CONVENZIONE PER L’AFFIDAMENTO DEL SERVIZIO DI CONSERVAZIONE DEI DOCUMENTI INFORMATICI
Allegato cciaafl - AOO1-CCIAA_FRLT - DETERMINAZIONE DIRIGENZIALE - N° atto 2022000691 del 16/12/2022
CONVENZIONE PER L’AFFIDAMENTO DEL SERVIZIO DI CONSERVAZIONE DEI DOCUMENTI INFORMATICI
TRA
INFOCAMERE - SOCIETA' CONSORTILE DI INFORMATICA DELLE CAMERE DI COMMERCIO
ITALIANE PER AZIONI (per brevità in seguito anche solo “InfoCamere”), con sede a Roma Via
G.B. Morgagni n.13, PEC xxxxxxxxxx@xxx.xxxxxxxxxx.xx, iscritta presso il Registro delle Imprese di Roma con il seguente numero di codice fiscale 02313821007 e iscritta presso la Camera di Commercio di Roma con il numero REA RM-804877, in persona del suo Direttore Generale, Xxxx. Xxxxx Xxxxxx, e del Responsabile del Servizio di conservazione, Xxxx. Xxxxxxx Xxxxxx;
e
CAMERA DI COMMERCIO, INDUSTRIA, AGRICOLTURA ED ARTIGIANATO DI FROSINONE
LATINA (di seguito denominata anche “Ente produttore”), con sede legale in XXXXX XXXXXXX X, x.00, 00000 XXXXXX (XX), PEC xxxxx@xxx.xxxx.xxxxxx.xx, in persona del proprio Segretario Generale, avv. Xxxxxx XXXXXXX, e del Responsabile della conservazione, Marco FALSO,
di seguito congiuntamente indicate anche “le Parti”
Premesso che
A) il D.lgs. 7 marzo 2005, n. 82 e s.m.i. (Codice dell’Amministrazione Digitale) ha previsto, all’art. 43, comma 3, che “i documenti informatici, di cui è prescritta la conservazione per legge o regolamento, possono essere archiviati per le esigenze correnti anche con modalità cartacee e sono conservati in modo permanente con modalità digitali, nel rispetto delle Linee guida Agid” adottate con determinazione 407/2020 e delle modifiche intervenute con determinazione Agid del 18 maggio 2021 n. 371 e all’art. 44, 1 ter che “ In tutti i casi in cui la legge prescrive obblighi di conservazione, anche a carico di soggetti privati, il sistema di conservazione dei documenti informatici assicura, per quanto in esso conservato, caratteristiche di autenticità, integrità, affidabilità, leggibilità, reperibilità, secondo le modalità indicate nelle Linee guida. “;
B) Le Pubbliche Amministrazioni, che intendono affidare a soggetti esterni il sistema di conservazione, o parte di esso, devono avvalersi di conservatori che devono possedere i requisiti di qualità sicurezza e organizzazione individuati dalle Linee Guida Agid così come previsto dall’art. 34 del D.lgs. 7 marzo 2005, n. 82, a seguito delle modifiche apportate dall’art. 25 del decreto legge 16 luglio 2020 n. 76;
C) con determinazione 455/2021 è stato adottato da Agid il regolamento, che definisce i nuovi criteri per la fornitura del servizio di conservazione dei documenti informatici;
D) InfoCamere è la società consortile di informatica in house del sistema camerale che ha il compito di approntare, organizzare e gestire nell’interesse e per conto delle Camere di commercio e con criteri di economicità gestionale, un sistema informatico nazionale, anche ai sensi dell’art. 8 della legge 29 dicembre 1993 n. 580 e successive modifiche/integrazioni, e delle relative disposizioni attuative, in grado di trattare e distribuire in tempo reale, anche a soggetti terzi, atti, documenti e informazioni che la legge dispone siano oggetto di pubblicità legale o di pubblicità notizia o che comunque scaturiscano da registri, albi, ruoli, elenchi e repertori tenuti dalle Camere di Commercio;
InfoCamere, avvalendosi del proprio apparato informatico, può inoltre, provvedere a favore dei propri soci allo svolgimento di attività di gestione e di elaborazione dati, di consulenza e di assistenza informatica, nonché di fornitura di prodotti e di servizi anche informatici e di collegamento telematico miranti ad ottimizzare l’efficienza funzionale del sistema;
E) nell’ambito delle proprie attività istituzionali, la Camera di Commercio intende affidare ad InfoCamere il servizio di conservazione dei documenti informatici e loro aggregazioni documentali informatiche con i metadati a essi associati, contenuti nei pacchetti di versamento trasmessi;
F) InfoCamere, già iscritta con provvedimento Agid n. 11184 del 05/10/2015 nell’apposito elenco dei conservatori accreditati, dichiara di possedere i requisiti richiesti dalla normativa vigente ed essere quindi tra i soggetti che svolgono servizio di conservazione di documenti informatici ai sensi dell’art. 34 del decreto legislativo 7 marzo 2005 n. 82 e s.m.i.;
G) le Parti intendono, pertanto, stipulare apposita convenzione per disciplinare i reciproci diritti ed obblighi inerenti il servizio di conservazione dei predetti documenti informatici.
