Accordo di servizio DAX Conservazione a norma di Regione Toscana
Accordo di servizio DAX Conservazione a norma di Regione Toscana
INDICE DEL DOCUMENTO
1 GLOSSARIO...................................................................................................................
2 OGGETTO E CONDIZIONI DI UTILIZZO.......................................................................
2.1 Oggetto..........................................................................................................................................
2.2 Durata dell’accordo........................................................................................................................
2.3 Condizioni di utilizzo......................................................................................................................
2.4 Caratteristica del servizio...............................................................................................................
2.5 Data Center....................................................................................................................................
2.6 Application Management................................................................................................................
2.7 Obblighi del soggetto aderente......................................................................................................
2.8 Obblighi di Regione Toscana.........................................................................................................
3 EROGAZIONE/FRUIZIONE DEL SERVIZIO.................................................................
3.1 Livelli di servizio.............................................................................................................................
3.2 Requisiti.........................................................................................................................................
3.3 Connettività....................................................................................................................................
4 SICUREZZA E RISERVATEZZA 10
4.1 Accessi al sistema 10
4.2 Riservatezza e disciplina della proprietà intellettuale 10
4.3 Trattamento dei dati personali 10
4.4 Atto di affidamento 11
4.5 Gestione incidenti e richieste degli interessati 12
4.6 Diritto di audit 12
4.7 Appalto 12
4.8 Diritti degli interessati 12
4.9 Comunicazione dei dati 13
4.10 Processo di gestione delle credenziali, delle utenze e delle autorizzazioni 13
4.10.1 Classi di utenza..................................................................................................................................
4.10.2 Processo di gestione delle utenze e delle autorizzazioni...................................................................
4.10.3 Meccanismi di sicurezza per la gestione delle utenze.......................................................................
4.10.4 Log dell’uso delle utenze....................................................................................................................
4.11 Regolamento per l’uso del servizio di conservazione 16
4.12 Gestione degli incidenti 17
4.12.1 Segnalazione di incidente...................................................................................................................
4.12.2 Trattamento degli incidenti di sicurezza informatica...........................................................................
4.12.3 Rapporto sugli incidenti di sicurezza..................................................................................................
4.12.4 Comunicazioni relative a violazioni di dati personali (data breach)....................................................
4.12.5 Raccolta di prove................................................................................................................................
4.12.6 Caso specifico di compromissione di credenziali...............................................................................
5 RESPONSABILITÀ 19
5.1 Responsabilità del Soggetto aderente/produttore 19
5.2 Responsabilità di Regione Toscana 19
6 RISOLUZIONE DELL’ACCORDO E RESTITUZIONE DEL CORPO DOCUMENTALE 20
6.1 Risoluzione 20
6.2 Restituzione 20
6.3 Cessazione delle operazioni di conservazione 20
7 CLAUSOLE FINALI 21
7.1 Comunicazioni 21
7.2 Norme applicabili 21
7.3 Foro competente 21
1 GLOSSARIO
Obiettivo di questo glossario è quello di definire il significato con il quale alcuni termini “chiave” ricorrenti saranno utilizzati all’interno del presente documento.
Glossario dei termini e Acronimi | |
Servizio DAX | La soluzione di Regione Toscana per la conservazione digitale a norma |
Piattaforma “DigiDoc” | L’insieme dei servizi informatici e dei prodotti software forniti in modalità A.S.P. (Application Service Provider) in favore del soggetto aderente/produttore, che consentono a quest’ultimo la fruizione dei servizi richiesti nell’ambito della soluzione DAX |
Soggetto aderente | Il soggetto che richiede, per sé o per conto di un terzo soggetto “produttore”, l’attivazione, del servizio “DAX”, identificato in base a quanto riportato nella Richiesta di Attivazione, il quale con la sottoscrizione della stessa accetta espressamente le condizioni di erogazione del servizio ai sensi del presente accordo e dei suoi Allegati; (nel caso specifico è l’Ente che aderisce al servizio offerto da Regione Toscana, attraverso l’adesione al Contratto Aperto) |
Soggetto produttore | Il Soggetto che, avvalendosi del Soggetto Aderente al servizio offerto da Regione Toscana, previa autorizzazione e individuazione della stessa quale conservatore e, ai sensi dell’art. 6, co. 8, D.P.C.M. 3 dicembre 2013, quale Responsabile del trattamento dei dati, conferisce i dati oggetto del servizio di Conservazione. La figura del “Soggetto Produttore coincide con la figura del “Soggetto Aderente” nel caso in cui i dati oggetto del servizio siano prodotti dallo stesso soggetto. Il rapporto del soggetto aderente col soggetto produttore deve essere previsto dalla Legge, dallo statuto o da specifici accordi convenzionali (cfr. |
xxxx://xxx.xxxx.xxx.xx/xxxxx/xxxxxxx/xxxxx/xxxxxxxxxxxxxx/xx _digidoc_manualedellaconservazione-20160208.pdf). | |
Documentazione tecnica | I documenti contenenti le specifiche, i requisiti tecnici ed operativi nonché le modalità di erogazione del servizio “DAX”. Tali documenti, la cui versione standard è accessibile su xxx.xxxxxxx.xxxxxxx.xx/xxxxxxxxxxxxxx nella sezione relativa alla Infrastrutture e piattaforme di servizio ed alla pagina dedicata a DAX, sono a disposizione, come specifiche tecniche dell’accordo di servizio, dei soggetti produttori i quali li potranno utilizzare e declinare per l’attivazione della piattaforma. |
Manuale della conservazione | Il documento contenente la descrizione delle modalità, dei requisiti di utilizzo, delle condizioni di accesso e delle funzionalità del servizio di conservazione dei documenti inviati tramite il servizio “DAX” |
Soggetto affidatario/gestore pro-tempore | Il soggetto o i soggetti a cui Regione Toscana ha affidato, in un certo momento l’erogazione del servizio “DAX” attraverso la piattaforma “DigiDoc”. |
2 OGGETTO E CONDIZIONI DI UTILIZZO
2.1 Oggetto
Il presente accordo è funzionale a definire i termini con cui Regione Toscana erogherà al soggetto aderente, e/o per suo tramite ad uno o più soggetti produttori, i servizi di conservazione digitale a norma “DAX” tramite la piattaforma denominata “DigiDoc”.
