Si individua il Codice dell’amministrazione digitale nel Decreto legislativo 82 del 2005 con successive integrazioni e modificazioni. Infatti è stato modificato, in media, una volta ogni due anni, più delle versioni pubblicate di MS Windows.
Il Codice dell’amministrazione digitale si porrebbe come un corpus omogeneo di norme atte a regolamentare una materia, quella dell’informatica nella Pubblica amministrazione, che fino al 2005 era variamente disseminata in diverse e parecchie fonti normative. Tuttavia, stante proprio la particolarità della materia, molte sono state le aggiunte e le modifiche all’articolato del CAD che sono intervenute successivamente alla prima emanazione del decreto in questione. Questo ha fatto sì che oggi sia difficile parlare di codice nel vero senso del termine: la PEC (Posta elettronica certificata) risulta ancora normata dal DPR 68 del 2005, la gestione documentale e del protocollo informatico rimane enucleata nel DPR 445 del 2000, come pure l’albo on-line che risiede nella legge 69 del 2009.
La norma affonda le sue radici nella legge delega sulla semplificazione del 2001 quando il legislatore cominciò ad accorgersi dell’influenza delle nuove tecnologie all’interno della Pubblica amministrazione. E prima ancora con il già citato DPR 445 del 2000 si era riusciti a normare alcuni aspetti dei documenti amministrativi informatici.
Dunque teniamo presente che l’obiettivo originario e ispiratore della norma è quello di semplificare le procedure e gli strumenti di accesso nel rispetto dei principi di uguaglianza.
Alcune voci della dottrina più scettica nei confronti del CAD sostengono che le norme siano fini a se stesse e che non tengano conto del divario che si genera tra i cittadini più competenti e quelli meno per ragioni anagrafiche o sociali.
E quanto previsto dall’articolo 8 (alfabetizzazione informatica dei cittadini), dall’articolo 9 (partecipazione democratica elettronica) e 13 (formazione informatica dei dipendenti pubblici) non è sembrato così efficace nella riduzione del cosiddetto divario digitale:
Articolo 8.
Alfabetizzazione informatica dei cittadini.
1. Lo Stato promuove iniziative volte a favorire l’alfabetizzazione informatica dei cittadini con particolare riguardo alle categorie a rischio di esclusione, anche al fine di favorire l’utilizzo dei servizi telematici delle pubbliche amministrazioni.Articolo 9.
Partecipazione democratica elettronica.
1. Le pubbliche amministrazioni favoriscono ogni forma di uso delle nuove tecnologie per promuovere una maggiore partecipazione dei cittadini, anche residenti all’estero, al processo democratico e per facilitare l’esercizio dei diritti politici e civili sia individuali che collettiviArticolo 13.
Formazione informatica dei dipendenti pubblici.
1. Le pubbliche amministrazioni nella predisposizione dei piani di cui all’articolo 7-bis, del decreto legislativo 30 marzo 2001, n. 165 , e nell’àmbito delle risorse finanziarie previste dai piani medesimi, attuano anche politiche di formazione del personale finalizzate alla conoscenza e all’uso delle tecnologie dell’informazione e della comunicazione.
Nel 2005 venne alla luce il testo del CAD con efficacia dal 1 gennaio 2006. Successivamente altre fonti del diritto hanno novellato il testo originario abrogando o aggiungendo articoli e commi. Le ultime modifiche sono avvenute nel 2010 e nel febbraio di quest’anno (2012).
Il CAD è costituito di diversi capi.
Si parte dai principi generali, niente altro che una explicatio terminorum utile per allineare il glossario del lettore a quello del legislatore. Poi il documento informatico, la sua formazione, gestione, conservazione e trasmissione. Successivamente si tratta dei dati delle pubbliche amministrazioni e servizi in rete. Questo capo, dall’articolo 50 all 66: uso, riuso e distribuzione dei dati della Pubblica amministrazione. Attività sia nei confronti di altre pubbliche amministrazioni sia dei cittadini o imprese.
Nel 2010 si introduce l’articolo 50 bis relativo alla continuità operativa.
Articolo 50-bis .
Continuità operativa.
1. In relazione ai nuovi scenari di rischio, alla crescente complessità dell’attività istituzionale caratterizzata da un intenso utilizzo della tecnologia dell’informazione, le pubbliche amministrazioni predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività.