Tutto ciò premesso, tra le Parti come in epigrafe indicate si conviene e si stipula quanto segue:
Articolo 1 Premesse e allegati
Le precedenti premesse e gli allegati costituiscono parte integrante e sostanziale della presente convenzione.
Le parti dichiarano di conoscere in modo specifico e dettagliato gli allegati (Accordo sul trattamento di dati personali ai sensi dell’art. 28 del Regolamento (UE) 2016/679, Manuale di conservazione dell’ente Produttore, Manuale di conservazione di InfoCamere, Specifiche tecniche).
Articolo 2 Definizioni
Ente produttore: la Camera di Commercio titolare dell’oggetto di conservazione.
Conservatore: InfoCamere S.c.p.A che, come indicato dall’art. 34 comma 1, b) del decreto legislativo 7 marzo 2005 n. 82, possiede i requisiti di qualità sicurezza e organizzazione indicati nelle Linee Guida Agid e nel regolamento emanato da Agid, svolge le proprie attività e predispone il manuale di conservazione secondo quanto previsto dalla normativa vigente.
Responsabile del servizio di conservazione: soggetto che coordina il processo di conservazione all’interno del conservatore.
InfoCamere S.c.p.A.: la società consortile di informatica in house delle Camere di Commercio italiane già iscritta nell’elenco dei conservatori accreditati e ora, come richiesto dall’art. 34 del decreto legislativo 7 marzo 2005 n. 82, in possesso dei requisiti di qualità, di sicurezza e organizzazione individuati, nel rispetto della disciplina europea, delle Linee guida di cui all’art 71 relative alla formazione, gestione e conservazione dei documenti informatici nonché del regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici emanato da Xxxx, avuto riguardo all’esigenza di assicurare la conformità dei documenti conservati agli originali nonché la qualità e la sicurezza del sistema di conservazione.
Responsabile della conservazione: Xxxxxxxx che definisce e attua le politiche complessive del sistema di conservazione e ne governa la gestione con piena responsabilità ed autonomia;
Manuale di conservazione dell’Ente produttore: strumento in continuo aggiornamento, in ragione dell’evoluzione tecnologica e dell’obsolescenza degli oggetti e degli strumenti utilizzati, che descrive il sistema di conservazione dei documenti informatici, predisposto dall’Ente produttore in conformità alle Linee guida Agid. Il documento è pubblicato nel sito istituzionale della Camera di commercio nella sezione “amministrazione trasparente”.
Manuale di conservazione di InfoCamere: documento che descrive gli aspetti organizzativi, di processo e infrastrutturali del Servizio di conservazione svolto da InfoCamere, pubblicato in
xxxxx://xxxxxxxxxxxxx.xxxxxxxxxx.xx e che - unitamente alle specifiche tecniche e al manuale di conservazione dell’Ente produttore- costituisce parte integrante e sostanziale della presente convenzione.
Specifiche tecniche: documento che descrive gli aspetti tecnici del sistema di conservazione messo a disposizione da InfoCamere e pubblicato in xxxxx://xxxxxxxxxxxxx.xxxxxxxxxx.xx, che – unitamente al Manuale di conservazione di InfoCamere e dell’Ente produttore - costituisce parte integrante e sostanziale della presente convenzione.
