CAPITOLATO SPECIALE D’APPALTO
CENTRO INTERDIPARTIMENTALE DI
SERVIZI SISTEMA BIBLIOTECARIO DI ATENEO
CAPITOLATO SPECIALE D’APPALTO
AFFIDAMENTO, AI SENSI DELL’ART. 36 COMMA 2, LETT. A) DEL D. LGS. 50/2016 E S.M.I., DELLA FORNITURA, IN MODALITÀ SOFTWARE- AS-A-SERVICE, DEL SERVIZIO DI CONSULTAZIONE DA REMOTO DELLE RISORSE ELETTRONICHE DI ATENEO EZProxy® O SOLUZIONE EQUIVALENTE E SERVIZI GESTIONALI CONNESSI PER LE ESIGENZE DEL CENTRO INTERDIPARTIMENTALE DI SERVIZI – SISTEMA BIBLIOTECARIO DI ATENEO DELL’UNIVERSITÀ DEGLI STUDI DELL’INSUBRIA PER LA DURATA DI 48 MESI.
PERIODO DAL 1 MARZO 2020 AL 29 FEBBRAIO 2024
CIG: ……………….
Firmato digitalmente da:Xxxxxxxxxx Xxxxx Organizzazione:UNIVERSITA' STUDI INSUBRIA/95039180120 Data:10/12/2019 11:18:19
I - DISPOSIZIONI GIURIDICO AMMINISTRATIVE 2
1. Oggetto dell’appalto 2
2. Documenti del contratto 2
3. Durata e importo del contratto 2
4. Revisione dei prezzi 2
5. Presentazione dell’offerta 2
6. Fatturazione e pagamenti 3
7. Forza Maggiore 4
8. Penali 4
9. Personale addetto e sicurezza 4
10. Subappalto 5
11. Divieto di cessione del contratto 5
12. Risoluzione del contratto 5
13. Recesso 6
14. Fallimento dell’appaltatore 6
15. Obblighi a carico dell’impresa 6
16. Garanzie definitive 7
17. Tutela della privacy e trattamento dei dati 7
18. Proprietà dei dati 9
19. Controversie e foro competente 10
20. Informativa sull’applicazione della normativa in tema di prevenzione della corruzione 10
II – CARATTERISTICHE DEI SERVIZI 11
21. Disposizioni sull’esecuzione ed erogazione dei servizi 11
22. Requisiti tecnici 11
23. Livelli di servizio (Service Level Agreement) 12
24. Servizi di supporto in caso di interruzione o cessazione del contratto 12
I - DISPOSIZIONI GIURIDICO AMMINISTRATIVE
1. Oggetto dell’appalto
Il presente appalto ha per oggetto l’affidamento della fornitura, in modalità Software-as-a-Service, del servizio di consultazione da remoto delle risorse elettroniche di Ateneo EZProxy® o soluzione equivalente e servizi gestionali connessi per le esigenze del Centro interdipartimentale di servizi – Sistema Bibliotecario di Ateneo dell’Università degli Studi dell’Insubria.
Le caratteristiche del servizio richiesto e le modalità di esecuzione sono descritte nella parte II del presente Capitolato Speciale.
Sono compresi nell’appalto tutte le prestazioni e/o forniture necessarie per dare il servizio completamente compiuto e secondo le condizioni stabilite dal presente Capitolato.
2. Documenti del contratto
Formano parte integrante del contratto d’appalto ancorché non materialmente allegati allo stesso:
- il presente Capitolato speciale d’appalto;
- l’offerta economica;
- il documento di stipula generato sul portale del Mercato elettronico della Pubblica Amministrazione MePA e firmato digitalmente;
Per quanto non espressamente previsto dal presente Capitolato si rinvia al D. Lgs. 50/2016 e s.m.i. “Codice dei Contratti”.
3. Durata e importo del contratto
Il contratto oggetto della presente procedura avrà durata a decorrere dal 1° marzo 2020 e fino al 29 febbraio 2024.
L’importo complessivo presunto dell’appalto posto a base di gara per il periodo 1° marzo 2020 – 29 febbraio 2024 è pari a € 12.500,00 (dodicimilacinquecento/00) IVA 22% esclusa.
Non sono previsti oneri per la sicurezza non soggetti a ribasso.
L’importo contrattuale si intende comprensivo di tutte le prestazioni, spese accessorie, oneri, indennità, assicurazioni di ogni specie, manodopera, mezzi d’opera, trasporto, e quanto occorre per offrire la fornitura compiuta a perfetta regola d’arte, secondo le disposizioni del presente Capitolato speciale.
4. Revisione dei prezzi
L’importo contrattuale per il periodo 1° marzo 2020 – 29 febbraio 2024 resterà fisso e invariabile per l’intera durata del contratto: ai sensi dell’art. 106, comma 1, lettera a) del D. Lgs. 50/2016 e s.m.i. non sono previste clausole di revisione dei prezzi.
