Convenzione “aperta” per la fruibilità dei dati presenti nel Sistema Informativo Lavoro dell’Emilia-Romagna da parte delle Pubbliche Amministrazioni
Convenzione “aperta” per la fruibilità dei dati presenti nel Sistema Informativo Lavoro dell’Xxxxxx-Romagna da parte delle Pubbliche Amministrazioni
Articolo 1
Ambito di applicazione e scopo della convenzione
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
La presente convenzione descrive le modalità attraverso cui l’Agenzia regionale per il Lavoro (di seguito anche solo Agenzia) disciplina l’accesso al Sistema Informativo Lavoro dell’Xxxxxx- Romagna (di seguito anche XXXXX), da parte dei Soggetti Fruitori indicati al successivo art. 5.
Articolo 2 Riferimenti normativi
I dati presenti nel XXXXX sono resi accessibili e fruibili alle altre amministrazioni quando l'utilizzazione di tali dati siano necessari per lo svolgimento dei compiti istituzionali dell'amministrazione richiedente, senza oneri a carico di quest'ultima, come disposto dal comma 2 dell’art. 50 del D.lgs. 82/2005.
L’ambito normativo generale di riferimento è stato rappresentato
all’Allegato 3) della presente Convenzione.
Articolo 3 Il XXXXX
Il XXXXX (Sistema Informativo Lavoro della Regione Xxxxxx-Romagna) è uno strumento di supporto all’Agenzia regionale per il Lavoro nella gestione amministrativa (registrazione assunzioni, cessazioni, trasformazioni) e nell'erogazione delle informazioni e dei servizi ai cittadini (colloqui di preselezione, patto di servizio personalizzato) e alle imprese (incontro domanda offerta di lavoro, pubblicazione delle offerte di lavoro) del proprio territorio.
Nel Sistema Informativo Lavoro della Regione Xxxxxx-Romagna) è presente un modulo che supporta l’Agenzia regionale per il Lavoro nella gestione amministrativa delle domande di cassa integrazione in deroga (acquisizione domande presentate dai datori di lavoro, registrazione degli stati delle domande stesse quali: approvazione, non approvazione, non ammissibilità, annullamento, sospensione, rinuncia e revoca) e nella erogazione delle informazioni ai cittadini e ai datori di lavoro del proprio territorio.
Il XXXXX è un sistema che garantisce sicurezza e qualità dei dati; ha caratteri di omogeneità sull'intero territorio regionale.
Il XXXXX contiene i dati relativi alle schede anagrafico- professionali dei lavoratori e delle Aziende operanti sul territorio regionale, così come specificati nell’Istanza di
1
adesione di cui all’allegato 2) alla presente Convenzione.
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
Il XXXXX contiene altresì dati e informazioni, limitatamente all’accesso alla cassa integrazione in deroga, dei lavoratori sospesi dal lavoro e/o lavoranti ad orario ridotto e dei datori di lavoro operanti sul territorio regionale che devono sospendere o ridurre l’orario di lavoro dei propri dipendenti per effetto di sospensione o di riduzione dell’attività produttiva o dell’erogazione dei servizi, così come specificati nell’Istanza di adesione di cui all’allegato 2bis) alla presente Convenzione.
Articolo 4
Proprietà dei dati - Responsabile della Convenzione
L’Agenzia Regionale per il lavoro (di seguito anche Soggetto Erogatore) conserva la piena ed esclusiva proprietà dei dati contenuti nel XXXXX e la titolarità dei trattamenti effettuati sugli stessi in adempimento alle funzioni istituzionali assegnate, nonché, in conformità agli indirizzi emanati dalla Regione Xxxxxx- Romagna, la possibilità di gestire, modificare i sistemi di elaborazione, ricerca, rappresentazione ed organizzazione dei dati, di variare la base informativa in relazione alle proprie esigenze istituzionali, organizzative e alle innovazioni tecniche.
La trasmissione dei dati al Soggetto Fruitore non modifica la suddetta titolarità né trasferisce la proprietà della banca dati ai Soggetti Fruitori di cui all’articolo 5.
Il Responsabile della convenzione è nominato con atto del Direttore
dell’Agenzia.
Articolo 5
Il Soggetto Fruitore
Per Soggetto Fruitore si intendono pubbliche amministrazioni e gestori di servizi pubblici, che richiedono di accedere ai dati presenti nel XXXXX ai sensi dei commi 2 e 2ter del D.lgs. 82/2015.
Articolo 6
Disciplina e modalità di accesso ai dati
L’Agenzia pubblica la presente Convenzione in apposita sezione del
proprio sito istituzionale
L’Agenzia consente l’accesso al Soggetto Fruitore con le modalità tecniche dettagliate nell’allegato 1) “Modalità di accesso al Sistema Informativo Lavoro (XXXXX)” e nell’allegato 1bis)” Modalità d’accesso al Sistema Informativo Lavoro della cassa integrazione in deroga (XXXXX CIGD)”, da intendersi quale parte integrante e sostanziale della presente convenzione.
L’Agenzia adotta soluzioni informatiche, basate su sistemi funzionali che assicurano l'interoperabilità e la cooperazione applicativa e consentono la rappresentazione dei dati e documenti in più formati, di cui almeno uno di tipo aperto.
2
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
Nel caso in cui il Soggetto Fruitore, per l’accesso ai servizi d’interscambio, si avvalga di altra pubblica amministrazione, ovvero di soggetto privato delegato o incaricato, deve darne evidenza all’Agenzia nell’adesione alla presente Convenzione oppure, successivamente, per mezzo di comunicazione firmata nelle modalità di cui all’art. 20 comma 1bis del D.lgs. 82/2005 ed inviata via posta elettronica certificata, o nelle diverse modalità previste dall’Agenzia, come rappresentate sul proprio sito istituzionale. Nella comunicazione dovrà essere attestata la formalizzazione dei rapporti tra il Soggetto Fruitore e il Soggetto delegato ai sensi e per gli effetti di quanto disciplinato dalla normativa in materia di protezione dei dati personali.
Articolo 7
Servizi per l’accesso ai dati
Ai fini dell’accesso ai dati da parte del Soggetto Fruitore, l’Agenzia eroga i servizi specificati all’art. 4 degli Allegati 1) e 1bis) della presente Convenzione.
Articolo 8
Modalità di adesione del Soggetto Fruitore
Il Soggetto Fruitore aderisce alla presente Convenzione trasmettendo l’”Istanza di adesione” (all. 2 o all. 2bis) firmata nelle modalità di cui all’art. 20 comma 1bis del D.lgs. 82/2005 ed inviata via posta elettronica certificata, o nelle diverse modalità previste dall’Agenzia, come rappresentate sul proprio sito istituzionale dal proprio legale rappresentante o dal Dirigente funzionalmente competente.
I dati cui il Soggetto Fruitore intende accedere, devono essere puntualmente indicati ex ante nell’istanza di adesione.
Il Soggetto Fruitore deve indicare i recapiti del Responsabile della Convenzione, il quale provvede, con cadenza almeno annuale, anche in collaborazione con il Soggetto Erogatore, alla puntuale verifica sulla corretta attribuzione dei profili di autorizzazione e sull’attualità delle utenze attive.