Pacchetto di versamento: pacchetto informativo inviato dall’Ente produttore al sistema di conservazione gestito da InfoCamere secondo un formato predefinito e concordato, descritto nel Manuale di conservazione dell’Ente produttore.
Pacchetto di archiviazione: pacchetto informativo composto dalla trasformazione di uno o più pacchetti di versamento secondo le linee guida Agid e secondo le modalità riportate nel Manuale di conservazione dell’Ente produttore.
Pacchetto di distribuzione: pacchetto informativo inviato dal sistema di conservazione gestito da InfoCamere, in risposta ad una richiesta di accesso ad uno o più documenti informatici conservati, secondo le modalità riportate nel Manuale di conservazione dell’Ente produttore.
Servizio di conservazione: attività di conservazione dei documenti informatici in conformità all’art. 44 D. Lgs. 82/2005 e s.m.i. alle linee guida Agid e al regolamento Agid.
Articolo 3 Oggetto
1. L’Ente produttore affida ad InfoCamere il servizio di conservazione a norma di documenti informatici e loro aggregazioni documentali informatiche con i metadati a essi associati, contenuti nei pacchetti di versamento trasmessi.
Articolo 4 Modalità di esecuzione
1. InfoCamere svolgerà le attività di cui alla presente convenzione con la diligenza professionale richiesta dalla natura, dall’oggetto e dalla tipologia dell’attività espletata, nel pieno rispetto ed in conformità di tutte le disposizioni legislative e regolamentari vigenti, del Manuale di conservazione
dell’Ente produttore e del Manuale di conservazione e delle Specifiche tecniche predisposte da InfoCamere.
Le modalità di svolgimento del servizio oggetto della presente convenzione sono contenute più specificatamente nel Manuale di conservazione dell’Ente produttore e nel Manuale di conservazione e nelle Specifiche tecniche predisposte da InfoCamere, che contengono, in particolare, la descrizione del processo di conservazione, l’indicazione delle tipologie di unità documentarie sottoposte a conservazione, nonché il dettaglio dei relativi metadati.
2. Nell’esecuzione della presente convenzione, le Parti si conformeranno alle linee guida Agid e alla normativa vigente in materia di continuità operativa e di soluzioni di disaster recovery delle Pubbliche Amministrazioni, nonché ai relativi piani di emergenza ai sensi dell’art.51 D.lgs. 7 marzo 2005, n. 82.
Articolo 5 Obblighi delle Parti
1. InfoCamere, conformandosi alle linee guida Agid, si impegna a svolgere le attività di conservazione affidate dall’Ente produttore ed in particolare:
i) gestione del processo di conservazione, in conformità con la normativa vigente e con quanto descritto nel Manuale di conservazione dell’Ente produttore, nel Manuale di conservazione e nelle Specifiche tecniche predisposte da InfoCamere;
ii) generazione del rapporto di versamento secondo le modalità previste nel Manuale di conservazione dell’Ente produttore;
iii) generazione e sottoscrizione del Pacchetto di distribuzione con firma digitale o firma elettronica qualificata, nei casi previsti dal Manuale di conservazione dell’Ente produttore;
iv) monitoraggio della corretta funzionalità del sistema di conservazione;
v) verifica periodica, con cadenza non superiore ai cinque anni, dell’integrità degli archivi e della leggibilità degli stessi;
vi) adozione delle misure per rilevare tempestivamente l’eventuale degrado dei sistemi di memorizzazione e delle registrazioni e, ove necessario, per ripristinare la corretta funzionalità; adozione di analoghe misure con riguardo all’obsolescenza dei formati;
vii) produzione dei duplicati informatici secondo quanto previsto dal Manuale di conservazione dell’Ente produttore;
viii) adozione delle misure necessarie per la sicurezza fisica e logica del sistema di conservazione;
ix) assistenza agli organismi competenti previsti dalle norme vigenti per l’espletamento delle attività di verifica e di vigilanza.
2. InfoCamere si impegna inoltre a predisporre e tenere aggiornate le Specifiche tecniche pubblicate sul portale xxxxx://xxxxxxxxxxxxx.xxxxxxxxxx.xx.
