E-R | BUR

n. 284 del 19.12.2012 periodico (Parte Seconda)

XHTML preview

Modello organizzativo per la Governance dei sistemi informativi regionali

LA GIUNTA DELLA REGIONE EMILIA-ROMAGNA

Premesso:

  • che la propria delibera n. 1057/2006 “Prima fase di riordino delle strutture organizzative della giunta regionale. Indirizzi in merito alle modalità di integrazione interdirezionale e di gestione delle funzioni trasversali”, delinea nell'Allegato D modifiche e integrazioni alla normativa in materia di relazioni organizzative e funzionali tra le strutture e di esercizio delle funzioni dirigenziali, correlate in particolare al tema della trasversalità;
  • che in particolare, nel delineare i rapporti tra le Direzioni generali centrali e le altre Direzioni generali, particolare enfasi è data al ruolo di presidio delle regole e garanzia, sia economica che qualitativa, che le prime devono svolgere in rapporto alle rispettive risorse;
  • che, per quanto riguarda i Sistemi informativi, ciò si traduce in specifiche responsabilità della Direzione generale centrale Organizzazione, personale, sistemi informativi e telematica;
  • che la propria delibera n. 2416/2008, nell’approvare "Indirizzi in ordine alle relazioni organizzative e funzionali tra le strutture e sull’esercizio delle funzioni dirigenziali" (d'ora in avanti "Indirizzi") reca l’Appendice 6 “Sistemi informativi e sicurezza dei dati e delle procedure informatiche” che disciplina, in particolare, le responsabilità della Direzione generale competente sui sistemi informativi e telematica in materia di sviluppo del sistema informativo regionale e autorizza la stessa ad individuare le modalità operative per l’attuazione di quanto previsto e in particolare i rapporti tra la stessa e le altre Direzioni generali;
  • che la determinazione del Direttore generale all’Organizzazione, personale, sistemi informativi e telematica n. 4213 del 19/5/2009 avente ad oggetto "Linee guida per la governance del sistema informatico regionale", disciplina le modalità operative per l’attuazione di quanto previsto dall’Appendice 6 degli “Indirizzi” e in particolare i rapporti tra la stessa e le altre Direzioni generali;

Premesso inoltre:

  • che i citati “Indirizzi” contengono l’Appendice 5 “Trattamento di dati personali con particolare riferimento alla ripartizione di competenze tra soggetti che effettuano il trattamento” che disciplina, in particolare, le responsabilità in materia di protezione dei dati personali in applicazione del D.Lgs. n. 196/2003 “Codice per la protezione dei dati personali” (di seguito “Codice”); 
  • che l’art. 45, comma 1 bis del D. L. 9 febbraio 2012, n. 5 “Disposizioni urgenti in materia di semplificazione e di sviluppo”, convertito in legge n. 35/2012, abroga la lettera g) del comma 1 dell’art. 34 del Codice e i paragrafi da 19 a 19.8 e 26 dell’allegato B del Codice e che quindi la redazione di un Documento Programmatico sulla Sicurezza non è più da considerare tra le “misure minime” di sicurezza e non sussiste più l’obbligo di riferire della sua adozione nella redazione accompagnatoria del bilancio d’esercizio dell’aggiornamento del Documento Programmatico della sicurezza;
  • che peraltro si è considerata l’adozione del Documento Programmatico della Sicurezza quale misura idonea di sicurezza, in quanto tale Documento contiene, in particolare, l’analisi dei rischi di sicurezza nel trattamento di dati personali;
  • che il Garante per la protezione dei dati personali con Provvedimento del 27 novembre 2008 “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” pubblicato sulla G.U. n. 300 del 24-12-2008 e con Provvedimento del 25 giugno 2009 “Modifiche del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento” pubblicato sulla G.U. n. 149 del 30-06-2009, ha prescritto al titolare (e ai responsabili dallo stesso eventualmente designati) di trattamenti di dati personali svolti con l’ausilio di strumentazioni elettroniche di adottare specifiche cautele nello svolgimento delle mansioni svolte dagli stessi amministratori di sistema, unitamente ad accorgimenti e misure tecniche, procedurali ed organizzative volte a garantire una scelta motivata delle persone che svolgono tale ruolo e ad agevolare la verifica da parte del titolare dei trattamenti di dati personali o dei responsabili da esso designati sull’attività degli stessi amministratori;

