Nuove Linee Guida AgID sul Procurement ICT: la sicurezza ICT passa per la formazione

Sicurezza nel Procurement ICT: quali regole?

Il tema della sicurezza costituisce un tassello imprescindibile per la corretta realizzazione dell’Amministrazione Digitale: la sicurezza informatica rappresenta un elemento necessario per garantire la disponibilità, l’integrità e la riservatezza delle informazioni del Sistema informativo della Pubblica amministrazione; più in generale, occorre realizzare un sistema amministrativo capace di ispirare fiducia nei cittadini, presupposto per la diffusione dei servizi digitali.

Per tali ragioni, l’AgID ha emanato lo scorso 20 maggio le Linee Guida sulla sicurezza nel Procurement ICT, che erano in consultazione dal 14 maggio al 13 giugno 2019, assieme alle “Linee guida per lo sviluppo e la definizione del modello nazionale di riferimento per i CERT regionali”.

Si tratta di un documento orientativo, destinato in misura prevalente a tutti coloro che all’interno delle pubbliche amministrazioni si occupano a vario titolo di acquisizione di strumenti informatici, come ad esempio dirigenti, funzionari, RUP delle gare pubbliche, responsabili della transizione al digitale, responsabili dell’organizzazione, pianificazione e sicurezza. Purtuttavia, le Linee Guida hanno un respiro molto ampio, offrendo altresì indicazioni utili per gli operatori di mercato che forniscono soluzioni Ict alle Pubbliche Amministrazioni.

Le Linee Guida propongono una serie di azioni per strutturare e formalizzare i futuri procedimenti di acquisizione: l’intento consiste nel minimizzare il rischio di trovarsi in situazioni inaspettate ed inattese, dovendo ricorrere a soluzioni estemporanee e, spesso, non adeguate ad eliminare il problema.

In particolare, il documento ha la finalità di:

  • illustrare in modo semplice la problematica della sicurezza nel procurement ICT;
  • formalizzare definizioni e concetti legati alla sicurezza nel procurement ICT, rendendoli coerenti con la norma e con il contesto della pubblica amministrazione;
  • presentare buone prassi, soluzioni già in uso, misure semplici da adottare (strumenti operativi, esempi pratici, riferimenti puntuali), per verificare il livello di sicurezza degli attuali processi di acquisizione ed eventualmente per migliorarne la qualità.

Dal punto di vista organizzativo, le Linee Guida richiamano la necessità di continua formazione e coordinamento tra le figure maggiormente coinvolte in tali processi, in particolare conseguendo competenze aggiornate di Procurement Management, Gestione Progetti, Asset Management, Change Management, Risk Management, Sicurezza e Protezione dei Dati.

Al contempo, l’AgID ritiene che la promozione della sicurezza costituisca un fattore essenziale: infatti, è essenziale che le amministrazioni mantengano al loro interno un adeguato livello di consapevolezza sulla tematica della sicurezza nel procurement ICT, anche attraverso l’inserimento di sessioni formative nella normale attività di formazione verso i dipendenti (ad esempio, nel calendario della formazione obbligatoria sulla sicurezza dei luoghi di lavoro e sulla privacy).

 

 

 

L’importanza della formazione e della consulenza specialistica come fattore di prevenzione

 

Le nuove minacce congeniate dai cyber- criminali espongono gli operatori economici e le Pubbliche amministrazioni a nuove criticità e preoccupazioni. In questi casi, l’assenza di formazione ed informazione su tali aspetti costituiscono i primi fattori di vulnerabilità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya presenta gli innovativi percorsi di formazione:

I percorsi formativi sono rivolti al personale di enti pubblici e privati, a tutti i datori di lavoro e liberi professionisti interessati alla materia.

 

Inoltre, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

 

 

 

/da

Codice dei contratti pubblici, in arrivo il Regolamento di esecuzione, attuazione e integrazione

Contratti pubblici e Regolamento di attuazione: cosa cambia?

Lo scorso 13 Maggio 2020 è stata trasmessa dalla Commissione di supporto giuridico-amministrativo istituita dal Ministero delle Infrastrutture e dei Trasporti (MIT) lo Schema di Regolamento di esecuzione, attuazione e integrazione del decreto legislativo 18 aprile 2016, n. 50, recante “Codice dei contratti pubblici”, ai sensi dell’art. 216, comma 27-octies del Codice.

La versione definitiva del Regolamento di esecuzione sarà successivamente sottoposta alla valutazione preventiva del Consiglio di Stato per il parere obbligatorio (oltre a Corte dei Conti, Commissioni parlamentari e Conferenza unificata Stato-Regioni).