Il rapporto del soggetto aderente col produttore dovrà essere legittimato dalla Legge, dallo statuto e/o da specifici accordi convenzionali. La previsione dei soggetti produttori nel presente accordo è finalizzata a valorizzare le forme associative degli Enti Locali e la Città Metropolitana di Firenze, consentendo agli Enti di piccola dimensione di avvalersi di competenze specifiche relativamente alla conservazione digitale, spesso assenti nel loro contesto organizzativo, nonché l’ottimizzazione delle risorse economiche pubbliche nell’accesso alla contrattazione aperta regionale.
L’accordo stabilisce obblighi e responsabilità delle parti relativamente alla conservazione digitale a norma, ed integra e raccorda i rapporti contrattuali tra la ditta affidataria pro-tempore della gestione del servizio “DAX” e Regione Toscana, e tra la ditta affidataria e i soggetti aderenti e/o produttori attraverso lo strumento regionale dei contratti aperti.
L’accordo di servizio lascia alla capacità negoziale e alla potestà regolamentare dei singoli Enti locali piena discrezionalità nella definizione dei propri rapporti, anche riguardo alla modalità diretta o mediata di adesione alla contrattazione aperta regionale. Gli atti negoziali tra soggetti produttori e soggetto aderente dovranno tenere conto degli impegni assunti dal soggetto aderente con Regione Toscana nel presente accordo di servizio.
L’accordo garantisce inoltre la salvaguardia dei documenti e dei relativi metadati posti in conservazione dal soggetto produttore che decida, pur restando fruitore del servizio “DAX”, di modificare la propria posizione riguardo all’accesso autonomo o mediato da un qualsiasi soggetto aderente all’accordo di servizio.
Il servizio di conservazione a norma viene erogato in favore del soggetto aderente, e per suo tramite agli eventuali soggetti produttori, in modalità ASP.
Il servizio prevede l’esecuzione del processo di conservazione dei documenti inviati dal soggetto aderente o dai soggetti produttori attraverso il soggetto aderente, ovvero la conservazione digitale, la restituzione per la consultazione o l’esibizione dei documenti a fini di accesso o per scopi storici, erogati in base al manuale di conservazione - redatto da Regione Toscana e verificato dalla Soprintendenza Archivistica competente per quanto concerne il rispetto della normativa sulla tutela degli archivi e dei singoli documenti come beni culturali - e sulla base della “documentazione tecnica”, concordata tra le parti.
La “documentazione tecnica” definisce le specifiche operative e le modalità di descrizione e di versamento nel sistema di conservazione digitale delle tipologie di documenti oggetto di conservazione. Essa è composta da una parte standard “di riferimento” pubblicata dalla Regione alla url xxxx://xxx.xxxxxxx.xxxxxxx.xx/xxxxxxxxxxxxxx nella sezione dedicata alle Infrastrutture e Piattaforme di servizio. E’ redatta a cura dei referenti e responsabili di riferimento delle Parti per l’erogazione dei servizi per le diverse tipologie di documenti, indicati in esso. Potrà essere aggiornata in caso di modifiche nelle modalità di erogazione dei servizi, e a seguito di eventuali modifiche normative. Regione Toscana si impegna a comunicare tempestivamente al Soggetto aderente ogni aggiornamento delle specifiche tecniche. Il Soggetto Aderente si impegna ad adeguarsi alle modifiche intervenute entro 60 giorni dalla comunicazione, ovvero in un tempo tecnicamente congruo concordato con Regione Toscana.
Dal servizio viene garantita la restituzione in ogni momento dei documenti trasferiti e conservati e delle relative evidenze informatiche che comprovano la corretta conservazione degli stessi, fornendo gli elementi necessari per valutare l’autenticità e la validità giuridica degli stessi.
Regione Toscana si impegna ad adeguare il servizio di conservazione alle future modifiche normative.
Il servizio di conservazione è finalizzato alla conservazione dei documenti informatici e delle loro aggregazioni documentali con i metadati ad essi associati, garantendo il mantenimento nel tempo delle caratteristiche di autenticità, integrità, affidabilità, leggibilità, reperibilità, accessibilità, riproducibilità e intelligibilità all’interno del contesto proprio di produzione e archiviazione e preservando il vincolo originario per mantenere l’archivio nella sua organicità.
Regione Toscana, tramite il servizio “DAX”, garantisce la gestione e l’accesso agli oggetti conservati secondo le norme vigenti in tema di tutela dei beni culturali e dei dati personali, garantendo l’effettiva attuazione di eventuali procedure di selezione e scarto predisposte dall’Ente produttore e approvate dalla Soprintendenza archivistica competente.
Resta inteso che le comunicazioni previste dalla vigente normativa, relativamente al luogo di conservazione documentale ed eventuali variazioni dello stesso, resteranno un obbligo dei soggetti aderenti e produttori. Altresì, resta inteso che le eventuali operazioni di selezione e scarto della documentazione sono interamente imputate alla responsabilità del soggetto aderente o produttore. Il servizio fornisce solo il supporto per l’elaborazione di una lista di fascicoli/documenti da inviare allo scarto. Il soggetto aderente o produttore pertanto dovrà provvedere ad inserire ed eventualmente editare fra i metadati del pacchetto di archiviazione i tempi di conservazione dei fascicoli/documenti
(in caso di mancata indicazione, la conservazione si intende illimitata), di gestire di conseguenza l'intera procedura di scarto per tutte le fasi successive per ottenere le dovute approvazioni, di comunicare ufficialmente e formalmente al servizio la lista dei documenti che hanno avuto autorizzazione all'eliminazione (inviando anche copia del documento di autorizzazione allo scarto), liberando il proprietario o il soggetto affidatario del servizio da eventuali responsabilità in relazione alla distruzione dei file. Il servizio procederà a ratificare al Soggetto aderente l'avvenuta eliminazione attraverso un documento di "avvenuta distruzione".
