di Luigi Petrucci
L’articolo fa il punto sui compiti dei Dirigenti degli Uffici giudiziari in tema di informatica giudiziaria alla luce dell’entrata in vigore del reg. UE n. 679/2016 sulla protezione dei dati personali, della conseguente revisione del Codice della Privacy, della direttiva UE n. 680/2016 sul trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, del d.lg. n. 51/2018 e del d.P.R. n. 15/2018, del reg. UE n. 910/2014 cd. eIDAS, della conseguente revisione del Codice dell’Amministrazione Digitale, dell’attuazione della direttiva UE n. 1148/2016 (cd. NIS) con d.lg. n. 65/2018.
L’ “ultramondo” della Giustizia: il DOMINIO.
Proseguo gli appunti sui temi dell’informatica giudiziaria iniziati con RID e Mag. Rif. questi sconosciuti (con relativo aggiornamento dopo l’emanazione della circolare del Consiglio Superiore P 20909 del 31.10.16) e Tutto quello che volevate sapere e non avete mai osato chiedere sull’assistenza informatica (con relativo approfondimento su Nuovi scenari del “dominio” @giustizia.it in Questione Giustizia) per approfondire il ruolo dei Dirigenti degli Uffici giudiziari nel “dominio giustizia” (di seguito: DOMINIO).
Per DOMINIO si intende l’insieme delle risorse hardware (di seguito: HW) e software (di seguito: SW), mediante il quale il Ministero della Giustizia tratta in via informatica e telematica qualsiasi tipo di attività, di dato, di servizio, di comunicazione e di procedura (cfr. art. 2, lett. a, d.m. n. 44/2011) ovvero, più banalmente, i servizi informatici relativi alla giustizia, mutuando l’espressione dell’art. 110 Cost.
Una definizione più accattivante del DOMINIO è quella di “ultramondo” della giustizia, dove l’ “ultramondo” (felice espressione di BARICCO nel recente The Game) è la connessione fra mondo “reale” e mondo “virtuale” disegnato dalle nuove tecnologie in cui abitano le persone del terzo millennio.
La connessione avviene attraverso la rete (Rete Unica Giustizia o RUG) e riguarda tutte le AREE: AMMINISTRATIVA, CIVILE e PENALE. Non credo che esistano più servizi amministrativi (es. il protocollo o il controllo del personale) o giurisdizionali (es. PCT, SICP, spese di giustizia), che siano totalmente separati dall’ “ultramondo”. Il DOMINIO è, allora, la frazione di “ultramondo” in cui lavorano gli operatori della Giustizia.
Quando si parla dei compiti/poteri dei Dirigenti rispetto ai servizi informatici per la giustizia scatta l’annoso dibattito sulla cd. doppia dirigenza. La divisione che tengo presente è quella fra Ministero ed Uffici giudiziari, rappresentati dai loro Dirigenti intesi come Presidente/Procuratore e Dirigente amministrativo (di seguito complessivamente intesi come il “Dirigente”, sul presupposto che, come accade di norma, cooperino lealmente per il raggiungimento di obiettivi condivisi, cfr. artt. 2 e 4 d.lg. n. 240/2006).
Anche se il governo del DOMINIO è saldamente nelle mani del Ministero della Giustizia -e, in particolare, della Direzione Generale per i Servizi Informativi Automatizzati (D.G.S.I.A.), collocata nel Dipartimento dell’Organizzazione Giudiziaria (D.O.G.). e distribuita sul territorio attraverso i Centri Interdistrettuali (C.I.S.I.A.)-, l’informatica giudiziaria è solo una componente dell’organizzazione degli Uffici giudiziari e, sempre di più, delle attività processuali: per questa ragione è certamente uno dei compiti/poteri del Dirigente. Più banalmente: se l’attività degli Uffici giudiziari si svolge anche (se non soprattutto) nell’ “ultramondo”, il Dirigente deve poter dire la sua anche lì!
Lo è a maggior titolo del Ministero perché, come è stato giustamente detto, “difficilmente la tecnologia da sola crea innovazione e progresso” e, affinché ciò accada, occorre che il Dirigente definisca gli obiettivi e disponga in modo coerente le risorse offerte al suo Ufficio dal DOMINIO, a partire da quelle umane.
Lo è anche per le fonti normative che sempre di più si occupano dell’ “ultramondo” per definire lo status dei suoi cittadini (identità ed individuazione) ed i loro diritti, attraverso le leggi sulla protezione dei dati personali e sull’identificazione digitale.
[Per chi volesse farsi un’idea dell’ “ultramondo” della giustizia nelle più recenti riforme legislative suggerisco di partire da SORRENTINO, Il controllo del garante per la protezione dei dati personali e l’autorità giudiziaria secondo le più recenti norme eurounitarie, in Questione Giustizia e dalleRelazioni della prima sessione del corso tenuto in Cassazione sul Processo telematico nel sito della Suprema Corte (in particolare quelle di ROCCHI sull’identità digitale e di ARCELLA sul documento informatico)]
I testi vigenti sono stati recentemente sconvolti dall’entrata in vigore delle seguenti fonti di derivazione comunitaria:
- reg. UE n. 679/2016 cd. GDPR (General Data Protection Regulation) sulla protezione dei dati personali, al quale ha fatto seguito una pesante revisione del Codice della Privacy nel 2018;
- direttiva UE n. 680/2016 sul trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati, alla quale ha fatto seguito l’emanazione del d.lg. n. 51/2018 e del d.P.R. n. 15/2018;
- reg. UE n. 910/2014 cd. eIDAS (electronic IDentification Authentication and Signature), al quale ha fatto seguito un’importante revisione del d.lg. n. 82/2005 cd. CAD (Codice dell’Amministrazione Digitale) sempre nel 2018;
- d.lg. n. 65/2018 di attuazione della direttiva UE n. 1148/2016 cd. NIS (Network and Information Security).
Mi piacerebbe poter dire che, con l’occasione, sono stati affrontati e regolati i temi dell’individuazione dei titolari e dei responsabili del trattamento dei dati anche nel settore giudiziario, caratterizzato dalla doppia dirigenza (se non tripla se ci mettiamo pure il Consiglio Superiore) e dalla condivisione dei medesimi dati giudiziari da parte di Uffici giudiziari diversi per via del normale corso dei processi (es. primo e secondo grado, Procura e Tribunale).
