CONVENZIONE DI AFFIDAMENTO DEL PROCESSO DI CONSERVAZIONE
CONVENZIONE DI AFFIDAMENTO DEL PROCESSO DI CONSERVAZIONE
(ai sensi e per gli effetti del comma 7, dell’art. 6 del DPCM 3 dicembre 2013, recante le Regole tecniche in materia di sistemi di sistemi di conservazione)
Parti della Convezione
con sede in , xxx , x. ,
xxxxx xxxxxxx xx (xx seguito “ENTE”);
e
- CREDEMTEL S.p.A. con sede in Montecavolo di Quattro Xxxxxxxx (XX), xxx xxx X. Xxxxxxxxx, x. 00/0, codice fiscale e partita IVA: 01378570350, nella persona del Sig. Xxxxxxx Xxxxxxx (di seguito anche solo “Conservatore”);
di seguito singolarmente una “Parte” e congiuntamente le “Parti”.
Premesso che
- tra Halley informatica Srl (di seguito anche solo “Fornitore” o “Halley”) ed ENTE è stato sottoscritto un contratto di fornitura di servizi di gestione e conservazione di documenti informatici (di seguito anche solo “Contratto”);
- Halley, nell’ambito della sua attività, ha sviluppato una piattaforma tecnologica in grado di gestire servizi di protocollo informatico, gestione documentale, fatturazione elettronica e archiviazione dei documenti informatici;
- a seguito dell'entrata in vigore del DPCM 3 dicembre 2013, recante Regole tecniche in materia di sistemi di conservazione, l’ENTE ha rappresentato ad Halley l’esigenza di ottenere la fornitura di servizi relativi a un sistema di conservazione dei documenti informatici, ai sensi degli artt. 44 e 44-bis del Codice dell’Amministrazione Digitale (D.lgs. n. 82/2005) del citato decreto;
- l’ENTE, consapevole del fatto che l’attività di conservazione dei documenti informatici, effettuata nel rispetto dei requisiti di legge prescritti, richiede una forte integrazione con gli applicativi di Xxxxxx, ha incaricato quest'ultimo di occuparsi, nel suo interesse, del coordinamento di tutte le attività necessarie per la corretta conservazione dei documenti informatici prodotti o comunque detenuti dall'ENTE;
- Halley ha individuato CREDEMTEL S.p.a. quale soggetto idoneo a fornire i servizi di conservazione (di seguito anche “Servizi”) nei termini previsti dalle vigenti disposizioni di legge;
- CREDEMTEL ha conseguito l’accreditamento presso l’Agenzia per l’Italia Digitale (AgID) ai sensi dell’art. 44-bis del D.Lgs. n. 82/2005;
- tra Xxxxxx e CREDEMTEL S.p.a. (di seguito anche solo “Conservatore”) è stato sottoscritto un accordo quadro per la fornitura di servizi di conservazione in favore dei clienti di Halley;
- ai sensi del comma 7, dell’art. 6 del DPCM 3 dicembre 2013, recante le Regole tecniche in materia di sistemi di conservazione, la conservazione può essere affidata “ad un soggetto esterno mediante contratto o convenzione di servizio che preveda l’obbligo del rispetto del manuale di conservazione predisposto dal responsabile della stessa”;
- CREDEMTEL, in conformità a quanto stabilito dal comma 8 dell’art. 6 del DPCM 3 dicembre 2013, nulla oppone ad essere nominata dagli stessi Enti pubblici qualeResponsabile del Trattamento dei dati personali, ai sensi dell’art. 29 del D.Lgs. n. 196/2003 (AllegatoB).
Tutto ciò premesso, si conviene quanto segue:
1. STRUTTURA E OGGETTO DELLA CONVENZIONE
1.1 Con la presente Convenzione le Parti intendono individuare le condizioni generali e i termini in ordine ai quali il Conservatore fornisce all’ENTE, anche per il tramite degli applicativi già rilasciati da Halley allo stesso, il Servizio di conservazione (di seguito anche solo “servizio”), come meglio specificato nel manuale operativo del Conservatore allegato alla presente Convenzione.
1.2 Il servizio, inoltre, viene erogato dal Conservatore in conformità a quanto già pattuito dall'ENTE in separato contratto con il quale aveva richiesto ad Halley la fornitura di tale specifico servizio e che qui integralmente si richiama.
1.3Con la sottoscrizione della presente Convenzione, quindi, l’ENTE affida al Conservatore individuato da Xxxxxx, il quale accetta, l’incarico di svolgere il processo di conservazione dei propri documenti informatici.
2. MODALITÀ DI FORNITURA DEL SERVIZIO
2.1 Per l'esecuzione del Servizio di conservazione, il Conservatore mette a disposizione dell’ENTE, anche per il tramite di Halley, i sistemi informatici e telematici ai quali è possibile accedere nelle modalità specificate nel Manuale operativo del Conservatore, allegato alla presente Convenzione.
2.2 Il Servizio è prestato dal Conservatore solo a seguito di accettazione, effettuata anche con procedure automatizzate, dei dati e dei documenti inviati. Sono accettati esclusivamente i dati e i documenti inviati con le modalità, nei formati e nelle tempistiche concordate con l’ENTE e indicate nell’Accordo di Versamento così come stabilito all’art 6.
2.3 Il Conservatore, ricevuto il flusso di documenti da conservare (sotto forma di uno o più pacchetti di versamento) ne controlla la conformità all'Accordo di versamento e, in caso di esito positivo, restituisce all’ENTE un rapporto di versamento contenente l’impronta del pacchetto di versamento acquisito e la data e l’ora dell'acquisizione. In caso di esito negativo del suddetto controllo, il Conservatore segnala all'ENTE, mediante apposita comunicazione inviata agli indirizzi di cui al successivo art. 9, l’impossibilità di procedere correttamente alla conservazione così come previsto nel Manuale operativo allegato. È onere dell’ENTE inviare un nuovo pacchetto di versamento conforme a quanto previsto dall’Accordo di versamento.
2.4 Il Conservatore e l’ENTE possono accordarsi per la realizzazione di ulteriori controlli formali che possono portare anche alla mancata accettazione dei documenti, al fine di evitare eventuali errori di metadatazione nei documenti da conservare e garantire così quanto richiesto obbligatoriamente per la formazione dell’archivio di conservazione. I controlli e le verifiche ulteriori concordati possono essere eventualmente specificati nell’Accordo di Versamento.
2.5 Gli strumenti di controllo e verifica predisposti dal Conservatore, ove utilizzati, sono completamente automatizzati e non permettono in alcun modo di conoscere il contenuto dei documenti versati in conservazione, né di verificarne eventualmente la loro correttezza sostanziale. Per tale motivo, il Conservatore declina ogni responsabilità relativa al contenuto dei documenti emessi e/o conservati.
3. CARATTERISTICHE DEL SERVIZIO DI CONSERVAZIONE
3.1 Il Servizio di conservazione offerto dal Conservatore è sviluppato secondo quanto stabilito dal D.lgs. 82/2005 e dalle regole tecniche ivi richiamate; le firme digitali necessarie alla corretta esecuzione del Servizio sono tutte state rilasciate da Certificatori accreditati, valide e non scadute e, ove richiesto dalla normativa, di marche temporali rilasciate sempre da Certificatori accreditati.
3.2 Le tempistiche di conservazione sono concordate con l’ENTE e vengono indicate in uno specifico Accordo di versamento di cui al successivo art. 6. Tutti i documenti da conservare dovranno essere correttamente trasmessi dall’ENTE al Conservatore nei tempi, con le modalità e nelle forme indicate nell’Accordo di versamento citato. Il Conservatore non assume alcuna responsabilità per il mancato rispetto di tempistiche regolate dalla legge, in relazione alla tipologia documentale conservata dovuto a ritardi o inadempienze imputabili all’ENTE o ai delegati dello stesso.
3.3Le ulteriori misure di sicurezza informatica sviluppate dal Conservatore per garantire il mantenimento nel tempo e nei termini di legge dei documenti dell’ENTE sono compiutamente indicate nel Manuale operativo realizzato dal Conservatore e allegato alla presente Convezione e nel corrispondente piano della sicurezza che potrà essere reso disponibile in caso di verifiche o ispezioni.
3.4 Gli archivi di conservazione sono conservati presso i server situati in strutture gestite e controllate dal Conservatore. Su richiesta dell’ENTE, il Conservatore si impegna a permettere l’accesso degli ispettori appartenenti all'ENTE stesso o ad altre amministrazioni competenti (ad esempio sovrintendenza dei beni culturali) a propri locali e apparati hardware e software attraverso i quali è possibile accedere all'archivio di conservazione e a fornire tutte le risorse fisiche e strumentali e il supporto operativo necessari allo svolgimento delle attività ispettive.
3.5 Su richiesta dell’ENTE, da far pervenire per il tramite di Xxxxxx e alle condizioni economiche meglio dettagliate nel contratto tra Xxxxxx e l'ENTE, il Conservatore rende disponibile, anche per il tramite degli applicativi informatici già rilasciati da Halley, l’archivio di conservazione auto consistente. Tale archivio può, dietro versamento di un corrispettivo da stabilirsi al momento della richiesta, essere riversato su supporti informatici auto consultanti (CD, DVD, Memorie di massa o altri supporti di memorizzazione concordati) e consegnati all’ENTE.
3.6 Fermo restando che il ruolo di Responsabile della conservazione è individuato all’interno della struttura organizzativa dell’ENTE, il Conservatore, al fine di una più agevole ed efficiente erogazione del Servizio oggetto della presente Convenzione, si impegna ad individuare, all’interno della propria struttura organizzativa, un soggetto incaricato di svolgere le attività inerenti ai compiti di Responsabile del servizio di conservazione.
4. OBBLIGHI E RESPONSABILITA' DELL’ ENTE
4.1 Al fine di garantire la corretta esecuzione delle prestazioni previste dalla presente Convenzione l’ENTE si impegna a:
- dotarsi di tutti i requisiti necessari per l’accesso e la fruizione del Servizio, anche a seguito di eventuali modifiche del Servizio;
- inviare tutti i documenti che devono essere conservati digitalmente con le modalità e nei formati previsti nell'Accordo di versamento e nel rispetto delle modalità e dei termini stabiliti dalla normativa di riferimento anche fiscale, tenuto conto dei tempi di esecuzione del ciclo di conservazione;
- osservare le disposizioni stabilite nel Contratto, nella presente Convenzione e nei suoi Allegati, rispettando le modalità di fruizione del Servizio, nonché i termini di trasmissione, di spedizione, di consegna, di controllo necessari al Conservatore per svolgere correttamente il Servizio.
4.2 L’ENTE, inoltre, s’impegna ad assicurare al Conservatore la collaborazione necessaria affinché quest’ultimo possa dare corso alle attività previste dalla Convenzione conclusa tra le Parti, per svolgere correttamente e a regola d’arte il Servizio, mettendo altresì a disposizione dello stesso i documenti richiesti, secondo quanto previsto nella presente Convenzione e nei suoi Allegati.
4.3 A tal fine, entro 20 giorni dalla sottoscrizione della presente Convenzione e degli Allegati, l’ENTE si impegna a comunicare al Conservatore il nominativo di uno o più dipendenti, ai quali il Conservatore può fare riferimento, quali propri interlocutori, per tutta la durata del Convenzione.
4.4 L’ENTE fornirà al Conservatore il proprio Manuale della Conservazione che s'impegna a rendere comunque conforme a quanto pattuito nel Contratto e nella presente Convenzione e, in ogni caso, prevedendo modalità di realizzazione del servizio compatibili con il Manuale operativo del conservatore allegato alla presente convenzione.
4.5 L’ENTE, più in generale, si impegna ad utilizzare il Servizio nei termini convenuti, nonché ad adoperarsi per assicurare il rispetto, da parte dei propri dipendenti e/o collaboratori, della presente Convenzione e degli Allegati; l’ENTE si impegna altresì a comunicare tempestivamente al Conservatore eventuali abusi relativi al Servizio erogato da quest’ultima, dei quali dovesse venire a conoscenza.
4.6 Qualora per la gestione e conservazione degli archivi dell'ENTE siano richiesti adempimenti e/o autorizzazioni ulteriori rispetto a quanto previsto nel Contratto, nella presente Convenzione o nel Manuale operativo del Conservatore, la loro corretta richiesta o esecuzione resta a completo carico dell'ENTE.
5. OBBLIGHI E RESPONSABILITA' DI CREDEMTEL
5.1Il Conservatore si impegna a verificare il corretto funzionamento dei sistemi messi a disposizione dell’ENTE, per consentire l’utilizzo del Servizio, come previsto dalla presente Convenzione.
5.2 Al fine di assicurare la corretta erogazione del Servizio oggetto della presente Convenzione, il Conservatore si impegna a:
a. garantire l'impiego di metodologie aggiornate per la gestione degli strumenti hardware e software necessari alla realizzazione del Servizio oggetto della presente Convenzione assicurandone precisione, tempestività e sicurezza;
b. erogare il Servizio mediante personale qualificato e dotato delle necessarie competenze, in modo continuativo e professionale nel rispetto degli standard di livello più alto del settore e dichiara che, per la fornitura degli stessi, utilizzerà le migliori conoscenze nonché metodi già sperimentati, avvalendosi, se del caso, anche dell’opera di terzi;
c. assicurare la manutenzione dei sistemi tecnologici utilizzati nel processo di gestione e conservazione documentale, nonché il ripristino delle funzionalità degli stessi in caso di malfunzionamenti dei software utilizzati;
d. gestire i dati e i documenti informatici dell’ENTE, oggetto del Servizio, adottando opportune misure di sicurezza informatica, logiche e fisiche, anche secondo quanto previsto dal successivo art. 7e adottando le opportune misure organizzative e tecniche per evitare il verificarsi di divulgazioni, comunicazioni, cessioni a terzi, riproduzioni dei dati o duplicazioni di banche dati nei casi diversi da quelli previsti dalla legge;
e. garantire la corretta custodia dei documenti conservati secondo la normativa vigente e a tal fine dichiara di aver stipulato la polizza assicurativa richiesta per i conservatori accreditati dall’Agenzia per l’Italia Digitale sui rischi industriali derivanti dalle attività di gestione, conservazione e custodia di dati e documenti elettronici atta a risarcire i danni che potrebbero essere causati all’ENTE;
f. effettuare un corretto trattamento dei dati personali di titolarità dell’ENTE ai sensi della normativa vigente (d.lgs. 196/03) e nei modi e termini previsti dall’art. 7 della presente Convenzione.
5.3 Salvo quanto inderogabilmente previsto dalla legge, il Conservatore non risponderà di interruzione, sospensione, malfunzionamento o ritardo nell’erogazione del Servizio oggetto della presente Convenzione, causati da caso fortuito o forza maggiore o da cause comunque allo stesso non imputabili come:
- errata utilizzazione o impiego atipico del Servizio da parte dell’ENTE;
- malfunzionamento del sistema informatico dell’ENTE;
- documenti trasmessi dall'ENTE contenenti dati non accurati, non corretti o non completi o non conformi a quanto previsto dall'Accordo di versamento di cui all'art. 6 della presente Convenzione;
- ogni altro evento non prevedibile e dipendente da fatti naturali o di terzi, quali catastrofi naturali, alluvioni, fulmini, incendi, etc.
5.4 Il Conservatore si obbliga a consentire all'ENTE di effettuare controlli e ispezioni al fine di verificare il suo corretto operato. L'eventuale accesso dell'ENTE ai locali del Conservatore potrà comunque avvenire solo con un preavviso di almeno 7 giorni.
6. ACCORDO DI VERSAMENTO
6.1 L’ENTE, anche per tramite il Fornitore, ed il Conservatore, al fine di garantire la corretta erogazione del Servizio, e nel rispetto di quanto previsto dallo standard ISO 14721:2012 (OpenArchival Information System - OAIS) adottato dal Conservatore, s'impegnano, di comune accordo, a redigere e approvare un Accordo di versamento (submissionagreement) che regolerà tempi e modalità relativi al versamento in conservazione dei documenti dell'ENTE. Tale accordo dovrà in ogni caso prevedere tempi e modalità di versamento non in contrasto con quanto previsto dal Manuale operativo del Conservatore allegato alla presente Convenzione.
7. RISERVATEZZA DEI DATI E DELLE INFORMAZIONI
7.1 Tutti i dati e le informazioni concernenti le Parti, la loro organizzazione e/o la loro Direzione e/o i loro dipendenti, collaboratori, clienti e fornitori, appresi, comunicati o comunque nella loro disponibilità, saranno considerati riservati e come tali saranno trattati nel rispetto del D. Lgs.vo 30 giugno 2003 n. 196 e in ogni modo della vigente normativa in materia di protezione dei dati personali; tali dati resteranno comunque di proprietà e/o nella titolarità del rispettivo interessato/titolare e/o delle altre società da questi controllate o comunque ad essi collegate.
7.2 Le Parti si impegnano a garantire la riservatezza, l’integrità e la disponibilità di tali dati ed informazioni, anche alla luce delle specificità dell'attività bancaria e dell'amministrazione pubblica, con particolare riferimento alla riservatezza dei dati concernenti i clienti di CREDEMTEL e gli utenti dell'ENTE.
7.3 Le Parti dovranno per questo motivo proteggere detti dati ed informazioni mediante l’adozione di idonee e preventive misure di sicurezza, in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme agli scopi di cui alla presente Convenzione oltre a quanto già specificatamente previsto nella Convenzione stessa o nei suoi allegati in materia di misure di sicurezza fisica e logica.
