CONVENZIONE

(disponibilità banca dati per le PA)

Convenzione tra lâI.C. Laura Lanza e ___________________________ per lâaccesso, la trasmissione e la consultazione dei dati relativi allâarchivio anagrafico in via telematica.

Lâanno duemila_____________, addì ________________ del mese di ________________ tra:

1) prof. Giampiero Finocchiaro nato a Palermo il 14 gennaio 1962, dirigente scolastico dellâI.C. Laura Lanza di Carini (PA), il quale interviene nel presente atto e stipula nella sua qualità di legale rappresentante della scuola sopra citata (di seguito anche âlâAmministrazione titolareâ ovvero âlâAmministrazione erogatriceâ), avente il n. di codice fiscale

80056780820;

e:

2) ________, nato a _____, domiciliato per la carica in ______, ______ n. â, il quale interviene nel presente atto e stipula nella sua qualità di ________, in forza di ____________, per conto ed in legale rappresentanza del _________ (di seguito anche âlâAmministrazione fruitriceâ ovvero âlâAmministrazionebeneficiariaâ), avente il n. di codice fiscale ________

PREMESSO:

A) che lâart. 58, comma 2, del Codice di Amministrazione Digitale, di seguito denominato anche il CAD (D.Lgs. 7 marzo 2005 n. 82, come modificato e integrato dal successivo D.Lgs. 30 Dicembre 2010 n. 235), prevede lâaccesso alla consultazione, la circolazione e lo scambio di dati e informazioni delle Pubbliche amministrazioni, nonché lâinteroperabilità dei sistemi e lâintegrazione dei processi di servizio tra le diverse amministrazioni, imponendo la predisposizione di apposite convenzioni, da redigere secondo le linee guida dettate da DigitPa, sentito il parere dellâAutorità garante per la protezione dei dati personali, per la fruibilità di dati delle pubbliche amministrazioni;

B) che la materia dellâaccesso ai dati detenuti dalle Pubbliche Amministrazioni, del loro scambio e della loro interazione è disciplinata altresì dalle seguenti disposizioni del CAD:

- art. 50, in ordine alle modalità di formazione, conservazione e accessibilità dei dati delle Pubbliche amministrazioni;

- art. 52, in ordine alla disciplina dellâaccesso telematico e della riutilizzazione dei dati e documenti delle pubbliche amministrazioni;

- art. 73, comma 1, in ordine alla creazione del Sistema pubblico di connettività (SPC), finalizzato ad assicurare il coordinamento informativo e informatico dei dati tra le amministrazioni e di promuovere lâomogeneità nella elaborazione e trasmissione dei dati stessi, volta allo scambio e diffusione delle informazioni tra le pubbliche amministrazioni e alla realizzazione di servizi integrati;

C) che lâart. 57, commi 13 e 14, D.Lgs. 30 dicembre 2010, n. 235, nel recare la disciplina transitoria degli adempimenti introdotti dal CAD, fissa i termini di attuazione per lâadozione delle linee guida e per la predisposizione delle convenzioni di cui alla precedente lettera A), previste dallâart. 58 del CAD;

D) che il tema dei rapporti tra Pubbliche amministrazioni ai fini della semplificazione documentate è regolamentato anche dal D.P.R. 28 dicembre 2000, n.445 e, in particolare, dalle norme di seguito riportate:

- art. 43, recante âAccertamenti dâufficioâ;

- art. 46, recante âDichiarazioni sostitutive di certificazioniâ;

- art 47, recante âDichiarazioni sostitutive dellâatto di notorietàâ;

E) che il D.Lgs. 30 giugno 2003, n.196, codice in materia di protezione dei dati personali (di seguito anche, per brevità, il Codice della privacy), regolamenta le procedure riguardanti la protezione dei dati personali;

F) che la direttiva del Ministro della pubblica amministrazione e della semplificazione n. 14/2011 del 22.12.2011, trasmessa con circolare del Ministero dellâInterno - Dipartimento per gli affari interni eterritoriali n. 33/2011 del 23.12.2011, nellâillustrare le citate novità normative e gli adempimenti ad esse connessi, ha espressamente richiamato lâart. 58, comma 2, del D.Lgs. 82/2005, invitando le amministrazioni ad operare, per lo scambio dei dati per via telematica, secondo quanto previsto da tale disposizione, sulla base delle linee guida redatte da DigitPa, attraverso apposite convenzioni aperte allâadesione di tutte le amministrazioni interessate e volte a disciplinare le modalità di accesso ai dati da parte delle stesse amministrazioni procedenti, senza oneri a loro carico;

