Tweet




    Tecnologia 6 giugno 2012, 10:00

    Continuità operativa e disaster recovery nella PA: il terremoto non concede proroghe

    Il recentissimo sisma in Emilia deve rappresentare l’occasione per riflettere sulle disposizioni normative in materia di sicurezza dei dati e dei sistemi informatici delle pubbliche amministrazioni


    Il 4 giugno si è celebrata la giornata di lutto nazionale per le vittime del terremoto (anzi, dei terremoti) in Emilia-Romagna. È il momento del dolore (per chi ha perso i propri cari, la casa di una vita o il lavoro) e di pensare ad una ricostruzione sostenibile e veloce.

    Ma – lo dico da “ex terremotato” – è anche il momento di riflettere, senza indulgenze, su quello che ha funzionato e di riflettere su cosa significa un terremoto nel 2012.
    Nell’era della “società dell’informazione” e della “PA digitale”, oltre alla sicurezza dei fabbricati è opportuno preoccuparsi anche della normativa (e dell’organizzazione) in materia di sicurezza informatica, specialmente nel settore pubblico.

    Gli addetti ai lavori sanno bene che la recente riforma del Codice dell’Amministrazione Digitale (D. Lgs. n. 235/2010) ha inserito nel testo del D. Lgs. n. 82/2005 una disposizione espressamente dedicata alla continuità operativa e al disaster recovery.

    In base a quanto asserito dagli estensori della norma, queste disposizioni sono state pensate anche a seguito del sisma in Abruzzo del 2009.

    Il problema della sicurezza è uno dei gangli principali di tutti i sistemi informativi ma, se possibile, è ancora più importante nel settore pubblico.

    Le pubbliche amministrazioni nell’esercizio della propria attività istituzionale raccolgono, producono ed archiviano un’enorme quantità di dati e documenti che – in base alle norme vigenti – devono essere resi disponibili in modalità digitale. Questo significa che i dati dovranno essere formati, acquisiti e conservati nei sistemi informatici delle Amministrazioni titolari.

    Si tratta di un vero e proprio patrimonio che deve essere tutelato per:

    a) mantenere l’integrità, e quindi l’affidabilità, delle informazioni pubbliche;

    b) prevenire e limitare i danni da intrusioni e accessi abusivi;

    c) evitare possibilità di diffusioni non autorizzate di informazioni;

    d) consentire un corretto funzionamento dell’apparato burocratico ed evitare interruzioni nell’erogazione dei servizi on line.

    Per questo motivo, il legislatore ha reso obbligatoria la pianificazione in materia di continuità operativa e di disaster recovery.

    Infatti, l’art. 50-bis CAD prevede che

    In relazione ai nuovi scenari di rischio, alla crescente complessità dell’attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell’informazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività.

    Il termine previsto per la predisposizione del primo piano era il 25 aprile 2012, ma la gran parte delle Amministrazioni non è stata in grado di rispettare questa scadenza (sullo stesso sito di DigitPA è stato reso noto che il primo studio di fattibilità è arrivato solo  nel mese di febraio 2012).

    Sia chiaro: gli Enti più virtuosi e consapevoli si preoccupano da tempo del disaster recovery, ma la previsione di obblighi precisi previsti nel CAD aveva la finalità di consentire a tutti gli uffici di strutturarsi in modo da assicurare di minimizzare i rischi in caso di evento disastroso.

    Purtroppo, molto spesso funzionari e dirigenti hanno commentato queste norme con frasi del tipo: “Lo faremo quando avremo tempo, ora abbiamo altre priorità”, “Tanto non sono previste conseguenze se non rispettiamo il termine”, oppure “non abbiamo soldi per fare queste cose”.

    È il solito approccio vetero-burocratico che ha frenato l’attuazione delle leggi sulla digitalizzazione e dematerializzazione, l’approccio per cui la PA può decidere di ignorare quanto pubblicato dalla Gazzetta Ufficiale, decidendo tempi e modi di un’eventuale adempimento.

    Si tratta di un atteggiamento miope, non solo dal punto di vista della collettività: è ormai chiaro che se un Ente perde i propri documenti perché non organizzato e preparato (dal punto di vista informatico, quanto fisico) ne risponde chi aveva l’obbligo giuridico di provvedere in tal senso. Ma l’irrogazione di sanzioni nei confronti dei soggetti inadempienti non diminuirà il disagio per le comunità (già colpite da un evento drammatico come un terremoto).

    Ecco perché quanto accaduto in questi giorni deve indurci a riflettere sul fatto che organizzare la sicurezza dei dati e dei documenti delle PA e procedure di emergenza per l’erogazione dei servizi on line è ormai una priorità (al pari di verificare la solidità di edifici e strutture) che non può essere differita a “quando avremo tempo per pensarci”.

    Il legislatore può concedere una proroga, il terremoto – purtroppo – no!


    Pubblicato da il 6 giugno 2012 alle 10:06 in Tecnologia
    Tags: , , , ,

    Segnala via E-mail
    Stampa l'articolo
    Rimani aggiornato, Registrati!