Nell’istanza di adesione dovranno essere specificati tutti i nominativi degli operatori che faranno accesso al XXXXX, attestandone l’avvenuta autorizzazione al trattamento dei dati personali.
Nei casi di successive modifiche/integrazioni/cessazioni dei nominativi degli operatori accedenti al XXXXX, il Soggetto Fruitore deve indicare all’Agenzia le intervenienti variazioni per mezzo di istanza firmata e trasmessa nelle medesime modalità sopra rappresentate, in cui indicare tutti gli elementi già richiesti nell’Istanza di adesione.
Nel caso in cui i presupposti normativi e istituzionali che legittimano l’accesso al XXXXX mutino, l’accesso ai dati è
3
inibito/integrato/modificato d’ufficio o su segnalazione del
Soggetto Fruitore.
L’Agenzia rende consultabili al Soggetto Fruitore esclusivamente i dati necessari rispetto alle finalità istituzionali perseguite, in ottemperanza ai principi di necessità e proporzionalità dei trattamenti di dati personali.
Articolo 9
Modifica dei termini della Convenzione
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
L’Agenzia ha facoltà di emendare unilateralmente i termini della presente Convenzione. In tali casi l’Agenzia notifica le modifiche intervenute ai Soggetti Fruitori con comunicazione trasmessa all’indirizzo di posta elettronica certificata indicata nell’istanza di adesione.
I Soggetti Fruitori hanno quindici giorni per comunicare, per mezzo di posta elettronica certificata, le proprie osservazioni, proposte integrative e per rinegoziare i termini della propria adesione. In assenza di tali comunicazioni le modifiche intervenute si intenderanno accettate dal Soggetto Fruitore.
L’Agenzia provvede alla pubblicazione della versione aggiornata alle successive ed eventuali modifiche dei termini della presente Convenzione in apposita sezione del proprio sito istituzionale.
Articolo 10 Verifiche e controlli
Il Soggetto Erogatore al momento del ricevimento dell’istanza di adesione da parte del Soggetto Fruitore, nelle modalità di cui al precedente art. 8, effettua una verifica preliminare in ordine a
- la base normativa che legittima il Fruitore ad accedere ai dati contenuti nel XXXXX
- le finalità poste alla base della richiesta.
Il Soggetto Erogatore verifica, inoltre, che la selezione delle informazioni personali oggetto di accesso, come indicate nell’Istanza di adesione, sia effettuata nel rispetto dei principi di pertinenza e non eccedenza in relazione a ciascuna delle finalità perseguite dal Fruitore.
L’Agenzia verifica annualmente l’attualità delle finalità dichiarate dal Soggetto Fruitore nella corrispondente istanza di adesione.
L’Agenzia verifica il numero di utenze attive ed inibisce gli accessi effettuati al di fuori dei presupposti normativi legittimanti e quelli non conformi a quanto stabilito nella presente Convenzione e nei suoi allegati.
Sono effettuate, quindi, da parte del Soggetto Erogatore, attività di audit basate sul monitoraggio statistico delle transazioni e su
4
meccanismi di alert, idonei all’individuazione dei comportamenti anomali o a rischio degli utenti di cui il Soggetto Fruitore ha richiesto l’abilitazione.
Articolo 11
Obblighi del Soggetto Fruitore
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
Il Soggetto Fruitore, con l’adesione alla presente Convenzione, si obbliga ad effettuare il conseguente trattamento di dati personali, nel rispetto delle misure organizzative e tecnologiche previste dalla normativa in materia di protezione dei dati personali.
Si obbliga altresì a:
- utilizzare le informazioni acquisite dal XXXXX esclusivamente per le finalità dichiarate nell’”istanza di adesione”, nel rispetto della normativa vigente, anche in materia di consultazione delle banche dati, osservando le misure di sicurezza e gli obblighi di riservatezza previsti dal Codice per la protezione dei dati personali;
- effettuare il trattamento dei dati personali indicati nella presente Convenzione secondo i principi di finalità e necessità di cui al Codice per la protezione dei dati personali, rispettando, quindi, i canoni di pertinenza e non eccedenza nel trattamento delle informazioni acquisite;
- garantire che non si verifichino divulgazioni, comunicazioni, cessioni a terzi, né in alcun modo riproduzioni dei dati nei casi diversi da quelli previsti dalla legge, provvedendo ad impartire, precise e dettagliate istruzioni ai soggetti precipuamente autorizzati al trattamento di dati personali, richiamando la loro attenzione sulle responsabilità connesse all’uso illegittimo dei dati;
- non duplicare i dati resi disponibili e a non creare autonome banche dati non conformi alle finalità per le quali è stato autorizzato l’accesso;
- garantire che l’accesso ai dati sia consentito esclusivamente a soggetti che siano stati autorizzati al trattamento dei dati personali o nominati responsabili del trattamento dei dati;
- fornire ogni necessaria collaborazione nei casi di verifiche di cui all’art. 11 della presente Convenzione da parte dell’Agenzia per verificare il rispetto dei vincoli di utilizzo dei servizi, previo preavviso tra le rispettive funzioni organizzative preposte alla sicurezza.
- cancellare i dati ricevuti dal titolare non appena siano state utilizzate le informazioni secondo le finalità dichiarate;
- formare gli utenti abilitati sulle specifiche caratteristiche, proprietà e limiti del sistema utilizzato per l’accesso ai dati ed a controllarne il corretto utilizzo;
- garantire l’adozione al proprio interno delle regole sicurezza quali:
⮚ procedure di registrazione che prevedano il riconoscimento
5
diretto e l’identificazione certa dell’utente;
⮚ regole di gestione delle credenziali di autenticazione e modalità che ne assicurino adeguati livelli di sicurezza quali ad esempio:
o identificazione univoca di una persona fisica;
o processi di emissione e distribuzione agli utenti in maniera sicura seguendo una stabilita procedura operativa;
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
o identificazione per mezzo di un dispositivo in possesso ed uso esclusivo dell’incaricato e provvisto di pin o una coppia username/password, o, infine, da credenziali che garantiscano analoghe condizioni di robustezza;
o adozione di politiche di gestione della password che rispettino le misure minime di sicurezza previste dal Codice della Privacy;
o procedura di autenticazione dell’utente protetta dal rischio di intercettazione delle credenziali da meccanismi crittografici di robustezza adeguata
⮚ previsione di flussi di comunicazione all’erogatore, in relazione ai controlli che lo stesso effettua sull’attualità delle utenze concesse a ciascun Soggetto Fruitore, l’elenco dei soggetti autorizzati al trattamento dei dati personali contenuti nel XXXXX
⮚ nominare il Responsabile della Convenzione, prevedendo in capo allo stesso compiti di verifica, almeno annuale, in ordine alla corretta attribuzione dei profili di autorizzazione e sull’attualità delle utenze attive
⮚ in ogni caso garantire anche all’erogatore la possibilità, su richiesta, di identificare l’utente nei casi in cui ciò si renda necessario
- utilizzare i sistemi di accesso ai dati in consultazione esclusivamente secondo le modalità con cui sono stati resi disponibili e, di conseguenza, a non estrarre i dati per via automatica e massiva allo scopo di velocizzare le attività e creare autonome banche dati non conformi alle finalità per le quali è stato autorizzato all’accesso;
- a comunicare nelle modalità indicate all’art. 8 della presente
convenzione all’Agenzia:
o tempestivamente violazione di dati e/o incidenti sulla sicurezza occorsi al proprio sistema di autenticazione qualora tali incidenti abbiano impatto direttamente o indirettamente nei processi di sicurezza afferenti alla cooperazione applicativa con l’amministrazione titolare;
o ogni eventuale esigenza di aggiornamento di stato degli utenti gestiti (nuovi inserimenti, disabilitazioni, cancellazioni) in caso di consultazione on line;
o ogni modificazione tecnica e/o organizzativa del proprio
6
dominio, che comporti l’impossibilità di garantire l’applicazione delle regole di sopra riportate e/o la loro perdita di efficacia;
- garantire che i servizi resi disponibili verranno esclusivamente integrati con il proprio sistema informativo e non saranno resi disponibili a terzi né direttamente né indirettamente per via informatica;
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
- usufruire degli accessi alle banche dati soltanto tramite l’uso di postazioni di lavoro connesse alla propria rete Ip e/o dotata di certificazione digitale atta ad identificare in maniera univoca la postazione di lavoro accedente e comunque non accedendo da diverse postazioni con le medesime credenziali
Il Soggetto Fruitore, laddove intenda avvalersi di soggetti terzi (ad esempio, altra Pubblica amministrazione o azienda) al fine di realizzare servizi d’interscambio, previa apposita nomina dello stesso soggetto delegato quale responsabile o, se persona fisica, anche incaricato del trattamento dei dati personali, deve darne immediata conoscenza al Soggetto Erogatore per mezzo di comunicazione firmata e trasmessa nelle modalità indicate all’art.
