PREMESSO
SCHEMA DI CONVENZIONE FRA ACEA ATO2 SPA E IL COMUNE DI POMEZIA PER LA CONSULTAZIONE MEDIATA E MONITORATA DI DATI ANAGRAFICI
Il giorno 08 del mese di Novembre dell’anno 2021 Acea Ato2 S.p.A., di seguito indicato come la “Società” o “Fruitore”, CF e P. IVA 05848061007 con sede legale in Roma (RM), Piazzale Ostiense n.2, 00152 rappresentata da Xxx. Xxxxxxx Xxxxxxxxx, nato a Lubumbashi (ZRE) il 15 dicembre 1968 , nella sua qualità di Presidente e Rappresentante Legale pro tempore.
e
il Comune di Pomezia di seguito “Comune” o “Ente”, CF 0229849588 e P. IVA 01040151001 , con sede in Xxxxxx Xxxxxxxxxxxx 0 rappresentato da Xxxxxxx Xxxxxxx in qualità di sindaco in nome, per conto e nell’interesse del quale agisce,e di seguito congiuntamente denominate le “Parti”,
PREMESSO
a) che Acea Ato2 S.p.A. gestisce il Servizio Idrico Integrato (S.I.I.) nell'Ambito Territoriale Ottimale n. 2 Lazio Centrale Roma (ATO 2) così come da Convenzione sottoscritta in data 6 agosto 2002 con i Sindaci dell'ATO 2 e s.m.i.;
b) che la deliberazione ARERA 665/2017/R/idr, relativamente al Testo Integrato corrispettivi servizi idrici (TICSI), nonché le disposizioni di cui al D.P.C.M. 13 ottobre 2016 in materia di quantitativo minimo di acqua necessario al soddisfacimento dei bisogni essenziali di ciascun abitante ed eventuali successive modifiche ed integrazioni del contesto normativo e regolatorio, impongono ad Acea Ato2 S.p.A. di assicurare il rispetto dei compiti istituzionali previsti in virtù dell’affidamento del Servizio Idrico Integrato;
c) che con la delibera 4/2019 dell’11 novembre 2020 la Conferenza dei Sindaci dell’Ato2 ha approvato la nuova articolazione tariffaria, dando seguito alla disciplina contenuta nel TICSI; nella delibera in questione è stabilito che la nuova articolazione abbia decorrenza a partire dal 1° gennaio 2019;
d) che l’art. 3.3 e 3.4 del TICSI stabilisce che l’EGA (o altro soggetto) definisce, a partire dal 1° gennaio 2018, la quota variabile del servizio di acquedotto in considerazione dell’effettiva numerosità dei componenti di ciascuna utenza domestica residente. Qualora il Gestore non sia a conoscenza del numero, acquisisce
le informazioni ed i dati necessari e ne prevede la conseguente applicazione a decorrere dal 1° gennaio 2022;
e) che l’art. 15.2. dell’Allegato A della Deliberazione ARERA 63/2021/R/com sulle modalità applicative del riconoscimento automatico dei bonus sociali, in merito al criterio di calcolo del bonus rinvia esattamente all’art. 3.3. e 3.4 del TICSI;
f) che Acea Ato2 S.p.A. ha inviato un’informativa agli utenti domestici residenti con cui li invitava a comunicare il numero dei componenti al fine di ottenere una fatturazione adeguata all’effettivo consumo;
g) che gli utenti che hanno risposto all’informativa sono stati circa il 20% del totale (nello specifico: su
448.000 utenze domestiche residenti, solo 83.102 hanno comunicato il numero di componenti);
che a seguito di quanto sopra richiamato appare fondamentale che il gestore possa accedere alle informazioni relative al numero di Componenti il Nucleo Familiare (CNF) degli utenti residenti e possa altresì ricevere i dati aggiornati con cadenza annuale, al fine di poter applicare correttamente l’articolazione procapite come stabilito dal TICSI e possa erogare correttamente il bonus sociale idrico come stabilito dalla regolazione vigente;
Considerato
a) che le Pubbliche Amministrazioni sono chiamate ad improntare la loro azione a criteri di efficacia, efficienza ed economicità;
b) che in tale contesto, con lo svilupparsi della moderna tecnologia, assumono massima importanza le relazioni e gli accordi che, nel rispetto della vigente normativa, consentano, per uso di pubblica utilità, scambi e flussi di dati informatici, trasmissioni o visure telematiche di dati ed archivi, sì da conseguire, in un quadro preciso di garanzie per la tutela dei dati stessi, obiettivi di semplificazione e snellimento delle attività con contenimento e riduzione di tempi, spese ed uso di risorse e materiali;