Visti:

  • il D.L. 6 luglio 2012, n. 95 “Disposizioni urgenti per la revisione della spesa pubblica con invarianza dei servizi ai cittadini” convertito, con modificazioni, dalla L. 7 agosto, n. 135;
  • il decreto legge 31 maggio 2010, n. 78 “Misure urgenti in materia di stabilizzazione finanziaria e di competitività economica”, convertito, con modificazioni, nella legge 30 luglio 2010, n. 122, con particolare riferimento all’art. 6 “Riduzione dei costi degli apparati amministrativi”;

Considerato che:

  • l’ente affida ai sistemi informativi un ruolo strategico e determinante per l’efficiente funzionamento della macchina amministrativa e per lo sviluppo di nuovi servizi a cittadini e imprese e che è pertanto necessario garantire continuità ai servizi e alle iniziative precedentemente avviate, valorizzando le risorse investite negli anni precedenti;
  • la rilevanza strategica del sistema informativo regionale richiede che sia garantita l'unitarietà del sistema informativo nel suo complesso, attraverso l'omogenea applicazione di regole che riguardano tutto l'Ente e che, a tal fine, è necessario che l'esercizio di responsabilità ed autonomia da parte delle Direzioni generali sia accompagnato da azioni tecniche di verifica e audit, svolte dalla Direzione generale competente in materia di sistemi informativi/informatici e telematica, a garanzia della coerenza architetturale complessiva del sistema informativo regionale e dell'agevole svolgimento, da parte di quest'ultima, di eventuali successivi sviluppi o servizi complementari;
  • negli ultimi anni infatti, l’avvio di numerosi progetti di e-government accompagnato dalla crescente necessità dei settori regionali di interoperare con altri soggetti istituzionali della società civile (Associazioni di categoria, Enti locali, Aziende sanitarie, Ministeri, UE, ecc.), ha sostanzialmente modificato sia in termini qualitativi che quantitativi, il sistema informativo-informatico regionale: da un sistema informativo progettato e realizzato per le specifiche esigenze funzionali dell’Ente Regione, si è progressivamente implementato un sistema informativo che eroga servizi anche a soggetti esterni che cooperano con la Regione;
  • tale crescita, non sempre accompagnata da una visione strategica univocamente condivisa con tutte le strutture regionali, ha, in alcuni casi, comportato la proliferazione di soluzioni applicative eterogenee, finalizzate al soddisfacimento di esigenze immediate, e tale disomogeneità di soluzioni ha comportato, di riflesso, un appesantimento delle infrastrutture informatiche degli interlocutori, in primis gli Enti locali della regione, costretti a uniformarsi alle diverse richieste delle Direzioni regionali;
  • le citate “Linee guida per la governance del sistema informatico regionale” hanno già condotto alla centralizzazione dell’infrastruttura ICT dell'Ente e della sua gestione, operazioni che hanno prodotto consolidamento, razionalizzazione ed economie di scala;
  • le attuali regole e condizioni di finanza, sia a livello nazionale che locale, comportano forti riduzioni delle risorse disponibili nel complesso del perimetro pubblico, sia per quanto riguarda la spesa corrente per il regolare funzionamento dei servizi e delle funzioni già in essere, che per i nuovi investimenti;

Rilevato che:

  • il modello delineato dall’Appendice 6 degli ”Indirizzi”, e applicato attraverso l’adozione delle citate “Linee guida”, pur prevedendo un ruolo di presidio tecnico da parte della struttura centrale, non prevede meccanismi di coordinamento della programmazione in materia ICT, affidandone la responsabilità piena alle singole Direzioni generali (vedi punto 320 degli “Indirizzi”)per l’identificazione delle soluzioni tecniche, la valutazione economica dell’implementazione, la pianificazione e prioritizzazione delle iniziative ICT, l’allocazione delle risorse professionali ed economiche, nonché per la progettazione e realizzazione delle iniziative ICT, Direzioni generali e Agenzie agiscono in autonomia, nell’ambito di un minimo insieme di regole tecniche comuni, con il rischio di duplicazioni e impatti sui costi di realizzazione e, soprattutto, di gestione, e soprattutto con forti difficoltà nel restituire un quadro unitario delle attività svolte e dei risultati ottenuti;
  • la governance dell’ICT regionale è perciò solo parzialmente realizzata, non potendo intervenire in modo sistematico nella programmazione delle iniziative e della spesa ICT e incidere, come auspicabile, sulla razionalizzazione dei sistemi informativi regionali e sulla riduzione dei costi;

