Progetto “CST Provincia di Padova” Organizzazione: Provincia di PADOVA ing. Roberto LAGO Dirigente Sistemi Informativi della Provincia di Padova Novembre 2009
CST – LO STATO DELL'ARTE Centro Servizi Territoriali (CST) per: La Provincia di Padova ha costituito il CST nel 2008, raccogliendo la progettualità e gli interventi sul territorio degli anni precedenti Centro Servizi Territoriali (CST) per: Aiutare i piccoli comuni a raggiungere un livello tecnologico adeguato alle nuove esigenze di servizio pubblico Raggiungere economie di scala riducendo i costi e normalizzando il mercato dei servizi ICT Promuovere l’interscambio dei dati a tutti i livelli della Pubblica Amministrazione facilitando i processi di interoperabilità di linguaggi e tecnologie tra i diversi Enti e settori
Obiettivi primari del progetto di CST sono: fornire un supporto tecnologico, organizzativo e gestionale agli Enti di piccole e medie dimensioni per garantire una operatività ed economie di scala pari a quelle degli enti di medie e grandi dimensioni; assicurare la disponibilità di servizi adeguati nei territori a rischio di marginalità anche attraverso la diffusione e il riuso delle soluzioni di e-government; creare stabili e continuativi rapporti tra le Amministrazioni locali, in modo da operare in sintonia con i fabbisogni locali seguendo criteri di omogeneità funzionale e ottimizzando le infrastrutture già presenti sul territorio; condividere e implementare un programma comune di sviluppo sostenibile.
L’offerta di servizi Il Centro Servizi ha iniziato ad offrire dall’1/1/2009 un sistema di servizi/attività articolato su due livelli Un primo livello, relativo a servizi prevalentemente di tipo infrastrutturali, di assistenza tecnica al coordinamento razionale delle attività ICT per assicurare condizioni standard di accesso alle tecnologie ed un funzionamento ottimale dei servizi, garantendo il monitoraggio costante del rapporto qualità/prezzo Un secondo livello, relativo all’erogazione di servizi «on demand» personalizzati per i comuni sia sul versante infrastrutturale (servizi di rete, server remoto, sicurezza fisica e logica, etc.) che su quello applicativo (applicazioni web, servizi di comunicazione ed editoriali, accesso alle banche dati catastali e cartografiche provinciali e regionali)
Per il primo livello è stata creata una struttura di servizio e di assistenza in grado di: intervenire presso i comuni per l’analisi delle esigenze e per la pianificazione delle risorse per gli interventi presso gli Enti; individuare le soluzioni più adeguate attraverso l’analisi delle offerte e la selezione delle soluzioni tecniche garantire un helpdesk di assistenza per affrontare in prima istanza i problemi tecnici dei Comuni avviare le attività di formazione del personale comunale necessarie alla conduzione dei servizi
Per la fornitura dei servizi specializzati previsti nel secondo livello è stata costituita una infrastruttura informatica (server in condizioni di alta affidabilità) e di rete (sistema Autonom System) La messa a fattor comune delle infrastrutture per i servizi provinciali e comunali, consente una gestione dei costi con evidenti economie di scala e con un efficace utilizzo delle professionalità tecnico - amministrative. Il piano dei servizi offerti è suscettibile di ampliamenti ed integrazioni in ragione delle esigenze degli Enti locali e dell’evoluzione dell’e- government. Nella fornitura dei servizi, il CST intende operare valorizzando l’esperienza degli operatori degli Enti locali del territorio, mettendo in luce le best practices e proseguendo la collaborazione con le società più qualificate già attive nei rapporti con gli Enti locali. Questa collaborazione con il territorio si svilupperà attraverso accordi quadro con i cosiddetti “poli territoriali”, strutture decentrate in grado di erogare parte di quei servizi previsti dal CST provinciale
Principali elementi dimensionali Comuni che hanno aderito all’ALI ad oggi (ottobre/novembre 2009) Popolazione totale 46 168.525 Hanno inoltre aderito con Protocollo per servizi «on- demand» 43 Comuni per un totale di 426.246 abitanti IL CST /ALI della Provincia di Padova eroga quindi servizi ad un bacino di utenza di 594.771 abitanti (89 Comuni)