3. InfoCamere garantisce all’Ente produttore la facoltà di richiedere in ogni momento la produzione di pacchetti di distribuzione, assicurando così la restituzione dei duplicati informatici dei documenti conservati e delle relative evidenze informatiche che comprovano la corretta conservazione degli stessi.
4. InfoCamere si impegna ad ottenere e mantenere l’iscrizione del proprio servizio di conservazione nell’apposita sezione del Cloud Marketplace di Agid. Qualora tale iscrizione venga meno InfoCamere ne darà immediata notizia all’Ente Produttore.
5. L’Ente produttore si impegna a predisporre ed a mettere a disposizione di InfoCamere il Manuale di conservazione ed i documenti previsti dalla normativa vigente, curandone il relativo aggiornamento.
L’ente produttore si impegna a utilizzare classi e formati disponibili nel sistema Infocamere.
6. L’Ente produttore potrà modificare il Manuale di conservazione, dandone preavviso via pec ad InfoCamere almeno 30 giorni prima. In tal caso, InfoCamere avrà facoltà di recedere dalla presente convenzione con le modalità di cui al successivo art. 8.
7. L’Ente produttore si impegna a trasmettere i documenti informatici e le loro aggregazioni nei modi e nelle forme definite nel Manuale di conservazione dell’Ente e nelle Specifiche tecniche, garantendone l’autenticità e l’integrità nelle fasi di produzione e di archiviazione corrente, effettuata nel rispetto delle norme sulla produzione e sui sistemi di gestione dei documenti informatici. In particolare, l’Ente produttore garantisce che il trasferimento dei documenti informatici venga realizzato utilizzando formati compatibili con la funzione di conservazione e rispondenti a quanto previsto dalla normativa vigente.
8. L’Ente produttore è tenuto a comunicare ad InfoCamere il nominativo del Responsabile della conservazione di volta in volta designato.
Articolo 6
Modifica e sospensione del servizio
1. InfoCamere ha facoltà di modificare, in qualsiasi momento, le caratteristiche e le modalità tecniche di fruizione del servizio, anche in virtù dell’eventuale mutamento delle disposizioni normative applicabili in materia, dandone comunicazione mediante pubblicazione presso apposita sezione informativa del portale web, almeno 14 giorni prima.
2. Qualunque modifica della presente convenzione non potrà avere luogo e non potrà essere approvata che mediante atto scritto.
3. Fermo restando il rispetto degli obblighi previsti dalla normativa vigente, InfoCamere potrà sospendere temporaneamente le attività di cui alla presente convenzione per procedere alla manutenzione di impianti ed altre apparecchiature necessarie all’esecuzione dei servizi stessi, dandone comunicazione mediante pubblicazione presso apposita sezione informativa del portale
web, con un preavviso non inferiore a 7 giorni. In caso di urgente necessità di effettuare interventi non programmati agli impianti, InfoCamere ha facoltà di sospendere i servizi di cui alla presente convenzione con preavviso di 1 giorno, comunicato mediante pubblicazione presso apposita sezione informativa del portale web.
Articolo 7 Responsabilità
1. InfoCamere svolge esclusivamente il ruolo di conservatore in conformità a quanto previsto dalla normativa vigente, in particolare dalle linee guida Agid, nonché dal Manuale di conservazione e dalle Specifiche tecniche predisposte da InfoCamere stessa, restando del tutto estranea al contenuto dei documenti oggetto di conservazione.
2. InfoCamere non può in alcun modo rispondere di eventuali anomalie nella gestione di procedimenti amministrativi, di inesattezze o errori contenuti nei documenti ricevuti, gestiti e conservati tramite il servizio oggetto della presente convenzione. InfoCamere, altresì, non risponde in caso di scorretto utilizzo del sistema di conservazione da parte dell’Ente produttore.
3. È fatto divieto all’Ente produttore di utilizzare il Servizio prestato da InfoCamere al fine di trasmettere documenti informatici che:
- siano in contrasto o violino diritti di proprietà intellettuale, segreti commerciali, marchi, brevetti o altri diritti di proprietà di terzi;
- in ogni caso, siano in contrasto con le disposizioni normative e/o regolamentari vigenti.