c) che il Comune gestisce la propria banca dati anagrafica per mezzo di software e soluzioni informatiche, amministrata dai propri incaricati o responsabili esterni incaricati, garantendo le necessarie caratteristiche di riservatezza, disponibilità e integrità, attraverso le necessarie manutenzioni, gli aggiornamenti e garantendo l’implementazione di adeguate misure di sicurezza tecniche e organizzative;
d) che la Società ha necessità, per i propri adempimenti istituzionali, di consultare, verificare e visualizzare, per via telematica, i dati anagrafici della popolazione residente nel Comune oggetto della presente Convenzione, in modo da rispettare il disposto di cui all’articolo 37 del D.P.R. 223/1989 e s.m.i. in materia di divieto di accesso diretto agli archivi per le persone estranee all’ufficio anagrafe;
e) che l’art. 62, comma 3 del Codice dell’Amministrazione Digitale dispone che i Comuni possono consentire anche mediante apposite convenzioni la fruizione dei dati anagrafici da parte dei soggetti aventi diritto.
Inoltre, il comma 1 del medesimo articolo, istituisce l'Anagrafe Nazionale della Popolazione Residente (ANPR) che assicura l’accesso ai propri dati da parte dei soggetti di cui all'articolo 2, comma 2, lettere a) e b), tra cui vi rientrano i gestori di pubblici servizi. Tuttavia, allo stato non sono ancora state attivate le modalità di accesso all’ANPR.
f) Che, pertanto, nelle more dell’accesso all’ANPR, la Società intende sottoscrivere una “Convenzione per la consultazione dei dati anagrafici”, dichiarando che l’accesso ai dati avviene solo in ragione della sua utilità pubblica, per i motivi dichiarati nel presente atto;
g) che pertanto il responsabile incaricato dell’Ente, cui afferiscono i servizi oggetto della presente Convenzione, può aderire alla richiesta e mettere a disposizione del Fruitore l’accesso telematico ai dati anagrafici di proprietà del Comune in forma mediata, protetta e monitorata, sottoscrivendo la presente Convenzione;
h) che i dati anagrafici, in generale consultabili, sono specificamente indicati nel prosieguo della presente Convenzione e corrispondono alle finalità istituzionali del Fruitore;
i) che gli strumenti informatici a disposizione di entrambe le Parti consentono di effettuare l’instaurazione di flussi informativi protetti e riservati, in particolare adottando misure e tecniche di sicurezza che assicurino la cifratura delle informazioni, la loro integrità e la protezione da accessi non autorizzati;
j) che ciascuna delle parti ha nominato il proprio Responsabile della protezione dei dati personali di cui all’art. 37 del Regolamento Europeo (UE) 2016/679 (GDPR);
RICHIAMATI
la Legge 24/12/1954, n. 1228 che all’art. 1 stabilisce che “In ogni Comune deve essere tenuta l’anagrafe della popolazione residente, e il D.P.R. 30/05/1989, n. 223 “Regolamento anagrafico della popolazione residente” e s.m.i.;
l’art. 2, comma quinto della Legge 15/05/1997 n. 127, secondo cui i Comuni favoriscono, per mezzo di intese o convenzioni, la trasmissione di dati o documenti tra gli archivi anagrafici e dello stato civile, le altre pubbliche amministrazioni, nonché i gestori o esercenti di pubblici servizi, garantendo il diritto alla riservatezza delle persone e che tale trasmissione può avvenire anche attraverso sistemi informatici o telematici;
l’art. 2 del D. Lgs. n. 165 del 30/03/2001, secondo cui le pubbliche amministrazioni ispirano la loro organizzazione, fra l’altro, al criterio del collegamento delle attività degli uffici, adeguandosi al dovere di comunicazione interna ed esterna, ed interconnessione mediante sistemi informatici e statistici pubblici;
il Regolamento Europeo (UE) 2016/679 (GDPR) ed in particolare:
l’art. 4 recante le definizioni rilevanti ai fini dell’applicazione della normativa in materia di protezione e trattamento dei dati personali, ai sensi del quale (comma 2) tra l’altro, costituiscono “trattamento” di dati operazioni quali l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione;
l’art. 5 recante “Principi applicabili al trattamento di dati personali”; l’art. 6 sulla “Liceità del trattamento”;
il Capo IV che individua le responsabilità e i compiti del Titolare e del Responsabile del trattamento dei dati personali;
gli artt. 16, 43 e 71 del D.P.R. 445 del 28/12/2000 secondo cui:
o al fine di tutelare la riservatezza dei dati personali i certificati ed i documenti trasmessi ad altre pubbliche amministrazioni possono contenere soltanto le informazioni relative a stati, fatti e qualità personali previste da legge o da regolamento e strettamente necessarie per il perseguimento delle finalità per le quali vengono acquisite;
o in luogo di atti o certificati concernenti stati, fatti e qualità personali, le amministrazioni pubbliche e i gestori di pubblici servizi sono tenuti ad acquisire d’ufficio le relative informazioni, previa indicazione, da parte dell’interessato dell’amministrazione competente e degli elementi indispensabili per il reperimento delle informazioni o dei dati richiesti, ovvero ad accettare la dichiarazione sostitutiva prodotta dall’interessato;
o fermo restando il divieto di accesso a dati diversi da quelli di cui è necessario acquisire la certezza
o verificare l’esattezza, si considerano operati per finalità di rilevante interesse pubblico, ai fini di quanto previsto dal decreto legislativo 11 maggio 1999, n. 135 (abrogato dal D. Lgs. n. 196/2003, come modificato dal d.lgs. 101/2018, i trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all'esercizio di pubblici poteri nelle materie elencate all’art. 2-sexies cit. decreto
o Al fine di agevolare l'acquisizione d'ufficio di informazioni e dati relativi a stati, qualità personali e fatti, contenuti in albi, elenchi o pubblici registri, le amministrazioni certificanti sono tenute a consentire alle amministrazioni procedenti, senza oneri, la consultazione per via telematica dei loro archivi informatici, nel rispetto della riservatezza dei dati personali.;
o i controlli riguardanti dichiarazioni sostitutive di certificazione sono effettuate dall’amministrazione procedente consultando direttamente gli archivi dell’amministrazione certificante ovvero richiedendo alla medesima, anche attraverso strumenti informatici o
telematici, conferma scritta della corrispondenza di quanto dichiarato con le risultanze dei registri da questa custoditi;
gli artt. 50, 52 del D. Lgs. 7 marzo 2005 n. 82 e s.m.i. (noto come Codice dell’Amministrazione Digitale), ed in particolare l’art. 50, comma 2, come modificato dall’art. 34 del D. Lgs. 30 dicembre 2010, n. 235 secondo cui “Qualunque dato trattato da una pubblica amministrazione, con le esclusioni di cui all'articolo 2, comma 6, salvi i casi previsti dall'articolo 24 della legge 7 agosto 1990,
n. 241, e nel rispetto della normativa in materia di protezione dei dati personali, è reso accessibile e fruibile alle altre amministrazioni quando l'utilizzazione del dato sia necessaria per lo svolgimento dei compiti istituzionali dell'amministrazione richiedente, senza oneri a carico di quest'ultima, salvo per la prestazione di elaborazioni aggiuntive; è fatto comunque salvo il disposto dell'articolo 43, comma 4, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445”;
l’art. 62, comma 3 del Codice dell’Amministrazione Digitale dispone che i Comuni, inoltre, possono consentire anche mediante apposite convenzioni la fruizione dei dati anagrafici da parte dei soggetti aventi diritto. L'ANPR assicura ai soggetti di cui all'articolo 2, comma 2, lettere a) e b), l'accesso ai dati contenuti nell'ANPR, tra cui vi rientrano i gestori di pubblici servizi.