G) che, come indicato nellâora menzionata direttiva n. 14/2011, le citate linee guida sono state adottate il 22 aprile 2011 e sono consultabili sul sito istituzionale di DigitPa;

H) che Lâi.c. Laura Lanza, nellâintento di adeguare il proprio operato ai processi di semplificazione amministrativa promossi dalle disposizioni sopra richiamate e di favorire lâintegrazione e la cooperazione con le amministrazioni nazionali, regionali e locali anche mediante lâaccesso e la consultazione ai dati reciprocamente detenuti per fini istituzionali, ha ritenuto di predisporre la presente convenzione secondo i criteri di cui alle linee guida dettate da DigitPa, onde consentirne lâadesione alle amministrazioni interessate;

I) che, secondo quanto previsto dal punto 3.1 delle linee guida, la presente convenzione è rivolta a tutti i soggetti pubblici che, ricadenti nellâambito del perimetro di applicazione del CAD (art. 2, commi 2 e 4), hanno necessità di accedere a dati trattati dalle Pubbliche amministrazioni per lo svolgimento dei compiti istituzionali e che pertanto lâaccesso ad essa è ammesso anche alle società interamente partecipate da enti pubblici, ai gestori di servizipubblici e agli organismi di diritto pubblico, anche ai sensi e per gli effetti del Capo V del CAD (artt. 50-66);

L) che il presente atto, in quanto redatto secondo le linee guida dettate da DigitPa in data 22 aprile 2011, risulta conforme alle prescrizioni contenute nel provvedimento del Garante per la protezione dei dati personali del 6 ottobre 2005 (pubblicato nella G.U.n. 248 del 24 ottobre 2005);

M) che il Garante per la protezione dei dati personali ha contestualmente dettato le seguenti raccomandazioni:

a) verificare più attentamente la qualifica soggettiva dei richiedenti e la motivazione di pubblica

utilità da essi perseguita;

b) porre maggiore attenzione a presupposti, limiti e modalità previste dalla disciplina che riguarda singoli atti e documenti;

c) individuare soluzioni più idonee per consentire il tracciamento di operazioni di richiesta e di comunicazione di dati;

d) escludere soggetti privati esterni dalla facoltà di consultare direttamente i dati, di acquisirne elenchi su richiesta e di abilitare allâaccesso altri soggetti;

e) rivedere lâattuale configurazione della gestione allâesterno (c.d. outsourcing) del servizio anagrafico;

N) che la presente convenzione: a) non consente trattamenti di dati per finalità diverse da quelle istituzionali e di legge e sancisce il divieto di divulgazione dei dati (artt. 2 e 4); b)impone allâAmministrazione beneficiaria di designare il responsabile del trattamento che avrà lâobbligo di individuare formalmente gli incaricati al trattamento allâinterno della propria struttura (artt. 4 e 6); c) disciplina le modalità di accesso alla banca dati in modo da prevederne il costante monitoraggio e non consente accessi a soggetti terzi rispetto a quella convenzionata (artt. 4, 5 e 6);

O) che, quanto alle raccomandazioni dettate dal Garante della privacy, le parti nella redazione della presente convenzione si sono scrupolosamente ad essa attenute.

P) che sussistono le condizioni per procedere alla stipulazione del presente atto;

TUTTO CIO PREMESSO,

volendosi ora tradurre in contratto definitivo quanto sopra, fra le suddette parti si conviene e stipula quanto segue:

Art. 1

(Rinvio alle premesse)

1. Le parti contraenti riconoscono come rispondente alla loro volontà la premessa in narrativa che forma parte integrante e sostanziale del presente atto.

Art. 2

(Oggetto della convenzione)

1. lâI.C: Laura Lanza in qualità di Amministrazione erogatrice si impegna a garantire allâAmministrazione beneficiaria lâaccesso allâarchivio anagrafico per finalità connesse allâacquisizione dâufficio e al controllo sulle dichiarazioni sostitutive riguardanti informazioni e dati relativi a stati, qualità personali e fatti di cui agli artt. 46 e 47 del D.P.R. 28 dicembre 2000, n. 445.

Art.3

(Verifica nel tempo delle finalità)

1. LâAmministrazione erogatrice si impegna a verificare, con cadenza periodica semestrale,lâattualità e il permanere delle finalità di accesso ai dati per cui è stato richiesto lâaccesso.