Comuni che hanno Comuni che hanno aderito alla Aderito al protocollo convenzione ALI Agna Arqua Petrarca Arre Bagnoli di sopra Baone Barbona Boara Pisani Bovolenta Campodoro Carceri Cartura Castelbaldo Cervarese S. Croce Cinto Euganeo Correzzola Este Gazzo Padovano Granze Legnaro Lozzo Atestino Masi Megliadino S. Fidenzio Megliadino S. Vitale Merlara Montagnana Ospedaletto Euganeo Pernumia Piacenza d'Adige Ponso Pozzonovo Rovolon Saccolongo Saletto S. Angelo di Piove di Sacco S. Margherita d'Adige S.Pietro Viminario Sant'Elena Sant'Urbano Solesino Stanghella Terrassa Padovana Tribano Veggiano Vescovana Vighizzolo d'Este Villa Estense Comuni che hanno Aderito al protocollo CST “on demand” Abano Terme Albignasego Anguillara Veneta Arzergrande Battaglia Terme Cadoneghe Campodarsego Camposampiero Candiana Casale di Scodosia Casalserugo Cittadella Codevigo Conselve Curtarolo Due Carrare Fontaniva Galliera Veneta Limena Loreggia Maserà di Padova Massanzago Mestrino Monselice Montegrotto Terme Piazzola sul Brenta Piombino Dese Piove di Sacco Ponte San Nicolò Pontelongo Rubano San Giorgio delle Pertiche San Giorgio in Bosco San Martino di Lupari San Pietro in Gu’ Saonara Selvazzano Dentro Tombolo Torreglia Vigonza Villa del Conte Villanova di Camposampiero
SERVIZI PREVISTI DAL PROGETTO CST/ALI Protocollo informatico Web per i Comuni Connettività di rete Intranet Biblioteche Assistenza tecnica Mercato elettronico Sicurezza - Antivirus Sicurezza - Backup Sicurezza - D.P.S. Firma digitale Posta certificata Ortofoto Protocollo informatico
46 Comuni aderenti al progetto ALI Agna Este Rovolon Arqua Petrarca Gazzo Padovano Saccolongo Arre Granze Saletto Bagnoli di sopra Legnaro S. Pietro Viminario Baone Lozzo Atestino S. Margherita d’Adige Barbona Masi S. Angelo di Piove di Sacco Boara Pisani Megliadino S. Fidenzio Sant’Elena Bovolenta Megliadino S. Vitale Sant’Urbano Campodoro Merlara Solesino Carceri Montagnana Stanghella Cartura Ospedaletto Euganeo Terrassa Padovana Castelbaldo Pernumia Tribano Cervarese S. Croce Piacenza d’Adige Veggiano Cinto Euganeo Ponso Vescovana Correzzola Pozzonovo Vighizzolo d’Este Villa Estense La convenzione ALI prevede l’adesione a tutti i servizi previa il versamento di un canone forfetario. E’ la soluzione privilegiata destinata ai Comuni sotto i 5.000 ab. estesa anche agli altri Comuni della provincia
altri 42 Comuni e 8 Enti aderenti al CST con protocollo «on demand» Abano Terme Galliera Veneta Saonara Albignasego Limena Selvazzano Dentro Anguillara Loreggia Tombolo Arzergrande Maserà di Padova Torreglia Battaglia Terme Massanzago Vigodarzere Cadoneghe Mestrino Vigonza Campodarsego Monselice Villa del Conte Camposampiero Montegrotto Terme Villanova di Camposampiero Candiana Piazzola sul Brenta ATO Bacchiglione Casalserugo Piove di Sacco ATO Brenta Casale di Scodosia Ponte S. Nicolò Consorzio BPA Abano Terme Cittadella Rubano Cons. Polizia Padova Ovest Codevigo San Giorgio delle Pertiche Croce Verde di Padova Conselve San Giorgio in Bosco Unione Comuni Camposampierese Curtarolo San Martino di Lupari Unione Comuni Medio Brenta Due Carrare San Pietro in Gù Unione Comuni Metropolis Fontaniva Santa Giustina in Colle
Nuovi servizi ALI-CST Sono in fase avanzata di avvio dei nuovi servizi per gli Enti che ne facciano espressa richiesta: DPS: Documento Programmatico sulla sicurezza – adempimenti Amministratore di Sistema Albo pretorio on-line
DPS: Documento Programmatico sulla sicurezza RIFERIMENTI LEGISLATIVI QUELLO CHE ABBIAMO FATTO QUELLO CHE RIMANE DA FARE E CHE PROPONIAMO
DPS: Documento Programmatico sulla sicurezza – RIFERIMENTI LEGISLATIVI Il Codice sulla privacy (D.lgs.vo 196/03) impone a chiunque tratta informazioni relative ad altre persone, imprese, enti od associazioni di rispettare alcuni principi fondamentali a garanzia della riservatezza dei dati stessi. Il Codice prescrive precisi obblighi e comportamenti da attuare nel trattare dati; questi obblighi sono sanzionati anche penalmente: è necessario, pertanto, procedere all’adeguamento dell’organizzazione al fine di rispettare gli obblighi imposti dal Codice. La finalità del “documento programmatico della sicurezza” è quella di definire i criteri e le procedure per garantire la sicurezza nel trattamento di dati personali.
