ACCORDO DI SERVIZIO PER LO SVOLGIMENTO DI ATTIVITA’ E SERVIZI COLLEGATI ALLE FUNZIONI DI PREVIDENZA ED ASSISTENZA OBBLIGATORIE
ACCORDO DI SERVIZIO PER LO SVOLGIMENTO DI ATTIVITA’ E SERVIZI COLLEGATI ALLE FUNZIONI DI PREVIDENZA ED ASSISTENZA OBBLIGATORIE
TRA
L'ISTITUTO NAZIONALE DELLA PREVIDENZA SOCIALE con sede in Roma, Via Xxxx il
Grande n. 21, codice fiscale 80078750587 rappresentato dal Presidente xxxx. Xxxx Xxxxxxx Xxxxx,
(in appresso anche più brevemente "INPS" o, congiuntamente a "SISPI" "le Parti"):
E
ITALIA PREVIDENZA - SOCIETA' ITALIANA DI SERVIZI PER LA PREVIDENZA
INTEGRATIVA PER AZIONI, Società per azioni con Socio Unico, con sede in Xxxx, Xxx Xxxxx Xxxxxxx, x. 00, codice fiscale 06553251007, in persona del Xxxx. Xxxxxx Xxxxxxxxx, nella sua qualità di Amministratore Unico della Società
(in appresso anche più brevemente "SISPI." o, congiuntamente a "INPS" "le Parti");
PREMESSO CHE
ITALIA PREVIDENZA - Società Italiana di Servizi per la Previdenza Integrativa per Azioni è una società per azioni costituita nel 2001, interamente partecipata da INPS, che opererà secondo le modalità proprie degli affidamenti diretti rispondenti al modulo cd “in house” di cui al decreto legislativo n. 175/ 2016 recante il Testo unico in materia di società a partecipazione pubblica;
l’articolo 53, comma 6, lettera a), della Legge 27 dicembre 1997, n. 449, ha disposto la soppressione della “Gestione Separata” istituita in seno all’IPOST per l'erogazione dell’indennità di buonuscita spettante tutto il personale dipendente dell'Ente Poste, prevedendo inoltre che “Alla sua liquidazione provvede il commissario nominato per la gestione stessa” e, in forza delle norma citata la “Gestione Commissariale Fondo buonuscita per i lavoratori di Poste Italiane S.p.a.” è subentrata in tutti i rapporti attivi e passivi della soppressa Gestione Separata istituita presso IPOST, raccogliendone integralmente le competenze;
dal 2007, le attività di erogazione dell’indennità di buonuscita spettante a tutto il personale dipendente dell'Ente Poste, precedentemente svolte da IPOST, erano state delegate a SISPI;
sulla base della convenzione INPDAP – IPOST del 21/05/1999, l’indennità di buonuscita in questione deve essere liquidata computando anche i servizi resi con iscrizione o riscatto con la gestione ex ENPAS (confluita in INPS a seguito della soppressione dell’INPDAP, a partire dal 1 gennaio 2012) e, viceversa, tale convenzione si applica integralmente anche nei rapporti previdenziali nei quali l’ultima gestione di iscrizione ai fini della buonuscita, sia l’ex ENPAS e l’iscritto vanti precedenti servizi resi con iscrizione alla citata “Gestione separata”;
i commi 2 e 3 dell’art. 7 del Decreto Legge 31 maggio 2010 n. 78, convertito in Legge 30 luglio 2010 n. 122, hanno stabilito la soppressione dell’IPOST e il trasferimento delle sue funzioni all'INPS;
con l’art. 21 della legge n. 214/2011, che ha convertito il decreto-legge n. 201/2011, è stata disposta la soppressione dell’INPDAP confluito in INPS;
l’INPS, quale avente causa dei soppressi IPOST ed INPDAP (in particolare, per la gestione ex ENPAS), fornisce a SISPI i flussi informativi di carattere anagrafico, retributivo e contributivo necessari per la liquidazione dell’indennità di buonuscita in questione e la gestione delle relative rivalse, in caso di iscrizione a più gestioni nel corso della vita lavorativa del personale già dipendente dell'Ente Poste;
a seguito dell’adozione della determinazione presidenziale n.106/2018, l’INPS e la “Gestione Commissariale Fondo buonuscita per i lavoratori di Poste Italiane S.p.a.” hanno stipulato, in data 26 agosto 2018, un accordo per lo svolgimento di attività amministrative contabili ed informatiche finalizzate alla erogazione di prestazioni di buonuscita per i dipendenti dell’Ente Poste;
l’accordo richiamato nel punto superiore prevede che l’INPS si riserva la facoltà di avvalersi della società SISPI per lo svolgimento delle citate attività finalizzate all’erogazione delle prestazioni di buonuscita per i dipendenti dell’Ente Poste;
con decreto legislativo 5 dicembre 2005, n. 252, è stata dettata la nuova "Disciplina delle forme pensionistiche complementari';
con decreto 30 gennaio 2007, del Ministero del Lavoro e della Previdenza sociale dì concerto con il Ministero dell'Economia e delle Finanze, è stata, tra l'altro, disciplinata la forma pensionistica complementare residuale presso l'INPS, denominata "Fondo complementare I.N.P.S.” (di seguito definito "FONDINPS");
ai sensi dell'art. 5 del precitato decreto ministeriale ed in esecuzione della determinazione del Commissario Straordinario dell'INPS 11 febbraio 2009, n. 11, è stata stipulata apposita convenzione, tra INPS e FONDINPS, per la gestione dei servizi amministrativi e contabili e per le modalità di raccolta dei contributi di FONDINPS;
XXXXX ha assicurato, sin dal 2009, mediante successive apposite convenzioni con INPS, la gestione dei servizi amministrativi e contabili necessari all’operatività di FONDINPS, ciò al fine di garantire l’autonomia patrimoniale, amministrativa e contabile di FONDINPS come previsto dalle disposizioni dell’art. 3 del decreto del Ministero ministeriale del 30 gennaio 2007 sopracitato;
con determinazione presidenziale n. 103 del 21 giugno 2017, l’Istituto ha adottato la convenzione tra INPS, FONDINPS E SISPI, sottoscritta il 30 giugno 2017, nella quale, SISPI, per conto dell'INPS, continua ad assicurare la gestione dei servizi amministrativi e contabili in favore di FONDINPS;