8 della presente convenzione.
Articolo 12 Efficacia e recesso della convenzione
La presente Convenzione ha efficacia a far data dalla sottoscrizione
da parte del Direttore dell’Agenzia regionale per il lavoro.
Per il Soggetto Fruitore la presente Convenzione si ritiene valida ed efficace dal momento della ricezione da parte dell’Agenzia dell’istanza di adesione.
Il Soggetto Fruitore, esclusivamente a fronte di richiesta motivata, potrà in ogni momento, modificare e/o riformulare o anche recedere dalla presente Convenzione, qualora dovessero intervenire mutamenti delle esigenze di accesso ai dati e/o in caso di modifiche di disciplina (giuridica e/o amministrativa) di uno o più trattamenti oggetto della stessa.
Il recesso deve essere comunicato e trasmesso nelle modalità indicate all’art. 8 della presente convenzione.
Articolo 13 Continuità degli accessi dei Soggetti Fruitori già autorizzati
Gli accessi già autorizzati dall’Agenzia regionale per il lavoro dell’accesso al XXXXX precedentemente alla data di entrata in vigore della presente convenzione relativamente ai singoli poli provinciali rimangono validi ed attivi fino alla data di completamento delle operazioni di unificazione delle infrastrutture tecnologiche dei singoli poli provinciali nel polo regionale, anche al fine di assicurare continuità all’esercizio delle attività istituzionali dei Soggetti Fruitori.
7
L’Agenzia si riserva di operare le verifiche ed i controlli di cui all’art. 10, nonché l’accertamento del rispetto degli obblighi di cui all’art. 11 da parte dei Soggetti Fruitori.
Nel caso in cui sia riscontrata l’assenza dei requisiti legittimanti l’accesso in capo ai Soggetti Fruitori o il mancato rispetto degli obblighi di cui all’art. 11, l’Agenzia inibisce l’accesso alla banca dati e notifica tale risoluzione ai Soggetti Fruitori.
Articolo 14 Oneri economici
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
L’Agenzia concede l’accesso al XXXXX senza oneri economici in capo
al Soggetto Fruitore.
Articolo 15 Registro Soggetti Fruitori
Il Soggetto Erogatore redige un elenco, sempre aggiornato, dei Soggetti Fruitori aderenti alla presente Convenzione, indicando puntualmente
- la base normativa che legittima il fruitore ad accedere alle proprie banche dati
- le finalità poste alla base della richiesta
Le modalità di accesso al XXXXX sono le medesime per tutti i Soggetti Fruitori.
Articolo 16 Allegati
Fanno parte integrante della presente Convenzione:
- Allegato 1) Modalità d’accesso al Sistema Informativo Lavoro (XXXXX)
- Allegato 1bis) Modalità d’accesso al Sistema Informativo Lavoro
della cassa integrazione in deroga (XXXXX CIGD)
- Allegato 2) Istanza di adesione alla Convenzione per l’accesso
al XXXXX
- Allegato 2bis) Istanza di adesione alla Convenzione per l’accesso
al modulo del XXXXX per la cassa integrazione in deroga
- Allegato 3) Normativa di riferimento della Convenzione
d’accesso al XXXXX
- Allegato 4) Glossario
- Allegato 5) Modello di segnalazione data breach di cui all’allegato
1 al provvedimento del Garante per la protezione dei dati del 2 luglio 2015
- Allegato 6) Informativa per il trattamento dei dati personali
- Allegato 7) Check list misure di sicurezza del XXXXX
8
Articolo 17 Rinvio
Per tutto quanto ivi non riportato si rinvia alla normativa
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
rappresentata all’Allegato 3) della presente Convenzione.
9
Allegato 1)
MODALITA' D'ACCESSO AL SISTEMA INFORMATIVO LAVORO (XXXXX)
Tipologia di accesso telematico
Il Soggetto Fruitore può effettuare l'accesso telematico al XXXXX tramite accesso diretto via web.
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
L'identificazione dell'utente avviene per mezzo di apposite credenziali di autenticazione, strettamente personali, rilasciate dall’Agenzia regionale per il lavoro, agli utenti espressamente indicati dal Soggetto Fruitore e assegnate mediante apposita procedura pubblicata sul sito istituzionale dell'Ente.
2 - Descrizione dell'infrastruttura tecnologica del XXXXX
Il sistema informativo lavoro è ospitato su un'unica piattaforma centralizzata, a cui possono avere accesso diverse categorie di utenti, interni e esterni, che possono operare in esso.
Il sistema è conforme al modello architetturale a tre livelli su tecnologia web, i cui principali elementi funzionali sono costituiti:
• per la componente di interfaccia utente (presentation), da un Web Browser;
• per la componente accesso ai dati (data access) da un RDBMS, basato su software Oracle.
L'applicazione è conforme alle specifiche Java 2 Platform Enterprise Edition (J2EE) che rappresentano la piattaforma standard di sviluppo di applicazioni di livello Enterprise basate su linguaggio Java.
Nel dettaglio vengono utilizzate le seguenti tecnologie:
• HTML 4.01 (Dynamic HTML);
• servlets e pagine JSP;
• componenti Java (javabean e classi applicative) ed EJB;
• web services (Apache Axis) ;
• API JDBC per l'accesso ai dati.
Sono operativi, inoltre, alcuni Web Services che implementano modalità di fruizione del dato attraverso il modello di Cooperazione Applicativa, per garantire l'integrazione dei metadati, delle informazioni e dei procedimenti amministrativi.