7.4 Ciascuna Parte potrà trattare i dati dell'altra al solo fine e nei limiti di quanto strettamente necessario per l’esecuzione della Convenzione. Entro 15 (quindici) giorni dalla data di efficacia della Convenzione, le Parti individueranno e comunicheranno vicendevolmente un responsabile ai fini del trattamento dei dati, che fungerà da interlocutore tra loro, e dovranno comunicarne per
iscritto all'altra Parte il nominativo. In caso di mutamenti della persona responsabile, l'altra Parte dovrà essere informata 15 (quindici) giorni prima della sostituzione, a mezzo raccomandata con ricevuta di ritorno.
7.5 Le Parti, inoltre, garantiscono di aver adottato – anche in ragione degli adempimenti di cui, in particolare, alla presente Convenzione – le specifiche cautele previste per l’amministratore di sistema ai sensi del Provvedimento del Garante del 27 novembre 2008 (Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema) e del 25 giugno 2009 (che ha parzialmente innovato, con modifiche, il provvedimento del 27 novembre 2008).
7.6 Le informazioni ottenute da una Parte, sia in fase precontrattuale prima della stipula della Convenzione, sia nel corso dell’esecuzione della Convenzione, e che riguardino l’altra Parte o suoi clienti o fornitori o utenti, saranno considerate riservate e non potranno essere comunicate a terzi. Ciascuna Parte, salvo quanto ulteriormente previsto da altri articoli della presente Convenzione, dovrà proteggere tali informazioni con strumenti quanto meno uguali a quelli utilizzati per la protezione delle proprie informazioni riservate, oppure, nel caso di impossibilità di riscontro comparativo, con la massima cura.
7.7 In deroga a quanto al precedente capoverso, ciascuna Parte potrà comunicare le informazioni concernenti la Convenzione a propri consulenti, revisori ed altri incaricati, nonché nell'ambito di trattative concernenti la cessione di rami d'azienda o altri contratti che richiedano l'acquisizione delle relative informazioni, previa comunicazione fra le Parti.
7.8 Per la comunicazione dei dati e delle informazioni nei casi sopra citati ENTE e CREDEMTEL si impegnano ad acquisire, ognuno per proprio conto, dal soggetto a cui sono comunicati i dati e le informazioni, analogo obbligo di riservatezza.
7.9 Le Parti potranno comunicare liberamente soltanto quelle informazioni che siano di pubblico dominio per atto legittimo, ovvero la cui comunicazione sia stata autorizzata per iscritto dalla Parte alla quale le informazioni si riferiscono, oppure ancora delle quali sia imposta la comunicazione in conseguenza di disposizioni di pubblica autorità o di legge o che siano legittimamente trasmesse alla Parte da soggetti terzi, i quali le abbiano a loro volta ottenute legittimamente e senza vincolo di confidenzialità.
7.10 Alla cessazione della Convenzione, ciascuna Parte dovrà restituire all'altra tutti i dati, documenti e informazioni ricevuti nell'ambito della presente Convenzione o comunque posseduti ai fini dell'esecuzione della stessa, su supporto cartaceo, magnetico o altro supporto concordato tra le Parti e/o a distruggerne tutte le copie e record dietro richiesta scritta dell'altra parte, con verbalizzazione delle relative attività di distruzione.
7.11 Gli obblighi di riservatezza dei dati e delle informazioni relativi alla presente Convenzione dovranno essere osservati anche successivamente alla cessazione, per qualsiasi motivo, della medesima Convenzione salvo diverso accordo tra le Parti.
7.12 Qualunque violazione, da una delle Parti, delle obbligazioni di riservatezza che precedono comporta il risarcimento di tutti i danni che dovessero prodursi nei confronti dei terzi e nei confronti dell'altra Parte, per quanto attiene al risarcimento del costo delle attività (azioni pubblicitarie, ecc.) che la stessa riterrà, a suo insindacabile giudizio, di dover svolgere per contrastare gli effetti di perdita di immagine derivanti dalla divulgazione non autorizzata dei dati, nonché in relazione al danno economico per perdita di affari generato da fughe di notizie, fatto salvo il diritto al risarcimento dell'eventuale maggior danno subito.
7.13L’ENTE garantisce che tutti gli obblighi di riservatezza in questo articolo disciplinati saranno adempiuti anche da ciascuno dei propri dipendenti e/o collaboratori, i quali saranno debitamente informati e tenuti, in base alle istruzioni impartite da ciascuna Parte, a trattare i dati acquisiti nell’esercizio delle mansioni/attività loro assegnate, e/o altrimenti conosciuti, con la massima
cura, diligenza, riservatezza e, comunque, al solo fine di svolgere ogni attività e/o operazione necessaria per l’esecuzione della Convenzione, assicurando il rispetto degli impegni a tal fine assunti.
7.14 Qualunque violazione degli obblighi assunti potrà costituire causa di risoluzione della Convenzione, e di qualunque altro accordo o contratto esistente tra le Parti fatta comunque sempre salva la facoltà di una Parte di richiedere all'altra il risarcimento degli eventuali danni.
7.15 Ai fini di cui all’art. 29 d.lgs. 196/03 e ai sensi dell’art. 6, comma 8, del DPCM 3 dicembre 2013, l’ENTE conferisce al Conservatore, che accetta, i compiti e le istruzioni necessarie ad eseguire le operazioni di trattamento nell’ambito della Convenzione sottoscritta, nel rispetto delle regole e dei principi di cui al d.lgs. 196/2003 (Codice privacy) e del corretto trattamento dei dati personali. In particolare, il Conservatore si impegna al rispetto delle previsioni convenzionali e assumerà, per mezzo di apposita nomina allegata alla presente Convezione, il ruolo di responsabile esterno del trattamento dei dati, così come previsto dal Codice in materia di protezione dei dati personali.
8. CESSIONE DELLA CONVENZIONE
8.1Il Conservatore si impegna a non cedere a terzi o a sub-appaltare, in tutto o in parte, la presente Convenzione senza la preventiva autorizzazione scritta dell’ENTE.
9. COMUNICAZIONI
9.1Ogni comunicazione da effettuarsi tra le Parti ai sensi della Convenzione dovrà avvenire per iscritto e qualora riguardi la disdetta del Servizio con lettera Raccomandata A/R o Posta Elettronica Certificata ai seguenti indirizzi, o a quelli successivamente indicati per iscritto con le stesse modalità da ciascuna Parte all’altra:
Comune di (..)
Indirizzo completo …………………………………………..
All’attenzione di ……………………………………
PEC: ……………………………………….
Email: …………………………….
Tel.: ………………………….
Fax: ………………………………
CREDEMTEL S.p.A.
Indirizzo: Xxx Xxxxxxx Xxxxxxxxx, 00/0 – Xxxxxxxxxxx xx Xxxxxxx Xxxxxxxx - 00000 (XX) All’attenzione di: Ufficio Amministrazione
Posta Elettronica Certificata: xxxxxxxxx@xxx.xxxxxxxxxxxx.xx
Email: xxx@xxxxxxxxx.xx
Tel: 0000 000000
Fax: 0000 000 000
9.2 Le Parti si obbligano a comunicare, nel corso della vigenza della presente Convenzione, ogni variazione dei rispettivi indirizzi. In caso di mancata comunicazione della variazione, tutte le comunicazioni che saranno effettuate in base ai vecchi recapiti avranno piena efficacia e validità fino a comunicazione dei nuovi validi indirizzi.
10. DECORRENZA E DURATA DELLA CONVENZIONE - CESSAZIONE DEGLI EFFETTI DELLA CONVENZIONE
10.1 La presente Convenzione obbliga entrambe le Parti al suo rispetto dal momento della sua sottoscrizione.
10.2 La Convenzione resta valida per tutta la durata del Contratto; in caso di cessazione degli effetti del Contratto (per mancato rinnovo, recesso o risoluzione anche di solo una delle parti) cessano anche gli effetti della presente Convenzione.
10.3 In caso di cessazione degli effetti della Convenzione, a qualsiasi causa imputabile, il Conservatore si impegna a mettere a disposizione dell’ENTE per il ritiro presso il Conservatore stesso,anche per il tramite di Xxxxxx e secondo i tempi e le modalità già previste nel Contratto, mediante idoneo supporto crittografato, tutta la documentazione e i dati di qualunque genere ricevuti da quest’ultimo per l’esecuzione del Servizio oggetto della presente Convenzione,.
10.4 In caso di cessazione della Convenzione, i documenti conservati dal Conservatore possono essere eliminati dai server dello stesso solo dietro autorizzazione dell’ENTE, da comunicarsi mediante invio di lettera Raccomandata A/R o Posta Elettronica Certificata agli indirizzi previsti dall'art 9.
10.5 Il Conservatore, inoltre, si impegna a fornire all’ENTE idoneo supporto tecnico per la migrazione dei documenti conservati.
11. CLAUSOLE GENERALI
11.1 L’eventuale nullità e/o inefficacia e/o annullamento di una delle clausole della Convenzione o degli Allegati non inficerà la validità della Convenzione e/o delle ulteriori condizioni ad essa applicabili.
11.2 L’eventuale tolleranza di una Parte all’inadempimento dell’altra ad uno o più obblighi convenzionali, non potrà in alcun modo essere considerata come rinuncia ai diritti attribuiti, per legge o per convenzione, alla Parte non inadempiente.
11.3 Salvi i casi per i quali sia previsto diversamente, le modifiche alla presente Convenzione e ai suoi Allegati saranno efficaci esclusivamente se convenute tra le Parti in forma scritta.
11.4 Per tutto quanto non contemplato nella presente Convenzione e negli Allegati si rinvia alle disposizioni di Xxxxx, con particolare riferimento alle norme del Codice Civile (e, in particolare, all’art. 2277 c.c. che disciplina l’appalto di servizi), del D.lgs. n. 196/03, della L. 633/41, del D.lgs. 82/2005 e le regole tecniche ivi richiamate, così come successivamente integrate e modificate.
*****
ALLEGATI
Allegato A: Manuale operativo di CREDEMTEL S.p.A.
Allegato B: Nomina responsabile del trattamento dati personali
, lì
CREDEMTEL S.p.A. | ENTE |
(Timbro e firma) (Timbro e firma)
*****
Ai sensi e per gli effetti di cui all’articolo 1341 c.c., le Parti dichiarano, dopo attenta lettura, di aver compreso e di approvare specificamente quanto disposto dai seguenti articoli:
art. 2 (Modalità di fornitura del Servizio), art. 3 (Caratteristiche del Servizio di conservazione), art. 4 (Obblighi e responsabilità dell'ENTE), art. 5 (Obblighi e responsabilità di CREDEMTEL), art. 7 (Riservatezza dei dati e delle informazioni), art. 8 (Cessione della Convenzione), art. 10 (Decorrenza e durata della convenzione – Cessazione degli effetti della convenzione), art. 11 (Clausole generali).
CREDEMTEL S.p.A. | ENTE |
(Timbro e firma) (Timbro e firma)
CREDEMTEL SPA
EMISSIONE DEL DOCUMENTO
Azione | Data | Nominativo | Funzione | |
Ruolo interno nel SdC | Unità Operative di appartenenza | |||
Redazione | 24/07/2015 | Xxxxx Xxxxxxx | Xxxxxxxx del RSC. | Funzioni RAQ e RDC. |
Verifica | 24/07/2015 | Xxxxxxxx Xxxxxxx | Responsabile del trattamento dei dati personali. | Funzione RDC, Responsabile della funzione RAQ. |
Approvazione | 24/07/2015 | Xxxxxxxxxxx Xxxxxx | RSC e Responsabile dei sistemi informativi per la conservazione. | Capo servizio INTEC |
SOMMARIO
1. Scopo e ambito del documento 4
2. Terminologia (Glossario e acronimi) 5
3. Normativa e standard di riferimento 10
3.1. Normativa di riferimento 10
3.2. Standard di riferimento 10
5. Struttura organizzativa per il servizio di conservazione 15
5.2. Strutture organizzative 17
6. Oggetti sottoposti a conservazione 18
6.2. Pacchetto di versamento 19
6.3. Pacchetto di archiviazione 19
6.4. Pacchetto di distribuzione 19
7. Processo di conservazione 21
7.1. Modalità di acquisizione dei pacchetti di versamento per la loro presa in carico 24
7.2. Verifiche effettuate sul pacchetto di versamento e sugli oggetti in esso contenuti 24
7.3. Accettazione dei pacchetti di versamento e generazione del rapporto di versamento di presa in carico 25
7.4. Rifiuto del Pacchetto di versamento e modalità di comunicazione delle anomalie 26
7.5. Preparazione e gestione del pacchetto di archiviazione 26
7.6. Preparazione e gestione del pacchetto di distribuzione ai fini dell’esibizione 27
7.7. Produzione di duplicati e copie informatiche e descrizione dell’eventuale intervento del pubblico ufficiale nei casi previsti 28
7.8. Scarto dei pacchetti di archiviazione 28
7.9 Predisposizione di misure a garanzia dell’interoperabilità e trasferibilità ad altri operatori
.............................................................................................................................. 29 8. Il sistema di conservazione ....................................................................................... 30
8.2. Componenti tecnologiche 31
8.4. Procedure di gestione e di evoluzione 32
9. Monitoraggio e controlli 34
9.1. Procedure di monitoraggio 34
9.2. Verifica dell’integrità degli archivi 35
9.3. Soluzioni adottate in caso di anomalia 35
Allegato C “DISCIPLINARE TECNICO”. 1
Formati dei file conservabili 2
Tipologia dei pacchetti informativi gestiti 3
REVISIONI
5 | 24/07/2015 | Modifiche e integrazioni richieste da AgId in fase di accreditamento. |
4 | 26/05/2015 | Piccole revisioni ed integrazioni. |
3 | 22/05/2015 | Integrazione di alcune voci del glossario e di tutti gli allegati. |
2 | 23/04/2015 | Completa revisione documento per adeguamento a nuovo standard fornito dall’Agenzia per l’Italia Digitale. |
1 | 13/07/2011 | Precisate le modalità di terminazione della conservazione in caso di ispezione fiscale. Aggiornamento di prassi e riferimenti normativi presenti in Appendice |
0 | 15/10/2010 | Revisione completa del manuale originale precedentemente non inserito nella documentazione ISO9001. |
Rev. | Data | causale |
ALLEGATI
Allegato A | Elenco dettagliato dei nominativi e loro eventuali delegati che ricoprono i ruoli previsti nella “Tabella dei ruoli interni” comprensivo di tutti i dati richiesti dal documento “Profili professionali” pubblicato da AgId. L’allegato A fa parte integrante dell’allegato denominato “Specificità del contratto”. |
Allegato B | Scheda tecnica dettagliata contenente le sedi, i riferimenti e i nominativi autorizzati a ricoprire specifici ruoli (firmatari autorizzati, responsabili ecc.), i destinatari delle comunicazioni, i gruppi di conservazione, le classi documentali, i registri e relativi metadati a loro associati e le regole di loro validazione, gli SLA, le regole di conservazione ed altri dati ad hoc specifici di ogni Titolare. L’allegato B fa parte integrante dell’allegato denominato “Specificità del contratto”. |
Allegato C | Disciplinare tecnico contenente: • L’elenco generale e la descrizione dei formati elettronici, delle classi documentali e le relative politiche di conservazione dei documenti gestiti dal SdC di Credemtel Spa; • La tipologia dei pacchetti informativi (PdV, PdA, PdD) gestiti dal SdC di Credemtel Spa e dei relativi metadati. L’allegato C completo fa parte integrante dell’allegato denominato “Specificità del contratto”, in coda al presente manuale è riportato uno stralcio della sua parte pubblica. |
1. SCOPO E AMBITO DEL DOCUMENTO
Il presente documento è il Manuale di Conservazione di Credemtel Spa.
Il Manuale di Conservazione descrive il modello organizzativo della conservazione adottato e illustra l’organizzazione della struttura che realizza il processo di conservazione, definendo i soggetti coinvolti, i ruoli ricoperti e le funzioni svolte dagli stessi, nel modello organizzativo di funzionamento dell’attività di conservazione.
Descrive poi il processo, le architetture e le infrastrutture utilizzate, le modalità di descrizione e di versamento nel Sistema di conservazione dei documenti informatici e delle aggregazioni documentali oggetto di conservazione, il monitoraggio del sistema dal punto di vista della sua integrità, le misure di sicurezza adottate e ogni altra informazione utile alla gestione e alla verifica del funzionamento nel tempo, del Sistema di conservazione.
Nel presente Manuale di Conservazione sono contenute anche tutte le informazioni aventi rilevanza, all’interno del processo di conservazione, sul Responsabile del Servizio di Conservazione e sui suoi eventuali delegati, descrivendo i processi e l’operatività del Sistema di Conservazione implementato.
Vengono illustrate le regole e gli adempimenti che sono stati messi in atto per rispettare gli obblighi di legge e gli standard tecnologici di riferimento.
Viene infine descritta la struttura del Sistema di Conservazione cogliendone e sottolineandone le fasi, gli aspetti più importanti, e il supporto al sistema, soffermandosi sulle sue caratteristiche fisiche, logiche e tecnologiche e tutte le procedure per la gestione e l’evoluzione del sistema medesimo.
Eventuali personalizzazioni del servizio di conservazione saranno dettagliate in un apposito allegato denominato “Specificità del contratto”.
Torna al sommario
2. TERMINOLOGIA (GLOSSARIO E ACRONIMI)
Per la terminologia utilizzata nel presente Manuale di Conservazione si rimanda al Glossario di cui all’allegato 1 (GLOSSARIO/DEFINIZIONI) delle regole tecniche (D.P.C.M. 3 dicembre 2013) e a quelle del D.LGS. 82/2005 (Codice dell’Amministrazione Digitale – CAD) in materia di Sistema di Conservazione dei documenti informatici, integrate da quanto indicato nel sottostante glossario. Tutti i termini indicati in carattere “corsivo” non virgolettato fanno pertanto riferimento ad una voce del glossario sottostante o da quelli sopra indicati.