con determinazione presidenziale n. 12 del 18 gennaio 2013 è stato adottato l’accordo di servizio tra l’INPS e SISPI per lo svolgimento di attività e servizi stipulato in data 1 marzo 2013, con durata triennale dalla data di sottoscrizione nel quale sono elencati i servizi svolti da SISPI a favore di FONDINPS, degli Enti bilaterali/Fondi/Casse e dei Fondi di previdenza del comparto pubblico;
con determinazione presidenziale n. 13 del 18 gennaio 2013, l’INPS ha adottato la convenzione quadro tra l'Istituto medesimo e le Associazioni/Enti bilaterali/Fondi/Casse, per la riscossione dei contributi da destinare al finanziamento dell'Ente bilaterale/Fondo/Cassa;
l'INPS da tempo svolge, mediante apposite convenzioni stipulate su richiesta, l'attività di riscossione dei contributi dovuta agli Enti bilaterali, Fondi e Casse previsti dai contratti collettivi nazionali di lavoro;
con determinazione presidenziale n. 191 del 22 dicembre 2015, le cui premesse si intendono qui integralmente richiamate, l’INPS ha affidato a SISPI le funzioni di Segretariato riferite alla Componente 2 e tutte le attività orizzontali del Progetto Europeo “EU-CHINA Social Protection Reform Project”;
SISPI per l’espletamento delle attività ad essa affidate e per servizi aggiuntivi tra i quali quelli di elaborazione dati anonimi per statistiche di settore accede a specifici archivi dell’Istituto;
l'INPS, al fine di assicurare lo svolgimento dei servizi e delle attività oggetto di convenzione, ha da tempo implementato il proprio sistema di raccolta dei contributi obbligatori per renderlo capace dì ricevere e veicolare anche i dati relativi alla contribuzione relativa alla previdenza complementare e i dati e le contribuzioni destinati a Enti bilaterali, Fondi e Casse previsti dai contratti collettivi nazionali di lavoro;
l’INPS, vista peraltro la progressiva riduzione del proprio organico in rapporto alle funzioni espletate, intende destinare prioritariamente le proprie risorse umane allo svolgimento di attività di previdenza ed assistenza obbligatorie, che hanno anche le più rilevanti ricadute sociali, affidando alcune delle altre funzioni ed attività proprie a soggetti diversi, che siano in grado di assicurarne lo svolgimento efficace, efficiente, economico e tempestivo, caratterizzato, da elevati standard dì qualità e quantità di servizio, con l’effetto dì garantire comunque l’imparzialità e il buon andamento dell’azione amministrativa;
l’Assemblea straordinaria di SISPI tenutasi il 31 luglio 2017, alla quale l’INPS ha partecipato in base alla determinazione presidenziale n. 128 del 31 luglio 2017, ha deliberato la modifica dello Statuto Sociale al fine di rispettare le previsioni in materia di governance e di qualificazione della società come “in house” rispetto all’Istituto, in linea con quanto disposto dal decreto legislativo 19 agosto 2016 n. 175, come integrato e modificato con il decreto legislativo 16 giugno 2017, n. 100; in particolare, è stata prevista l’introduzione di un amministratore unico in luogo del Consiglio di Amministrazione, delle previsioni che definiscono il c.d. “controllo analogo” esercitato dal socio sulla società, e del vincolo che oltre l'80% del fatturato deve essere effettuato nello svolgimento di compiti affidati dall’ente pubblico socio;
l’INPS, attualmente socio unico di SISPI, esercita, pertanto, il controllo analogo sulla società e ne determina gli indirizzi gestionali, anche attraverso la nomina dell’Amministratore Unico e del Collegio Sindacale;
le Linee Guida approvate dal Consiglio dell’Autorità Nazionale Anticorruzione con delibera n. 235 del 15 febbraio 2017, aggiornate con delibera del Consiglio n. 951 del
20 settembre 2017, hanno fornito le indicazioni per l’iscrizione nell’Elenco delle
amministrazioni aggiudicatrici e degli enti aggiudicatori che operano mediante affidamenti diretti nei confronti di proprie società in house previsto dall’art. 192 del d.Lgs. 18 aprile 2016, n. 50;
SISPI ha per oggetto sociale l’attività di fornitura di servizi amministrativo contabili relativi alla riscossione dei contributi ed all'erogazione delle prestazioni nell'ambito della gestione dei Fondi di previdenza complementare e integrativa e servizi di ricerca e consulenza per il mercato dell’area della previdenza e assistenza in genere. Inoltre può svolgere tutti i predetti servizi per Enti/Fondi/Casse previdenziali e assistenziali pubblici e privati, nonché servizi connessi ai compiti istituzionali di INPS ovvero di altri eventuali soci, ivi compresi quelli relativi alla gestione di progetti comunitari e/o internazionali;
SISPI è dotata di una struttura organizzativa ed operativa specializzata, tra l'altro, nella fornitura, anche su larga scala, di servizi amministrativo-contabili e di servizi informatici;
la determinazione del Presidente dell'INPS, n. 132 del 30 ottobre 2018 di adozione del presente accordo, modifica, per le parti con essa incompatibili, il contenuto delle determinazioni sin qui richiamate;
VISTI
il decreto legislativo 30 giugno 2003, n.196 “ Codice in materia di protezione dei dati personali” e successive modificazioni e integrazioni;
il Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), di seguito, per brevità, solo il “Regolamento UE”;
il Decreto Legislativo 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), GU n.205 del 4-9-2018, in vigore dal 19 settembre 2018;
il provvedimento dell’Autorità Garante per la protezione dei dati personali del 2 luglio 2015 n. 393 con oggetto “"Misure di sicurezza e modalità di scambio dei dati personali tra PP.AA.”;
VALUTATI
i trattamenti oggetto del presente accordo nei termini previsti dall’art. 35 del Regolamento (UE) 2016/679, tenuto conto della significativa mole di dati trattati e dei rischi connessi ai trattamenti medesimi e declinate le misure predisposte per farvi fronte.