5. Presentazione dell’offerta
Per poter partecipare alla procedura l’impresa dovrà far pervenire l’offerta entro i termini indicati nella Richiesta di Trattativa diretta alla voce “Termine di presentazione dell’offerta”.
In risposta alla Richiesta di Trattativa diretta l’impresa dovrà trasmettere la documentazione richiesta sul sito.
Nell’offerta dovrà essere indicato:
− Il prezzo del canone annuale di abbonamento in modalità Software-as-a-Service, del servizio di consultazione da remoto delle risorse elettroniche di Ateneo EZProxy® o soluzione equivalente e servizi gestionali connessi per ognuna delle annualità di vigenza contrattuale.
La somma complessiva del canone per il periodo 1° marzo 2020 – 29 febbraio 2024 non potrà superare l’importo messo a base d’asta di € 12.500,00 (dodicimila cinquecento/00) IVA 22% esclusa.
6. Fatturazione e pagamenti
La fatturazione per il canone annuale della fornitura in modalità Sofware-as-a-Service del servizio di consultazione da remoto delle risorse elettroniche di Ateneo EZProxy® o soluzione equivalente e servizi gestionali connessi, avverrà con cadenza annuale a partire dalla data di attivazione del servizio. Dagli importi comunque dovuti, saranno detratte tutte le somme dovute all’Appaltatore per penalità, multe o ripristini di danni arrecati e precedentemente notificati.
La liquidazione del corrispettivo sarà effettuata, entro 30 giorni dalla ricezione della fattura, previa verifica di avvenuta regolare esecuzione delle prestazioni da parte del Direttore dell’esecuzione e previa verifica di regolarità contributiva mediante acquisizione da parte dell’Università del Documento di regolarità contributiva DURC in corso di validità, ai sensi di quanto previsto dal D.M. 24 ottobre 2007. Questa Amministrazione accetta esclusivamente fatture trasmesse in forma elettronica secondo il formato di cui all’allegato A “Formato della fattura elettronica” del Decreto Ministeriale 3 aprile 2013,
n. 55. Le fatture devono fare riferimento al seguente Codice univoco ufficio così come censito su xxx.xxxxxxxx.xx: G6ECD2. Le fatture elettroniche dovranno riportare obbligatoriamente il codice identificativo di gara (CIG) nonché gli eventuali ulteriori dati richiesti dall’Ateneo finalizzati ad agevolare le operazioni di contabilizzazione e pagamento delle fatture nei tempi concordati.
Ai sensi del DM del 23 gennaio 2015 attuativo delle disposizioni in materia di scissione dei pagamenti “Split payment” previste dall’art. 1, comma 629, lettera b) della Legge 190/2014 (Legge di stabilità 2015), l’IVA dovuta sarà trattenuta e versata direttamente dall’Ateneo all’Amministrazione finanziaria. Non saranno pertanto accettate fatture sprovviste della dicitura “Scissione dei pagamenti”.
L’affidatario assumerà tutti gli obblighi di tracciabilità dei flussi finanziari di cui all’art. 3 della L. 136/2010 e s.m.i.
L’affidatario sarà tenuto a pagare i propri dipendenti, consulenti, fornitori di beni e servizi rientranti tra le spese generali, nonché gli acquisti di immobilizzazioni tecniche, tramite conto corrente dedicato, indicando il codice CIG della procedura aggiudicata. Gli estremi del predetto conto corrente dovranno essere comunicati all’Amministrazione prima della stipula del contratto. L’affidatario si impegna, altresì, a comunicare alla Stazione appaltante ogni variazione relativa alle notizie ogniqualvolta si verifichino degli eventi modificativi relativi a quanto sopra riportato.
Ai sensi dell’art. 3, comma 8, della L. 136/2010 e s.m.i. l’appaltatore che ha notizia dell’inadempimento della controparte (subappaltatore/subcontraente) agli obblighi della tracciabilità ne dà immediata comunicazione alla Stazione Appaltante ed alla Prefettura - ufficio territoriale del Governo della Provincia di Varese.
Ai sensi dell’art. 3, comma 9, della L. 136/2010 e s.m.i. il contratto di subappalto e i subcontratti stipulati con imprese a qualsiasi titolo interessate ai lavori, ai servizi e alle forniture dovranno riportare, a pena di nullità assoluta, apposita clausola con la quale il contraente e i sub contraenti attestino di ben conoscere ed assumere gli obblighi di tracciabilità finanziaria di cui alla L. 136/2010 e s.m.i.
Ai sensi dell’art. 3, comma 9-bis) della Legge n. 136/2010 e s.m.i. il contratto sarà risolto di diritto qualora le transazioni, inerenti e derivanti dal contratto stesso, siano eseguite senza avvalersi dello strumento del bonifico bancario o postale o di altri strumenti di pagamento idonei a consentire la piena tracciabilità delle operazioni.
7. Forza Maggiore
Nel caso di sospensione della fornitura del servizio, determinata da causa di forza maggiore in nessun modo imputabile a responsabilità, diretta o indiretta, del Fornitore e qualora detta sospensione sia comunicata e giustificata, non si procederà all’applicazione di penali in capo al Fornitore.