I lavori per la realizzazione di tale Regolamento erano notevolmente auspicati, a seguito della riforma introdotta ormai un anno fa con il D.L. 32/2019 c.d. “Sblocca cantieri”. In particolare, si auspicava un raccordo, attraverso la predisposizione in un unico corpo normativo, delle molteplici disposizioni esplicative ed attuative del Codice dei contratti pubblici, consistenti in Linee guida Anac aventi carattere più o meno vincolante, e decreti ministeriali.

Lo schema affronta tutte le questioni più complesse del Codice, sia dal punto di vista operativo che concettuale. Esso è articolato in sette sezioni:

  • Disposizioni comuni;
  • Sistemi di affidamento e realizzazione di appalti pubblici e concessioni di lavori;
  • Sistemi di affidamento dei contratti concernenti servizi e forniture;
  • Concessioni e partenariato pubblico privato;
  • Appalti relativi a beni culturali;
  • Contratti relativi a lavori, servizi e forniture nei settori speciali;
  • Norme transitorie e finali.

 

Tra le disposizioni oggetto dello Schema di Regolamento risultano rilevanti quelle sugli affidamenti di appalti e concessioni di importo inferiore alle soglie comunitarie.

L’art. 36, comma 7, del Codice, modificato dal decreto sblocca-cantieri (DL 32/2019 conv. L.55/2019), prevede che “Con il regolamento di cui all’articolo 216, comma 27-octies, sono stabilite le modalità relative alle procedure di cui al presente articolo, alle indagini di mercato, nonché per la formazione e gestione degli elenchi degli operatori economici. Nel predetto regolamento sono anche indicate specifiche modalità di rotazione degli inviti e degli affidamenti e di attuazione delle verifiche sull’affidatario scelto senza svolgimento di procedura negoziata. Fino alla data di entrata in vigore del regolamento di cui all’articolo 216, comma 27-octies, si applica la disposizione transitoria ivi prevista”.

 

 

Come garantire la trasparenza e l’accesso civico? Hedya propone i percorsi innovativi “Il codice dei contratti pubblici” e “Tecniche di redazione degli atti amministrativi”

 

Le recenti to ridisegna i confini tra accesso civico e appalti pubblici, richiedendo nuove competenze per le PA nella gestione delle comunicazioni con tutti i soggetti richiedenti, per adeguarsi ai canoni di trasparenza e digitalizzazione in corso.

Per tali ragioni, Hedya propone gli innovativi percorsi di formazione:

 

I percorsi formativi sono rivolti al personale di enti pubblici e privati, a tutti i datori di lavoro e liberi professionisti interessati alla materia.

 

Inoltre, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

/da

Accessibilità siti web PA: adempimenti entro il 23 settembre e centralità del RTD

Accessibilità e Trasparenza per le PA: quali doveri per il Responsabile per la Transizione al digitale?

Il tema dell’accessibilità ICT nelle Pubbliche amministrazioni ha subito recenti innovazioni. In particolare, l’Italia ha recepito la Direttiva UE 2016/2102 con il Decreto legislativo n. 106 del 10 agosto 2018, che ha aggiornato e modificato la Legge 4/2004, per evitare discriminazioni agli utenti con disabilità.

Per tali ragioni, l’Agid ha emanato le Linee Guida sull’ accessibilità degli strumenti informatici, così come disposto dall’ art. 11 della L. 4/2004, al fine di definire correttamente:

  • i requisiti tecnici per l’accessibilità degli strumenti informatici, inclusi i siti web e le applicazioni mobili;
  • le metodologie tecniche per la verifica dell’accessibilità degli strumenti informatici;
  • il modello della dichiarazione di accessibilità;
  • la metodologia di monitoraggio e valutazione della conformità degli strumenti informatici alle prescrizioni in materia di accessibilità;
  • le circostanze in presenza delle quali si determina un onere sproporzionato.

 

Alla luce delle Linee Guida, le Pubbliche Amministrazioni saranno tenute a nuovi adempimenti. In particolare:

  • Entro il 23 Settembre 2020 tutti i siti web delle PA dovranno essere aggiornati in conformità al nuovo contesto normativo di riferimento;
  • Nella valutazione o acquisto di prodotti Ict, specialmente nel caso di portali internet e applicazioni mobili, deve ponderare e pretendere siano rispettati tutti i criteri e le norme vigenti in tema di accessibilità ed usabilità.

 

Tali adempimenti saranno oggetto di valutazione periodica da parte dell’Agid, che effettuerà il monitoraggio dei siti web e delle app su un campione rappresentativo, relazionando ogni 3 anni alla Commissione europea sui risultati del monitoraggio.

Le Linee guida per l’accessibilità dei prodotti ICT rende la figura del Responsabile per la transizione al digitale (RTD) essenziale e centrale. Infatti:

  • È necessaria la nomina del Responsabile per la Transizione Digitale e la pubblicazione della sua mail su IndicePA, al fine di poter ricevere le credenziali di accesso all’applicazione della dichiarazione;
  • Questi, sarà poi tenuto a pubblicare annualmente una dichiarazione di accessibilità per ogni sito web e applicazione mobile dell’amministrazione.

