CONVENZIONE AI SENSI DELL’ART. 58 DEL CODICE DELL’AMMINISTRAZIONE DIGITALE FRA IL COMUNE DI ASTI E […]
Allegato A
* * *
Il COMUNE DI ASTI (nel prosieguo per brevità “Comune”), con sede legale in Asti, p.zza S. Secondo n. 1, P.IVA 00072360050, rappresentato da
…………………….. nato a ………………………….. il ……………………
e da ………………………….. nato a il
……………………
domiciliati ai fini del presente atto presso la sede comunale citata
e
[….] (nel prosieguo per brevità “Ente”), con sede legale [……..], rappresentato da […..] nato/a a ……………il……………..C.F. ………. [……] domiciliato/a [ ]
Visti i seguenti riferimenti di legge:
D.P.R. 445/2000, Testo unico delle disposizioni legislative in materia di documentazione amministrativa
D.P.R. 223/1989, Regolamento anagrafico
D. Lgs 82/2005, Codice dell’Amministrazione Digitale (CAD) e ss.mm.e ii. D.Lgs n. 196/2003 Codice in materia di protezione dei dati personali.
(indicare le ulteriori normative sulla base delle quali l’Ente può richiedere l’accesso alla banca dati )
le Parti convengono e stipulano quanto segue:
Art. 1 Oggetto e finalità
1. La presente convenzione riguarda la consultazione da parte dell’Ente della banca dati anagrafica del Comune di Asti.
2. Il Comune si impegna a consentire l’accesso alla suddetta banca dati nei confronti dell’Ente nelle modalità e secondo i limiti previsti di seguito e nell’allegato tecnico.
3. L’Ente si impegna a utilizzare l’accesso alla banca dati ed i dati ivi contenuti al solo fine dello svolgimento dell’attività di ( motivazione della richiesta di accesso )
Art. 2
Titolarità della banca dati e titolarità del trattamento
1. Il Comune conserva la piena ed esclusiva proprietà delle informazioni memorizzate nella Banca Dati (Anagrafica) e del sistema di ricerca
2. il Comune ha l’esclusiva competenza di gestire, definire o modificare i sistemi di elaborazione, ricerca, rappresentazione ed organizzazione dei dati; ha, altresì, la facoltà di variare la base informativa in relazione alle proprie esigenze istituzionali, a quelle organizzative ed alle innovazioni tecniche relative al sistema.
3. Non è consentito all’Ente, per fini diversi da quelli contemplati nella presente convenzione, trattare, riprodurre, utilizzare in qualunque modo e maniera, ivi compresa la comunicazione e la diffusione, i dati contenuti nella banca dati.
4. Ai sensi dell’art. 28 del D.Lgs. n. 196/2003 l’Ente è a sua volta titolare del trattamento dei dati personali acquisiti mediante la consultazione della banca dati (anagrafica) del Comune, in ragione dell’autonomia decisionale posseduta ed in considerazione dell’attività istituzionale perseguita. All’Ente spettano quindi tutti gli obblighi che il Codice in materia di protezione dei dati personali attribuisce al Titolare del trattamento, ivi compreso l’obbligo di informativa ove prescritto.
5. Per i trattamenti oggetto della presente convenzione l’Ente si impegna a designare e comunicare al Comune il proprio Responsabile del trattamento dei dati personali e a comunicarne tempestivamente l’eventuale sostituzione nel corso della durata della convenzione.
Art. 3 Soggetti abilitati
1. L’Ente deve comunicare preventivamente all’ufficio competente del Comune i nominativi dei soggetti, appartenenti al proprio personale dipendente, per cui chiede l’abilitazione all’accesso alla banca dati. Nello specifico dovranno essere comunicati per ogni soggetto da abilitare: nome, cognome, luogo e data di nascita, codice fiscale, estremi di un documento di riconoscimento, mansioni e ruolo, nel caso di lavoratori a tempo determinato anche la data di scadenza del rapporto lavorativo.
2. Il Comune assegna ai soggetti comunicati dall’Ente le credenziali di autenticazione che verranno poi consegnate loro secondo la modalità prevista di seguito nell’Allegato tecnico. Dell’assegnazione è data comunicazione al responsabile del trattamento designato ed indicato all’art. 2, comma 4.
3. L’accesso alla banca dati è consentito esclusivamente ai soggetti abilitati. Le credenziali di autenticazione sono personali ed incedibili. Ogni incaricato è informato dall’Ente del dovere di custodia che gli incombe e delle responsabilità che ne discendono.