Glossario aggiuntivo dei termini e Acronimi | |
AdE | Agenzia delle Entrate |
AgID | Agenzia per l’Italia Digitale |
aggregazioni documentali | Aggregazioni di documenti informatici anche delle Pubbliche Amministrazioni. |
allegato | Documento che compone il documento informatico per integrare le informazioni contenute nel documento principale. È redatto contestualmente o precedentemente al documento principale. La sua presenza è facoltativa. |
annesso | Documento che compone il documento informatico in un momento successivo a quello di creazione del documento informatico, per fornire ulteriori notizie e informazioni a corredo del documento principale. La sua presenza è facoltativa. |
annotazione | Documento che compone il documento informatico riportante gli elementi identificativi del documento informatico e del suo iter documentale (un tipico esempio di annotazione è rappresentato dalla segnatura di protocollo). La sua presenza è facoltativa. |
area organizzativa | Ripartizione organizzativa del Titolare identificativa della specifica area di produzione dei documenti versati (nella P.A., in genere coincidente con l’area organizzativa omogenea). |
attestato di conservazione | Documento sottoscritto dal RSC che certifica al Titolare che i suoi documenti informatici sono conservati presso il SdC di Credemtel Spa |
CAD | Codice dell’Amministrazione Digitale - Decreto Legislativo n. 82/2005 e successive modifiche ed integrazioni. |
classe documentale | Tipologie documentarie di documenti omogenei per natura e funzione giuridica, modalità di registrazione o di produzione, che hanno comuni caratteristiche formali e/o intellettuali. Le Classe documentali gestite dal SdC sono quelle elencate e descritte nello specifico allegato B del Manuale di Conservazione del Titolare. |
componente | Elemento che compone il documento informatico. Generalmente è un file, ma può essere anche composto solo da metadati. La sua presenza è facoltativa. |
comunità di riferimento | Un insieme formalmente determinato di potenziali utenti che dovrebbero essere in grado di comprendere un particolare insieme di informazioni. La comunità di riferimento può essere composta da più comunità di utenti. |
console di conservazione | Applicazione software di Credemtel Spa che consente al |
personale autorizzato di gestire il SdC e conservare i documenti. | |
content information | contenuto informativo. |
contenuto informativo | Insieme delle informazioni la cui preservazione costituisce lo scopo fondamentale originario della conservazione. E’ composto da due elementi: • oggetto digitale, • informazioni sulla rappresentazione. |
contratto | Accordo tra il Titolare e Credemtel Spa che regola tra le parti i rapporti di servizio. |
copia informatica | copia o estratto informatico di documento informatico |
copia o estratto informatico di documento informatico | Processo che trasferisce uno o più documenti informatici da un supporto di memorizzazione ad un altro, modificando la loro rappresentazione informatica. |
cryptoprocessor | Microprocessore progettato per gestire le chiavi di crittografia e dati in situazioni ad alto rischio. Un microprocessore normale è racchiuso all'interno di un ambiente resistente alle intrusioni, in modo che le informazioni riservate possano essere alterate o rilasciate attraverso un'interfaccia software strettamente definita da un set di transizioni. In combinazione con il controllo dell'accesso, l'insieme delle transizioni deve evitare l'abuso di informazioni sensibili. |
documento archivistico | Unità archivistica costituita da un insieme organizzato di documenti informatici raggruppati dal produttore per le esigenze della sua attività corrente in base al comune riferimento allo stesso oggetto, attività o fatto giuridico. Può rappresentare una unità elementare di una serie. |
documento informatico | Unità documentaria costituita dall’aggregato logico di uno più documenti che sono considerati come un tutto unico. Costituisce l’unità elementare in cui è composto l’archivio. Si distingue in documento principale, allegato, annesso, annotazione. Si tratta comunque di un documento che contiene informazioni memorizzate su qualsiasi supporto o tipologia documentaria, prodotte o ricevute e conservate da un ente o da una persona nello svolgimento delle proprie attività o nella condotta dei propri affari. |
documento principale | Il documento principale deve essere obbligatoriamente presente nel documento informatico, del quale definisce il contenuto primario. |
duplicato informatico | Duplicato informatico di documento informatico |
duplicato informatico di documento informatico | Processo che trasferisce uno o più documenti informatici da un supporto di memorizzazione ad un altro, il tutto non alterando la loro rappresentazione informatica. |
giorni di disponibilità | Numero di giorni di calendario concordati col Titolare di permanenza dei documenti ricevuti sotto la responsabilità del Titolare stesso (stato “corrente”) e ancora fuori dal SdC, per consentire eventuali verifiche e/o sostituzioni dei documenti stessi. |
giorni di prossimità | Numero di giorni lavorativi concordati col Titolare da utilizzare per calcolare il termine di prossimità. |
giorni di SLA | Numero di giorni di calendario concordati col Titolare da utilizzare per calcolare il termine di SLA. |
gruppo di conservazione | Aggregazione di uno o più registri di un medesimo Titolare aventi lo stesso termine di conservazione, i cui documenti possono confluire in un medesimo PdA. |
Hardware Security Module | Tipo di cryptoprocessor per la gestione di chiavi digitali. |
HSM | Hardware Security Module |
indice UniSinCRO | evidenza informatica associata ad ogni pacchetto informativo generato secondo lo standard UNI SInCRO, contenente un insieme di informazioni articolate descritte nell’allegato 4 delle Regole tecniche per i soli PdA ma identicamente utilizzate da Credemtel Spa anche per tutte le altre due tipologie di pacchetti informativi (PdV e PdD). |
informazioni descrittive | Descrivono il pacchetto informativo e consentono di ricercarlo nel SdC. In base alle caratteristiche della tipologia di oggetto contenuto nel pacchetto stesso, tali informazioni possono essere un sottoinsieme di quelle presenti nel pacchetto informativo, possono coincidere o possono anche essere diverse. |
informazioni sull’impacchettamento | Informazioni che consentono di mettere in relazione nel SdC, in modo stabile e persistente, il contenuto informativo con le relative informazioni sulla conservazione. |
informazioni sulla conservazione | Informazioni necessarie a conservare il contenuto informativo e garantiscono che lo stesso sia chiaramente identificato e che sia chiarito il contesto in cui è stato creato. Sono costituite da metadati che definiscono la provenienza, il contesto, l’identificazione e l’integrità del contenuto informativo oggetto della conservazione. |
informazioni sulla rappresentazione | Informazioni che associano un oggetto digitale a concetti di ulteriore o maggior significato. Sono le informazioni necessarie a rendere comprensibile l’oggetto digitale agli utenti. Il caso tipico è costituito dalle informazioni relative al formato con cui la sequenza di bit è codificata, informazioni che consentono al SdC di decodificare opportunamente la sequenza di bit per essere correttamente rappresentata e resa intelligibile agli utenti. |
IPdA | indice UniSinCRO del PdA. |
IPdD | indice UniSinCRO del PdD. |
IPdV | indice UniSinCRO del PdV. |
oggetto-dati | oggetto digitale. |
oggetto digitale | Può assumere la forma di sequenza di bit (tipicamente un file), qualora l’oggetto sia digitale, o solo da informazioni (metadati), qualora l’oggetto sia materiale; il SdC di Credemtel Spa non supporta la gestione di archivi composti da documenti analogici; tuttavia, nel SdC, l’oggetto conservato può assumere la forma di un supporto fisico rimovibile di memorizzazione, rispetto al quale può essere utile/necessario gestire informazioni in forma digitale. |
PdA | pacchetto di archiviazione. |
PdD | pacchetto di distribuzione. |
PdV | pacchetto di versamento. |
Produttore | Soggetto che produce il PdV ed è responsabile del trasferimento del suo contenuto nel SdC. Tale figura si identifica generalmente col Titolare, più in particolare con le figure indentificate dal comma 3 dell’art 6 delle Regole |
tecniche per gli enti pubblici. | |
rapporto di rifiuto | documento informatico che attesta e motiva il rifiuto da parte del SdC dei PdV inviati dal Produttore. |
registro | serie di oggetti da sottoporre a conservazione univocamente identificabili in base a specifiche regole condivise col Titolare. |
Regole tecniche | DPCM 3 dicembre 2013 – Regole tecniche in materia di SdC ai sensi degli articoli 20, commi 3 e 5 –bis, 23 –ter, comma 4, 43, commi 1 e 3, 44, 44 –bis e 71, comma 1, del Codice dell’amministrazione digitale di cui al decreto legislativo n. 82 del 2005. |
RDC | Funzione Referente della Conservazione di Credemtel Spa composta dalle seguenti figure professionali identificate da AgID come necessarie per la gestione in outsourcing di un Servizio di Conservazione accreditato: • Responsabile del servizio di conservazione • Responsabile della funzione archivistica di conservazione • Responsabile della sicurezza dei sistemi per la conservazione • Responsabile del trattamento dati personali • Responsabile dello sviluppo e della manutenzione del sistema conservazione • Responsabile manutenzione e sviluppo del sistema conservazione La funzione comprende anche tutti gli eventuali delegati eventualmente nominati dalle figure sopra elencate. |
Responsabile della Conservazione | E’ il soggetto responsabile dell’insieme delle attività elencate dall’art. 7 comma 1 delle Regole tecniche. Viene designato dal Titolare all’interno della propria struttura organizzativa nelle pubbliche amministrazioni deve essere ricoperto obbligatoriamente da un dirigente o funzionario formalmente designato (art. 7 comma 3 delle Regole tecniche). |
Responsabile del servizio di conservazione | E’ la persona designata da Credemtel Spa a gestire il SdC affidato in outsourcing alla società dal Titolare dei documenti informatici. L’attività del RSC consiste nel gestire ed erogare il servizio di conservazione come definito nel contratto di servizio e nel presente Manuale di Conservazione utilizzando strumenti e metodi aggiornati tecnicamente e conformi alla normativa vigente. |
RSC | Responsabile del servizio di conservazione |
Saas | Software as a Service |
SAN | Storage Area Network: una rete ad alta velocità di dispositivi di memoria di massa condivisi. |
serie | Unità archivistiche o Unità Documentarie ordinate secondo un sistema di classificazione o conservati insieme perché: - sono il risultato di un medesimo processo di sedimentazione o archiviazione o di una medesima attività; - appartengono ad una specifica classe documentale; - a ragione di qualche altra relazione derivante dalle modalità della loro produzione, acquisizione o uso. |
SdC | Sistema di Conservazione |
SLA | Service Level Agreement |
Software as a Service | Modello di distribuzione del software applicativo dove un produttore di software sviluppa, opera (direttamente o tramite terze parti) e gestisce un'applicazione web che mette a disposizione dei propri clienti via internet. |
supporto logico | Contenitore di uno o più PdA di un medesimo Titolare aventi lo stesso anno fiscale o solare. |
termine di conservazione | E’ il termine previsto dalla legge o contrattualmente definito col Titolare di mantenimento dei PdA di un medesimo gruppo di conservazione nel SdC. I PdA per i quali sia trascorsa tale scadenza possono essere scartati dal SdC, previa verifica della congruità del termine stesso e consenso scritto del Titolare. |
termine di disponibilità | E’ il momento dal quale un documento in stato “corrente”, essendo trascorsi i giorni di disponibilità (di calendario) definiti col Titolare o decorso il termine di prossimità per la sua conservazione viene inserito automaticamente nel PdV per il suo invio al SdC. |
termine di prossimità | E’ il momento dal quale un documento diviene prossimo alla scadenza dello SLA concordato col Titolare o ai termini di legge per la sua conservazione. Il termine si calcola sottraendo alla scadenza più vicina delle due già citate i giorni di prossimità (lavorativi) concordati col Titolare. |
termine di SLA | E’ termine concordato col Titolare entro il quale il documento versato nel SdC, salvo non decorrano prima i termini di legge, deve essere conservato. Il termine di calcola sommando i giorni di SLA (di calendario) alla data di ricezione del documento. |
Titolare | Titolare dei documenti informatici |
Titolare dei documenti informatici | E’ il soggetto che affida a Credemtel Spa le attività di conservazione dei propri documenti informatici che per legge o regolamento sono obbligati a conservare. |
UNI SInCRO | Standard UNI 11386:2010 SInCRO – Supporto all’Interoperabilità nella Conservazione e nel Recupero degli Oggetti digitali. |
user ID | Codice identificativo di un utente utilizzato in combinazione con la password per accedere ad un sistema informativo. |
versamento | Azione di trasferimento di documenti informatici o aggregazioni documentali e relativi metadati organizzati in pacchetti informativi dal Produttore (PdV) o da altri conservatori (PdD per supporto all’interoperabilità) nel SdC. |
Torna al sommario
3. NORMATIVA E STANDARD DI RIFERIMENTO
3.1. NORMATIVA DI RIFERIMENTO
• Codice Civile [Libro Quinto Del lavoro, Titolo II Del lavoro nell’impresa, Capo III Delle imprese commerciali e delle altre imprese soggette a registrazione, Sezione III Disposizioni particolari per le imprese commerciali, Paragrafo 2 Delle scritture contabili], articolo 2215 bis – Documentazione informatica;
• Legge 7 agosto 1990, n. 241 e s.m.i. – Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi;
• Xxxxxxx xxx Xxxxxxxxxx xxxxx Xxxxxxxxxx 00 dicembre 2000, n. 445 e s.m.i. – Testo Unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa;
• Decreto Legislativo 30 giugno 2003, n. 196 e s.m.i. – Codice in materia di protezione dei dati personali;
• Decreto Legislativo 22 gennaio 2004, n. 42 e s.m.i. – Codice dei Beni Culturali e del Paesaggio;
• Decreto Legislativo 7 marzo 2005 n. 82 e s.m.i. – Codice dell’amministrazione digitale (CAD);
• Decreto del Presidente del Consiglio dei Ministri 22 febbraio 2013 – Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma3, lettera b), 35, comma 2, 36, comma 2, e 71;
• Xxxxxxx xxx Xxxxxxxxxx xxx Xxxxxxxxx xxx Xxxxxxxx 0 dicembre 2013 – Regole tecniche in materia di sistema di conservazione ai sensi degli articoli 20, commi 3 e 5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44, 44-bis e 71, comma 1, del Codice dell’amministrazione digitale di cui al decreto legislativo n. 82 del 2005;
• D.P.C.M. 3 dicembre 2013 – Regole tecniche per il protocollo informatico ai sensi degli articoli 40-bis, 41, 47, 57-bis e 71, del Codice dell’amministrazione digitale di cui al decreto legislativo n. 82 del 2005;
• Circolare AGID 10 aprile 2014, n. 65 – Modalità per l’accreditamento e la vigilanza sui soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici di cui all’articolo 44-bis, comma 1, del decreto legislativo 7 marzo 2005, n. 82.
• D.M. 17 giugno 2014 – Modalità di assolvimento degli obblighi fiscali relativi ai documenti informatici ed alla loro riproduzione su diversi tipi di supporto – articolo 21, comma 5, del decreto legislativo n. 82/2005.
• D.P.C.M. 13 novembre 2014 – Regole tecniche in materia di formazione, trasmissione, copia, duplicazione, riproduzione e validazione temporale dei documenti informatici nonché di formazione e conservazione dei documenti informatici delle pubbliche amministrazioni ai sensi degli articoli 20, 22, 23 –bis, 23 –ter, 40, comma 1, 41, e 71, comma 1, del Codice dell’amministrazione digitale di cui al decreto legislativo n. 82 del 2005.
Torna al sommario
3.2. STANDARD DI RIFERIMENTO
• ISO 14721:2012 OAIS (Open Archival Information System), Sistema informativo aperto per l’archiviazione;
• ISO/IEC 27001:2013, Information technology – Security techniques – Information security management systems – Requirements, Requisiti di un ISMS (Information Security Management System);
• ETSI TS 101 533-1 V1.3.1 (2012-04) Technical Specification, Electronic Signatures and Infrastructures (ESI); Information Preservation Systems Security; Part 1: Requirements for Implementation and Management, Requisiti per realizzare e gestire sistemi sicuri e affidabili per la conservazione elettronica delle informazioni;
• ETSI TR 101 533-2 V1.3.1 (2012-04)Technical Report, Electronic Signatures and Infrastructures (ESI); Information Preservation Systems Security; Part 2: Guidelines for Assessors, Linee guida per valutare sistemi sicuri e affidabili per la conservazione elettronica delle informazioni;
• UNI 11386:2010 Standard SInCRO – Supporto all’Interoperabilità nella Conservazione e nel Recupero degli Oggetti digitali;
• ISO 15836:2009 Information and documentation – The Dublin Core metadata element set, Sistema di metadata del Dublin Core.
Torna al sommario
4. RUOLI E RESPONSABILITÀ
Lo svolgimento delle attività di conservatore richiede la presenza di più attori coinvolti nel progetto, ognuno dei quali ha la responsabilità di specifiche attività.
Per ogni figura prevista nel processo di gestione del SdC sono richiesti specifici requisiti di onorabilità e di esperienza minima nel ruolo.
Peraltro, così com’è previsto che alcune attività possano essere svolte dal medesimo soggetto è, altresì, previsto che alcune funzioni possano essere delegate ad altri soggetti, fermo restando i predetti vincoli di onorabilità e di requisiti di esperienza del delegato.
Al fine di garantire una corretta esecuzione del servizio di conservazione e un controllo continuo sulle attività da esso realizzate è stata prevista la formazione, interna a Credemtel Spa, di una specifica funzione Referente della Conservazione, alla quale fanno capo tutte le risorse coinvolte dal SdC.
Nella struttura organizzativa che in Credemtel Spa svolge l’attività di conservazione sono presenti i ruoli indicati nella successiva “tabella dei ruoli interni”, unitamente alla specificazione delle competenze minime necessarie per ricoprire il singolo ruolo, alle principali attività ad esso associate ed al nominativo attualmente in carica. Il tutto conformemente al Documento “Profili professionali” pubblicato da AgId sul proprio sito web istituzionale.