CIO' PREMESSO, CHE COSTITUISCE PARTE INTEGRANTE E SOSTANZIALE DEL PRESENTE ACCORDO, SI CONVIENE E SI STIPULA QUANTO SEGUE
Art.1
Oggetto dell’accordo e caratteri generali dei servizi
L 'INPS affida a SISPI, che accetta, lo svolgimento, con organizzazione autonoma, dei servizi amministrativo/contabili e delle attività (di seguito definiti "servizi") indicati e disciplinati negli articoli da 2 a 7 del presente accordo.
I servizi sono collegati allo svolgimento delle funzioni di previdenza ed assistenza obbligatorie attribuite all'INPS e sono erogati direttamente ai soggetti beneficiari degli stessi.
Negli accordi tra INPS e soggetti terzi, pertanto, SISPI sarà indicata quale parte operativa degli adempimenti a carico di INPS, nel rispetto di quanto stabilito ai sensi delle disposizioni di cui all’art. 16 del D.lgs. n. 175/2016 – Testo unico in materia di società a partecipazione pubblica.
XXXXX garantisce che gli adempimenti conseguenti ai servizi affidati da INPS saranno svolti con la dovuta diligenza, nel rispetto delle vigenti disposizioni normative, e sarà direttamente obbligata nei confronti dei terzi e dell’Istituto per la loro esecuzione.
Gli oneri relativi ai servizi riferiti a soggetti beneficiari saranno fissati negli accordi tra INPS ed i soggetti medesimi.
Il corrispettivo per lo svolgimento delle predette attività sarà stabilito nell’atto di affidamento o nelle convenzioni stipulate e non sarà superiore al costo pieno dei servizi stessi laddove svolti direttamente dall’Istituto, oltre imposte dirette indirette e tasse, salvo che si verifichino situazioni o condizioni particolari che rendono necessaria una diversa modulazione della misura del corrispettivo stesso.
Art.2
Servizi a favore di FONDINPS
L'INPS affida a SISPI, che accetta, l’esecuzione dei servizi previsti dalla convenzione citata in premessa tra INPS e FONDINPS, per lo svolgimento della funzione di gestione amministrativo contabile di FONDINPS.
Per l’esecuzione dei servizi e delle relative attività di cui al precedente comma si fa rinvio alla convenzione adottata con determinazione presidenziale n. 103 del 21 giugno 2017 e sottoscritta il 30 giugno 2017.
Art. 3
Servizi a favore di Enti bilaterali/Fondi/Casse
L'INPS affida a SISPI, che accetta, lo svolgimento del servizio di fornitura dei dati, ad oggi prelevati dal flusso F24 e dal flusso UNIEMENS, necessari per i raggiungimento dei fini istituzionali degli Enti bilaterali/Fondi/Casse che intrattengono e a quelli, tra i
detti soggetti, che intratterranno con l’INPS rapporti di convenzione per la riscossione dei contributi da destinare al proprio finanziamento.
Per lo svolgimento dei servizi in argomento si fa rinvio alla vigente convenzione quadro adottata con determinazione presidenziale n. 13 del 18 gennaio 2013.
I costi relativi al servizio di cui al 1 comma, sono quantificati dall’INPS sulla base delle risultanze della contabilità analitica e vengono attualizzati annualmente.
Art.4
Servizi a favore dei Fondi di previdenza del comparto pubblico ed agli Enti datori di lavoro
Con riferimento alle convenzioni che verranno stipulate tra INPS ed i Fondi di previdenza del comparto pubblico, gli Enti datori di lavoro e le amministrazioni pubbliche che intrattengono e a quelli, tra i detti soggetti, che intratterranno con l'INPS rapporti di convenzione per lo scambio di informazioni inerenti alla gestione delle posizioni di previdenza complementare, lo svolgimento di servizi amministrativo- contabili ad esse riferibili sarà affidato a SISPI.
La gestione delle attività di SISPI dovrà essere conforme alla normativa di settore, con particolare riferimento alla predisposizione dei dati e dei documenti necessari ai Fondi per i rapporti con la COVIP e, più in generale, per la corretta gestione dei Fondi medesimi.
Art.5
Servizi a favore di Gestione Commissariale Fondo buonuscita per i lavoratori di Poste Italiane S.p.a.
L’INPS affida a SISPI, che accetta, lo svolgimento dei servizi relativi alle attività amministrative collegate al Fondo Buonuscita Poste a favore del personale dipendente di Poste Italiane S.p.A..
Per l’affidamento e lo svolgimento dei servizi in argomento si fa riferimento all’accordo tra INPS e “Gestione Commissariale Fondo buonuscita per i lavoratori di Poste Italiane S.p.a.” adottato con determinazione presidenziale n.106 del 1° agosto 2018 e sottoscritto in data 26 agosto 2018.
In particolare INPS fornisce a SISPI i flussi informativi di carattere anagrafico, retributivo e contributivo necessari per la liquidazione dell’indennità di buonuscita al personale dipendente dell’Ente Poste e la gestione delle relative rivalse in caso di iscrizione a più gestioni nel corso della vita lavorativa.