2.2 Durata dell’accordo
Il presente accordo di servizio ha durata stabilita in tre anni dalla stipula, con possibilità di rinnovo al termine attraverso accordo scritto fra le parti.
2.3 Condizioni di utilizzo
Con l’accettazione di questo accordo il soggetto aderente acquisisce per sé e per i soggetti produttori ad esso legittimamente afferenti il diritto non esclusivo e non trasferibile di utilizzare il servizio sino al recesso di una delle parti.
Il presente accordo non può prescindere dai termini contrattuali stabiliti tra il gestore pro-tempore del servizio di conservazione digitale “DAX”, Regione Toscana e, attraverso la previsione dei contratti aperti, il soggetto aderente. L’esclusione del soggetto aderente dal diritto di fruire dei servizi appaltati da Regione Toscana, porta alla conseguente estinzione anche di questo accordo per recesso implicito del soggetto aderente.
L’utilizzo del servizio dovrà essere conforme a quanto indicato nella documentazione tecnica. In considerazione delle caratteristiche tecnologiche con cui viene erogato il servizio, che ne consentono l’utilizzo unicamente tramite accesso remoto dai terminali del Soggetto aderente, quest’ultimo prende atto dell’impossibilità di usufruire dello stesso in mancanza della connettività adeguata a tal fine, obbligandosi pertanto a dotarsi autonomamente del collegamento al servizio attraverso una rete di telecomunicazioni.
I diritti di proprietà intellettuale, i marchi e le soluzioni tecnologiche relativi al servizio sono e rimangono di titolarità di Regione Toscana. Il soggetto aderente non può copiare, decompilare, disassemblare, modificare, dare in locazione, in leasing e/o in prestito, distribuire o trasmettere in rete la piattaforma tramite la quale viene erogato il servizio. Fatti salvi i casi previsti dalla legge, il soggetto aderente non ha facoltà di trasferire ad altro soggetto il presente accordo o i diritti dallo stesso derivanti. Il soggetto aderente non potrà in alcun modo, salvo apposito accordo scritto con Regione Toscana, acquisire il servizio al fine di cederlo a terzi.
2.4 Caratteristica del servizio
Il servizio garantisce, secondo le modalità ed alle condizioni previste nella documentazione tecnica e nel manuale della conservazione, la gestione informatizzata del processo di conservazione a norma.
Per poter usufruire del servizio, in conformità a quanto previsto nel presente accordo e nei relativi allegati, il soggetto aderente deve autonomamente dotarsi degli strumenti (hardware, software di base, connettività) necessari all’utilizzo dello stesso, che rispettino le caratteristiche minime indicate nella documentazione tecnica.
2.5 Data Center
Presso il Data Center Regionale “TIX” sono attualmente collocate le risorse hardware e software predisposte da Regione Toscana e necessarie per l’erogazione del servizio.
Il Data Center Regionale è organizzato e amministrato nel rispetto delle applicabili norme legislative sulle misure di sicurezza e fornito di appositi sistemi di protezione logica e fisica al fine di impedire accessi non autorizzati. Le regole di sicurezza potranno essere modificate autonomamente da Regione Toscana al fine di garantirne la conformità alla normativa tempo per tempo applicabile in materia.
2.6 Application Management
Regione Toscana, attraverso l’interazione con l’affidatario pro-tempore del servizio di gestione e manutenzione della piattaforma “DigiDoc”, provvederà, secondo i vincoli contrattuali, all’adeguamento del servizio “DAX” per esigenze di carattere tecnico e normativo, dandone preventiva comunicazione, qualora dette modifiche impattino sui livelli di servizio, tramite posta elettronica certificata ed e-mail standard al soggetto aderente, che si impegna ad adeguare, entro un tempo ragionevole,. le caratteristiche dei propri sistemi e strumentazione alle modifiche indicate.
La manutenzione è articolata in correttiva, adattiva ed evolutiva
La manutenzione correttiva comprende gli interventi sulla piattaforma “DigiDoc” effettuati dall’affidatario al fine di correggere malfunzionamenti o errori del programma (bug), sulla base dei test e delle segnalazioni ricevute da Regione Toscana, dai soggetti aderenti e produttori
La manutenzione adattativa comprende tutti gli interventi sulla piattaforma “DigiDoc” effettuati dall’affidatario volti a consentirne l’interfacciamento e l’interoperabilità con altri programmi per elaboratore, piattaforme software e sistemi operativi diversi rispetto a quelli testati in fase di collaudo, anche sulla base delle segnalazioni ricevute da Regione Toscana, dai soggetti aderenti e produttori. Con il servizio di manutenzione adattativa, ad esempio, la piattaforma “DigiDoc” potrà essere modificata per consentirne l’utilizzo con versioni successive di sistemi operativi e l’interoperabilità con nuovi programmi per elaboratore.
La manutenzione evolutiva comprende tutti gli interventi sulla piattaforma “DigiDoc” effettuati dall’affidatario al fine di migliorarne il funzionamento e l’usabilità, aggiungere nuove funzioni e caratteristiche, adeguarlo all’evoluzione normativa e del contesto di riferimento e, di norma, viene fornita attraverso il rilascio di nuove versioni.
2.7 Obblighi del soggetto aderente
Il soggetto aderente si impegna a dotarsi di tutti i requisiti necessari per l’accesso al servizio come meglio specificati nella documentazione tecnica.
Il soggetto aderente, inoltre, si obbliga ad osservare la massima diligenza nell’utilizzo del servizio e nella conservazione e protezione delle credenziali di autenticazione.
Nel caso in cui il soggetto aderente richieda l’attivazione del servizio per conto di un soggetto produttore, esso è tenuto a inoltrare la richiesta di attivazione da esso ricevuta a Regione Toscana
mediante sistema di interoperabilità di protocollo. Il soggetto produttore sarà quindi impegnato nel rispetto dei medesimi obblighi del soggetto aderente, per quanto relativo all'utilizzo del servizio.
