INFORMATICA GIURIDICA
L’INFORMATICA GIURIDICA può essere intesa come la disciplina che utilizza i
calcolatori elettronici nel campo del diritto. Si occupa, cioè, delle banche dati
giuridici, l’automazione della P.A., l’automazione giudiziaria, i sistemi esperti che,
simulando il ragionamento dell'esperto, riproducono abilità tipiche delle professioni
umane e intendono fornire uno strumento di ausilio a chi quelle professioni esercita.
Il DIRITTO DELL’INFORMATICA, invece, si occupa delle norme che disciplinano le
attività informatiche: tutela dei dati personali, la tutela giuridica dei software, la
tutela delle banche dati il commercio elettronico, la validità giuridica di un
documento, la PEC, i reati informatici, la firma digitale, il diritto d’autore, la
monetica (insieme dei trattamenti elettronici, informatici e telematici necessari alla
gestione dei pagamenti tramite carte di credito e affini – POS, carte di credito, ecc).
Gli ordinamenti di Civil Law si ispirano al modello introdotto in Francia nei primi
dell’Ottocento con la codificazione napoleonica, la cui caratteristica è quella di
fondare tutto il sistema giuridico sulla fonte legislativa.
Mentre il legislatore e la legge codificata assumono così il ruolo di cardine del diritto,
ai giudici e alla giurisprudenza viene demandato il compito (subordinato) di
applicare la legge attraverso la sua corretta interpretazione.
Gli ordinamenti di Common Law, tra cui quello inglese, quello statunitense e, in
genere, quelli di tutti i Paesi di matrice anglosassone, al contrario, non sono basati
su un sistema di norme raccolte in codici, bensì sul principio giurisprudenziale dello
stare decisis, vale a dire sul carattere vincolante del precedente giudiziario.
In tale ottica, la legge diviene fonte normativa di secondo grado, assumendo
funzione di mera cornice, all’interno della quale vengono a inserirsi le statuizioni
contenute nelle pronunce dei giudici.
Nei Paesi europei, di cultura Civil Law, la norma ha prevalenza e, pertanto, la
distinzione tra Informatica giuridica e Diritto dell’informatica è molto più accentuata
rispetto ai paesi con modello anglosassone.
L’Unione Europea, con il diritto comunitario, incide, quindi, sulla legislazione interna
dei paesi membri in materia di diritto e tecnologie dell’informazione.
I concetti base dell’informatica giuridica sono: i dati, l’informazione, la conoscenza.
L’INFORMATICA GIURIDICA
Nasce intorno agli anni ’50 con denominazioni diverse:
CIBERNETICA: scienza di orientamento interdisciplinare che si occupa non solo del
controllo automatico dei macchinari mediante il computer e altri strumenti
elettronici, ma anche dello studio del cervello umano, del sistema nervoso e del
rapporto tra i due sistemi, artificiale e biologico, di comunicazione e di controllo.
1
Padre della cibernetica fu Wiener che indicò come il diritto regola la società e le
situazioni critiche.
GIURIMETRICA: Loevinger fu il primo a proporre esplicitamente di sfruttare i
vantaggi offerti dalle tecniche elettroniche per studiare e risolvere i problemi
giuridici; Baade definì tre aree di analisi e applicazioni: previsione dei
comportamenti dei giudici attraverso l’analisi delle loro sentenze, utilizzo del
computer per la costruzione delle banche dati giuridici, applicazione al diritto
GIUSCIBERNETICA: Mario Losano, in Italia, nel 1968, propose di sostituire il termine
giurimetria con il termine Giuscibernetica e di abbandonare lo schema loevingeriano
suddividendo l’intera materia in quattro approcci fondamentali per accostarsi ai
rapporti tra cibernetica e diritto: il diritto come sottosistema del sociale, cibernetica
a retroazione (applicazione informatiche al diritto, adattamento), applicazione della
logica alle tecniche di formulazione del diritto, uso dell’elaboratore nel settore
giuridico.
GIURITECNICA: Frosini introduce il termine come tecnologia giuridica cioè trovare
metodologie operative attraverso l’uso di strumenti tecnologici.
LE BANCHE DATI GIURIDICI ED I SISTEMI ESPERTI GIURIDICI
Le prime banche dati giuridici sono nate intorno agli anni ’60 e sono di tipo BATCH
(controllo automatico senza intervento dell’utente).
Negli anni ‘80 nasce presso l’Istituto di Documentazione giuridica del CNR
(attualmente L'Istituto di Teoria e Tecniche dell'Informazione Giuridica (ITTIG), un
sistema che opera non basandosi sul ragionamento formale, ma impiegando una
conoscenza selezionata da esperti umani ed organizzata deterministicamente,
denominato "Automa infortunistico" - esperimento di consulenza automatica sulla
determinazione e valutazione dei danni derivanti da incidenti stradali-.
Tra gli anni ’70 e ’80 nascono programmi di recupero dati (information retrieval) in
molti Paesi del mondo con denominazioni diverse (es. in Italia “FIND”, in Francia
“MISTRAL”, ecc).
I sistemi esperti (expert systems) sono dei programmi che tendono a fornire
all’operatore la soluzione di problemi specifici. Si tratta di meccanismi diretti alla
riproduzione di attività intellettuali proprie dell’uomo in macchine automatiche ed,
in particolare, per il reperimento intelligente di una documentazione, parere,
consulenza o decisione oltre che per la produzione di un documento amministrativo,
giudiziario o professionale o di ausilio della decisione.
In essi il procedimento è, per così dire, inverso rispetto a quello che si segue
nell’informatica giuridica documentale. Mentre in quest’ultima è l’operatore che
pone interrogazioni al sistema informatizzato, nei sistemi esperti è il calcolatore che
interroga l’operatore e che, sulla base delle sue risposte, sfrutta le «conoscenze» di
cui dispone nelle sue banche dati. Un sistema esperto è dunque composto da due
elementi essenziali:
2
a. una o più banche dati
b. un «motore inferenziale», cioè da un meccanismo che dialoga con l’utente,
fornendo informazioni man mano che esso riceve delle risposte
dall’operatore.
Un esempio assai banale e diffuso di sistema esperto, che conosciamo e
frequentiamo quotidianamente quasi tutti, è dato dalla funzione di correzione
ortografica (e, nelle versioni più recenti, anche grammaticale) di Word per Windows,
così come di ogni altro importante programma di trattamento testi.
Una volta terminata la redazione del testo da noi elaborato, possiamo infatti
sottoporlo al controllo di questo particolare sistema esperto.
Più esattamente, il sistema opera nel modo seguente:
a) esso verifica innanzi tutto la corrispondenza di ognuna delle parole trovate nel
testo con quelle inserite nel data base posto al suo interno (nella specie un
thesaurus contenente migliaia di termini nelle varie forme, ivi comprese quelle
declinate e coniugate);
b) di fronte a situazioni di non corrispondenza o comunque di «dubbio», interroga
l’utente, fornendo una serie di scelte alternative;
c) come avviene in molti sistemi esperti, poi, è prevista anche una funzione di
«apprendimento»: i termini ignoti al sistema gli possono essere «insegnati»
semplicemente inserendoli nel suo data base, di modo che la volta successiva essi
non saranno più segnalati come errati o «sospetti».
L’INFORMATICA GIURIDICA COME DISCIPLINA AUTONOMA
Si suddivide in:
Informatica giuridica documentaria
Informatica parlamentare
Informatica giudiziaria
Informatica per l’automazione delle PP.AA. e di e-government
E-learning per il Diritto
INFORMATICA GIURIDICA DOCUMENTARIA
Studia la classificazione, l’immagazzinamento e il reperimento a mezzo strumenti
elettronici (hardware e software) di quei documenti che sono propri dei quattro
campi di maggiore interesse per il giurista e, più precisamente:
- il campo normativo
- il campo giurisprudenziale
- il campo dottrinale
- il campo bibliografico
L’immagazzinamento di questi documenti avviene in apposite banche dati
elettroniche cioè «insieme di dati organizzati e omogenei concernenti uno o più
3
argomenti affini, gestite da un calcolatore e messe a disposizione degli utenti non
informatici mediante un linguaggio di interrogazione appropriato».
INFORMATICA PARLAMENTARE –LEGIMATICA E LEGISTICAUno dei principali problemi che affliggono il nostro sistema normativo è dato dalla
qualità della tecnica legislativa, che sembra scadere di anno in anno:
leggi che contengono ormai null’altro che una lunga serie di rinvii ad altre
disposizioni, a loro volta emendate, abrogate, modificate, ecc
correttezza sul piano linguistico
l’impiego di termini vaghi e generici
Il degrado della tecnica legislativa è provato spesso dall’imprecisione dei termini
impiegati dal Legislatore. Ciò si verifica spesso per ignoranza, ma anche per via
dell’ambiguità che caratterizza svariati termini – giuridici e non – che, a seconda del
contesto o dell’epoca, possono esprimere contemporaneamente idee assai
differenti. Vi sono due tipi di contributo che l’informatica giuridica può fornire alla
soluzione dei problemi di tecnica legislativa
il primo è dato dall’informatica giuridica documentale,
il secondo dall'informatica giuridica dai sistemi esperti
Il primo obiettivo è dunque quello di avere un sistema che permetta a chi ha la
funzione di determinare il contenuto di una certa legge di rendersi conto di tutti i
diversi significati, ivi comprese le nuances (sfumature), dei termini che si intendono
impiegare per esprimere questa o quell’altra realtà. Dopo tale indagine non resterà
che scegliere le espressioni più appropriate per designare questa o quell’altra
situazione, questo o quell’altro concetto giuridico, cercando di servirsi sempre delle
stesse locuzioni per indicare le medesime situazioni o i medesimi concetti.
La verifica dell’efficacia, dell’analisi di fattibilità, degli iter procedurali parlamentari
ecc. fanno parte della “LEGIMATICA”. Nella dottrina tedesca si è distinto tra
“LEGISTICA” che si riferisce alla sola produzione delle leggi e “LEGIMATICA” che
comprende la verifica di fattibilità ed efficacia.
INFORMATICA GIUDIZIARIA
In tale branca l’informatica si occupa dell’automazione del processo e delle decisioni
dei giudici.
L’informatica giudiziaria (o giuridico-gestionale, o di gestione) è infatti quella
disciplina che si occupa dell’informatizzazione delle procedure giudiziarie. Essa
tende dunque a consentire la gestione informatizzata di tutti gli atti e gli
adempimenti che siano espressione di attività procedurali giudiziarie , nel campo
civile, come in quello penale, come in quello amministrativo, con particolare
riguardo:
ai servizi di cancelleria (informazioni sullo stato del processo, le date
d’udienza, i provvedimenti emessi, rilascio certificati, ecc.);
4
alla stesura, alla conservazione e al reperimento degli atti del processo (testo
dei procedimenti verbali, delle relazioni di periti e consulenti, degli eventuali
provvedimenti emessi in corso di causa, ecc.).
L’informatica giudiziaria viene dunque definita (anche) come «automazione
dell’intero processo giurisdizionale».
Il sistema Italgiure-Find della Cassazione comprende un thesaurus, vale a dire un
vero e proprio dizionario, nel quale circa 50.000 parole sono repertoriate, con
l’indicazione, per ogni lemma, dei sinonimi e delle espressioni correlate.
Non è da confondere con, ad esempio, la legge 48/08 che recepisce la Convenzione
di Budapest sul crimine informatico ha modificato il codice penale e quello di
procedura penale riconoscendo implicitamente il ruolo dell'informatica forense nel
processo penale
INFORMATICA PER L’AUTOMAZIONE DELLE PP.AA. E DI E-GOVERNMENT
Si occupa dell’automazione delle PP.AA., dei servizi ai cittadini e delle politiche di eGovernment (innovazioni di servizio e di processo realizzate dalle Pubbliche
Amministrazioni mediante l'utilizzo di tecnologie ICT). Creazione di reti telematiche
tra Pubbliche amministrazioni anche tra quelle dei diversi Paesi U.E. Creazione e
fruibilità dei siti web delle P.A.
E-LEARNING PER IL DIRITTO
Didattica giuridica al fine di portare conoscenza. Lezioni telematiche di diritto
(tutoraggio in rete).
5
Il DIRITTO DELL’INFORMATICA
Il DIRITTO DELL’INFORMATICA si occupa di:
a) legislazione in materia di informatica, telematica, internet
b) dottrina in materia di diritto e tecnologie dell’informazione
c) giurisprudenza relativa all’informatica
Si parla di diritto positivo (insieme delle norme esistenti in una società e in un
determinato momento storico; qualunque norma giuridica promulgata è diritto
positivo: il codice civile, il codice penale, decreti legge, ecc) dell’’informatica ed in
particolare:
comunicazioni elettroniche
tutela giuridica del software, delle banche dati e di diritto d’autore in internet
reati informatici;
tutela dei dati personali;
commercio elettronico;
validità giuridica dei documenti informatici;
firme elettroniche;
telelavoro;
monetica;
e-banking;
contratti telematici;
processi amministrativi;
Esso si sviluppa con la nascita dei personal computer e le innovazioni tecnologiche
collegate.
Il Diritto comunitario ha inciso fortemente sulla normativa presente nei singoli Paesi
membri attraverso l’emanazione di numerose Direttive (la Direttiva vincola lo Stato
membro cui è rivolta per quanto riguarda il risultato da raggiungere, salva restando
la competenza degli organi nazionali in merito alla forma e ai mezzi) già a partire dal
1988.
La “SOCIETÀ DELL’INFORMAZIONE” si può definire come la società:
“dell’accesso” cioè come possibilità di fruizione delle reti di comunicazione
elettronica, del commercio elettronico,
della “tecnologia avanzata” cioè la possibilità di operare in rete per il
trasferimento di dati
di “servizi di reti” per l’acquisizione di dati ed informazioni o per l’acquisto di
beni e servizi
di “economia digitale” come la moneta elettronica
di “interrelazione digitale” per le operazioni di qualsiasi natura tra soggetti
privati o tra privati e soggetti pubblici
6
di “natura globale” poiché capace di interagire senza barriere
di “e-government” cioè il governo elettronico, la burocrazia senza carta, l’uso
delle firme digitali, i documenti digitali come atti amministrativi cartacei, ecc.
Con la “SOCIETÀ DELL’INFORMAZIONE” l’U.E. si pone degli obiettivi che possono
essere sintetizzati in tre punti specifici:
1. riduzione degli adempimenti normativi per le imprese fornitrici di servizi.
2. possibilità per i clienti di accedere ai servizi fondamentali con costi accessibili.
3. incentivazione della concorrenza al fine di smantellare i monopoli riguardanti la
gestione dei servizi ad alta velocità.
Il termine “Società dell’Informazione” venne usato per la prima volta nel 1993
proprio all’interno di un documento dell’Unione Europea, il LIBRO BIANCO su
crescita, competitività e occupazione. In esso si suggeriva di sostituire il concetto di
“autostrade dell’informazione”, in uso negli Stati Uniti, con quello di “Società
dell’Informazione”, più orientato sia a rispecchiare le trasformazioni sociali, oltre
che economiche, in corso a livello mondiale determinate dalla diffusione delle ICT,
sia a nascondere un certo “determinismo tecnologico” insito nel concetto nordamericano. Al centro di questo nuovo sistema di pensiero, vi è dunque l'attività di
raccolta, elaborazione e trasferimento delle informazioni.
Sulla base di una proposta contenuta all’interno del Libro Bianco, il Consiglio
Europeo nel dicembre 1993 convocò un gruppo di esperti di alto livello affinché
redigesse un rapporto sulla Società dell’Informazione, suggerendo misure concrete
per la sua implementazione: il cosiddetto “Rapporto Bangemann” del 1994. Alcune
delle dieci proposte d’azione contenute in questo rapporto sono tutt’ora al centro
del dibattito, come la diffusione del telelavoro, lo sviluppo dell’e-learning, la
creazione di una rete transeuropea delle Pubbliche Amministrazioni e per
l’assistenza sanitaria, la gestione informatizzata del traffico stradale e aereo.
Le norme intese dall’UE sono da considerarsi generali e di coordinamento. Ogni
stato membro le applica in accordo con la propria normativa nazionale.
I DIRITTI DELLA SOCIETA’ DELL’INFORMAZIONE
Il diritto all’informazione è stabilito da DICHIARAZIONI, CARTE DEI DIRITTI,
CONVENZIONI e in Italia è riconducibile alla nostra COSTITUZIONE.
Le prime tre stabiliscono la libera comunicazione di pensiero e di opinione, per cui
ogni cittadino e libero di parlare, scrivere, stampare le proprie idee a meno che le
stesse non siano contrarie alla legge; ogni cittadino ha il diritto di non essere
molestato per le proprie opinioni nonché ad avere la protezione dei dati di carattere
personale.
La nostra Costituzione riconosce e garantisce i diritti inviolabili dell’uomo:
art. 21 libertà di manifestare il proprio pensiero con ogni mezzo di diffusione
anche con le tecnologie della società dell’informazione
7
art. 3 stabilisce che la Repubblica deve rimuove ogni ostacolo di ordine
economico e sociale che, di fatto, limitano le libertà del cittadino
promuovendo azioni positive
tali azioni comprendono anche l’accesso alla società dell’informazione
art. 14 il domicilio e inviolabile
è inviolabile anche il domicilio elettronico
art. 15 la libertà e la segretezza della corrispondenza sono inviolabili
lo è anche la posta elettronica
art. 4 e 35 la Repubblica riconosce il diritto al lavoro e rimuove gli ostacoli
anche attraverso il telelavoro
art. 38 i minorati ed i disabili hanno diritto all’educazione e all’avviamento al
lavoro
anche attraverso le tecnologie della società dell’informazione
8
DIRETTIVE SULLE TELECOMUNICAZIONI/COMUNICAZIONI ELETTRONICHE
nn. 88/301- 90/387 – 90/388- 96/19 e nel 2002 ( 19-20-21-22 e 77 che raccoglie le
precedenti)
Trasmissione di segnali su reti di telecomunicazione, ivi compreso qualunque
servizio interattivo anche se relativo a prodotti audiovisivi, esclusa la diffusione di
programmi radiofonici e televisivi
Liberalizzazione del mercato e dei servizi delle telecomunicazioni.