3 - Modalità di fruizione dei dati e regole di accesso al XXXXX
L'accesso alla base informativa del Sistema Informativo Lavoro è possibile attraverso login e password (utenze) che saranno rilasciate esclusivamente dall’Agenzia regionale per il lavoro, in quanto Soggetto
Erogatore e, conseguentemente, Titolare del trattamento di dati personali e proprietario della banca dati. Ad ogni utenza di accesso è associata una profilatura che si compone di profilo e gruppo e consente di visualizzare dati e informazioni di cui all’Allegato 2 della Convenzione.
4 - Servizi forniti
I servizi forniti dal Sistema Informativo Lavoro sono:
• servizio di ricerca, che consente di cercare i dati in base al contenuto di metadati corrispondenti e di
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
visualizzare il contenuto dei metadati medesimi
• servizio di consultazione, che consente di eseguire, ad esempio, operazioni di visualizzazione e
navigazione.
Non sono attivi servizi per lo scarico (download) dei dati, che permettano cioè di trasferire copie di dati o parte di essi.
5 - Regole minime di sicurezza
Tutti gli aspetti relativi alla sicurezza sono stati implementati in adempimento alle misure di sicurezza minime e idonee di cui al Codice per la protezione dei dati personali.
Il XXXXX è stato implementato nel pieno rispetto del "Disciplinare tecnico in materia di sicurezza delle applicazioni informatiche" della Giunta della Regione Xxxxxx-Romagna, nel quale sono indicati gli aspetti tecnici e procedurali richiesti per il design, lo sviluppo, il deployment e la gestione di un'applicazione sicura, con particolare riguardo alle applicazioni web.
L'applicazione è, quindi, stata progettata e sviluppata in modo da garantire un livello di sicurezza molto elevato, idoneo in funzione del valore dei dati personali oggetti di trattamento.
Si precisa, tra l'altro, che tutti i canali di accesso al XXXXX avvengono tramite protocollo HTTPS con relativa cifratura dei dati trasmessi.
Anche dal punto di vista della gestione, per le fasi attinenti all' amministrazione delle utenze e alla concessione dei relativi privilegi, alla conservazione dei dati e alle politiche di backup e ripristino, alla configurazione e al processo di deploy del sistema, il XXXXX adotta misure di sicurezza idonee a salvaguardare la riservatezza, l’integrità e la disponibilità dei dati personali in esso contenuti.
Il Soggetto erogatore elabora, annualmente, un documento riepilogativo delle misure di sicurezza implementate in conformità alle prescrizioni contenute nelle Linee guida per la stesura di convenzioni per la fruibilità di dati delle pubbliche amministrazioni pubblicate dall’Agenzia per l’Italia sigitale.
6 - Livelli di servizio e modalità di assistenza
Per ciò che concerne il supporto tecnico-sistemistico, le strutture sono implementate per fornire un servizio continuativo.
Il presidio è garantito dal lunedì al venerdì dalle 7.30 alle 19.00.
Per quanto riguarda il supporto applicativo, la struttura di Help Desk opera dal lunedì al venerdì, negli orari 9-13 e 14-17.
7 - Periodicità di aggiornamento dei dati
I dati all'interno del XXXXX vengono aggiornati sia dagli operatori, a fronte di attività di front-office e di back-office, sia da flussi automatici.
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
Questi ultimi possono essere periodici (schedulati a ore prestabilite nel sistema) oppure in tempo reale.
Allegato 1bis)
MODALITA' D'ACCESSO AL MODULO DI GESTIONE DELLA CASSA INTEGRAZIONE IN DEROGA DEL SISTEMA INFORMATIVO LAVORO (XXXXX CIGD)
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
Tipologia di accesso telematico
Il Soggetto Fruitore può effettuare l'accesso telematico al XXXXX CIGD tramite accesso diretto via web.
L'identificazione dell'utente avviene per mezzo di apposite credenziali di autenticazione, strettamente personali, rilasciate dall’Agenzia regionale per il lavoro, agli utenti espressamente indicati dal Soggetto Fruitore e assegnate mediante apposita procedura pubblicata sul sito istituzionale dell'Ente.
2 - Descrizione dell'infrastruttura tecnologica del XXXXX CIGD
Il modulo del sistema informativo lavoro contenente le funzionalità relative alla CIGD è ospitato su un'unica piattaforma centralizzata, a cui possono avere accesso diverse categorie di utenti, interni e esterni, che possono operare in esso. Il sistema è integrato con il sistema SARE da cui riceve le informazioni presenti sulle domande compilate dagli utenti.
Il sistema è conforme al modello architetturale a tre livelli su tecnologia web, i cui principali elementi funzionali sono costituiti:
• per la componente di interfaccia utente (presentation), da un Web Browser;
• per la componente accesso ai dati (data access) da un RDBMS, basato su software Oracle.
L'applicazione è conforme alle specifiche Java 2 Platform Enterprise Edition (J2EE) che rappresentano la piattaforma standard di sviluppo di applicazioni di livello Enterprise basate su linguaggio Java.
Nel dettaglio vengono utilizzate le seguenti tecnologie:
• HTML 4.01 (Dynamic HTML);
• servlets e pagine JSP;
• componenti Java (javabean e classi applicative) ed EJB;
• web services (Apache Axis) ;
• API JDBC per l'accesso ai dati.
Il sistema non espone servizi Web attraverso cui fruire dei dati in Cooperazione applicativa, ma riceve in ingresso le informazioni dal sistema X.X.Xx.
3 - Modalità di fruizione dei dati e regole di accesso al XXXXX CIGD
L'accesso alla base informativa del Modulo di gestione della cassa integrazione in deroga del Sistema Informativo Lavoro è possibile attraverso login e password (utenze) che saranno rilasciate esclusivamente dall’Agenzia regionale per il lavoro, in quanto Soggetto Erogatore e, conseguentemente, Titolare del trattamento di dati personali e proprietario della banca dati. Ad ogni utenza di accesso è associata una profilatura che si compone di profilo e gruppo e consente di visualizzare dati e informazioni di cui all’Allegato 2 della Convenzione.
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
4 - Servizi forniti
I servizi forniti dal Sistema Informativo Lavoro sono:
• servizio di ricerca, che consente di cercare i dati in base al contenuto di metadati corrispondenti e di
visualizzare il contenuto dei metadati medesimi
• servizio di consultazione, che consente di eseguire, ad esempio, operazioni di visualizzazione e
navigazione.
• servizio per la visualizzazione della "Documentazione Allegata", che consente di recuperare tutti gli allegati sottomessi dall'azienda durante l'invio della domanda.
5 - Regole minime di sicurezza
Tutti gli aspetti relativi alla sicurezza sono stati implementati in adempimento alle misure di sicurezza minime e idonee del Codice per la protezione dei dati personali.
Il XXXXX CIGD è stato implementato nel pieno rispetto del "Disciplinare tecnico in materia di sicurezza delle applicazioni informatiche" della Giunta della Regione Xxxxxx-Romagna, nel quale sono indicati gli aspetti tecnici e procedurali richiesti per il design, lo sviluppo, il deployment e la gestione di un'applicazione sicura, con particolare riguardo alle applicazioni web.
L'applicazione è, quindi, stata progettata e sviluppata in modo da garantire un livello di sicurezza molto elevato, idoneo in funzione del valore dei dati personali oggetti di trattamento.