2.8 Obblighi di Regione Toscana
Regione Toscana garantisce che il servizio “DAX” funzionerà in conformità a quanto previsto dalla normativa, dal presente accordo, dalla documentazione tecnica e dal manuale della conservazione, non fornendo alcuna diversa ed ulteriore garanzia rispetto a quanto ivi stabilito.
Regione Toscana garantirà sul data center risorse sufficienti a erogare il servizio con i livelli qualitativi inseriti nella documentazione tecnica a tutti i soggetti aderenti e produttori che avranno chiesto di utilizzare il servizio di conservazione a norma denominato “DAX”.
Regione Toscana si impegna inoltre a garantire al soggetto aderente ed ai soggetti produttori la continuità nell’erogazione del servizio anche in caso di scadenza naturale o risoluzione del contratto aperto col soggetto gestore pro-tempore.
Il servizio verrà costantemente adeguato da Regione Toscana alle modifiche normative che interverranno attraverso il servizio di manutenzione evolutiva.
3 EROGAZIONE/FRUIZIONE DEL SERVIZIO
3.1 Livelli di servizio
L’efficienza del servizio sarà mantenuta secondo i livelli di servizio indicati nella documentazione tecnica in cui è indicata altresì la disponibilità effettiva del medesimo servizio.
Gli interventi di manutenzione ordinaria e straordinaria saranno effettuati, salvo caso di forza maggiore, in tempi e modalità tali da non pregiudicare l’operatività del Soggetto aderente e dei soggetti produttori, a cui comunque saranno comunicate le date e gli orari di intervento con congruo anticipo.
3.2 Requisiti
Il soggetto aderente/produttore dichiara di essere a conoscenza e di accettare i prerequisiti hardware e software (browser, sistema operativo, etc.) indicati nella documentazione tecnica che gli elaboratori devono avere ai fini dell’utilizzo del servizio, impegnandosi in tempi ragionevoli al loro adeguamento nel caso in cui lo stesso si renda necessario in conseguenza di eventuali aggiornamenti del servizio medesimo e/o dell’infrastruttura tecnologica che consente la sua erogazione.
3.3 Connettività
Il soggetto aderente/produttore usufruirà del servizio tramite il collegamento di cui si dovrà dotare con un operatore di telecomunicazioni e rispondente ai requisiti indicati nella documentazione tecnica.
Il soggetto aderente/produttore, pertanto, non potrà considerare responsabile Regione Toscana, direttamente o indirettamente, per eventuali malfunzionamenti o per la mancata fruizione del servizio derivanti dal collegamento di cui al precedente comma, sia per il non corretto funzionamento dello stesso sia per l’eventuale sua inadeguatezza alle caratteristiche tecniche indicate nella documentazione tecnica.
4 SICUREZZA E RISERVATEZZA
4.1 Accessi al sistema
Il soggetto aderente/produttore può utilizzare il servizio, previa verifica dei requisiti di accesso al sistema, mediante gli strumenti di identificazione previsti nella documentazione tecnica.
Il soggetto aderente/produttore è informato del fatto che la conoscenza degli strumenti di identificazione da parte di soggetti terzi consentirebbe a questi ultimi l’accesso al servizio ed ai dati del soggetto aderente/produttore.
Il soggetto aderente/produttore è pertanto tenuto a conservare tali strumenti di identificazione con la massima riservatezza e con la massima diligenza, obbligandosi a non cederli o consentirne l’uso a terzi. Regione Toscana non potrà in alcun caso essere ritenuta responsabile di qualsiasi danno diretto e/o indiretto derivante dalla mancata osservanza da parte del soggetto aderente/produttore di quanto sopra.
4.2 Riservatezza e disciplina della proprietà intellettuale
Regione Toscana si impegna ed impegna il proprio personale e i propri fornitori a mantenere la più assoluta riservatezza in merito alle informazioni di pertinenza del soggetto aderente e dei soggetti produttori.
Quanto sopra non si riferisce alle informazioni che Regione Toscana possa dimostrare essere state in suo possesso prima della loro trasmissione da parte del soggetto aderente/produttore, o che siano divenute di dominio pubblico per fatti non dipendenti da Regione Toscana.
Il medesimo obbligo di riservatezza grava anche sul soggetto aderente/produttore nei confronti di Regione Toscana, impegnandosi lo stesso, in particolare, a mantenere la più assoluta riservatezza in merito alla documentazione tecnica inviatagli da quest'ultima, fatta salva quella pubblica disponibile sul sito della Regione Toscana, e pertanto a non divulgare, copiare o cedere a terzi detta documentazione, se non previa esplicita autorizzazione.
Le parti, inoltre, si impegnano a rendere edotti di tale obbligo di riservatezza ogni eventuale terzo con il quale abbiano rapporti.
Il presente accordo non conferisce al Soggetto aderente/produttore diritti diversi e/o ulteriori rispetto a quelli espressamente in esso previsti. In particolare, il presente accordo non costituisce cessione, trasferimento, locazione o altra forma trasmissiva di diritti sui software, salvo quanto in esso espressamente previsto, e/o sui servizi e/o prodotti realizzati e resi da Regione Toscana, la quale rimane unica titolare degli stessi, qualora non siano stati acquisiti grazie al coinvolgimento di outsourcer.
4.3 Trattamento dei dati personali
Regione Toscana tratta i dati personali in qualità di Responsabile del trattamento dei dati forniti dal Soggetto aderente, incaricato mediante la compilazione della richiesta di attivazione del servizio, e di tutti quelli necessari all’erogazione del medesimo anche nei confronti dei soggetti produttori.
Finalità del trattamento è la gestione del servizio di conservazione. I tipi di dati personali e i tempi di conservazione sono quelli definiti dalle schede tecniche dei documenti.
Regione Toscana garantisce che tutte le persone che hanno accesso ai dati sono state opportunamente autorizzate, secondo un processo stabilito a questo proposito.