Direttiva 301 del 1988
Crea per la prima volta la condizione di liberalizzazione delle reti e dei servizi con
l’eliminazione dei vincoli tecnologici esistenti per il libero accesso alle reti ed ai
servizi.
Direttiva 387 del 1990
Stabilisce i principi per la creazione di una “rete aperta”. Con essa vengono aboliti i
regimi di monopolio del settore. Gli Stati membri devono garantire ad ogni
operatore economico il diritto di fornire servizi di comunicazione.
Vengono elencati i settori interessati:
linee affittate
rete integrata dei servizi (ISDN)
servizi di telefonia vocale
servizi telex
servizi mobili
Per ogni rete o servizio la direttiva stabilisce le condizioni per l’accesso:
il tempo massimo di fornitura
la qualità del servizio
la manutenzione
l’uso condiviso
l’interconnessione con reti pubbliche e private
l’accesso a determinate frequenze
ecc.
Il processo di liberalizzazione termina nel 2002 con un pacchetto di direttive
che vanno a sostituire/integrare le precedenti.
Da quest’anno, infatti, il termine telecomunicazioni viene sostituito da
“comunicazioni elettroniche” ossia tutti i servizi e reti che intervengono nella
trasmissione di segnale via cavo, via radio, fibre ottiche, reti fisse, radiomobili, reti
televisive via cavo o satellitari.
9
La Direttiva n. 19 del 2002 - DIRETTIVA DELL’ACCESSO
Stabilisce una serie di diritti ed di obblighi nonché di obiettivi sulla comunicazione
elettronica.
Fissa i criteri cui devono attenersi gli operatori e le imprese che intendono
interconnettersi o avere accesso alle reti.
Definisce i poteri e le competenze dei governi nazionali di regolamentazione in
materia di accesso e interconnessione.
Definisce gli obblighi degli operatori e le procedure di riesame del mercato anche
attraverso il controllo dei prezzi e di contabilità dei costi. Le tariffe di
interconnessione devono rispettare i principi della trasparenza e dell'orientamento
dei costi. L'organismo che garantisce l'interconnessione alle proprie strutture deve
dimostrare che le tariffe applicate siano basate su costi effettivi incluso un
margine di profitto ragionevole sugli investimenti. Le autorità nazionali di
regolamentazione possono chiedere ad un organismo di giustificare
dettagliatamente le tariffe di interconnessione applicate e, se del caso, provvedere
ad adeguarle.
La direttiva comprende due allegati:
1. condizioni di accesso ai servizi di televisione digitale e radio per il
telespettatori dei paesi membri
2. elenco minimo di voci da includere per l’offerta per l’accesso
La Direttiva 20/2002 – DIRETTIVA SULLE AUTORIZZAZIONI
Per autorizzazione generale si intende l’insieme delle norme dello Stato che:
garantiscono i diritti d’uso dei frequenze radio e dei numeri
l’elenco minimo dei diritti derivanti dall’autorizzazione
l’obbligo di osservanza delle condizioni poste dall’autorizzazione
stabilisce i diritti amministrativi e i contributi per la concessione di diritti d’uso
regolamenta le autorizzazioni già esistenti
Pertanto per ”autorizzazione generale", si intende un’autorizzazione che è
ottenuta su semplice denuncia di inizio attività ovvero mediante l’applicazione
dell’istituto del silenzio-assenso
Tale autorizzazione, in Italia, «consegue alla presentazione» al Ministero per le
comunicazioni da parte degli interessati di una apposita dichiarazione «contenente
l'intenzione di iniziare la fornitura di reti o servizi di comunicazione elettronica,
unitamente alle informazioni strettamente necessarie per consentire al Ministero di
tenere un elenco aggiornato dei fornitori di reti e di servizi di comunicazione
elettronica». La dichiarazione costituisce denuncia di inizio attività, e «l'impresa è
abilitata ad iniziare la propria attività a decorrere dall'avvenuta presentazione della
dichiarazione»; il Ministero può solo disporre, entro il termine di sessanta giorni,
«se del caso, con provvedimento motivato da notificare agli interessati entro il
10
medesimo termine, il divieto di prosecuzione dell'attività» laddove verifichi d'ufficio
la mancanza dei requisiti richiesti.
Licenze individuali (es. installazione di reti di telecomunicazioni)
Devono essere espressamente rilasciate dall’autorità e conferiscono ad un’impresa
diritti specifici o l’assoggettano ad obblighi specifici
Autorizzazioni generali (es. fornitura di servizi telecomunicazioni)
Consentono l’esercizio dei diritti da esse derivanti indipendentemente da una
decisione esplicita dell’autorità (denuncia di inizio o silenzio assenso)
La Direttiva 21/2002 – DIRETTIVA QUADRO
Definisce il quadro normativo comune per le reti ed i servizi della comunicazione
elettronica delle risorse e dei servizi correlati.
In particolare la direttiva definisce, all’articolo 8, le funzioni delle Autorità nazionali
di regolamentare e vigilare sulla corretta applicazione della normativa comunitaria
in materia.
La stessa definisce, inoltre, principi in materia di separazione contabile e rendiconti
finanziari. Gli operatori possono essere sottoposti all’obbligo di predisporre
contabilità separate e/o di istituire un sistema di contabilità dei costi.
L’imposizione di tali obblighi ha l’obiettivo di rendere più trasparenti le transazioni
tra operatori e/o di determinare i costi effettivi dei servizi forniti.
La Direttiva contiene due allegati.
La Direttiva 22/2002 – SERVIZIO UNIVERSALE
La liberalizzazione del settore delle telecomunicazioni, l'intensificazione della
concorrenza e la più ampia scelta di servizi di comunicazione implicano un'azione
volta a istituire un quadro normativo armonizzato che garantisca la prestazione di
un servizio universale. Con la direttiva in argomento si vuole assicurare un servizio
universale (ossia la fornitura di un insieme minimo definito di servizi a tutti gli
utenti finali a prezzo abbordabile) senza distorsioni di concorrenza. Per prezzo
abbordabile si intende un prezzo definito a livello nazionale dagli Stati membri in
base alle specifiche circostanze nazionali, che può comprendere la definizione di una
tariffa comune indipendente dall'ubicazione geografica o formule tariffarie speciali
destinate a rispondere alle esigenze degli utenti a basso reddito. Dal punto di vista
del consumatore, l'abbordabilità dei prezzi è legata alla possibilità di sorvegliare e
controllare le proprie spese.
Una delle esigenze fondamentali del servizio universale consiste nel garantire a tutti
gli utenti che ne fanno richiesta un allacciamento alla rete telefonica pubblica in
postazione fissa. I cittadini devono poter disporre di un adeguato numero di
apparecchi telefonici pubblici a pagamento, e debbono poter chiamare
gratuitamente i numeri d'emergenza e in particolare il numero d'emergenza unico
europeo (112) a partire da qualsiasi apparecchio telefonico, compresi i telefoni
pubblici a pagamento, senza dover utilizzare mezzi di pagamento.
11
Vengono, altresì, stabiliti diritti del consumatore quali:
trasparenza del contratto stipulato con l’operatore
poter continuare a fruire di un accesso ai servizi di assistenza tramite
operatore, a prescindere dall'organismo che fornisce l'accesso alla rete
telefonica pubblica
portabilità del numero
numeri non geografici
selezione del vettore e preselezione del vettore
La Direttiva 77/2002
Con tale direttiva, che racchiude in sé le 4 direttive pregresse, viene stabilito un
nuovo quadro generale in materia di concorrenza nei mercati delle reti e dei servizi.
Vengono fissate le condizioni per l'accesso e l'uso libero ed efficace delle reti
pubbliche e, laddove applicabile, dei servizi pubblici di telecomunicazioni. Le
condizioni sono intese ad agevolare la fornitura di servizi tramite l'utilizzazione di
reti e/o servizi pubblici di telecomunicazioni negli e tra gli Stati membri e, in
particolare, la fornitura di servizi da parte di società o persone fisiche.
Gli Stati membri:
devono abolire i diritti esclusivi o speciali per l’installazione di e/o la fornitura
di reti di comunicazione (articolo 2, comma 1)
devono adottare i provvedimenti necessari per garantire a qualunque impresa
il diritto di prestare servizi di comunicazione elettronica (articolo 2, comma 2)
l’autorizzazione generale deve basarsi su principi di imparzialità e trasparenza
(articolo 2, comma 3)
le parti interessate devono poter impugnare decisioni contrarie alla
liberalizzazione dei servizi (articolo 2, comma 5)
le imprese pubbliche non possono attuare nessuna politica che favorisca la
loro attività di fornitori di servizi pubblici (articolo 3)
Le norme intese dall’UE sono da considerarsi generali e di coordinamento. Ogni
stato membro le applica in accordo con la propria normativa nazionale.
Tali direttive sono state recepite in Italia attraverso il “CODICE DELLE
COMUNICAZIONI ELETTRONICHE” il d.lgs 259/2003 e s.m.i.
Nel 2007 e poi nel 2009 l’UE ha stabilito di semplificare ulteriormente le norme e di
affidare la funzione regolatrice ad un’agenzia unica denominata BEREC (Organismo
dei regolatori europei delle comunicazioni elettroniche) nata nel 2009. Il BEREC
contribuisce al funzionamento del mercato interno delle reti e dei servizi di
comunicazioni elettronica.
12
DIRETTIVE SUL DIRITTO D’AUTORE
Con la Direttiva 91/250 (recepita con d.lgs 518/1992)- 96/9/CE (recepita con d.lgs
169/1999) e 2001/29 sono state emanate norme sulla tutela giuridica dei
programmi per elaboratori. I programmi per elaboratore sono tutelati dal legislatore
mediante il diritto d’autore, ossia il copyright, a cui si aggiungono norme speciali
inerenti la copia di backup, la decompilazione (percorrere a ritroso le fasi attraverso
le quali viene creato il software) e il debugging (correzione dell’errore).
Il software, dal punto di vista giuridico, è annoverato come creazione intellettuale e
pertanto, nell’ordinamento italiano, la sua tutela giuridica viene ricondotta a 2
categorie:
proteggibilità come invenzione industriale tutelata attraverso il brevetto;
tutela tramite il diritto d’autore o copyright come opera dell’ingegno di
carattere creativo.
Il brevetto e il diritto d’autore sono due modi differenti di garantire la tutela
giuridica delle creazioni intellettuali. Implicano differenti modi di acquisizione dei
diritti, differente durata del diritto e differenti strumenti di difesa da eventuali
violazioni del diritto stesso. In particolare, il brevetto permette lo sfruttamento della
creazione con riguardo al suo contenuto (infatti, la moka serve a preparare il caffè
indipendentemente dal suo design); il diritto d’autore, invece, protegge la forma
dell’espressione creativa, a prescindere dal contenuto in essa racchiuso (pertanto,
non rileva che un quadro raffiguri un paesaggio, una persona o una natura morta)
Il frutto di tali sforzi è la Direttiva CEE del 14 maggio 1991 n. 250 concernente “i
programmi per elaboratore espressi in qualsiasi forma, anche se incorporati
nell’hardware, nonché i lavori preparatori di progettazione per realizzarli”. Viene
loro estesa la tutela riconosciuta dal diritto d’autore alle opere letterarie,
determinando i diritti esclusivi dei quali i soggetti titolari possono avvalersi e la
relativa durata. Principi cardine di tale riforma sono i seguenti:
1. i programmi per elaboratori sono qualificati come opere letterarie e tutelati in
base al diritto d’autore, purché originali;
2. la tutela non si estende ai principi, alla logica, agli algoritmi e al linguaggio di
programmazione, nonché alle interfacce;
3. i diritti spettano a chi ha creato il programma. Se questo è realizzato nel corso di
lavoro subordinato o di un contratto d’opera spettano al datore di lavoro o al
committente;
4. i diritti esclusivi comprendono: la riproduzione in qualsiasi forma, l’adattamento,
la distribuzione sotto qualsiasi veste giuridica;
5. costituisce violazione dei diritti esclusivi il possesso e il commercio di copie
illecite.
Con la Direttiva 2001/29 CE sono trattati 3 temi:
il diritto di riproduzione,
il diritto di comunicazione,
13
il diritto di distribuzione.
Per quanto riguarda il diritto di riproduzione disciplinato all’art 2, si afferma che “Gli
stati membri riconoscono agli autori il diritto esclusivo di autorizzare o vietare la
riproduzione diretta o indiretta, temporanea o permanente, in qualunque modo o
forma, in tutto o in parte”.
Gli Stati membri riconoscono, quindi, agli autori il diritto esclusivo di autorizzare o
vietare qualsiasi comunicazione al pubblico, su filo o senza filo, delle loro opere,
compresa la messa a disposizione del pubblico delle loro opere in maniera tale che
ciascuno possa avervi accesso dal luogo e nel momento scelti individualmente.
L’articolo 3 prende in considerazione anche il diritto di mettere a disposizione del
pubblico materiali protetti.
Il testo chiarisce che il diritto di distribuzione “non si esaurisce nella Comunità,
tranne nel caso in cui la prima vendita o il primo altro trasferimento di proprietà
nella Comunità sia effettuata dal titolare del diritto o con il suo consenso”.
Non da ultimo la Direttiva 2006/116/CE del Parlamento europeo e del Consiglio, del
12 dicembre 2006, concernente la durata di protezione del diritto d'autore e di
alcuni diritti connessi, ha prolungato i termini di durata dei diritti d’autore.
In Italia la normativa europea è stata recepita con il d.lgs 518/92 che modifica la
L.633/41 e dalla legge 248/2000, che rende penalmente sanzionabile la duplicazione
di software non solo quando viene duplicato ai fini della vendita con conseguente
“profitto” da parte del duplicatore.
La normativa, infatti, prevede che può essere punito “chiunque abusivamente
duplica, per trarne profitto, programmi per elaboratore o ai medesimi fini importa,
distribuisce, vende, detiene a scopo commerciale o imprenditoriale o concede in
locazione programmi contenuti in supporti non contrassegnati dalla Società italiana
degli autori ed editori (SIAE)".
Prima della riforma, la norma richiedeva il dolo di lucro, non quello di profitto e,
pertanto, il semplice “risparmio di spesa” non costituiva reato. Oggi, invece, la
duplicazione di software, se posta in essere ai fini di “risparmio” integra gli estremi
dell’illecito penale, con conseguente estensione a macchia d’olio dell’applicabilità
della fattispecie.
14
I REATI INFORMATICI
Già nel 1989 il Consiglio d'Europa emanò una Raccomandazione sulla Criminalità
Informatica dove venivano discusse le condotte informatiche abusive.
Con la L. 547/1993 sono stati definiti in Italia i “reati informatici” :
la frode informatica viene associata alla frode "tradizionale" con la differenza
che viene realizzata per mezzo di uno strumento informatico;
la falsificazione di documenti informatici. I documenti informatici sono
equiparati a tutti gli effetti ai documenti tradizionali e l’art. 491-bis del codice
penale prevede l’applicabilità delle disposizioni sulla falsità in atti pubblici e
privati;
le aggressioni all’integrità dei dati (virus)
le aggressioni alla riservatezza dei dati e delle comunicazioni informatiche,
riguardo alle forme di intrusione nella sfera privata altrui;
Nei casi di pirateria informatica, viene punita l’appropriazione indebita dell’idea
originale.
Nel 2008 è stata approvata la legge 48/2008 che ratifica ed esegue quanto stabilito
nella Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a
Budapest il 23 novembre 2001. Con tale legge sono previste:
- nuove definizioni dei reati informatici;
- maggiori sanzioni per chi commette reati informatici;
- maggiore tutela dei dati personali;
- sanzioni a carico delle società, nei casi di colpa organizzativa, sui reati informatici.
TUTELA DEI DATI PERSONALI
L’Italia nel 1981 sottoscrisse la convenzione n.108 di Strasburgo ma solo nel 1989
l’Italia ratificò la sottoscrizione con la L. 98/1989
La protezione dei dati personali viene nuovamente disciplinata dalla direttiva
95/46/CE, che mira a trovare un equilibrio tra un elevato livello di tutela della
privacy e la libera circolazione dei dati personali all'interno dell'Unione europea
(UE). A tal fine, la direttiva fissa limiti precisi per la raccolta e l'utilizzazione dei dati
personali e chiede a ciascuno Stato membro di istituire un organismo nazionale
indipendente incaricato della protezione di tali dati. In Italia viene recepita con la
legge 675/1996. La direttiva si applica ai dati trattati con mezzi automatici (ad
esempio la banca di dati informatica di clienti) e ai dati contenuti o destinati a
figurare in archivi non automatizzati (archivi tradizionali in formato cartaceo).
La direttiva non si applica al trattamento di dati:
effettuato da una persona fisica per l'esercizio di attività a carattere
esclusivamente personale o domestico;
15
effettuato per l'esercizio di attività che non rientrano nel campo di
applicazione del diritto comunitario come la pubblica sicurezza, la difesa, la
sicurezza dello Stato.
Mentre la direttiva si occupa sia della tutela dei dati personali sia della libera
circolazione dei dati, la legislazione italiana che l’ha recepita si attiene
esclusivamente alla tutela delle persone fisiche e giuridiche.