Art. 6
Servizi connessi alla gestione di progetti comunitari e/o internazionali
Oltre alle funzioni affidate a SISPI con la determinazione presidenziale n. 191 del 2015, possono essere affidati a SISPI, compiti relativi all’espletamento di servizi
connessi alle funzioni istituzionali di INPS relative alla gestione di progetti comunitari e/o internazionali.
Nella comunicazione di affidamento saranno dettagliate sia le modalità gestionali necessarie all’attuazione dei servizi anzidetti che i costi di gestione, fatto salvo quanto rimborsato dalla comunità europea.
Articolo 7
Altri servizi a favore di Inps
L’INPS può affidare a SISPI lo svolgimento di servizi strumentali ad attività di natura istituzionale, anche con riguardo a specifici progetti speciali, con apposito atto aggiuntivo al presente Accordo, adottato con determinazione presidenziale, con il quale verranno definite le modalità gestionali necessarie all’attuazione dei servizi anzidetti.
Art. 8
Accesso alle banche dati dell’Istituto
L’INPS fornisce a SISPI i dati personali necessari per lo svolgimento dei servizi affidati, attraverso l’accesso diretto alle banche dati di riferimento ovvero la fornitura su richiesta delle relative informazioni.
L'accesso avverrà secondo le modalità indicate nell’allegato 2 del presente Accordo.
Art. 9
Misure di sicurezza e responsabilità
XXXXX si impegna a rispettare i limiti e le condizioni di accesso previsti volti ad assicurare la protezione dei dati personali e garantire un livello di sicurezza adeguato ai sensi dell’articolo 32 Regolamento UE 2016/679.
Allo scopo di incrementare la sicurezza nelle modalità di accesso ai dati, è volontà delle Parti adattare progressivamente i contenuti dell’Accordo alle regole tecniche di cooperazione informatica previste dal Codice dell’Amministrazione Digitale nonché alle ulteriori misure che si renderanno necessarie in relazione all’evoluzione tecnica.
SISPI si impegna a fornire tempestivamente all’INPS ogni informazione utile in ordine a qualsiasi violazione dei dati o incidenti informatici, eventualmente occorsi nell’ambito dei trattamenti effettuati per conto dell’Istituto, che possano avere un impatto significativo sui dati personali, in modo che l’Istituto medesimo adempia, nei termini prescritti, alla dovuta segnalazione di c.d. “data breach” al Garante per la protezione dei dati personali in osservanza di quanto disposto dall’articolo 33 del Regolamento UE 2016/679 e dal Provvedimento n. 393 del 2 luglio 2015 dell’Autorità Garante.
Art. 10
Disposizioni in materia di protezione dei dati personali
Per i servizi INPS resi da SISPI, Titolare del trattamento dei dati è l’Istituto Nazionale della Previdenza Sociale che, ai sensi dell’art. 28 del Regolamento UE 2016/679, nomina SISPI quale “Responsabile del trattamento”, come da allegato Atto di nomina (Allegato 1).
Dalla sottoscrizione dell’Atto di nomina il Responsabile del trattamento designato si vincola alla scrupolosa osservanza, oltre che delle apposite istruzioni ricevute dal Titolare (INPS) – a partire da quelle contenute nello stesso nell’Atto di nomina e, successivamente, di quanto a tal fine indicato dal Titolare - delle disposizioni contenute nel Regolamento UE 2016/679, in particolare per quanto concerne le modalità con cui effettuare le operazioni affidate, la sicurezza dei dati oggetto del trattamento, gli adempimenti e le responsabilità nei confronti degli interessati, dei terzi e dell’Autorità del Garante.
SISPI, in qualità di Responsabile del trattamento, assicura che i dati personali vengano utilizzati per fini non diversi da quelli previsti dalle disposizioni normative vigenti e limitatamente ai trattamenti strettamente connessi agli scopi di cui al presente Accordo nell’ambito delle condizioni di liceità richiamate a fondamento dello stesso.
Ai sensi dell’art. 5 del citato Regolamento UE, i dati dovranno essere trattati nel rispetto dei principi di liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza.
E’ fatto divieto assoluto a SISPI di utilizzare i dati per scopi diversi da quelli previsti dal presente Accordo, nonché da quelli consentiti dalla normativa vigente in materia di consultazione delle banche dati, con particolare riferimento alla tutela della riservatezza delle persone. XXXXX assicura altresì che i dati medesimi non siano divulgati, comunicati, ceduti a terzi, né in alcun modo riprodotti.
L’INPS effettua il tracciamento di tutti gli accessi ai propri sistemi informativi effettuati da parte degli operatori di SISPI.
SISPI assicura il rispetto del divieto di utilizzo di dispositivi automatici (robot) che consentono di consultare in forma massiva i dati e di replicare i dati resi disponibili in autonome banche dati. Il rispetto di tali regole di accesso sarà oggetto di controlli da parte dell’INPS ed eventuali accessi illegittimi e non conformi alla normativa in materia di trattamento di dati personali saranno oggetto di segnalazione al Garante per la protezione dei dati.
Per le attività oggetto del presente Accordo sono ammessi ad accedere alla procedura soltanto gli operatori ai quali SISPI abbia attribuito uno specifico profilo di abilitazione, in funzione dell’incarico svolto nel perseguimento delle finalità di cui al presente Accordo.
In conformità a quanto al precedente comma, XXXXX avrà cura di designare tali persone fisiche quali “Persone autorizzate” (figura del trattamento riconducibile all’“Incaricato del trattamento” ai sensi dell’art. 30 del d. lgs. n. 196/2003). Ai fini di tale designazione SISPI si impegna ad individuare le modalità più opportune, restando esplicitamente ammesso l’utilizzo delle modalità, compresa quella semplificata, descritte nell’art. 30 del decreto legislativo n. 196/2003.