L’ente produttore fornisce a Regione Toscana autorizzazione generale ad utilizzare sub-fornitori purché abbiano concordato, con contratto formale, che trattano i dati solo per le sole finalità necessarie e adottano opportune misure di sicurezza e di controllo del trattamento dei dati personali in conformità a questo accordo di servizio e assicurano la propria collaborazione per il soddisfacimento dei diritti degli interessati, l’efficace trattamento degli incidenti e il diritto di audit.
4.4 Atto di affidamento
Regione Toscana, in via diretta o tramite ricorso ad un appaltatore gestore pro-tempore, durante tutto il periodo di validità dell’accordo, provvederà alla conservazione dei documenti e dei dati inviati per l’erogazione del servizio secondo quanto previsto nella documentazione tecnica e nel manuale della conservazione, nel rispetto della normativa vigente applicabile.
In particolare, con l’accettazione del presente accordo, il soggetto aderente ed i soggetti produttori allo stesso afferenti affidano a Regione Toscana il ruolo di responsabile del trattamento dei dati da loro trasmessi al servizio “DAX”. Regione Toscana, pertanto, provvederà all'esecuzione dei compiti definiti nel richiamato provvedimento secondo quanto previsto nel presente accordo e relativi allegati.
In particolare, Regione Toscana, in via diretta o tramite i propri appaltatori, provvederà a:
• attestare il corretto svolgimento del processo di conservazione con l'apposizione di un firma elettronica qualificata di un proprio rappresentante a ciò delegato;
• gestire il sistema di conservazione nel suo complesso, garantendo l'accesso alle informazioni secondo quanto previsto dalla normativa applicabile;
• verificare la corretta funzionalità del sistema di conservazione e dei programmi utilizzati e l’efficace recepimento di quanto stabilito dalla normativa in materia di privacy;
• essere disponibile ad attuare quanto necessario per soddisfare i diritti degli interessati;
• predisporre le misure di sicurezza del sistema di conservazione, al fine di garantire la sua continua integrità;
• definire e documentare le procedure da rispettare per l'apposizione della marca temporale, in accordo a quanto definito nel manuale di conservazione;
• verificare, con periodicità non superiore a cinque anni, che i documenti conservati siano leggibili, anche attraverso la verifica dell'integrità dei supporti utilizzati per la conservazione adottando gli opportuni accorgimenti al fine di assicurare la leggibilità degli stessi;
• provvedere in genere alla conservazione dei documenti inviati al servizio secondo le previsioni di cui alla normativa specificata nel Manuale della conservazione.
4.5 Gestione incidenti e richieste degli interessati
Regione Toscana si impegna a comunicare all’ente aderente in modo tempestivo ogni evento che possa pregiudicare la sicurezza delle informazioni e dei dati personali trattati per conto di quest’ultima, ad adottare tutte le misure necessarie per mitigare gli effetti e ridurre al minimo gli eventuali danni derivanti dall'incidente di sicurezza e ad assicurare la propria collaborazione qualora si rendesse necessario notificare l’evento alle autorità competenti e, se del caso, agli interessati nei tempi previsti dalla normativa vigente (72 ore nei casi più gravi).
Regione Toscana si impegna inoltre a collaborare con l’ente aderente al fine di soddisfare l'obbligo del Titolare (l’ente aderente o altro soggetto) di dare seguito alle richieste per l'esercizio dei diritti degli Interessati ai trattamenti dei dati personali, in modo da fornire risposta esaustiva nei tempi previsti dalla normativa vigente (30 giorni).
Regione Toscana si impegna a collaborare con l’ente aderente nel processo di valutazione del rischio relativo alla sicurezza delle informazioni e alla eventuale valutazione di impatto (Data Protection Impact Assessment) di specifici trattamenti che possono presentare un rischio elevato per i diritti e le libertà delle persone fisiche, nel caso fossero necessari.
4.6 Diritto di audit
L’ente aderente ha facoltà di vigilare, anche tramite verifiche periodiche (previa comunicazione scritta fornita con ragionevole anticipo), sulla puntuale osservanza dei compiti e delle istruzioni qui impartite a Regione Toscana.
A sua volta, Regione Toscana assicura che svolgerà periodicamente, e almeno una volta all’anno, una verifica delle proprie misure di sicurezza adottate per controllare i rischi di accesso non autorizzato, divulgazione, mancanza di integrità e indisponibilità dei dati, sia accidentali sia illegali.
4.7 Appalto
Regione Toscana, nell’erogazione del servizio potrà avvalersi di società terze, alle quali potrà essere affidata la prestazione di alcune delle attività. A tal fine, la stessa si impegna ad utilizzare fornitori qualificati che dovranno obbligarsi ad operare in accordo alle disposizioni del presente accordo.
4.8 Diritti degli interessati
In qualità di responsabile del trattamento, Regione Toscana garantisce il supporto, attraverso il Service desk, agli enti per il rispetto dei diritti degli interessati.
Regione Toscana, attraverso i suoi fornitori, garantisce tempi di risposta utili affinché l’ente possa rispondere agli interessati nei tempi previsti dalla normativa vigente.
4.9 Comunicazione dei dati
Le richieste di comunicare dati devono venire direttamente dall’ente, dai referenti specificati in fase di accordo o di suoi aggiornamenti. Ogni richiesta pervenuta da altri canali sarà scartata.
Regione Toscana potrebbe ricevere richieste dalle Forze dell’ordine o dalla magistratura. In questi casi ha attiva una procedura per la loro gestione. Se non richiesto direttamente dalle Forze dell’ordine o dalla magistratura, Regione Toscana informa il prima possibile l’ente della richiesta.
4.10 Processo di gestione delle credenziali, delle utenze e delle autorizzazioni
4.10.1 Classi di utenza
Il sistema di conservazione prevede i seguenti ruoli:
a) ente produttore;
b) utente (operatore o RUTP (responsabile ufficio tenuta protocollo));
c) responsabile della conservazione (RdC);
d) amministratore di sistema;
e) auditor.