La direttiva è intesa a proteggere i diritti e le libertà delle persone in ordine al
trattamento dei dati personali stabilendo i principi relativi alla legittimazione del
trattamento dei dati. Tali principi riguardano:
la qualità dei dati: i dati personali, in particolare, devono essere trattati lealmente e
lecitamente e rilevati per finalità determinate, esplicite e legittime. Essi devono
inoltre essere esatti e, se necessario, aggiornati;
la legittimazione del trattamento di dati: il trattamento dei dati personali può
essere effettuato solo con il consenso esplicito della persona interessata o se il
trattamento è necessario per:
l'esecuzione di un contratto di cui è parte la persona interessata
adempiere un obbligo legale al quale è soggetto il responsabile del
trattamento
salvaguardare l'interesse vitale della persona interessata
l'esecuzione di una funzione di interesse pubblico
il perseguimento di un interesse legittimo del responsabile del trattamento;
le categorie particolari di trattamenti: è vietato il trattamento di dati personali che
rivelino l'origine razziale o etnica, le opinioni pubbliche, le convinzioni religiose o
filosofiche, l'appartenenza sindacale, nonché il trattamento di dati riguardanti la
salute e la vita sessuale. Sono previste deroghe a questa disposizione, ad esempio
nel caso in cui il trattamento è necessario per salvaguardare un interesse vitale della
persona interessata o, in ambito medico, per finalità di prevenzione e diagnosi;
l'informazione delle persone interessate dal trattamento dei dati: il responsabile
del trattamento deve fornire all'interessato determinate informazioni (identità del
responsabile del trattamento, finalità del trattamento, destinatari dei dati, ecc.);
il diritto di accesso ai dati: ogni persona interessata ha il diritto di ottenere dal
responsabile del trattamento:
la conferma dell'esistenza o meno di trattamenti di dati che la riguardano e la
comunicazione dei dati, oggetto del trattamento;
la rettifica, la cancellazione o il blocco dei dati il cui trattamento non è conforme
alla direttiva, in particolare a causa del carattere incompleto o inesatto dei dati,
nonché la notificazione di queste modifiche ai terzi a cui sono stati comunicati i dati;
le deroghe e limitazioni: i principi relativi alla qualità dei dati, all'informazione della
persona interessata, al diritto di accesso e alla pubblicità dei trattamenti possono
essere limitati per salvaguardare, tra l'altro, la sicurezza dello Stato, la difesa, la
sicurezza pubblica, il perseguimento di infrazioni penali, un rilevante interesse
16
economico o finanziario di uno Stato membro o dell'UE o la protezione della
persona interessata;
il diritto di opposizione ai trattamenti di dati: la persona interessata ha il diritto di
opporsi, per ragioni legittime, al trattamento di dati che la riguardano, di opporsi, su
richiesta e gratuitamente, al trattamento dei dati a fini di invio di materiale
pubblicitario, nonché di essere informata prima che i dati siano comunicati a terzi a
fini di invio di materiale pubblicitario e di essere informata della possibilità di
opporsi a tale comunicazione;
la riservatezza e la sicurezza dei trattamenti: l'incaricato del trattamento e
chiunque agisca sotto la sua autorità o sotto quella del responsabile del trattamento
non deve elaborare i dati personali ai quali ha accesso, se non dietro istruzione del
responsabile del trattamento. Il responsabile del trattamento deve inoltre adottare
misure appropriate per proteggere i dati personali dalla distruzione accidentale o
illecita, dalla perdita accidentale, dall'alterazione, dalla diffusione o dall'accesso non
autorizzato;
la notificazione dei trattamenti ad un'autorità di controllo: il responsabile del
trattamento deve inviare una notificazione all'autorità di controllo nazionale prima
di procedere alla realizzazione del trattamento. Una volta ricevuta la notificazione,
l'autorità di controllo effettua esami preliminari volti ad accertare l'esistenza di
rischi per i diritti e le libertà delle persone interessate. Deve essere garantita la
pubblicità dei trattamenti e le autorità di controllo devono tenere un registro dei
trattamenti notificati.
Chiunque può disporre di un ricorso giurisdizionale in caso di violazione dei diritti
garantiti dalle disposizioni nazionali applicabili al trattamento in questione. Chi
subisce un danno cagionato da un trattamento illecito dei propri dati personali ha
inoltre il diritto di ottenere il risarcimento del pregiudizio subito.
Sono autorizzati i trasferimenti di dati personali da uno Stato membro verso un
paese terzo avente un livello di protezione adeguato. Per contro, non sono
autorizzati i trasferimenti verso i paesi terzi che non garantiscono tale livello di
protezione, fatte salve talune deroghe.
La direttiva è intesa a favorire l'elaborazione di codici di condotta nazionali e
comunitari destinati a contribuire alla corretta applicazione delle disposizioni
nazionali e comunitarie.
Ciascuno Stato membro dispone che una o più Autorità pubbliche indipendenti
siano incaricate di sorvegliare, nel suo territorio, l'applicazione delle disposizioni di
attuazione della direttiva adottate dagli Stati membri.
È istituito un gruppo per la tutela delle persone con riguardo al trattamento dei dati
personali, composto da rappresentanti delle autorità di controllo nazionali, da
rappresentanti delle autorità di controllo create per le istituzioni e gli organismi
comunitari, nonché da un rappresentante della Commissione.
Sulla stessa linea si pone la Direttiva 97/66/CE che prevede quale suo obiettivo
l’armonizzazione di quelle disposizioni degli Stati membri dell’Unione Europea,
17
idonee a garantire un livello equivalente di tutela dei diritti e delle libertà
fondamentali, ed in particolare del diritto alla vita privata, con riguardo al
trattamento dei dati personali nel settore delle telecomunicazioni:
sicurezza, riservatezza delle comunicazioni, dati sul traffico e sulla fatturazione,
identificazione della linea chiamante, blocco del trasferimento automatico della
chiamata, elenco abbonati, chiamate indesiderate.
La Direttiva 2002/58/CE istituisce un quadro normativo armonizzato per la
regolamentazione delle reti e dei servizi di comunicazione elettronica, i cui precetti
ed obiettivi - che, in virtù dell’orientamento elaborato dalla Corte di Giustizia, hanno
efficacia diretta negli Stati membri dell’Unione a prescindere dai provvedimenti di
attuazione - sono stati recepiti nel nostro nuovo Codice della privacy approvato con
d.lgs. n. 196/2003.
IL DECRETO LEGISLATIVO 196/2003
IL CODICE IN MATERIA DI TUTELA DEI DATI PERSONALI
Il d.lgs 196/2003 è suddiviso in tre Parti – (VEDASI ANCHE CAPITOLO SUCCESSIVO
CON LE MODIFICHE DEL 2011):
Parte I- DISPOSIZIONI GENERALI (artt. 1 – 45)
Parte II - DISPOSIZIONI RELATIVE A SPECIFICI SETTORI (artt. 46 –140)
Parte III - TUTELA DELL'INTERESSATO E SANZIONI (artt. 141 – 172)
- DISPOSIZIONI DI MODIFICA e ABROGAZIONI (artt. 172 –186)
Definizioni inserite nelle Disposizioni generali
"trattamento", qualunque operazione o complesso di operazioni, effettuati
anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la
registrazione, l'organizzazione, la conservazione, la consultazione,
l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto,
l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la
cancellazione e la distruzione di dati, anche se non registrati in una banca di
dati;
"dato personale", qualunque informazione relativa a persona fisica, persona
giuridica, ente od associazione, identificati o identificabili, anche
indirettamente, mediante riferimento a qualsiasi altra informazione, ivi
compreso un numero di identificazione personale;
"dati identificativi", i dati personali che permettono l'identificazione diretta
dell'interessato;
"dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le
convinzioni religiose, filosofiche o di altro genere, le opinioni politiche,
18
l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere
religioso, filosofico, politico o sindacale, nonché i dati personali idonei a
rivelare lo stato di salute e la vita sessuale;
"dati giudiziari", i dati personali idonei a rivelare provvedimenti in materia di
casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da
reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai
sensi del codice di procedura penale;
"titolare", la persona fisica, la persona giuridica, la pubblica amministrazione
e qualsiasi altro ente, associazione od organismo cui competono, anche
unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità
del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il
profilo della sicurezza;
"responsabile", la persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione od organismo preposti
dal titolare al trattamento di dati personali;
"incaricati", le persone fisiche autorizzate a compiere operazioni di
trattamento dal titolare o dal responsabile;
"interessato", la persona fisica, la persona giuridica, l'ente o l'associazione cui
si riferiscono i dati personali;
"comunicazione", il dare conoscenza dei dati personali a uno o più soggetti
determinati diversi dall'interessato, dal rappresentante del titolare nel
territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma,
anche mediante la loro messa a disposizione o consultazione;
"diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in
qualunque forma, anche mediante la loro messa a disposizione o
consultazione;
"dato anonimo", il dato che in origine, o a seguito di trattamento, non può
essere associato ad un interessato identificato o identificabile;
"blocco", la conservazione di dati personali con sospensione temporanea di
ogni altra operazione del trattamento;
"banca di dati", qualsiasi complesso organizzato di dati personali, ripartito in
una o più unità dislocate in uno o più siti;
"Garante", l'autorità Garante per la protezione dei dati personali; è
un’autorità amministrativa indipendente
"comunicazione elettronica", ogni informazione scambiata o trasmessa tra un
numero finito di soggetti tramite un servizio di comunicazione elettronica
accessibile al pubblico;
19
"chiamata", la connessione istituita da un servizio telefonico accessibile al
pubblico, che consente la comunicazione bidirezionale in tempo reale;
"reti di comunicazione elettronica", i sistemi di trasmissione, le
apparecchiature di commutazione o di instradamento e altre risorse che
consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche
o con altri mezzi elettromagnetici, incluse le reti satellitari, le reti terrestri
mobili e fisse,compresa Internet, le reti utilizzate per la diffusione circolare dei
programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica,
nella misura in cui sono utilizzati per trasmettere i segnali, le reti televisive via
cavo, indipendentemente dal tipo di informazione trasportato;
"rete pubblica di comunicazioni", una rete di comunicazioni elettroniche
utilizzata interamente o prevalentemente per fornire servizi di comunicazione
elettronica accessibili al pubblico;
"servizio di comunicazione elettronica", i servizi consistenti esclusivamente o
prevalentemente nella trasmissione di segnali su reti di comunicazioni
elettroniche, compresi i servizi di telecomunicazioni e i servizi di trasmissione
nelle reti utilizzate per la diffusione circolare radiotelevisiva, nei limiti previsti
dall'articolo 2, lettera c), della direttiva 2002/21/CE del Parlamento europeo e
del Consiglio, del 7 marzo 2002;
"abbonato", qualunque persona fisica, persona giuridica, ente o associazione
parte di un contratto con un fornitore di servizi di comunicazione elettronica
accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario
di tali servizi tramite schede prepagate;
"utente", qualsiasi persona fisica che utilizza un servizio di comunicazione
elettronica accessibile al pubblico, per motivi privati o commerciali, senza
esservi necessariamente abbonata;
"dati relativi al traffico", qualsiasi dato sottoposto a trattamento ai fini della
trasmissione di una comunicazione su una rete di comunicazione elettronica o
della relativa fatturazione;
"dati relativi all'ubicazione", ogni dato trattato in una rete di comunicazione
elettronica che indica la posizione geografica dell'apparecchiatura terminale
dell'utente di un servizio di comunicazione elettronica accessibile al pubblico;
"servizio a valore aggiunto", il servizio che richiede il trattamento dei dati
relativi al traffico o dei dati relativi all'ubicazione diversi dai dati relativi al
traffico, oltre a quanto e' necessario per la trasmissione di una comunicazione
o della relativa fatturazione;
"posta elettronica", messaggi contenenti testi, voci, suoni o immagini
trasmessi attraverso una rete pubblica di comunicazione, che possono essere
20
archiviati in rete o nell'apparecchiatura terminale ricevente, fino a che il
ricevente non ne ha preso conoscenza.
"misure minime", il complesso delle misure tecniche, informatiche,
organizzative, logistiche e procedurali di sicurezza che configurano il livello
minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31;
"strumenti elettronici", gli elaboratori, i programmi per elaboratori e
qualunque dispositivo elettronico o comunque automatizzato con cui si
effettua il trattamento;
"autenticazione informatica", l'insieme degli strumenti elettronici e delle
procedure per la verifica anche indiretta dell'identità;
"credenziali di autenticazione", i dati ed i dispositivi, in possesso di una
persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per
l'autenticazione informatica;
"parola chiave", componente di una credenziale di autenticazione associata
ad una persona ed a questa nota, costituita da una sequenza di caratteri o
altri dati in forma elettronica;
"profilo di autorizzazione", l'insieme delle informazioni, univocamente
associate ad una persona, che consente di individuare a quali dati essa può
accedere, nonché i trattamenti ad essa consentiti;
"sistema di autorizzazione", l'insieme degli strumenti e delle procedure che
abilitano l'accesso ai dati e alle modalità di trattamento degli stessi, in
funzione del profilo di autorizzazione del richiedente.
"scopi storici", le finalità di studio, indagine, ricerca e documentazione di
figure, fatti e circostanze del passato;
"scopi statistici", le finalità di indagine statistica o di produzione di risultati
statistici, anche a mezzo di sistemi informativi statistici;
"scopi scientifici", le finalità di studio e di indagine sistematica finalizzata allo
sviluppo delle conoscenze scientifiche in uno specifico settore.
Gli scopi del d. lgs. 196/03 mirano al riconoscimento del diritto del singolo sui propri
dati personali e, conseguentemente, alla disciplina delle diverse operazioni di
gestione (tecnicamente "trattamento") dei dati, riguardanti la raccolta,
l'elaborazione, il raffronto, la cancellazione, la modificazione, la comunicazione o la
diffusione degli stessi
Il titolare dei dati (ossia il soggetto cui si riferiscono i dati) vede garantito il proprio
diritto di accesso a tutte le informazioni pertinenti la sua persona detenute e
trattate da terzi. Tutto ciò è garantito dall'art. 7 del d. lgs. 196/03 il quale
ricomprende la possibilità di sapere:
21
l'autore del trattamento, come e con quali fini avviene il trattamento,
i soggetti a cui detti dati possono essere ceduti (previo consenso preventivo,
altrimenti si avrebbe il classico esempio di trattamento scorretto).
L'interessato ha facoltà di verificare che i propri dati detenuti da terzi corrispondano
al vero in virtù del diritto d'accesso, potendo altresì richiedere l'aggiornamento o la
cancellazione a seconda dei casi. Nel caso in cui si accorga che gli stessi sono trattati
in maniera difforme dalla legge, l'interessato può chiederne la cancellazione o il
blocco.
In caso di lesione nei diritti sui propri dati a norma del d. lgs. 196/03 (ad esempio:
raccolta dei dati senza il consenso, consenso acquisito senza fornire la preventiva
informativa di legge, trattamento dei dati oltre i limiti del consenso dato, negazione
o limitazione al diritto di accesso) si può ricorrere al Garante per la protezione dei
dati personali (con una procedura piuttosto rapida e costi contenuti) o al giudice
civile (con costi e tempi maggiori). Se invece si è addirittura subito un danno per
trattamento dei dati non conforme alla legge (non necessariamente economico) il
risarcimento può essere concesso in via esclusiva solo dal giudice civile.
Il codice disciplina il trattamento dei dati personali anche detenuti all’estero
(art.5,comma 1); si applica al trattamento dei dati effettuato da parte di chiunque si
trovi in uno stato non appartenente all’Unione europea e impiega strumenti situati
nel territorio italiano (art.5,comma 2).
I diritti dell’interessato (art.7)
Il soggetto interessato alla tutela dei dati personali può esercitare il diritto di
accesso ai dati che lo riguardano ed avere conferma o meno dell’esistenza degli
stessi dati.
Sui dati personali che lo riguardano il soggetto interessato ha il diritto di ottenere
l’indicazione dell’origine de di dati personali,delle finalità e modalità del
trattamento,della logica applicata in caso di trattamento con strumenti
elettronici,degli estremi identificativi del titolare,del responsabile,degli incaricati,dei
soggetti ai quali i dati possono essere comunicati o che possono venire a conoscenza
in qualità di rappresentante designato nel territorio dello Stato.
L’interessato ha il diritto di ottenere:
l’aggiornamento, la rettifica,l’integrazione,la cancellazione,la trasformazione
in forma anonima,il blocco dei dati personali;
l’attestazione che le operazioni sopra indicate sono state portate a
conoscenza di coloro ai quali i dati sono stati comunicati o diffusi.
L’interessato ha il diritto di opporsi in tutto o in parte per motivi legittimi al
trattamento dei dati personali che lo riguardano “e al trattamento di dati
personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita
diretta o per il compimento di ricerche di mercato o di comunicazione
commerciale” (abrogato con la legge 106/2011)
22
La richiesta rivolta al titolare o al responsabile può essere trasmessa anche mediante
lettera raccomandata, telefax, posta elettronica o altro idoneo sistema,stabilito dal
Garante anche in riferimento all’evoluzione tecnologica.
Il titolare è tenuto a dare riscontro all’interessato per garantire l’esercizio dei propri
diritti garantendo ed agevolando l’accesso ai dati personali che riguardano
l’interessato e semplificando le modalità di accesso e riducendo i tempi di
riscontro(art.10).
Regole per il trattamento dei dati
I dati devono essere trattati in modo lecito e secondo correttezza.
I dati devono essere raccolti e registrati secondo scopi determinati, espliciti e
legittimi.
I dati devono essere esatti ed aggiornati.
I dati devono essere pertinenti,completi e non eccedenti alle finalità per le quali
sono raccolti o trattati.
I dati devono essere conservati in una forma che consenta l’identificazione
dell’interessato per un periodo non superiore a quello necessario per gli scopi per
cui è stato trattato.
Quindi i dati trattati in violazione della normativa sui dati personali non possono
essere utilizzati.
Codici di deontologia e di buona condotta (art.12)
I codici di deontologia e di buona condotta contribuiscono alla conoscenza della
legge sulla tutela dei dati personali e alla corretta applicazione della stessa
nell’ambito dei relativi settori di riferimento.
Informativa (art.13)
L’interessato o la persona presso la quale sono raccolti i dati personali sono
previamente informati oralmente o per iscritto circa:
le finalità e le modalità del trattamento cui sono destinati i dati;
la natura obbligatoria o facoltativa del conferimento dei dati;
le conseguenze di un eventuale rifiuto di rispondere;
i soggetti o le categorie di soggetti ai quali i dati personali possono essere
comunicati o che possono venirne a conoscenza in qualità di responsabili o
incaricati,e l‘ambito di diffusione dei medesimi dati;
i diritti che può esercitare il soggetto interessato;
gli estremi identificativi del titolare.
Definizione di profili e della personalità dell’interessato (art.14)
Il codice stabilisce il principio in base al quale nessun atto o provvedimento
giudiziario o amministrativo che implichi una valutazione del comportamento
umano può essere fondato unicamente su un trattamento automatizzato di dati
personali volto a definire il profilo o la personalità dell’interessato.
Danni cagionati per effetto del trattamento dei dati personali (art.15)
Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è
tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile.
23
Quindi, il trattamento è considerato come un’attività “pericolosa”e chi produce il
danno è tenuto a provare di avere adottato tutte le misure idonee a non arrecare
danno ad altri(inversione dell’onere della prova).