4. L’Ente si impegna a nominare incaricati del trattamento i soggetti di cui al comma 1 e ad informarli compiutamente dei limiti delle loro mansioni e dei
trattamenti di loro competenza nonché delle attività di controllo e vigilanza sui trattamenti poste in essere dal Comune.
5. L’Ente si impegna espressamente a porre in essere ogni idonea misura di sicurezza volta ad evitare trattamenti illegittimi di dati, assumendone quindi ogni ed eventuale conseguente responsabilità.
Ogni variazione riguardante i soggetti abilitati dovrà essere prontamente comunicata al Comune a mezzo lettera scritta o PEC alla casella istituzionale: xxxxxxxxxx@xxxx.xxxxxx.xxxx.xx. Ove oggettivamente possibile la comunicazione della variazione dovrà pervenire con almeno cinque giorni lavorativi di preavviso.
6. L’Ente si assume ogni responsabilità per il caso in cui un soggetto acceda alla banca dati nonostante sia stato revocato formalmente o meno dal proprio ruolo di incaricato del trattamento abilitato.
Art. 4 Collegamento alla banca dati
1. L’accesso, da parte dei soggetti abilitati di cui all’art. 3, alla banca dati del comune avviene mediante modalità web e secondo quanto stabilito dell’Allegato tecnico alla presente convenzione.
Art. 5
Modalità di accesso, misure tecniche ed organizzative di sicurezza, livelli di servizio
1. L’accesso riguarda i seguenti dati: [elencare i dati per quali si consente l’accesso in base a quanto dichiarato dell’Ente ]
2. I dati di cui al precedente comma 1 possono essere stampati, ma non esportati, non possono essere in alcun modo modificati e/o alterati; è, inoltre, fatto espresso divieto di utilizzare tali dati per creare un nuovo data base.
3. Il Comune ha introdotto, nel sistema di accesso alla banca dati, come ulteriori accorgimenti volti ad incrementare la salvaguardia dei diritti dei soggetti interessati oltre al rispetto dei principi di necessità e pertinenza dei trattamenti, le seguenti misure:
a) implementazione di un sistema che garantisce la correttezza degli accessi e della consultazione impedendo accessi multipli con le stesse credenziali;
b) attivazione di controlli di verifica degli accessi, delle attività svolte dall’operatore e del fine della richiesta, in modo tale da fare emergere, mediante controlli a campione, eventuali attività anomale;
c) un sistema di assegnazione della password di accesso, con un controllo qualitativo – dal punto di vista della sicurezza – della medesima;
d) scadenza della sessione dopo 10 minuti di inattività per evitare l’accesso ai dati in postazioni momentaneamente abbandonate;
e) impedimento dell’accesso al codice sorgente dei file HTML per non consentire l’acquisizione massiva in formato digitale delle informazioni visualizzate;
f) inibizione del meccanismo di “back” per evitare di catturare nella memoria cache i contenuti della pagina
g) sistema di controllo dell’accesso alla banca dati come descritto nell’allegato tecnico.
4. L’Ente con la sottoscrizione della presente convenzione dichiara di aver letto e compreso quanto indicato al presente articolo, ai commi che precedono, e di accettarne integralmente il contenuto in quanto pienamente congruo rispetto alle proprie finalità istituzionali.
5. Il Comune si impegna a rendere disponibile la banca dati, nei termini già precisati, durante l’orario di lavoro degli uffici ed a comunicare all’Ente, tramite PEC , eventuali sospensioni del collegamento.
6. Ove nel periodo di vigenza del presente accordo sopraggiungessero innovazioni normative e/o organizzative tali da rendere necessaria una revisione della presente convenzione, il Comune ha fin da ora facoltà di porre in essere in autonomia le misure ritenute necessarie.
7. Il Comune si riserva di verificare, periodicamente, l’attualità delle finalità per cui è stato concesso l’accesso all’Ente e la corrispondenza e conformità delle modalità e del numero degli accessi da parte del personale autorizzato dell’Ente con quanto stabilito dal presente atto e dalla normativa vigente.
Art. 6
Facoltà e responsabilità delle parti
1. Il Comune si riserva la piena ed esclusiva proprietà delle informazioni memorizzate sulla banca dati anagrafica e del relativo sistema di ricerca, con l’esclusiva competenza a gestire, definire e modificare i sistemi di elaborazione, ricerca, rappresentazione ed organizzazione dei dati
2. Il Comune ha la facoltà di variare la base informativa in relazione alla proprie esigenze istituzionali, organizzative ed alle innovazioni tecniche relative al sistema utilizzato.