2. Il Ministro per la pubblica amministrazione e l’innovazione assicura l’omogeneità delle soluzioni di continuità operativa definite dalle diverse Amministrazioni e ne informa con cadenza almeno annuale il Parlamento.
3. A tali fini, le pubbliche amministrazioni definiscono:
a) il piano di continuità operativa, che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale;
b) il piano di disaster recovery, che costituisce parte integrante di quello di continuità operativa di cui alla lettera a) e stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l’innovazione.
4. I piani di cui al comma 3 sono adottati da ciascuna amministrazione sulla base di appositi e dettagliati studi di fattibilità tecnica; su tali studi è obbligatoriamente acquisito il parere di DigitPA .
Osservo come la fattispecie prevista faccia il suo ingresso nel testo normativo di riferimento così in ritardo e rifletto sulla diversa velocità alla quale procedono il mondo della tecnologia e quello normativo. Non che il legislatore debba intervenire sugli aspetti tecnici della materia, cosa che potrebbe essere svolta da DigitPA, ma su quelli dell’astratta formulazione dei principi che dovrebbero informare il testo.
Ad ogni modo, quanto alla continuità operativa, dirò che è un concetto ampiamente frequentato e applicato nel mondo dell’ICT e che di fatto estende il significato dell’espressione inglese high availability cioè alta disponibilità dei servizi con la quale si usa etichettare la fattispecie.
Viene addirittura messo in relazione con dei non meglio precisati nuovi scenari di rischio. Tuttavia l’alta disponibilità dei servizi viene raggiunta allorquando il fallimento del software o dell’hardware sottostante non colpisce la fruibilità del servizio da parte degli utenti. Il fallimento delle risorse può essere causato da un fatto imprevisto oppure da attività di manutenzione, ordinaria o straordinaria.
Tornando al testo, la norma prescrive che le pubbliche amministrazioni debbano predisporre dei piani di emergenza da attuare che dovrebbero essere, non si sa come, omogenee tra loro e delle quali, annualmente il Parlamento della Repubblica italiana dovrebbe essere informato.
Quindi le PA devono redigere dei piani di continuità operativa con la descrizione delle procedure che possono anche essere affidate a soggetti esterni. Tra le criticità da considerare ci sono non solo le risorse tecnologiche e strutturali ma anche quelle umane. La verifica della funzionalità del piano è eseguita almeno una volta ogni due anni. A questo proposito vorrei sottolineare quanto un piano che non venga verificato ogni sei mesi o al massimo ogni anno non sia un piano dalla sicura riuscita: in altre parole occorre eseguire delle frequenti esercitazioni nei limiti degli impatti sull’erogazione dei servizi.
Nello stesso articolo il legislatore introduce il concetto di disaster recovery, mutuando una ben conosciuta espressione inglese da sempre utilizzata nel mondo ICT. In modo alquanto inaspettato la norma estende il concetto di continuità operativa suggerendo di adottare piani per erogare i servizi essenziali in siti distinti da quello di produzione.
Il lessico della norma assomiglia a quello largamente utilizzato in ambito privato con qualche imprecisione. Con l’espressione disaster recovery si intende quell’insieme di procedure, codificate, che serve per ripristinare lo status quo dopo che un disastro è avvenuto. Cioè se ho redatto e messo in pratica un buon piano di continuità operativa, verosimilmente non avrò necessità di effettuare una operazione di disaster recovery.
Il disaster recovery implica, instrinsecamente, una sospensione dell’erogazione del servizio per il tempo utile a ripristinarlo (seguendo le procedure operative). Invece la norma cita il disaster recovery come estensione del piano di continuità operativa. Questo articolo dovrà necessariamente essere modificato nella direzione di una più chiara enunciazione dei principi.
Infine si pone in capo a DigitPA la redazione di linee guida per le soluzioni tecniche da adottare e il controllo dei piani di disaster recovery delle pubbliche amministrazioni e erogare il parere sugli studi di fattibilità tecnica predisposti dalle PA.
Come alcune autorevoli voci della dottrina hanno evidenziato, il legislatore dovrebbe chiarire il ruolo delle linee guida nella gerarchia delle fonti del diritto.