Valutato che:

  • i benefici già ottenuti attraverso la centralizzazione delle strutture tecnologiche suggeriscono di proseguire nel percorso di regolamentazione e centralizzazione dell’ICT regionale, intervenendo in tal senso sull’attuale modello di governance, così come delineato dall’Appendice 6 degli “Indirizzi”;
  • la centralizzazione dei servizi, delle risorse, della spesa ICT e in particolare delle attività di gestione del fabbisogno, pianificazione integrata dei progetti/servizi ICT, monitoraggio della spesa ICT e gestione delle architetture informatiche, si presenta come il modello più adatto per massimizzare i risparmi e le economie conseguibili, nonché la razionalizzazione delle architetture ICT;
  • il processo di centralizzazione dovrà comunque essere progressivo, per raggiungere i benefici attesi, evitando carichi di lavoro non sostenibili e cambiamenti non realizzabili nel breve termine;
  • a tal fine, è opportuno seguire un percorso graduale in cui i cambiamenti gestionali avvengano a fronte della crescente maturità del modello e dei processi introdotti, attraverso i necessari passaggi istituzionali e gli opportuni interventi organizzativi.

Ritenuto inoltre che è necessario apportare alcune modifiche all’Appendice 5 “Trattamento di dati personali con particolare riferimento alla ripartizione di competenze tra soggetti che effettuano il trattamento” della propria deliberazione n. 2416/2008 per recepire le modifiche intervenute al Codice per la protezione dei dati personali, in particolare al paragrafo 276 lett. C), e le disposizioni del Garante per la protezione dei dati personali in materia di “amministratori di sistema”, in particolare al paragrafo 295 relativamente ai compiti assegnabili ai Responsabili esterni;

Valutato infine che le modifiche introdotte nei meccanismi di governance dell’ICT devono coordinarsi con le generali norme e prassi in merito alla programmazione della spesa regionale, e in particolare dell’acquisizione di beni e servizi;

Richiamati:

  • la L.R. n. 43/2001 "Testo unico in materia di organizzazione e di rapporti di lavoro nella Regione Emilia-Romagna" e succ. mod. e in particolare l’art. 47 “Valutazione dei dirigenti e responsabilità dirigenziale”;
  • la L.R. 24 maggio 2004, n. 11 "Sviluppo regionale della società dell'informazione" e s.m., in particolare il Capo VI;
  • la L.R. 21 dicembre 2007, n. 28 “Disposizioni per l’acquisizione di beni e servizi” ed in particolare l’art. 4 “Programmi di acquisizione”;
  • la propria deliberazione n. 1057/2006 “Prima fase di riordino delle strutture organizzative della giunta regionale. Indirizzi in merito alle modalità di integrazione interdirezionale e di gestione delle funzioni trasversali” - Allegato D;
  • la propria deliberazione n. 1264/2005 “Linee guida della Giunta della Regione Emilia-Romagna in materia di protezione dei dati personali”;
  • la delibera della Giunta regionale n. 2416/2008 "Indirizzi in ordine alle relazioni organizzative e funzionali tra le strutture e sull’esercizio delle funzioni dirigenziali " e in particolare l'Appendice 1 “Attività contrattuale” e l’Appendice 6 “Sistemi informativi e sicurezza dei dati e delle procedure informatiche”;

Dato atto che il contenuto del presente provvedimento è stato condiviso in Comitato di Direzione nella seduta del 19 novembre 2012;

Dato atto dei pareri allegati;

Su proposta dell’ Assessore Sviluppo delle risorse umane e Organizzazione, Cooperazione allo sviluppo, Progetto Giovani, Pari Opportunità, Donatella Bortolazzi, e della Vicepresidente, Assessore alle Finanze, Europa, Cooperazione con il sistema delle autonomie, Valorizzazione della montagna, Regolazione dei servizi pubblici locali, Semplificazione e Trasparenza, Politiche per la sicurezza, Simonetta Saliera,  

A voti unanimi e palesi

delibera: 