Xxxxx | Nominativo attualmente in carica | Formazione ed esperienze minime | Attività associate al ruolo |
Responsabile del servizio di conservazione | Xxxxxxxxxxx Xxxxxx | Xxxxxxxx con esperienza di almeno 5 anni nel ruolo. In assenza di laurea esperienza in ruolo analogo di almeno 8 anni. | - Definizione e attuazione delle politiche complessive del sistema di conservazione, nonché del governo della gestione del sistema di conservazione; - definizione delle caratteristiche e dei requisiti del sistema di conservazione in conformità alla normativa vigente: - corretta erogazione del servizio di conservazione all’ente produttore; - gestione delle convenzioni, definizione degli aspetti tecnico-operativi e validazione dei disciplinari tecnici che specificano gli aspetti di dettaglio e le modalità operative di erogazione dei servizi di conservazione. |
Responsabile della sicurezza dei sistemi per la conservazione | Xxxxxxxxx Xxxxx | Xxxxxxxx in discipline scientifiche con esperienza di almeno 3 anni nel ruolo. In assenza di laurea esperienza in ruolo analogo di almeno 5 anni. | - Rispetto e monitoraggio dei requisiti di sicurezza del sistema di conservazione stabiliti dagli standard, dalle normative e dalle politiche e procedure interne di sicurezza; - segnalazione delle eventuali difformità al Responsabile del servizio di conservazione e individuazione e pianificazione delle necessarie azioni correttive. |
Ruolo | Nominativo attualmente in carica | Formazione ed esperienze minime | Attività associate al ruolo |
Responsabile della funzione archivistica di conservazione | Xxxxxxx Xxxxxxxx | Xxxxxx magistrale in archivistica con esperienza di almeno 2 anni nel ruolo o laurea con percorsi di formazione specialistica nel settore e con esperienza di almeno 3 anni nel ruolo o laurea con esperienza di almeno 5 anni | - Definizione e gestione del processo di conservazione, incluse le modalità di trasferimento da parte dell’ente produttore, di acquisizione, verifica di integrità e descrizione archivistica dei documenti e delle aggregazioni documentali trasferiti, di esibizione, di accesso e fruizione del patrimonio documentario e informativo conservato; - definizione del set di metadati di conservazione dei documenti e dei fascicoli informatici; - monitoraggio del processo di conservazione e analisi archivistica per lo sviluppo di nuove funzionalità del sistema di conservazione; - collaborazione con l’ente produttore ai fini del trasferimento in conservazione, della selezione e della gestione dei rapporti con il Ministero dei beni e delle attività culturali per quanto di competenza. |
Responsabile del trattamento dei dati personali | Xxxxxxxx Xxxxxxx | Xxxxxxxx con esperienza di almeno 3 anni nel ruolo. In assenza di laurea esperienza in ruolo analogo di almeno 5 anni. | - Garanzia del rispetto delle vigenti disposizioni in materia di trattamento dei dati personali; - garanzia che il trattamento dei dati affidati dai Clienti avverrà nel rispetto delle istruzioni impartite dal titolare del trattamento dei dati personali, con garanzia di sicurezza e di riservatezza. |
Responsabile dei sistemi informativi per la conservazione | Xxxxxxxxxxx Xxxxxx | Xxxxxxxx in discipline scientifiche con esperienza nel ruolo di almeno 3 anni. In assenza di laurea esperienza in ruolo analogo di almeno 5 anni. | - Gestione dell’esercizio delle componenti hardware e software del sistema di conservazione; - monitoraggio del mantenimento dei livelli di servizio (SLA) concordati con l’ente produttore; - segnalazione delle eventuali difformità degli SLA al Responsabile del servizio di conservazione e individuazione e pianificazione delle necessarie azioni correttive; - pianificazione dello sviluppo delle infrastrutture tecnologiche del sistema di conservazione; - controllo e verifica dei livelli di servizio erogati da terzi con segnalazione delle eventuali difformità al Responsabile del servizio di conservazione. |
Xxxxx | Nominativo attualmente in carica | Formazione ed esperienze minime | Attività associate al ruolo |
Responsabile dello sviluppo e della manutenzione del sistema di conservazione | Xxxxxxxxx Xxxxx | Xxxxxxxx in discipline scientifiche con esperienza nel ruolo di almeno 3 anni. In assenza di laurea esperienza in ruolo analogo di almeno 5 anni. | - Coordinamento dello sviluppo e manutenzione delle componenti hardware e software del sistema di conservazione; - pianificazione e monitoraggio dei progetti di sviluppo del sistema di conservazione; - monitoraggio degli SLA relativi alla manutenzione del sistema di conservazione; - interfaccia con l’ente produttore relativamente alle modalità di trasferimento dei documenti e fascicoli informatici in merito ai formati elettronici da utilizzare, all’evoluzione tecnologica hardware e software, alle eventuali migrazioni verso nuove piattaforme tecnologiche; - gestione dello sviluppo di siti web e portali connessi al servizio di conservazione. |
Le procedure di nomina e di delega di Credemtel Spa prevedono che, in ogni caso:
• vengano definiti i soggetti, le funzioni e gli ambiti oggetto delle nomine e delle deleghe;
• le nomine e le deleghe vengano formalizzate in forma scritta, anche mediante documento informatico;
• i nominati e i delegati esprimano in forma scritta, anche mediante documento informatico, il consenso ad accettare l’incarico;
• nomine e deleghe abbiano data certa.
Pertanto, il servizio di conservazione di Credemtel Spa e di conseguenza il SdC ad esso strumentale, è costantemente presidiato, da Responsabili congruamente qualificati, inoltre incardinati in strutture organizzative che consentono loro di svolgere, con adeguati mezzi e risorse, i loro compiti.
In sintesi, il servizio di conservazione di Credemtel Spa è stato progettato e implementato per essere potenzialmente in grado di attuare tutte le attività della conservazione in modo affidabile e a norma, nei confronti di un soggetto esterno alla struttura organizzativa del Titolare, ovviamente nei limiti stabiliti, mediante il contratto.
L’elenco dettagliato di tali nominativi e degli eventuali loro delegati è indicato nell’allegato A
del presente manuale. Torna al sommario
5. STRUTTURA ORGANIZZATIVA PER IL SERVIZIO DI CONSERVAZIONE
5.1. ORGANIGRAMMA
Nel seguente organigramma sono riportate le strutture organizzative di Credemtel Spa coinvolte nel processo di conservazione:
Figura 1 – ORGANIGRAMMA del servizio di conservazione
Come chiarito nel capitolo precedente, ed evidenziato graficamente nel figura seguente, in Credemtel Spa, il servizio di conservazione, e conseguentemente, anche il SdC, è posto sotto la responsabilità del RSC che è anche responsabile della Funzione RDC, che ricomprende al suo interno tutti gli altri responsabili elencati nella “tabella dei ruoli interni” ed i loro eventuali
delegati, che operano, rispetto al primo, secondo legami gerarchici (linee continue) e/o collaborativi (linee tratteggiate).
E’ inoltre previsto, a livello di procedura interna, che i suddetti Responsabili si riuniscano periodicamente, in forma totalitaria o per gruppi, in “Comitati Guida”, finalizzati al costante monitoraggio e alla programmazione delle diverse attività di gestione del servizio di conservazione e del SdC.
Figura 2 Dettaglio della Funzione Referente della Conservazione (RDC)
Torna al sommario
5.2. STRUTTURE ORGANIZZATIVE
Compiti e responsabilità delle strutture organizzative individuate nel capitolo precedente, con l’esclusione dei servizi che fungono solo da raccordo con gli uffici sottoposti:
• CdA: Il Consiglio di Amministrazione nomina il RSC e le altre figure professionali indicate nel capitolo 4.
• AD: L’Amministratore Delegato:
▪ richiede la formalizzazione delle procedure interne per la gestione dei rischi dell’organizzazione.
▪ a valle della fase di analisi dei rischi, approva il piano della sicurezza presentato da XXX e redatto anche con l’ausilio del Responsabile della sicurezza dei sistemi per la conservazione.
• RDC: Funzione Referente Della Conservazione: è un team che comprende tutti i ruoli già indicati al paragrafo 4 e loro eventuali delegati, con i relativi compiti ivi dettagliati.
• RAQ: Funzione Responsabile della Qualità e Sicurezza: gestisce il sistema di gestione della qualità e sicurezza redatto secondo le normative ISO 9001 e ISO 27001, effettua l’analisi dei rischi e predispone il Piano della Sicurezza da presentare all’AD. La funzione RAQ si occupa inoltre di verificare periodicamente la conformità a normativa e standard di riferimento.
• COP: L’ufficio Commerciale Operativo si occupa di:
▪ definire i parametri contrattuali relativi al servizio di conservazione;
▪ raccogliere la firma dei Titolari sul contratto di servizio.
• GED: L’Ufficio Gestione Clienti GED si occupa di:
▪ attivare il servizio di conservazione;
▪ censire il Titolare nel SdC;
▪ concordare col Titolare o con il suo Responsabile della Conservazione, documenti, metadati, tempistiche, regole di validazione, tempistiche e parametri di conservazione;
▪ fornire supporto ai Titolari che ne facciano richiesta anche sui loro sistemi per verificare e configurare le applicazioni di trasferimento dei documenti da conservare nel rispetto di diritti, licenze e permessi ottenuti dai Titolari medesimi.
▪ configurare i gruppi di conservazione, i registri, i metadati e le regole di validazione, le tempistiche e i parametri di conservazione nel SdC;
▪ distribuire i certificati di firma digitale al personale del Titolare qualora ne faccia richiesta, censendo tali figure nel SdC;
▪ definire col Titolare e censire nel SdC l’elenco degli utenti autorizzati ad accedere
SdC ed i loro limiti di accesso;
▪ erogare il servizio di assistenza ai Titolari del servizio di conservazione ed agli
utenti del SdC;
▪ monitorare il SdC relativamente all’elaborazione e alla quadratura dei documenti.
• ADA: L’Ufficio Applicazioni Documentali ed Altro si occupa di:
▪ gestire lo sviluppo, la correzione di eventuali anomalie, il change management, il rilascio ed il monitoraggio del software del SdC;
▪ acquisire, verificare e gestire i PdV ricevuti;
▪ predisporre il rapporto di versamento per i PdV presi in carico;
▪ predisporre il rapporto di rifiuto per i PdV rifiutati;
▪ preparare e gestire i PdA tramite applicazioni automatizzate;
▪ preparare e gestire i PdD ai fini dell’esibizione e della produzione di duplicati informatici e copie informatiche su richiesta tramite applicazioni automatizzate;
▪ verificare integrità e leggibilità dei documenti del SdC tramite applicazioni automatizzate;
▪ gestire lo scarto di PdA e/o documenti informatici tramite applicazioni automatizzate.
Torna al sommario
6. OGGETTI SOTTOPOSTI A CONSERVAZIONE
Sono definiti oggetti sottoposti a conservazione, i documenti informatici e le aggregazioni documentali versati dal Produttore nel SdC, attraverso PdV corredati dai relativi metadati concordati col Titolare o con il suo Responsabile della Conservazione oltre a quelli minimi previsti, a seconda della tipologia e della classe documentale, dalle Regole tecniche e dalla normativa vigente, e distribuiti agli utenti sotto forma di PdD.
I metadati sono necessari per identificare univocamente i documenti versati nel SdC, descriverne il contesto, rintracciarne la collocazione, identificarne autori ed eventuali sottoscrittori, fornendo un riferimento alla struttura di ogni documento, al suo formato e tutte le altre informazioni che possono essere utili alla loro rappresentazione.
Il SdC gestisce l’organizzazione e la descrizione dei documenti informatici e delle aggregazioni documentali in serie.
Il documento informatico si distingue in documento principale, allegato, annesso, annotazione. Il documento principale deve essere obbligatoriamente presente nel documento informatico, del quale definisce il contenuto primario.
Il pacchetto informativo gestito dal SdC di Credemtel Spa assume, come strutture logiche di riferimento, quelle del documento informatico e del documento archivistico e contiene due tipi di informazioni: il contenuto informativo e le informazioni sulla conservazione, la cui correlazione è identificata dalle informazioni sull’impacchettamento. Il pacchetto informativo, inoltre, è descritto e può essere ricercato nel SdC tramite le informazioni descrittive.
Il SdC gestisce gli oggetti sottoposti a conservazione in archivi distinti per ogni singolo Titolare e, se con questo concordato, per singola area organizzativa (generalmente corrispondenti, nella PA alle Aree Organizzative Omogenee), consentendo di definire configurazioni e parametrizzazioni ad hoc per ogni Titolare (e/o per ogni singola area organizzativa) come definito nell’allegato B.
Per mantenere anche nel SdC le informazioni relative alla struttura dell’archivio e dei relativi vincoli archivistici, i documenti informatici versati sono corredati di un set di metadati di profilo archivistico.
I documenti informatici, i documenti archivistici e le serie ricordando che comunque un documento informatico e un documento archivistico possono rappresentare una unità elementare di una serie che nel SdC devono sempre essere associati a una serie, anche qualora ne costituiscano l’unico elemento sono versati dal produttore nel SdC mediante PdV, quando il Produttore lo ritiene opportuno, in base alle proprie esigenze gestionali (compresa la necessità di rispettare scadenze di legge), descritte da un set di metadati che include obbligatoriamente, oltre alle informazioni di identificazione, classificazione e descrizione, anche il termine di conservazione previsto. Nel caso delle serie, la chiusura può avvenire a cadenza annuale o comunque secondo una definizione temporale indicata nell’allegato B.
I documenti informatici sono suddivisi in classi documentali, che identificano gruppi documentali omogenei per natura e funzione giuridica, modalità di registrazione o di produzione. Tale suddivisione è funzionale all’individuazione, per ogni singola classe documentale, di set di metadati standard e di articolazioni o strutture di composizione omogenee. Inoltre, in genere, le classi documentali individuano i registri in cui si articola e organizza la produzione documentale del Titolare.
Le classi documentali per le quali il Titolare richiede la classificazione nel SdC vengono, in fase di attivazione, correlate a specifici registri.
Il Titolare, nel PdV, deve sempre associare un documento informatico o un documento archivistico a una classe documentale, in modo che il SdC possa archiviarle allocandole nel corretto registro di riferimento, come definito nell’allegato B al presente manuale.
Torna al sommario
6.1. OGGETTI CONSERVATI
Gli oggetti sottoposti a conservazione vengono aggregati, in ossequio alle regole condivise col Responsabile della Conservazione nominato dal Titolare, in registri, i quali saranno associati da Credemtel Spa:
• alla classe documentale che definisce le regole di conservazione
• al gruppo di conservazione utilizzato per definire la composizione dei PdA.
L’elenco dettagliato di tali registri del singolo Titolare, delle relative classi documentali e metadati a loro associati e delle regole di loro validazione è definito nell’allegato B del presente manuale.
L’elenco generale e la descrizione dei formati elettronici, delle classi documentali e le relative politiche di conservazione dei documenti gestiti dal SdC di Credemtel Spa sono definiti nell’allegato C del presente manuale.
Torna al sommario
6.2. PACCHETTO DI VERSAMENTO
Il PdV è il pacchetto informativo con il quale il Produttore invia al SdC gli oggetti da sottoporre a conservazione.
I PdV da versare nel SdC di Credemtel Spa sono generati dal Produttore, sotto la sua esclusiva responsabilità, con IPdV in formato standard UNI SInCRO ed aggregano i documenti per i quali è trascorso il termine di disponibilità appartenenti ad uno stesso Titolare e registro.
L’IPdV inviati a Credemtel Spa non vengono di norma firmati digitalmente, in quanto già bloccati con una impronta calcolata tramite apposita funzione di hash nel rapporto di versamento o nel rapporto di rifiuto, salvo quanto eventualmente diversamente previsto nel contratto.
La tipologia dei PdV gestiti dal SdC di Credemtel Spa sono definite nell’allegato C del presente manuale.
Torna al sommario
6.3. PACCHETTO DI ARCHIVIAZIONE
Il PdA è il pacchetto informativo con il quale il SdC aggrega e conserva gli oggetti da sottoporre a conservazione.
I PdA del SdC di Credemtel Spa sono generati con IPdA in formato standard UNI SInCRO ed aggregano i documenti per i quali è trascorso il termine di prossimità (ferma restando la facoltà del RSC di forzare tale termine quando le circostanze lo richiedano, es. richiesta dei documenti da parte delle autorità pubbliche di vigilanza) appartenenti ad uno stesso Titolare e gruppo di conservazione.
L’IPdA UNI SInCRO prodotto da Credemtel Spa viene poi firmato digitalmente e marcato temporalmente a cura del RSC e/o, se previsto dal contratto dal Responsabile della Conservazione nominato dal Titolare e dai suoi eventuali delegati.
La tipologia dei PdA gestiti dal SdC di Credemtel Spa e le relative strutture dati sono definite nell’allegato C del presente manuale.
Torna al sommario
6.4. PACCHETTO DI DISTRIBUZIONE
Il PdD è il pacchetto informativo inviato dal SdC all’utente in risposta ad una sua richiesta di estrazione di documenti conservati.
I PdD del SdC di Credemtel Spa sono generati con IPdD in formato standard UNI SInCRO che viene sottoscritto digitalmente e marcato temporalmente a cura del RSC.