DPS: Documento Programmatico sulla sicurezza – QUELLO CHE ABBIAMO FATTO Su richiesta dei Comuni, sono stati redatti e consegnati ben 48 DPS entro il termine del 31 marzo 2009 Le principali fasi sono state: Individuazione di una unità organizzativa referente per la privacy; Analisi del contesto organizzativo per l’individuazione degli aspetti rilevanti necessari per la redazione del DPS; Analisi della situazione di partenza, delle Banche Dati informatiche e cartacee; Analisi dei rischi e predisposizione della bozza di documento programmatico per la sicurezza; Presentazione e discussione del piano con i Responsabili dei Trattamenti; Individuazione definitiva dei responsabili e degli incaricati del trattamento, predisposizione degli atti formali per gli atti di nomina; Consegna documento cartaceo ed informatico su CD;
DPS: Documento Programmatico sulla sicurezza – QUELLO CHE RESTA DA FARE Predisporre un "elenco degli amministratori di sistema e loro caratteristiche“, e definire i soggetti coinvolti nel trattamento dei dati Il decreto legislativo n 196 del 30 giugno 2003 sulla protezione dei dati personali individua all’art. 4, i quattro soggetti che sono coinvolti nel trattamento dei dati personali: Il TITOLARE, cioè la persona fisica o giuridica che ha la responsabilità finale ed assume le decisioni fondamentali riferite al trattamento dei dati personali; Il RESPONSABILE, è la persona, dotata di particolari caratteristiche di natura morale e di competenza tecnica, preposta dal titolare al trattamento dei dati personali “ivi compreso il profilo della sicurezza”; possono essere nominati anche più responsabili in base ad esigenze organizzative; l’INCARICATO, è la persona fisica che materialmente provvede al trattamento dei dati, secondo le istruzioni impartite dal titolare o dal responsabile se nominato, L'’INTERESSATO, soggetto cui i dati oggetto di trattamento si riferiscono.
DPS: Documento Programmatico sulla sicurezza - Proposte I passi da intraprendere: Predisposizione, se ancora mancanti, degli atti formali di nomina, su modulistica già fornita assieme al CD (nomina del responsabile al trattamento per la sicurezza dei dati, nomina degli incaricati al trattamento, etc.) Formazione del personale in gruppi omogenei (entro l’anno) Nomina degli “Amministratori di Sistema” (entro il 15 dicembre 2009) Interventi tecnici per la messa in sicurezza del Sistema Informatico per l'adeguamento del Sistema ai requisiti minimi richiesti Tutte queste attività sono previste nel progetto CST/ALI, e possono essere organizzate e realizzate dai tecnici della Provincia di Padova. Alla figura di Amministratore di Sistema spetta le decisioni strategiche nell’indirizzare le operazioni di trattamento dei dati, nell’avviarle all’interno dei binari di necessità, liceità e correttezza previsti dalla normativa.
Amministratore di Sistema – riferimento normativo Con il provvedimento a carattere generale del 27 novembre 2008 dal titolo "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema", pubblicato sulla G.U. n. 300 del 24 dicembre 2008, il Garante per la protezione dei dati personali impone ai titolari di trattamenti di dati personali (anche solo in parte gestiti mediante strumenti elettronici) di predisporre un "elenco degli amministratori di sistema e loro caratteristiche". Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel Documento Programmatico sulla Sicurezza da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante.
La figura dell’Amministratore di Sistema L’AMMINISTRATORE DI SISTEMA è la persona fisica o giuridica, che si individua generalmente in ambito informatico, finalizzata alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Il Garante intende pertanto richiamare tutti i titolari di trattamenti effettuati, anche in parte, mediante strumenti elettronici alla necessità di prestare massima attenzione ai rischi e alle criticità implicite nell'affidamento degli incarichi di amministratore di sistema. Questo nuovo adempimento non si esaurisce nella mera predisposizione di una nuova lettera di incarico o nella modifica di quella già esistente ma richiede al titolare una serie di "misure e accorgimenti" e, non ultimi, di "adempimenti” in ordine all'esercizio dei doveri di controllo da parte del titolare sulle attività dell’amministratore.
Profilo dell’Amministratore di Sistema Nella pratica occorre: individuare coloro che ricadono nella categoria di "amministratore di sistema" valutare l'esperienza, la capacità e l'affidabilità dei soggetti designati quali "amministratore di sistema" che devono fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza designare tali "amministratore di sistema" in modo individuale con l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato verificare l'operato degli amministratori di sistema, con cadenza almeno annuale, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti registrare gli accessi ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema, mediante l’adozione di sistemi idonei alla registrazione degli accessi logici (autenticazione informatica).
Albo pretorio on-line Albo Pretorio On-Line e Servizi di Pubblicazione sul Sito Web Istituzionale adempimenti normativi: a decorrere dal 1° gennaio 2010 le pubblicazioni effettuate in forma cartacea non produrranno più l’effetto di pubblicità legale (Legge n. 69 del 18 giugno 2009) proposta Provincia informatizzazione dei registri degli atti pubblicati all’Albo Pretorio, con soluzione software disponibile in Intranet CST caratteristiche tecniche: applicazione web a disposizione degli operatori dei Comuni per inserimento e pubblicazione sul Internet degli atti esposti all'albo pretorio.