Purtroppo non è così.
Fedele al carattere operativo di questi appunti provo a fornire un breve quadro descrittivo dei compiti del Dirigente, mettendo insieme fonti di rango e provenienza molto diverse fra loro.
Le regole del DOMINIO.
Il trattamento informatizzato dei dati personali -immessi nei registri dei procedimenti e, sempre di più, negli atti del processo dematerializzati- richiede le specifiche cautele dettate per le banche dati, la cui sicurezza è un valore fondamentale (quanto meno pari a quella delle banche a cui affidiamo i nostri stipendi).
La sicurezza oggi non è solo la protezione dall’accesso di soggetti non abilitati, ma anche la completezza e la qualità dei contenuti della base di dati ovvero la rispondenza fedele della base di dati (i quartieri dell’ “ultramondo”) alle realtà che intendono rappresentare, specialmente quando si tratta di dati personali.
Tutti abbiamo chiaro che è un grave danno per la persona la mancata annotazione della sentenza con cui viene assolto in modo irrevocabile dopo una condanna pronunciata in un grado precedente (o della stessa pendenza di un procedimento penale). La mancata annotazione dell’assoluzione irrevocabile è, però, un danno per la stessa completezza e qualità della banca dati, che dovrebbe rappresentare fedelmente lo stato del processo (in questo caso la sua definizione) ed il suo esito, per tutti gli scopi previsti dalle disposizioni vigenti e, in ultima analisi, per l’affidamento che dovremmo poter riporre nei dati conservati nella banca dati per le decisioni strategiche (per qualche applicazione pratica vedi BISOGNI, La tenuta dei registri informatici e i risvolti sulla statistica del lavoro dei magistrati, tra bonifica dei dati e insufficienza delle griglie ministeriali, in Questione Giustizia). Restando nel contesto etimologico, se nelle banche sono conservate troppe banconote false viene meno la fiducia che la banca è chiamata a dare per il corretto funzionamento del sistema creditizio.
Questo vale a maggior ragione per le basi di dati personali, perché nell’ “ultramondo” la nostra identità digitale deve corrispondere il più fedelmente possibilità alla nostra identità reale (o, almeno, a quella che possiamo legittimamente pretendere dai Signori dell’ “ultramondo”).
Queste indicazioni si trovano nel Codice della Privacy, che regola espressamente le banche dati giudiziarie, ma soprattutto configura la cittadinanza dell’ “ultramondo” e, quindi, offre un contesto più adeguato alle esigenze più attuali della società civile rispetto alle altre disposizioni che regolano l’azione dei cittadini dell’ “ultramondo” nel DOMINIO.
Le cautele previste per tutte le basi di dati dal Codice della Privacy devono fare i conti con le specificità nel caso dei dati giudiziari, fra l’altro per queste ragioni:
– assetto variabile: si va dalla pubblicità alla riservatezza secondo quanto stabilito dalla legge (sentenze che devono essere pubblicate sul giornale, pubblicazione dei provvedimenti sulle banche dati per la conoscenza dei precedenti, anonimizzazione dei dati personali su richiesta o in relazione a specifiche materie);
– segretezza: il proprietario non può accedere ai suoi dati, se non nei casi e nei modi previsti dalla legge (massima nel caso del segreto istruttorio);
– divieto di prendere decisioni automatizzate in base ai dati già in possesso del DOMINIO.
Queste specificità rendono l’idea della complessità di progettazione dei sistemi informativi della giustizia e dovrebbero metterci in guardia ogni volta che i dati giudiziari escono dal DOMINIO.
Le disposizioni che hanno guidato la progettazione degli attuali sistemi informativi sono il d.P.R. n. 264/2000 e le regole tecniche contenute nel d.Min.Giu. 27.4.09 sui registri informatizzati, il d.Min.Giu. n. 44/2011 e le regole tecniche contenute nel Provvedimento del Responsabile S.I.A. del 16.4.14 per i processi telematici. A queste vanno aggiunte le varie circolari sull’uso degli applicativi e sulla tenuta dei dati.
Certamente l’attuale regolamentazione di rango secondario o di prassi dovrà spostare il focus dai registri informatizzati al DOMINIO in tutte le sue possibili articolazioni.
Numerosi casi recenti mostrano la necessità di questo approccio globale: il monitoraggio degli incarichi conferiti agli ausiliari nominati dai magistrati, la pubblicazione delle sentenze nell’archivio del SICID, l’estrazione dei dati richiesti dall’art. 165 d.a.c.p.p., i nuovi compiti del P.G. in tema di conclusione delle indagini preliminari, la gestione dei siti degli Uffici giudiziari (vera e propria proiezione dei Tribunali nell’ “ultramondo” insieme al PST ovvero il Portale dei Servizi Telematici, http://pst.giustizia.it/PST/).
I Signori del DOMINIO: titolare e responsabile.
La figura centrale del Codice della Privacy è il titolare del trattamento ovvero il soggetto che ha la disponibilità dei dati: nel DOMINIO è il Dirigente che deve assicurare la qualità dei dati in suo possesso (vedremo dopo che la qualità del dato è sia informatica, che “contenutistica”).
Le disposizioni abrogate del Codice della Privacy distinguevano i compiti e le responsabilità del titolare, del responsabile e degli incaricati del trattamento dei dati. Il reg. UE n. 679/2016 distingue, invece, il titolare ed il responsabile del trattamento dei dati personali. Nella trasposizione (non necessaria) del regolamento è stato comunque previsto dall’art. 2-quaterdecies del Codice il soggetto designato per il trattamento con specifici compiti e funzioni connessi al trattamento di dati personali, espressamente designate e l’autorità diretta del titolare o del responsabile.
Il d.P.R. n. 264/2000 ed il d.M. 27.4.09 attribuiscono un ruolo centrale al Responsabile dei Sistemi Informativi Automatizzati (ovvero al Direttore generale di D.G.S.I.A. ex art. 1, lett. g, d.M. 27.4.09), che esercita i suoi compiti insieme agli Amministratori dei Sistemi Informativi (AdSI) presenti presso i C.I.S.I.A.