Produttore
L’ente produttore ha disponibile un’utenze applicativa per interfacciare una sua applicazione di ge- stione dei documenti da conservare. Tale utenza applicativa ha le seguenti autorizzazioni:
- invio via SFTP o Webservices dei documenti da inserire nel sistema di conservazione;
- ricezione di notifiche.
Utente (operatore o RUTP (responsabile ufficio tenuta protocollo))
Il ruolo dell’Utente ha le seguenti autorizzazioni:
- lettura dei documenti di pertinenza dell’ente di cui l’operatore fa parte;
- esibizione o copia degli stessi documenti;
- invio (via interfaccia web di alcune specifiche tipologie documentali) di documenti nel siste- ma di conservazione.
Responsabile della conservazione (RdC)
Xxxxxxxx responsabile dell’insieme delle attività elencate nelle Regole tecniche del sistema di con- servazione.
Il Responsabile può delegare persone che assumono il ruolo di Delegato del responsabile della conservazione (DRdC), con le medesime autorizzazioni.
Amministratore di sistema
L’amministratore di sistema svolge le attività di configurazione e modifica del servizio di conserva- zione.
L’amministratore di sistema non può avere le autorizzazioni degli utenti (nel caso in cui la stessa persona disponga dei due ruoli, deve utilizzare utenze distinte).
Auditor
L’auditor, se previsto dal sistema, ha solo autorizzazioni di lettura.
L’auditor non può avere autorizzazioni né da utente né da amministratore per assicurare la separa- zione dei compiti.
Eventuali autorità di vigilanza possono avere solo autorizzazioni come auditor.
4.10.2 Processo di gestione delle utenze e delle autorizzazioni
Per ciascun soggetto produttore è possibile definire una o più utenze.
Ad ogni utenza è associato un ruolo tra quelli elencati nel paragrafo precedente, con associate le pertinenti funzionalità: il responsabile della conservazione ed i suoi delegati hanno accesso com- pleto, mentre le utenze relative ai diversi produttori hanno accesso limitato alle funzionalità relative all’esibizione per i documenti di loro competenza. Non sono previste utenze di gruppo.
Per quanto riguarda l’avvio dei produttori (enti), il processo è il seguente:
- quando l’ente sottoscrive l’accordo di servizio con Regione Toscana, compila una “Scheda anagrafica” con informazioni sull’ente, le tipologie di cui vuol fare il versamento e gli utenti (e le loro email) da autorizzare; tra gli utenti vi è sempre il Responsabile archivio;
- l’ente invia la scheda a RTI DAX che ne controlla la correttezza e completezza; nel caso, attiva le utenze richieste;
- al momento della creazione dell’utente, gli è inviata in automatico un’email con utenza e password; il cambio della password è obbligatorio alla prima connessione.
Per quanto riguarda la modifica delle utenze dei produttori (enti), il processo è il seguente:
- il produttore richiede la modifica o la disattivazione delle autorizzazioni o il ripristino delle password via PEC o Ap@ci o email alla RTI DAX o via ticket all’help desk (in tutti i casi, la richiesta va registrata su ticket);
- il Responsabile del servizio di conservazione o suo delegato autorizzano la modifica delle utenze, dopo aver verificato la corretta provenienza della richiesta (p.e. ticket aperto da un rappresentante dell’ente, email dal dominio ufficiale dell’ente, richiesta da un delegato auto- rizzato da parte dell’ente);
- il gestore dell’applicazione configura il sistema. Per quanto riguarda le utenze amministrative e di audit:
- la richiesta da parte del gestore dell’applicazione o del TIX è inoltrata via PEC o Ap@ci alla RTI DAX o via ticket all’help desk (in tutti i casi, la richiesta va registrata su ticket);
- il Responsabile del servizio di conservazione o suo delegato autorizzano la modifica delle utenze;
- il gestore dell’applicazione o dei sistemi configurano il sistema.
4.10.3 Meccanismi di sicurezza per la gestione delle utenze Formazione
Gli amministratori devono aver seguito la formazione in materia di sicurezza delle informazioni e al servizio di conservazione prevista dalla propria società.
Gli altri utenti devono accettare il “Regolamento per l’uso del servizio di conservazione” riportato nel seguito.
Gestione password
Il sistema di conservazione garantisce una gestione delle password rispettando in particolare i cri- xxxx di sicurezza relativi alla lunghezza, ai caratteri e scadenza.
L’accesso avviene via user-id e password e HTTPS.
Riesami periodici
Almeno una volta all’anno, in occasione degli audit interni, o in occasioni di modifiche rilevanti al si- stema (cambiamenti con impatto sul sottosistema di autorizzazione, aggiunta di interfacce) sono riesaminate le autorizzazioni del servizio di conservazione, allo scopo di verificarne la correttezza a livello:
- di sistema;
- applicativo.
Nota: è compito di ciascun ente richiedere informazioni relative alle autorizzazioni attive a proprio nome, in modo da riesaminarle.
In caso di anomalie, sono registrate non conformità e corrette.
Gestione degli incidenti
Il sistema evidenzia quando un’utenza è bloccata dopo un numero tentativi sbagliati di inserimento della password.
E’ compito del gestore dell’applicazione verificare se si tratta di un attacco volontario al sistema o di errori dell’utente. Nel primo caso apre un incidente secondo quanto specificato dalla procedura pertinente.
4.10.4 Log dell’uso delle utenze
Il sistema di raccolta dei log dell’uso delle utenze di servizio (di sistema e di servizio dell’applica- zione) è verificato dal Gestore del TIX almeno una volta all’anno per evidenziare eventuali usi im- propri delle utenze (p.e. tentativi di aumentare i propri privilegi).
Il sistema permette anche l’invio di email a fronte di eventi specifici.
4.11 Regolamento per l’uso del servizio di conservazione
Gli utenti del servizio di conservazione, accedendo al servizio sono consapevoli delle seguenti regole e le accettano:
- Username e password di accesso al sistema di conservazione sono personali e in- dividuali:
• non vanno condivise con altri;
• devono essere custodite in modo che altri non ne vengano a conoscenza;
• devono essere modificate quando si sospetta che altri ne siano venuti a co- noscenza.
