SCHEDA TECNICA
SCHEDA TECNICA
(il presente allegato tecnico costituisce parte integrante della convenzione Reg. Scritt. Priv. n. )
La “convenzione tra Comune di Xxxxxxxx Veneto e amministrazioni pubbliche e gestori di pubblici servizi per la consultazione e verifica dei dati anagrafici per fini istituzionali (sono esclusi i dati sensibili)” è una convenzione aperta all'adesione delle amministrazioni richiedenti, per fini istituzionali e sempre nel rispetto del quadro normativo di riferimento.
La convenzione in parola prevede la stipula del predisposto Accordo di Adesione in cui vengono specificati, tra gli altri: i fini istituzionali, il tipo di dato richiesto allo scopo di predisporre il profilo pertinente, nonché l'elenco dei nominativi dei dipendenti da abilitare all'accesso. L'accordo di adesione costituisce parte integrante della presente convenzione. La consultazione online è la modalità attraverso la quale l'amministrazione fruitrice autorizzata accede, per fini della consultazione, al dato anagrafico messo a disposizione dal Comune di Xxxxxxxx Veneto.
Aspetti di sicurezza e privacy
Il Comune di Xxxxxxxx Veneto verifica, con cadenza periodica annuale, l'attualità delle finalità per cui ha concesso l'accesso agli enti esterni, anche con riferimento al numero di utenze attive, inibendo gli accessi effettuati al di fuori dei presupposti riconducibili all'art. 19 del Codice (norme di legge o regolamento, nonché eventuali comunicazioni al Garante, ai sensi dell'art. 19 del Codice) e quelli non conformi a quanto stabilito nella convenzione. All'esito di tali verifiche, in particolare, devono essere eliminati gli accessi effettuati per conoscere informazioni che, ai sensi della normativa vigente, dovrebbero essere invece controllate presso altri soggetti.
In particolare il fruitore:
a. utilizza le informazioni acquisite dal titolare esclusivamente per le finalità dichiarate, nel rispetto della normativa vigente e in materia di consultazione delle banche dati, osservando le misure di sicurezza ed i vincoli di riservatezza previsti dal Codice della Privacy;
b. procede al trattamento dei dati personali osservando le misure di sicurezza ed i vincoli di riservatezza previsti dal Codice della Privacy rispettando i canoni di pertinenza e non eccedenza nel trattamento delle informazioni acquisite;
c. garantisce che non si verifichino divulgazioni, comunicazioni, cessioni a terzi, né in alcun modo riproduzioni dei dati nei casi diversi da quelli previsti dalla legge, provvedendo ad impartire, ai sensi dell’art. 30 del Codice della Privacy, precise e dettagliate istruzioni agli incaricati del trattamento, richiamando la loro attenzione sulle responsabilità connesse all’uso illegittimo dei dati;
d. si impegna a non duplicare i dati resi disponibili e a non creare autonome banche dati non conformi alle finalità per le quali è stato autorizzato l’accesso;
e. garantisce che l’accesso ai dati sarà consentito esclusivamente a personale o assimilati ovvero da soggetti che siano stati designati dal fruitore quali incaricati o responsabili esterni del trattamento dei dati;
f. ha consapevolezza del Codice della Privacy e della possibilità di controlli ivi previsti per verificare il rispetto dei vincoli di utilizzo dei servizi, previo preavviso tra le rispettive
funzioni organizzative preposte alla sicurezza. Per l’espletamento di tali controlli, che potranno essere effettuati anche presso le sedi del fruitore dove viene utilizzato il servizio, il fruitore si impegna a fornire ogni necessaria collaborazione;
g. si impegna, non appena siano state utilizzate le informazioni secondo le finalità dichiarate, a cancellare i dati ricevuti dal titolare;
h. si impegna a formare gli utenti abilitati sulle specifiche caratteristiche, proprietà e limiti del sistema utilizzato per l’accesso ai dati ed a controllarne il corretto utilizzo.
i. garantisce che l’adozione al proprio interno delle regole di sicurezza atte ad:
1. adottare procedure di registrazione che prevedano il riconoscimento diretto e l’identificazione certa dell’utente;
2. adottare regole di gestione delle credenziali di autenticazione e modalità che ne assicurino adeguati livelli di sicurezza quali ad esempio:
i) identificazione univoca di una persona fisica;
ii) processi di emissione e distribuzione delle credenziali agli utenti in maniera sicura seguendo una stabilita procedura operativa;
3. nel caso le credenziali siano costituite da una coppia username/password, devono essere previste politiche di gestione della password che rispettino le misure minime di sicurezza previste dal Codice della Privacy;
4. la procedura di autenticazione dell’utente deve essere protetta dal rischio di intercettazione delle credenziali da meccanismi crittografici di robustezza adeguata;
j. si impegna ad utilizzare i sistemi di accesso ai dati in consultazione on-line esclusivamente secondo le modalità con cui sono stati resi disponibili e, di conseguenza, a non estrarre i dati per via automatica e massiva (attraverso ad esempio i cosiddetti “robot”) allo scopo di velocizzare le attività e creare autonome banche dati non conformi alle finalità per le quali è stato autorizzato all’accesso;
x. s’impegna altresì a comunicare:
1. tempestivamente all’amministrazione titolare, incidenti sulla sicurezza occorsi al proprio sistema di autenticazione qualora tali incidenti abbiano impatto direttamente o indirettamente nei processi di sicurezza afferenti la cooperazione applicativa;
2. al titolare, ogni eventuale esigenza di aggiornamento di stato degli utenti gestiti (nuovi inserimenti, disabilitazioni, cancellazioni) in caso di consultazione on-line;
l. garantisce, in caso di cooperazione applicativa, che i servizi resi disponibili verranno esclusivamente integrati con il proprio sistema informativo e non saranno resi disponibili a terzi né direttamente né indirettamente per via informatica.
Modalità di accesso via web
La consultazione dei dati anagrafici avviene tramite un apposito applicativo web realizzato allo scopo e denominato “Sportello virtuale dei servizi anagrafici”.
L’accesso al servizio “Sportello virtuale dei servizi anagrafi” avviene esclusivamente via web dal sito internet comunale xxx.xxxxxxxxxxxxxx.xxx.xx il quale identifica il soggetto richiedente l’accesso e predispone l’accettazione delle richieste in funzione di quanto stabilito per quel specifico soggetto.
Solo il server del portale istituzionale si interfaccia a sua volta con un server interno alla rete aziendale del Comune dove risiede l’applicativo.
L’accesso al servizio “Sportello virtuale dei servizi anagrafici” viene consentito attraverso
l’utilizzo di credenziali, strettamente personali e rilasciate dal Comune di Vittorio Veneto ai soggetti indicati nell’Accordo di Adesione, e composte da un user id e da una password.
Politiche di sicurezza
Tutte le connessioni internet avvengono tramite il protocollo HTTPS con relativo certificato SSL e sono inoltre regolamentate dal firewall aziendale del Comune che permette la comunicazione solo ed esclusivamente tra il server del portale del sito internet istituzionale e il server dell’applicativo delle banche dati anagrafiche.
Il server del servizio “Sportello virtuale dei servizi anagrafici” contiene una replica parziale degli archivi anagrafici che viene aggiornato quotidianamente in maniera automatica.
Uffici di riferimento:
Servizi Demografici:
email xxxxxxxxxxx@xxxxxx.xxxxxxxx-xxxxxx.xx.xx tel. 0000 000000
Gestione Sito internet
email xxxx@xxxxxx.xxxxxxxx-xxxxxx.xx.xx tel. 0000 000000