Il d.M. 27.4.09 prevede che il Responsabile S.I.A. emani le linee guida per la organizzazione e gestione del sistema informatico” (art. 3, co. 7), designi gli AdSI (art. 4, co. 4), che hanno il compito di assicurare la conduzione operativa di specifiche componenti del sistema informatico, effettuando, anche mediante accesso remoto, tutte le operazioni necessarie a garantire l’integrità, la completezza, la disponibilità e la riservatezza di iscrizioni ed annotazioni, nonché l’identificazione del soggetto che accede ai registri (artt. 2 e 4).
In altri termini gli AdSI sono i guardiani del DOMINIO: identificano gli utenti che vi possono accedere e curano che la base di dati risponda alle sue caratteristiche essenziali (qualità informatica).
Il Dirigente resta comunque il titolare del dato prodotto dal suo Ufficio giudiziario ed è responsabile della qualità dei contenuti della basi di dati.
L’art. 4 d.M. 27.4.09 prevede che l’AdSI possa essere nominato responsabile del trattamento da parte dei titolari delle banche dati ovvero dal Dirigente. In questo caso pone in essere le iniziative necessarie per il rispetto degli standard di sicurezza e della normativa sulla tenuta informatizzata dei registri, anche alla luce delle direttive concordemente emanate dai titolari delle banche dati.
In ogni caso l’AdSI garantisce che il capo dell’ufficio giudiziario, o un suo delegato, possa accedere alla infrastruttura logistica condivisa per verificare il rispetto degli standard di sicurezza e della normativa sulla tenuta informatizzata dei registri.
L’art. 46 Codice della Privacy, ora abrogato, rimandava ad un decreto del Ministro della Giustizia, mai emanato, la regolamentazione della responsabilità delle varie autorità che concorrevano al trattamento degli stessi dati. Un modo per rinviare ad un momento migliore il solito problema della doppia dirigenza, ma anche quello della diversità degli Uffici giudiziari che trattano lo stesso procedimento.
L’attuale art. 26 del Codice della Privacy regola l’ipotesi dei “Contitolari del trattamento”:
“1. Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati.
“2. L’accordo di cui al paragrafo 1 riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell’accordo è messo a disposizione dell’interessato.
“3. Indipendentemente dalle disposizioni dell’accordo di cui al paragrafo 1, l’interessato può esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun titolare del trattamento.”
Già prima dell’entrata in vigore di questa disposizione l’utilizzo di SW ministeriali per la gestione di tratti del processo penale è stata accompagnata dalla condivisione di protocolli fra gli Uffici giudiziari (così per GIADA2, TIAP, trasmissione delle sentenze al visto del P.G., comunicazioni via PEC).
L’art. 7 d.M. cit. precisa che il Responsabile S.I.A. predispone il documento programmatico della sicurezza relativamente alle componenti del sistema informatico dell’Amministrazione, che sono centralmente gestite e controllate, mentre il Dirigente, con la collaborazione tecnica del CISIA competente, predispongono il documento programmatico relativamente al sistema informativo di propria competenza e lo rendono disponibile al Responsabile S.I.A. Per le infrastrutture logistiche comuni il piano è predisposto in modo condiviso dagli uffici.
Questa disposizione è formalmente rispettosa delle competenze del titolare e del responsabile dei vari trattamenti dei dati giudiziari secondo il Codice della Privacy, ma non dà grande spazio ai Dirigenti.
La vigilanza sulla applicazione di tutti i documenti così predisposti, del resto, è esercitata dal Responsabile S.I.A., o da suoi delegati, che segnala eventuali difformità comportamentali di Dirigenti ed adotta, in caso di urgenza, le misure e i provvedimenti necessari ad assicurare il corretto funzionamento del sistema informatico.
Il più recente art. 3, co. 2, d.M. n. 44/2011 prevede che il Direttore generale è responsabile dello sviluppo, del funzionamento e della gestione dei sistemi informatici del dominio giustizia, senza alcuno spazio, neppure a livello consultivo per i Dirigenti. Nella prassi sono previsti dei tavoli tecnici, fortemente sostenuti dalle varie delibere sui processi telematici nel frattempo emesse dal Consiglio Superiore quale declinazione operativa del principio di leale collaborazione. Nello stesso senso si muove l’indicazione dell’area penale dei referenti nazionali per i moduli di SICP e per TIAP per rendere più facile l’interlocuzione degli Uffici con il Ministero.
I Signori del DOMINIO secondo il Consiglio Superiore
Il Dirigente può contare sulla struttura tecnica ministeriale, ma anche su una vera e propria squadra di sostegno congegnata dalla circolare P 20909 del 31.10.16, così formata:
– I RID, nominati dal Consiglio Superiore, per cooperare con i Presidenti di Corte di Appello, con i Procuratori Generali e con i dirigenti degli uffici giudiziari del distretto proprio sui temi dell’organizzazione informatica e curano i rapporti con i CISIA e le articolazioni territoriali del Ministero della Giustizia competenti per il Distretto. (art. 1, co. 1 e 2)
– almeno un MagRif per il settore penale e per quello civile nominato dal Dirigente seguendo il procedimento di variazione tabellare (art. 2, co. 2 e 3), al quale chiedere il parere su tutte le questioni inerenti la materia dell’informatica giudiziaria (art. 4, co. 7)
– Il Presidente della Corte d’Appello, che indice, almeno una volta l’anno, un incontro con i Dirigenti degli uffici giudicanti e requirenti, i RID e i MAGRIF del distretto per verificare la situazione degli uffici in materia di informatica giudiziaria e di innovazione tecnologica, delle risorse disponibili, le criticità da affrontare, le situazioni di eccellenza e le buone prassi oggetto di possibile diffusione, anche nell’ambito della cooperazione fra uffici. (art. 3, co. 2)
– Il Presidente della Corte e dal Procuratore generale che, con cadenza trimestrale su richiesta dell’U.D.I., convocano autonomi incontri ai quali partecipano rispettivamente Dirigenti degli uffici, MAGRIF e RID, giudicanti o requirenti. (art. 3, co. 2)
Ancora non si tratta di una struttura in grado di sostenere il Dirigente rispetto alla matura e completa assunzione delle sue responsabilità di titolare dei dati, ma è un piccolo presidio di indipendenza.
L’indipendenza delle autorità giurisdizionali nel trattamento dei dati giudiziari. Il caso del Data Protection Officer.
Per misurare quanto la nostra organizzazione sia lontana dallo standard immaginato dal GDPR vorrei fare una breve digressione sul Data Protection Officer (DPO).