Art. 4

(Impegni ed assicurazioni)

1. LâAmministrazione beneficiaria si impegna per parte sua in particolare a:

a. utilizzare le informazioni acquisite dal titolare esclusivamente per le finalità dichiarate, nel

rispetto della normativa vigente, anche in materia di consultazione delle banche dati, osservando le misure di sicurezza ed i vincoli di riservatezza previsti dalCodice della privacy;

b. procedere al trattamento dei dati personali, in particolare di quelli sensibili, osservando le misure di sicurezza ed i vincoli di riservatezza previsti dal Codice della privacy rispettando i canoni di pertinenza e non eccedenza nel trattamento delle informazioni acquisite;

c. garantire che non si verifichino divulgazioni, comunicazioni, cessioni a terzi, né in alcun modo riproduzioni dei dati nei casi diversi da quelli previsti dalla legge, provvedendo ad impartire, ai sensi dellâart. 30 del Codice della privacy, precise e dettagliate istruzioni agli incaricati del trattamento, richiamando la loro attenzione sulle responsabilità connesse allâuso illegittimo dei dati;

d. non duplicare i dati resi disponibili e a non creare autonome banche dati non conformi alle finalità per le quali è stato autorizzato lâaccesso;

e. garantire che lâaccesso ai dati verrà consentito esclusivamente a personale o assimilati ovvero da soggetti che siano stati designati dal beneficiario quali incaricati o responsabili esterni del trattamento dei dati;

f. avere piena conoscenza del Codice della privacy e della possibilità di controlli ivi previsti per verificare il rispetto dei vincoli di utilizzo dei servizi, previo preavviso tra le rispettive funzioni organizzative preposte alla sicurezza. Per lâespletamento di tali controlli, che potranno essere effettuati anche presso le sedi del beneficiario dove viene utilizzato il servizio, Il beneficiario si impegna a fornire ogni necessaria collaborazione;

g. cancellare i dati ricevuti dal titolare, non appena siano state utilizzate le informazioni secondo le finalità dichiarate;

h. formare gli utenti abilitati sulle specifiche caratteristiche, proprietà e limiti del sistema utilizzato per lâaccesso ai dati ed a controllarne il corretto utilizzo; i. garantire lâadozione al proprio interno delle regole di sicurezza atte ad:

⢠adottare procedure di registrazione che prevedano il riconoscimento diretto e lâidentificazione certa dellâutente;

⢠adottare regole di gestione delle credenziali di autenticazione e modalità che ne assicurino adeguati livelli di sicurezza quali ad esempio: I. identificazione univoca di una persona fisica; II. processi di emissione e distribuzione agli utenti in maniera sicura seguendo una stabilita

procedura operativa; III. misure di sicurezza e credenziali costituite da un dispositivo in possesso ed uso esclusivo dellâincaricato e provvisto di pin o una coppia username/password, o, infine, da credenziali che garantiscano analoghe condizioni di robustezza; IV. nel caso le credenziali siano costituite da una coppia username/password, previsione di politiche di gestione della password che rispettino le misure minime di sicurezza previste dal Codice della Privacy;â la procedura di autenticazione dellâutente deve essere protetta dal rischio di intercettazione delle credenziali da meccanismi crittografici di robustezza adeguata;

i. utilizzare i sistemi di accesso ai dati in consultazione on line esclusivamente secondo le modalità con cui sono stati resi disponibili e, di conseguenza, a non estrarre i dati per via automatica e massiva (attraverso ad esempio i cosiddetti ârobotâ) allo scopo di velocizzare le attività e creare autonome banche dati non conformi alle finalità per le quali è stato autorizzato allâaccesso;

m. comunicare altresì:

⢠tempestivamente allâamministrazione titolare incidenti sulla sicurezza occorsi al proprio sistema di autenticazione qualora tali incidenti abbiano impatto direttamente o indirettamente nei processi di sicurezza afferenti la cooperazione applicativa lâamministrazione titolare;

⢠al titolare ogni eventuale esigenza di aggiornamento di stato degli utenti gestiti (nuovi inserimenti, disabilitazioni, cancellazioni) in caso di consultazione on line;

⢠al titolare ogni modificazione tecnica e/o organizzativa del proprio dominio, che comporti lâimpossibilità di garantire lâapplicazione delle regole di sopra riportate e/o la loro perdita di efficacia.

n. garantire, in caso di cooperazione applicativa, che i servizi resi disponibili verranno esclusivamente integrati con il proprio sistema informativo e non saranno resi disponibili a terzi né direttamente né indirettamente per via informatica. Infine il titolare, al fine di salvaguardare la sicurezza dei propri sistemi informativi, può prevedere ulteriori strumenti di gestione atti a gestire i profili di abilitazione, verificare accessi anomali, provvedere al tracciamento delle operazioni di accesso.