In ogni caso l’Amministrazione non sarà tenuta a pagare quanto corrisponde al valore della mancata fornitura.
8. Penali
In caso di inadempimento contrattuale, l’Amministrazione sarà legittimata ad applicare, a proprio insindacabile giudizio, le seguenti penali per ogni singolo inadempimento:
a) 1‰ dell’ammontare netto contrattuale per ogni giorno lavorativo di ritardo per la risoluzione di interruzioni del servizio SaaS secondo le tempistiche definite al successivo art. 23;
b) 0,5‰ dell’ammontare netto contrattuale per ogni giorno lavorativo di ritardo nell’applicazione degli aggiornamenti evolutivi del software, secondo le tempistiche definite al successivo art. 23;
Nei casi di inadempimenti diversi da quelli di cui ai precedenti punti a) e b), l’Amministrazione si riserva la facoltà di applicare penali di importo variabile calcolate in misura giornaliera compresa tra lo 0,3‰ e l’1‰ dell’ammontare netto contrattuale in ragione della gravità dell’inadempimento e per ogni giorno di permanenza dello stesso.
Per l’applicazione delle penali si procederà, innanzitutto, alla contestazione all’impresa dell’inadempimento contrattuale determinato dal mancato rispetto dello SLA, da parte del Responsabile del Procedimento, rivolgendosi alla sede legale o al domicilio eletto da quest’ultimo.
Entro il limite di tre giorni successivi alla data di detta comunicazione, l’impresa potrà presentare eventuali osservazioni; decorso il suddetto termine l’Amministrazione, nel caso non abbia ricevuto alcuna giustificazione oppure anche nel caso le avesse ricevute e non le ritenesse fondate procederà discrezionalmente all’applicazione delle penali e, in ogni caso, all’adozione di ogni determinazione ritenuta opportuna.
L’ammontare delle penali è addebitato sui crediti del Fornitore nei confronti dell’Ateneo; ovvero tramite emissione di note di credito da parte del Fornitore; ovvero riaccredito diretto in conto corrente. Qualora l’ammontare delle penali applicate dall’Amministrazione superi il 10% (dieci per cento) dell’importo messo a disposizione, la stessa Amministrazione potrà risolvere il proprio rapporto negoziale.
L’applicazione delle penali previste dal presente articolo non preclude il diritto dell’Amministrazione a richiedere il risarcimento degli eventuali maggiori danni.
9. Personale addetto e sicurezza
Ogni attività relativa al funzionamento del servizio deve essere svolta da personale professionalmente adeguato e qualificato ad operare nel rispetto delle specifiche norme di legge e con mezzi, attrezzature e materiali adeguati.
L’affidatario deve osservare le norme derivanti dall’applicazione del Contratto Collettivo Nazionale di Lavoro, nonché dalle vigenti normative in tema di prevenzione degli infortuni sul lavoro, di igiene del lavoro, di assicurazione contro gli infortuni sul lavoro e altre malattie professionali e ogni altra
disposizione in vigore o che potrà intervenire in corso di esercizio per la tutela dei lavoratori. L’Amministrazione è esplicitamente sollevata da ogni obbligo e/o responsabilità nei confronti di tutto il personale adibito dall’Appaltatore all’esecuzione delle attività relative al funzionamento del servizio affidato in gestione.
L’Appaltatore, all’avvio del servizio e ogni qual volta dovesse provvedere alla sostituzione di personale addetto al servizio, dovrà aggiornare nei tempi previsti dalla normativa in vigore, la documentazione relativa alle posizioni INPS ed INAIL.
In caso di inottemperanza agli obblighi sopra precisati, accertata dall’Amministrazione o a essa segnalata dall’Ispettorato del Lavoro, l’Amministrazione medesima potrà procedere alla risoluzione del contratto.
Si precisa che, con riferimento alle disposizioni contenute nella L. 123/2007 (secondo quanto previsto dalla determinazione dell’Autorità per la Vigilanza sui contratti pubblici di lavori, servizi e forniture 5 marzo 2008, n. 3), non sussistono rischi da interferenze che richiedono misure preventive e protettive supplementari rispetto a quelle misure di sicurezza, a carico dell’Impresa, connesse ai rischi derivanti dalle proprie attività. Nella base d’asta non sono pertanto computati gli oneri per la sicurezza non soggetti a ribasso derivanti da rischi specifici da interferenze.
Ai sensi dell’art. 26, comma 1, lettera b), del D. Lgs. 81/2008, l’Università degli Studi dell’Insubria fornisce le informazioni sui rischi esistenti negli ambienti in cui l’affidatario è destinato ad operare e sulle misure di prevenzione e di emergenza adottate in relazione all’attività dell’Ateneo, nel Regolamento per la predisposizione del DUVRI disponibile sul sito internet dell’Ateneo all’indirizzo xxxxx://xxx.xxxxxxxxxx.xx/xxxxxxx-x-xxxxxxxxxxx sezione “Regolamenti in tema di Lavori Servizi e Forniture”.