Il trattamento da parte di soggetti pubblici (art.18)
Il trattamento dei dati personali da parte di soggetti pubblici,esclusi gli enti pubblici
economici, è consentito solo per lo svolgimento delle funzioni istituzionali.
Il trattamento è possibile solo se stabilito da leggi o regolamenti.
Il trattamento dei dati sensibili è consentito solo se autorizzato da espressa
disposizione di legge nella quale sono specificati i tipi di dati che possono essere
trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico
perseguite (art.20).
Il trattamento di dati giudiziari da parte di soggetti pubblici è consentito solo se
autorizzato da espressa disposizione di legge o provvedimento del Garante che
specifichino le finalità di rilevante interesse pubblico del trattamento, i tipi di dati
trattati e di operazioni eseguibili.
I principi applicabili al trattamento dei dati sensibili e giudiziari sono stabiliti
dall’art.22.
Il trattamento da parte dei privati e di enti pubblici economici (art.23 e ss.)
Il trattamento dei dati personali da parte di privati o di enti pubblici economici è
ammesso solo con il consenso dell’interessato,che può riguardare l’intero
trattamento o un parte dello stesso.
Il consenso è validamente prestato
-solo se è espresso liberamente
-e specificamente in riferimento ad un trattamento chiaramente individuato
-se è documentato per iscritto
-e se sono state rese all’interessato le informazioni di cui all’art.13(informativa).
Il consenso deve essere espresso in forma scritta quando il trattamento riguarda
dati sensibili.
Ci sono deroghe a questo principio(cioè il consenso non è richiesto) (art.24),tra le
quali in particolare rileviamo quelle relative a:
all’adempimento di obblighi previsti da leggi, da regolamenti o da normative
comunitarie;
all’esecuzione di un contratto;
dati archiviati e provenienti da pubblici registri,elenchi,atti o documenti
conoscibili da chiunque;
allo svolgimento di attività economiche per le quali vale il segreto aziendale
ed industriale;
alla salvaguardia della vita o dell’incolumità di un terzo.
Divieti di comunicazione e diffusione(art.25)
La comunicazione e la diffusione sono vietate nei casi:
di divieto disposti dal Garante o dall’autorità giudiziaria;
in cui è stata disposta la cancellazione dei dati;
24
quando è decorso il periodo indicato per il trattamento;
per finalità diverse da quelle indicate nella notificazione del trattamento.
Garanzie per i dati sensibili e giudiziari
I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto
dell’interessato e previa autorizzazione del Garante (art.26)
I dati sensibili possono essere trattati anche senza consenso previa autorizzazione
del Garante nei casi previsti dall’art.26,comma 4.
I dati idonei a rilevare lo stato di salute non possono essere diffusi (art.26,comma 5).
Il trattamento dei dati giudiziari da parte di privati o di enti pubblici economici
(art.27) è consentito soltanto da espressa disposizione di legge o provvedimento del
Garante che specifichino
- le rilevanti finalità di interesse pubblico del trattamento,
- i tipi di dati trattati
- di operazioni eseguibili.
Il titolare,il responsabile e l’incaricato del trattamento (art.28)
Il titolare del trattamento può essere una persona fisica,una persona giuridica,un
ente,un’associazione,un organismo.
Nel caso di persona giuridica,una pubblica amministrazione,un ente,un’associazione
od organismo,il titolare del trattamento è l’entità nel suo complesso o l’unità od
organismo periferico che esercita un potere decisionale del tutto autonomo sulle
finalità e sulle modalità del trattamento,ivi compreso il profilo della sicurezza.
La titolarità del trattamento nei sistemi organizzativi è strettamente legata
all’autonomia decisionale
alle finalità del trattamento
alle modalità del trattamento
alla sicurezza dei dati.
Il responsabile (art.29) è designato dal titolare tra soggetti capaci,affidabili,con
esperienza. Il responsabile si occupa dei trattamenti di competenza e della sicurezza.
Il responsabile viene incaricato per iscritto;i compiti sono dettagliatamente indicati
nel documento.
Il responsabile deve attenersi alle istruzioni impartite dal titolare,che vigila sul
responsabile con verifiche periodiche.
Nei sistemi organizzativi complessi è prevista la figura dell’incaricato del trattamento
(art.30) che opera su trattamenti indicati per iscritto dal titolare o dal responsabile.
La sicurezza dei dati e dei sistemi (art.31 e ss.)
I dati personali devono essere custoditi e controllati in modo da ridurre al minimo i
rischi
- di distruzione o perdita,anche accidentale,dei dati stessi;
- di accesso non autorizzato;
- o di trattamento non consentito o non conforme alle finalità della raccolta.
25
Nel caso di fornitori di servizi di comunicazione elettronica accessibile al pubblico
(art.32) il titolare del trattamento adotta misure tecniche ed organizzative adeguate
al rischio esistente per
la salvaguardia della sicurezza dei suoi servizi;
l’integrità dei dati relativi al traffico,dei dati relativi all’ubicazione e delle
comunicazioni elettroniche rispetto ad ogni forma di utilizzazione o cognizione
non consentita.
Le misure minime di sicurezza sono di tipo tecnico, informatico, organizzativo,
logistico, procedurale (art.4,comma 3).
I titolari di trattamento sono tenuti ad adottare le misure minime per assicurare un
livello minimo di protezione dei dati personali (art.33).
Nel caso di trattamenti automatizzati (art 34) le misure di sicurezza sono definite
nell’allegato B e sono:
autenticazione informatica;
adozione di procedure di gestione delle credenziali di autenticazione;
utilizzazione di un sistema di autorizzazione;
aggiornamento periodico degli addetti alla sicurezza e dei singoli incaricati;
protezione de dati e dei sistemi informatici rispetto a trattamenti illeciti,ad
accessi non consentiti e a determinati programmi informatici;
adozione di procedura per la custodia di copie di sicurezza, il ripristino della
disponibilità dei dati e dei sistemi;
tenuta ed aggiornamento del documento programmatico di sicurezza;
adozione di speciali misure tecniche per dati relativi alla sfera sessuale e alla
salute.
Nel caso di trattamento di dati senza strumenti elettronici (art.35) è necessario
adottare le seguente misure di sicurezza:
aggiornamento periodico dell’individuazione dell’ambito del trattamento
consentito ai singoli incaricati e alle unità organizzative;
previsione di procedure per un’idonea custodia di atti e documenti affidati agli
incaricati per lo svolgimento dei relativi compiti;
previsione di procedure per la conservazione di determinati atti in archivi ad
accesso selezionato e disciplina delle modalità di accesso finalizzata
all’identificazione degli incaricati.
Notificazione del trattamento (art.37)
Rispetto alla legge 675/96 l’obbligo di notificazione è stato significativamente
limitato ad alcuni specifici casi.
Vi è obbligo di notificare al Garante che il titolare intende procedere al trattamento
dei dati personali se riguarda:
dati genetici,biometrici o dati che indicano la posizione geografica di persone
od oggetti mediante una rete di comunicazione elettronica;
26
-
dati idonei a rilevare lo stato di salute e la vita sessuale;
dati idonei a rilevare la vita sessuale o la sfera psichica;
dati trattati elettronicamente per definire il profilo o la personalità
dell’interessato;
dati sensibili registrati in banche dati a fin di selezione del personale per conto
terzi o dati sensibili per sondaggi di opinione,ricerche di mercato e altre
ricerche campionarie;
dati registrati in banche dati e relative al rischio sulla solvibilità economica,allo
stato patrimoniale,ecc.
La notificazione deve essere presentata prima dell’inizio del trattamento ed una sola
volta. La notificazione è validamente effettuata solo se è trasmessa per via
telematica(art.38).
Il trasferimento dei dati all’estero (art.42 e ss.)
Il trasferimento dei dati ad altri Paesi membri segue le norme indicate all’art.42; per
altri Paesi le norme sono indicate all’art.43.
Tutela dell’interessato (art.141 e ss.)
L’interessato per tutelare i propri dati personali può rivolgersi al Garante:
mediante reclamo;
mediante segnalazione;
mediante ricorso.
L’art. 142 definisce i contenuti del reclamo e le modalità di presentazione al
Garante.
L’art.143 definisce il procedimento per i reclami.
L’art.144 definisce i provvedimenti che si possono adottare a seguito di
segnalazione.
Il ricorso è regolato dagli articoli 145 e ss.
I diritti dell’interessato possono essere fatti valere dinanzi all’autorità giudiziaria o
con ricorso al Garante. Il ricorso al Garante non può essere proposto se, per il
medesimo oggetto e tra le stesse parti, è stata già adita l’autorità giudiziaria.
Prima della presentazione è previsto l’interpello preventivo (art.146).
La presentazione del ricorso viene proposto secondo quanto stabilito dall’art.147.
L’art.148 definisce i casi di inammissibilità del ricorso.
L’art.149 definisce il procedimento relativo al ricorso.
L’art. 150 stabilisce i provvedimenti a seguito del ricorso.
L’art.151 stabilisce il principio di opposizione ai provvedimenti del Garante.
La tutela giurisdizionale è regolata dagli art.152 e ss.
L’autorità garante per la protezione dei dati personali (art.153)
Il Garante opera in piena autonomia e con indipendenza di giudizio e valutazione.
Il Garante è un organo collegiale costituito da 4 componenti,due eletti dalla Camera
e due dal Senato. Il presidente è eletto tra i componenti.
I componenti durano in carica 4 anni e non possono essere confermati piu’ di una
volta.
27
I compiti del Garante sono:
controllare se i trattamenti sono effettuati nel rispetto della disciplina
applicabile e in conformità alla notificazione;
esaminare i reclami e le segnalazioni e provvedere sui ricorsi;
prescrivere anche d’ufficio ai titolari del trattamento le misure necessarie o
opportune al fine di rendere il trattamento conforme alle disposizioni vigenti;
adottare tutti i provvedimenti utili e necessari per garantire un trattamento in
linea con la norma;
segnalare al Parlamento e al Governo gli opportuni interventi normativi;
esprimere pareri nei casi previsti;
denunciare i fatti configurabili come reati perseguibili d’ufficio;
preparare una relazione annuale da presentare al Parlamento entro il 30
aprile dell’anno successivo a quello di riferimento.
Le sanzioni (art.161)
Il d.lgs prevede violazioni amministrative (art.161 e ss.),illeciti penali (art.167).
Le violazioni amministrative riguardano:
omessa o inidonea informativa all’interessato (art.161);
altre fattispecie (art.162);
omessa o incompleta notificazione (art.163);
omessa informazione o esibizione al Garante(art.164);
pubblicazione del provvedimento del Garante(art.165).
Gli illeciti penali sono:
trattamento illecito dei dati (art.167);
falsità nelle dichiarazioni e notificazioni al Garante (art.168);
misure di sicurezza (art.169);
inosservanza di provvedimenti del Garante (art.170);
altre fattispecie (art.171);
pene accessorie (art.172).
LE NUOVE NORME DOPO L'APPROVAZIONE DELLA LEGGE 12 LUGLIO 2011 N. 106
In estrema sintesi le modifiche riguardano questi aspetti:
•
disapplicazione della normativa in materia di dati personali ai trattamenti
relativi a dati di persone giuridiche per finalità amministrative e contabili: la
protezione della riservatezza dei dati personali è limitata ai cittadini (cioè alle
persone fisiche)
All’art. 5 “Oggetto e ambito di applicazione”, viene aggiunto il seguente
comma:
“3-bis. Il trattamento dei dati personali relativi a persone giuridiche, imprese,
enti o associazioni effettuato nell’ambito di rapporti intercorrenti
esclusivamente tra i medesimi soggetti per le finalità amministrativocontabili, come definite all’articolo 34, comma 1-ter, non è soggetto
all’applicazione del presente codice.”
28
•
•
•
Il Codice della privacy continua allora ad operare nel caso in cui:
a) il titolare del trattamento o l’interessato è una persona fisica;
b) il trattamento, anche se effettuato nell’ambito dei rapporti tra persone
giuridiche, imprese, enti, associazioni, persegue finalità diverse da quelle
amministrativo-contabili (si pensi ad esempio alle ricerche di mercato).
Per specificare cosa debba intendersi per “finalità amministrativo-contabili”:
“1-ter. Ai fini dell’applicazione delle disposizioni in materia di protezione dei
dati personali, i trattamenti effettuati per finalità amministrativo-contabili
sono quelli connessi allo svolgimento delle attività di natura organizzativa,
amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati
trattati. In particolare, perseguono tali finalità le attività organizzative interne,
quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali,
alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della
contabilità e all’applicazione delle norme in materia fiscale, sindacale,
previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro.”
semplificazione delle regole relative al trattamento dei curriculum inviati
spontaneamente alle aziende: esonero dell'obbligo di consenso per i dati
sensibili contenuti nei curriculum. L’esonero dall’obbligo del consenso
riguarda anche i dati sensibili contenuti nei curricula.
semplificazione degli obblighi legati alla stesura del Documento
Programmatico sulla Sicurezza (DPS): la tenuta di un aggiornato DPS - è
sostituita da un obbligo di autocertificazione in relazione ai soggetti che, come
unici dati “sensibili” e giudiziari, trattano quelli dei propri dipendenti e
collaboratori: anche se extracomunitari, compresi quelli relativi al coniuge e ai
parenti.
Si tratta, ad esempio, dai dati relativi: allo stato di salute o di malattia;
all’adesione a organizzazioni sindacali o a carattere sindacale; a precedenti
penali.
Tale autocertificazione: è resa dal titolare del trattamento, ai sensi dell’art. 47
del DPR 445/2000 e attesta di trattare tali dati in osservanza delle altre misure
minime di sicurezza previste dalla normativa sulla privacy.
estensione del regime dell'opt out agli indirizzi estratti dagli elenchi telefonici
per l'invio di messaggi postali
Un esempio eclatante di questa tendenza è offerto dall'evoluzione delle
norme che in Italia regolano il trattamento dei dati personali per finalità
commerciali. Per molti anni per poter inviare messaggi indirizzati ai
consumatori era richiesto il consenso espresso dell'interessato. Nel corso del
tempo questo principio chiaro che rappresenta la massima forma di tutela per
l'interessato, rendendo illecite tutte le attività di trattamento delle quali non è
stato preventivamente informato e che ha espressamente autorizzato, ha
conosciuto diverse deroghe fino a giungere all'ultima clamorosa riforma
relativa all'uso dei dati presenti nell'elenco telefonico (prima i numeri di
29
telefono e ora, con questa riforma anche gli indirizzi postali) per effettuare
telefonate commerciali, ricerche di mercato o per promuovere l'invio di
materiale pubblicitario. Tale riforma ha sostanzialmente sovvertito le regole
consolidate rendendo legittimo l'uso di questi dati in assenza di esplicito
dissenso da parte del cittadino. Quindi chi non vuole che i suoi dati di recapito
presenti in elenco telefonico siano usati per contattarlo a fini pubblicitari o
commerciali ha l'onere di iscriversi nel Registro delle Opposizioni
(www.registrodelleopposizioni.it).
La riforma introdotta in Italia attribuisce di fatto valore legale al silenzio,
intendendo che la mancata opposizione rende possibile il trattamento dei dati
per svolgere attività di comunicazione commerciale.
IL COMMERCIO ELETTRONICO
Il commercio elettronico viene affrontato dalla CE con la Direttiva sulla tutela dei
consumatori nei contratti a distanza (recepita in Italia con il d.lgs 185/99) e con la
Direttiva 31/2000 dedicata al commercio elettronico e i contratti telematici (recepita
con d.lgs 70/2003).
Il significato del termine "commercio elettronico" è mutato col passare del tempo.
All'inizio indicava il supporto alle transazioni commerciali in forma elettronica,
generalmente ricorrendo a una tecnologia introdotta alla fine degli anni settanta per
inviare documenti commerciali come ordini d'acquisto o fatture in formato
elettronico.
In seguito vennero aggiunte delle funzioni che possono venire denominate in modo
più accurato come "e-commerce" -- l'acquisto di beni e servizi attraverso il World
Wide Web ricorrendo a server sicuri con servizi di pagamento on-line, come le
autorizzazioni per il pagamento con carta di credito.
La Direttiva 31/2000 si basa sugli orientamenti contenuti nella comunicazione della
Commissione Europea sul commercio elettronico ed ha come obiettivo l'istituzione
di un quadro giuridico coerente a livello europeo per il commercio elettronico.
L'approccio seguito mira ad evitare un numero eccessivo di norme, basandosi sulle
libertà del mercato interno, tenendo conto delle realtà commerciali e garantendo
una tutela efficace degli obiettivi di interesse generale. La direttiva si basa inoltre
sulla volontà di eliminare le disparità esistenti nella giurisprudenza degli Stati
membri in modo da instaurare una certezza idonea a favorire la fiducia dei
consumatori e delle imprese in qualità di utenti Internet.
La direttiva si applica unicamente ai fornitori di servizi che abbiano sede nell'Unione
europea. Tuttavia, per non ostacolare il commercio elettronico mondiale, la direttiva
presta particolare attenzione ad evitare incompatibilità con l'evoluzione giuridica in
atto in altre parti del mondo
30
L'articolo 3 prevede che i prestatori di servizi della società dell'informazione (ad
esempio, operatori dei siti Internet) rispettino le disposizioni nazionali vigenti nello
Stato membro ove sono stabiliti (regola del paese d'origine o "clausola del mercato
interno"). La direttiva definisce il luogo di stabilimento del prestatore come il luogo
in cui un operatore esercita effettivamente e a tempo indeterminato un'attività
economica mediante un'installazione stabile. Tale norma del paese d'origine
costituisce l'elemento fondamentale della direttiva poiché crea la chiarezza e la
certezza del diritto necessarie per permettere ai prestatori di servizio di proporre i
propri servizi in tutta l'Unione.
La direttiva vieta agli Stati membri di imporre ai servizi della società
dell'informazione regimi di autorizzazione speciali che non si applicherebbero a
servizi analoghi forniti con altri mezzi. Ad esempio, sarebbe contrario alla direttiva
assoggettare l'apertura di un sito web ad un procedimento di autorizzazione. Un sito
potrà essere però subordinato ad autorizzazione se l'attività contemplata è
un'attività regolamentata (ad esempio, servizi bancari e finanziari on-line)
Gli Stati membri devono prevedere nella loro legislazione che i prestatori di servizi
della società dell'informazione rendano facilmente accessibili in modo diretto e
permanente ai loro destinatari e alle autorità competenti le informazioni di base
sulle loro attività: nome, indirizzo, indirizzo di posta elettronica, numero di
immatricolazione al registro del commercio, titolo professionale e iscrizione ad
associazioni professionali, numero della partita IVA.