 

 

La necessità di formazione per garantire la Transizione al digitale: Hedya propone i percorsi formativi innovativi

Gli adempimenti richiesti dalle Linee Guida sull’accessibilità richiedono una maggiore comprensione dei soggetti che interagiscono nella creazione, gestione e mantenimento di siti web, contenuti e app mobili. Il tema cruciale per garantire la transizione al digitale è sicuramente quello legato alle competenze digitali nella PA, che costituisce il fattore abilitante per qualsiasi corretta e adeguata governance dell’innovazione. Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, occorre un’adeguata preparazione in materia di sicurezza, privacy e tutela dei lavoratori. Per tali ragioni, Hedya propone gli innovativi percorsi di formazione:

 

 

Il percorso è rivolto:

  • a tutti coloro che all’interno delle Pubbliche Amministrazioni sono coinvolti, a vario titolo, nei processi di trasformazione alla modalità digitale;
  • a tutti coloro che sono stati nominati e che svolgono attualmente il ruolo di Responsabile per la Transizione al Digitale.

 

Inoltre, Hedya supporta le Pubbliche Amministrazioni attraverso servizi di consulenza mirati, in materia di digitalizzazione, sui temi più critici connessi agli obblighi e agli adempimenti prescritti dalla legge.

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

/da

Data Breach Inps, per il Garante costituisce un rischio elevato per i diritti e le libertà dei soggetti coinvolti

Il Data Breach Inps: ancora criticità secondo il Garante?

Il caso di Data breach che ha colpito il portale dell’Inps nel mese di Aprile rappresenta una delle più recenti violazioni che hanno interessato le Pubbliche Amministrazioni. Come evidenziato nel precedente post, il Garante per la protezione dei dati personali ha dichiarato che l’assenza di adeguate misure di sicurezza per la tutela delle banche dati e dei siti delle amministrazioni pubbliche rappresenta una questione critica ricorrente.

Con note del 1° aprile e del 6 aprile 2020, l’Inps ha reso note le violazioni dei dati personali che si sono verificate in occasione dell’avvio delle procedure per la richiesta di erogazione di prestazioni a sostegno del reddito, notificando all’Autorità, ai sensi dell’art. 33 GDPR, due distinte violazioni dei dati personali. In particolare:

  • L’accesso ai dati personali di utenti del portale “www.inps.it” da parte di terzi non autorizzati, determinato da una non corretta configurazione delle funzionalità di caching del servizio CDN (Content Delivery Network) utilizzato;
  • L’accesso ai dati personali di utenti che hanno richiesto l’erogazione del bonus per l’acquisto di servizi di baby-sitting di cui all’art. 25 del d.l. 17 marzo 2020, n. 18, con visualizzazione, modifica, cancellazione o invio all’INPS di domande, contenenti dati personali riferiti a minori, anche con disabilità, da parte di terzi non autorizzati.

 

L’episodio ha fatto emergere di talune criticità nell’adozione delle più opportune misure di sicurezza, richieste dall’art. 32 GDPR. In ogni caso, l’Istituto ha ritenuto che la violazione non fosse tale da rappresentare un rischio elevato per i diritti e le libertà delle persone fisiche e, pertanto, difettassero i presupposti per la comunicazione della violazione dei dati personali agli interessati coinvolti.

Con provvedimento del 14 maggio 2020, il Garante per la protezione dei dati personali ha invece rilevato la sussistenza di rischi elevati per i diritti e le libertà degli interessati.

Di conseguenza, ha ravvisato la necessità e l’urgenza di ingiungere all’Inps, ai sensi dell’art. 58, par. 2, lett. e) GDPR. In particolare:

  • Di comunicare le violazioni dei dati personali agli interessati coinvolti, descrivendo la natura delle violazioni e le possibili conseguenze delle stesse;
  • Di fornire i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto appositamente istituito presso cui ottenere più informazioni;
  • Di indicare agli interessati le specifiche sulle misure che possono adottare per proteggersi da eventuali conseguenze negative delle violazioni.

 

Come assicurare la collaborazione tra le varie figure professionali? Hedya propone un percorso formativo innovativo sulle “Nuove Professioni Digitali”

 

Le posizioni del Garante evidenziano la necessità, per le Pubbliche Amministrazioni, di percorsi formativi:

  • integrati, che coinvolgano le varie figure professionali;
  • mirati ad assicurare la sicurezza del trattamento;
  • aggiornati su tutte le principali questioni connesse al GDPR.