Si precisa, tra l'altro, che tutti i canali di accesso al XXXXX avvengono tramite protocollo HTTPS con relativa cifratura dei dati trasmessi.
Anche dal punto di vista della gestione, per le fasi attinenti all' amministrazione delle utenze e alla concessione dei relativi privilegi, alla conservazione dei dati e alle politiche di backup e ripristino, alla configurazione e al processo di deploy del sistema, il XXXXX CIGD adotta misure di sicurezza idonee a salvaguardare la riservatezza, l’integrità e la disponibilità dei dati personali in esso contenuti.
Il Soggetto erogatore elabora, annualmente, un documento riepilogativo delle misure di sicurezza implementate in conformità alle prescrizioni contenute nelle Linee guida per la stesura di convenzioni per la fruibilità di dati delle pubbliche amministrazioni pubblicate dall’Agenzia per l’Italia digitale.
6 - Livelli di servizio e modalità di assistenza
Per ciò che concerne il supporto tecnico-sistemistico, le strutture sono implementate per fornire un servizio continuativo.
Il presidio è garantito dal lunedì al venerdì dalle 7.30 alle 19.00.
Per quanto riguarda il supporto applicativo, la struttura di Help Desk opera dal lunedì al venerdì, negli orari 9-13 e 14-17.
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
7 - Periodicità di aggiornamento dei dati
I dati all'interno del XXXXX CIGD vengono aggiornati sia dagli operatori, a fronte di attività di front- office e di back-office, sia da flussi automatici (domande di cig in deroga presentate dai datori di lavoro).
Questi ultimi possono essere periodici (schedulati a ore prestabilite nel sistema) oppure in tempo reale.
Allegato 2)
ISTANZA DI ADESIONE ALLA CONVENZIONE PER L’ACCESSO AL XXXXX
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
Dati dell’Ente | |
Denominazione | |
Sede Legale | |
Indirizzo di PEC istituzionale | |
Telefono | |
Rappresentante legale/Dirigente funzionalmente competente | |
Cognome | |
Nome | |
Codice fiscale | |
Indirizzo email | |
Indirizzo di PEC* | |
Telefono | |
*Qualora il Rappresentante legale o il Dirigente funzionalmente competente non sia in possesso di un’indirizzo PEC nominativo, può indicare l’indirizzo PEC della Struttura di appartenenza
Responsabile della Convenzione | |
Cognome | |
Nome | |
Codice fiscale | |
Indirizzo email | |
Indirizzo di PEC* | |
Telefono | |
Selezionare i dati cui si intende accedere dalla tabella di seguito riportata.
Dati
□ Lavoratore • codice fiscale
• cognome
• nome
• sesso
• data di nascita
• comune (o stato estero) di nascita
• cittadinanza
• comune di domicilio
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
• indirizzo
• cap
• Stato occupazionale
• Sintesi situazione occupazionale lavoratore (CPI, DID, data dichiarazione DID, Stato, STATO OCC, inizio, anz. di disoc., Ultimo mov. amm., tipo di rapp., inizio mov., fine, presso)
□ Lavoratore - Collocamento mirato • Data iscrizione
• Data anzianità iscrizione
□ Datore di lavoro • Denominazione
• Sede legale
• Numero REA
• Indirizzo
• Località
• Comune
• Cap
• Stato azienda
• Codice Attività
• Tipo Attività
• Codice CCNL
• Tipo CCNL
• Raggiungibile con mezzi pubblici
• Telefono
• Fax
• PEC
• Referenti azienda (Cognome, Nome, Ruolo, Telefono, Fax, e-mail)
• Legale rappresentante (Cognome, Nome, Documento, Numero documento, Motivo della carta/documento, Scadenza in data, Questura, Soggiornante in Italia)
□ Movimenti • Dati rapporto di lavoro (data inizio, data fine, ente previdenziale, codice ente previdenziale, xxx XXXXX, codice agevolazione, socio lavoratore, tipo orario, ore settimanali medie, qualifica professionale (ISTAT), legge 68 data nulla osta/convenzione, legge 68 numero atto, contratto collettivo applicato, livello di inquadramento, retribuzione / compenso, lavoro in agricoltura, giornate lavorative previste, tipo lavorazione)
• dati proroga (fine proroga)
• dati trasformazione (data trasformazione, codice trasformazione)
• dati cessazione (data cessazione, codice causa)
• datore di lavoro presso il quale il lavoratore viene distaccato (codice fiscale datore
Indicare puntualmente tutta la normativa, primaria e secondaria, che dispone in ordine alla funzione istituzionale di cui al precedente punto.
Normativa
Descrivere compiutamente e specificatamente la funzione istituzionale da assolvere per la quale si richiede la fruizione dei dati di cui alla tabella precedente
Funzione istituzionale
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
distaccatario, denominazione datore di lavoro distaccatario, settore, xxx XXXXX, comune sede di lavoro, cap sede di lavoro, indirizzo sede di lavoro, telefono sede di lavoro, fax sede di lavoro, e-mail sede di lavoro)
Xxxxxxxx incaricato all’accesso* | |
Cognome | |
Nome | |
Codice fiscale | |
Indirizzo email | |
Telefono |
* Per ogni operatore per il quale si richiede l’accesso deve essere completata tale tabella.
Soggetto incaricat0 all’accesso | |
Cognome | |
Nome | |
Codice fiscale | |
Indirizzo email | |
Telefono |
Il sottoscritto , in qualità di legale rappresentante di /Dirigente funzionalmente competente in ordine a
(inserire ambito funzionale di competenza) di
,
DICHIARA CHE
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
❖ tutti gli operatori per i quali si richiede l’accesso al XXXXX sono stati autorizzati al trattamento dei dati personali o nominati responsabili del trattamento dei dati;
❖ gli operatori , sono dipendenti di (indicare PA o Azienda di cui il Soggetto istante si avvale per accedere al XXXXX), all’uopo designata responsabile esterno del trattamento di dati personali1
❖ l’accesso ai dati verrà consentito esclusivamente a soggetti che sono stati autorizzati;
❖ in casi di verifiche di cui all’art. 10 della Convenzione, l’Agenzia regionale per il
lavoro dovrà assumere quale proprio referente il Sig. 2
❖ sono stati effettuati interventi formativi sulle specifiche caratteristiche, proprietà e limiti del sistema XXXXX al personale per il quale si richiede l’accesso;
❖ sono state adottate le misure minime e idonee di sicurezza del Codice per la protezione dei dati personali;
❖ di aver preso visione e di accettare gli obblighi di cui all’art. 10 della Convenzione, che si intendono ivi integralmente richiamati
Luogo, data
Il legale rappresentante/Dirigente funzionalmente competente3
1 Questa clausola deve essere riportata nei casi indicati all’ultimo capoverso dell’art. 6 dello Schema di Convenzione di
accesso al XXXXX
2 Indicare il nominativo del referente tecnico che la Provincia potrà contattare nei casi di attivazione delle verifiche di
cui all’art. 10 dello Schema di Convenzione.