SISPI, in qualità di “Responsabile del trattamento”, impartisce precise e dettagliate istruzioni alle “Persone autorizzate” e, in tale ambito, provvede a richiamare l’attenzione sulle responsabilità connesse all’uso illegittimo dei dati e sul corretto utilizzo delle funzionalità dei collegamenti.
XXXXX, in qualità di “Responsabile del trattamento”, a norma dell’art. 28, paragrafo 3, lett. b) del Regolamento UE, garantisce che le “Persone autorizzate” al trattamento dei dati siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
XXXXX, in qualità di “Responsabile del trattamento”, detiene un elenco nominativo aggiornato delle persone fisiche autorizzate, recante altresì l’indicazione dei trattamenti affidati e dei relativi profili di autorizzazione di accesso ai dati.
XXXXX, in qualità di “Responsabile del trattamento”, non è autorizzato a ricorrere ad altro Responsabile per il trattamento ai sensi dell’art. 28, paragrafo 2, del Regolamento UE.
Art. 11 Tracciamento degli accessi e controlli
XXXXX si impegna a comunicare alle “Persone autorizzate” ai sensi del precedente art. 10 che l’Istituto procede al tracciamento dell’accesso ai dati tramite registrazioni che consentono di verificare a posteriori le operazioni eseguite da ciascun operatore autorizzato.
Le Parti svolgono il controllo, anche a campione, del rispetto delle corrette modalità di accesso stabilite da questo Accordo.
SISPI consentirà verifiche puntuali sulla legittimità degli accessi e si impegna a fornire all’Istituto, entro 5 giorni dall’avvenuta esecuzione delle verifiche, tutti i chiarimenti e la documentazione che si rendesse necessaria a seguito dell’attivazione dei controlli previsti dal precedente comma.
L'INPS si riserva la facoltà di modificare in ogni momento il software di controllo degli accessi, in relazione all'evoluzione dei propri sistemi di sicurezza logica dei dati.
Art. 12
Richieste di elaborazione dati
Tramite scambio di note tra i Referenti di cui all’art. 13 con cadenza semestrale, possono essere richieste all’INPS elaborazioni di dati resi anonimi attraverso opportune procedure informatiche, per lo svolgimento delle attività previste dallo Statuto di SISPI, ivi comprese quelle connesse alla residua quota del fatturato non derivante da affidamenti diretti da parte dell’Istituto.
Le elaborazioni dovranno essere relative a set di dati aggregati ed anonimi privi di ogni riferimento che ne permetta il collegamento con gli interessati e comunque secondo modalità che rendono questi ultimi non identificabili.
Art.13 Referenti
Ai fini della corretta applicazione di quanto previsto nel presente accordo, ciascuna delle Parti nomina un proprio Referente quale rappresentante preposto alla gestione dei rapporti e delle comunicazioni tra le Parti per la gestione del medesimo accordo.
La Società, inoltre, con atto del legale rappresentante, nomina un Supervisore con il compito di monitorare e controllare le attività dei propri operatori abilitati e un amministratore Utenze preferibilmente scelto tra personale con cui abbia un rapporto professionale stabile per effettuare la richiesta di assegnazione di credenziali di accesso per gli operatori della Società e revocare le autorizzazioni al venir meno delle condizioni che ne hanno determinato la concessione.
I nominativi ed i recapiti delle figure di riferimento delle Parti per l’attuazione dell’accordo saranno oggetto di apposite comunicazioni PEC tra le stesse.
Art. 14 Monitoraggio delle attività
In attuazione di quanto disposto nel d.lgs. 175 del 19 agosto 2016 e della normativa di riferimento, INPS esercita sulla società un controllo cd “analogo” a quello svolto sui propri servizi.
A tal fine SISPI, per il tramite del Referente e con periodicità semestrale, trasmette all’INPS i documenti utili a consentirgli una valutazione sull’andamento gestionale della società, anche in relazione agli equilibri economici finanziari, e la formulazione di specifici atti di indirizzo vincolanti per la società.
Art.15
Validità, efficacia e recesso
Il presente accordo è valido ed efficace per tre anni dalla data della sua sottoscrizione. Esso è rinnovabile per ulteriori tre anni su conforme volontà di entrambe le Parti, che ciascuna di esse manifesta con comunicazione via PEC all'altra almeno tre mesi prima della scadenza.
L’Istituto si riserva la facoltà di recedere anticipatamente dall’accordo, dandone preavviso a SISPI con comunicazione PEC almeno due mesi prima, a seguito della sopravvenienza di motivi di pubblico interesse dell’Istituto.
INPS SISPI
Allegato 1
Atto giuridico di nomina quale Responsabile del Trattamento dei dati personali
ai sensi dell’art. 28 del Regolamento UE 2016/679
Disciplina dei trattamenti: compiti e istruzioni per il trattamento
Atto di Nomina quale Responsabile del Trattamento
L’Istituto Nazionale Previdenza Sociale con sede in Roma, Via Xxxx il Grande n. 21, C.F. n. 80078750587 – rappresentato dal Presidente xxxx. Xxxx Xxxxxxx Xxxxx, (di seguito, per brevità, solo l’”INPS”)
VISTO
• Il Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), di seguito, per brevità, solo il “Regolamento UE”;
• Il Decreto Legislativo 10 agosto 2018, n. 101 recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), GU n.205 del 4-9-2018, in vigore dal 19 settembre 2018;
CONSIDERATO
• che l’art. 4, paragrafo 1, numero 8, del Regolamento UE definisce il «Responsabile del trattamento» come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento;
• il considerando numero 81 del Regolamento UE che prevede che “Per garantire che siano rispettate le prescrizioni del presente regolamento riguardo al trattamento che il responsabile del trattamento deve eseguire per conto del titolare del trattamento, quando affida delle attività di trattamento a un responsabile del trattamento il titolare del trattamento dovrebbe ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente regolamento, anche per la sicurezza del trattamento….. L’esecuzione dei trattamenti da parte di un responsabile del trattamento dovrebbe essere disciplinata da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri che vincoli il responsabile del trattamento al titolare del trattamento, in cui siano stipulati la materia disciplinata e la durata del trattamento, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, tenendo conto dei compiti e responsabilità specifici del responsabile del trattamento nel contesto del trattamento da eseguire e del rischio in relazione ai diritti e alle libertà dell’interessato…..Dopo il completamento del trattamento per conto del titolare del trattamento, il responsabile del trattamento dovrebbe, a scelta del titolare del trattamento, restituire o cancellare i dati personali salvo che il diritto dell’Unione o degli Stati membri cui è soggetto il responsabile del trattamento
prescriva la conservazione dei dati personali”.