4. In aggiunta a quanto previsto al precedente art. 6, InfoCamere si riserva di sospendere il servizio, ovvero di impedire l'accesso ai documenti conservati, dandone apposita comunicazione all’Ente produttore qualora venga avanzata espressa richiesta in tal senso da un organo giurisdizionale o amministrativo competente in materia in base alle norme vigenti.
5. InfoCamere non assume alcuna obbligazione né presta alcuna garanzia che non sia espressamente prevista nella presente convenzione e nei relativi allegati.
6. Salvo i casi di dolo o colpa grave, InfoCamere non risponde per eventuali ritardi o inadempimenti nell’espletamento delle attività oggetto della presente convenzione che non siano ad essa direttamente imputabili.
Articolo 8 Durata e Recesso
1. La presente convenzione avrà durata dalla data della sua sottoscrizione sino al 31 dicembre 2026 e non sarà tacitamente rinnovabile.
2. Salvo quanto previsto al precedente art. 5, comma 6, entrambe le Parti possono recedere in qualsiasi momento dalla presente convenzione, previa comunicazione da inviarsi, a mezzo PEC, con preavviso di almeno 30 giorni.
3. Qualora il recesso comporti come conseguenza la cessazione dell’attività di conservazione, InfoCamere ne darà comunicazione ad Agid e all’ Ente produttore 60 giorni prima della data di cessazione, insieme al documento di programmazione delle attività di conservazione, così come previsto all’art. 1.2 dell’allegato B al regolamento Agid.
Articolo 9
Interoperabilità e trasferibilità ad altri conservatori
1. Nel caso di recesso ai sensi del precedente articolo 8 o comunque di cessazione della presente convenzione per qualsiasi causa, InfoCamere è tenuta a mettere a disposizione dell’Ente produttore i pacchetti di archiviazione in formato UniSincro sul sistema di conservazione, secondo modalità e tempi comunicati da InfoCamere entro 14 giorni dalla comunicazione di recesso o cessazione della convenzione.
2. A garanzia dell'interoperabilità e trasferibilità ad altri conservatori dei documenti informatici dell’Ente produttore, InfoCamere rende quindi disponibile un Pacchetto di distribuzione che coincide con il Pacchetto di archiviazione.
3. Al termine delle attività di trasferimento ad altro conservatore e solo dopo le opportune verifiche
- effettuate da entrambe le Parti e svolte di concerto tra le stesse - di corretto svolgimento delle predette attività, InfoCamere provvederà all’eliminazione dal proprio sistema di conservazione di tutti gli oggetti trasferiti e di tutti gli elementi riferiti all’Ente produttore. Nel caso in cui l’Ente produttore non proceda o non completi, per qualsiasi motivo, il versamento, ovvero non voglia procedere, di concerto con InfoCamere, alle verifiche di cui sopra, nei termini indicati nella comunicazione di cui al primo comma del presente articolo, InfoCamere comunicherà all’Ente produttore un termine perentorio entro cui completare le attività, decorso il quale sarà legittimata ad operare l’eliminazione di tutti gli elementi riferiti all’Ente produttore.
Articolo 10 Oneri
Le attività di conservazione dei documenti informatici oggetto della presente convenzione saranno remunerate nell’ambito dei servizi a cui i medesimi documenti oggetto di conservazione afferiscono.
Articolo 11 Trattamento dei dati
1. Le Parti sono tenute, ciascuna per le attività di propria competenza, a trattare i dati personali, relativi alle attività oggetto della convenzione, in conformità alle disposizioni contenute nel Regolamento UE n. 2016/679 (“GDPR”) e nel D.lgs. 196/2003 e ss.mm.ii. (“Codice Privacy”) nonché ai provvedimenti dell’Autorità Garante per la protezione dei dati personali applicabili in materia.
2. In conformità alle Linee Guida Agid, InfoCamere, in qualità di soggetto esterno a cui viene delegata la tenuta del sistema di gestione informatica dei documenti, viene individuata quale Responsabile del trattamento dei dati conservati per conto dell’Ente produttore in base alla presente Convenzione, ai sensi dell’art. 28 del GDPR in quanto presenta garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento dei dati soddisfi i requisiti previsti dal GDPR, ed in particolare le misure di sicurezza stabilite nell’art. 32, e garantisca la tutela dei diritti dell’interessato.
