioni e non da fantomatiche azioni di illecito trattamento!).
In realtà, in Italia a parlar male ci si mette sempre poco....e poi con questo caldo ci si fa prendere ancora di più la mano! E ricordiamoci sempre che la diffamazione on line (o off line) è e rimane un illecito penale, quindi facciamo sempre molta attenzione a cosa liberamente diciamo in giro, senza conoscere le sfumature di ogni azione che viene compiuta…

Quindi, ciò che riteniamo SPAM siamo davvero sicuri che sia l'indigesta carne in scatola e non invece un buon
energy drink? ;)

giovedì 17 aprile 2014

Se insultate qualcuno su Facebook potreste essere condannati per diffamazione

Da oggi se insultate qualcuno su Facebook o altri social network, anche senza fare nomi, rischiate di essere denunciati e condannati per diffamazione. La Corte di Cassazione ha di fatto annullato l'assoluzione di un maresciallo capo della Guardia di Finanza che aveva scritto sulla sua bacheca:  "attualmente defenestrato a causa dell'arrivo di in collega sommamente raccomandato e leccaculo" riferendosi a un collega.
Il tribunale di Roma l'aveva condannato a tre mesi di reclusione per diffamazione pluriaggravata. In secondo grado era stato assolto per insussistenza del fatto, dato che non aveva fatto il nome dell'interessato.
La Corte di Cassazione però ha accolto il ricorso del procuratore generale militare annullando l'ultima sentenza perché sempre attraverso le piattaforme social  "chiunque, collega o conoscente dell'imputato, avrebbe potuto individuare la persona offesa".
L'errore del maresciallo è stato anche quello di lasciare il profilo completamente pubblico. "Le impostazioni di privacy della bacheca sono un dettaglio importante", ha spiegato Caterina Malavenda, avvocato esperto di diritto dell’informazione e del reato di diffamazione. "Se la bacheca è aperta e quindi accessibile a chiunque sia iscritto al social network, si può considerare Facebook un mezzo di comunicazione di massa, facendo scattare anche un'aggravante, perché appunto non limitata a destinatari specifici".
Dunque insultare in forma anonima paradossalmente è meno rischioso nella vita reale.

venerdì 4 aprile 2014

Google paga una multa da 1 milione di euro inflitta dal Garante privacy per il servizio Street View

Google ha pagato una sanzione di 1 milione di euro applicata dal Garante privacy per il servizio Street View. I fatti contestati risalgono al 2010 quando le auto del colosso di Mountain View percorrevano le strade italiane senza essere perfettamente riconoscibili e non consentendo, in tal modo, alle persone presenti nei luoghi percorsi dalle "Google Cars" di decidere se sottrarsi o meno alla "cattura" delle immagini. Numerose erano state le segnalazioni all'Autorità da parte di persone che non desideravano comparire nelle foto pubblicate on line (che, peraltro, permangono in rete per un tempo considerevole e possono essere ingrandite).
Il Garante aveva prescritto [doc. web n. 1759972] alla società di Mountain View di rendere le "Google cars" facilmente individuabili, attraverso cartelli o adesivi ben visibili, di pubblicare sul proprio sito web, tre giorni prima dell'inizio delle riprese, le località visitate dalle vetture di Street View, stabilendo che per le grandi città è necessario indicare i quartieri in cui circolano le vetture. Analogo avviso deve essere pubblicato da Google sulle pagine di cronaca locale di almeno due quotidiani e diffuso per mezzo di un'emittente radiofonica locale per ogni regione visitata. Le misure sono state tempestivamente adottate da Google.
A conclusione dell'intero procedimento sanzionatorio il Garante ha ritenuto di applicare [doc.web n. 2954309], anche in relazione al fatto che i dati raccolti illecitamente erano destinati a confluire all'interno di una grande banca dati di particolare rilevanza, quale è sicuramente quella gestita da Google nell'ambito del servizio Street View, la sanzione nella cifra complessiva di un milione di euro, pagata qualche settimana fa da Google.
Proprio tenendo conto di trovarsi di fronte a una società che, nell'anno 2012, ha registrato un fatturato consolidato pari a oltre 50 miliardi di dollari, il Garante ha deciso di avvalersi della norma del Codice privacy che mira a rendere effettive le sanzioni quando sono dirette a soggetti di notevoli dimensioni economiche.