Il DPO è il soggetto che, in posizione di terzietà rispetto all’organizzazione (analogamente al sindaco di una società, in quanto è comunque un dipendente o un consulente remunerato dall’organizzazione), garantisce il rispetto del regolamento sulla protezione dei dati personali.
Questa nuova figura non è prevista per il trattamento dei dati giudiziari da parte delle autorità giurisdizionali (art. 37, co. 1, lett. a), anche se il DPO va comunque nominato per il trattamento degli altri dati personali anche da parte delle autorità giurisdizionali.
L’esclusione del DPO per il trattamento dei dati giudiziari da parte delle autorità giurisdizionali è coerente all’esclusione di intromissioni di soggetti diversi -e persino dello stesso Garante, come invece avveniva prima, v. per tutti il caso delle intercettazioni- per tutelare l’indipendenza delle autorità giurisdizionali. Così dispone nettamente art. 55, co. 3:
“Le autorità di controllo non sono competenti per il controllo dei trattamenti effettuati dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali”.
L’art. 2 sexiesdecies del Codice prevede l’individuazione del DPO anche per il trattamento dei dati giudiziari da parte delle autorità giudiziarie. È naturale pensare ai RID ed ai MagRif per svolgere questi compiti, ove adeguatamente formati e dotati delle risorse (anzitutto di tempo), anche per assicurare la compatibilità della disposizione con il diritto dell’Unione ed escludere, quindi, controlli da soggetti che non appartengono alla giurisdizione.
L’accesso alle basi di dati: i cittadini del DOMINIO.
Vediamo ora chi e come deve controllare l’accesso e la qualità dei dati del DOMINIO.
I cittadini del DOMINIO sono i SOGGETTI ABILITATI ovvero coloro che possono utilizzare i servizi di consultazione di informazioni e trasmissione di documenti informatici relativi al processo.
Sono SOGGETTI ABILITATI INTERNI i magistrati, il personale degli uffici giudiziari e degli UNEP e SOGGETTI ABILITATI ESTERNI tutti gli altri soggetti che possono accedere al DOMINIO: avvocati, consulenti, Forze dell’Ordine, etc. (cfr. art. 2, lett. m, d.M. n. 44/2011).
L’abilitazione è un aspetto centrale per la sicurezza ed il Consiglio Superiore si è pronunciato con varie delibere dedicate al tema, opportunamente sollecitate dagli Uffici giudiziari di Milano.
La cautela principale è (e sempre di più sarà) il censimento degli utenti (identificazione) e l’attribuzione di poteri adeguati al loro ruolo nel DOMINIO attraverso l’autenticazione ovvero il controllo sulla corrispondenza fra il soggetto dotato di determinati poteri e quello che effettua concretamente l’accesso (una vera e propria individuazione informatica: sono proprio io che sto accedendo). Se aggiungiamo l’attribuzione del potere di firma completiamo l’acronimo che designa il reg. UE n. 910/2014 cd eIDAS: IDentification, Authentication, Signature (ovvero identificazione, individuazione, autenticazione, firma).
Ed è proprio il reg. eIDAS che, insieme al CAD, detta le linee maestre per l’identificazione/individuazione digitale ovvero lo strumentario tecnologico più idoneo a garantire chi sono io rispetto al DOMINIO e che sia proprio io il soggetto che sta consultando e manipolando i dati all’interno di un documento o di una base di dati del DOMINIO.
Nel tempo assisteremo ad una progressiva convergenza della nostra identità digitale di magistrati nel trinomio rappresentato da utenza (nome.cognome@giustizia.it), password di Active Directory Nazionale (ADN) (quella che usiamo ogni giorno per entrare nel pc o nei servizi telematici di posta elettronica o di archiviazione cloud su OneDriveProfessional) e tessera di riconoscimento/smart card (o altro dispositivo sicuro che verrà introdotto per completare i dispositivi tecnologici che costituiscono la firma digitale).
È proprio di questi giorni la diffusione di un sistema di identificazione digitale basato su credenziali ADN e dispositivo sicuro (in questo caso il nostro smartphone appositamente programmato) per l’accesso da remoto alla intranet del Consiglio Superiore.
Questo è solo uno dei tempi esempi in cui è possibile far coincidere le credenziali ADN con quelle di accesso agli applicativi ministeriali: così accade per l’accesso a SICP, anche se devono essere nuovamente digitate nell’apposita maschera di autenticazione. In altri casi (ad esempio il sw KAIROS di gestione delle presenze) l’accesso è consentito senza bisogno di una nuova procedura di autenticazione.
Rimane, in ogni caso, la necessità di stabilire sul singolo applicativo l’attribuzione di poteri adeguati al ruolo dell’utente ovvero la sua “profilatura” anche se si utilizzano le credenziali ADN.
Le disposizioni lo prevedono, ma non sarà mai abbastanza raccomandato che il Dirigente pretenda di stabilire chi può entrare e cosa può fare nel DOMINIO per assicurare la protezione dei dati giudiziari che appartengono al suo Ufficio, ovviamente provvedendo alle deleghe del caso, eventualmente ricorrendo all’organizzazione già descritta dal Consiglio Superiore.
Lo status dei cittadini: il profilo di autorizzazione.
Sono sempre il d.P.R. n. 264/2000 e le regole tecniche contenute nel d.Min.Giu. 27.4.09, il d.Min.Giu. n. 44/2011 e le regole tecniche contenute nel Provvedimento del Responsabile S.I.A. del 16.4.14 per i processi telematici che definiscono lo status di cittadinanza nel DOMINIO.
L’art. 7 d.P.R. n. 264/2000 stabilisce che è il dirigente amministrativo dell’ufficio a dover indicare per iscritto le persone autorizzate alle operazioni di immissione, cancellazione, variazione ed esibizione (co. 1).
I sistemi devono essere realizzati in modo da assicurare l’identificazione di colui che effettua le citate operazioni, con l’indicazione della relativa data ed ora, e di conservare queste informazioni nel sistema informatico, cd. log di sicurezza (co. 2, v. anche art. 10 d.M. 27.4.09 sul monitoraggio dei sistemi).
L’identificazione è oggi “il processo per cui si fa uso di dati di identificazione personale in forma elettronica che rappresentano un’unica persona fisica o giuridica, o un’unica persona fisica che rappresenta una persona giuridica” (art. 3, n. 1 , reg. UE n. 910/2014 cd. eIDAS).