I PdD generati da Credemtel Spa contengono:
1. i documenti richiesti dall’utente
2. un IPdD da generare ex-novo che blocchi tutti i documenti richiesti, coi relativi metadati
3. opzionalmente, a richiesta dell’utente, anche:
• l’attestato di conservazione dei documenti richiesti;
• gli IPdA correlati ai documenti stessi;
• i rapporti di versamento di presa in carico dei documenti;
• relativamente al Provvedimento AdE n. 143663/2010 “attuativo della comunicazione dell’impronta relativa ai documenti informatici rilevanti ai fini tributari ai sensi del decreto 23 gennaio 2004” (ora abrogato), delle eventuali:
o evidenze informatiche (cosiddette “superimpronte”) contenenti le impronte degli
IPdA correlati ai documenti informatici richiesti (se generate),
o le comunicazioni delle suddette evidenze informatiche all’AdE (se presentate)
o le relative conferme ricevute dall’AdE (se da quest’ultima ricevute).
I PdD così completati sono resi disponibili all’utente richiedente per il download da web (HTTPS).
La tipologia dei PdD gestiti dal SdC di Credemtel Spa e le relative strutture dati sono definite nell’allegato C del presente manuale.
Torna al sommario
7. PROCESSO DI CONSERVAZIONE
Il processo di conservazione si attiva solo a seguito della sottoscrizione del contratto tra il Titolare e Credemtel Spa e secondo le procedure indicate nel Manuale di Conservazione e nel contratto. Il contratto disciplina anche la chiusura del servizio in caso di recesso o scadenza del contratto stesso.
XXXXXXXX’ PROPEDEUTICHE AL PROCESSO DI CONSERVAZIONE
Gli oggetti da sottoporre al processo di conservazione inviati dal Titolare subiscono un primo controllo formale di validazione. I documenti che passano tale controllo vengono caricati nell’archivio di conservazione e rimangono in stato “corrente” a disposizione e sotto la responsabilità del Produttore ed ancora fuori dal SdC fino a decorrenza del termine di disponibilità definito fra le parti e riportato nell’allegato B del presente manuale.
I documenti così individuati, come da sottoporre al processo di conservazione, vengono altresì resi visibili ed accessibili mediante apposita interfaccia di facile intelligibilità al Produttore, il quale è tenuto, in assenza di suoi ulteriori interventi e decorso il termine di disponibilità, a verificare la congruità di quanto verrà inserito in nuovi PdV e versato nel SdC. Tale attività di verifica è dunque obbligatoria e la sua mancata effettuazione non è in alcun modo scusabile.
Decorso il termine di disponibilità, i documenti in stato “corrente”, così come previsto dal contratto e sotto l’esclusiva responsabilità del Produttore, vengono aggregati, per Titolare e registro da una idonea procedura software messa a disposizione da Credemtel Spa al Produttore, in PdV e inviati al SdC per la loro validazione e presa in carico o rifiuto.
Figura 3 Servizio di conservazione
Come già esplicitato, il processo di conservazione è innescato dal versamento da parte dei Produttori dei PdV da conservare nel SdC, in conformità a quanto stabilito nel presente Manuale di Conservazione.
La ricezione da parte del SdC dei PdV inviati dal Produttore, vale come “ordine irrevocabile di conservazione”, il quale, ovviamente, non potrà avere seguito nel caso in cui sia necessario rifiutare il PdV.
Figura 4 Processo di Conservazione
I documenti versati e accettati prendono pertanto lo stato “irrevocabile”.
Quindi, l’associazione dello stato “irrevocabile” ai documenti ha il seguente significato:
• che il Produttore non può più intervenire direttamente sui documenti informatici versati;
• che il RSC e/o il Responsabile della Conservazione nominato dal Titolare (se previsto dal contratto) e i suoi eventuali delegati, sono definitivamente autorizzati a procedere alla terminazione del processo di conservazione di tali documenti, evidentemente anche anticipatamente rispetto al termine ultimo previsto per farlo;
• che il RSC e/o il Responsabile della Conservazione nominato dal Titolare (se previsto dal contratto) e i suoi eventuali delegati, sono obbligati a terminare il processo di conservazione nei termini previsti dalle regole di conservazione indicate nell’allegato B;
• che a Credemtel Xxx non potrà essere imputata responsabilità alcuna per aver terminato il processo di conservazione di tali documenti.
È quindi obbligo esclusivo del Produttore, tenendo presenti le tempistiche indicate nell’allegato B per lo svolgimento da parte del servizio di conservazione del versamento in archivio, fare in modo che i PdV pervengano al SdC in tempo utile per il rispetto di eventuali termini di legge entro i quali il Produttore è tenuto al versamento di documenti informatici nel proprio archivio di conservazione. Per converso, dal momento in cui Credemtel Spa abbia rispettato le tempistiche esplicitate nell’allegato B, non potrà esserle imputata responsabilità alcuna per il superamento dei suddetti termini di legge.
I PdV sono prodotti e inviati al SdC di Credemtel Spa sotto la esclusiva responsabilità del Produttore, secondo le modalità e le procedure esposte nei loro aspetti generali nel presente Manuale di Conservazione e, per gli aspetti operativi e specifici relativi a ogni Produttore, nell’allegato B, dove sono descritti in dettaglio i documenti informatici, i registri le relative Classi documentali oggetto di conservazione e le regole tecniche per la loro acquisizione e gestione nel SdC.
Il SdC genera periodicamente, per tutti i PdV di ogni Titolare ricevuti nel periodo, un rapporto di versamento o un rapporto di rifiuto, che vengono firmati digitalmente a cura del RSC e
conservati digitalmente tra i documenti del Titolare; ai documenti contenuti nei PdV validati ed accettati nel SdC tramite verifiche automatiche descritte nel rapporto di versamento, viene attribuito lo stato “irrevocabile” e gli stessi passano sotto la responsabilità di Credemtel Spa.
I documenti non validati vengono analogamente inseriti in un rapporto di rifiuto, alla quale viene attribuito lo stato “rifiutato” e di conseguenza non entreranno mai nel SdC.
Tutte le informazioni di tracciamento relative alla ricezione, accettazione, rifiuto dei PdV e generazione del rapporto di versamento o del rapporto di rifiuto vengono registrate nei log di sistema del SdC. Tali log vengono periodicamente riversati in documenti informatici sottoscritti con firma digitale a cura del RSC ed inviati in conservazione presso il SdC di Credemtel Spa in un apposito registro avente termine di conservazione illimitato.
Laddove richiesto dal Titolare, tramite procedure informatiche automatizzate vengono individuate incongruenze (a titolo esemplificativo: incongruenze nella successione dei file rispetto alla loro data e numerazione ecc.) che possono essere riepilogate al Titolare stesso, agli indirizzi da quest’ultimo forniti, mediante invio di e-mail ordinarie con una periodicità concordata, come riportato nell’allegato B del presente manuale. Può essere anche concordato l’invio di una email certificata (PEC) al Titolare, in caso di escalation di segnalazioni non corrette.
Tali email vengono trasmesse agli indirizzi di posta elettronica forniti dal Titolare e riportati nell’allegato B del presente manuale ed il contenuto delle stesse si riterrà conosciuto al destinatario dal momento nel quale quest’ultima ha raggiunto il POP del Titolare, senza che Credemtel Spa sia tenuto a compiere ulteriori indagini in relazione all’eventuale mancata lettura o ricezione (riconducibile, ad esempio, a cambiamenti dell’indirizzo email non comunicati tempestivamente, a problemi di spazio disco, indisponibilità del servizio di posta, mancato accesso del Titolare, ecc.).
Il Titolare deciderà, a proprio insindacabile giudizio, come procedere in merito, senza che questo pregiudichi le attività che comunque Credemtel Spa dovrà effettuare per completare il processo di conservazione come previsto nel presente Manuale di Conservazione.
I documenti informatici versati permangono in stato “irrevocabile” fino alla decorrenza del termine di prossimità, trascorso il quale il SdC provvederà, tramite idonea procedura software automatica, ad aggregarli per Titolare e gruppo di conservazione componendo così il PdA.
I PdA così preparati vengono sottoposti all’attenzione del RSC che li può verificare e conservare apponendo la propria firma digitale con marca temporale al relativo IPdA; ai documenti correlati viene quindi assegnato lo stato “conservato”.
Qualora RSC, durante la fase verifica dei documenti effettuata direttamente o dietro motivata richiesta scritta dell’ufficio GED o del Titolare, identificasse anomalie non già rilevate o rilevabili dai controlli automatici effettuati in fase di verifica del PdV, sarà autorizzata ad escludere i documenti anomali dal PdA (se già predisposti per la conservazione) e a porli in stato “sospeso” (se occorre approfondire la verifica col Titolare o con l’ufficio GED) o ordinare il loro scarto dal SdC. In caso a RSC venga richiesto di porre in stato “sospeso” i documenti per effettuare le necessarie verifiche col Titolare, lo stesso non sarà ritenuto obbligato a rispettare la scadenza dello SLA di conservazione concordato col Titolare nell’allegato B ma solo il termine di legge.
Per permettere e garantire la fruibilità nel tempo dei documenti conservati, il SdC prevede inoltre la gestione di una libreria di visualizzatori associata alle tipologie documentarie e ai singoli documenti. Così facendo viene mantenuto un repository comune che ha lo scopo di rendere fruibili tutti i documenti conservati senza dover ricorrere, finché possibile, alla creazione di copie informatiche.
I Pda conservati permangono nel SdC fino a decorrenza del termine del termine di conservazione o rescissione del contratto di servizio, dopodiché vengono scartati dal SdC.
I Titolari, i Produttori e gli utenti possono, se muniti dei necessari strumenti, interfacciarsi direttamente con il servizio di conservazione di Credemtel Spa, ovvero possono sottoscrivere i diversi moduli di servizio, non inclusi nel servizio di conservazione, che Credemtel Spa ha implementato a tal fine, ovvero possono utilizzare soluzioni miste.
Credemtel Spa gestisce correttamente i diritti di proprietà intellettuale ed eventuali restrizioni nell'utilizzo, come definito nel contratto di servizio.
Come è normato nel contratto di servizio, è specifico obbligo del Titolare, al quale Credemtel Spa fornisce una utenza di amministrazione degli utenti censiti nell’applicazione web di consultazione, gestire l’assegnazione, la revisione e la cancellazione delle utenze prevedendo che:
• venga assegnato un solo user ID per persona, con utilizzo di utenze di gruppo solo per eccezioni strettamente controllate e preventivamente autorizzate;
• la richiesta di rilascio dello user ID pervenga da persona autorizzata e il rilascio sia formalmente approvato;
• venga consegnato un documento all'utente autorizzato con i suoi diritti di accesso e con le eventuali verifiche e controllo richiesti dal processo di conservazione, con accettazione da parte dell'utente;
• venga mantenuto l'elenco storico delle credenziali di accesso assegnate;
• siano periodicamente analizzate e riviste le credenziali di accesso al SdC, con cadenza non superiore ai 6 mesi per accertare che la necessità di accesso sia ancora valida.
Tutte le comunicazioni da e verso l’esterno del SdC vengono gestite come previsto dalla procedura ISO9001 PRO17 Erogazione dei servizi, istruzione operativa IST-17-05 GEDCONS Manuale interno procedure e controlli; in particolare, tutte le comunicazioni formali verso l’esterno del SdC sono preventivamente approvate dal RSC.
Ulteriori informazioni sull’argomento sono presenti nell’allegato denominato “Specificità del contratto”.
Torna al sommario
7.1. MODALITÀ DI ACQUISIZIONE DEI PACCHETTI DI VERSAMENTO PER LA LORO PRESA IN CARICO
Il SdC realizzato da Credemtel Spa è parte integrante, seppur logicamente distinto da esso, di in un più ampio servizio di conservazione inserito in una suite di servizi di gestione documentale denominata Gedanyway che, tra le altre funzioni, permette al Produttore anche l’invio sicuro dei documenti, la generazione, la verifica e l'invio in conservazione dei PdV. I PdV vengono così generati automaticamente sotto l’esclusiva responsabilità del Produttore, nel formato già descritto nel capitolo 6.2 e vengono successivamente trattati dal SdC.
Il servizio di conservazione, e di conseguenza il SdC ad esso strumentale, non può pertanto essere offerto separatamente dalla suite Gedanyway sulla quale sono attestati idonei e sicuri canali di trasmissione dei documenti destinati ai vari servizi documentali ad essa connessi, compreso quello di conservazione.
Se i PdV ricevuti passano i controlli di validità vengono automaticamente acquisiti in tempo reale dal SdC ed i documenti in essi contenuti assumono lo stato “irrevocabile”.
Non è previsto che i PdV possano contenere dati cifrati ma sono resi accessibili, dietro tracciamento sul log di sistema, solo al personale autorizzato (vedi Piano di Sicurezza).
Sui PdV versati da Produttori appartenenti ad aziende private di norma non viene apposta la firma digitale, mentre quest'ultima viene solitamente apposta nel caso in cui il Produttore sia un ente pubblico. Se previsto nel contratto di servizio verrà apposta la firma digitale automatica del responsabile del protocollo.
Torna al sommario
7.2. VERIFICHE EFFETTUATE SUL PACCHETTO DI VERSAMENTO E SUGLI OGGETTI IN ESSO CONTENUTI
Tutti i PdV generati dal Produttore devono contenere documenti omogenei di un medesimo
Titolare e registro.
Per ogni documento informatico contenuto nel PdV verranno effettuate le seguenti verifiche:
• di formato del documento previsto dalla normativa vigente;
• di univocità degli identificativi degli oggetti contenuti nel PdV;
• di formato del documento previsto tra quelli conservabili da Credemtel Spa;
• di integrità del documento (verifica dell’impronta tramite funzione di hash);
• di validità del certificato di firma;
• di validità dell’algoritmo di firma utilizzato;
• di attendibilità della CA che ha rilasciato il certificato di firma;
• di presenza del firmatario del documento nell’elenco dei firmatari autorizzati dal Titolare;
• di presenza dei metadati minimi obbligatori previsti per la relativa classe documentale;
• di rispetto delle eventuali regole di validità aggiuntive associate ai metadati in accordo col
Titolare;
• che i suddetti controlli vengano effettuati alla data/ora contenuta nella firma.
Nel caso in cui il formato del documento informatico non sia tra quelli descritti e previsti dalla normativa vigente, il PdV ed i documenti in esso contenuti vengono rifiutati.
Torna al sommario
7.3. ACCETTAZIONE DEI PACCHETTI DI VERSAMENTO E GENERAZIONE DEL RAPPORTO DI VERSAMENTO DI PRESA IN CARICO
Il PdV che passa tutti i controlli indicati nel paragrafo 7.2, viene accettato e versato nel SdC. Per attestare l’avvenuta acquisizione e presa in carico del PdV, il SdC genera automaticamente il rapporto di versamento riferito ad uno o più PdV accettati, che viene memorizzato nel SdC e associato ai PdV ai quali si riferisce.
Con cadenza massima settimanale, tutti i PdV accettati e non ancora registrati in un rapporto di versamento, vengono inseriti in un nuovo rapporto di versamento di presa in carico che rappresenta il documento di controllo e di presa di responsabilità del RSC verso il Produttore, in quanto con esso, viene garantita la conservazione di tutti e soli i documenti per i quali viene emesso il rapporto di versamento.
Con cadenza massima settimanale, tutti i PdV rifiutati e non ancora registrati in un rapporto di rifiuto vengono inseriti in un nuovo rapporto di rifiuto.
In particolare, dal punto di vista organizzativo, laddove sia prevista un’integrazione applicativa tra il sistema documentale alimentante e il SdC, la responsabilità di assicurarsi della corretta presa in carico di tutti i documenti da parte del SdC è in carico al Produttore, attraverso il sistema documentale, che deve provvedere ad aggiornare sui propri archivi il buon esito del caricamento in conservazione e consentire di individuare eventuali incompletezze o anomalie nel processo di conservazione.
Il rapporto di versamento e il rapporto di rifiuto sono file in formato PDF che contengono:
• l’identificativo univoco del rapporto;
• i dati identificativi di ogni PdV univocamente identificato;
• l’impronta calcolata tramite apposita funzione di hash sull’IPdV che già contiene
l’impronta di tutti i documenti contenuti nel PdV;
• la conferma che, riapplicando al IPdV la funzione di hash, l’impronta risultante coincida con quella originalmente calcolata in fase di sua generazione;
• l’elenco e l’esito delle verifiche di validità effettuate sui documenti contenuti nel PdV (questo per cristallizzare, visto che i controlli possono essere aggiornati nel tempo, quali effettivi controlli furono applicati al momento della validazione);
• un file compresso allegato al rapporto stesso contenente tutti gli IPdV in standard UNI SInCRO di tutti i PdV ai quali il rapporto si riferisce;
• un riferimento temporale specificato con riferimento al Tempo Universale Coordinato (UTC).
Tutti i rapporti di versamento e i rapporti di rifiuto generati sono firmati digitalmente a cura di RSC ed inviati in conservazione in appositi registri riferibili sia al Titolare dei documenti che a Credemtel Spa.
Tutte le informazioni di tracciatura relative alla generazione, accettazione, rifiuto del PdV e generazione del rapporto di versamento e del rapporto di rifiuto vengono registrate nel log di sistema del SdC. Tale log viene periodicamente riversato in un documento informatico sottoscritto digitalmente e inviato in conservazione tra i documenti di Credemtel Spa.
Torna al sommario
7.4. RIFIUTO DEL PACCHETTO DI VERSAMENTO E MODALITÀ DI COMUNICAZIONE DELLE ANOMALIE
Il PdV contenente almeno un documento informatico che non passa almeno uno dei controlli indicati nel paragrafo 7.2, viene rifiutato in toto e i documenti relativi messi in stato “rifiutato”. I PdV rifiutati vengono inseriti nel rapporto di rifiuto con le modalità già descritte nel paragrafo precedente.
L’elenco di tutti i PdV accettati e rifiutati vengono giornalmente segnalati via mail dal SdC al
Produttore con due distinte segnalazioni.