il parere dell’Autorità Garante per la protezione dei dati personali del 2 luglio 2015 (Provvedimento
n. 393) su “Misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche”.
Tutto ciò premesso e considerato, le Parti
CONVENGONO E STIPULANO quanto segue Art. 1
(Definizioni)
Anagrafe Nazionale della Popolazione Residente (ANPR): è la banca dati nazionale nella quale confluiranno progressivamente le anagrafi comunali. ANPR è un sistema integrato che consente ai Comuni di svolgere i servizi anagrafici e di consultare o estrarre dati, monitorare le attività, effettuare statistiche, e diventa un punto di riferimento unico per l'intera Pubblica amministrazione e per tutti coloro che sono interessati ai dati anagrafici, in particolare i gestori di pubblici servizi.
Codice Privacy: è il codice per la protezione dei dati personali di cui al D.Lgs. 30 giugno 2003, n. 196, così come modificato dal D.Lgs. 10 agosto 2018, n. 101 e contiene le norme nazionali relative alla tutela dei dati personali.
Comune: L’ente che ha la responsabilità della raccolta del dato e del suo trattamento e che mette a disposizione i relativi servizi di accesso, sulla base della presente Convenzione.
Dato personale: qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
Misure di Sicurezza: complesso delle misure tecniche, informatiche, organizzative e procedurali volte a garantire un livello di sicurezza adeguato al rischio del trattamento, ai sensi dell’art. 32 del GDPR;
Persona autorizzata al trattamento dei dati (di seguito, “persona autorizzata): persona fisica che opera sotto l'autorità e responsabilità del titolare del trattamento, al quale possono essere delegati specifici compiti e funzioni. È il soggetto che effettua materialmente le operazioni di trattamento sui dati personali (art.4 n.10 Regolamento Europeo (UE) 2016/679 (GDPR)).
Regolamento Europeo (UE) 2016/679 (GDPR): è un regolamento dell'Unione europea in materia di trattamento dei dati personali , adottato il 27 aprile 2016, pubblicato sulla Gazzetta ufficiale dell'Unione europea il 4 maggio 2016 ed entrato in vigore il 24 maggio dello stesso anno ed operativo a partire dal 25 maggio 2018.
Responsabile della protezione dei dati personali (DPO): soggetto designato dal Titolare del Trattamento (art. 37 del GDPR) in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e delle capacità di assolvere i compiti di cui all’art. 39 del GDPR.
Servizio Idrico Integrato (SII): è l’insieme dei servizi pubblici di captazione, adduzione e distribuzione di acqua ad usi civili, di fognatura e depurazione delle acque reflue, ovvero di ciascuno di suddetti singoli servizi, compresi i servizi di captazione e adduzione a usi multipli e i servizi di depurazione ad usi misti civili e industriali, definiti ai sensi della regolazione dell’unbundling contabile del SII;
TICSI: Testo Integrato Corrispettivi Servizi Idrici (TICSI), deliberazione ARERA n. 665/2017/R/idr
Titolare del Trattamento: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione o organismo cui competono, anche unitamente ad altro Titolare (di seguito, il “Contitolare”), le decisioni riguardo alle finalità, alle modalità del trattamento di Dati Personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.
Trattamento: qualsiasi operazione o insieme di operazioni compiute con o senza l'ausilio di processi automatizzati e applicate a Dati Personali o insiemi di Dati Personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento e/o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione e/o qualsiasi altra forma di messa a disposizione, il raffronto e/o l'interconnessione, la limitazione, la cancellazione o la distruzione;
Art. 2 (Premesse ed allegati)
Le premesse, i considerata e gli allegati costituiscono parte integrante e sostanziale della presente Convenzione.