Le comunicazioni commerciali devono essere chiaramente identificabili e
inequivocabili (art. 6) in modo da rafforzare la fiducia del consumatore e garantire
pratiche commerciali leali.
Gli Stati membri e la Commissione incoraggiano l'elaborazione, da parte di
associazioni o organizzazioni professionali, di codici di condotta a livello comunitario
volti a contribuire all'efficace applicazione della direttiva. Le associazioni dei
consumatori devono essere coinvolte nel processo di elaborazione e di applicazione
dei codici di condotta (art. 16).
Gli Stati membri provvedono affinché la loro legislazione consenta, in caso di
dissenso tra prestatore e destinatario di un servizio della società dell'informazione,
l'uso efficace, anche per vie elettroniche adeguate, di strumenti di composizione
extragiudiziale delle controversie. Gli Stati membri provvedono affinché gli organi
di composizione extragiudiziale delle controversie applichino, nel rispetto del diritto
comunitario, principi di indipendenza, di trasparenza, del contraddittorio, di efficacia
del procedimento, di legalità della decisione, di libertà per le parti e di
rappresentanza (art. 17).
Gli Stati membri provvedono a che le attività dei servizi della società
dell'informazione possano essere oggetto di ricorsi giurisdizionali efficaci che
31
consentano di prendere provvedimenti atti a porre fine alle violazioni e a impedire
ulteriori danni agli interessi in causa (art. 18).
IL DECRETO LEGISLATIVO 70/2003
Obiettivo fondamentale del decreto sul commercio elettronico è quello di
promuovere la libera circolazione dei servizi della società dell’informazione (come
definiti dall’art. 2), fra i quali il commercio elettronico (art. 1, comma 1), garantendo
così il buon funzionamento del mercato.
In esso sono disciplinate le diverse figure di provider (semplice trasporto di dati mere conduit-, memorizzazione temporanea -caching- e memorizzazione di dati
forniti dal destinatario del servizio -hosting-).
Il D.lgs disciplina, recependo in linea di massima tutte le indicazioni fornite dalla
Direttiva, sia il prestatore stabile (nome, denominazione, partita IVA ecc.) sia l’iter
per la conclusione del contratto secondo i principi di trasparenza e di tutela dei dati.
Nella prestazione di un servizio della Società dell’informazione consistente nel
trasmettere, su una rete di comunicazione, informazioni fornite da un destinatario
del servizio, il prestatore non è responsabile della memorizzazione automatica,
intermedia e temporanea di tali informazioni effettuata al solo scopo di rendere più
efficace il successivo inoltro ad altri destinatari a loro richiesta, a condizione che
(art. 15, comma 1):
a) non modifichi le informazioni;
b) si conformi alle condizioni di accesso alle informazioni;
c) si conformi alle norme di aggiornamento delle informazioni, indicate in un modo
ampiamente riconosciuto e utilizzato dalle imprese del settore;
d) non interferisca con l’uso lecito di tecnologia ampiamente riconosciuta e utilizzata
nel settore per ottenere dati sull’impiego delle informazioni;
e) agisca prontamente per rimuovere le informazioni che ha memorizzato, o per
disabilitarne l’accesso, non appena venga effettivamente a conoscenza del fatto che
le informazioni sono state rimosse dal luogo dove si trovavano inizialmente sulla
rete o che l’accesso alle informazioni è stato disabilitato oppure che un organo
giurisdizionale o un'autorità amministrativa ne abbia disposto la rimozione o la
disabilitazione.
Anche in questo caso, l’autorità giudiziaria o quella amministrativa avente funzioni
di vigilanza può esigere, anche in via d’urgenza, che il prestatore, nell’esercizio delle
attività di cui al comma 1 dell’art. 15, appena illustrato, impedisca o ponga fine alle
violazioni commesse (art. 15, comma 2).
Con riguardo alla composizione delle controversie nel commercio elettronico, l’art.
19 del provvedimento in parola stabilisce innanzitutto che, in caso di lite, al
prestatore e al destinatario del servizio della società dell’informazione è riconosciuta
la possibilità di adire anche organi di composizione extragiudiziale, operanti anche
per via telematica.
32
La maggior parte dei siti di e-commerce odierni utilizzano livelli di crittografia elevati
quali, ad esempio l'abbinamento al normale HTTP ad un nuovo protocollo: l'HTTPS.
Questi garantisce l'invio delle informazioni personali sottoforma di pacchetti criptati.
In questo modo, la trasmissione delle informazioni avviene in maniera sicura,
prevenendo intrusioni, manomissioni e falsificazioni dei messaggi da parte di terzi. Il
protocollo HTTPS garantisce quindi tanto la trasmissione confidenziale dei dati,
quanto la loro integrità.
Altro protocollo denominato SET nasce dalla collaborazione di Visa e MasterCard
allo scopo di rendere più sicure le operazioni di pagamento online, garantendo una
maggiore segretezza e autenticità dei dati.
La grande novità del protocollo SET consiste nel sistema di autenticazione del
venditore e del compratore: i "contraenti" hanno, cioè, la possibilità di identificarsi
con certezza prima che qualsiasi transazione abbia inizio. Questo avviene attraverso
l'utilizzo di certificati digitali, che vengono rilasciati alle due parti dal proprio istituto
bancario.
In questo modo, l'acquirente può verificare l'identità del venditore, acquisendo così
una maggiore garanzia circa i beni o i servizi che riceverà e il venditore può verificare
a sua volta l'identità del compratore, acquisendo maggiori garanzie circa il
pagamento.
L’E-PROCUREMENT NELLA P.A.
(DPR 101/2002 e D.Lgs. 163/2006)
L'E-procurement (Electronic Procurement) o "approvvigionamento elettronico",
indica quell’insieme di tecnologie, procedure, operazioni e modalità organizzative,
che consentono l’acquisizione di beni e servizi on-line, tra aziende, tra esse e privati
o tra aziende e istituzioni pubbliche grazie alle possibilità offerte dallo sviluppo della
rete Internet e del commercio elettronico
Tipicamente, le piattaforme di e-procurement permettono a utenti identificati e
qualificati la ricerca di venditori di beni e servizi così come di compratori. Il sito può
essere gestito come asta concorrenziale per uno stesso bene o con un approccio a
prezzi fissi. L'identità dei fornitori e compratori è certificata dall'utilizzo di strumenti
di firma digitale, cioè di una firma elettronica qualificata.
Nel caso in cui gli appalti telematici siano utilizzati per gestire ed aggiudicare gare
pubbliche di appalto si parla di public e-procurement, il quale in Italia risponde alla
normativa in materia di pubblici appalti.
La normativa italiana prevede diversi strumenti di e-procurement pubblico, che
identificano sub procedure concorsuali modulate in virtù della tutela più o meno
accentuata del principio di evidenza pubblica:
aste elettroniche;
sistemi dinamici di acquisizione;
33
procedure di gara interamente gestite con sistemi telematici;
mercato elettronico.
In Italia Consip, società del Ministero dell'Economia. A livello regionale la legge
finanziaria del 2007 ha attivato le "Centrali d'Acquisto Territoriali" (CAT).
RIUSO DEL SOFTWARE NELLA P.A.
Per "riuso del software" si intende la possibilità per una Pubblica Amministrazione
Centrale (PAC) o Locale (PAL) di riutilizzare gratuitamente i programmi applicativi
realizzati esclusivamente da o per conto di un’altra PA, adattandoli alle proprie
esigenze.
Il riuso o la condivisione del software esistente consente di razionalizzare le spese e
di riorientare i flussi economici verso settori non ancora coperti da
informatizzazione
VALIDITÀ GIURIDICA DEI DOCUMENTI INFORMATICI
Per documento si intende una rappresentazione di atti o fatti e dati su un supporto
sia esso cartaceo o informatico. La conservazione sostitutiva equipara, sotto certe
condizioni, i documenti cartacei con quelli elettronici e dovrebbe permettere ad
aziende e all'amministrazione pubblica di risparmiare sui costi di stampa, di
stoccaggio e di archiviazione. Il risparmio è particolarmente alto per la
documentazione che deve essere, a norma di legge, conservata per più anni.
Con l'introduzione delle recenti normative sulla conservazione sostitutiva, il
documento informatico acquista valore probatorio ai fini fiscali e legali. Infatti, con
l'introduzione del Decreto del 23 gennaio 2004 del MEF e con la Deliberazione del
Centro Nazionale per l'Informatica nella Pubblica Amministrazione (CNIPA) nº 11 del
19 febbraio 2004, oggi è possibile archiviare e conservare su supporti ottici i
documenti cartacei e, utilizzando la firma elettronica qualificata e la marcatura
temporale, si può anche decidere di eliminarli.
Con il termine documento digitale ci si riferisce alla rappresentazione, attraverso
un'elaborazione elettronica, di un qualsiasi oggetto: testo, immagine o filmato. Un
documento digitale contiene informazione codificata con un linguaggio
convenzionale in bit, memorizzata in modo permanente su un determinato tipo di
supporto fisico (floppy, CD, hard disk).
L’E-GOVERNMENT
E-government: espressione di innovazione e tecnologia che segna una nuova
frontiere del “governo” delle PA nella società dell’informazione.
Utilizzo delle moderne tecnologie dell’informazione e della comunicazione nel
processo di ammodernamento dell’amministrazione nazionale.
Comprendono TRE principali categorie di azioni:
Informatizzazioni: dirette a migliorare efficienza operativa interna delle singole
amministrazioni
34
Informatizzazione per l’erogazione di servizi a cittadini ed imprese: implica una
integrazione tra i servizi di varie amministrazioni Dirette a consentire accesso
telematico degli utilizzatori finali ai servizi della PA e alle sue informazioni
Il tema dell’e-government ha portato ad una ridefinizione della regole di
organizzazione del settore pubblico nell’ottica di strategie di innovazione per un
sempre miglioramento dei procedimenti interni e di qualità dei servizi erogati.
Questo disegno di innovazione passa dall’abbandono del modello di sistema
informativo pubblico centralizzato per realizzare architetture basate sulla
condivisione delle informazioni e sulla cooperazione fra sistemi pubblici e privati
arrivando a sistemi che consentano a privati e imprese di entrare in contatto con le
amministrazioni da un punto qualsiasi della rete PA e accedere ai servizi dai propri
terminali.
Dal punto di vista normativo le innovazioni hanno inizio già negli anni 90 e
precisamente:
L. 241/90 all’articolo 22 definisce: è documento amministrativo ogni
rappresentazione grafica, fotocinematografica, elettromagnetica o di qualunque
altra specie del contenuto di atti anche interni formati dalle PA o comunque
utilizzati ai fini dell’attività amministrative. (contiene una prima definizione di
documento informatico)
D.lgs 39/93: disciplina i sistemi informativi delle PA ed ha istituito l’AIPA (autorità
Informativa Pubblica Amministrazione) oggi CNIPA (Centro Nazionale Informatica
Pubblica Amministrazione) avente compiti di documentazione, monitoraggio,
coordinamento e verifica dei risultati conseguenti l’utilizzo di tecnologie
informatiche.
L. 547/93: introduzione nel codice penale (art. 491-bis) reato di falsificazione del
documento informatico;
L. 537/93: disciplina la conservazione degli atti amministrativi su supporto ottico.
L. 59/97 (legge BASSANINI) all’articolo 15 dispone: gli atti e documenti formati dalla
PA e dai privati con strumenti informatici o telematici, i contratti stipulati nelle
medesime forme nonché la loro archiviazione, trasmissione con strumenti
informatici sono validi e rilevanti a tutti gli effetti di legge. I criteri e modalità di
applicazione del presente sono stabiliti dalla PA e per i privati con specifici
regolamenti.
DPR 513/97: recante criteri e modalità di formazione archiviazione e trasmissione di
documenti con strumenti informatici e telematici - derivante dal lavoro della
commissione AIPA presieduta dal Prof. Donato LIMONE
Con queste disposizioni l’Italia è stata la prima nazione a dotarsi di una disciplina
generale e organica sul documento informatico e la firma digitale favorendo un
passaggio diretto ed efficace verso una reale trasformazione della società tradizione
in una società delle tecnologie e dell’informazione.
35
ITER LEGISLATIVO DEL CODICE DELL’AMMINISTRAZIONE DIGITALE
Con il decreto legislativo n. 39 del 12/02/1993 sono state dettate le norme in
materia di sistemi informativi automatizzati della Pubblica Amministrazione. La
fonte legislativa del decreto 39/93 è la legge delega 23 ottobre 1992, n. 421 (articolo
2 c. 1).
In attuazione della legge 421/92, il decreto legislativo 39/93 disciplina la
progettazione, lo sviluppo e la gestione dei sistemi informativi automatizzati delle
amministrazioni dello Stato e degli Enti pubblici non economici nazionali. Le
disposizioni riguardano anche altri Enti pubblici secondo le modalità definite dal
decreto all’articolo 1 comma 4 e all’articolo 7 comma 2 al fine di integrare e di
interconnettere i sistemi informativi di tutte le Pubbliche amministrazioni (Stato,
Regioni, Enti locali, Concessionari di pubblici servizi).
L’articolo 3 costituisce l’avvio di un processo di automazione completa dei processi
e quindi la eliminazione degli archivi cartacei. In questo articolo si introduce anche
il principio della sostituibilità della firma autografa con quella della indicazione a
stampa sul documento prodotto dal sistema automatizzato del nominativo del
soggetto responsabile. Questa norma è ricompresa nella legge 59/97 all’articolo 15,
comma 2, (fonte normativa primaria in quanto ha introdotto il principio della
validità e della rilevazione giuridica dei documenti informatici).
Con l’articolo 15, comma 2, della legge 15 marzo 1997, n. 59 inizia la storia italiana
del documento informatico e della firma digitale, “Gli atti, i dati, i documenti
formati dalla Pubblica Amministrazione e dai privati con strumenti informatici o
telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione
e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di
legge”. In base a tale norma, un documento siglato con firma digitale ha lo stesso
valore del suo omologo cartaceo. Le implicazioni sono notevoli anche per il settore
privato: dalla validità dei contratti on-line alla possibilità di emettere fatture
commerciali o ordini di acquisto.
All’inizio del 2000 viene pubblicata nella Gazzetta Ufficiale comunitaria la direttiva
1999/93/CE relativa ad un quadro comunitario per le firme elettroniche. Il
recepimento delle disposizioni europee avviene con il Dlgs 23 gennaio 2002, n. 10,
poi assorbito con modifiche dal Codice dell’Amministrazione digitale (Dlgs 7 marzo
2005, n. 82) che stabilisce le nuove regole per il documento informatico e la firma
elettronica. Quest’ultima si consolida nell’ordinamento nelle forme di firma
elettronica “leggera” e firma elettronica “qualificata”, categoria nella quale rientra la
firma digitale la cui apposizione al documento informatico definisce giuridicamente
quest’ultimo come pienamente equivalente dal punto di vista giuridico al
documento cartaceo con sottoscrizione autografa, cioè alla scrittura privata. Il
percorso attuale si ricongiunge con quello iniziato nel DPR 513 del 97. L’articolo 2 di
questo decreto statuisce che “il documento informatico da chiunque formato,
36
l’archiviazione su supporto informatico e la trasmissione con strumenti informatici,
sono validi e rilevanti a tutti gli effetti di legge. L’articolo 4 stabilisce che il
documento informatico soddisfa il requisito della forma scritta. L’articolo 5, al
comma 1, afferma che il documento informatico ha efficacia di scrittura privata ai
sensi dell’articolo 2702 del codice civile, e al comma 2 che ha l’efficacia probatoria
prevista dall’articolo 2712 e soddisfa l’obbligo previsto dagli articoli 2214 e seguenti
“e da ogni altra analoga disposizione legislativa o regolamentare”. L’articolo 6
completa ed estende la validità e la rilevanza dei documenti informatici anche alle
copie e stabilisce che la copia informatica di un documento cartaceo può essere
conservata ed esibita invece dell’originale, purché soddisfi le prescrizioni tecniche.
Queste disposizioni costituiscono il punto di forza del documento informatico ma
implicitamente ne indicano i limiti. Infatti il documento informatico:
- fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni di chi
l’ha sottoscritto, se colui contro il quale il documento informatico è prodotto ne
riconosce la sottoscrizione, ovvero se questa è legalmente considerata come
riconosciuta, come si evince da un semplice adattamento dell’articolo 2702 del
codice civile;
- ha l’efficacia probatoria delle riproduzioni e registrazioni meccaniche (e
fotografiche e cinematografiche…) previste dall’articolo 2712 del codice civile, se
colui contro il quale sono state prodotte non ne disconosce la conformità ai fatti o
alle cose;
- “fa fede” come le copie di atti pubblici spedite nelle forme prescritte da depositari
pubblici autorizzati e in tutte le altre ipotesi previste dagli articoli 2714 e seguenti.
Si deve notare che tutte queste disposizioni si riferiscono al valore probatorio del
documento, cioè a tutti i casi in cui la forma scritta è richiesta ad probationem.
Invece il regolamento non dice nulla dei casi in cui la scrittura è necessaria ad
substantiam, per la costituzione di un diritto o per la produzione di determinati
effetti legali. L’esempio più immediato è quello della cambiale, la quale allo stato
attuale della normativa non può esistere come documento informatico perché la
sottoscrizione da parte del debitore non è il solo elemento necessario per la
costituzione del credito in capo al soggetto che la riceve; occorre una particolare
forma che non può essere soddisfatta dalla rappresentazione informatica. Il
richiamo all’articolo 2712 cc. equipara il documento informatico alle riproduzioni
meccaniche, che sono cosa ben diversa dalla scrittura privata di cui all’articolo 2702:
quest’ultima ha come requisito essenziale la sottoscrizione, che costituisce anche
l’oggetto dell’eventuale disconoscimento, mentre delle riproduzioni meccaniche
l’oggetto del disconoscimento è la conformità ai fatti o alle cose. Il documento
informatico vale dunque sia come scrittura privata, sia come riproduzione
meccanica.