3 Questo documento deve essere firmato digitalmente e inviato per mezzo di posta elettronica certificata all’indirizzo:
xxxxxxxx.xxxxxxx@xxxxxxxxx.xxxxxxx.xxxxxx-xxxxxxx.xx
Allegato 2bis)
ISTANZA DI ADESIONE ALLA CONVENZIONE PER L’ACCESSO AL XXXXX CIGD
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
Dati dell’Ente | |
Denominazione | |
Sede Legale | |
Indirizzo di PEC istituzionale | |
Telefono | |
Rappresentante legale/Dirigente funzionalmente competente | |
Cognome | |
Nome | |
Codice fiscale | |
Indirizzo email | |
Indirizzo di PEC* | |
Telefono | |
*Qualora il Rappresentante legale o il Dirigente funzionalmente competente non sia in possesso di un indirizzo PEC
nominativo, può indicare l’indirizzo PEC della Struttura di appartenenza
Responsabile della Convenzione | |
Cognome | |
Nome | |
Codice fiscale | |
Indirizzo email | |
Indirizzo di PEC* | |
Telefono | |
L’accesso alla banca dati consente la visualizzazione dei dati riportati nella tabella seguente:
Dati
dati generali • Azienda (Codice fiscale, CF azienda per Inps, Ragione sociale, Tipo azienda, Tipo datore di lavoro
• Indirizzo sede leg., Comune)
• Dettagli Azienda (Cap, Data inizio attività, Recapito
• Codice attività, Tipo Attività, Codice CCNL, Tipo CCNL
• Qualificazione, Iscritta ente bilaterale (SI/NO), Organizzazione datore, Consulente del lavoro, Matricola INPS, Sede INPS)
• Ultimo esame congiunto (Data inizio validità, Data fine validità)
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
• Domanda CIG (Codice domanda – Data invio – Tot Giornate, Codice dom. originaria – data inizio – tot lavoratori, Provenienza – data fine – tot. , Tipo domanda, Causa sisma, Data consultazione/esame congiunto, Lavoratori in forza, Pagamento diretto, Sedi non coinvolte, Stato domanda, Protocollo rinuncia/revoca, Sedi coinvolte, Codice dom. estesa)
• Concessione
Lavoratori • Lista lavoratori (Codice fiscale, Cognome, Nome, Sesso, Comune di nascita, Data di nascita, Nazione di cittadinanza, Comune di domicilio, Indirizzo domicilio, Comune di residenza, Cellulare, Altro telefono, Data assunzione, Linea di azione, Sede operativa, Note)
Associa Lavoratori - Sede Sindacati
Consuntivo CIG
Descrivere compiutamente e specificatamente la funzione istituzionale da assolvere per la quale si richiede la fruizione dei dati di cui alla tabella precedente
Funzione istituzionale
Indicare puntualmente tutta la normativa, primaria e secondaria, che dispone in ordine alla funzione istituzionale di cui al precedente punto.
Normativa
Soggetto incaricati all’accesso* | |
Cognome |
Nome | |
Codice fiscale | |
Indirizzo email | |
Telefono |
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
* Per ogni operatore per il quale si richiede l’accesso deve essere completata tale tabella.
Soggetto incaricati all’accesso | |
Cognome | |
Nome | |
Codice fiscale | |
Indirizzo email | |
Telefono |
Il sottoscritto , in qualità di legale rappresentante di
/Dirigente funzionalmente competente in ordine a
(inserire ambito funzionale di competenza) di
,
DICHIARA CHE
❖ tutti gli operatori per i quali si richiede l’accesso al XXXXX sono stati autorizzati al trattamento dei dati personali o nominati responsabili del trattamento dei dati;
❖ gli operatori , sono dipendenti di (indicare PA o Azienda di cui il Soggetto istante si avvale per accedere al XXXXX CIGD), all’uopo designata responsabile esterno del trattamento di dati personali1
❖ l’accesso ai dati verrà consentito esclusivamente a soggetti che sono stati autorizzati;
❖ in casi di verifiche di cui all’art. 10 della Convenzione, l’Agenzia regionale per il
lavoro dovrà assumere quale proprio referente il Sig. 2
1 Questa clausola deve essere riportata nei casi indicati all’ultimo capoverso dell’art. 6 dello Schema di Convenzione di
accesso al XXXXX
2 Indicare il nominativo del referente tecnico che la Provincia potrà contattare nei casi di attivazione delle verifiche di
cui all’art. 10 dello Schema di Convenzione.
❖ sono stati effettuati interventi formativi sulle specifiche caratteristiche, proprietà e limiti del sistema XXXXX al personale per il quale si richiede l’accesso;
❖ sono state adottate le misure minime e idonee di sicurezza del Codice per la protezione dei dati personali;
❖ di aver preso visione e di accettare gli obblighi di cui all’art. 11 della Convenzione, che si intendono ivi integralmente richiamati
Luogo, data
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
Il legale rappresentante/Dirigente funzionalmente competente3
3 Questo documento deve essere firmato digitalmente e inviato per mezzo di posta elettronica certificata all’indirizzo:
xxxxxxxx.xxxxxxx@xxxxxxxxx.xxxxxxx.xxxxxx-xxxxxxx.xx
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
ALLEGATO 3)
NORMATIVA DI RIFERIMENTO DELLA CONVENZIONE D’ACCESSO AL XXXXX | |
D.Lgs. 14 settembre 2015, n. 150 | Disposizioni per il riordino della normativa in materia di servizi per il lavoro e di politiche attive, ai sensi dell’articolo 1, comma 3, della legge 10 dicembre 2014, n. 183 |
D.L. del 17 marzo 2020, n. 18 convertito con legge 24 aprile 2020 n. 27 | Misure di potenziamento del Servizio Sanitario Nazionale e di sostegno economico per famiglie, lavoratori e imprese connesse all’emergenza epidemiologica da Covid-19 |
Art. 22 – Nuove disposizioni per la Cassa Integrazione in deroga | |
Legge regionale 24 maggio 2004, n. 11, | Sviluppo regionale della società dell’informazione |
Legge regionale 1° agosto 2005, n. 17 | Norme per la promozione, dell’occupazione, della qualità, sicurezza e regolarità del lavoro |
Art. 16 - Crisi occupazionali | |
Articolo 32bis – Agenzia regionale per il lavoro | |
Articolo 38 - Sistema informativo lavoro dell’Xxxxxx-Romagna XXXXX | |
Legge regionale 30 luglio 2015, n. 13 | Riforma del sistema di governo regionale e locale e disposizioni su Città metropolitana di Bologna, Province, Comuni e loro unioni |
Art. 52 - Prime disposizioni per la riforma del sistema regionale dei servizi per l’impiego | |
Art. 53 – Disposizioni di prima applicazione concernenti l’istituzione dell’Agenzia regionale per il lavoro | |
Art. 54 – Integrazione alla legge regionale n. 17 del 2015. Istituzione dell’Agenzia regionale per il lavoro | |
Legge 7 agosto 1990, n. 241 | Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi |
Articolo 15 - Accordi tra pubbliche amministrazioni | |
Articoli 22 e ss - in materia di accesso a documentazione amministrativa | |
D.P.R. 28 dicembre 2000, n. 445 | Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa |
Art. 43 - Accertamenti d'ufficio | |
Articolo 46 - Dichiarazioni sostitutive di certificazioni | |
Articolo 46 bis - Acquisizione d'ufficio di informazioni | |
Articolo 47 - Dichiarazioni sostitutive dell'atto di notorietà | |
Articolo 71 - Modalità dei controlli. | |
Articolo 72 - Responsabilità in materia di accertamento d'ufficio e di esecuzione dei controlli | |