10. Subappalto
Non è ammesso il subappalto, ai sensi dell’art. 105 del D. Lgs. 50/2016 e s.m.i..
11. Divieto di cessione del contratto
Non è ammessa la cessione del contratto, in tutto o in parte a pena di nullità, ai sensi dell’art. 105, comma 1, del D. Lgs. 50/2016 e s.m.i.. In caso di inadempimento da parte dell’affidatario degli obblighi di cui sopra, l’Amministrazione, fermo restando il diritto al risarcimento del danno, ha facoltà di dichiarare risolto il contratto.
12. Risoluzione del contratto
Nel caso in cui sia rilevata una situazione di grave inadempimento, l’Amministrazione invierà all’affidatario, a mezzo PEC, diffida ad adempiere o a presentare le proprie controdeduzioni al Responsabile del Procedimento entro il termine di quindici giorni dalla ricezione.
Se l’affidatario non provvederà all’adempimento nel termine predetto ovvero il Responsabile del Procedimento valuti negativamente le controdeduzioni, la Stazione appaltante procederà alla risoluzione di diritto del contratto, ai sensi dell’art. 1454 c.c., fatta salva l’azione per il risarcimento del maggior danno subito compresa la maggior spesa sostenuta per affidare ad altra impresa il contratto ed ogni altra azione che l’Amministrazione ritenesse opportuno intraprendere a tutela dei propri interessi.
L’Università ha il diritto di risolvere il contratto ex art. 1456 c.c., mediante semplice PEC, senza bisogno di messa in mora o di intervento dell’Autorità Giudiziaria, nei seguenti casi:
− emanazione di un provvedimento definitivo che dispone l’applicazione di una o più misure di prevenzione di cui all’art. 6 del D. Lgs 159/2011;
− sentenza di condanna passata in giudicato per frodi nei riguardi della stazione appaltante, di subappaltatori, di fornitori, di lavoratori o di altri soggetti comunque interessati al contratto;
− violazione degli obblighi attinenti alla sicurezza sul lavoro;
− servizio eseguito con personale non regolarmente assunto o contrattualizzato;
− il mancato utilizzo da parte del Fornitore del conto corrente comunicato per i movimenti finanziari relativi al presente contratto, secondo quanto disposto dall’art. 3, comma 9-bis, della legge n. 136/2010.
13. Recesso
L’Amministrazione potrà recedere in qualunque momento dal contratto, anche se è stata iniziata l’esecuzione del servizio, tenendo indenne l’appaltatore delle spese sostenute, del servizio eseguito, oltre al decimo dell’importo dei servizi non eseguiti, ai sensi dell’art. 109 del D. Lgs 50/2016 e s.m.i. e dell’art. 1671 c.c.
Si precisa inoltre che, in base al comma 13 dell’articolo 1 del D.L. 95/2012, come convertito in Legge
n. 135/12, l’Università ha diritto di recedere in qualsiasi tempo dal presente contratto, previa formale comunicazione all’Appaltatore con preavviso non inferiore a quindici giorni e previo pagamento delle prestazioni già eseguite, oltre al decimo delle prestazioni non ancora eseguite, nel caso in cui, tenuto conto anche dell’importo dovuto per le prestazioni non ancora eseguite, i parametri delle convenzioni stipulate da Consip SpA ai sensi dell’articolo 26, comma 1, della legge 23 dicembre 1999, n. 488, successivamente alla stipula del presente contratto, siano migliorativi e l’Appaltatore non acconsenta ad una modifica delle condizioni economiche tale da rispettare il limite di cui all’articolo 26, comma 3 della legge 23 dicembre 1999, n. 488.
14. Fallimento dell’appaltatore
In caso di fallimento dell’appaltatore la Stazione appaltante si avvale, senza pregiudizio per ogni altro diritto e azione a tutela dei propri interessi, della procedura prevista dall’art. 110 del D. Lgs. 50/2016 e s.m.i.
15. Obblighi a carico dell’impresa
Il Fornitore deve:
- assumere su di sé ogni e qualsiasi responsabilità, sia in sede civile che penale, per danni che dovessero derivare per qualsiasi motivo, a persone e/cose derivanti dalle prestazioni inerenti il presente contratto, tenendo sollevata l’Amministrazione da ogni conseguenza diretta o indiretta;
- far osservare in modo scrupoloso al personale addetto ai servizi cui gli stessi sono assegnati il rispetto delle modalità di svolgimento dei servizi di cui alla II parte del presente Capitolato;
- informare gli operatori addetti circa eventuali doveri di riservatezza nell’espletamento del servizio;
- assicurare che nell’espletamento del servizio gli operatori addetti si astengano dal prendere visione delle pratiche d’ufficio, documenti, corrispondenza, nonché di qualsiasi altra informazione e/o dato personale soggetto a tutela, ai sensi del Regolamento UE 2016/679;
- ottemperare a tutti gli obblighi verso i propri dipendenti derivanti da disposizioni legislative e regolamentari vigenti in materia di contratti di lavoro ed eventuali integrativi, ivi compresi quelli in tema di igiene e sicurezza sui luoghi di lavoro, tutela dei lavoratori, nonché previdenza, assistenza e disciplina infortunistica, assumendo a proprio carico tutti i relativi oneri;
- allontanare dal servizio, su richiesta motivata dell’Amministrazione, i propri dipendenti o soci che abbiano tenuto un comportamento non consono, o che non siano ritenuti idonei a svolgere le mansioni assegnate;
- applicare la normativa in materia di tutela della salute e della sicurezza nei luoghi di lavoro di cui al D. Lgs. 81/2008 e preventivamente formare il proprio personale anche in materia di primo soccorso aziendale e di lotta antincendio.