 

Per tali ragioni, Hedya propone il percorso formativo innovativoLe Nuove Professioni Digitali”. Se il Codice dell’Amministrazione Digitale (D.Lgs. 82/2005 o semplicemente CAD) e la normativa collegata (Linee Guida AgID) ci presentano il Responsabile Transizione al Digitale e Responsabile della Conservazione Documentale, il Regolamento Europeo 2016/679 (GDPR) schiera in campo il Responsabile per la protezione dei dati personali e l’Amministratore di sistema.  Si tratta di nuove figure professionali, la cui formazione deve necessariamente essere di natura trasversale, che convivono della nuova P.A. Digitale e che ne guidano il cambiamento.

 

Hedya propone inoltre un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

  1. Formazione e consulenza in materia di Digitalizzazione

Hedya supporta le Pubbliche Amministrazioni anche attraverso servizi di consulenza mirati, in materia di digitalizzazione, sui temi più critici connessi agli obblighi e agli adempimenti prescritti dalla legge.

Per tali ragioni, Hedya propone il percorso formativo “IL RESPONSABILE PER LA TRANSIZIONE AL DIGITALEper il corretto svolgimento dei compiti del Responsabile per la Transizione al Digitale, considerato il driver della transizione al Digitale.

Il percorso è rivolto:

  • a tutti coloro che all’interno delle Pubbliche Amministrazioni sono coinvolti, a vario titolo, nei processi di trasformazione alla modalità digitale;
  • a tutti coloro che sono stati nominati e che svolgono attualmente il ruolo di Responsabile per la Transizione al Digitale.

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

 

 

/da

Piani Triennali per la Prevenzione della Corruzione 2020-2022: dall’Anac i chiarimenti sulla Piattaforma per l’acquisizione dei dati

Piani Triennali per la Prevenzione della Corruzione: quali adempimenti?

 

Con il comunicato del 22 aprile 2020, l’Anac ha fornito chiarimenti sull’uso della Piattaforma di acquisizione dei dati relativi ai Piani Triennali di Prevenzione della Corruzione e della Trasparenza (PTPCT).

Come è noto, con l’introduzione della Legge 190/2012 (e le successive modifiche) è stato introdotto il Piano triennale di prevenzione della corruzione (PTPC): si tratta di un documento di natura programmatica, che definisce la strategia di prevenzione della corruzione nell’ambito della singola amministrazione o ente pubblico.

L’articolo 10, comma 8, del d.lgs. 33/2013, inoltre, specifica che ogni amministrazione ha l’obbligo di pubblicare sul proprio sito istituzionale, nella sezione denominata «Amministrazione trasparente», il Piano Triennale di Prevenzione della Corruzione e della Trasparenza.

Per attuare efficacemente i programmi triennali di prevenzione – e per fornire, al contempo, un più capillare controllo – è stata istituita una Piattaforma di acquisizione dei Piani Triennali per la Prevenzione della Corruzione e della Trasparenza: l’accesso al servizio è riservato al soggetto nominato Responsabile della Prevenzione della Corruzione e della Trasparenza (RPCT), ovvero Responsabile della Prevenzione della Corruzione (RPC) e ai componenti la Struttura di Supporto denominati Assistenti-RPCT.

In particolare, l’Anac ha chiarito, con il Comunicato del 22 aprile:

  • Che l’acquisizione dei dati sui PTPCT tramite la piattaforma avviene esclusivamente mediante la compilazione di specifici moduli predisposti dall’Autorità e mai attraverso l’invio o il caricamento di documenti;
  • Che i dati sui PTPCT riferiti al triennio 2020 -2022 non vanno ancora inseriti sulla piattaforma.

 

L’Autorità, infine, si è riservata di fornire sul sito istituzionale specifiche informazioni in merito alle modalità di acquisizione di tali dati.

 

La necessità di percorsi formativi integrati in Anticorruzione e Privacy: Hedya propone il percorso innovativo “Anticorruzione, trasparenza e privacy: un rapporto inscindibile”

 

Le recenti posizioni dell’Anac confermano che per poter operare correttamente, una conoscenza integrata dei principi e delle novità introdotte dal GDPR, nonché in materia di anticorruzione e trasparenza.

Per tali ragioni, Hedya propone l’innovativo percorso formativoAnticorruzione, trasparenza e privacy: un rapporto inscindibile”. Il corso che si propone ha una durata di 8 ore, e consente ai partecipanti di ottenere un’adeguata formazione trasversale sul rapporto che sussiste tra i concetti di anticorruzione, trasparenza e privacy e tra le rispettive discipline di riferimento.

 

Hedya propone inoltre un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

  1. Formazione e consulenza in materia di Digitalizzazione

Hedya supporta le Pubbliche Amministrazioni anche attraverso servizi di consulenza mirati, in materia di digitalizzazione, sui temi più critici connessi agli obblighi e agli adempimenti prescritti dalla legge.