• che l’art. 28, paragrafo 1, del Regolamento UE stabilisce che “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”;
• che l’art. 28, paragrafo 3, del Regolamento UE stabilisce che “ I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”;
• che l’art. 28, paragrafo 3, lett. b) del Regolamento UE stabilisce che, nell’ambito del contratto o da altro atto giuridico a norma del punto precedente, sia previsto, in particolare, che il Responsabile “garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza”;
• che l’art. 9 del Regolamento UE definisce “categorie particolari di dati personali” i dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona;
PREMESSO
• che l’INPS, ai sensi dell’art. 24 del Regolamento UE, è Titolare del trattamento dei dati personali di cui all’oggetto dell’Accordo di Servizio tra l’INPS e ITALIA PREVIDENZA - SOCIETA' ITALIANA DI SERVIZI PER LA PREVIDENZA INTEGRATIVA PER AZIONI (in appresso anche più brevemente "SISPI." o, congiuntamente a "INPS" "le Parti"). stipulato congiuntamente al presente atto;
• che per l’espletamento dei servizi oggetto dell’Accordo di Servizio, il Titolare intende nominare SISPI, Responsabile per il trattamento dei dati personali;
• che XXXXX rientra tra i soggetti che per esperienza, capacità ed affidabilità forniscono garanzie sufficienti del pieno rispetto delle vigenti disposizioni in materia di trattamento dei dati personali, ivi compreso il profilo relativo alla sicurezza, per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento UE e garantisca la tutela dei diritti dell’interessato;
• xxx XXXXX, in qualità di responsabile designato, tratterà i dati personali, anche appartenenti alle “categorie particolari di dati personali” ai sensi dell’ 9 del Regolamento UE, oggetto dell’Accordo di Servizio attenendosi ai compiti e alle istruzioni impartite dal Titolare;
tutto ciò premesso, l’INPS, in qualità di Titolare del trattamento dei dati personali di cui all’Accordo di Servizio (di seguito, per brevità, solo il “Titolare”),
DESIGNA
ai sensi e per gli effetti dell’art. 28 del Regolamento UE, SISPI, Società per azioni con Socio Unico, con sede in Xxxx, Xxx Xxxxx Xxxxxxx, x. 00, codice fiscale 06553251007, rappresentato dall’Amministratore Unico Xxxx. Xxxxxx Xxxxxxxxx, quale “Responsabile del trattamento” (di seguito, per brevità, solo il “Responsabile”) per l’espletamento dei servizi previsti dall’Accordo di Servizio.
SISPI in persona del Xxxx. Xxxxxx Xxxxxxxxx, nella sua qualità di Amministratore Unico, con la sottoscrizione del presente Xxxx dichiara espressamente di accettare la designazione e dichiara di conoscere gli obblighi che, per effetto di tale accettazione, assume in relazione a quanto prescritto dal Regolamento UE, dall’Accordo di Servizio e dalle prescrizioni del Garante per la protezione dei dati personali (di seguito, per brevità, solo il “Garante”).
Disciplina dei trattamenti:
compiti e istruzioni per il Responsabile del trattamento
ART. 1
Compiti del Responsabile del trattamento
1.1. Il Titolare affida al Responsabile le operazioni di trattamento dei dati personali - anche appartenenti alle “categorie particolari di dati personali” ai sensi dell’9 del Regolamento UE - di cui agli articoli da 2 a 6 dell’Accordo di Servizio e nell’Allegato n. 2 allo stesso, esclusivamente per le finalità indicate nel medesimo Accordo.
1.2. Il Responsabile conferma la sua diretta ed approfondita conoscenza degli obblighi che assume in relazione alle disposizioni contenute nel Regolamento UE ed assicura che la propria struttura organizzativa è idonea ad effettuare il trattamento dei dati di cui all’Accordo di Servizio nel pieno rispetto delle prescrizioni legislative, ivi compreso il profilo della sicurezza e si impegna a realizzare, ove mancante, tutto quanto ritenuto utile e necessario per il rispetto e l’adempimento di tutti gli obblighi previsti dal Regolamento UE, nei limiti dei compiti che gli sono affidati.
1.3. Il Responsabile si vincola a comunicare al Titolare qualsiasi mutamento delle garanzie offerte
o gli elementi di valutazione in ordine all’incertezza del mantenimento delle stesse, con riferimento all’adozione delle misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento UE e garantisca la tutela dei diritti dell’interessato, considerato che la sussistenza di tali garanzie è presupposto per la presente nomina a Responsabile e per il suo mantenimento.
1.4. Il Titolare comunicherà al Responsabile qualsiasi variazione si dovesse rendere necessaria nelle operazioni di trattamento dei dati. Il Responsabile e i soggetti autorizzati al trattamento sotto la sua diretta autorità non potranno effettuare nessuna operazione di trattamento dei dati, compresi anche quelli appartenenti alle “categorie particolari di dati personali” ai sensi dell’ 9 del Regolamento UE, al di fuori delle regole previste nell’Accordo di Servizio e osserveranno, in ogni fase del trattamento, il rispetto dei principi di liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza, sanciti dall’art. 5 del Regolamento UE.
ART. 2.