- mantenere a proprio carico la responsabilità e gli oneri per qualsiasi sanzione amministrativa che dovesse insorgere durante la fase di esecuzione del contratto.
L’inosservanza degli obblighi previsti dal presente articolo è causa di risoluzione del contratto a insindacabile giudizio dell’Amministrazione e fa sorgere il diritto per l’Ente al risarcimento di ogni conseguente maggiore danno.
16. Garanzie definitive
Trattandosi di appalto inferiore a € 40.000,00 non è necessaria la costituzione di una cauzione definitiva a garanzia dell’adempimento di tutte le obbligazioni del contratto.
17. Tutela della privacy e trattamento dei dati
Il Fornitore ha l’obbligo di trattare i dati personali di cui verrà a conoscenza nell’esecuzione del contratto in qualità di “Responsabile”, e ai sensi del D. Lgs. 196/2003 assicurando il rispetto di tutte le prescrizioni di legge e con gli obblighi civili e penali conseguenti. Il Fornitore sarà nominato “Responsabile esterno del trattamento dei dati” successivamente alla stipula del contratto.
L’Amministrazione tratta i dati ad essa forniti esclusivamente per la gestione dell’appalto e per la sua esecuzione, per l’adempimento degli obblighi legali ad esso connessi, nonché per fini di studio, statistici e gestionali.
a) Oggetto trattamento dei dati
Lo scopo del presente articolo è definire le condizioni alle quali l’affidatario si impegna a svolgere per conto del Committente titolare del trattamento le operazioni di trattamento dei dati personali definite di seguito.
Nell’ambito dei loro rapporti contrattuali, le parti si impegnano a rispettare i regolamenti in vigore applicabili al trattamento dei dati personali e, in particolare, il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 applicabile dal 25 maggio 2018 (di seguito “Regolamento Europeo sulla Protezione dei Dati”) e normativa nazionale di riferimento laddove applicabile.
b) Descrizione del trattamento
La ditta affidataria del servizio è autorizzata ad elaborare per conto del Committente i dati personali necessari per fornire i servizi descritti nel capitolato speciale d’appalto relativi all’erogazione, in modalità Software-as-a-Service, del servizio di consultazione da remoto delle risorse elettroniche di Ateneo EZProxy® o soluzione equivalente e servizi gestionali connessi. A riguardo si precisa quanto segue:
1. Durata del trattamento: è pari alla durata del contratto.
2. Finalità del trattamento: sono esclusivamente quelle necessarie all’espletamento dei servizi descritti nel presente capitolato.
3. Natura del trattamento: il trattamento dei dati personali dovrà avvenire, mediante strumenti manuali, informatici e telematici, con logiche strettamente collegate alle finalità sopra descritte e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati stessi.
4. Tipo di dati personali: sono tutti e soli i dati necessari all’esecuzione del servizio, in particolare si
tratta del dato di contatto casella di posta elettronica istituzionale (che corrisponde al nome utente) e dati di navigazione degli utenti istituzionali.
5. Categorie di interessati: docenti, personale tecnico-amministrativo e studenti dell’Ateneo.
c) Obbligazioni dell’affidatario nei confronti dell’Università
L’affidatario si impegna a:
1. Elaborare i dati solo per gli scopi che sono oggetto dell’appalto;
2. Elaborare i dati in conformità con le istruzioni documentate dell’Ateneo come descritti nel presente capitolato. Qualora l’affidatario ritiene che un’istruzione costituisca una violazione del regolamento europeo sulla protezione dei dati o di qualsiasi altra disposizione del diritto dell’Unione o della legge sulla protezione dei dati degli Stati membri, informa immediatamente l’ente. Inoltre, se l’affidatario è tenuto a trasferire dati verso un paese terzo o verso un’organizzazione internazionale, ai sensi del diritto dell’Unione o del diritto dello Stato membro a cui è soggetto, deve informare il Responsabile del trattamento di questo obbligo legale prima del trattamento.