Per tali ragioni, Hedya propone il percorso formativo “IL RESPONSABILE PER LA TRANSIZIONE AL DIGITALEper il corretto svolgimento dei compiti del Responsabile per la Transizione al Digitale, considerato il driver della transizione al Digitale.

Il percorso è rivolto:

  • a tutti coloro che all’interno delle Pubbliche Amministrazioni sono coinvolti, a vario titolo, nei processi di trasformazione alla modalità digitale;
  • a tutti coloro che sono stati nominati e che svolgono attualmente il ruolo di Responsabile per la Transizione al Digitale.

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

/da

Consenso e Cookie wall, le nuove Linee Guida del Comitato europeo ne chiariscono il rapporto

Le Linee Guida su cookie e consenso: cosa cambia?

Con le nuove Linee Guida n. 5/2020, adottate lo scorso 4 maggio, il Comitato europeo per la protezione dei dati personali ha fornito ulteriori precisazioni sull’impiego dei Cookie. Come già illustrato in precedenti approfondimenti, i cookie sono informazioni immesse sul browser ogniqualvolta si compia un’operazione in rete. Dal punto di vista informativo, ogni cookie può contenere diversi dati, imponendo in tal caso il rispetto dei principi sulla protezione dati.

L’entrata in vigore del GDPR ha imposto dei limiti all’utilizzo dei cookie, per garantire la validità del consenso: come risulta dall’art. 7 comma 1 del GDPR e del Considerando 32, il consenso dovrà essere espresso mediante un atto positivo con cui l’interessato esprime la propria intenzione libera, specifica, informata ed inequivocabile di accettare il trattamento dei dati personali che lo riguardano.

L’aspetto più problematico, pertanto, riguarda le modalità di prestazione del consenso per l’installazione dei cookies.

Primi chiarimenti sul corretto impiego dei cookie sono stati forniti dalla Corte di giustizia. Con la sentenza emanata il 1 Ottobre 2019, la Corte ha dichiarato che il consenso che l’utente di un sito Internet deve prestare ai fini dell’installazione e della consultazione di cookie sulla sua apparecchiatura terminale non è validamente espresso mediante una casella di spunta preselezionata che l’utente deve deselezionare al fine di negare il proprio consenso.

Le Linee guida del Comitato europeo si soffermano su due ulteriori profili problematici, connessi alle operazioni di cookie wall e di scroll:

  • Nel caso di cookie wall, l’accesso ai servizi e alle funzionalità del sito viene subordinato al consenso di un utente che, se non prestato, impedisce la fruizione delle informazioni o dei servizi previsti nella pagina web. Sul punto, le Linee guida affermano che per l’interessato non si prospetta una scelta autentica; pertanto, il consenso dell’utente non può intendersi fornito liberamente se l’accesso ai servizi e alle funzionalità del sito risulta essere subordinato al cookie wall.
  • Nel caso di consenso carpito attraverso operazioni di scroll, similmente, non consisterebbe in una azione positiva inequivocabile, requisito imprescindibile richiesto dal GDPR. Per tali ragioni, la semplice prosecuzione dell’uso di un sito web non costituisce, secondo le Linee guida, un comportamento dal quale sia possibile ricavare una manifestazione di volontà dell’interessato a prestare il consenso a un trattamento proposto, conforme al GDPR.

 

La necessità di formazione in materia di GDPR e professioni digitali: Hedya propone i percorsi formativi innovativi

La recente posizione adottata dal Comitato europeo per la protezione dati dimostra che per poter operare correttamente sul web, occorre una buona conoscenza dei principi e delle novità introdotte dal GDPR.

Per tali ragioni, Hedya propone gli innovativi percorsi di formazione:

 

Inoltre, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

 

/da

Appalti pubblici, dall’Anac nuovo Vademecum per affidamenti rapidi

Appalti pubblici nell’emergenza Covid: cosa cambia?

L’emergenza sanitaria da Covid-19 ha comportato sospensioni e rallentamenti di molteplici procedimenti amministrativi. In particolare, la sospensione dei termini è stata disposta dall’articolo 103 del decreto legge n. 18 del 17 marzo 2020, così come modificato dall’articolo 37 del decreto-legge n. 23 dell’8/4/2020.

Il regime di sospensione ha destato notevoli perplessità in materia di appalti pubblici. Per tali ragioni, l’Anac è intervenuta in più occasioni, precisando che:

  • sono state diffuse erronee interpretazioni, da parte di alcune stazioni appaltanti, delle indicazioni fornite per lo svolgimento delle procedure di gara in concomitanza con l’emergenza sanitaria (delibera 312/2020);
  • l’Autorità non ha mai chiesto la sospensione di dette procedure.