  1. di approvare, quale parte integrante al presente atto, il documento Allegato 1 “Modello organizzativo per la Governance dei sistemi informativi regionali” (d’ora innanzi, “Modello ICT”) che individua il percorso di centralizzazione dell’ICT attraverso fasi successive di attuazione;
  2. di dare avvio alla FASE 1 del progetto così come descritto nel Modello ICT;
  3. di rinviare a propri successivi atti l’avvio delle fasi successive a seguito dei risultati conseguiti nella FASE 1;
  4. di precisare che il documento di programmazione annuale di acquisizione di beni e servizi ICT, meglio descritto nel Modello ICT, prende avvio con l’esercizio di Bilancio 2013;
  5. di precisare che l’atto di approvazione di tale programmazione sarà proposto alla Giunta dal Direttore generale all’Organizzazione, Personale, Sistemi informativi e Telematica, che ne curerà la predisposizione raccogliendo ed aggregando le esigenze espresse dalle strutture regionali;
  6. di precisare che dal medesimo anno 2013 sarà realizzato il Piano ICT dell’Ente (Direzioni, Agenzie e Istituti) così come descritto nel Modello ICT;
  7. di disporre che il Direttore Generale all’Organizzazione, Personale, Sistemi informativi e Telematica provveda con propri atti alla definizione dei processi, in termini di risorse dedicate, ruoli, attività, e tempistica, per ciascuna fase di attuazione del percorso;
  8. di disporre che il Direttore generale all’Organizzazione, Personale, Sistemi informativi e Telematica provveda con cadenza almeno annuale a sottoporre all’approvazione della Giunta una relazione sugli avanzamenti dell’attuazione e dei risultati prodotti dal nuovo modello organizzativo;
  9. di abrogare l’Appendice 6 della deliberazione di Giunta n. 2416/2008 e di dare atto che gli Indirizzi in materia di sistemi informativi e sicurezza dei dati e delle procedure informatiche sono rappresentati dal Modello ICT allegato alla presente deliberazione;
  10. di precisare che le disposizioni tecniche di dettaglio in vigore, e in particolare quelle dettate dalla determinazione 4213/2009 restano in vigore fino a che non sono espressamente sostituite;
  11. di approvare le seguenti modifiche all’Appendice 5 “Trattamento di dati personali con particolare riferimento alla ripartizione di competenze tra soggetti che effettuano il trattamento” della propria deliberazione n. 2416/2008 "Indirizzi in ordine alle relazioni organizzative e funzionali tra le strutture e sull’esercizio delle funzioni dirigenziali":
    1. la lettera c) dell'attuale paragrafo 276 è sostituita dalla seguente lettera c): “adottare con proprio atto, aggiornato periodicamente, il Documento Programmatico per la Sicurezza, in quanto tale documento è da considerare quale idonea misura di sicurezza”;
    2. al paragrafo 295 è aggiunto, dopo il compito di cui alla lettera h), un ulteriore compito: “lettera i): conservare, nel caso in cui vi siano servizi di amministrazione di sistema, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema, designati nel rispetto del Provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 "Misure e accorgimenti prescritti ai titolari di trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema";
  12. di precisare che, in riferimento agli acquisti ICT, l’inserimento di una iniziativa nella programmazione unitaria descritta nel Modello ICT sostituisce l’inserimento nel programma di acquisizione di cui al punto 111 degli “Indirizzi” Approvati con delibera 2416/2008, e l’inserimento nel Piano delle iniziative ICT sostituisce la specificazione del suddetto programma, di cui al punto 122 dei medesimi “Indirizzi”;
  13. di stabilire che il raggiungimento degli obiettivi fissati con il presente atto, e in particolare, nell’ambito della Fase 1, il concorso alla definizione del Programma di acquisizione di beni e servizi ICT, alla definizione del Piano ICT dell’Ente e alla realizzazione del monitoraggio del Piano stesso, rappresentano elemento di valutazione dei Direttori generali ai sensi dell'art. 47 “Valutazione dei dirigenti e responsabilità dirigenziale” della Legge regionale n. 43/2001.";
  14. di pubblicare nel BURERT il presente atto, in quanto atto di interesse generale.

Regione Emilia-Romagna (CF 800.625.903.79) - Viale Aldo Moro 52, 40127 Bologna - Centralino: 051.5271

Ufficio Relazioni con il Pubblico: Numero Verde URP: 800 66.22.00, urp@regione.emilia-romagna.it, urp@postacert.regione.emilia-romagna.it