- Le password sono impostate in modo da garantirne la sicurezza con criteri di lun- ghezza (almeno 8 caratteri), complessità (presenza di maiuscole, minuscole, cifre e simbo- li) e durata (non superiore a 90 giorni).
- Tutti i documenti del servizio di conservazione sono da considerare riservate e per- tanto non possono essere comunicati a persone non esplicitamente autorizzate dall’ente produttore.
- Quando si visualizzano i documenti, si presta attenzione che persone non autoriz- zate non ne possano visionare il contenuto.
- Lo strumento usato per accedere al servizio di conservazione (es: pc, tablet, smart- phone) va protetto seguendo le seguenti regole:
• accesso protetto da user-id e password in linea con quanto sopra specifica- to;
• sistemi antivirus aggiornati;
• software (p.e. sistema operativo) aggiornato secondo le indicazioni del pro- duttore;
• cancellazione sicura del contenuto quando sostituito.
- Si chiede di segnalare al help desk del DAX ogni anomalia, incidente o vulnerabilità riscontrata sul servizio.
- L’ente può richiedere in qualunque momento al help desk del DAX l’elenco degli utenti con le autorizzazioni per accedere ai propri documenti.
4.12 Gestione degli incidenti
Sono incidenti di sicurezza informatica: uno o più eventi di sicurezza informatica, non voluti o non attesi, che hanno una probabilità significativa di compromettere le informazioni
e minacciare la riservatezza, integrità e disponibilità delle informazioni sui sistemi informatici.
Esempi di incidenti relativi alla sicurezza informatica sono:
• rottura o furto o danneggiamento di componenti infrastrutturali;
• errori umani;
• accessi fisici o informatici non autorizzati;
• eventi che portano alla indisponibilità dei sistemi informatici del TIX.
4.12.1 Segnalazione di incidente
Ogni evento, incidente o vulnerabilità riscontrati devono essere comunicati alle opportune strutture in modo da garantirne un rapido trattamento. Gli utenti si interfacciano con l’help desk del servizio DAX (vedere procedura specifica); tale help desk, se necessario, si interfaccia con il gestore IT o il fornitore di esercizio applicativo con gli strumenti di ticketing.
4.12.2 Trattamento degli incidenti di sicurezza informatica
Per ogni attività, sono previste procedure per attivare i gruppi di lavoro con le adeguate competenze.
Il gestore IT e il fornitore di esercizio applicativo si interfacciano tra loro secondo necessità e con strumenti di ticketing.
Ogni incidente è oggetto di approfondite analisi per verificare quali dati sono stati compromessi, in particolare i dati personali.
Se l’incidente comporta interruzioni di servizio prolungate o può portare alla diffusione o alterazione di dati critici (es. dati personali o dati economici), il Direttore di Esecuzione (o suo Assistente o delegato) del servizio pertinente lo comunicano al RUP, ai responsabili delle applicazioni e agli enti aderenti al servizio.
4.12.3 Rapporto sugli incidenti di sicurezza
In caso di incidenti di sicurezza, è predisposto un rapporto con indicato:
- descrizione dell'evento;
- data di occorrenza e data di segnalazione;
- le azioni eseguite;
- gli elementi che hanno consentito di considerare l'evento risolto;
- data di chiusura della segnalazione.
4.12.4 Comunicazioni relative a violazioni di dati personali (data breach)
In caso di incidenti con impatto sui dati personali (in particolare se l’incidente ha permesso a persone non autorizzate ad accedere ai dati personali) l’help desk DAX li comunica al Direttore di esecuzione.
L’help desk DAX e il Direttore di esecuzione valutano se la violazione dei dati personali presenta un rischio per i diritti e le libertà delle persone fisiche.
Se l’incidente presenta un rischio per i diritti e le libertà delle persone fisiche, Direttore di esecuzione, in accordo con il RPU, inoltra segnalazione a:
- il Garante per la protezione dei dati personali entro 72 ore dalla rilevazione dell’inci - dente (se Regione Toscana è titolare del trattamento);
- gli enti titolari dei dati coinvolti dall’incidente entro 24 ore; Regione Toscana avvisa gli enti produttori della situazione attraverso gli strumenti istituzionali già in uso, (p.e. PEC, e-mail, Ap@ci) e ricavando i riferimenti da contattare in caso di emer- genza dalle schede anagrafiche fornite dagli enti in fase di adesione.
La segnalazione riporta:
a) l’evento;
b) la natura della violazione dei dati personali compresi le categorie e il numero ap- prossimativo di interessati in questione nonché le categorie e il numero approssi- mativo di registrazioni dei dati personali in questione;
c) il nome e i dati di contatto di Regione Toscana;
d) le probabili conseguenze della violazione dei dati personali;
e) le misure adottate o di cui si propone l'adozione per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi (quest’ultimo punto può essere incluso in una versione successiva del rapporto).
Se Regione Toscana è titolare del trattamento, la medesima segnalazione è inviata agli interessati (è possibile escludere il numero e le categorie degli interessati e il numero di registrazioni). Tale comunicazione agli interessati non è necessaria se:
- i dati sono incomprensibili ad altri (per esempio sono cifrati);
- Regione Toscana ha attuato azioni per ridurre al minimo gli impatti sugli interessati.
4.12.5 Raccolta di prove
Nel caso sia ritenuto opportuno, potranno essere raccolte opportune prove per perseguire i responsabili dell’evento. In questo caso, è contattato l’Ufficio Legale di Regione Toscana per seguirne le istruzioni.
Gli enti aderenti possono sempre richiedere di raccogliere prove. In questo caso, prima di avviare le attività, dovrà essere contattato l’Ufficio Legale di Regione Toscana. I tecnici di Regione Toscana e della RTI DAX dovranno collaborare al fine di non compromettere i servizi attivi (in caso di raccolte date “live”) e i dati riservati, sia in caso di raccolte date live sia su supporti inattivi.