L’art. 8 d.M. 27.4.09 (più modernamente intitolato “Politica di gestione degli accessi”) prevede più specificamente che ogni utente è identificato tramite procedure di autenticazione, oggi definite e gestite dal Responsabile S.I.A. a livello base attraverso l’ADN con utente e password. Il deposito dei provvedimenti richiede, invece, l’uso della firma digitale (come previsto dall’art. 9 d.P.R. n. 264/2000 e dall’art. 11 d.m. n. 44/2011).
Ogni utente ottiene uno specifico insieme di privilegi di accesso ed utilizzo, denominato profilo di autorizzazione, rispetto alle risorse del sistema informatico (co. 3).
A ciascun insieme omogeneo di utenti è associato un solo profilo; a ciascun utente può essere assegnato uno o più profili (co. 4). Questa regola può, in alcuni casi, comportare il problema che un’utente non possa fare determinate operazioni. È comunque la regola in base alla quale, ad esempio, il giudice del dibattimento non possa consultare il fascicolo delle indagini preliminari in TIAP. Per questa ragione, però, non potrà farlo neppure durante un turno estivo in cui sia chiamato a fare il GIP.
Correttamente (dal punto di vista della sicurezza informatica) ogni profilo è definito in modo tale da assegnare a ciascun utente solo ed esclusivamente i privilegi strettamente necessari all’espletamento delle attività di propria competenza (co. 5).
La realizzazione pratica delle politiche di accesso comporta l’individuazione da parte del Dirigente di un referente per l’assegnazione agli utenti dei profili relativi al trattamento dei dati (GSI), che procede in autonomia per i soggetti incardinati nell’Amministrazione, mentre ha bisogno dell’intervento di un AdSI per i profili di soggetti esterni (cd. referente GSI). In ogni caso anche questa attività è vigilata dal Responsabile S.I.A., sempre con la collaborazione degli AdSI, che hanno un apposito profilo volto alla conduzione, anche remota, dei sistemi e delle postazioni di lavoro, di cui è data comunicazione agli uffici interessati (co. 7).
Un esempio concreto di profilazione degli utenti su TIAP è contenuto nella nota del Responsabile SIA del 30.9.16.
La qualità delle basi di dati giudiziarie.
Vediamo ora cosa si intende per qualità della base di dati.
La qualità del dato informatico (sia esso un documento o una base di dati) è l’insieme delle caratteristiche che deve avere per rispondere allo scopo per cui è stato creato.
A volte queste caratteristiche possono essere possedute in modo più o meno intenso, altre volte o ci sono o non ci sono.
Esempio: una delle qualità del documento informatico è quella di essere “leggibile” ovvero la capacità del file di restare fruibile durante l’intero ciclo di gestione dei documenti. Il documento scannerizzato ed inserito nel TIAP è consultabile con la funzione cerca parole dall’ufficio, quando lo stesso file viene esportato perde questa caratteristica. Nel ciclo di gestione del documento abbiamo perso una caratteristica di fruibilità del file: se ci fosse un sistema che consentisse la funzione cerca parole anche nel file che mi porto a casa, avrebbe una qualità migliore. Se l’immagine del testo non si legge, perché la scannerizzazione è stata fatta male oppure con uno scanner di scarsa qualità oppure perché il documento scannerizzato era già inizialmente poco visibile il documento non è leggibile: c’è un problema di qualità (l’oggetto non corrisponde al modello, è viziata per dirla con il codice civile), ma non di qualità informatica.
Le caratteristiche di qualità informatica della base di dati sono molte. Il regolamento menziona l’integrità, la completezza, la disponibilità e la riservatezza.
[Un elenco più completo è contenuto nell’art. 2 d.M. 27.4.09, l’art. 11 Provvedimento SIA rinvia all’art. 41 CAD, che stabilisce le numerose caratteristiche che deve avere il fascicolo informatico, vero e proprio cuore pulsante dei Processi Telematici]
La disponibilità (possibilità di accesso da parte dei soggetti abilitati) e la riservatezza (divieto di accesso dei soggetti non abilitati) sono facilmente comprensibili.
L’integrità e la completezza sono due caratteristiche delle basi di dati condivisi da molti utenti ed archiviati in luoghi diversi e devono risolvere i problemi connessi all’archiviazione di una mole notevole di dati ed all’accesso contemporaneo allo stesso dato, soprattutto di modifiche contemporanee che possono comportare incoerenze. Per esempio se vengono fatte contemporaneamente due diverse correzioni delle generalità di un indagato, una delle due potrebbe non essere registrata dal sistema. Per questo motivo esiste la funzione blocca fascicolo, che impedisce la modifica (ma non la consultazione) da parte di altri soggetti quando si modifica un dato.
La completezza della conservazione dei dati fa in modo che, sebbene i dati siano distribuiti su varie risorse HW (cosa necessaria per archivi che gestiscono una grande mole di dati), la base di dati possa essere sempre ricostruita ed interrogata secondo i criteri con cui è stata progettata.
Possiamo intuire come sia piuttosto complesso assicurare questa caratteristica: per questa ragione non è sempre facile andare a cercare un dato di cui non era stata progettata la ricerca prima ed anche perché alcune ricerche impegnano moltissime risorse HW per essere portate a termine (anche se qui entriamo nelle tecniche di progettazione delle base di dati ovviamente in continua evoluzione).
Un Google del DOMINIO sarebbe comodo, ma è anche un grande pericolo, se ci pensiamo un attimo. In ogni caso è vietato dall’art. 6, co. 2, d.M. 27/4/09 in base al quale il sistema consente la possibilità di estrazione dei dati secondo la natura delle controversie, la sezione, il giudice, il nome delle parti, lo stato della causa, la udienza, nonché secondo “ogni altro tipo di dato eventualmente richiesto dalle disposizioni che regolano la tenuta dei registri e la loro individuazione”, ma non con un banale “cerca parole”. Anche l’art. 9, co. 5, d.M. n. 44/2011 richiede che sia garantita la facile reperibilità ed il collegamento degli atti in relazione alla data di deposito, al loro contenuto ed alle finalità dei singoli documenti, peraltro in relazione al singolo fascicolo e non alla totalità della base di dati o a parti di essa.
Evidentemente non si può pretendere (e, anzi, dovremmo pretendere l’esatto contrario come dirò fra poco) che l’AdSI verifichi la completezza e correttezza dei dati del soggetto iscritto nel registro delle notizie di reato!