37
Con il recepimento della direttiva 1999/93/CE e l’emanazione del Dlgs n. 10/02 e del
DPR 7 aprile 2003 n. 137, il quadro normativo di riferimento ha subìto una profonda
trasformazione; in particolare l’articolo 6 del decreto di recepimento ha modificato
l’articolo 10 del DPR n. 445/00, stabilendo che il documento informatico (da
intendersi, ai sensi del Testo Unico 2000, come la rappresentazione informatica di
atti, fatti o dati giuridicamente rilevanti e, quindi, non recante alcuna sottoscrizione
elettronica) sottoscritto con firma digitale soddisfa il requisito legale della forma
scritta e ha efficacia probatoria ai sensi dell’articolo 2712 del codice civile. Sullo
stesso tono l’articolo 19 del DPR dispone che in tutti i documenti informatici la firma
autografa o la firma comunque prevista è sostituita dalla firma digitale.
Con l’entrata in vigore del Codice dell’Amministrazione digitale (gennaio 2006),
attraverso il Dlgs 7 marzo 2005 n. 82, il valore probatorio del documento
informatico ha subìto una ulteriore modifica: difatti, con il comma 2, dell’articolo 21,
come modificato dal Dlgs 4 aprile 2006 n. 159, è stato istituito che “ Il documento
informatico sottoscritto con firma digitale o con altro tipo di firma elettronica
qualificata, ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del
dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova
contraria”.
Con il D lgs 42/2005 nasce il SISTEMA PUBBLICO DI CONNETTIVITA’(SPC)
NUOVO CODICE DELL'AMMINISTRAZIONE DIGITALE (D.LGS N. 235/2010)
Nel 2005 è stato emanato con Decreto legislativo del 7 marzo 2005, n. 82, Il Codice
dell'Amministrazione Digitale (CAD). Esso è un Codice, ovvero un corpo organico di
disposizioni, che presiede all'uso dell'informatica come strumento privilegiato nei
rapporti tra la pubblica amministrazione e i cittadini italiani.
Il Codice è stato oggetto di una serie di correttivi e nel 2010 è entrato in vigore il
nuovo CAD, il Codice dell'Amministrazione Digitale (Decreto legislativo n. 235/2010)
Il nuovo Codice dell'Amministrazione Digitale si compone oggi, dopo l'entrata in
vigore del d.lgs n. 235/2010 del 30 dicembre 2010 di 102 articoli, suddivisi in 9 capi
intitolati rispettivamente:
"Principi generali",
"Documento informatico e firme elettroniche; pagamenti, libri e scritture",
"Formazione, gestione e conservazione dei documenti informatici",
"Trasmissione informatica dei documenti",
"Dati delle pubbliche amministrazioni e servizi in rete",
"Sviluppo, acquisizione e riuso di sistemi informatici nelle pubbliche
amministrazioni",
"Regole tecniche",
38
"Sistema Pubblico di Connettività e rete internazionale della pubblica
amministrazione",
"Disposizioni transitorie finali ed abrogazioni".
Si tratta in parte di disposizioni già presenti nella normativa previgente, talvolta
riportate alla lettera, talvolta riprese con sostanziali modifiche, in parte di norme
emanate ex novo in questa sede. Rientrano nella prima categoria, per esempio, le
norme sulla firma digitale e sui certificatori (trasposte dal Testo unico sulla
documentazione amministrativa n. 445 del 2000, ove sono state abrogate).
Validità dei documenti indipendente dal supporto (artt. 20-23 quater)
Il nuovo CAD introduce un sistema di contrassegno generato elettronicamente e
stampato direttamente dal cittadino dal proprio computer per sancire la conformità
dei documenti cartacei a quelli digitali.
Validità dei documenti informatici (art. 22, 23, 23-bis, 23-ter.)
Il nuovo CAD fornisce indicazioni sulla validità delle copie informatiche di documenti
con riferimento preciso circa le diverse possibilità (copia digitale del documento
cartaceo, duplicazione digitale, ecc.).
Conservazione digitale dei documenti (artt. 43-44 bis)
E' prevista la gestione della conservazione dei documenti e del relativo processo da
parte di un Responsabile della conservazione che si può avvalere di soggetti pubblici
o privati che offrono idonee garanzie. Ogni responsabile della conservazione dei
documenti negli uffici pubblici può certificare il processo di digitalizzazione e di
conservazione servendosi (se vuole) di Conservatori accreditati. La norma introduce
la figura dei Conservatori accreditati, soggetti che ottengono da DigitPA il
riconoscimento del possesso dei requisiti di sicurezza e affidabilità per effettuare il
processo e la conservazione dei documenti informatici.
Posta elettronica certificata (artt. 6 e 65)
La PEC diventa il mezzo più veloce, sicuro e valido per comunicare con le PA. I
cittadini possono utilizzare la PEC anche come strumento di identificazione, evitando
l'uso della firma digitale. La stessa validità è estesa alla trasmissioni effettuate
tramite PEC che rispettano i requisiti tecnici. Vengono limitati i casi in cui è richiesta
la sottoscrizione mediante firma digitale e sono previsti strumenti di firma più
semplici, senza pregiudizio di sicurezza e attendibilità. Le istanze possono essere
trasmesse da tutte le caselle di posta elettronica certificata rilasciate previa
identificazione del titolare. Tramite PEC potranno essere effettuate anche le diffide
necessarie per avviare una class action.
Siti pubblici e trasparenza (art. 54)
Il nuovo CAD arricchisce il contenuto dei siti istituzionali delle amministrazioni,
prevedendo che sugli stessi siano pubblicati, in modo integrale, anche tutti i bandi di
concorso. La norma obbliga le Pubbliche Amministrazioni ad aggiornare i dati e le
notizie che per legge devono essere pubblicati sul proprio sito istituzionale. Anche
tale aspetto viene considerato ai fini della valutazione dei dirigenti.
Customer satisfaction dei cittadini su Internet (artt. 54 e 63)
39
Le Pubbliche Amministrazioni sono tenute ad adottare strumenti idonei alla
rilevazione immediata, continua e sicura del giudizio dei propri "clienti" sui servizi
online.
Moduli on line (art. 57)
Le Pubbliche Amministrazioni hanno l'obbligo di pubblicare online l'elenco dei
documenti richiesti per procedimento (moduli e formulari validi) e non possono
richiedere l'uso di moduli o formulari che non siano stati pubblicati sul web. La
mancata pubblicazione è rilevante ai fini della misurazione e valutazione della
performance individuale dei dirigenti responsabili.
Trasmissione delle informazioni via web (art. 58)
Le Pubbliche Amministrazioni non possono richiedere informazioni di cui già
dispongono. Per evitare che il cittadino debba fornire più volte gli stessi dati, le
amministrazioni titolari di banche dati predisporranno apposite convenzioni aperte
per assicurare l'accessibilità delle informazioni in proprio possesso da parte delle
altre amministrazioni.
Comunicazioni tra imprese e amministrazioni (art. 5 bis)
La presentazione di istanze, dichiarazioni, dati e lo scambio di informazioni e
documenti (anche a fini statistici) tra imprese e PA (e viceversa) avviene solo
utilizzando tecnologie ICT.
Accesso ai servizi in rete (artt. 64 e 65)
Per l'accesso ai servizi erogati in rete dalle Pubbliche Amministrazioni è possibile
utilizzare strumenti diversi dalla carta d'identità elettronica e dalla carta nazionale
dei servizi, previa individuazione del soggetto che ne richiede il servizio.
Firme (artt. 1, comma 1, lett. q-bis, e 28, comma 3-bis)
Si introduce il concetto di firma elettronica avanzata, con cui è possibile
sottoscrivere un documento informatico con piena validità legale. Si liberalizza il
mercato delle firme digitali, prevedendo che le informazioni relative al titolare e ai
limiti d'uso siano contenute in un separato certificato elettronico e rese disponibili
anche in rete.
Carta di identità elettronica e Carta nazionale dei servizi (art. 64)
Carte di identità elettronica e Carte nazionale dei servizi valgono ai fini
dell'identificazione elettronica.
Pagamenti elettronici (art. 5)
Il nuovo CAD introduce alcuni strumenti (carte di credito, di debito o prepagate e
ogni altro strumento di pagamento elettronico disponibile) per consentire alle
Pubbliche Amministrazioni di riscuotere i pagamenti. Inoltre, permette loro di
avvalersi di soggetti anche privati per la riscossione.
Protocollo informatico, fascicolo elettronico e tracciabilità (artt. 40-bis e 41)
E' previsto che ogni comunicazione inviata tramite PEC tra le Pubbliche
Amministrazioni e tra queste e i cittadini o le imprese sia protocollata in via
informatica. L'amministrazione titolare del procedimento raccoglierà gli atti, i
40
documenti e i dati del procedimento medesimo in un fascicolo elettronico, dotato di
un apposito identificativo.
Basi dati di interesse nazionale (art. 60)
Il nuovo CAD indica le basi dati di interesse nazionale: repertorio nazionale dei dati
territoriali, indice nazionale delle anagrafi, banca dati nazionale dei contratti
pubblici, casellario giudiziale, registro delle imprese, archivi automatizzati in materia
di immigrazione e di asilo.
Sicurezza digitale (art. 51)
Il nuovo CAD contiene disposizioni importanti sia sulla continuità operativa, sia sul
disaster recovery. Le Pubbliche Amministrazioni dovranno predisporre appositi piani
di emergenza idonei ad assicurare, in caso di eventi disastrosi, la continuità delle
operazioni indispensabili a fornire i servizi e il ritorno alla normale operatività.
Open data (artt. 52 e 68)
Il nuovo CAD mette in primo piano la responsabilità delle Pubbliche Amministrazioni
nell'aggiornare, divulgare e permettere la valorizzazione dei dati pubblici secondo
principi di open government. I dati pubblici saranno fruibili e riutilizzabili per la
promozione di progetti di elaborazione e diffusione dei dati anche attraverso finanza
di progetto.
LA POSTA ELETTRONICA CERTIFICATA
L’art. 6 del CAD viene integralmente riscritto dalla novella, al fine di allinearne il
contenuto alle modifiche che, di volta in volta, ne hanno ritoccato il testo fino quasi
a renderlo una rappresentazione stratificata delle volontà del legislatore succedutesi
nel tempo.
Viene ulteriormente rafforzato l'obbligo per le pubbliche amministrazioni di
utilizzare la posta elettronica certificata per tutte le comunicazioni in cui sia
necessaria una ricevuta di invio e una di consegna con i soggetti interessati che ne
fanno richiesta e che hanno preventivamente dichiarato il proprio indirizzo di posta
elettronica certificata.
La comunicazione alla PA del proprio indirizzo di posta elettronica certificata
comporta, infatti, due ordini di conseguenze:
1. in primo luogo, essa costituisce espressa accettazione del dichiarante
dell’invio degli atti e documenti che lo riguardano da parte
dell’amministrazione;
2. in secondo luogo, comporta un vincolo, solo per il soggetto, a ricevere tali atti
di cui è necessaria la conferma di avvenuta consegna e ricezione presso quella
casella di posta.
Anche le modifiche dell'art. 48 del CAD hanno lo scopo di allineare il CAD su vari
aspetti della posta elettronica certificata regolati successivamente al 2005 in altri
atti normativi e regolamentari.
41
L'unica vera novità è l'equiparazione dell'invio tramite PEC alla Notificazione per
mezzo della posta “salvo che la legge disponga diversamente” e non più nei soli
casi previsti dalla legge.
Infine, con la modifica dell'art. 65 del CAD si riconosce la Posta Elettronica Certificata
come valido sistema di presentazione telematica di istanze e dichiarazioni alla PA: le
istanze saranno valide, però, solo ove le credenziali di accesso alle PEC siano state
rilasciate previa identificazione del titolare e ciò sia attestato dal Gestore di PEC nel
corpo del messaggio o in un apposito allegato.
La precedente formulazione della lett. c-bis), del comma 1 dell'art. 65 del CAD,
invece, faceva riferimento alle sole istanze inviate tramite la posta elettronica
certificata rilasciati gratuitamente dalla PA ai cittadini ai sensi dell'art. 16 della Legge
2/2009 (la cosiddetta CEC).
LA FIRMA ELETTRONICA
Attualmente, quindi, esistono 4 tipi di firma elettronica così definite:
la “firma elettronica” è un insieme di dati associato ad un altro insieme di
dati, utilizzati come metodo di identificazione informatica (si va dalla
password alla firma biometrica). Le caratteristiche tecniche non sono definite,
né è definito il livello di sicurezza.
la “firma elettronica avanzata” è una firma elettronica con alcune
caratteristiche di sicurezza (essere connessa in maniera unica al firmatario;
essere idonea ad identificare il firmatario; essere creata con mezzi sui quali il
firmatario può conservare il proprio controllo esclusivo; essere collegata ai
dati cui si riferisce in modo da consentire l’identificazione di ogni successiva
modifica di detti dati. Può trattarsi, verificati i requisiti, dell’ OTP (One Time
Password), ad esempio contenuta nella chiavetta utilizzata da alcune banche.
Come sia associata la firma elettronica avanzata al firmatario, la definizione
non lo precisa.
la “firma elettronica qualificata” è la firma elettronica avanzata basata su un
certificato qualificato e realizzata mediante un dispositivo sicuro per la
creazione della firma. Nella definizione di firma elettronica qualificata si
precisa che l’associazione al firmatario avviene attraverso un certificato
qualificato.
Una firma elettronica qualificata è definita come "la firma elettronica
ottenuta attraverso una procedura informatica che garantisce la connessione
univoca al firmatario, creata con mezzi sui quali il firmatario può conservare
un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da
consentire di rilevare se i dati stessi siano stati successivamente modificati,
che sia basata su un certificato qualificato e realizzata mediante un dispositivo
sicuro per la creazione della firma": è quindi una forma di firma sicura, che
esaudisce le richieste della Direttiva Europea 1999/99/CE, alle quali sono stati
42
aggiunti i requisiti dell'utilizzo di un certificato qualificato e di un dispositivo
sicuro di firma.
la “firma digitale” è un particolare tipo di firma elettronica qualificata basata
su un sistema di crittografia a chiave pubblica. E’ la firma apposta con smart
card rilasciato dal certificatore qualificato. In questo caso si sceglie una
particolare tecnologia. Essa consente al titolare tramite la chiave privata e al
destinatario tramite la chiave pubblica, rispettivamente, di rendere
manifesta e di verificare la provenienza e l’integrità di un documento
informatico o di un insieme di documenti informatici.
Nell'ordinamento italiano, la firma digitale è un sistema di sottoscrizione di
documenti informatici, che garantisce autenticità e integrità del documento e
non ripudio della sottoscrizione effettuata dal titolare del certificato
qualificato.
la CHAVE PRIVATA è conosciuta solo dal titolare e l’algoritmo che la genera è
contenuto in una SMARTCARD;
la CHIAVE PUBBLICA è depositata nella banca dati del certificatore (soggetto
pubblico o privato) che presta servizi di certificazione di firme elettroniche o
che fornisce servizi connessi a queste ultime.
Affinché possa essere garantita la corrispondenza biunivoca fra chiave
pubblica e soggetto titolare cui appartiene, il certificatore deve rilasciare un
CERTIFICATO ELETTRONICO QUALIFICATO (attestato elettronico che collega i
dati ai titolari).
Un certificato per la firma elettronica può essere rilasciata da Certification
Authority senza formalità; è previsto invece un processo obbligatorio di
accreditamento da parte di una autorità pubblica preposta (per l'Italia è il
DigitPA -ex CNIPA-), per qualificare una Certification Authority ad emettere
certificati qualificati.
La firma digitale di un documento informatico si propone di soddisfare tre
esigenze:
che il destinatario possa verificare l'identità del mittente (autenticità);
che il mittente non possa disconoscere un documento da lui firmato
(non ripudio);
che il destinatario non possa inventarsi o modificare un documento
firmato da qualcun altro (integrità)
Fra le caratteristiche per svolgere l'attività di certificatore di firma elettronica
e/o di conservatore di documenti informatici vi è quella per cui occorre essere
una società con capitale sociale non inferiore a quello richiesto per svolgere
l'attività bancaria (2.000.000 €, come una S.p.A). I certificatori non sono quindi
soggetti singoli (come i notai), ma piuttosto grosse società (per esempio, un
certificatore è la società Postecom (Poste Italiane)).
43
PERTANTO LE NOVITÀ RISPETTO AL VECCHIO CAD SULLA FIRMA ELETTRONICA SI
RAVVISA NELL’ Articolo 5 - bis: la comunicazione tra imprese e amministrazioni
pubbliche deve avvenire esclusivamente con mezzi telematici
Con la firma elettronica avanzata conforme alla normativa comunitaria, è possibile
sottoscrivere un documento informatico con piena validità legale
La firma elettronica avanzata:
consente l’identificazione del firmatario
• garantisce la connessione univoca al firmatario
• è creata con mezzi sui quali il firmatario può conservare un controllo esclusivo
• garantisce l’integrità dei dati
Con essa rimangono le definizioni di chiave privata e chiave pubblica, nonché di
certificato qualificato.
L’EFFICACIA PROBATORIA CHE AVRANNO I DOCUMENTI CON LE QUATTRO FIRME
a. Il documento informatico con la firma elettronica sarà, come oggi, valutabile dal
giudice, caso per caso, sulla base delle caratteristiche di caratteristiche oggettive di
qualità, sicurezza, integrità e immodificabilità.
b. I documenti informatici con firma elettronica avanzata, firma elettronica
qualificata, firma digitale, avranno la medesima efficacia probatoria, quella prevista
dall’art. 2702 del codice civile per la scrittura privata. Come oggi, l’utilizzo del
dispositivo di firma si presumerà riconducibile al titolare, salvo che questi dia prova
contraria.
Gli atti con firma elettronica avanzata, firma elettronica qualificata, firma digitale
potranno integrare la forma scritta.