Modalità di espletamento dei compiti
2.1 Il Responsabile si impegna a trattare i dati personali solo per le finalità e i tempi strettamente necessari all’erogazione dei servizi forniti per conto del Titolare, come previsti nell’Accordo di Servizio, nel pieno rispetto sia della normativa vigente - con particolare riguardo alle norme del Regolamento UE – sia delle istruzioni fornite dal Titolare, a cominciare da quelle indicate nel presente Atto, nonché le ulteriori eventualmente contenute in successive comunicazioni che, a tale fine, gli saranno formalizzate dal Titolare.
2.2 Il Responsabile avrà particolare riguardo ad attenersi alle modalità indicate dal Titolare per effettuare le operazioni affidate, al rispetto delle prescrizioni contenute nell’Allegato n. 2 all’Accordo di Servizio, alla tutela della sicurezza dei dati oggetto del trattamento, agli adempimenti e alle responsabilità nei confronti degli interessati, dei terzi e del Garante.
2.3 Laddove il Responsabile rilevi la sua impossibilità a rispettare le istruzioni impartite dal Titolare, anche per caso fortuito o forza maggiore, deve tempestivamente informare il Titolare per concordare eventuali ulteriori misure di protezione. In tali casi, comunque, il Responsabile adotterà tempestivamente ogni possibile e ragionevole misura di salvaguardia.
2.4 Il Responsabile si impegna ad adottare le misure di sicurezza per la protezione dei dati idonee a garantirne la riservatezza, l’integrità, la disponibilità e la custodia in ogni fase del trattamento così da ridurre al minimo i rischi di perdita e distruzione, anche accidentale, dei dati stessi, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità dei servizi oggetto dell’Accordo di Servizio. In tale ambito il Responsabile adotta un sistema di sicurezza, anche per l’identificazione ed autenticazione dei soggetti autorizzati alle operazioni sui dati, mettendo in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio presentato dal trattamento in linea con le disposizioni di cui all’art. 32 del Regolamento UE.
ART. 3
Persone autorizzate al trattamento
3.1. Il Responsabile assicura che il trattamento affidato sarà svolto esclusivamente da persone preventivamente autorizzate. Il Responsabile si impegna ad individuare e nominare le persone fisiche autorizzate al trattamento dei dati quali “Persone autorizzate” (figura del trattamento riconducibile all’Incaricato del trattamento” ai sensi dell’art. 30 del d. lgs. n. 196/2003), scegliendo tra i propri dipendenti e collaboratori, che operano sotto la sua diretta autorità, quelli reputati idonei ad eseguire le operazioni di trattamento, nel pieno rispetto delle prescrizioni legislative, impartendo loro, per iscritto, le idonee indicazioni per lo svolgimento delle relative mansioni, con l’assegnazione di apposite credenziali e uno specifico profilo di abilitazione e attraverso la definizione di regole e modelli di comportamento.
3.2 Il Responsabile indica precise e dettagliate istruzioni alle persone autorizzate e, in tale ambito, provvede a richiamare l’attenzione sulle responsabilità connesse all’uso illegittimo dei dati e sul corretto utilizzo delle funzionalità dei collegamenti; in tale ambito, il Responsabile impegna le “Persone autorizzate” al trattamento alla riservatezza anche attraverso l’imposizione di un adeguato
obbligo legale di riservatezza.
3.3 Il Responsabile detiene un elenco nominativo aggiornato delle “Persone autorizzate”, recante altresì l’indicazione dei trattamenti affidati e dei relativi profili di autorizzazione di accesso ai dati.
3.4 Il Responsabile deve provvedere, nell’ambito dei percorsi formativi predisposti per i soggetti autorizzati al trattamento dei dati, alla specifica formazione sulle modalità di gestione sicura e sui comportamenti prudenziali nella gestione dei dati personali, specie con riguardo all’obbligo legale di riservatezza cui gli stessi sono soggetti.
3.5 Il Responsabile, in osservanza dell’art. 32, paragrafo 4, del Regolamento UE, assicura che chiunque agisca sotto la sua autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal Titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
ART. 4
Controlli e tracciamento degli accessi
4.1 Il Titolare del trattamento eseguirà controlli, anche a campione, finalizzati ad una verifica della puntuale applicazione delle istruzioni impartite al Responsabile nonché della conformità delle operazioni di trattamento alla normativa di riferimento in materia. Qualora tali controlli implichino l’accesso ai locali del Responsabile, quest’ultimo si impegna a consentire l’accesso ai rappresentanti del Titolare, salvo preavviso di almeno cinque giorni lavorativi. Detti controlli si svolgeranno con modalità tali da non interferire con la regolare attività del Responsabile.
4.2 Il Responsabile tiene traccia dell’accesso ai dati e delle operazioni svolte dalle “Persone autorizzate” e fornisce le evidenze al Titolare nel caso in cui quest’ultimo ne faccia richiesta.
4.3 Il Responsabile si impegna ad informare per iscritto il Titolare, qualora lo richieda, circa lo stato di applicazione delle procedure ed istruzioni impartite e, in ogni caso di necessità, a segnalargli l’opportunità di intervento, consentendo e contribuendo alle attività di revisione dallo stesso realizzate.
ART. 5
Registro dei trattamenti e nomina RPD
5.1 Il Responsabile tiene il registro di tutte le categorie di attività relative al trattamento svolto per conto del Titolare contenente gli elementi di cui all’art. 30, paragrafo 2, del Regolamento UE.
5.2 Il Responsabile, se ricorrono i presupposti, procede alla designazione del Responsabile della protezione dei dati ai sensi dell’art. 37 del Regolamento UE, comunicandone gli estremi e i dati di contatto al Titolare.
ART. 6
Comunicazione e diffusione dei dati
6.1 Il Responsabile, al di fuori dei casi previsti da specifiche norme di legge, non può comunicare e/o diffondere dati senza l’esplicita autorizzazione del Titolare.