3. Nessuna responsabilità, contrattuale ed extracontrattuale, se non per dolo o colpa grave, deriva al Comune per danni di qualsiasi natura, diretti ed indiretti, per le variazioni suddette, né per eventuali inesattezze e incompletezza dei dati contenuti negli archivi, né per eventuali interruzioni tecniche o sospensioni del servizio, né per disservizi o maggiori spese derivanti dal variare delle tecnologie.
4. L’Ente si assume ogni responsabilità in ordine all’uso ed al trattamento dei dati oggetto della presente convenzione, sollevando al riguardo il Comune da qualsiasi responsabilità derivante da ogni e qualsivoglia uso e trattamento illegittimo degli stessi ed a conseguenti richieste di risarcimento da parte degli interessati.
5. Pertanto, il trattamento dei dati personali acquisiti in forza della presente convenzione effettuato da parte dell’Ente in modo difforme o in violazione al presente atto ed alle norme dallo stesso richiamate, comporterà l’esclusiva responsabilità dell’Ente, in qualità di Titolare autonomo del trattamento dei dati ai sensi del D.Lgs. n. 196/2003, ed è esclusa al riguardo ogni responsabilità del Comune.
6. Il Comune, al fine di salvaguardare la sicurezza dei propri sistemi informativi, può prevedere ulteriori strumenti atti a gestire i profili di abilitazione, verificare accessi anomali, provvedere al tracciamento delle operazioni di accesso.
Art. 7 Obbligo alla riservatezza
1. L’Ente si impegna ad utilizzare le informazioni ottenute tramite il collegamento esclusivamente per i propri fini istituzionali e nei limiti della presente convezione.
2. L’Ente con particolare riguardo alla tutela della riservatezza delle informazioni, si impegna altresì ad adottare ogni misura necessaria ad evitare indebiti utilizzi delle medesime informazioni.
3. L’Ente garantisce la riservatezza, la sicurezza e l’integrità dei dati, informazioni, programmi, processi elaborativi o quant’altro connesso al collegamento concesso.
4. L’Ente si impegna, a non divulgare, anche successivamente alla scadenza della convenzione, notizie di cui sia venuto a conoscenza, a non eseguire e non consentire che soggetti diversi dai dipendenti eseguano copie, estratti, note od elaborazioni di qualsiasi genere dei documenti di cui sia venuto in possesso in ragione del presente accordo.
5. A tale scopo l’Ente si impegna a trattare i dati per finalità previste dalla normativa e connesse alle obbligazioni derivanti del presente accordo, in modo lecito e secondo correttezza, mediante strumenti idonei a garantirne sicurezza e riservatezza, nel rispetto ed in adempimento di tutto quanto previsto dalla normativa vigente in materia di tutela della privacy.
1. L’Ente garantisce:
Art. 8
Misure idonee di sicurezza
a. la designazione preventiva e con adeguate istruzioni dei soggetti incaricati del trattamento;
b. l’accesso ai soli dati pertinenti e non eccedenti rispetto alla specifica finalità istituzionale perseguita.
c. la sicurezza della propria rete e delle proprie postazioni di lavoro;
d. l’adozione delle misure di sicurezza non solo minime ma anche quelle idonee ad evitare ogni rischio;
e. l’adeguata informazione dei propri incaricati in merito alle misure di sicurezza e di controllo adottate dal Comune, ivi compresa l’attività di log degli accessi e delle operazioni effettuate.
2. L’Ente ha la facoltà di richiedere al Comune, per mezzo di lettera scritta o PEC, la fornitura dei dati degli accessi effettuati dai propri incaricati, al fine di attivare le eventuali iniziative di controllo ritenute necessarie, previo accordo con il Comune sulla qualità e quantità dei dati.
3. L’Ente garantisce che le proprie postazioni di lavoro, collegate o collegabili con la banca dati comunale, sono collocate in luogo non accessibile al pubblico e poste sotto la supervisione del proprio responsabile del trattamento.