Il Produttore è consapevole dell’opportunità di controllare quanto contenuto nell’apposita area di memorizzazione dei PdV rifiutati.
Torna al sommario
7.5. PREPARAZIONE E GESTIONE DEL PACCHETTO DI ARCHIVIAZIONE
I documenti correlati ai PdV accettati, raggiunto il termine di prossimità, vengono automaticamente elaborati al fine di creare i PdA.
Il SdC genera automaticamente, con i tempi e le modalità già indicate nei paragrafi 6.3 e 7, l’IPdA che contiene al suo interno le impronte di tutti i documenti indicizzati e le altre informazioni che sono previste dalle Regole tecniche.
Tale IPdA viene successivamente conservato a cura del RSC nell’archivio del Titolare.
In generale il processo di conservazione non prevede l’utilizzo della crittografia degli oggetti conservati, in quanto da un lato deve assicurare la conservazione a lungo termine del documento digitale e di conseguenza la piena disponibilità nei confronti non solo del Titolare, ma di tutta la comunità di riferimento (previa verifica dell’autorizzazione all’accesso ai documenti); dall’altro non deve in alcun modo alterare il documento inviato in conservazione utilizzando tecniche crittografiche proprie.
I PdA sono memorizzati automaticamente dal SdC in supporti logici univocamente identificati e riferiti all’archivio del Titolare; tali PdA vengono poi organizzati per anno fiscale o per anno solare, in accordo con le indicazioni fornite dal Titolare medesimo come indicato nell’allegato B.
I supporti logici hanno una dimensione massima tale da poter essere memorizzata su un supporto fisico rimovibile, una volta riempito un supporto logico, al sopraggiungere di nuovi PdA, il SdC ne crea subito uno nuovo per accoglierli.
La funzione RDC si occupa delle attività relative alla gestione dello scarto; per tale attività è prevista la seguente procedura:
1. ogni anno viene effettuate l’estrazione della lista dei supporti logici di ogni Titolare per i quali risulta decorso il termine di conservazione del relativo gruppo di conservazione.
2. tale lista viene inviata al relativo Titolare che può richiedere il prolungamento della conservazione o autorizzarne lo scarto dal SdC.
3. la funzione RDC provvede ad eliminare dal SdC i supporti logici per i quali il Titolare
ha autorizzato lo scarto.
La funzione RDC nel caso di documenti che necessitano di un periodo di conservazione superiore ai 20 anni, prevede alcune attività di mantenimento dell’archivio che consistono nel monitoraggio e aggiornamento delle scadenze delle marche temporali (tali marche hanno validità di 20 anni) e nel monitoraggio e aggiornamento delle scadenze, nel caso in cui si necessiti di conservazione perenne.
Il Titolare è consapevole dell’opportunità di controllare quanto conservato nel proprio archivio gestito presso il SdC.
Per permettere e garantire la fruibilità nel tempo dei documenti conservati, il SdC prevede inoltre la gestione di una libreria di visualizzatori associata alle tipologie documentarie e ai singoli documenti. Così facendo viene mantenuto un repository comune che ha lo scopo di rendere fruibili tutti i documenti conservati senza dover ricorrere, finché possibile, alla creazione di copie informatiche.
Per raggiungere tale obiettivo è prevista la predisposizione di aree apposite in cui vengono depositati i programmi di installazione dei visualizzatori necessari per poter leggere i file dei documenti informatici conservati con un formato proprietario, l’alimentazione dell’anagrafica dei visualizzatori sul SdC qualificando ciascun elemento con il nome e l’indirizzo del programma di installazione depositato e i requisiti hardware e software necessari per la sua esecuzione e associazione tra visualizzatore e tipologia informatica del documento. Se il servizio di conservazione nei confronti del Titolare si interrompe per qualsivoglia motivo previsto dal contratto o meno, il RSC cessa le sue funzioni. In questo caso Credemtel Spa provvede a riconsegnare al Titolare i documenti e i PdA conservati presso il SdC memorizzandoli su supporti fisici rimovibili e a redigere un verbale di consegna che deve essere sottoscritto dal Titolare stesso.
Credemtel Spa si impegna inoltre a non comunicare, a non diffondere e a non utilizzare ulteriormente i documenti oggetto del verbale di consegna, oltre che non conservare copia degli stessi e a distruggere detti documenti dai propri archivi.
Ulteriori informazioni sull’argomento sono presenti nell’allegato denominato “Specificità del contratto”.
Torna al sommario
7.6. PREPARAZIONE E GESTIONE DEL PACCHETTO DI DISTRIBUZIONE AI FINI DELL’ESIBIZIONE
Tutte le tipologie documentali sono ricercabili, consultabili ed esportabili tramite apposite funzioni di ricerca previste dall’applicazione web di consultazione dei documenti, fornita al Titolare ed agli utenti da quest’ultimo autorizzati alla consultazione.
La funzione di ricerca permette di filtrare i documenti per ciascuno dei metadati ad essi associati.
La funzione di estrazione documentale permette al Titolare e agli utenti da lui autorizzati, di richiedere al SdC la produzione di un PdD secondo le modalità già spiegate nel paragrafo 6.4 del presente Manuale.
La richiesta di predisposizione dei PdD da parte del SdC è evasa entro massimo 3 giorni lavorativi e messa a disposizione dell’utente richiedente per il download on-line sicuro (HTTPS).
Torna al sommario
7.7. PRODUZIONE DI DUPLICATI E COPIE INFORMATICHE E DESCRIZIONE DELL’EVENTUALE INTERVENTO DEL PUBBLICO UFFICIALE NEI CASI PREVISTI
Il SdC provvede, su richiesta del Titolare o dell’utente legittimato, alla produzione di duplicati informatici e/o di copie informatiche dei documenti informatici memorizzati negli archivi dei Titolari, in conformità con le previsioni del CAD e del D.P.C.M. 13 novembre 2014.
In particolare, in relazione all’evolversi del contesto tecnologico e normativo e per assicurare la leggibilità nel tempo dei documenti informatici conservati, il Responsabile dello sviluppo e della manutenzione del sistema di conservazione valuterà con continuità se adeguare il loro formato ai nuovi scenari tecnologici e/o giuridici e in caso positivo informerà il Titolare prima di procedere all’operazione.
L’attività di adeguamento è in carico alla funzione RDC, in particolare il RSC sottoscriverà e marcherà temporalmente i nuovi PdA contenenti le copie informatiche dei documenti informatici originali in modo analogo a quanto previsto per la conservazione; l’IPdA del nuovo PdA manterrà i riferimenti del PdA originario.
La funzione RDC, in accordo col Responsabile della Conservazione, individua per quali documenti e verso quale formato occorre procedere alla creazione delle copie informatiche che risulteranno come versione successiva del documento originario che vanno a sostituire e ne erediteranno tutti i metadati. Le copie informatiche potranno essere integrate con una attestazione di conformità con l’originale, qualora richiesto dalla natura dell’attività e dovranno essere sottoscritte con firma digitale, prima della conservazione, dal notaio o con firma digitale o firma elettronica qualificata dal pubblico ufficiale a ciò autorizzato.
Il servizio di conservazione assicura la presenza di un pubblico ufficiale, nei casi in cui sia richiesto il suo intervento, garantendo allo stesso l’assistenza e le risorse necessarie per l’espletamento delle attività al medesimo attribuite.
È prevista la possibilità di produrre PdD contenenti la copia informatica non di un intero PdA
ma di uno o più specifici documenti informatici seguendo lo stesso iter già descritto. Torna al sommario
7.8. SCARTO DEI PACCHETTI DI ARCHIVIAZIONE
Lo scarto dal SdC avviene in ogni caso sulla base di un ordine in forma scritta impartito dal
Titolare o dal suo Responsabile della Conservazione.
Credemtel Spa ha implementato una procedura per gestire lo scarto dei PdA dal SdC alla scadenza del termine di conservazione dei documenti informatici conservati.
Con periodicità annuale viene generata per ogni Titolare una lista dei PdA il cui termine di conservazione richiede una prossima programmazione dell’attività di scarto.
Tre mesi (dodici mesi nel caso il Titolare sia una pubblica amministrazione o nel caso un archivio privato sia stato dichiarato di interesse culturale) prima della scadenza del temine di conservazione associato ai documenti informatici conservati, viene inviata al Titolare tale lista, mediante una modalità che ne attesti la certezza della data, congiuntamente ad una richiesta di formalizzazione scritta, anche mediante documento informatico, dell’ordine di scarto dei documenti informatici in scadenza di conservazione, trascorsi i relativi termini di conservazione.
Nel caso di scarto dei PdA il cui Titolare sia una pubblica amministrazione è necessaria la preventiva autorizzazione della Soprintendenza archivistica o della Commissione di sorveglianza di riferimento (come previsto dal Codice dei Beni Culturali Dlgs 42/2004) che il Titolare dovrà ottenere in tempo utile per procedere allo scarto materiale della documentazione.
È comunque sempre a carico del Titolare, soggetto pubblico o privato, verificare preventivamente all’invio dell’ordine di scarto, la necessità di effettuare ogni adempimento richiesto, manlevando da ogni responsabilità Credemtel Spa per l’esecuzione dell’ordine stesso.
Il Titolare può comunque richiedere il prolungamento del termine di conservazione: il nuovo termine di conservazione sarà associato da Credemtel Spa ai gruppi di conservazione interessati.
Una volta ricevuto dal Titolare l’ordine di scarto della lista, o di parte di essa, dei PdA con termine di conservazione in scadenza, il RSC provvederà allo scarto stesso, generando un rapporto di scarto che sarà sottoposto a conservazione presso il SdC.
Nel caso il Titolare richieda uno scarto indipendentemente dal termine di conservazione, il relativo ordine dovrà essere adeguatamente motivato e inviato con 3 mesi di anticipo. La funzione RDC valuterà autonomamente se l’esecuzione dell’ordine possa implicare da parte di Credemtel Spa il potenziale compimento di atti illeciti. Nel caso in cui Credemtel Spa non ritenga opportuno, a suo insindacabile giudizio, dare seguito all’ordine di scarto, il Titolare potrà chiedere la restituzione su supporti fisici rimovibili dei documenti informatici, che avverrà secondo tempi e modalità da concordare.
Torna al sommario
7.9 PREDISPOSIZIONE DI MISURE A GARANZIA DELL’INTEROPERABILITÀ E TRASFERIBILITÀ AD ALTRI OPERATORI
Ai fini di garantire l’interoperabilità tra sistemi di conservazione, il SdC è in grado di produrre dei PdD coincidenti con i PdA.
In particolare gli IPdD generati dal SdC sono conformi allo standard UNI SInCRO.
Se il servizio di conservazione nei confronti del Produttore dovesse interrompersi per qualsiasi motivazione, prevista dal contratto o meno, Credemtel Spa provvede all’esportazione dei PdA conservati in identici PdD su supporti fisici rimovibili che saranno consegnati ai Titolari stessi previa loro sottoscrizione dei relativi verbali di consegna.
Il SdC è inoltre in grado di accettare il versamento di PdD provenienti da altri sistemi di conservazione strutturati secondo lo standard UNI SinCRO.
Credemtel Spa, in caso di cessazione delle operazioni di conservazione o modifica della propria missione (interoperabilità), provvederà a avvisare i Titolari degli archivi di conservazione producendo su supporti fisici rimovibili l’intero contenuto dei supporti logici conservati e li riconsegnerà ai Titolari stessi, previa loro sottoscrizione dei relativi verbali di consegna.
Ove richiesto dalla natura dei dati riprodotti, potrà essere prevista la cifratura del supporto fisico realizzato e la comunicazione, con modalità distinte, della chiave necessaria a decifrarlo.
Torna al sommario
8. IL SISTEMA DI CONSERVAZIONE
Il presente capitolo descrive il SdC, esponendo in dettaglio le componenti logiche, tecnologiche e fisiche esistenti e le loro principali funzionalità.
Gli aspetti relativi alla sicurezza informatica del SdC sono esposti in dettaglio nel Piano della Sicurezza predisposto da Credemtel Spa, secondo quanto previsto dall’art. 12 del DPCM 3 dicembre 2013 e ad esso si fa rinvio.
Il Piano della Sicurezza di Credemtel Spa descrive le modalità con cui Credemtel Spa assicura gli obiettivi di sicurezza richiesti per la conservazione a lungo termine degli archivi, dettagliando i controlli di sicurezza delle diverse componenti del sistema e le procedure adottate per garantire i backup degli archivi medesimi, il Disaster Recovery e la Continuità Operativa (Business Continuity).
8.1. COMPONENTI LOGICHE
Per quanto riguarda le componenti logiche, il SdC di Credemtel Spa poggia sulle seguenti tre componenti:
1. quella applicativa consistente nell’insieme di tutte le componenti funzionali a supporto del processo di conservazione;
2. quella fisica rappresentata dai server di frontend, di backend, di database e di storage (SAN e NAS) su cui vengono conservati nel tempo i metadati dei documenti sottoposti al processo di conservazione;
3. il dispositivo HSM che gestisce la procedura di firma dei documenti è dislocato su una CA accreditata ed è raggiungibile su linea protetta remotamente.
L’applicativo dedicato alla conservazione interagisce con:
• dispositivo HSM remoto che gestisce la procedura di firma dei documenti;
• sistema di memorizzazione, che gestisce il sottosistema su cui vengono fisicamente memorizzati tutti i documenti sottoposti a processo di conservazione;
• sistemi di gestione documentale che permettono di alimentare automaticamente il SdC con documenti da sottoporre al processo stesso e di consultare documenti preventivamente sottoposti a conservazione;
• funzione RDC, che gestisce le attività di amministrazione, di monitoraggio, di controllo e le altre funzioni di supporto al SdC;
• Produttori che accedono al SdC per effettuare il versamento di nuovi PdV;
• utenti che accedono al SdC attraverso apposita applicazione web e credenziali di accesso per la consultazione di documenti conservati e la richiesta di PdD;
• sistemi delle Certification/Time Stamp Authorities per la verifica dei certificati e delle CRL e l’apposizione delle marche temporali (Time Stamp).
L’intera applicazione è erogata, in logica SaaS, dalle infrastrutture tecnologiche predisposte, in cui tutti i componenti del SdC sono protetti da adeguate misure di sicurezza.
Gli ambienti di sviluppo, di test e di produzione sono tenuti rigorosamente separati.
Figura 5 Componenti Logiche
Torna al sommario
8.2. COMPONENTI TECNOLOGICHE
Per quanto riguarda le componenti fisiche, l’architettura del relativo SdC prevede una piattaforma ridondata, altamente scalabile.
Un sito secondario con logiche di disaster recovery garantisce la continuità del servizio. Il SdC è costruito su un’architettura a tre livelli:
1. livello di presentazione (presentation layer)
2. livello di business logic (business layer)
3. livello dati (data access layer, Database, Storage)
La componente di presentation layer poggia su quattro nodi in cluster. La componente di business layer poggia su quattro nodi in cluster.
La componente dati poggia su due nodi in cluster (attivo-passivo).
La gestione dei dati (database e dati applicativi) su tutte le componenti previste per l’infrastruttura utilizza una SAN che ospita i dischi dove sono memorizzati i dati del servizio con un sistema ridondato.
La componente di backup è centralizzata su più librerie di backup differenziate per la parte sistemi operativi, SAN e NAS.
La Figura 6 contenente lo schema delle componenti tecnologiche è presente nell’allegato denominato “Specificità del contratto”.
Torna al sommario
8.3. COMPONENTI FISICHE
Il SdC è realizzato su due siti geograficamente distanti oltre 150 chilometri l’uno dall’altro su sistemi informativi dipartimentali erogati in Facility Management da CEDACRI Spa (azienda certificata UNI CEI ISO/IEC 27001:2014) sul sito primario situato in località Collecchio (PR) e dotati di soluzione di Disaster Recovery presso il sito secondario CEDACRI di Castellazzo Bormida (AL), con tempi di riattivazione massima (RTO) di 24 ore e con copia dei dati (RPO) in tempo reale. Credemtel Spa è collegata tramite rete MPLS del Gruppo CREDEM (che garantisce tutti i collegamenti verso gli outsourcer e internet) a CEDACRI.
Il backup dei dati relativi al SdC viene effettuato da CEDACRI tramite applicazione Tivoli su hard disk ridondati a loro volta presso il sito di Disaster Recovery.
CEDACRI Spa è a sua volta certificata UNI CEI ISO/IEC 27001:2014 (ISO/IEC 27001:2013) con il seguente campo applicativo: “Progettazione e sviluppo, manutenzione e gestione in outsourcing di sistemi informativi; Application Service Providing; Facility management; Firma digitale; Posta Elettronica Certificata; Servizi di formazione e consulenza organizzativa in ambito bancario; Disaster Recovery (settore EA 33 – 35)”.
Figura 7 Componenti Fisiche
Torna al sommario
8.4. PROCEDURE DI GESTIONE E DI EVOLUZIONE
All’interno del Sistema di gestione della Qualità e Sicurezza di Credemtel Spa, sono definiti e descritti tutti processi delegati al SdC. Questa operatività ha lo scopo principale di gestire l’intero ciclo del servizio offerto alla clientela, garantendone da un lato i livelli di servizio contrattualizzati e dall’altro di monitorarne e controllarne tutti i suoi aspetti. Tutte le procedure di gestione ed evoluzione del servizio di conservazione (escluse quelle specifiche di solo
controllo processi descritte nel successivo capitolo 9) e dei corrispondenti sistemi che lo supportano sono descritte nelle seguenti procedure interne ISO9001/ISO27001:
• PRO01 Settore legale normativo
o Verifiche periodiche di conformità alla normativa e agli standard di riferimento.