Art.5

(Consultazioni dellâarchivio anagrafico - Controlli)

1. LâI. C. Laura Lanza per lâaccesso e la consultazione del proprio archivio anagrafico consente allâamministrazione fruitrice interrogazioni a valori di tipo booleano; qualora ciò non sia possibile, ovvero risulti necessaria la produzione di dati prelevati dalla base di dati dellâamministrazione erogatrice, è prevista lâadozione di misure e accorgimenti modulati secondo le specifiche caratteristiche della modalità tecnica adottata.

2. Le informazioni personali acquisite dallâarchivio anagrafiche devono essere trattate unicamente da parte di soggetti incaricati dallâamministrazione beneficiaria per svolgere esclusivamente le funzioni che hanno legittimato il collegamento.

3. Lâamministrazione erogatrice si impegna altresì a consentire la segmentazione dei dati visualizzabili al fine di rendere consultabili dallâutente, anche in base al proprio profilo e in relazione al bacino di utenza dellâamministrazione fruitrice, esclusivamente i dati necessari rispetto alle finalità perseguite, considerato e convenuto che con il presente atto viene consentito lâaccesso alle sole informazioni pertinenti e non eccedenti rispetto alla finalità istituzionale perseguita dalla convenzione stessa.

4. Danno atto le parti che lâI.C. Laura Lanza può predisporre funzionalità di login che consentano di tracciare lâutente o il ruolo dellâutente che effettua lâaccesso.

5. Danno atto altresì le parti che è prevista lâeffettuazione di periodici controlli da parte del Garante per la Privacy, con lâeventuale supporto da parte dellâamministrazione erogatrice, in merito allâuso del dato da parte dellâamministrazione fruitrice.

6. LâI.C. Laura Lanza si riserva inoltre di eseguire periodici controlli sugli accessi effettuati dallâamministrazione fruitrice, anche attraverso appositi strumenti di monitoraggio e alert i cui esiti devono essere documentati attraverso lâestrazione ed archiviazione su supporto non riscrivibile dellâelenco degli accessi con cadenza mensile.

7. Ai fini dellâesercizio del controllo previsto dal presente articolo, lâI.C. Laura Lanza, essendo tenuto disporre di informazioni complete e strutturate sulla molteplicità di soggetti che, a vario titolo, accedono alle banche dati, può predisporre e rendere pubblico tramite il proprio sito web un documento che riporti tutti i flussi di trasferimento di dati da e verso la bancadati e tutti gli accessi di tipo interattivo o di altro genere, specificando per ciascun flusso o accesso:

- lâidentità dei soggetti legittimati ad effettuare lâaccesso e il relativo riferimento normativo (anche ai sensi dellâart. 1, comma 2 del Codice, previa comunicazione al Garante);

- la finalità istituzionale, la natura e la qualità dei dati trasferiti o a cui si è avuto accesso;

- la frequenza e il volume dei trasferimenti o degli accessi e il numero di soggetti che utilizzano la procedura.

8. Tale documento dovrà essere mantenuto costantemente aggiornato, nonché reso disponibile nel caso di controlli.

Art. 6

(Modalità di accesso)

1. Lâaccesso alla base dati anagrafica avviene in modalità âOn Lineâ attraverso la messa a disposizione da parte dellâAmministrazione erogatrice di un applicativo web di consultazione per lâuso da parte dellâAmministrazione beneficiaria legittimata ad accedere attraverso profili di autorizzazione preventivamente definiti nella forma di âuser idâ e âpasswordâ. Così come previsto nelle citate Linee Guida dettate da DigitPa in data 22 aprile 2011, il servizio di consultazione unitamente alle relative istruzioni dâuso e di accreditamento è disponibile sul portale istituzionale dellâAmministrazione erogatrice in apposita sezione denominata âDATI FRUIBILI DA ALTRE AMMINISTRAZIONIâ. Il Responsabile al trattamento dati dellâAmministrazione beneficiaria comunica i nominativi dei soggetti incaricati allâaccesso ed al trattamento dei dati al Responsabile del trattamento dati dellâAmministrazione erogatrice, che provvederà a fornire a ciascuno credenziali e istruzioni dettagliate. LâAmministrazione erogatrice si riserva di poter modificare gli strumenti tecnologici di gestione del servizio in funzione delle proprie esigenze e a darne comunicazione allâAmministrazione beneficiaria al fine di dare continuità al servizio medesimo.