    Libri dello stesso autore


    Ti potrebbe interessare anche



    1 Commento per Continuità operativa e disaster recovery nella PA: il terremoto non concede proroghe

    1. Pingback: Continuità operativa e disaster recovery nella PA: il terremoto non concede proroghe

    Lascia un Commento

    L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

    È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

    Ernesto Belisario

    avvocato, docente universitario, vicedirettore di Leggi Oggi

    Rss Feed Facebook LinkedIn Twitter Google Plus


    Articoli dello stesso autore

    Politica Tecnologia 29 ottobre 2012, 14:11

    Di smart cities, vecchie leggi e matite copiative

    Come si può parlare di città intelligenti e agenda digitale se la nostra democrazia si basa su regole ormai obsolete?

    Politica Tecnologia 24 settembre 2012, 08:35

    Batman, Blair e il disinfettante che nessuno vuole

    I recenti scandali legati all’uso delle somme gestiti da gruppi e uomini politici impongono l’adozione di misure volte ad assicurare trasparenza e controllo diffuso. Gli strumenti degli Open Data e dell’Open Government potrebbero soddisfare queste esigenze, ma – apparentemente – nessuno vuole usarli

    Avvocati Social Network 27 agosto 2012, 09:00

    E se l’avvocato compra i followers?

    L’acquisto di followers non è pratica riservata a politici e star dello show biz: con la diffusione sempre più capillare dei social media, anche avvocati e studi legali possono farlo. Per questo, con alcuni colleghi abbiamo discusso dei profili deontologici di tale pratica. Ovviamente su Twitter.

    Editoriale 14 agosto 2012, 09:22

    Tre cose che so su #generazioneperduta

    Nell’ultima settimana, ho provato a leggere quanto più ho potuto le conversazioni e le reazioni su generazioneperduta.it e sul Manifesto che, insieme a 23 amici, abbiamo scritto e pubblicato in [...]

    Professioni 25 luglio 2012, 08:00

    Lo zaino di Wozniak e quello dell’avvocato

    Nelle borse dei professionisti ci sono sempre meno codici e più device tecnologici. Quali sono i pro e i contro di ciascuno di essi?

    Ultimi Articoli in Primo Piano


    LeggiOggi.it

    Ogni settimana il meglio di LeggiOggi.it nella tua E-mail



    Ho letto l'informativa e acconsento al trattamento dei dati



    NOTA INFORMATIVA SULLA TUTELA DEI DATI PERSONALI EX ART 13 D.LGS. 196/2003 E RICHIESTA DI CONSENSO AL TRATTAMENTO

    Maggioli SpA, titolare del trattamento, si propone di gestire il servizio nel rispetto della normativa vigente in materia di tutela dei dati personali. Al proposito intende con questa nota, fornire a tutti gli utenti un'informativa sulle modalità e finalità del trattamento dei dati personali in conformità a quanto previsto dall'art. 13 del D.Lgs n. 196 del 30.06.2003. I dati personali forniti dagli utenti verranno trattati elettronicamente e/o manualmente da Maggioli SpA, Via del Carpino 8 - 47822 Santarcangelo di Romagna (RN), titolare del trattamento, per tutte le finalità correlate alla prestazione del servizio. Inoltre, previo suo consenso, i suoi dati saranno trattati dalla nostra società e dalle società del Gruppo Maggioli per l'invio di materiale promozionale inerente i nostri prodotti o servizi o quelli di società clienti del Gruppo Maggioli. L'indicazione della email deve essere fatta con cura in quanto necessaria per ricevere il servizio, i dati a corredo vengono chiesti per targettizzare gli invii informativi. I suoi dati non saranno diffusi. I suddetti dati potranno essere comunicati a soggetti pubblici, in aderenza ad obblighi di legge e a soggetti privati per trattamenti, funzionali all'adempimento del contratto, quali: nostra rete agenti, società di informazioni commerciali, professionisti e consulenti. I suoi dati potranno essere comunicati a soggetti terzi nostri clienti, che li tratteranno in qualità di autonomi titolari del trattamento secondo la definizione contenuta nel D.lgs 196/2003. Tali dati saranno trattati dai nostri dipendenti e/o collaboratori, incaricati al trattamento, preposti ai seguenti settori aziendali: editoria elettronica, mailing, marketing, CED, servizi Internet, fiere e congressi. L'utente potrà esercitare ogni ulteriore diritto previsto dall'art. 7 del D.Lgs 196 del 30.06.2003 che di seguito integralmente si riporta: "1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. 2. L'interessato ha diritto di ottenere l'indicazione: a) dell'origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'art. 5 comma 2; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello stato, di responsabili o incaricati. 3. L'interessato ha diritto di ottenere: a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati; b) la cancellazione, la trasformazione, in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l'attestazione che le operazioni di cui alle lettera a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di colori ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento di rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. 4. L'interessato ha diritto di opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che lo riguardano ancorchà pertinenti allo scopo della raccolta; b) al trattamento dei dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale. "Compilare il form con i propri dati con conseguente dichiarazione espressa di aver letto e accettato questa informativa, autorizza la Maggioli spa e le società del Gruppo Maggioli al trattamento dei suoi dati per le finalità correlate alla prestazione del servizio e per l'invio di materiale promozionale, anche da parte di soggetti terzi nostri clienti, secondo le modalità illustrate nell'informativa. L'utente potrà esercitare ogni diritto previsto dal citato art. 7 con la semplice risposta alla e-mail ricevuta.

    Chiudi questa finestra
    Torna Su