CARATTERISTICHE
CHIAVE SEMPLICE
FIRMA ELETTRONICA
SI
FIRMA ELETTRONICA QUALIFICATA
SI
FIRMA ELETTRONICA AVANZATA
NO
FIRMA DIGITALE
NO
CHIAVE ASIMETRICA
AUTORITA' DI
(PUBBLICA E PRIVATA) CERTIFICAZIONE
NO
NO
NO
SI
SI
NO
SI
SI
TIPO CHIAVE
FIRMA ELETTRONICA
SEMPLICE
FIRMA ELETTRONICA QUALIFICATA SEMPLICE
FIRMA ELETTRONICA AVANZATA
ASIMETRICA
FIRMA DIGITALE
ASIMETRICA
CERTIFICATO C/O C.A.
NO
SI
NO
SI
CHIAVE ASIMETRICA
PER SCRIVERE E' LA CHIAVE PRIVATA
PER LEGGERE E' LA CHIAVE PUBBLICA
44
COPIE E DUPLICATI E CONSERVAZIONE
L'attuale assetto normativo prevede che le copie informatiche di atti pubblici,
scritture private e documenti in genere, compresi atti e documenti amministrativi,
spedite o rilasciate dai depositari pubblici autorizzati e dai pubblici ufficiali, abbiano
la stessa efficacia degli originali analogici da cui sono tratte, purché ad esse sia
apposta o associata una firma digitale o altra firma elettronica qualificata da parte
di colui che li spedisce o li rilascia, richiamando espressamente gli artt. 2714 e 2715
del codice civile.
Le copie per immagine di documenti analogici (esempio .pdf o .jpg) non depositati
hanno, invece, la stessa efficacia degli originali da cui sono tratte solo se la loro
conformità all'originale è attestata da un notaio o altro pubblico ufficiale a ciò
autorizzato. In assenza di tale attestazione, tali copie per immagine avranno
comunque, così come accade per le copie analogiche, efficacia probatoria pari agli
originali da cui sono tratte, a meno che non vengano disconosciute.
Le copie per immagine formate nei modi appena richiamati, e comunque sempre nel
rispetto delle regole tecniche stabilite ai sensi dell'art. 71 del CAD, sono idonee
anche ad assolvere gli obblighi di conservazione previsti per legge. Per la distruzione
degli originali, però, nel caso di documenti unici, si dovrà comunque attendere
ancora un decreto che, sulla base di ragioni di ordine pubblicistico, individui
categorie di documenti per i quali sarà obbligatoria la conservazione dell'originale
analogico (art. 22 CAD).
Per quanto riguarda le copie analogiche di documenti informatici (esempio la
stampa del documento informatico), l'art. 23 riconosce loro la stessa efficacia
probatoria degli originali da cui sono tratte, a meno che la loro conformità non sia
espressamente disconosciuta. Al fine di evitare il rischio del disconoscimento in
giudizio, si potrà richiedere ad un pubblico ufficiale a ciò autorizzato un'attestazione
della loro conformità, in ogni loro componente all'originale da cui sono tratte.
Interessanti, poi, sono le novità in tema di documento amministrativo informatico
contenute nel nuovo art. 23-ter. Per le copie informatiche di tali documenti,
originariamente analogici, sarà necessaria un'attestazione di conformità rilasciata da
un funzionario a ciò autorizzato.
Per le copie analogiche di documenti informatici, invece, viene introdotto il Timbro
Digitale, ovvero un contrassegno generato elettronicamente e apposto in fase di
stampa che consente la verifica automatica della conformità del documento
analogico a quello informatico (GLIFO).
Infine, l'art. 23-quater conferma la modifica all'art. 2712 del Codice Civile, inserendo
nel novero delle riproduzioni meccaniche anche quelle informatiche.
Il nuovo comma 1-bis dell'art. 44 stabilisce, infatti, che il sistema di conservazione
deve essere gestito da un responsabile [della conservazione] che lavori d'intesa con
il responsabile del trattamento dei dati personali di cui all'art. 29 del D.Lgs.
45
196/2003 e, ove presente, con il responsabile del servizio per la tenuta del
protocollo informatico, della gestione dei flussi documentali e degli archivi.
IL PROTOCOLLO INFORMATICO
La gestione del flusso documentale rappresenta una grossa opportunità per il
cittadino ma specie per la Pubblica Amministrazione, perché in questo modo la
trasparenza e l'accessibilità diventano fattive.
Il legislatore definisce protocollo informatico come "l'insieme delle risorse di calcolo,
degli apparati, delle reti di comunicazione e delle procedure informatiche utilizzati
dalle amministrazioni per la gestione dei documenti", ovvero, tutte le risorse
tecnologiche necessarie alla realizzazione di un sistema automatico per la gestione
elettronica dei flussi documentali.
Ogni sistema di protocollo informatico, che si intende adottare o realizzare, deve
ottemperare a specifiche indicazioni, riportate nel Testo Unico (DPR 445/2000).
Le procedure dei flussi documentali e dei procedimenti amministrativi seguono un
iter che si può ricondurre a 2 fasi principali:
la presa in carico della corrispondenza in entrata (o la registrazione di quella
in uscita);
la gestione integrata dei fascicoli flussi documentali e procedimenti
amministrativi.
La protocollazione non è una funzione a sé stante e non è la segnatura sul foglio con
il numero progressivo, ma è l'inizio di un procedimento amministrativo: si
protocollano tutti i documenti che hanno un contenuto di procedimento e
pertanto deve trattarsi di una funzione diffusa. Non ha senso l'esistenza di uffici di
protocollo; si protocolla all'interno dell'unità organizzativa, magari affidando a una
persona l'incarico di protocollare - questo non è escluso - eliminando comunque i
tempi di attesa che si avevano con il passaggio del documento bollato dall'ufficio di
protocollo a quello di competenza.
Nella fase di registrazione di protocollo informatico su ogni documento vengono
memorizzate alcune operazioni – non modificabili:
1)
numero protocollo;
2)
data di registrazione;
3)
mittente;
4)
destinatario;
5)
oggetto del documento
L’iter automatizzato che compongono la gestione dei flussi documentali di articola si
4 livelli:
1)
gestione di base: ossia il nucleo minimo;
2)
gestione documentale: prevede la dematerializzazione dei documenti cartacei
per renderli disponibili a livello informatico;
46
3)
informatizzazione documentale tramite workflow: comporta una attività di
razionalizzazione dei procedimenti documentali dell’amministrazione ,
automatizzandoli;
4) Business Process Reengeneering: rappresenta la forma completa di
informatizzazione dei sistemi di gestione dei documenti e flussi amministrativi.
Nell’ambito delle attività finalizzate alla digitalizzazione delle PA il CNIPA ha istituito
il:
Centro di competenza per il progetto Protocollo Informatico e trasparenza
amministrativa
FUNZIONI
Affianca le amministrazioni nell’attuazione della normativa e predispone servizi e
strumenti in grado di risolvere le problematiche connesse al processo di
implementazione del protocollo informatico e della gestione documentale.
Predispone apposite cheklist che consentono alle amministrazioni di verificare
funzionalità del sistema di protocollo informatico in fase di collaudo, fa attività di
assistenza e supporto, formula linee guida per tutte le amministrazioni centrali e
locali.
Con cadenza annuale redige un rapporto sullo stato di attuazione dei progetti, lo
stato di adeguamento delle varie amministrazioni, difficoltà riscontrate con
identificazione ed analisi delle cause. Viene redatto ed inviato a ciascuna
amministrazione corredato con le osservazioni e le azioni consigliate.
Il codice dell’amministrazione digitale all’art. 41 dispone che le PA gestiscono i
procedimenti amministrativi utilizzando le tecnologie dell’informazione e della
comunicazione.
IL FASCICOLO INFORMATICO
Al momento dell’avvio del procedimento la PA può raccogliere in un fascicolo
informatico gli atti e i documenti ad esso relativi e informa gli interessati sulle
modalità per esercitare i diritti di cui all’art. 10 L. 241/90.
Il fascicolo informatico deve essere realizzato in maniera da essere direttamente
consultato ed alimentato da tutte le amministrazioni coinvolte nel procedimento (D.
Lgs 159/06)
Le regole per la sua costituzione sono conformi a principi di: corretta gestione
documentale, gestione conservazioni e trasmissione di documenti informatici,
regole per il protocollo informatico e sistema pubblico di connettività.
La normativa prevede che all’interno del fascicolo vi siano alcune informazioni ossia:
amministrazione titolare del procedimento (che cura costituzione e gestione
del fascicolo);
altre amministrazioni partecipanti;
responsabile del procedimento;
47
-
oggetto del procedimento;
elenco documenti contenuti
PRINCIPIO DI DISPONIBILITA’ DEI DATI E DIRITTO D’ACCESSO TELEMATICO
Il codice dell’amministrazione digitale ha fra i suoi principi fondamentali quelli di:
a)
disponibilità: possibilità di accedere ai dati senza restrizioni riconducibili a
esplicite norme di legge;
b)
fruibilità: la possibilità di utilizzare il dato anche trasferendolo nei sistemi
informativi utilizzati da altre amministrazione.
Ciascuna amministrazione deve quindi rendere disponibili i dati di cui è titolare in
maniera elettronica pur con alcune limitazioni (attività inerenti ordine e sicurezza
pubblica, difesa, sicurezza personale dati consultazioni elettorali).
Sia la legge 241/90 che il DPR 445/00 trattano l’argomento del diritto di accesso da
parte di chiunque ne abbia interesse per la tutela di situazioni giuridiche rilevanti.
Possiamo trovare diversi tipi di accesso:
1)
accesso interno: avviene nel rispetto dei criteri studiati dal responsabile cui
spetta anche il compito di determinare il livello di autorizzazione all’accesso
(distinguiamo abilitazioni alla consultazione da abilitazioni all’inserimento e
modifica;
2)
accesso esterno: è regolato dall’art. 59 che precisa che per esercitalo il
sistema di gestione informatica dei documenti è ampiamente utilizzabile;
3)
accesso che avviene fra amministrazioni: regolato dall’art. 60 dpr 445/00
disciplina questo tipo di accesso fra amministrazioni attraverso il sistema
pubblico di connettività.
Sono anche previste funzioni minime e comuni di accesso per ottenere informazioni
relative ad es. a numero e data di protocollo.
Le PA devono assicurare il diritto di accesso anche in maniera telematica.
L’accesso telematico è definito come: la consultazione per via telematica di archivi e
documenti informatici della PA sia per tutela di situazioni giuridicamente rilevanti sia
per attività amministrative.
CONSISTE: nel visualizzare leggere, stampa dello stesso o possibilità si salvarlo su
altri supporti è anche per la legge le riproduzioni sono valide per gli usi contemplati
nella legge stessa..
In merito all’accesso telematico dall’esterno ogni amministrazione deve individuare:
a)
modalità identificazione del richiedente;
b)
verificare la legittimazione ad accedere;
c)
escludere la presenza di cause che limitino o escludano l’accesso stesso.
IL RIUSO DELLE INFORMAZIONI PUBBLICHE
Il principio della disponibilità delle informazioni oltre che dell’elemento della
fruibilità dei dati pubblici contenuti nei documenti amministrativi si compone di altri
2 elementi ossia:
48
1)
riutilizzabilità
2)
accessiblità
La nuova normativa sul riutilizzo dei dati pubblici poggia sulla dematerializzazione
della documentazione che ne agevola la diffusione, scambio e accesso. Scopo è
quindi quello di permettere a soggetti terzi che vogliano riutilizzare dati in possesso
della PA di poterlo fare anche a scopi commerciali.
Titolari dei dati che possono essere oggetto di riutilizzo possono essere solo
pubbliche amministrazioni o organismi di diritto pubblico – non possono esserlo
invece le imprese pubbliche per le ovvie pressioni che i poteri pubblici potrebbero
esercitare (di natura finanziaria ad es).
Va precisato che in capo ai titolari NON vi è l’obbligo di consentire il riutilizzo dei
documenti bensì è una scelta dell’amministrazione o dell’organismo interessato.
Strumento principale attraverso cui vengono resi disponibili i documenti per essere
riutilizzati è la licenza standard per il riuso che viene redatta dal titolare del dato (se
possibile in formato elettronico) e pubblicata su proprio sito istituzionale.
Lo schema della licenza contiene alcuni dati:
limiti e condizioni di utilizzo;
indicazione dei mezzi di impugnazione individuati dal titolare con proprio
provvedimento;
I soggetti che intendano riutilizzare dei dati presentano apposita richiesta (anche in
formato elettronico) al titolare che li rende eventualmente disponibili entro 30 gg
eventualmente prorogabile in caso di richieste particolarmente complesse.
Sono vietati gli accordi in esclusiva a vantaggio di alcuni operatori. Questo divieto
viene meno nei casi di necessità per l’erogazione di servizi di interesse generale (in
questo caso va però con cadenza triennale rivisto l’accordo esclusivo).
Occorre precisare che non tutti i documenti possono essere oggetto di riutilizzo,
sono esclusi da ciò ad esempio:
i documenti detenuti per finalità che esulano dai compiti istituzionali della pa
o dell’organismo di diritto pubblico;
documenti in possesso delle emittenti di servizio pubblico;
in possesso di istituti di ricerca e istruzione;
in possesso di enti culturali;
in possesso di organismi addetti ai servizi di sicurezza civile e militare;
i documenti su cui terzi detengono diritti di proprietà intellettuale o
industriale;
i documenti già sottratti al diritto di accesso ai sensi dell’art 24 – legge 241/90
I SITI INTERNET DELLE PUBBLICHE AMMINSTRAZIONI – ACCESSIBILITA’
La creazione dei siti web istituzionali è lo strumento più immediato a disposizione
delle amministrazioni per lo sviluppo dei servizi in rete – conoscibilità al pubblico,
interazione con cittadini e imprese-.
49
Le prime indicazioni sulla costruzione dei siti web per amministrazioni pubbliche
sono inserite nel d.lgs 29/93 ma solo nel 2001 si è giunti all’emanazione delle linee
guida per i siti delle PA.
L’allargamento del bacino di utenza, il grande sviluppo di internet ha fatto si che
venissero riviste anche le modalità progettuali dei siti web e che queste fossero
sempre più indirizzate alla comunicazione interattiva e ad evitare la possibilità che
alcune categorie di utenti possano restare esclusi dalla fruizione di servizi on line.
Le prime ricerche dell’AIPA (CNIPA adesso Digit-PA) sul tema dell’accessibilità alle
tecnologie sono state avviate nel 1999 e si sono orientate su due direzioni:
a)
definire le regole idonee ad assicurare l’interoperabilità dei sistemi informativi
delle PA;
b)
individuare interventi normativi e tecnologici idonei ad evitare discriminazioni
nella prestazione dei servizi pubblici attraverso la rete.
A tale scopo sono stati costituiti 2 comitati presso il Dip. F. Pubblica per lo studio sul
miglioramento dell’accessibilità dei siti web delle PA ed è stata adottata specifica
normativa.
Il nuovo contesto normativo oltre ad aver riconosciuto l’importanza dell’utilizzo
ottimale delle tecnologie di comunicazione e di internet come strumenti
comunicativi ha affermato l’importanza di una tecnologia organizzativa che
permetta di condividere informazione fra uffici e integrare pratiche nonché
collaborare con soggetti esterni a determinate amministrazioni . A tal fine si è giunti
alla conclusione che i siti web delle PA devono essere progettati in modo da essere:
a)
USABILI è le informazioni sono organizzate e strutturate in modo da
consentire la massima fruibilità: informazione chiara, omogenea e scritta con
linguaggio comune;
b)
ACCESSIBILI èi siti sono progettati in modo da garantire anche da parte dei
soggetti affetti da disabilità fisiche o sensoriali la consultazione: fruire dei sistemi
informatici senza discriminazioni.
Risulta fondamentale poi (nell’ultimo caso citato) il concetto di:
tecnologie assistive o di ausilio, soluzioni tecniche hardware e software che
permettono di superare o ridurre le condizioni di svantaggio dovute a specifiche
disabilità.
I principi di accessibilità vanno tenuti obbligatoriamente in considerazione dalla PA
in sede di valutazione delle offerte per l’acquisto di servizi informatici è la PA non
può stipulare contratti – pena la nullità – per la realizzazione o modifica di siti
Internet quando non è previsto il rispetto del requisito di accessibilità.
I VALUTATORI DELL’ACCESSIBILITA’
Al fine di effettuare le necessarie verifiche dei requisiti di accessibilità e fruibilità per
i siti internet è stato istituito c/o il CNIPA un elenco di soggetti valutatori che
svolgono attività di valutazione secondo due tipologie di verifica:
50
-
verifiche tecniche: sulla base di parametri tecnici e in caso di corrispondenza
corrisponde al livello minimo obbligatorio di accessibilità;
verifiche soggettive: si basa sulla base della qualità del servizio da effettuarsi
anche con l’ausilio del disabile e attiene al requisito della fruibilità (vi sono 3
livelli di qualità).
Possono svolgere attività di valutazione e essere quindi iscritti nell’elenco del CNIPA
ora Digit-PA:
a)
persone giuridiche interessate che ne facciano richiesta (purché presentino
garanzie di imparzialità, indipendenza, disponibilità di attrezzature tecniche e
conoscenze, figure professionali esperte in metodologie di verifica, figure idonee ad
interagire con disabili). Il venir meno dei requisiti comporta la cancellazione
dall’elenco (che avviene anche in caso di violazione degli obblighi assunti in sede di
iscrizione, nel non fornire – nei 24 mesi successivi la valutazione – attività di
implementazione sui siti per i quali sia stato incaricato di esprimere la valutazione).
I privati che ne facciano richiesta al Dipartimento per l’Innovazione e le Tecnologie a
seguito di valutazione con rilascio di attestato possono fregiarsi del logo di
accessibilità (per i disabili) per 12 mesi sul loro sito è in caso di modifiche sostanziali
allo stesso, scadenza del certificato deve essere richiesto aggiornamento della
valutazione .
Per le Pubbliche Amministrazioni le valutazioni di accessibilità sono effettuate
autonomamente e in caso positivo si effettua comunicazione al CNIPA.
Ogni PA deve nominare un responsabile dell’accessibilità informatica da individuarsi
fra i dirigenti in servizio la cui funzione (in assenza ) è svolta dal responsabile dei
sistemi informativi.
A seguito di verifiche del CNIPA se si riscontrano anomalie in merito all’accessibilità
dei siti viene richiesta all’amministrazione la predisposizione del relativo piano di
adeguamento con indicazione di attività e tempi di realizzazione.