È anche questo un problema di qualità del dato, ma non di qualità informatica.
Qui parliamo della qualità delle informazioni che sono immesse nella base di dati ovvero che l’indagato sia iscritto con il suo nome esatto e non con un nome sbagliato, che la sentenza di assoluzione sia annotata tempestivamente, che la copia scannerizzata dell’atto di TIAP sia leggibile (per seguire gli esempi già fatti). Gli informatici dicono “Garbage in, garbage out” ovvero se mettete spazzatura nei sistemi informatici, ne tirerete fuori spazzatura, MA NON È COLPA NOSTRA!
È il Dirigente ad avere la responsabilità esclusiva di quest’altra qualità dei dati e “ne verifica periodicamente, anche attraverso il personale dell’ufficio all’uopo incaricato ed anche utilizzando strumenti automatici, correttezza ed aggiornamento, assumendo le conseguenti iniziative” (art. 13, co. 3, d.M. cit.).
Come ho detto prima, non si tratta di un aspetto secondario: ne va della stessa affidabilità della banca dati, come e quanto un sistema non accessibile quando lo vogliamo consultare.
Nell’area penale utili raccomandazioni sulla qualità dei dati relativi all’iscrizione nel registro delle notizie di reato sono state fornite dalla circolare del D.A.G. del 11.11.16. La circolare va segnalata, oltre che per i suoi contenuti, per il metodo seguito, essendo frutto del lavoro di un gruppo composto di Dirigenti di importanti uffici giudiziari e del personale di tutte le articolazioni ministeriali interessate. Coerentemente all’approccio riferito al DOMINIO e non solo ai registri, la circolare si occupa anche delle notizie di reato trasmesse via pec da soggetti privati e tramite Portale NDR dalle Forze dell’Ordine.
La stessa circolare auspica che una ricognizione delle prassi a livello di DOMINIO per i dati giudiziari penali (base di dati del registro, degli atti e dei documenti) sia sviluppata anche per le fasi successive all’iscrizione della notizia, in teoria fino ai dati trattati dal Tribunale di Sorveglianza, anche in chiave di analisi delle necessità degli Uffici giudiziari in vista delle successive evoluzioni dei sistemi informatici.
Come per altri compiti dei Dirigenti anche questi possono essere delegati: “Il dirigente o responsabile dell’ufficio può nominare uno o più delegati per le attività di controllo sui dati di propria competenza” (art. 13, co. 4), che può essere anche attribuita al personale di altro ufficio, quando le operazioni devono essere effettuate in un circondario/distretto diverso da quello del Dirigente (co. 5).
L’archivio dei provvedimenti.
Un caso di archeologia di informatica giudiziaria e (temo) di incuria nel rispetto della normativa di settore è la previsione dell’archivio digitale dei provvedimenti presso la cancelleria del tribunale e della corte di appello (art. 15 d.P.R. n. 264/2000).
Nell’archivio dovevano essere conservati, in copia, le sentenze e gli altri provvedimenti in materia civile e penale, da determinarsi con decreti del Ministro della giustizia, che non so se siano mai stati emanati.
Questo compito era affidato al Dirigente amministrativo, che doveva indicare per iscritto i soggetti che procedevano a fare la copia digitale del provvedimento al momento del suo deposito, ad acquisire nell’archivio digitale ogni annotazione riportata sull’originale del provvedimento, ad autenticare la copia informatica del provvedimento e le successive annotazioni mediante la firma digitale (art. 16).
Questo anche per i provvedimenti del giudice di pace (art. 17), con l’unica differenza che il supporto informatico contenente la raccolta dei provvedimenti, in presenza di ragioni organizzative e tecniche, poteva essere collocato presso il tribunale nel cui circondario si trovava l’ufficio, con decisione assunta dal dirigente del C.I.S.I.A., sentiti il responsabile SIA, il presidente del tribunale e il coordinatore dell’ufficio del giudice di pace.
L’archiviazione si doveva fare su supporti non riscrivibili, secondo le regole tecniche emanate dall’Autorità per l’informatica nella pubblica amministrazione a norma dell’articolo 2, comma 15, della legge 24 dicembre 1993, n. 537, eliminabili dopo tre anni dal deposito del provvedimento (art. 18).
La qualità delle basi di dati secondo il Consiglio.
Se è importante configurare l’accesso alle basi di dati da parte degli utenti (che, in fondo, trattano i dati che devono lavorare), è ancor più importante configurare l’accesso da parte di coloro che devono controllare la qualità dei dati, nei due sensi appena visti, perché trattato TUTTI I DATI.
È importante notare che gli attuali sistemi informatici consentono di mantenere nettamente separata la gestione degli utenti e l’accesso alla base di dati. In altri termini è possibile costruire un sistema informatico non “gerarchico” in cui chi mi autorizza ad accedere al sistema non può vedere quello che faccio all’interno del sistema.
È, però, vero che chi è chiamato a manutenere la base di dati può facilmente avere accesso al suo contenuto.
Se ho ben compreso quanto ha spiegato la D.G.S.I.A. nel corso dedicato ai RID su Ragione tecnologica e Processo, la sicurezza del DOMINIO dovrebbe essere assicurata da una centralizzazione ancora più spinta dei servizi informatici -saldamente gestiti dal Ministero in modo da assicurare sempre e comunque il Disaster Recovery e garantire sempre di più la Business Continuity, concetti richiamati dall’art. 32, co. 1, lett. b) e c), reg. UE n. 679/2016- e da una netta separazione delle competenze sui servizi informatici (qualità informatica) e sui dati giudiziari (qualità del dato). In particolare i sistemi dovrebbero essere fatti in modo che l’AdSI non possa proprio “vedere” i dati contenuti nella base di dati, che sarebbero criptati e visibili solo agli operatori designati dal Dirigente.
Se fosse realmente attuato questo proposito, rappresenterebbe una semplificazione e chiarificazione notevole delle responsabilità e dei compiti del Ministero e dei Dirigenti ed un’attuazione piena dell’indipendenza dell’autorità giudiziaria nella gestione dei dati giudiziari.