3. Garantire la riservatezza dei dati personali trattati nell’ambito del presente contratto.
4. Assicurare che le persone autorizzate a trattare i dati personali nell’ambito del presente contratto:
- si impegnino a rispettare la riservatezza o ad essere soggette ad un vincolo contrattuale di riservatezza;
- ricevere la formazione necessaria sulla protezione dei dati personali;
5. Prendere in considerazione, per quanto riguarda i propri strumenti, prodotti, applicazioni o servizi, i principi di protezione dei dati fin dall’inizio e la protezione dei dati di design e di default.
d) Diritto di informazione delle persone interessate
L’affidatario, al momento della raccolta dei dati, deve fornire alle persone interessate dalle operazioni di trattamento le informazioni relative al trattamento dei dati che esegue. La formulazione e il formato delle informazioni devono essere concordati con il titolare del trattamento della committenza prima della raccolta dei dati.
e) Esercizio dei diritti delle persone interessate
L’affidatario assiste il committente, nella misura in cui ciò sia possibile, per l’adempimento dell’obbligo di rispondere alle richieste di esercizio dei diritti dell’interessato: diritto di accesso, rettifica, cancellazione e opposizione, diritto alla limitazione del trattamento, diritto a portabilità dei dati, diritto di non essere soggetto ad una decisione individuale automatizzata (inclusa la profilazione).
Qualora gli interessati sottopongano al Responsabile richieste per l’esercizio dei loro diritti, l’affidatario deve inoltrare tali richieste al Responsabile della protezione dei dati dell’Ateneo.
f) Notifica di violazione dei dati personali
L’affidatario comunica all’Ateneo qualsiasi violazione dei dati personali entro e non oltre 8 ore dopo esserne venuto a conoscenza e a mezzo PEC. Tale notifica deve essere inviata insieme a tutta la documentazione necessaria per consentire all’Ateneo ove necessario, di notificare tale violazione all’autorità di vigilanza competente.
g) Assistenza prestata dall’affidatario all’Ateneo per l’adempimenti dei suoi obblighi L’affidatario assiste gli enti committenti nello svolgimento delle valutazioni d’impatto sulla protezione dei dati. L’affidatario assiste gli enti committenti in merito ad eventuali preventive consultazioni del Garante della Privacy.
h) Misure di sicurezza
L’affidatario dovrà impegnarsi ad attuare misure minime di sicurezza con particolare riferimento alle misure tecniche e organizzative appropriate per garantire un livello di sicurezza appropriato al rischio e al riguardo. In particolare, dovrà essere garantita la capacità di garantire la riservatezza, l’integrità, la disponibilità e la resilienza di sistemi e servizi di elaborazione nonché la possibilità di ripristinare la
disponibilità e l’accesso ai dati personali in modo tempestivo nel caso di eventi che comportino un incidente fisico o tecnico;
i) Destino dei dati
Al termine della prestazione relativa al trattamento di tali dati, l’affidatario si impegna in base e ad espressa indicazione dell’Università e nel rispetto delle leggi vigenti in materia di conservazione alla distruzione dei dati personali.
Una volta distrutto, l’affidatario deve dimostrare, per iscritto, che tale distruzione è avvenuta.
j) Responsabile della protezione dei dati
Il Responsabile della protezione dei dati dell’Università degli Studi dell’Insubria, designato ai sensi dell’art. 37 del Regolamento (UE) 2016/679, è l’Avv. Xxxxxxxx Xxxxxxx, e-mail xxxxxxx@xxxxxxxxxx.xx.
k) Registro delle categorie di attività di trattamento
L’affidatario all’atto della stipula dovrà dichiarare di conservare una registrazione scritta di tutte le categorie di attività di trattamento svolte per conto dell’Università, contenente:
- il nome e i dati di contatto del titolare del trattamento dell’aggiudicatario per conto del quale agisce il Responsabile del trattamento e del Responsabile della protezione dei dati dell’aggiudicatario;
- eventuali trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione di tale paese terzo o organizzazione internazionale e, nel caso di trasferimenti di cui all’articolo 49, paragrafo 1, secondo comma, del Regolamento (UE) 2016/679, la documentazione di adeguate garanzie. Tale dichiarazione dovrà essere aggiornata in corso di vigenza contrattuale in caso di variazione.
l) Documentazione
L’affidatario fornisce all’Università tutta la documentazione necessaria per dimostrare la conformità a tutti i suoi obblighi.
m) Obblighi del controllore rispetto al processore
L’Università si impegna a:
1. fornire all’affidatario i dati di cui al presente documento
2. documentare, per iscritto, tutte le istruzioni relative al trattamento dei dati da parte dell’affidatario
3. assicurare, prima e durante il processo, il rispetto degli obblighi previsti dal regolamento generale sulla protezione dei dati da parte del Fornitore.
4. Supervisionare il trattamento, anche effettuando audit e ispezioni con l’affidatario.
n) Adeguamenti alla normativa privacy. Obblighi
L’Università si riserva di adeguare le clausole contenute nel presente capitolato al modello di atto giuridico e o clausole tipo predisposte dalla Commissione UE o da un’autorità di controllo per la disciplina del trattamento dei dati.