 

Al contrario, proprio per evitare possibili ripercussioni negative sul comparto degli appalti pubblici, l’Autorità ha indirizzato al Governo e al Parlamento la segnalazione 4/2020, concernente l’applicazione dell’articolo 103, comma 1, del decreto-legge n. 18/2020. Con tale segnalazione, l’Autorità ha sollecitato gli organi istituzionali nazionali alla più celere individuazione di misure specifiche per la Fase 2, al fine di scongiurare che l’applicazione delle disposizioni, adottate in via generale per tutti i procedimenti amministrativi, possa comportare rilevanti criticità applicative al settore specifico degli appalti pubblici.

Al contempo, l’Autorità è intervenuta nell’ambito delle sue competenze per assicurare celerità alle procedure di affidamento in concomitanza con l’emergenza sanitaria in atto. A tal fine, ha realizzato un apposito Vademecum rivolto alle stazioni appaltanti, denominato “Vademecum Anac per affidamenti rapidi durante l’emergenza e nella “fase 2”. Procedure speditive già previste nel Codice, ma spesso sono poco note”.

L’obiettivo del Vademecum è di chiarire l’attuale quadro normativo a disposizione delle stazioni appaltanti. Il Documento, pertanto, fornisce alle amministrazioni una ricognizione delle norme attualmente in vigore, elencando tutti i casi in cui, in presenza dei presupposti di legge, è possibile procedere ad un’accelerazione o una semplificazione delle gare.

Il Vademecum dell’Anac mira dunque a dimostrare che i procedimenti accelerati in materia di appalti prescindano dall’attuale stato emergenziale.

 

 

Come garantire la trasparenza e l’accesso civico? Hedya propone i percorsi innovativi “Il codice dei contratti pubblici” e “Tecniche di redazione degli atti amministrativi”

 

Le recenti posizioni del Consiglio di stato ridisegna i confini tra accesso civico e appalti pubblici, richiedendo nuove competenze per le PA nella gestione delle comunicazioni con tutti i soggetti richiedenti, per adeguarsi ai canoni di trasparenza e digitalizzazione in corso.

Per tali ragioni, Hedya propone gli innovativi percorsi di formazione:

 

I percorsi formativi sono rivolti al personale di enti pubblici e privati, a tutti i datori di lavoro e liberi professionisti interessati alla materia.

 

Inoltre, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

/da

Smart working e formazione per la trasformazione al digitale: le nuove regole secondo il Ministro per la Pubblica Amministrazione

Smart working nella Fase 2: nuova regola per la PA

 

Con l’evolversi della situazione epidemiologica, sono state definite ulteriori misure per lo svolgimento delle attività lavorative nella fase 2 dell’emergenza Covid-19.

Con la Legge n. 27 del 24 aprile 2020, le Pubbliche amministrazioni sono invitate a facilitare la transizione al digitale delle attività amministrative: in particolare, dovranno individuare ogni misura utile per consentire la dematerializzazione dei procedimenti, così da permettere a tutti i dipendenti lo svolgimento della propria prestazione lavorativa.

Per garantire la continuità della prestazione lavorativa, il D.P.C.M. del 26 aprile 2020 ha definito il lavoro agile come modalità ordinaria di svolgimento della prestazione lavorativa nelle pubbliche amministrazioni fino alla cessazione dello stato di emergenza epidemiologica.

Per supportare la transizione al digitale, il Ministro per la pubblica amministrazione ha adottato la direttiva n. 3/2020, con cui vengono fornite indicazioni per lo smart working nel settore pubblico. La direttiva suggerisce, in particolare:

  • Di provvedere, mediante il personale in presenza, alla scansione e all’invio della documentazione al personale in modalità agile;
  • All’utilizzo di cloud, offerti gratuitamente anche in questa fase da provider privati, per l’archiviazione di documentazione.

 

Accanto alla predisposizione di tali misure tecnico – organizzative, il Ministro per la Pubblica amministrazione considera fondamentale il ricorso all’attività formativa come strumento di accompagnamento del proprio personale nel processo di trasformazione digitale dell’amministrazione e di diffusione della capacità di lavorare in modalità agile per il raggiungimento degli obiettivi assegnati.

Le indicazioni recentemente adottate si accompagnano alle precedenti direttive emanate nel contesto emergenziale. Tra queste, si ricorda la direttiva n. 1/2020 del Dipartimento della Funzione Pubblica, che ha previsto l’utilizzabilità dei propri dispositivi per svolgere la prestazione lavorativa, purchè siano garantiti adeguati livelli di sicurezza e protezione della rete secondo le esigenze e le modalità definite dalle singole pubbliche amministrazioni.

Purtuttavia, l’utilizzo di dispositivi personali e non forniti dall’azienda, come visto nel precedente post, tende a far trascurare l’adozione di opportune misure di sicurezza, e si sottovalutano i piccoli rischi normalmente connessi alla navigazione in rete e accettati con ingenuità.