4.12.6 Caso specifico di compromissione di credenziali
In caso di compromissione di credenziali, le azioni vanno stabilite dall’ente. L’RTI DAX, per quanto nelle sue mansioni, può fornire gli strumenti per condurre indagini e per re- inizializzare le credenziali assegnate.
5 RESPONSABILITÀ
5.1 Responsabilità del Soggetto aderente/produttore
La responsabilità relativa ai contenuti, correttezza e completezza dei dati e documenti inviati attraverso il servizio e versati nel sistema di conservazione è ad esclusivo carico del soggetto aderente/produttore, il quale indicherà un proprio referente per i documenti inviati in conservazione ed un referente tecnico/operativo, eventualmente coincidente con il precedente, che avrà il compito di presidiare alle attività infrastrutturali e di concordare e sottoscrivere con Regione Toscana gli allegati tecnici dell’accordo di servizio.
5.2 Responsabilità di Regione Toscana
Regione Toscana si impegna a fornire il servizio in osservanza a quanto stabilito dal presente accordo e dai relativi allegati, non assumendo alcuna responsabilità al di fuori di quanto in essi espressamente stabilito.
Regione Toscana, salvo il caso di dolo o colpa grave, non incorrerà in responsabilità per danni diretti o indiretti di qualsiasi natura ed entità che dovessero verificarsi nei confronti del soggetto aderente/produttore e/o di terzi in conseguenza dell’incompletezza e/o dell’inesattezza del contenuto del documento inviato in conservazione sostitutiva, dell’uso non conforme a quanto prescritto nei documenti sopra richiamati e/o del mancato uso del servizio, anche a fronte di ritardi, interruzioni, errori e/o malfunzionamenti dello stesso, qualora rientranti nell’ambito dei parametri di indisponibilità indicati nella documentazione tecnica.
Regione Toscana non incorrerà in alcune responsabilità per danni diretti o indiretti di qualsiasi natura e entità qualora la mancata fruizione del servizio sia imputabile al gestore della connettività o derivante da caso fortuito, forza maggiore o cause comunque non imputabili a Regione Toscana, quali, a titolo esemplificativo, scioperi, sommosse, terremoti, atti di terrorismo, tumulti popolari, sabotaggio organizzato, eventi chimici e/o batteriologici, guerra, alluvioni, provvedimenti delle competenti autorità in materia o inadeguatezza delle strutture, dei macchinari hardware e/o dei software utilizzati dal soggetto aderente/produttore.
Regione Toscana inoltre, salvo il caso di dolo o colpa grave non sarà gravata da oneri o responsabilità per danni diretti o indiretti di qualsiasi natura ed entità che dovessero verificarsi al soggetto aderente/produttore causati da manomissioni o interventi sul servizio o sulle apparecchiature effettuati dal soggetto aderente/produttore stesso e/o da parte di terzi non autorizzati da Regione Toscana.
6 RISOLUZIONE DELL’ACCORDO E RESTITUZIONE DEL CORPO DOCUMENTALE
6.1 Risoluzione
Senza pregiudizio delle altre facoltà previste dalla Legge per l'ipotesi d’inadempimento, ciascuna parte ha la facoltà di risolvere l’accordo, nel caso in cui l’altra parte violi gli obblighi pattuiti e non rimedi al proprio inadempimento entro il termine (congruo secondo la natura della fornitura) fissatole dalla parte adempiente. Scaduto il termine senza che la parte inadempiente abbia riparato il proprio inadempimento, l’altra parte potrà risolvere con comunicazione scritta a mezzo posta elettronica certificata il presente accordo con effetto dalla scadenza del termine per l’inadempimento.
6.2 Restituzione
Il soggetto aderente/produttore sarà il solo responsabile del recupero dei dati e/o documenti inviati per l’erogazione del servizio attraverso la funzione download, anche massivo, degli stessi, resa disponibile nel corso di erogazione del servizio e per i 90 (novanta) giorni successivi dalla cessazione, per qualsiasi causa, dell’accordo.
Entro i 90 (novanta) giorni successivi dalla cessazione dell’accordo, pertanto, il soggetto aderente/produttore potrà continuare ad utilizzare le proprie credenziali di accesso al solo fine di effettuare il download dei documenti.
Trascorsi 90gg dalla data di cessazione dell’accordo Regione Toscana:
- non avrà più alcuna responsabilità in merito alla conservazione dei dati e/o documenti del soggetto aderente/produttore, il quale rimarrà l’esclusivo responsabile del recupero dei propri dati e/o documenti entro il periodo di tempo indicato nel presente articolo;
- i dati sono cancellati mettendo a disposizione lo spazio disco e cancellando gli indici.
6.3 Cessazione delle operazioni di conservazione
Qualora l’Ente Conservatore decida di cessare l’erogazione dei servizi di conservazione, non meno di 90 giorni prima della cessazione comunicherà ai clienti via PEC la cessazione del servizio. Il cliente avrà facoltà di usufruire del servizio in tutte le sue funzionalità fino alla data comunicata dall’Ente Conservatore. Una volta giunti alla data individuata per la cessazione, la restituzione dei dati avverrà secondo quanto previsto al paragrafo precedente.
7 CLAUSOLE FINALI
7.1 Comunicazioni
Tutte le comunicazioni inerenti allo svolgimento del rapporto dovranno essere effettuate a mezzo posta elettronica certificata o Interpro presso gli indirizzi delle parti così, come indicati nell’indice nazionale delle pubbliche amministrazioni.
7.2 Norme applicabili
Il presente accordo è regolato dalla normativa italiana e dell’Unione Europea.
Per quanto non espressamente previsto si rinvia alle disposizioni del codice civile ed alle altre normative applicabili in materia.
7.3 Foro competente
Qualsiasi controversia dovesse insorgere tra le parti in ordine al presente atto, comprese quelle relative alla sua validità, interpretazione, esecuzione e risoluzione, sarà devoluta in via esclusiva al Tribunale di Firenze, con esclusione di qualsiasi altro foro competente.