Regolamento UE 2016/679 | “Regolamento del parlamento europeo e del consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati” |
D.Lgs. 30 giugno 2003, n. 196 | “Codice in materia di protezione dei dati personali e xx.xx.” |
D.Lgs. 10 agosto 2018, n. 101 | “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 (…).” |
D.Lgs. 7 marzo 2005, n. 82 | Codice dell’Amministrazione digitale e xx.xx. |
Articolo 15 - Digitalizzazione e riorganizzazione | |
Articolo 24 - Firma digitale | |
Articolo 50 - Disponibilità dei dati delle pubbliche amministrazioni | |
Articolo 75 - Partecipazione al Sistema pubblico di connettività | |
Direttiva del Ministro della Pubblica Amministrazione e della semplificazione del 22 dicembre 2011 | Adempimenti urgenti per l’applicazione delle nuove disposizioni in materia di certificati e dichiarazioni sostitutive di cui all’articolo 15 della Legge 12 novembre 2011, n. 183 |
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
GLOSSARIO Fruibilità di un dato | Allegato 4) la possibilita' di utilizzare il dato anche trasferendolo nei sistemi informativi automatizzati di un'altra amministrazione |
Titolare | la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri |
Responsabile | la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. |
Interessato | la persona fisica cui si riferiscono i dati personali. |
Dato personale | qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale |
Trattamento | qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione |
Soggetto Fruitore | Le pubbliche amministrazioni e i gestori di pubblico servizio come indicati ai commi 2 e 2ter del D.lgs. 50/2016 |
Identificazione informatica: | la validazione dell'insieme di dati attribuiti in modo esclusivo ed univoco ad un soggetto, che ne consentono l'individuazione nei sistemi informativi, effettuata attraverso opportune tecnologie anche al fine di garantire la sicurezza dell'accesso. |
Banca di dati | qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti. |
Credenziali di autenticazione | i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l'autenticazione informatica |
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
REGIONE XXXXXX-ROMAGNA ( arilavo )
Allegato 5
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
Il
Tra il e il
In un tempo non ancora determinato E' possibile che sia ancora in corso
Lettura (presumibilmente i dati non sono stati copiati)
Copia (i dati sono ancora presenti sui sistemi del titolare)
Alterazione (i dati sono presenti sui sistemi ma sono stati alterati)
Cancellazione (i dati non sono sui sistemi del titolare e non li ha neppure l'autore della violazione) Furto (i dati non sono sui sistemi del titolare e li ha l'autore della violazione)
Altro :
Computer Rete
Dispositivo mobile
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
File o parte di un file Strumento di backup Documento cartaceo Altro :
N. persone
Circa persone
Un numero (ancora) sconosciuto di persone
Dati anagrafici/codice fiscale
Dati di accesso e di identificazione (user name, password, customer ID, altro) Dati relativi a minori
Dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale
Dati personali idonei a rivelare lo stato di salute e la vita sessuale Dati giudiziari
per immagine su supporto informatico di documenti analogici Ancora sconosciuto
Altro :
Basso/trascurabile Medio
Alto
Molto alto
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
stata comunicata il
No,
Allegato 6
INFORMATIVA per il trattamento dei dati personali ai sensi dell’art 13 del Regolamento europeo n.
679/2016
1. Premessa
Ai sensi dell’art. 13 del Regolamento europeo n. 679/2016, l’Agenzia regionale per il lavoro, in qualità di
“Titolare” del trattamento, è tenuta a fornirle informazioni in merito all’utilizzo dei suoi dati personali.
2. Identità e i dati di contatto del titolare del trattamento
Il Titolare del trattamento dei dati personali di cui alla presente Informativa è l’ARL, con sede in Bologna,
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
Xxxxx Xxxx Xxxx x. 00, xxx. 00000.
Il rappresentante legale dell’agenzia è la direttrice Xxxxx Xxxxxxxxx. I dati di contatto sono:
PEC: xxxxxxxx@xxxxxxxxx.xxxxxx-xxxxxxx.xx
Inoltre, al fine di semplificare le modalità di inoltro e ridurre i tempi per il riscontro di eventuali richieste di cui al paragrafo n. 9, si segnala inoltre che l’ARL è aperta dal lunedì al venerdì dalle 9.00 alle 13.00 in Xxxxx Xxxx Xxxx 00, 00000 Xxxxxxx (Xxxxxx) e i contatti dell’Agenzia sono:
telefono 051527.3864 oppure 051527.3864.3893, fax 051-527.3894, e-mail arlavoro@regione.xxxxxx- xxxxxxx.xx.
3. Il Responsabile della protezione dei dati personali
Il Responsabile della protezione dei dati designato dall’Ente è contattabile all’indirizzo mail
xxx@xxxxxxx.xxxxxx-xxxxxxx.xx o presso la sede della Xxxxxxx Xxxxxx-Xxxxxxx xx Xxxxx Xxxx Xxxx x. 00.
4. Responsabili del trattamento
L’Ente può avvalersi di soggetti terzi per l’espletamento di attività e relativi trattamenti di dati personali di cui manteniamo la titolarità. Conformemente a quanto stabilito dalla normativa, tali soggetti assicurano livelli esperienza, capacità e affidabilità tali da garantire il rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo della sicurezza dei dati.
Formalizziamo istruzioni, compiti ed oneri in capo a tali soggetti terzi con la designazione degli stessi a "Responsabili del trattamento". Sottoponiamo tali soggetti a verifiche periodiche al fine di constatare il mantenimento dei livelli di garanzia registrati in occasione dell’affidamento dell’incarico iniziale.
5. Soggetti autorizzati al trattamento
I Suoi dati personali sono trattati da personale interno previamente autorizzato, a cui sono impartite idonee istruzioni in ordine a misure, accorgimenti, modus operandi, tutti volti alla concreta tutela dei suoi dati personali.
6. Finalità e base giuridica del trattamento
Il trattamento dei suoi dati personali viene effettuato dall’Agenzia regionale per il lavoro per lo svolgimento di funzioni istituzionali e, pertanto, ai sensi dell’art. 6 comma 1 lett. e) non necessita del suo consenso. I dati personali sono trattati per la seguente finalità: dare esecuzione alla “Convenzione per la fruibilità dei dati presenti nel Sistema Informativo Lavoro dell’Xxxxxx-Romagna” e, specificatamente, rilasciare le abilitazioni richieste ed effettuare verifiche di cui all’art. 10 della stessa Convenzione.
7. Destinatari dei dati personali
I suoi dati personali potranno essere conosciuti esclusivamente dagli operatori dell’Agenzia regionale per il lavoro nello svolgimento dell’attività di rilascio delle credenziali per accedere al SIL. possono venire a conoscenza dei dati personali società terze fornitrici di servizi per l’Agenzia di cui al punto 4.
8. Trasferimento dei dati personali a Paesi extra UE
I suoi dati personali non sono trasferiti al di fuori dell’Unione europea.