Art. 7

(Oneri economici)

1. Non sono dovuti oneri economici da parte dellâAmministrazione beneficiaria a quella erogatrice del servizio, mentre rimangono a carico dellâAmministrazione beneficiaria i costi di interconnessione âOn Lineâ alle banche dati dellâAmministrazione erogatrice.

Art.8

(Durata)

1. La convenzione ha la durata di anni uno, con decorrenza dal primo giorno del mese successivo alla sua sottoscrizione, e pertanto dal _______________ al ______________________. 2. Alla scadenza essa potrà, previa adozione di apposito atto da parte dellâorgano competente delle Amministrazioni contraenti, essere rinnovata per ulteriori anni uno.

3. In mancanza degli adempimenti previsti al comma 2, la convenzione sarà definitivamente risolta alla scadenza come sopra fissata.

Art.9

(Trattamento e conservazione)

1. I dati dellâAmministrazione titolare sono resi accessibili a quella beneficiaria esclusivamente perle motivazioni indicate in premessa, alla quale viene affidato lâonere del trattamento e della conservazione nel pieno rispetto di quanto previsto dal D.Lgs. 30 giugno 2003, n.196, codice in materia di protezione dei dati personali.

Art. 10

(Titolarità)

1. La titolarità del dato rimane dellâAmministrazione erogatrice e conseguentemente i soggetti richiedenti non possono in alcun caso cedere a terzi le informazioni alle quali accedono attraverso la convenzione.

Art. 11

(Spese contrattuali)

1. Il presente atto è soggetto a registrazione solo in caso dâuso, ai sensi degli artt. 5 e 6 del D.P.R. 26 aprile1986, n. 131 e dellâart. 2 della Parte Il della tariffa ad essa allegata, in quanto redatto in forma privatistica, e le spese di una sua eventuale registrazione con applicazione dellâimposta di registrazione in misura fissa ai sensi dellâart. 40 del medesimo D.P.R. 131/1986 sono a carico del richiedente.

2. La convenzione è esente dallâimposta di bollo, ai sensi dellâart. 16 della tabella B allegata al D.P.R. 26 ottobre 1972, n. 642, in quanto posto in essere e scambiato tra Pubbliche amministrazioni (ove ne ricorrano le condizioni).

Art.12

(Comunicazione)

1. LâAmministrazione erogatrice si impegna a comunicare allâUfficio dati pubblici di DigitPa (dati Questo indirizzo e-mail è protetto dallo spam bot. Abilita Javascript per vederlo. ) la stipula della presente convenzione ai sensi diquanto previsto dal comma 3 dellâart. 58 del Codice di Amministrazione Digitale. La comunicazione deve fornire in dettaglio:

- oggetto della convenzione;

- durata della convenzione;

- amministrazione fruitore;

- responsabili per la convenzione dellâAmministrazione titolare e dellâAmministrazione beneficiaria.

2. Danno atto e convengono le parti che lâI.C. Laura Lanza si riserva di recedere dalla convenzione per ragioni di pubblico interesse con effetto immediato, senza che lâAmministrazione beneficiaria, debitamente informata sul punto con la presente clausola, possa pretendere alcunché a qualsivoglia titolo nei confronti dellâI.C. Laura Lanza, nel caso in cui lâAmministrazione erogatrice ovvero le autorità di controllo e garanzia (Autorità garante per la protezione dei dati personali, DigitPa o altri), anche nellâesercizio dei poteri di cui allâart. 58 del CAD, ravvisino nella gestione ed utilizzo del servizio elementi di criticità e/o altri profili di non congruità ovvero segnalino eccezioni di altra natura.

3. Le parti si riservano altresì di apportare alla presente convenzione le modifiche e/o integrazioni eventualmente richieste dalle autorità di cui al comma 2.

lâamministrazione beneficiaria                                                              lâI.C. Laura Lanza

___________________________                                                    prof. Giampiero Finocchiaro