Per supportare i dipendenti pubblici nell’utilizzo più sicuro di pc, tablet e smartphone personali, il CertPA di AgID ha enucleato undici Raccomandazioni per supportare le PA e i lavoratori Pubblici e sostenerli nel contrastare eventuali attacchi informatici con comportamenti responsabili, anche quando utilizzano dotazioni personali. Nello specifico, le Raccomandazioni sono state elaborate sulla base delle misure minime di sicurezza informatica per le pubbliche amministrazioni fissate dalla circolare  17 marzo 2017, n. 1/2017.

 

 

La necessità di formazione in materia di Smart working e Sicurezza: Hedya propone i percorsi formativi innovativi

Il tema cruciale per garantire la transizione al digitale è sicuramente quello legato alle competenze digitali nella PA, che costituisce il fattore abilitante per qualsiasi corretta e adeguata governance dell’innovazione. Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, occorre un’adeguata preparazione in materia di sicurezza, privacy e tutela dei lavoratori. Per tali ragioni, Hedya propone gli innovativi percorsi di formazione:

 

 

Il percorso è rivolto:

  • a tutti coloro che all’interno delle Pubbliche Amministrazioni sono coinvolti, a vario titolo, nei processi di trasformazione alla modalità digitale;
  • a tutti coloro che sono stati nominati e che svolgono attualmente il ruolo di Responsabile per la Transizione al Digitale.

 

Inoltre, Hedya supporta le Pubbliche Amministrazioni attraverso servizi di consulenza mirati, in materia di digitalizzazione, sui temi più critici connessi agli obblighi e agli adempimenti prescritti dalla legge.

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

/da

Allerta Covid-19, dopo l’ok del Garante istituita la piattaforma unica nazionale: prioritaria la protezione dati

Sistema di allerta Covid-19 nel D.L. 28/2020: la conformità al GDPR è essenziale

 

Il grave contesto emergenziale ha comportato l’incremento, nel corso dell’ultimo mese, di nuove iniziative e misure proposte per garantire il monitoraggio e la prevenzione dei contagi. Sulla scorta delle esperienze già sperimentate a livello europeo, anche nel nostro paese sono proliferate molteplici proposte per la realizzazione di App che assicurassero il monitoraggio dei contatti.

Si sono pertanto susseguite:

  • Iniziative su base regionale per il monitoraggio del contagio dei cittadini residenti nelle rispettive regioni;
  • Successivamente, si è manifestato l’intento, anche a livello nazionale, di procedere all’ideazione di App per il tracciamento dei contatti sull’intero territorio nazionale, dapprima secondo logiche centralizzate e, successivamente, ispirandosi a logiche decentralizzate.

 

Gli ultimi approdi sono confluiti nel Decreto Legge del 30 aprile 2020 n. 28, pubblicato nella Gazzetta Ufficiale n. 111 del 30 aprile 2020.

La Presidenza del Consiglio dei Ministri aveva già richiesto il parere del Garante per la protezione dei dati personali su una proposta normativa per il tracciamento dei contatti fra soggetti, attuata mediante apposita applicazione su dispositivi di telefonia mobile. A seguito del parere favorevole dell’Autorità Garante, attraverso la decretazione d’urgenza il governo ha disposto all’articolo 6 specifiche misure per l’introduzione del sistema di allerta Covid-19; il Decreto, inoltre, contiene ulteriori misure urgenti per la funzionalità dei sistemi di intercettazioni di conversazioni e comunicazioni, l’ordinamento penitenziario, nonché disposizioni integrative e di coordinamento in materia di giustizia civile, amministrativa e contabile.

In particolare, il D.L. 28/2020 ha istituito una piattaforma unica nazionale per la gestione del sistema di allerta dei soggetti che, a tal fine, hanno installato, su base volontaria, un’apposita applicazione sui  dispositivi  di  telefonia mobile.

L’introduzione della piattaforma unica non costituisce alcuna deroga alla tutela della protezione dati. Il Ministero per la Salute, in qualità di Titolare del trattamento, sarà tenuto ad osservare tutte le prescrizioni contenute nel GDPR e, come precisamente richiamato dall’articolo 6 del Decreto:

  • All’esito di una valutazione di impatto, effettuata ai sensi dell’art. 35 del GDPR e comunque costantemente aggiornata, adotta misure   tecniche   e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati, sentito il  Garante  per  la  protezione  dei   dati   personali   ai   sensi dell’articolo 36, paragrafo 5, del medesimo Regolamento (UE) 2016/679 e dell’articolo 2-quinquiesdecies del Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno  2003,  196;
  • Nell’assicurare altresì il rispetto degli articoli 13 e 14 del GDPR, dovranno essere fornite agli utenti, prima dell’attivazione dell’applicazione, informazioni chiare e trasparenti al fine di raggiungere  una  piena consapevolezza, in particolare, sulle finalità e sulle operazioni di trattamento, sulle tecniche di pseudonimizzazione  utilizzate  e  sui tempi di conservazione dei dati;
  • Assicurare per impostazione predefinita, conformemente all’articolo 25 GDPR, che i dati personali raccolti siano esclusivamente quelli necessari ad avvisare gli utenti dell’applicazione di rientrare tra i contatti stretti di altri utenti  accertati  positivi  al  COVID-19;
  • Che il trattamento effettuato per allertare i contatti sia basato sul trattamento di dati di prossimità dei dispositivi, resi  anonimi oppure, ove ciò non sia possibile, pseudonimizzati;
  • Che siano garantite su base   permanente   la riservatezza, l’integrità, la disponibilità e la resilienza dei  sistemi  e  dei servizi di trattamento nonché’ misure adeguate ad evitare il  rischio di reidentificazione degli interessati  cui  si  riferiscono  i  dati pseudonimizzati oggetto di trattamento;
  • Indicare e garantire tanto periodi di considerazione strettamente necessari, quanto l’esercizio dei diritti dell’interessato con modalità semplificate.

In conclusione, la funzionalità della piattaforma è strettamente collegata alla tutela della protezione dati. Pertanto, la protezione dati non costituisce soltanto una necessità, ma nell’attuale contesto emergenziale diventa una vera e propria priorità.

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

/da

Vulnerabilità Microsoft Teams: l’inadeguata conoscenza del GDPR espone al rischio cyber

Microsoft Teams nel mirino hacker: quanto è importante il GDPR?

Con l’introduzione generalizzata dello smart working, il ricorso a numerose piattaforme online, per implementare il lavoro da remoto, si è reso ormai sempre più frequente e necessario. Non sorprende, dunque, che la recente popolarità acquisita da molte piattaforme e software di video conferenza abbiano costituito un immediato e facile bersaglio da parte degli hackers.

Dopo il caso che ha riguardato la piattaforma Zoom – a causa della pubblicazione, sul Dark Web, di un database contente le credenziali di accesso di numerosi utenti – , anche la piattaforma Microsoft Teams è stata posta sotto attacco. Microsoft Teams è una piattaforma di comunicazione che include molteplici funzionalità di chat, videoconferenza, archiviazione di file e integrazione delle applicazioni, ed è una delle piattaforme più utilizzate per la didattica da remoto.

I ricercatori di CyberArk avevano individuato una vulnerabilità nascosta. In particolare, essi avevano rilevato che vulnerabilità poteva essere sfruttata creando un collegamento o un file GIF predisposti ad-hoc. Nello specifico, per realizzare l’attacco si sfruttava un token Web JSON (“authtoken”), nonché un secondo “token skype”, adoperati per consentire agli utenti Teams e Skype di poter ricevere file immagine durante le chat.

Sebbene la vulnerabilità sia stata subito individuata ed opportunamente corretta dagli operatori di Microsoft Teams, il caso dimostra l’importanza del rispetto del GDPR e della cybersecurity.

L’impiego di tali risorse richiede comunque, da parte del Titolare del trattamento, il rispetto dei principi e delle regole imposte dal GDPR, in particolare:

  • La sicurezza del trattamento, come previsto dall’art. 32 GDPR;
  • L’implementazione di misure che garantiscano la privacy by default e by design;
  • Il rispetto dei diritti dell’interessato;

 

Inoltre, ogniqualvolta tali piattaforme vengano utilizzate dai dipendenti pubblici o privati, un’adeguata conoscenza e formazione in materia di sicurezza informatica risulta essenziale: in effetti, il primo fattore di vulnerabilità dei sistemi – ivi compreso quello relativo alla data protection – è costituito dall’errore umano, causato da un’errata valutazione o da una scarsa percezione del problema e delle criticità conseguibili.

Tra questi, rientra anche il download di installer che, fraudolentemente, si spacciano per applicazioni molto conosciute come Zoom, Webex e Slack: questi, in realtà, contengono minacce adware “advertising supported software” (software sovvenzionato da pubblicità).  Si tratta software che adoperano metodologie subdole, che possono determinare il trasferimento su un altro programma, al fine di provocarne con l’inganno l’installazione su PC, tablet o dispositivo mobile.

 

 

L’importanza della formazione e della consulenza specialistica come fattore di prevenzione

 

Le nuove minacce congeniate dai cyber- criminali espongono gli operatori economici e le Pubbliche amministrazioni a nuove criticità e preoccupazioni. In questi casi, l’assenza di formazione ed informazione su tali aspetti costituiscono i primi fattori di vulnerabilità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya presenta gli innovativi percorsi di formazione:

I percorsi formativi sono rivolti al personale di enti pubblici e privati, a tutti i datori di lavoro e liberi professionisti interessati alla materia.

 

Inoltre, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

 

 

 

/da