Art. 3
(Oggetto della Convenzione)
3.1. Con la presente Convenzione il Comune mette a disposizione del Fruitore la propria banca dati anagrafica con modalità di trasmissione e scambio dati strutturati, attraverso i quali le persone autorizzate al trattamento dei dati (Cfr. All.2) possono acquisire le informazioni necessarie per l’esercizio dei soli compiti istituzionali, ai sensi del vigente quadro normativo e regolatorio in relazione all’erogazione del Servizio Idrico Integrato.
Art. 4
(Livelli di servizio ed obblighi dell’Ente)
4.1, Le Parti si impegnano a rispettare gli opportuni livelli di servizio, intesi come cadenza e modalità di comunicazione, modalità di trasmissione alternativa in caso di eventuali anomalie o indisponibilità dei servizi utilizzati, oltre che i referenti di servizio incaricati.
4.2. In tale contesto, l’Ente si impegna a:
consentire l’accesso alla banca dati anagrafica attraverso le modalità di cui al successivo art. 6 per lo svolgimento dei compiti istituzionali del Fruitore.
5.1. Il Fruitore si impegna a:
Art. 5 (Obblighi del Fruitore)
trattare i dati ed operare nel rispetto delle disposizioni stabilite dal Regolamento Europeo (UE) 2016/679 (GDPR) e dal D. Lgs. n. 196/2003, così come modificato dal D.Lgs. n. 101/2018, utilizzando i dati forniti esclusivamente per le finalità indicate all’art. 3 della presente Convenzione e nell’osservanza dei principi previsti dalle citate disposizioni e comunque di adeguatezza, pertinenza, non eccedenza dei dati rispetto alla finalità per cui sono raccolti e trattati;
disporre le necessarie ed ulteriori istruzioni per le persone autorizzate, e vigilare perché siano tutelate le norme sulla sicurezza e sul trattamento dei dati utilizzati, monitorando eventuali accessi o utilizzi impropri dei dati anagrafici da parte delle persone autorizzate ;
non divulgare, comunicare, cedere a terzi, né riprodurre in alcun modo i dati consultati in casi diversi rispetto a quanto previsto dalla presente Convenzione, facendo in modo da escludere il rischio di duplicazione delle basi dati, realizzata anche attraverso l’utilizzo di sistemi automatizzati di interrogazione;
assicurare che le misure di sicurezza delle informazioni definite siano garantite sia dal punto di vista tecnico che organizzativo, in base a quanto definito nelle modalità di accesso e fruizione dei dati oggetto della presente Convenzione;
garantire che le infrastrutture, le applicazioni e le postazioni di lavoro utilizzate dalle persone autorizzate siano rispondenti ai citati requisiti di sicurezza delle informazioni.
Art. 6
(Modalità di trasmissione della banca dati)
6.1. Le modalità di fruizione della banca dati oggetto della presente Convenzione si basano sul trasferimento dei documenti digitali contenenti i record anagrafici necessari, attraverso software e servizi sicuri di file sharing o di invio e ricezione dei messaggi.
6.2. Le Parti, preliminarmente all’avvio dei trattamenti previsti, condividono le specifiche informazioni da scambiarsi, assicurando il rispetto dei principi di necessità e proporzionalità, e della modalità di trasmissione della banca dati, in relazione ai soggetti mittenti e destinatari, oltre che eventuali credenziali di accesso e/o chiavi di sicurezza per la decifratura dei messaggi.
6.3. La trasmissione dei dati da parte dell’Ente avverrà entro 30 (trenta) giorni dalla data di richiesta degli stessi da parte di Acea Ato2 Spa. Dalla data di avvenuta ricezione dei dati decorrerà il termine di 15 (quindici) giorni entro cui Acea Ato2 Spa dovrà informare l’Ente dell’avvenuta ricezione di tali dati.