• PRO06 Gestione della progettazione
L’evoluzione delle componenti logiche, tecnologiche e fisiche del SdC prevede l’apertura di un progetto o intervento minore (Regolamentati e documentati come descritto in questa procedura) che analizzi, sviluppi e testi il change management del SdC o dei sistemi di base Hardware e software (es. Database o sistemi operativi) che lo supportano.
• PRO08 Manutenzione
Il sistema infrastrutturale prevede la generazione in automatico di una copia giornaliera di backup di tutti i documenti versati nel SdC. Tali copie vengono mantenute giornalmente per gli ultimi 60 giorni, mensilmente per l’ultimo anno, annualmente per gli ultimi 10 anni. Questa e altre attività di manutenzione sono descritte nei seguenti allegati e istruzioni operative:
o Dislocazione dati di Credemtel Spa e strategie di backup, archiviazione, ripristino e conservazione
o Manuale CEDACRI delle operazioni di backup e restore dei dati di Credemtel
o Cessazione supporti rimovibili
o Gestione HW e SW di Credemtel Spa
o Gestione masterizzatore
• PRO17 Erogazione dei servizi
La gestione del SdC è governata dalla procedura di Erogazione dei servizi. Il sistema di Disaster Recovery di CEDACRI prevede di mantenere aggiornato in tempo reale una copia di dati e documenti del SdC presso la sede di Recovery posizionata a oltre 150 km rispetto al sito primario di erogazione. Il piano di continuità operativa consente di mantenere i livelli di servizio anche a fronte di eventi disastrosi che incidano sul SdC. Queste e altre attività di erogazione del servizio di conservazione sono descritte nei seguenti allegati e istruzioni operative della procedura:
o Manuale della console di conservazione;
o Manuale delle attività di gestione e conservazione sostitutiva documentale e protocolli di controllo;
o Manuale di gestione dei Rilasci software;
o Gestione del Disaster Recovery;
o Piano di Continuità Operativa (Business Continuity Plan);
o Presidio del Servizio di Conservazione;
o Gestione degli incidenti IT;
o Gestione incidenti Immobili;
o Gestione della crisi.
• PRO19 Gestione della sicurezza fisica
Questa procedura definisce i metodi utilizzati per evitare accessi non autorizzati, danni ed interferenze ai servizi informatici.
• PRO20 Gestione della sicurezza logica
La procedura stabilisce le modalità utilizzate per:
o definire gli accessi autorizzati ai servizi informatici e per prevenire gli eventuali accessi non autorizzati;
o prevenire l’infezione da virus informatici;
o gestire il software sui PC aziendali;
o gestire le attrezzature ed infrastrutture informatiche.
Il SdC dispone inoltre di un log di sistema delle attività eseguite, sia manuali che automatizzate, accessibile in consultazione dalla console di conservazione. Tale log viene riversato, con frequenza di norma giornaliera, su un documento PDF sottoscritto digitalmente e
dotato di riferimento temporale e inoltrato per la sua conservazione tra i documenti di Credemtel Spa.
Il log traccia i dati identificativi dell’operatore che ha effettuato o richiesto l’attività, la data e ora di esecuzione e le motivazioni dell’attività stessa (qualora tale dato sia richiesto dalla natura atipica dell’attività richiesta) o le note sull’attività automatica eseguita (es. azienda, Identificativo univoco del PdA, gruppo di conservazione e quantità di documenti conservati), le operazioni tracciate sono le principali attività effettuabili che influiscono sul SdC (es. accesso al sistema, accesso ad un documento, conservazione PdA ecc.).
Torna al sommario
9. MONITORAGGIO E CONTROLLI
All’interno del Sistema di gestione della Qualità e Sicurezza di Credemtel Spa, sono definiti e descritti tutti processi delegati al SdC. Questa operatività ha lo scopo principale di gestire l’intero ciclo del servizio offerto alla clientela, garantendone da un lato i livelli di servizio contrattualizzati e dall’altro di monitorarne e controllarne tutti i sui aspetti. Tutte le procedure di gestione operativa del servizio di conservazione e dei corrispondenti sistemi che lo supportano sono descritte nelle seguenti procedure interne ISO9001/ISO27001:
• PRO04 Gestione reclami
• PRO05 Controllo delle non conformità e azioni correttive
o Manuale operativo di Gestione di NC e Reclami.
• PRO07 Assistenza clienti
o Erogazione dell’assistenza.
• PRO12 Controllo processi
o Presidio dei processi critici.
• PRO17 Erogazione dei servizi
o Gestione interventi a cuore aperto (IACA);
o Manuale delle attività di conservazione e protocolli di controllo.
Il processo di gestione dei rischi e degli incidenti descrive tutti gli aspetti e le attività che si rendono necessarie in caso di incidenti e/o anomalie rilevate dal personale interno di Credemtel Spa e/o dai clienti, fino alla conclusione della criticità.
Tali verifiche sono gestite ed effettuate in conformità al Piano della Sicurezza e al Sistema di gestione della Qualità e Sicurezza di Credemtel Spa.
Torna al sommario
9.1. PROCEDURE DI MONITORAGGIO
Sono descritte nella procedura del Sistema di gestione della Qualità e Sicurezza di Credemtel Spa PRO12 Controllo processi, tutte le attività di monitoraggio e controllo effettuate sul funzionamento del software applicativo e di sistema.
La procedura elenca e dettaglia le attività a carico degli uffici addetti al monitoraggio (es. funzione RDC, GED, ADA).
Essa prevede a cadenza regolare e/o in tempo reale:
• il controllo delle procedure automatiche;
• la verifica di quadratura dei flussi ricevuti dai Titolari rispetto a quelli inviati alla conservazione;
• la gestione dei ticket di gestione di non conformità e reclami sulle segnalazioni fatta dalla clientela tramite un apposito workflow interno come definito nelle procedure ISO9001 PRO04 Gestione reclami e PRO05 Controllo delle non conformità e azioni correttive;
• il monitoraggio delle mail di segnalazione di tutte le anomalie.
Torna al sommario
9.2. VERIFICA DELL’INTEGRITÀ DEGLI ARCHIVI
L’attività di verifica dell’integrità dei documenti viene svolta dalla componente infrastrutturale di gestione documentale, attraverso la continua verifica della disponibilità dei servizi e della integrità dei dati.
Il sistema applicativo si occupa:
• di effettuare controlli mensili incrociati di congruità tra gli archivi di conservazione ed i relativi documenti informatici verificando che tutti i documenti e le evidenze di conservazione dei PdA presenti sul file system di conservazione siano presenti sul database e che tutti i file registrati sul database siano presenti sul file system di conservazione;
• di effettuare verifiche periodiche automatiche, entro i limiti temporali stabiliti dalle Regole tecniche, sui PdA dei supporti logici per verificarne l’integrità (verifica che l’impronta calcolata tramite funzione di hash su ogni documento informatico del PdA risulti identica a quella presente su database del SdC e ricalcolo da database e verifica di congruità con gli IPdA in standard UNI SInCRO a suo tempo conservati)
• di effettuare verifiche periodiche, entro i limiti temporali stabiliti dalle Regole tecniche, di leggibilità di un numero predefinito di documenti contenuti nei PdA di ogni supporto in scadenza.
Tutte le anomalie rilevate vengono prontamente segnalate alla funzione RDC ed agli uffici competenti per la verifica e risoluzione dei problemi rilevati.
Torna al sommario
9.3. SOLUZIONI ADOTTATE IN CASO DI ANOMALIA
Tutte le anomalie vengono affrontate con diverse metodologie a seconda della natura dell’anomalia riscontrata e della collocazione dell’evento che l’ha generata nel SdC.
Ogni anomalia rilevata dagli utenti o dai Titolari viene gestita e tracciata tramite un apposito workflow interno come definito nelle procedure ISO9001 PRO04 Gestione reclami e PRO05 Controllo delle non conformità e azioni correttive.
Oltre alle procedure previste per garantire l’integrità degli archivi, esistono anche procedure previste per risolvere anomalie in altre componenti del sistema che registrano dati.
Le caratteristiche comuni e le specificità delle procedure di risoluzione delle anomalie dipendono da diversi fattori organizzativi e tecnologici che devono tener conto che:
• tutte le funzionalità del sistema che inseriscono o modificano dati nel Data Base e file nell’area FTP o nel File System operano in modalità transazionale;
• il backup del Data Base assicura il “restore“ all’ultima transazione completata correttamente;
• il File System è sottoposto a backup full a caldo con frequenza giornaliera.
Torna al sommario
MANUALE DI CONSERVAZIONE DI
CREDEMTEL SPA
ALLEGATO C “DISCIPLINARE TECNICO”.
Questo documento viene generato dinamicamente da Credemtel Spa, esso contiene:
• L’elenco generale e la descrizione dei formati elettronici, delle classi documentali e le relative politiche di conservazione dei documenti gestiti dal SdC di Credemtel Spa;
• La tipologia dei pacchetti informativi (PdV, PdA, PdD) gestiti dal SdC di Credemtel Spa.
CREDEMTEL SpA - Gruppo Bancario “Credito Emiliano - Credem”
Società con socio unico, soggetta ad attività di direzione e coordinamento (ex art. 2497 bis c.c.) da parte di Credito Xxxxxxxx XxX
Capitale sociale interamente versato euro 2.840.530 – Registro Imprese di Reggio Xxxxxx, Codice Fiscale e P.IVA n. 01378570350 R.E.A. n. 181067 - Sede Sociale e Direzione Xxx Xxxxxxx Xxxxxxxxx, 00/0 - 00000 Xxxxxxxxxxx xx Xxxxxxx Xxxxxxxx (XX) - Tel: x00 0000 000000 Fax: x00 0000 000000 – xxx.xxxxxxxxx.xx – xxxxxxxxx@xxxxxxxxx.xx.
La Società ha adottato un Modello ai sensi del D.Lgs. 231/01 e specifici standard di comportamento per i quali si rimanda alla “Comunicazione standard
FORMATI DEI FILE CONSERVABILI
Formato | Estensi one | Tipo MIME | Ultima Versione | Standard | Visualizzatore |
PDF-PDF/A | application/pdf | 1.4 1.4 1.7 | ISO 32000-1 ISO 19005-1:2005 ISO 19005-1:2011 | Acrobat Reader | |
TIFF | .tif | image/tiff | 6.0 | TIFF 6.0 del 1992 TIFF supplement 2 del 2002 | MS Internet Explorer |
JPG | .jpg | image/jpeg | - | ISO 10918-1:2009 | MS Internet Explorer |
OOXML-Word | .docx | application/vnd.openxmlformats- officedocument.wordprocessingml. document | 1.1 | ISO 29500:2008 | MS Office Word |
OOXML-Excel | .xlsx | application/vnd.openxmlformats- officedocument.spreadsheetml.she et | 1.1 | ISO 29500:2008 | MS Office Excel |
OOXML-PPT | .pptx | application/vnd.openxmlformats- officedocument.presentationml.pre sentation | 1.1 | ISO 29500:2008 | MS Office PowerPoint |
ODF-Sheet | .ods | application/vnd.oasis.opendocume nt.text | 1.0 | ISO 26300:2006 | OpenOffice |
ODF-Base | .odb | application/vnd.oasis.opendocume nt.text | 1.0 | ISO 26300:2006 | OpenOffice |
ODF- Presentation | .odp | application/vnd.oasis.opendocume nt.text | 1.0 | ISO 26300:2006 | OpenOffice |
ODF- Graphics | .odg | application/vnd.oasis.opendocume nt.text | 1.0 | ISO 26300:2006 | OpenOffice |
XML | .xml | application/xml | 1.0 | ISO 26300:2006 | MS Internet Explorer |
.eml | message/rfc822 | - | RFC 5322 | MS Office Outlook | |
TXT | .txt | text/plain | - | - | MS Xxxxxxx |
TIPOLOGIA DEI PACCHETTI INFORMATIVI GESTITI
Tutti i pacchetti informativi gestiti dal SdC di Credemtel spa sono realizzati in formato ISO 15836:2009 - Sistema di metadata del Dublin Core.
Qui di seguito un esempio di file indice XML di un pacchetto informativo e a seguire i relativi
metadati.
<?xml version="1.0" encoding="utf-8"?>
<sincro:IdC xmlns:schemaLocation="xxxx://xxx.xxx.xxx/X0000/xxxxxx/XxX.xxx" xmlns:sincro="xxxx://xxx.xxx.xxx/X0000/xxxxxx/" xmlns:xsi="xxxx://xxx.x0.xxx/0000/XXXXxxxxx-xxxxxxxx" sincro:url="xxxx://xxx.xxx.xxx/X0000/xxxxxx/" sincro:version="1.0">
<sincro:SelfDescription>
<sincro:ID sincro:scheme="GEDCONS">182267</sincro:ID>
<sincro:CreatingApplication>
<sincro:Name>GEDCONS</sincro:Name>
<sincro:Version>2.0</sincro:Version>
<sincro:Producer>CREDEMTEL S.p.A.</sincro:Producer>
</sincro:CreatingApplication>
</sincro:SelfDescription>
<sincro:VdC>
<sincro:ID sincro:scheme="GEDCONS">181695</sincro:ID>
<sincro:VdCGroup>
<sincro:Label>Fatture Passive</sincro:Label>
<sincro:ID sincro:scheme="GEDCONS">2772</sincro:ID>
<sincro:Description >Pacchetto di archiviazione</sincro:ID>
</sincro:VdCGroup>
</sincro:VdC>
<sincro:FileGroup>
<sincro:Label>8215 - Fatture Fornitori Italia</sincro:Label>
<sincro:File sincro:format="application/pdf">
<sincro:ID sincro:scheme="GEDCONS">151207071-1</sincro:ID>
<sincro:Path>File://151207071-1-20150422051620-P04B_593.aca771b2-f5ce-4d58-9dfc- daf28066451e.pdf</sincro:Path>
<sincro:Hash sincro:function="SHA1">7FE50B055A87C2C46FC0868C1EA62CD2BBE4723B</sincro:Hash>
</sincro:File>
<sincro:File sincro:format="application/pdf">
<sincro:ID sincro:scheme="GEDCONS">151207072-1</sincro:ID>
<sincro:Path>File://151207072-1-20150422051729-P04B_735.195b7b8a-6b32-4bdb-aeed- e6f04fa21a1f.pdf</sincro:Path>
<sincro:Hash sincro:function="SHA1">294339CE3C7C91BEF94AD807FE49ED220F7A1487</sincro:Hash>
</sincro:File>
<sincro:MoreInfo sincro:XMLScheme="xxxx://xxxxxxxxxx.xxx/xxxxxxx/xxxx/xxx/0000/00/00/xxxxxxxxxxx.xxx">
<sincro:ExternalMetadata sincro:format="application/xml" sincro:encoding="binary">
<sincro:ID>182267-8215-60</sincro:ID>
<sincro:Path>file://metadati_pda_182267-8215-60.xml</sincro:Path>
<sincro:Hash sincro:function="SHA-1">3E19FE3766820BC88709EB47371B0DF1748C4EA6</sincro:Hash>
</sincro:ExternalMetadata>
</sincro:MoreInfo>
</sincro:FileGroup>
<sincro:Process>
<sincro:Agent sincro:role="PreservationManager" sincro:type="person">
<sincro:AgentName>
<sincro:NameAndSurname>
<sincro:FirstName>Nome_RSC</sincro:FirstName>
<sincro:LastName>Cognome_RSC</sincro:LastName>
</sincro:NameAndSurname>
</sincro:AgentName>
<sincro:Agent_ID sincro:scheme="TaxCode">Codice fiscale RSC</sincro:Agent_ID>
</sincro:Agent>
<sincro:TimeReference>
<sincro:AttachedTimeStamp sincro:normal="2015-05- 06T09:04:40.2669357+02:00"></sincro:AttachedTimeStamp>
</sincro:TimeReference>
<sincro:LawAndRegulations sincro:language="IT">Evidenza informatica redatta secondo le Regole Tecniche previste dal DPCM 3-12-2013 in standard SInCRO (UNI 11386:2010)</sincro:LawAndRegulations>
</sincro:Process>
</sincro:IdC>
L’allegato C completo comprensivo dell’elenco delle classi documentali e le relative politiche di conservazione dei documenti e la definizione dei metadati (con relativo esempio xml) gestiti dal SdC di Credemtel Spa è riportato nell’allegato denominato “Specificità del contratto”.
Trattamento dei dati personali: Informativa ai sensi art. 13 D. Lgs.vo 196/2003
qualità dei servizi forniti e di controllo aziendale (quale, solo a titolo di esempio, Credem per l’attività di revisione interna).
L’art. 13 del Decreto Legislativo 196/2003 (Codice in materia di protezione dei dati personali)”, prevede che CREDEMTEL S.p.A., in qualità di titolare del trattamento, Le comunichi alcune informazioni relative al trattamento dei Vostri dati personali.
B - Fonte dei dati personali
I Vostri dati personali in possesso della Società sono raccolti direttamente presso di Voi ovvero presso terzi come, ad esempio, nell’ipotesi in cui la società acquisisca dati da società esterne a fini di informazioni commerciali, ricerche di mercato, offerte dirette di prodotti o servizi. Per quest’ultima tipologia di dati sarà fornita un’informativa all’atto della loro registrazione e comunque non oltre la prima eventuale comunicazione. In ogni caso tutti questi dati vengono trattati nel rispetto della citata legge e degli obblighi di riservatezza cui si è sempre ispirata l’attività della ns. società.