ART. 7
Obblighi di collaborazione con il Titolare
7.1 Il Responsabile si impegna a comunicare tempestivamente al Titolare qualsiasi richiesta di esercizio dei diritti dell’interessato ricevuta ai sensi degli artt. 15 e seguenti del Regolamento UE, per consentirne l'evasione nei termini previsti dalla legge, e ad avvisarlo immediatamente in caso di ispezioni, di richiesta di informazioni e di documentazione da parte del Garante, fornendo, per quanto di competenza, il supporto eventualmente richiesto.
7.2 Il Responsabile, a norma dell’art. 33, paragrafo 2, del Regolamento, deve informare senza ritardo il Titolare, fornendo ogni informazione utile, in caso di violazione dei dati o incidenti informatici eventualmente occorsi nell’ambito dei trattamenti effettuati per conto dell’Istituto, che possano avere un impatto significativo sui dati personali, in modo che l’Istituto medesimo adempia, nei termini prescritti, alla dovuta segnalazione di c.d. “data breach” al Garante per la protezione dei dati personali in osservanza dello di quanto disposto nel Provvedimento n. 393 del 2 luglio 2015.
7.3 Il Responsabile, tenendo conto della natura del trattamento e delle informazioni di cui dispone, deve assistere il Titolare nel garantire il rispetto di tutti gli obblighi di cui agli artt. da 32 a 36 del Regolamento. In particolare, conformemente all’art. 28, paragrafo 3, lett. f) del Regolamento, deve assistere il Titolare nell’esecuzione della valutazione d’impatto sulla protezione dei dati e fornire tutte le informazioni necessarie.
ART. 8
Ulteriori disposizioni
8.1 Il Responsabile adotta tutte le necessarie misure e gli accorgimenti circa le funzioni di “amministratori di sistema” in conformità al Provvedimento Generale del Garante del 27 novembre 2008, così come modificato in base al provvedimento del 25 giugno 2009; in particolare, designa individualmente per iscritto gli “amministratori di sistema” (e funzioni assimilate), con elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato, attribuendo tali funzioni previa valutazione dell'esperienza, della capacità e dell'affidabilità del soggetto designato. Il Responsabile conserva l’elenco degli amministratori di sistema, con gli estremi identificativi e le funzioni loro attribuite e, qualora richiesto, comunica tale elenco al Titolare.
ART. 9
Disposizioni finali
9.1 Con la sottoscrizione del presente Atto, il Responsabile accetta la nomina attenendosi alle istruzioni ivi indicate e alle disposizioni di legge ed eventuali successive modifiche ed integrazioni e ad ogni altra normativa vigente in materia di protezione di dati personali.
9.2 Fatta eccezione per quanto diversamente previsto, il presente Atto di Nomina cesserà, comunque, di produrre i suoi effetti al termine dell’erogazione del servizio oggetto dell’Accordo di Servizio.
4.3. Per tutto quanto non espressamente previsto nel presente atto e nell’Accordo di Servizio, si rinvia alle disposizioni generali vigenti in materia di protezione dei dati personali.
Luogo e data
Il Titolare SISPI
per accettazione dell’incarico
Allegato 2 - Criteri tecnici per l’accesso ai dati
a) Modalità di fruizione
L’accesso in consultazione online ai dati previsti dalla Convenzione avviene attraverso la rete SPC o la rete pubblica internet mediante applicazioni web accessibili con protocollo HTTPS.
l servizi cui saranno abilitati gli utenti, previa sottoscrizione dell’apposita modulistica, sono denominati Hydraweb ed Anagrafica Unica Contribuenti (AUC). Potranno essere abilitate fino ad un massimo di 5 persone, incaricate da SISPI.
A tale fine dovrà essere utilizzato il modulo MV36, reperibile sul sito internet xxx.xxxx.xx, da inviare via PEC all’indirizzo xxxxxxxxxxxxx@xxxxxxxxx.xxxx.xxx.xx debitamente compilato e sottoscritto, allegando copia dei documenti di identità dei sottoscrittori.
Si conferma altresì l’abilitazione delle n. 2 utenze ad oggi attive per l’applicativo GAPE.
b) Regole di sicurezza
1) Modalità di accesso
L’accesso online ai dati è consentito solo ad operatori espressamente autorizzati da parte da SISPI. Agli operatori saranno attribuite credenziali di accesso individuali il cui uso deve essere strettamente personale e non cedibile a terzi. L’accesso potrà avvenire attraverso il codice fiscale personale ed un PIN fornito dall’INPS, attraverso la Carta Nazionale dei Servizi (CNS) o altri strumenti di autenticazione forte che potranno rendersi necessari per garantire i più idonei livelli di sicurezza.
Gli accessi degli operatori incaricati possono avvenire soltanto tramite l’uso di postazioni di lavoro connesse alla rete IP dell’Ente, anche attraverso procedure di accreditamento che consentano di definire reti di accesso sicure (VPN). È esclusa la possibilità di accesso attraverso VPN di tipo dial-up e dunque è necessario che SISPI si avvalga di connettività internet, o intranet, con IP statico.
2) Tracciamento degli accessi
Gli accessi ai servizi INPS sono oggetto di tracciamento al fine di poter risalire all’autore degli accessi a particolari dati.
3) Vincoli e restrizioni
Al fine di prevenire e/o mitigare il rischio di accessi alle banche dati all’esterno del contesto lavorativo dell’Ente, l’INPS si riserva la facoltà di limitare l’accesso ai servizi online solo in particolari fasce orarie.
Gli operatori autorizzati da SISPI sono tenuti all’osservanza della “Informativa per l'utilizzo del PIN di accesso ai servizi telematici dell'INPS”, resa nota attraverso il messaggio 11837 del 23/07/2013 e comunicata agli utenti al momento del primo accesso.