18. Proprietà dei dati
Tutti i diritti, i titoli e gli interessi relativi alla totalità dei dati conferiti nell’esecuzione, in modalità Software-as-a-Service, del servizio di consultazione da remoto delle risorse elettroniche di Ateneo EZProxy® o soluzione equivalente e servizi gestionali connessi, rimangono in capo all’Università degli Studi dell’Insubria.
Resta inteso che tutti i diritti, i titoli e gli interessi, tra cui, senza limitazione alcuna, i diritti di brevetto, i diritti d'autore, il segreto industriale, i marchi registrati, i marchi di servizio ed eventuali altri diritti d'uso della proprietà intellettuale, oltre a eventuali valori di avviamento ad essi associati, la documentazione connessa con il servizio, in modalità Software-as-a-Service, per la consultazione da remoto delle risorse elettroniche di Ateneo EZProxy® o soluzione equivalente e servizi gestionali connessi, oggetto della fornitura e i dati di proprietà di terze parti resi disponibili nell’esecuzione del
servizio sono e saranno di proprietà esclusiva dell’affidatario.
19. Controversie e foro competente
Qualunque contestazione dovesse eventualmente sorgere nel corso dell’esecuzione contratto, non si ammetterà alcun diritto in capo all’Appaltatore di sospendere unilateralmente il servizio, né di procedere alla riduzione o alla modificazione del medesimo.
La definizione di tutte le controversie derivanti dall’esecuzione del contratto è devoluta all’autorità giudiziaria competente presso il Foro di Varese ed è esclusa la competenza arbitrale. Ai sensi dell’art. 209, comma 2, del D. Lgs. 50/2016 e s.m.i. si dichiara che il contratto conseguente all’aggiudicazione definitiva non conterrà clausola compromissoria.
L’organo che decide sulla controversia decide anche in ordine all’entità delle spese di giudizio e alla loro imputazione alle parti, in relazione agli importi accertati, al numero e alla complessità delle questioni.
20. Informativa sull’applicazione della normativa in tema di prevenzione della corruzione L'Università degli Studi dell’Insubria, in attuazione della Legge 6 novembre 2012 n. 190, recante Disposizioni per la prevenzione e la repressione della corruzione e dell'illegalità nella pubblica amministrazione, ha
adottato il proprio Piano Triennale per la prevenzione della corruzione e nominato il Responsabile
per la prevenzione della corruzione.
Il Piano Triennale è pubblicato sul sito dell'Ateneo xxx.xxxxxxxxxx.xx, alla pagina
xxxxx://xxx.xxxxxxxxxx.xx/xxxxxxxxxxxxxxx-xxxxxxxxxxx/xxxxx-xxxxxxxxx/xxxxxxxxxxx- della-corruzione
Eventuali segnalazioni relative ad anomalie riscontrate nell'espletamento della procedura di cui al presente bando possono essere inviate all'indirizzo xxxxxxxxxxxxxx@xxxxxxxxxx.xx
II – CARATTERISTICHE DEI SERVIZI
21. Disposizioni sull’esecuzione ed erogazione dei servizi
La funzionalità del servizio che si intende acquisire consiste nel rendere disponibile, in modalità Software-as-a-Service, un servizio di consultazione da remoto delle risorse elettroniche di Ateneo EZProxy® o soluzione equivalente e servizi gestionali connessi.
Il servizio dovrà essere reso disponibile secondo le seguenti specifiche modalità e obblighi in capo all’affidatario. Nello specifico, esso dovrà garantire:
− la capacità di interfacciarsi con i sistemi di autenticazione di Ateneo. A tale scopo l’Ateno fornirà l’accesso al proprio sistema di autenticazione, ma sarà a carico del Fornitore la configurazione del servizio;
− l’installazione degli aggiornamenti e degli upgrade a nuove versioni del software;
− la predisposizione delle statistiche mensili di utilizzo dell’applicativo. Le statistiche dovranno essere rese disponibili entro la prima settimana del mese successivo a cui le stesse si riferiscono;
− la configurazione dell’interfaccia utente per l’accesso al servizio;
− la configurazione e l’aggiornamento dell’applicativo al fine di garantire l’accesso alle risorse elettroniche sottoscritte dall’Ateneo da postazioni esterne alla propria rete dati;
− la possibilità di modificare la configurazione esistente aggiungendo o rimuovendo configurazioni delle risorse che potranno essere sottoscritte o interrotte dall’Ateneo, durante il periodo di validità del contratto e senza limitazione di quantità.
22. Requisiti tecnici
Caratteristiche dell’applicazione.