Allo scopo, le informazioni rilevanti per il monitoraggio e controllo del servizio saranno riportate all’interno dell’Istanza di adesione, oltre all’elenco delle persone autorizzate dal Fruitore alla consultazione della banca dati del Comune.
6.4. Resta inteso che al variare del contesto tecnologico disponibile, oltre che dei requisiti di sicurezza e protezione delle informazioni, le Parti potranno identificare differenti modalità di trasferimento dei dati sempre più efficienti, sicure ed automatizzate.
Art. 7 (Trattamento dei dati personali)
7.1. I dati personali oggetto della presente Convenzione sono:
Dati personali | Finalità | Disposizioni normative |
CODICE FISCALE PARTITA IVA NOME COGNOME DATA E LUOGO DI NASCITA | aggiornamento delle utenze intestate a persone fisiche e giuridiche cessate e/o decedute ecc., ai fini della voltura aggiornamento dei dati delle utenze attive intestate a persone fisiche e giuridiche esecuzione del contratto di somministrazione del SII e delle connesse disposizioni regolatorie adottate dall’Autorità di Regolazione per Energia Reti e Ambiente (ARERA) | legge n. 47/1985 Regolamento di utenza del S.I.I. Deliberazione 897/2017/R/idr – Bonus sociale idrico Deliberazione 665/2017/R/idr – Corrispettivi del Servizio Idrico |
NUMERO COMPONENTI NUCLEO FAMILIARE (per utenze domestiche e condominiali) | ||
INDIRIZZO DI RESIDENZA | verifica della residenza ex art. 43 codice civile, ai fini della classificazione “ad uso domestico residente” | art. 43 codice civile Regolamento di utenza del S.I.I. TICSI |
7.2. Il trattamento avverrà nel rispetto delle modalità e delle cautele riportate in questo documento o derivanti dalla normativa vigente, segnatamente il D. Lgs. 196/03, così come modificato dal D.Lgs. 101/2018
, e relative vigenti disposizioni e direttive per la tutela dei dati personali, e Regolamento Europeo (UE) 2016/679 (GDPR).
Resta inteso che al variare del contesto normativo e regolatorio potrebbe essere necessario aggiornare la presente Convenzione sia in relazione alle categorie di dati sia in relazione alle modalità di trasmissione degli stessi.
7.3. In relazione agli scopi della presente Convenzione, le Parti effettueranno un trattamento di dati personali in qualità di Titolari autonomi ai sensi del Regolamento Europeo (UE) 2016/679 (GDPR), ciascuna determinando quindi le finalità e i mezzi del trattamento di dati personali. Nello specifico i soggetti implementeranno un flusso di scambio di dati personali, effettuato attraverso l’individuazione delle opportune modalità di trasferimento delle informazioni.
7.4. Resta inteso che l’Ente ha l’esclusiva competenza a gestire (inserimento, modifica, cancellazione) i dati oggetto del trattamento, mentre ambo le Parti hanno esclusiva competenza rispetto al proprio dominio nella definizione e organizzazione delle modalità di archiviazione e gestione delle tecnologie, dei sistemi e degli applicativi che ospiteranno tali dati.
7.5. Il Fruitore è quindi autorizzato a trattare i dati per le proprie finalità così come trasmessi per via telematica, senza alcuna possibilità di interagire con i sistemi gestionali e anagrafici dell’Ente.
7.6. Ai sensi e per gli effetti del Regolamento Europeo(UE) 2016/679 (GDPR), il Fruitore nomina formalmente le persone autorizzate da abilitare all’accesso alla banca dati, ed il responsabile della Convenzione della Società li comunica al responsabile della Convenzione dell’Ente di cui al successivo art.12, con separato atto entro 30 (trenta) giorni dalla stipula della Convenzione; devono, in particolare, essere comunicati le generalità ed il codice fiscale delle persone autorizzate.
Il Fruitore si impegna in ogni caso a comunicare, mediante il responsabile della Convenzione, eventuali variazioni dei nominativi delle persone autorizzate.