9. Periodo di conservazione
I suoi dati sono conservati per una durata conforme alle disposizioni di legge in merito alla conservazione della documentazione concernente i relativi procedimenti amministrativi. A tal fine, anche mediante controlli periodici, viene verificata costantemente la stretta pertinenza, non eccedenza e indispensabilità dei dati rispetto al rapporto, alla prestazione o all'incarico in corso, da instaurare o cessati, anche con riferimento ai dati che Lei fornisce di propria iniziativa. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non sono utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o del documento che li contiene.
10. I suoi diritti
Nella sua qualità di interessato, Lei ha diritto:
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
• di accesso ai dati personali;
• di ottenere la rettifica o la cancellazione degli stessi (c.d. oblio) o la limitazione del trattamento che lo riguardano;
• di opporsi al trattamento;
• di proporre reclamo al Garante per la protezione dei dati personali
• diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca
Inoltre, essendo il trattamento posto in essere dal titolare necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare, non è esercitabile il diritto alla portabilità, ex art. 6 co. 1 lettera f GDPR.
11. Conferimento dei dati
Il conferimento dei Suoi dati è facoltativo, ma necessario per le finalità sopra indicate. Il mancato conferimento comporterà l’esclusione dall’inserimento nell’elenco anagrafico professionale, il mancato inserimento nello stato di disoccupazione e la mancata erogazione delle politiche attive.
DESCRIZIONE MISURE DI SICUREZZA | SI | NO | OSSERVAZIONI |
Accesso a banca dati come web application | |||
Laddove l’accesso alla banca dati dell’erogatore avvenga in forma di web application esposta su rete pubblica (Internet), l’applicazione deve essere implementata con protocolli di sicurezza provvedendo ad asseverare l’identità digitale dei server erogatori dei servizi tramite l’utilizzo di certificati digitali emessi da una Certification Authority ufficiale | X | Vengono esposte su https con certificato digitale rilasciato da una Certification Authority ufficiale. | |
Registrazione | |||
Le procedure di registrazione avvengono con il riconoscimento diretto e l’identificazione certa dell’utente | X | Per l’accesso al SIL in qualità di operatore interno/convenzionato le credenziali vengono gestite direttamente dall’Agenzia regionale per il lavoro previa identificazione diretta del soggetto. Non è possibile generare direttamente credenziali di accesso registrandosi sul sistema. Per poter usufruire come cittadini o imprese dei servizi amministrativi (incluso l'accesso al SARE) la registrazione avviene SOLO a seguito di riconoscimento CERTO dell'utente. Infine solo per la semplice registrazione al Portale Lavoro non occorre un'identificazione certa. | |
Le regole di gestione delle credenziali di autenticazione | |||
L’identificazione univoca di una persona fisica | x | La procedura di identificazione per il SIL è a carico degli operatori dell'Agenzia Xxxxxx, che rilasciano le credenziali di autenticazione attraverso apposite funzionalità di amministrazione. Non è presente in SIL una procedura di registrazione | |
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
automatica. | |||
Processi di emissione e distribuzione delle credenziali agli utenti in maniera sicura seguendo una procedura operativa prestabilita, o di accettazione di forme di autenticazione forte quali quelle che prevedono l’uso combinato di one time password o di certificati di autenticazione (CNS o analoghi) | x | La procedura di identificazione per il SIL è a carico dell’Agenzia regionale per il lavoro, che rilascia le credenziali di autenticazione attraverso apposite funzionalità di amministrazione. La regola dipende dalle specifiche procedure dell’Agenzia regionale per il lavoro. | |
Le credenziali sono costituite da un dispositivo in possesso ed uso esclusivo dell’incaricato provvisto di pin o una coppia username/password, ovvero da credenziali che garantiscano analoghe condizioni di robustezza | x | In SIL è prevista attualmente l’autenticazione tramite la coppia username/password. Non sono attualmente previsti altri dispositivi di accesso. | |
Password policy | |||
La password, comunicata direttamente al singolo incaricato separatamente rispetto al codice per l’identificazione (user id), viene modificata dallo stesso al primo utilizzo e, successivamente, almeno ogni tre mesi e le ultime tre password non possono essere riutilizzate | X | La password viene modificata al primo utilizzo e, successivamente, ogni tre mesi. Entrambe queste impostazioni sono configurabili e parametrizzabili. Non è presente invece un controllo che verifica le ultime te password utilizzate. | |
Le password rispondono a requisiti di complessità (almeno otto caratteri, uso di caratteri alfanumerici, lettere maiuscole e minuscole, caratteri estesi) | X | ||
Le credenziali sono bloccate a fronte di reiterati tentativi falliti di autenticazione | X | L’accesso all’applicativo è bloccato per 5 minuti dopo 3 tentativi falliti di login | |
Sono presenti misure di protezione perimetrali logico-fisiche, quali ad esempio firewall e reti private virtuali (VPN) | X | Tali attività sono a cura del CED | |
I sistemi software, i programmi utilizzati e la protezione antivirus sono costantemente aggiornati sia sui server che sulle postazioni di lavoro | X | Tali attività sono a cura del CED | |
La procedura di autenticazione dell’utente è | X | Assicurata dal | |
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020
protetta dal rischio di intercettazione delle credenziali da meccanismi crittografici di robustezza adeguata | protocollo https | ||
Sono introdotti meccanismi volti a permettere il controllo degli accessi al fine di garantire che avvengano nell’ambito di intervalli temporali o di data predeterminati, eventualmente definiti sulla base delle esigenze d’ufficio | x | Tale misura non è stata implementata poiché non è possibile prevedere (e delimitare) uno specifico segmento temporale in cui i Soggetti Fruitori possano accedere. | |
In caso di accessi via web è esclusa la possibilità di effettuare accessi contemporanei con le medesime credenziali da postazioni diverse | X | L’implementazione di tale misura di sicurezza riguarda solo i soggetti convenzionati e non tutti gli utenti SIL, per esigenze operative. All’art. 12 della Convenzione, è stato previsto in capo ai Soggetti Fruitori, il divieto di accesso all’applicativo simultaneamente utilizzando diverse postazioni con le medesime credenziali | |
Tracciamento operazioni | |||
Il fruitore deve fornire all'erogatore, contestualmente ad ogni transazione effettuata, il codice identificativo dell’utenza che ha posto in essere l'operazione | X | L’utenza è nominativa. Ai fini dell’accesso al SIL di ciascuna utenza è necessario indicare il numero identificativo di pratica/protocollo, per istruire la quale si rende necessario l’accesso all’applicativo. Tale informazione non è richiesta sul SIL CIGD, per cui si rimanda al punto successivo. | |
Il fruitore, laddove vengano utilizzate utenze codificate (prive di elementi che rendano l’incaricato del trattamento direttamente identificabile), deve in ogni caso garantire anche all’erogatore la possibilità, su richiesta, di identificare l’utente nei casi in cui ciò si renda necessario | X | E’ previsto all’art. 11 della Convenzione l’onere in capo al Soggetto Fruitore di trasmettere i dati relativi all’incaricato che ha utilizzato l’utenza | |
REGIONE XXXXXX-ROMAGNA ( arilavo )
Xxxxxxx Xxxxxx ( AOO_LAV ) RP/2020/24 del 05/11/2020