1. Il sistema dovrà essere utilizzabile mediante interfaccia web esclusivamente con protocollo
https;
2. Deve essere garantita la compatibilità con i browser più diffusi (FireFox, Chrome, Internet Explorer, Edge) nelle versioni aggiornate;
3. L’accesso al sistema da parte degli utilizzatori deve essere effettuabile esclusivamente in modalità autenticata e devono essere archiviati e monitorati i log di accesso alle risorse con l’indicazione del nome utente e dell’intervallo di tempo in cui questi hanno utilizzato il servizio;
4. La soluzione deve garantire la conformità con la Legge 9 gennaio 2004, n. 4 recante Disposizioni per favorire l'accesso dei soggetti disabili agli strumenti informatici;
5. La soluzione deve garantire la conformità al Regolamento generale sulla protezione dei dati (GDPR General Data Protection Regulation) Regolamento UE 2016/679;
6. La soluzione deve garantire conformità con le Misure Minime per la sicurezza informatica della PA definite dalla circolare Agenzia per l’Italia Digitale – AgID, 18 aprile 2017, n. 2;
7. La soluzione deve garantire l’integrazione con sistemi di autenticazione basati su protocollo SAML2/Shibboleth e/o LDAPs e/o Active Directory: sono parte integrante delle attività di gestione, da parte del Fornitore, gli adeguamenti eventualmente necessari, durante il periodo di vigenza contrattuale, per l’interfacciamento con il sistema di autenticazione dell’Ateneo;
8. Le richieste di modifica della configurazione esistente, di riconfigurazione o ed ogni altra eventuale comunicazione, dovrà avvenire mediante un sistema di ticketing che il Fornitore dovrà mettere a disposizione dell’Ateneo.
23. Livelli di servizio (Service Level Agreement)
La fornitura dovrà prevedere e garantire i seguenti livelli di servizio:
− il servizio dovrà, di norma, essere attivo H24 7 giorni su 7. In caso di problematiche inerenti il servizio, la percentuale di uptime annuale non potrà comunque essere inferiore al 97%;
− Ai fini della determinazione della percentuale di uptime annuale, nel calcolo non verranno considerate le seguenti casistiche:
− Interruzione programmata;
− Indisponibilità del servizio attribuibile a:
o cause fuori dal ragionevole controllo del Fornitore incluso qualsiasi evento di Forza Maggiore o dalla prestazione da parte di qualsiasi Fornitore di servizi di
comunicazione o di servizi Internet;
o qualsiasi azione od omissione da parte dell’Amministrazione o dei suoi utenti autorizzati o di qualsiasi terza parte che agisca per conto loro, o sull’attrezzatura, o sul
software o altra tecnologia di qualsiasi terza parte compresa, senza limitazione alcuna, che causi l’indisponibilità del servizio SaaS;
o separate occasioni di indisponibilità del Servizio Saas di meno di 5 (cinque) minuti di
durata ciascuna;
− il servizio dovrà prevedere l'invio di alert attraverso messaggi di posta elettronica per eventi critici o malfunzionamento dell’infrastruttura da cui il servizio è erogato, entro 15 minuti dal verificarsi dell'evento;
− il Fornitore dovrà garantire l'applicazione di aggiornamenti evolutivi del software non appena questi vengono rilasciati e comunque entro e non oltre 5 giorni lavorativi dal loro rilascio;
− il Fornitore dovrà garantire l'applicazione delle patch di sicurezza del software non appena queste vengono rilasciate e non oltre 5 giorni lavorativi dal loro rilascio;
− il Fornitore dovrà conservare, secondo la normativa vigente, e garantire l’accesso ai log da parte dell’Università H24 7 giorni su 7;
− il Fornitore dovrà inserire, modificare o cancellare la risorsa dalle proprie configurazioni entro 3 giorni lavorativi dalla data di richiesta da parte dell’Università e che trova riscontro nel sistema di ticketing che il Fornitore dovrà mettere a disposizione.
Di seguito vengono descritti gli eventi ed i tempi di risposta minimi relative ad alcune problematiche:
− Servizio SaaS non disponibile: tempo di risoluzione entro 2 ore dalla data di segnalazione dell’evento.
− Applicazione degli aggiornamenti evolutivi: entro 5 giorni lavorativi dal loro rilascio.
− Applicazione delle patch di sicurezza: entro 5 giorni lavorativi dal loro rilascio.
24. Servizi di supporto in caso di interruzione o cessazione del contratto
Il Fornitore si impegna, senza costi aggiuntivi, in caso di interruzione del rapporto, a fornire una copia completa dell’immagine del server utilizzabile dall’Amministrazione. L’immagine dovrà contenere tutto quanto necessario a rendere immediatamente fruibile il servizio al fine di ridurre al minimo il periodo di interruzione. Il formato di esportazione sarà comunicato al Fornitore dopo che l’Amministrazione abbia verificato, all’interno della propria architettura, la destinazione del servizio. L’immagine dovrà essere fornita entro 5 giorni dalla data di interruzione del contratto.
Il Fornitore è inoltre tenuto, salvo nei casi previsti dalla legge, alla cessazione del contratto e dopo la conclusione delle operazioni di esportazione dei dati, a cancellare dalla piattaforma tutti i dati di proprietà dell’Università e fornire in forma scritta comunicazione dell’avvenuta cancellazione.