7.7 I dati del Comune sono resi accessibili esclusivamente quando l’utilizzazione degli stessi è necessaria per lo svolgimento dei compiti istituzionali del Fruitore. Esso dichiara, pertanto, di essere autorizzato all’utilizzo dei dati oggetto di questa Convenzione esclusivamente per lo svolgimento dei compiti istituzionali o ai fini di agevolare l’acquisizione d’ufficio ed il controllo sulle dichiarazioni sostitutive riguardanti informazioni e dati relativi a stati, qualità personali e fatti di cui agli articoli 46 e 47 del DPR 28/12/2000, n. 445 e s.m.i., come meglio precisato in premessa.
7.8. In ogni caso il Fruitore assicura il regolare e corretto utilizzo dei dati nel rispetto della normativa vigente anche in materia di consultazione delle banche dati osservando le misure di sicurezza ed i vincoli di riservatezza previsti.
7.10 Con riferimento al trattamento dei dati dell’Ente, il Fruitore:
utilizza le informazioni acquisite esclusivamente per le finalità dichiarate all’art. 7 comma 1, nel rispetto della normativa vigente, anche in materia di consultazione delle banche dati, osservando le misure di sicurezza ed i vincoli di riservatezza previsti dal Codice Privacy e dal Regolamento Europeo (UE) 2016/679 (GDPR) ;
garantisce che i dati siano trattati esclusivamente all’interno della Società e comunicati all’esterno per le sole finalità connesse ai propri compiti istituzionali; garantisce altresì che non si verifichino divulgazioni o diffusioni non autorizzate, comunicazioni, cessioni a terzi, né in alcun modo riproduzioni dei dati nei casi diversi da quelli previsti dalla legge, provvedendo ad impartire precise e dettagliate istruzioni alle persone autorizzate al trattamento, richiamando la loro attenzione sulle responsabilità connesse all’uso illegittimo dei dati;
si impegna a non creare autonome banche dati non conformi alle finalità per le quali è stato autorizzato l’accesso;
garantisce che l’accesso ai dati verrà consentito esclusivamente alle persone autorizzate;
si impegna ad autorizzare, istruire e formare le persone autorizzate sulle specifiche caratteristiche, proprietà e limiti del sistema utilizzato per l’accesso ai dati ed a controllarne il corretto utilizzo; garantisce l’adozione al proprio interno di politiche, regolamenti e procedure riferite alla sicurezza delle informazioni in grado di assicurare adeguati livelli di riservatezza, integrità e disponibilità delle informazioni, fra cui, laddove applicabile:
o adottare procedure di registrazione che prevedano il riconoscimento diretto e l’identificazione certa dell’utente;
o adottare regole di gestione delle credenziali di autenticazione e modalità che ne assicurino adeguati livelli di sicurezza;
o nel caso le credenziali siano costituite da una coppia username/password, devono essere previste adeguate politiche di gestione della password;
o la procedura di autenticazione dell’utente deve essere protetta dal rischio di intercettazione delle credenziali da meccanismi crittografici di robustezza adeguata.
si impegna ad utilizzare i sistemi di accesso ai dati esclusivamente secondo le modalità definite all’interno dell’Istanza di adesione sottoscritta dalle Parti;
si impegna altresì a comunicare tempestivamente al Comune:
o incidenti sulla sicurezza occorsi qualora tali incidenti abbiano impatto direttamente o indirettamente nei processi di sicurezza afferenti la cooperazione applicativa dell’Ente;
o ogni eventuale esigenza di aggiornamento delle persone autorizzate;
o ogni modificazione tecnica e/o organizzativa del proprio dominio, che comporti l’impossibilità di garantire l’applicazione delle regole sopra riportate e/o la loro perdita di efficacia;
garantisce, in caso fossero individuati meccanismi di cooperazione applicativa, che i servizi resi disponibili verranno esclusivamente integrati con il proprio sistema informativo e non saranno resi disponibili a terzi né direttamente né indirettamente per via informatica.