I siti delle PA devono anche – nei loro parametri – considerare anche: il carattere
istituzionale (ossia deve essere riconoscibile come fonte ufficiale dell’istituzione), la
trasparenza amministrativa, la disponibilità dei servizi on line.
LE DISPOSIZIONI DEL CODICE DELL’AMMINISTRAZIONE DIGITALE PER I SITI
ISTITUZIONALI
Abbiamo visto i principi che devono ispirare la pubblicazione dei siti web della PA
(accessibilità, reperibilità, usabilità, chiarezza di linguaggio, qualità, omogeneità,
affidabilità), ma il codice amm.ne digitale indica anche i dati minimi che devono
essere presenti nei siti alla data mese di Gennaio 2008:
1)
organigramma;
2)
articolazione degli uffici;
3)
attribuzioni e organizzazione di ciascun ufficio di livello dirigenziale e non;
4)
settore dell’ordinamento giuridico in base all’attività svolta;
5)
elenco delle tipologie di procedimenti svolti da ciascun ufficio;
51
6)
termini di conclusione di ciascun procedimento e ogni altro termine
procedurale;
7)
nome del responsabile e unità responsabile di ogni singolo procedimento e
dell’adozione del provvedimento;
8)
scadenze e modalità di adempimento dei procedimenti;
9)
elenco completo delle caselle mail (indicato se certificata o meno);
10) elenco di tutti i bandi di gara e concorsi;
11) elenco dei servizi già resi in rete e quelli di futura attivazione con i tempi
previsti;
Le amministrazioni che già dispongono di siti hanno 2 anni di tempo dall’entrata in
vigore delle disposizioni normative per adeguare i siti.
I SERVIZI IN RETE E LE CARTE ELETTRONICHE
LA CARTA IDENTITA’ ELETTRONICA
Le pubbliche amministrazioni individuano le modalità di erogazione di servizi in rete
i base a criteri di valutazione di efficacia, economicità e utilità
La nozione di servizio pubblico in rete comprende: l’insieme delle attività giuridiche
delle pubbliche amministrazioni centrali in modalità telematica la cui erogazione è
per legge un diritto soggettivo del beneficiario.
Per accedere ai servizi erogati in rete dalla PA sono individuati degli strumenti
(dall’art. 54) che sono:
a)
LA CARTA IDENTITA’ ELETTRONICA
Strumento innovativo che certifica l’identità dei cittadini e ne permette
l’identificazione in rete.
Individuata nel 1998 come strumento si semplificazione dei rapporti tra enti e
cittadini.
Secondo quanto previsto essa contiene :
dati identificativi del titolare;
codice fiscale
Può anche contenere su richiesta dell’interessato (ove si tratti di dati sensibili) :
gruppo sanguigno;
opzioni di carattere sanitario previste per legge;
dati biometrici scuso il DNA;
tutti gli altri dati utili a semplificare l’azione amministrativa nel rispetto della
riservatezza;
procedure e informazioni che devono essere conosciute dalla PA e altri
soggetti occorrenti per la firma elettronica.
DIE : Documento Identità Elettronico: valido per i minori di anni 15; se munito di
foto del minore ha validità 2 anni e consente l’espatrio anche se il minore ha < di 10
anni. Il rinnovo è facoltativo e se non viene rinnovata mantiene validità solo per
attribuzione di codice fiscale.
52
Tecnicamente: trattasi di smartcard con banda ottica e microchip. I dati e la foto
sono prima impressi in modo visibile, impressi sulla banda ottica e memorizzati in
modo informatico sul microchip e banda ottica. La banda ottica assolva la funzione
di sicurezza; il microchip consente il riconoscimento in rete del soggetto (vi possono
essere memorizzati anche certificati di firma digitali).
In caso di smarrimento previa denuncia agli uffici competenti è possibile invalidarla,
La CIE è prodotta dalla Zecca ed è emessa dai Comuni che la possono rilasciare al
posto della normale dal 01/01/2006.
La gestione delle infrastrutture informatiche relative alla CIE è di competenza del
Ministero Interno che ha istituito il Centro nazionale per i Servizi Demografici e il
Sistema di Accesso e Interscambio Anagrafico (con funzioni di vigilanza anagrafica)
con contestuale obbligo a carico dei comuni di tenere costantemente informato dei
dati in loro possesso.
b)
LA CARTA NAZIONALE DEI SERVIZI
La Carta Nazionale dei Servizi è una smartcard esclusivamente per l’autentificazione
del cittadino in rete non avendo la funzione di documento di riconoscimento.
Può essere rilasciata da ogni pubblica amministrazione quale principale strumento
per l’accesso ai dati e servizi resi disponibili on line.
Può essere utilizzata per prendere conoscenza dei dati di dominio pubblico e tutte le
informazioni personali che lo riguardano nonché espletare pratiche burocratiche
senza recarsi personalmente nei vari uffici.
A seguito degli accordi fra CNIPA e e-Commitee dell’ABI è nato il Bankpass Web
grazie al quale la CNS può essere utilizzato come strumento sicuro per il pagamento
di tasse per via telematica.
Questo sistema di pagamento è facilmente integrabile con i più classici in quanto
non vincola l’utente con una singola banca dato che il sistema utilizzato e lo stesso
della maggior parte delle banche.
Le istanze e le dichiarazioni compilate e presentate per via telematica alle PA previa
identificazione informatica dell’utente tramite CIE, CNS nei limiti di quanto stabilito
dalle varie PA , firmate con firma digitale equivalgono a dichiarazioni sottoscritte con
firma autografa in presenza del dipendente addetto al procedimento.
IL MANDATO ELETTRONICO DI PAGAMENTO
Il DPR 367/94 ha costituito una prima attuazione pratica della teleamministrazione.
Leggiamo infatti all’art 2 che stabiliva: gli atti dai quali deriva un impegno a carico
del bilancio dello Stato e la relativa documentazione, elenchi, ……..i titoli di spesa,
……..possono essere sostituti a tutti gli effetti anche ai fini della resa dei conti
amministrativi o giudiziali con evidenze informatiche o da analoghi strumenti di
trasmissione compresi i supporti ottici.
L’AIPA ha definito regole standard e tecniche delle procedure affinché le evidenze
informatiche e in particolare il mandato informatico potessero validamente
impegnate ai fini probatori, amministrativi e contabili.
53
Il mandato di pagamento elettronico è divenuto operativo nel 1999 nel sistema
procedurale delle attività del Dipartimento della Ragioneria Generale dello Stato e la
sperimentazione ha portato alla creazione di sistemi come SIPA (Sistema
Informatizzato pagamenti Pubblica Amministrazione).
Dal punto di vista tecnologico il progetto si è avvalso della cooperazione tra le
strutture della RUPA e la RNI (rete nazionale interbancaria) per rendere possibile lo
scambio dei flussi informativi relativi ai mandati di pagamento .
Al fine di garantire agli enti pubblici coinvolti l’utilizzo di un sistema gestionale in
grado di interoperare con i servizi SIPA è stato creato il SICOGE (sistema di
contabilità gestionale finanziaria) grazie al quale ogni singolo atto in entrata o uscita
attraverso la ragioneria generale viene memorizzato su un archivio ottico non
riscrivibile.
Successivamente è stato introdotto l’obbligo per le PA di adottare una codifica
gestionale uniforme dei titoli di entrata e di spesa (Codice Unico Progetto spese di
investimento CUP). L’apposizione di detta codifica sui titoli crea il flusso informativo
collegato con il sistema informativo delle operazioni degli enti pubblici, l’archivio
della finanza pubblica gestito da Bankitalia cui vengono trasmessi giornalmente i
dati raccolti da tutto il territorio nazionale per tipologia di enti.
Dal 1/01/2006 il SIOPE è obbligatorio nelle regioni, province autonome, province e
comuni con > 20000 abitanti.
Dal 2007 sarà esteso anche ai comuni con < 20000 abitanti , alle comunità montane,
agli altri enti locali.
DA RUPA A SPC E RIPA
RUPA e RIPA (Legge 59/1997)
RUPA è Rete Unitaria Pubblica Amministrazione, ossia un sistema informativo unico
per la P.A., costituito da un interdominio centrale e tante porte di rete quanti sono i
domini delle amministrazioni connesse.
RIPA è Rete Internazionale Pubblica Amministrazione, ossia la rete per la
connessione con gli uffici italiani all'estero
La RUPA nasce con Direttiva 5 settembre 1995 del PCM "Principi e modalità per la
realizzazione della Rupa” , in risposta alla situazione esistente all’inizio degli anni
’90, che vedeva coesistere una pluralità di reti dati nate dalle differenti esigenze che
nel corso degli anni si erano presentate, dovuta alla mancanza di un organismo che
rendesse armonico il contesto delle telecomunicazioni nelle Pubbliche
Amministrazioni
Nel momento della sua nascita e nel successivo sviluppo, l'obiettivo fondamentale
della Rete Unitaria della Pubblica Amministrazione era di trasformare radicalmente
e in modo positivo i rapporti tra i cittadini e le imprese, da un lato, e la Pubblica
Amministrazione, dall’altro.
Ciò avveniva permettendo ad ogni amministrazione di accedere ai dati e alle
procedure residenti nei sistemi informativi delle altre amministrazioni attraverso i
54
servizi di interoperabilità e di cooperazione applicativa: così facendo si perseguiva
un’efficiente integrazione dei sistemi informativi, in modo da fornire da un qualsiasi
ed unico punto di accesso alla R.U.P.A. tutti i servizi necessari per gli utenti.
Attualmente la RUPA è stata sostituita da:
Il Sistema Pubblico di Connettività (SPC), un insieme di infrastrutture tecnologiche e
di regole tecniche che ha lo scopo di “federare” le infrastrutture ICT delle pubbliche
amministrazioni, per consentire la realizzazione di servizi integrati mediante regole e
servizi condivisi. Tale integrazione permette di risparmiare sui costi e sui tempi e di
realizzare i servizi finali centrati sull’utente, evitando richieste continue di dati da
parte delle amministrazioni, oltre che duplicazioni di informazioni e controlli.
Funzioni e caratteristiche dell' SPC sono stabilite dal Codice dell'Amministrazione
Digitale (CAD).
Possono fornire servizi SPC solo i soggetti con qualificazione SPC e che siano iscritti
negli elenchi tenuti presso il CNIPA, per la cui iscrizione necessitano requisiti, quali:
adeguate infrastrutture;
esperienza nel campo della sicurezza informatica;
un'adeguata rete di assistenza tecnica;
adeguati requisiti patrimoniali e finanziari.
IL TELELAVORO
La disciplina del telelavoro, per quanto riguarda il settore privato, è dettata
principalmente dall'accordo interconfederale del 9.06.2004, con cui i rappresentanti
dei datori di lavoro e i sindacati confederali hanno recepito in Italia l'accordo quadro
europeo sul telelavoro del 16.07.2002 (l'Italia è stato il quinto paese in ordine
temporale ad aver recepito tale accordo).
L'accordo quadro mira a fornire una disciplina generale dell'istituto, lasciando ai
contratti collettivi di settore l'introduzione di norme più dettagliate. l principio
fondamentale della disciplina è quello della volontarietà: il telelavoro è modalità di
svolgimento della prestazione lavorativa che può essere adottata solo previo
accordo, individuale o collettivo, tra le parti.
L'accordo quadro pone a carico del datore di lavoro i costi di fornitura, installazione,
manutenzione e riparazione degli strumenti informatici, nonché quelli necessari per
fornire i supporti tecnici necessari allo svolgimento del lavoro.
È inoltre previsto che il datore di lavoro debba adottare tutte le misure opportune
per prevenire l'isolamento del lavoratore e per tutelarne la salute e la riservatezza.
Al lavoratore è posto l'obbligo di aver cura degli strumenti di lavoro e di informare
tempestivamente l'azienda in caso di guasti o malfunzionamenti delle attrezzature. È
inoltre previsto un espresso divieto di raccogliere o diffondere materiale illegale via
internet.
Il prestatore è libero di gestire autonomamente il suo tempo di lavoro, fermo
restando che i carichi di lavoro assegnati devono essere equivalenti a quelli dei
prestatori presenti nei locali dell'azienda.
55
Si è precisato infine che ai telelavoratori competono i medesimi diritti dei lavoratori
"tradizionali", ad esempio per quanto attiene all'attività sindacale o all'accesso alla
formazione.
Nei casi di telelavoro, si applica lo Statuto dei Lavoratori, a prescindere dalla
tipologia contrattuale e dalle sede domestica della prestazione lavorativa. È perciò
illegittimo l'uso di webcam o software per controllare la produttività del lavoratore.
Per quanto riguarda, invece, la Pubblica Amministrazione il telelavoro è
espressamente regolato dal D.P.R. 70/99 (Riforma Bassanini) che, dapprima
distingue tra lavoro a distanza e telelavoro (tale distinzione è basata sul criterio della
prevalenza nell'utilizzo degli strumenti informatici), e, poi, detta nei successivi
articoli la disciplina specifica della materia.
E' un tipo di rapporto di lavoro che prevede l'utilizzo di strumenti informatici e
telematici per svolgere l'attività lavorativa in luogo diverso dai locali aziendali,
generalmente il proprio domicilio.
Ne esistono principalmente 3 tipi:
TELELAVORO DOMICILIARE, laddove il lavoratore opera su pc dal proprio
domicilio, o direttamente connesso alla rete aziendale, o vi si connette solo al
momento dell'invio e della ricezione del lavoro.
TELELAVORO DA CENTRO SATELLITE, laddove il lavoratore opera presso una
filiale creata appositamente dall'azienda, con tutti gli strumenti necessari, ed
è una sorta di distaccamento ove operano più telelavoratori.
TELELAVORO MOBILE, laddove il lavoratore non ha una sede fissa, ma ha un
pc portatile ed altri strumenti mobili ( è una forma maggiormente utilizzata
per lavoratori autonomi o a progetto).
Altre tipologie meno diffuse sono:
TELELAVORO DA TELECENTRI O TELECOTTAGES, ossia appositi centri creati
dall'azienda;
REMOTIZZAZIONE, ossia più lavoratori in luoghi diversi ma collegati fra loro;
SISTEMA DIFFUSO D'AZIENDA, ove si ha un'azienda virtuale, esistente solo in
rete.
Il telelavoro può essere applicato solo previo accordo fra le parti, ciò in base al
“principio di volontarietà”.
Al DATORE DI LAVORO spetta:
costi di fornitura, installazione, manutenzione e riparazione degli strumenti;
deve adottare le dovute precauzioni per prevenire l'isolamento del lavoratore
e per tutelare la salute dello stesso, nonché il diritto alla privacy e alla riservatezza.
Il LAVORATORE:
può gestirsi in maniera autonoma;
il suo carico di lavoro deve essere il più possibile equivalente a quelli che
lavorano in azienda;
deve avere cura degli strumenti di lavoro, nonché comunicare
tempestivamente eventuali malfunzionamenti o guasti;
56
-
ha gli stessi diritti del lavoratore tradizionale (sia sindacali che di formazione,
etc.).
VANTAGGI:
limitati costi di trasporto;
maggiore flessibilità ed autonomia;
può essere una seconda attività;
è un'ottima soluzione per le persone disabili;
riduzione dei costi legati alla sede di lavoro.
SVANTAGGI:
isolamento del lavoratore;
naturale eccedenza di ore di attività;
telelavoratori generalmente penalizzati per gli avanzamenti di carriera.
NORMATIVA:
Accordo quadro europeo 16/7/2000.
Accordo interconfederale 9/6/2004.
DPR 70/99 (Legge Bassanini) sul telelavoro nelle PP.AA.
Quest'ultimo definisce il telelavoro come “prestazione di lavoro eseguita dal
dipendente P.A. In qualsiasi luogo ritenuto idoneo, collocato al di fuori della sede di
lavoro, dove la prestazione sia tecnicamente possibile, con il supporto di tecnologie
che consentano il collegamento con la P.A.”.
L'Accordo Quadro Aran/Sindacati del 24/3/2000 prevede:
l'assegnazione a progetti di telelavoro non muta la fattispecie giuridica del
rapporto di lavoro;
il lavoratore deve dichiarare la sua disponibilità;
criteri di priorità nella scelta sono disabilità, esigenze di cura per figli minori di
otto anni o altri familiari e conviventi, maggior tempo di percorrenza dall'abitazione
alla sede di lavoro;
pari trattamento e opportunità di carriera;
assegnazione revocabile.
Nella realtà, se si esaminano i dati del Conto annuale dell’ultimo triennio (20082010), il Telelavoro nel pubblico impiego non ha avuto l’effetto previsto dalla
normativa.
Su un totale di circa 3.200.000 dipendenti a tempo indeterminato solo circa 2.400
unità usufruiscono del Telelavoro. In taluni comparti il dato risulta totalmente
assente.
2010
Comparto
SERVIZIO SANITARIO NAZIONALE
ENTI PUBBLICI NON ECONOMICI
ENTI DI RICERCA
2009
2008
2010
2009
2008
Presenti Presenti Presenti
al 31-12 al 31-12 al 31-12 Telelavoro Telelavoro Telelavoro
665.106 693.767 689.863
1019
30
36
51.471
54.787
56.235
225
181
205
17.741
18.186
17.421
108
111
87
57
REGIONI ED AUTONOMIE LOCALI
514.497 520.102 522.325
MINISTERI
174.142 179.241 183.331
SCUOLA
1.043.284 1.074.772 1.129.863
UNIVERSITA'
111.004 115.914 119.870
AUTORITA' INDIPENDENTI
1.316
1.490
1.428
AGENZIE FISCALI
53.674
54.406
55.239
PRESIDENZA CONSIGLIO MINISTRI
2.521
2.344
2.425
ENTI ART.70-COMMA 4 - D.165/01
4.117
4.266
4.200
ENTI ART.60 -COMMA 3- D.165/01
4.997
5.042
4.902
VIGILI DEL FUOCO
31.586
31.695
31.982
REGIONI A STATUTO SPECIALE
73.026
73.340
72.597
IST. FORM.NE ART.CO MUS.LE
510
8.796
9.008
TOTALE
3.279.210 3.377.012 3.436.741
697
0
0
146
0
9
0
2
1
0
154
0
2361
593
5
0
120
0
11
0
1
2
0
116
0
1169
523
4
0
109
0
12
0
1
3
0
111
0
1090
58