In attesa delle necessarie evoluzioni dei sistemi informativi che rendano possibili questi obiettivi, un tangibile passo in avanti sul tema della sicurezza informatica dovrebbe essere rappresentato dalla diffusione di un documento sulla sicurezza più adeguato ai tempi moderni, che prenda spunto dalle concrete esigenze di sicurezza dei singoli Uffici giudiziari e, soprattutto, dalle caratteristiche dei dati giudiziari trattati, pure anticipata nel corso citato. Si potrebbe finalmente mandare in soffitta un adempimento che fino ad ora è stato meramente formale e valorizzare, invece, i soggetti che sono realmente necessari alla tutela della sicurezza dei dati personali ed alla qualità delle nostre basi di dati.
L’importanza del tema si evince dai numerosi interventi del Consiglio Superiore, anche per assicurare l’effettività dei programmi di gestione e, più in generale, il macro-governo dell’attività giudiziaria (art. 105 Cost.). Qui mi limito a ricordare quanto prevede la Circolare P 20909 citata all’inizio sui soggetti chiamati ad assicurare la qualità dei dati, con quanto ne segue in ordine ai loro profili di autorizzazione.
L’art. 4 prevede che i RID curano, all’interno della Commissione flussi, la qualità e la completezza dei dati, anche in occasione della verifica annuale da parte di Consigli Giudiziari del raggiungimento degli obiettivi del programma di gestione (co. 8). I MagRif, invece, relazionano ogni anno sulle iniziative assunte per assicurare la qualità e l’aggiornamento dell’inserimento dei dati (co. 4, lett. b).
In particolare i RID, coadiuvati dai MAGRIF, d’intesa con i dirigenti, i funzionari statistici ed i locali Cisia, promuovono l’adozione di criteri omogenei per l’imputazione dei dati nei registri e promuovono una verifica periodica della corretta tenuta dei registri informatici e delle banche dati. Sui risultati della verifica i RID relazionano tempestivamente ai dirigenti degli uffici qualora vengano rilevate criticità che incidano sulla qualità dei dati informatici e statistici, indicando rimedi e soluzioni da adottare (art. 4, co. 9, primo periodo).
L’Ufficio per l’Innovazione del Distretto di Bari ha chiesto al Consiglio quali sono le modalità, le tempistiche ed i criteri che i RID devono utilizzare per verificare la corretta tenuta dei registri informatici e delle banche dati dei settori civile e penale e quale sia l’ambito concreto di applicazione avuto riguardo alla discrezionalità dei Dirigenti degli Uffici.
La circolare del 2016 ha già dato alcune risposte, prevedendo che i Presidenti della Corte d’Appello mettono a disposizione dell’U.D.I. la struttura necessaria per lo svolgimento del compito e li dotano di tutte le risorse (logistiche, tecniche e umane) idonee ad assicurare l’attività di segreteria, protocollo e archivio degli atti in entrata e in uscita ed agevolano i rapporti del RID con la dirigenza amministrativa e i funzionari statistici, fissando apposite riunioni o incontri al fine di fornire al RID l’ausilio necessario per lo svolgimento del proprio incarico e la circolazione di tutte le informazioni (art. 3, co. 1). La consultazione delle basi di dati sarà, poi, garantita dall’accesso diretto agli archivi digitali degli uffici del distretto per quanto di competenza presso il nuovo sistema informatico del CSM (art. 1, co 1). La partecipazione dei RID alla Commissione flussi (nei quali devono fornire il loro parere sulla congruità dei dati e su ogni altro profilo di interesse della Commissione, cfr. sempre l’art. 1, co. 1) consente di fatto l’accesso a tutti i dati necessari per lo svolgimento dell’incarico, ferma la piena legittimazione a richiederli al titolare (v. art. 4, co. 9, secondo periodo).
Il Consiglio ha, poi, recentemente risposto con la nota P 9888/2018 del 8.6.18, richiamando, come sempre ormai, la necessità di un mutamento di mentalità nell’approccio alla qualità del dato, l’importanza del primo data entry (codice oggetto dei procedimenti civili, iscrizione della notizia di reato penale), precisando che: “Il controllo sulla correttezza dei dati non si esaurisce al momento della loro acquisizione ma deve essere previsto anche in occasione dei successivi trattamenti con il coinvolgimento di tutti gli operatori, dal personale amministrativo ai magistrati, secondo schemi condivisi e prestabiliti.”
Il dato normativo è, comunque, quello dell’art. 13 d.M. 27.4.09, per cui le risposte sono state le seguenti:
a) l’accesso ai registri informatici consentito ai Rid deve essere coerente con la natura di controllo organizzativo;
b) il concetto di corretta tenuta dei registri informatici e delle banche dati riguarda il rispetto della normativa di settore e l’assenza di anomalie di funzionamento;
c) la verifica può inserirsi in qualsiasi fase del procedimento civile o penale pendente, previa intesa con il capo dell’ufficio;
d) per i procedimenti con dati non ostensibili la verifica è subordinata all’intesa con il capo dell’ufficio;
e) il Rid ha facoltà di emanare raccolte di criteri omogenei per la visualizzazione dei dati.
Se le domande dell’UDI di Bari mettono bene a fuoco la difficoltà di applicare le misure che assicurano la qualità delle basi di dati al settore giudiziario, la centralità di questi compiti è sottolineata dalla previsione che il loro mancato adempimento è valutata dalla Settima Commissione ai fini della revoca anticipata e del rinnovo nell’incarico di RID (art. 9, co. 10, Circolare).
Forse la designazione dei RID come DPO potrà rappresentare una quadratura del cerchio (sempre se adeguatamente formati ed effettivamente esonerati nella misura prevista dalla Circolare)?
Le risorse HW del DOMINIO.
Le battute finali sono dedicate alle risorse SW ed HW, le case e le strade del DOMINIO.
La Circolare del Consiglio prevede che il Dirigente deve distribuire le risorse HW previo parere del MagRif, che può anche delegare allo scopo (art. 4, co. 7).
In realtà la distribuzione delle risorse è saldamente nelle mani del Ministero, che provvede agli acquisti e, sostanzialmente, anche alla distribuzione.
Secondo il d.M. 27.4.09 la D.G.S.I.A. dovrebbe identificare le componenti del sistema informatico mediante un dettagliato inventario (art. 5). Nel contratto di assistenza sistemistica e applicativa è inclusa la creazione e l’aggiornamento dell’inventario dei dispositivi informatici connessi alla rete informatica in modo automatizzato, analogo al monitoraggio dei sistemi previsto dall’art. 10.