Art. 8
(Limitazioni, responsabilità e controlli)
8.1. Il Comune è sollevato da qualsiasi responsabilità contrattuale ed extracontrattuale per danni diretti e indiretti che possano derivare dall’uso dei dati attinenti alla banca dati anagrafica, nonché per i danni
derivanti da interruzioni, ritardi o errori nell’erogazione del servizio di trasmissione, ovvero per inesattezze o incompletezze dei dati contenuti negli archivi anagrafici, o per variazioni dovute al variare della tecnologia, purché sia in grado di dimostrare di aver agito con l’ordinaria diligenza, prudenza e perizia.
8.2. In base alle modalità di accesso definite, l’Ente è legittimato ad ottenere tutte le informazioni necessarie al soddisfacimento delle richieste degli interessati nel rispetto della normativa in materia di protezione dei dati personali. Tali informazioni possono essere oggetto di trattamento per le sole finalità di legge e, in caso di violazione delle normative vigenti, essere messi a disposizione dell’Autorità competente.
Art. 9 (Oneri economici)
9.1. La presente Convenzione non comporta oneri economici per il Fruitore.
Art. 10 (Durata)
10.1. La presente Convenzione ha durata annuale, con facoltà di rinnovo previa richiesta scritta del Fruitore entro sei mesi dalla scadenza.
Art. 11 (Risoluzione)
11.1. Nel caso di mancata osservanza da parte della Società delle condizioni di accesso e di fruizione dei dati, il Comune potrà valutare la sospensione dei servizi forniti, previa comunicazione al Fruitore; nel caso in cui la Società non si adegui alle condizioni definite entro 30 (trenta) giorni, la Convenzione si intenderà risolta di diritto.
11.2. Qualora il Fruitore cessi di trovarsi nelle condizioni previste dalla normativa vigente per l’accesso e la fruibilità dei dati, l’Ente potrà procedere all’immediata sospensione dei servizi forniti, previa comunicazione alla Società; in tal caso la Convenzione si intenderà risolta di diritto.
La Convenzione si intende, altresì, risolta automaticamente qualora vengano meno le finalità per le quali il servizio di accesso e fruibilità dei dati è stato autorizzato.
Art. 12 Responsabili della Convenzione
Le Parti si impegnano a nominare, all’atto della stipula, i Responsabili dell’esecuzione della Convenzione, che sono:
per la società Acea Ato2 S.p.A., il Responsabile dell’Unità Commerciale; per il Comune di Pomezia il Responsabile Xxxxxxxx Xxxxxxx
Art. 13 (Controversie e foro competente)
13.1. Il foro competente a risolvere qualsiasi controversia che possa sorgere tra il Fruitore e l’Ente durante l’esecuzione o allo scadere della presente Convenzione, direttamente o indirettamente connessa alla Convenzione stessa, è quello di Roma.
Art. 14 (Comunicazioni e pubblicazione)
14.1. Le Parti si impegnano reciprocamente a pubblicare copia della presente Convenzione sui propri siti istituzionali,”; allo stesso modo saranno resi disponibili eventuali aggiornamenti.
14.2. Nel caso in cui le rispettive norme legislative e/o regolatorie prevedano la comunicazione della Convenzione stessa, questa sarà condivisa con gli Enti e Autorità di controllo.
Art. 15 (Allegati)
Entro 30 (trenta) giorni dalla stipula del presente atto, i documenti di seguito elencati saranno sottoscritti e allegati alla presente:
1. Istanza di adesione, con indicazione del numero di protocollo e data, in cui rinvenire le informazioni definite all’interno dell’Art.3 della presente Convenzione;
2. Elenco delle persone autorizzate individuato dal Fruitore e autorizzato all’accesso alla banca dati del Comune, da aggiornare tempestivamente in caso di variazioni.
Pomezia lì 25/10/2021
Per Acea Ato2 S.p.A. per il Comune di Pomezia
Signed by Xxxxxxx Xxxxxxxxx
on 09/11/2021 08:09:07 CET