4. Secondo quanto disposto dalla normativa in materia l’Ente:
a. utilizza le informazioni acquisite dal Comune esclusivamente per le finalità dichiarate, nel rispetto della normativa vigente, anche in materia di consultazione delle banche dati, osservando le misure di sicurezza ed i vincoli di riservatezza previsti dal Codice della Privacy;
b. procede al trattamento dei dati personali, osservando le misure di sicurezza ed i vincoli di riservatezza previsti dal Codice della Privacy rispettando i canoni di pertinenza e non eccedenza nel trattamento delle informazioni acquisite;
c. garantisce che non si verifichino divulgazioni, comunicazioni, cessioni a terzi, né in alcun modo riproduzioni dei dati nei casi diversi da quelli previsti dalla legge, provvedendo ad impartire, ai sensi dell’art. 30 del Codice della Privacy, precise e dettagliate istruzioni agli incaricati del trattamento, richiamando la loro attenzione sulle responsabilità connesse all’uso illegittimo dei dati;
d. s’impegna a non duplicare i dati resi disponibili e a non creare autonome banche dati non conformi alle finalità per le quali è stato autorizzato l’accesso;
e. garantisce l’accesso ai dati esclusivamente da parte di personale dipendente dell’ente secondo le modalità e i limiti previsti dalla presente convenzione
f. ha consapevolezza del Codice della Privacy e della possibilità di controlli ivi previsti per verificare il rispetto dei vincoli di utilizzo dei servizi in occasione dei quali si impegna a fornire ogni necessaria collaborazione;
g. si impegna, non appena siano state utilizzate le informazioni secondo le finalità dichiarate, a cancellare rendendo inutilizzabili i dati acquisiti dal Comune;
h. si impegna a formare gli utenti abilitati sulle specifiche caratteristiche, proprietà e limiti del sistema utilizzato per l’accesso ai dati ed a controllarne il corretto utilizzo;
i. garantisce l’adozione al proprio interno le regole di sicurezza finalizzate ad un corretto utilizzo delle credenziali di accesso assegnate
j. si impegna ad utilizzare i sistemi di accesso ai dati in consultazione on line esclusivamente secondo le modalità con cui sono stati resi disponibili e, di conseguenza, a non estrarre i dati per via automatica e massiva (attraverso
ad esempio i cosiddetti “robot”) allo scopo di velocizzare le attività e creare autonome banche dati non conformi alle finalità per le quali è stato autorizzato all’accesso;
k. s’impegna altresì a comunicare tempestivamente al Comune incidenti sulla sicurezza occorsi al proprio sistema di autenticazione; ogni eventuale esigenza di aggiornamento di stato degli utenti gestiti (nuovi inserimenti, disabilitazioni, cancellazioni); ogni modificazione tecnica e/o organizzativa del proprio dominio, che comporti l’impossibilità di garantire l’applicazione delle regole di sopra riportate e/o la loro perdita di efficacia;
l. garantisce che i servizi non saranno resi disponibili a terzi né direttamente né indirettamente per via informatica.
Art. 9 Costi
1. La presente convenzione non prevede oneri economici in capo al Comune.
2. Sono esclusivamente a carico del’ Ente tutti i costi strumentali eventualmente necessari per l’attivazione del collegamento alla banca dati e per l’accesso alla stessa.
3. Non sono previsti oneri economici in capo al soggetto che accede.
Art. 10 Durata
1. La presente convenzione avrà decorrenza, a tutti gli effetti, dalla data in cui il Comune comunicherà all’Ente, per iscritto, l'abilitazione all'accesso alla predetta banca dati e avrà durata di 12 mesi. In mancanza di disdetta da parte del Comune o da parte dell’utente, da farsi non meno di tre mesi prima della scadenza, la convenzione si intenderà rinnovata per un altro anno e così di anno in anno, fino ad un massimo di 5 anni.
2. Il Comune, fatto salvo il diritto al risarcimento dei danni, si riserva la facoltà di risolvere la convenzione qualora non vengano rispettate le modalità in essa previste in particolare per quanto concerne quanto previsto nell’Allegato tecnico alla presente convenzione.
3. Le parti si riservano, ciascuna per quanto di rispettiva ragione, la possibilità di revocare e/o modificare la presente convenzione qualora subentrino disposizioni normative regolamentari e amministrative o direttive in materia di dati, incompatibili con quanto previsto nella convenzione stessa.
4. L’Ente dovrà dare formale e preventiva comunicazione delle eventuali trasformazioni societarie.
Art. 11 Registrazione
1. La presente convenzione, redatta in due originali, stipulata e sottoscritta nella forma della scrittura privata, è soggetta a registrazione in caso d’uso. Le spese di registrazione, le imposte e tasse inerenti alla presente convenzione (bollo,
quietanza, diritti fissi di segreteria) sono a carico della parte che intende avvalersene.
Art. 12 Foro competente
1. Il foro competente a risolvere qualsiasi controversia che possa sorgere tra il Comune di Asti e l’ Ente, durante l’esecuzione od allo scadere della presente convenzione, direttamente od indirettamente connessa alla convenzione stessa, è quello di Asti.
Letto, confermato e sottoscritto. Asti, li
FIRME