Per ora sono gli AdSI a tenere l’inventario (co. 3), che dovrebbe essere disponibile a tutti gli uffici interessati (co. 4).
Per un DOMINIO “sotto un unico cielo”.
Il Dirigente è tenuto ad utilizzare i sistemi informativi ministeriali nel suo Ufficio giudiziario “in modo da garantire l’uniformità delle procedure di gestione nonché le attività di monitoraggio e di verifica della qualità e dell’efficienza del servizio” (art. 1, co. 1 bis, d.lg. n. 240/2006).
L’elenco dei SW ministeriali dovrebbe essere pubblicato sul sito dell’Amministrazione ovvero sul PST (art. 12, co. 2, d.M. 27.4.09). Per l’area penale non mi risulta che ciò sia accaduto, ma forse ci sono dei problemi legati alla sicurezza di questi sistemi, che non ci sono per quelli dedicati all’area civile ed amministrativa.
Tutti i SW ministeriali dovrebbero essere accompagnati da apposita documentazione di utilizzo, costituita da un manuale di amministrazione ed un manuale di utilizzo, disponibile sia in forma cartacea che in forma elettronica (art. 14 d.M. cit.).
Non è questa la sede per affrontare anche questo tema, ma è evidente che la formazione all’utilizzo dei SW ministeriali è una priorità individuata dal Consiglio Superiore e dal Ministero, che i Dirigenti devono richiedere ai RID ed ai MagRif ed al Ministero.
Il Dirigente deve chiedere l’autorizzazione al Responsabile S.I.A. per l’utilizzo di ogni altro SW (cd. applicativi domestici), come previsto dall’art. 12 d.M. 27.4.09 e ribadito con nota del 21.12.16 del Responsabile.
Il divieto di installazione di SW non autorizzati è, infatti, un corollario dei doveri di salvaguardia delle basi di dati che incombe sul Responsabile S.I.A. a norma dell’art. 15 d.M. 27.4.09, che comprende, fra l’altro:
a) modalità di gestione delle utenze;
b) modalità di comportamento delle utenze agli effetti della sicurezza informatica;
c) controllo fisico e logico degli accessi ai sistemi informatici;
d) politiche, modalità esecutive e strumenti per la salvaguardia dei dati (backup, disaster recovery, ecc.);
e) politiche e modalità esecutive per la conservazione e la riproduzione dei supporti fisici dei dati;
f) gestione dei sistemi di protezione dagli attacchi informatici (antivirus, antispam, firewall, IDS, IPS, ecc.);
g) modalità e strumenti di supporto per il controllo e il monitoraggio della sicurezza informatica;
h) procedure di verifica e controllo dei livelli di sicurezza informatica;
i) politiche per la formazione degli utenti in tema di sicurezza informatica.
In tema di back up o, come si dovrebbe in italiano, di salvataggio e conservazione dei dati, l’art. 9 d.M. cit. dispone che il Responsabile S.I.A. definisce le procedure per il salvataggio (backup) e per il recupero (recovery) dei dati con cadenza almeno giornaliera e di una copia storica dei dati con frequenza almeno triennale. Eseguita tale operazione, dal registro in uso possono essere eliminati i dati relativi agli affari esauriti da almeno due anni.
Il comma 5 prevede che il sistema di consultazione della copia storica dei dati ne garantisca la leggibilità (richiamo il concetto espresso pima) nel tempo e l’autenticità, secondo le regole tecniche emanate ai sensi degli articoli 22 e 71 del decreto legislativo 7 marzo 2005, n. 82.
Nella stessa logica di sicurezza spetta al Responsabile S.I.A. dettare le regole tecniche dei processi telematici, come prevede l’art. 34 d.m. n. 44/2011.
[Per una proposta di ricostruzione sistematica della rilevanza delle regole sui servizi per il processo telematico nell’esercizio della giurisdizione rinvio a Il processo telematico e la lezione del Gattopardo, in Questione Giustizia ed alla bibliografia citata.]
Per completezza dell’informazione accenno solo all’entrata in vigore della direttiva NIS, che istituisce una rete di esperti in sicurezza informatica a livello europeo, che però si applica ai servizi essenziali esclusi i fornitori di servizi informatici (gestori delle reti e prestatori dei servizi fiduciari di identificazione e firma elettronici già soggetti a specifici obblighi). L’art. 1, co. 6, d.lg. n. 65/2018 precisa anche che “Il presente decreto lascia impregiudicate le misure adottate per salvaguardare le funzioni essenziali dello Stato, in particolare di tutela della sicurezza nazionale, comprese le misure volte a tutelare le informazioni, nei casi in cui la divulgazione sia ritenuta contraria agli interessi essenziali di sicurezza e di mantenimento dell’ordine pubblico, in particolare a fini di indagine, accertamento e perseguimento di reati.”
Secondo la Circolare i MAGRIF rilevano l’utilizzazione di programmi informatici non ministeriali nei rispettivi uffici, ne danno comunicazione ai RID che relazionano alla settima Commissione, evidenziando fra l’altro se si tratti di sistemi alternativi a quelli ministeriali ovvero ad essi complementari o sussidiari, e ne descrivono la natura e l’utilità (art. 4, co. 5).
L’utilizzo di SW domestici e la gestione dei siti web (per la quale va menzionata la circolare del D.O.G. del 13.10.17) sono alcuni fra i punti di maggior frizione fra Ministero ed Uffici giudiziari, perché non è stato ancora trovato -a mio avviso- un ragionevole equilibrio fra le necessità imposte dalla sicurezza informatica (rappresentata dai divieti di diritto o di fatto imposti ai Dirigenti) e quelle richieste per l’efficacia dei servizi informatici forniti agli Uffici giudiziari (rappresentata dal continuo censimento richiesto dal Consiglio).
Come nel film Hero, è possibile che le antiche libertà dei sette regni della Cina (gli uffici giudiziari) debbano essere sacrificate per la grandezza di un impero “sotto un unico cielo” (il DOMINIO), ma occorre garantire la leale cooperazione fra Ministero (il re di Qin del film) ed Autorità giudiziaria, perché i servizi informatici alla giustizia impattano ormai direttamente sulla funzionalità dei processi e non possono più essere appannaggio esclusivo del Ministero, come il Consiglio Superiore non manca di ricordare nelle annuali delibere sullo stato dei Processi Telematici.