C - Finalità del trattamento cui sono destinati i dati
I dati personali sono trattati nell’ambito della normale attività della Società e secondo le seguenti finalità:
o finalità strettamente connesse e strumentali alla gestione dei rapporti con la clientela (es. acquisizione di informazioni preliminari alla conclusione di un contratto, esecuzione di operazioni sulla base degli obblighi derivanti dal contratto concluso con la clientela, etc.);
o finalità connesse agli obblighi previsti dalla normativa Antiriciclaggio, dalle altre disposizioni rivenienti da leggi, regolamenti e/o dalla normativa comunitaria nonché in osservanza delle disposizioni impartite da autorità a ciò legittimate dalla legge e da organi di vigilanza e controllo.;
o finalità funzionali all’attività della società per le quali l’interessato ha facoltà di manifestare o no il consenso. Rientrano in questa categoria le seguenti attività:
▪ rilevazione del grado di soddisfazione della clientela sulla qualità dei servizi resi e sull’attività svolta dal Gruppo Bancario Credito Emiliano - CREDEM, eseguita direttamente ovvero attraverso l’opera di società specializzate mediante interviste personali o telefoniche, questionari, etc.;
▪ promozione e vendita di prodotti e servizi del Gruppo Bancario Credito Emiliano - CREDEM o di società terze;
▪ indagini di mercato.
D - Modalità di trattamento dei dati
In relazione alle indicate finalità, il trattamento dei dati personali avviene mediante strumenti manuali, informatici e telematici con logiche strettamente correlate alle finalità stesse e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati stessi. In ogni caso la protezione è assicurata anche quando vengono attivati canali innovativi quali ad esempio l'utilizzo di canali telematici o altri strumenti elettronici.
E - Dati sensibili
Può accadere che in relazione a specifiche operazioni o prodotti da Voi richiesti la Società venga in possesso di dati di cui all' art. 4 comma 1 del D.Lgs. n. 196 del 30/06/2003.
Per dati sensibili si intendono i dati personali idonei a rilevare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rilevare lo stato di salute e la vita sessuale.
Per il loro trattamento la legge richiede una specifica autorizzazione, che Voi potrete rilasciare nell'apposito modulo per il rilascio del consenso.
Nel caso in cui Voi non rilasciate il Vostro consenso, la Società non potrà eseguire le operazioni e gestire i rapporti che richiedono il trattamento dei dati sensibili.
F - Categorie di soggetti ai quali i dati possono essere comunicati
Nell'esecuzione del contratto da Voi sottoscritto, i Vostri dati personali saranno conosciuti, nella loro qualità di Responsabili o Incaricati della Società, dai dipendenti o dai collaboratori esterni adibiti a servizi e uffici centrali, nonché da strutture, interne ed esterne, che svolgono per conto della Società compiti tecnici, di supporto (in particolare: servizi legali, servizi informatici), di controllo della
Inoltre, i Vostri dati personali saranno comunicati alle società appartenenti al gruppo Bancario Credito Emiliano - Credem nonché alle Società controllate o collegate e a società esterne per:
o lo svolgimento di attività strumentali, connesse o di supporto a quella della nostra Società, o comunque necessarie per l’esecuzione di disposizioni ricevute dalla clientela. Si tratta, a titolo esemplificativo, di società che svolgono servizi di stampa, imbustamento, smistamento, trasmissione delle comunicazioni;
o la registrazione, modificazione, elaborazione, conservazione e cancellazione dei dati anagrafici dei clienti.
Analoga facoltà può essere esercitata per quanto riguarda la comunicazione di dati a primarie società esterne e segnatamente del Gruppo Bancario Credito Emiliano - CREDEM al fine di consentire a queste di offrire loro prodotti.
Un elenco dettagliato di tutte le suddette società è costantemente aggiornato e reso disponibile sia sul sito internet (vedi indirizzo indicato al paragrafo H) sia presso i locali della sede di CREDEMTEL SPA in apposito prospetto denominato ”Registro trattamenti dati personali”.
La Società non diffonde i Vostri dati personali a soggetti indeterminati.
G - Diritti dell’interessato
Informiamo, infine, che l’art. 7 del d.lgs.vo n. 196/2003, qui di seguito integralmente riportato, nei limiti ed alle condizioni previste dagli articoli 8, 9 e 10 del citato Decreto Legislativo conferisce ai cittadini l’esercizio dei seguenti diritti:
Art. 7 (Diritto di accesso ai dati personali ed altri diritti)
1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.
2. L’interessato ha diritto di ottenere l’indicazione:
a) dell’origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;
d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’articolo 5, comma 2;
e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.
3. L’interessato ha diritto di ottenere:
a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
4. L’interessato ha diritto di opporsi, in tutto o in parte:
a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
H – Estremi identificativi del Titolare e del Responsabile
Per ogni informazione o richiesta può rivolgersi direttamente a:
- Titolare del trattamento: CREDEMTEL SPA con sede in Montecavolo di Quattro Xxxxxxxx (XX), Xxx X. Xxxxxxxxx, 00/0;
- Il "Responsabile" del trattamento, nominato ai sensi dell’art. 29 del D. Lgs.vo 196/2003, è il sig. Xxxxxxx Xxxxxxxx domiciliato per la carica presso la sede di CREDEMTEL SPA - Xxx X. Xxxxxxxxx, 00/0 - 00000 Xxxxxxxxxxx xx Xxxxxxx Xxxxxxxx (XX).
Ulteriori informazioni inerenti la privacy, nonché una copia nel tempo aggiornata di questo documento e tutti i suoi allegati, sono disponibili sul sito internet della società all’indirizzo xxxx://xxx.xxxxxxxxx.xx/xxxxxxx e/o potranno comunque essere richieste presso la sede di CREDEMTEL SPA.
CREDEMTEL S.p.A.
CREDEMTEL SpA - Gruppo Bancario “Credito Emiliano - Credem”
Società con socio unico, soggetta ad attività di direzione e coordinamento (ex art. 2497 bis c.c.) da parte di Credito Xxxxxxxx XxX
Capitale sociale interamente versato euro 2.840.530 – Registro Imprese di Reggio Xxxxxx, Codice Fiscale e P.IVA n. 01378570350 R.E.A. n. 181067 - Sede Sociale e Direzione Xxx Xxxxxxx Xxxxxxxxx, 00/0 - 00000 Xxxxxxxxxxx xx Xxxxxxx Xxxxxxxx (XX) Tel: x00 0000 000000 - Fax: x00 0000 000000 – xxx.xxxxxxxxx.xx – xxxxxxxxx@xxxxxxxxx.xx
La Società ha adottato un Modello ai sensi del D.Lgs. 231/01 e specifici standard di comportamento per i quali si rimanda alla “Comunicazione standard etici” consultabile sul
TRATTAMENTO DEI DATI PERSONALI: Consenso ai sensi del D. Lgs.vo 196/2003.
SI PREGA DI RICONSEGNARE PRONTAMENTE QUESTO MODULO COMPILATO A CREDEMTEL SPA
Il sottoscritto dichiara di aver ricevuto completa informativa ai sensi dell’art. 13 del Decreto Legislativo 196/2003, unitamente a copia dell’art. 7 del decreto medesimo, ed esprime come segue il proprio consenso al trattamento dei propri dati personali .
a | □ Do il consenso □ Nego il consenso | al trattamento, da parte di CREDEMTEL, dei miei dati personali per finalità strettamente connesse e strumentali alla gestione dei prodotti/servizi e per adempiere agli obblighi previsti da leggi, regolamenti, normative comunitarie ecc.1 ed alla comunicazione (ed al correlato trattamento), per finalità analoghe o di supporto a quelle sopra descritte, dei miei dati personali alle società appartenenti al gruppo Bancario Credito Emiliano - Credem nonché alle Società controllate o collegate ed a società esterne 2. Sono consapevole che in assenza del mio consenso la Società non potrà dar corso all’erogazione, dei prodotti/servizi da me richiesti. |
b | □ Do il consenso □ Nego il consenso | alla comunicazione, da parte di CREDEMTEL, dei miei dati a società di rilevazione della qualità dei servizi erogati. Sono consapevole che questo consenso è facoltativo ai fini dell’erogazione dei prodotti/servizi da me richiesti. |
c | □ Do il consenso □ Nego il consenso | al trattamento, da parte di CREDEMTEL, dei miei dati personali a fini di informazione commerciale, ricerche di mercato, offerte dirette di prodotti o servizi del Gruppo Bancario Credito Emiliano - CREDEM e/o di società terze. Sono consapevole che questo consenso è facoltativo ai fini dell’erogazione dei prodotti/servizi da me richiesti. |
d | □ Do il consenso □ Nego il consenso | alla comunicazione, da parte di CREDEMTEL, dei miei dati a società terze, e segnatamente del Gruppo Bancario Credito Emiliano - Credem, a fini di informazione commerciale, ricerche, di mercato, offerte dirette di loro prodotti e/o servizi. Sono consapevole che questo consenso è facoltativo ai fini dell’erogazione dei prodotti/servizi da me richiesti. |
e | □ Do il consenso □ Nego il consenso | al trattamento di dati sensibili 3 acquisiti e che saranno acquisiti dalla Società, sempre nei limiti in cui esso sia strumentale per la specifica finalità perseguita nell’ambito dell’attività contrattuale. Sono consapevole che, in assenza del mio consenso, la Società non potrà dar corso all’erogazione dei prodotti/servizi il trattamento di tali dati. |
f | □ Do il consenso □ Nego il consenso | alla comunicazione dei miei dati a liberi professionisti, anche in forma associata e che abbiano un rapporto di collaborazione con CREDEMTEL (es. agenti di commercio). Sono consapevole che questo consenso è facoltativo ai fini dell’erogazione dei prodotti/servizi da me richiesti. |
Luogo e data | Timbro della società, nominativo e firma del legale rappresentante |
🗴 |
1 Si fa riferimento alle prime due voci dell’elenco puntato presente al punto C dell’informativa.
2 Si fa riferimento alle aziende citate al punto F dell’informativa; una versione sempre aggiornata dell’elenco è disponibile sul sito internet di CREDEMTEL Spa (xxx.xxxxxxxxx.xx/xxxxxxx)
3 Si fa riferimento alla lettera E dell’Informativa.
Allegato all’informativa al trattamento dei dati personali di cui al D. Lgs.vo 196/2003
Titolo II DIRITTI DELL’INTERESSATO
(estratto degli artt. da 7 a 10 del D. Lgs.vo 196/2003 – Testo Unico sulla tutela della privacy)
Art. 7 (Diritto di accesso ai dati personali ed altri diritti)
1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.
2. L’interessato ha diritto di ottenere l’indicazione:
a) dell’origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;
d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’articolo 5, comma 2;
e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.
3. L’interessato ha diritto di ottenere:
a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
4. L’interessato ha diritto di opporsi, in tutto o in parte:
a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
Art. 8 (Esercizio dei diritti)
1. I diritti di cui all’articolo 7 sono esercitati con richiesta rivolta senza formalità al titolare o al responsabile, anche per il tramite di un incaricato, alla quale è fornito idoneo riscontro senza ritardo.
2. I diritti di cui all'articolo 7 non possono essere esercitati con richiesta al titolare o al responsabile o con ricorso ai sensi dell’articolo 145, se i trattamenti di dati personali sono effettuati:
a) in base alle disposizioni del decreto-legge 3 maggio 1991, n. 143, convertito, con modificazioni, dalla legge 5 luglio 1991, n. 197, e successive modificazioni, in materia di riciclaggio;
b) in base alle disposizioni del decreto-legge 31 dicembre 1991, n. 419, convertito, con modificazioni, dalla legge 18 febbraio 1992, n. 172, e successive modificazioni, in materia di sostegno alle vittime di richieste estorsive;
c) da Commissioni parlamentari d'inchiesta istituite ai sensi dell'articolo 82 della Costituzione;
d) da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad espressa disposizione di legge, per esclusive finalità inerenti alla politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli intermediari e dei mercati creditizi e finanziari, nonché alla tutela della loro stabilità;
e) ai sensi dell’articolo 24, comma 1, lettera f), limitatamente al periodo durante il quale potrebbe derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive o per l’esercizio del diritto in sede giudiziaria;
f) da fornitori di servizi di comunicazione elettronica accessibili al pubblico relativamente a comunicazioni telefoniche in entrata, salvo che possa derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397;
g) per ragioni di giustizia, presso uffici giudiziari di ogni ordine e grado o il Consiglio superiore della magistratura o altri organi di autogoverno o il Ministero della giustizia;
h) ai sensi dell’articolo 53, fermo restando quanto previsto dalla legge 1° aprile 1981, n. 121.
3. Il Garante, anche su segnalazione dell’interessato, nei casi di cui al comma 2, lettere a), b), d), e) ed f), provvede nei modi di cui agli articoli 157, 158 e 159 e, nei casi di cui alle lettere c), g) ed h) del medesimo comma, provvede nei modi di cui all’articolo 160.
4. L’esercizio dei diritti di cui all’articolo 7, quando non riguarda dati di carattere oggettivo, può avere luogo salvo che concerna la rettificazione o l’integrazione di dati personali di tipo valutativo, relativi a giudizi, opinioni o ad altri apprezzamenti di tipo soggettivo, nonché l’indicazione di condotte da tenersi o di decisioni in via di assunzione da parte del titolare del trattamento.
Art. 9 (Modalità di esercizio)
1. La richiesta rivolta al titolare o al responsabile può essere trasmessa anche mediante lettera raccomandata, telefax o posta elettronica. Il Garante può individuare altro idoneo sistema in riferimento a nuove soluzioni tecnologiche. Quando riguarda l’esercizio dei diritti di cui all'articolo 7, commi 1 e 2, la richiesta può essere formulata anche oralmente e in tal caso è annotata sinteticamente a cura dell’incaricato o del responsabile.
2. Nell'esercizio dei diritti di cui all'articolo 7 l'interessato può conferire, per iscritto, delega o procura a persone fisiche, enti, associazioni od organismi. L'interessato può, altresì, farsi assistere da una persona di fiducia.
3. I diritti di cui all’articolo 7 riferiti a dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato o per ragioni familiari meritevoli di protezione.
4. L'identità dell’interessato è verificata sulla base di idonei elementi di valutazione, anche mediante atti o documenti disponibili o esibizione o allegazione di copia di un documento di riconoscimento. La persona che agisce per conto dell'interessato esibisce o allega copia della procura, ovvero della delega sottoscritta in presenza di un incaricato o sottoscritta e presentata unitamente a copia fotostatica non autenticata di un documento di riconoscimento dell’interessato. Se l'interessato è una persona giuridica, un ente o un'associazione, la richiesta è avanzata dalla persona fisica legittimata in base ai rispettivi statuti od ordinamenti.
5. La richiesta di cui all’articolo 7, commi 1 e 2, è formulata liberamente e senza costrizioni e può essere rinnovata, salva l'esistenza di giustificati motivi, con intervallo non minore di novanta giorni.
Art. 10 (Riscontro all’interessato)
1. Per garantire l’effettivo esercizio dei diritti di cui all’articolo 7 il titolare del trattamento è tenuto ad adottare idonee misure volte, in particolare:
a) ad agevolare l'accesso ai dati personali da parte dell'interessato, anche attraverso l'impiego di appositi programmi per elaboratore finalizzati ad un'accurata selezione dei dati che riguardano singoli interessati identificati o identificabili;
b) a semplificare le modalità e a ridurre i tempi per il riscontro al richiedente, anche nell'ambito di uffici o servizi preposti alle relazioni con il pubblico.
2. I dati sono estratti a cura del responsabile o degli incaricati e possono essere comunicati al richiedente anche oralmente, ovvero offerti in visione mediante strumenti elettronici, sempre che in tali casi la comprensione dei dati sia agevole, considerata anche la qualità e la quantità delle informazioni. Se vi è richiesta, si provvede alla trasposizione dei dati su supporto cartaceo o informatico, ovvero alla loro trasmissione per via telematica.
3. Salvo che la richiesta sia riferita ad un particolare trattamento o a specifici dati personali o categorie di dati personali, il riscontro all'interessato comprende tutti i dati personali che riguardano l'interessato comunque trattati dal titolare. Se la richiesta è rivolta ad un esercente una professione sanitaria o ad un organismo sanitario si osserva la disposizione di cui all’articolo 84, comma 1.
4. Quando l’estrazione dei dati risulta particolarmente difficoltosa il riscontro alla richiesta dell’interessato può avvenire anche attraverso l’esibizione o la consegna in copia di atti e documenti contenenti i dati personali richiesti.
5. Il diritto di ottenere la comunicazione in forma intelligibile dei dati non riguarda dati personali relativi a terzi, salvo che la scomposizione dei dati trattati o la privazione di alcuni elementi renda incomprensibili i dati personali relativi all’interessato.
6. La comunicazione dei dati è effettuata in forma intelligibile anche attraverso l’utilizzo di una grafia comprensibile. In caso di comunicazione di codici o sigle sono forniti, anche mediante gli incaricati, i parametri per la comprensione del relativo significato.
7. Quando, a seguito della richiesta di cui all'articolo 7, commi 1 e 2, lettere a), b) e c) non risulta confermata l'esistenza di dati che riguardano l'interessato, può essere chiesto un contributo spese non eccedente i costi effettivamente sopportati per la ricerca effettuata nel caso specifico.
8. Il contributo di cui al comma 7 non può comunque superare l'importo determinato dal Garante con provvedimento di carattere generale, che può individuarlo forfettariamente in relazione al caso in cui i dati sono trattati con strumenti elettronici e la risposta è fornita oralmente. Con il medesimo provvedimento il Garante può prevedere che il contributo possa essere chiesto quando i dati personali figurano su uno speciale supporto del quale è richiesta specificamente la riproduzione, oppure quando, presso uno o più titolari, si determina un notevole impiego di mezzi in relazione alla complessità o all’entità delle richieste ed è confermata l’esistenza di dati che riguardano l’interessato.
9. Il contributo di cui ai commi 7 e 8 è corrisposto anche mediante versamento postale o bancario, ovvero mediante carta di pagamento o di credito, ove possibile all'atto della ricezione del riscontro e comunque non oltre quindici giorni da tale riscontro.