3. L’accordo sul trattamento dei dati personali da parte del Responsabile è disciplinato nell’Allegato A alla presente convenzione denominato” Accordo sul trattamento di dati personali ai sensi dell’art.
28 del Regolamento (UE) 2016/679 nell’ambito del servizio di conservazione dei documenti informatici”.
4. Le Parti si danno reciprocamente atto che procederanno al trattamento dei rispettivi dati personali relativi ai referenti della presente convenzione esclusivamente per concludere, gestire ed eseguire quanto previsto in oggetto, nel rispetto del GDPR. Ciascuna Parte potrà rivolgersi all’altra per far valere, in presenza dei necessari presupposti di legge, i diritti previsti dall’ art.15 e seguenti del GDPR.
Articolo 12 Lavoro e sicurezza
1. InfoCamere si impegna ad uniformarsi alla normativa vigente in materia di lavoro, igiene, previdenza sociale e sicurezza sul lavoro, con particolare riferimento alle disposizioni contenute nel D. Lgs. 81/2008 e successive modificazioni ed integrazioni.
2. Ai sensi del citato D. Lgs. 81/08, si dichiara che i costi da interferenza relativi alla sicurezza ammontano a Euro 0,00 (Euro zero/00), trattandosi di attività per la quale non è prevista l’esecuzione presso i locali di proprietà dell’Ente Produttore.
Articolo 13 Disposizioni finali
1. Le comunicazioni tra le Parti inerenti la presente convenzione saranno inviate e ricevute tramite protocollo e posta elettronica certificata (PEC).
2. Saranno scambiate tramite posta elettronica ordinaria (PEO), tra il responsabile della Conservazione (o suo delegato) e i referenti tecnico - commerciali di InfoCamere, le comunicazioni relative a:
- nuove release del servizio (anche con impatto sulle specifiche tecniche)
- gestione degli accessi logici (credenziali, abilitazioni)
- altre comunicazioni tecniche e operative che non comportano modifiche delle condizioni contrattuali.
3. Le parti si impegnano a comunicare i propri recapiti di riferimento e mantenerli aggiornati.
4. Le Parti si danno reciprocamente atto che, qualora una o più clausole contenute nella presente convenzione dovessero essere ritenute nulle o comunque inefficaci, tale nullità o inefficacia non determinerà l’invalidità integrale della presente convenzione.
Articolo 14 Controversie
Per qualsiasi controversia che dovesse insorgere tra le Parti in ordine alla validità, interpretazione, esecuzione e risoluzione della presente convenzione, si applicherà l’art. 33 dello Statuto di InfoCamere e dovrà essere in primo luogo esperito un tentativo di conciliazione da svolgersi secondo la procedura prevista dal Regolamento di conciliazione della Camera Arbitrale presso la Camera di Commercio di Roma e, successivamente, qualora non si addivenga, nei tempi stabiliti dal Regolamento, alla conciliazione tra le parti, le controversie saranno deferite al giudizio di un Collegio costituito da tre arbitri.
Camera di Commercio InfoCamere
Firmato digitalmente Firmato digitalmente
Allegato A
Accordo sul trattamento dei dati personali ai sensi dell’art. 28 del Regolamento (UE) 2016/679, nell’ambito del servizio di conservazione dei documenti informatici.
Visto
- il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), di seguito, per brevità, anche “GDPR”;
- il Decreto Legislativo 30 giugno 2003, n.196 recante il “Codice in materia di protezione dei dati personali”, integrato con le modifiche introdotte dal Decreto Legislativo 10 agosto 2018, n.101, relativo all’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679;
- la Decisione di Esecuzione (UE) 2021/915 del 4 giugno 2021 con la quale la Commissione Europea ha adottato “Clausole Contrattuali Tipo tra Titolari del trattamento e Responsabili del trattamento a norma dell’art. 28, par. 7 del GDPR”, (di seguito, per brevità, “Clausole contrattuali Tipo”);
- il D.Lgs. 7 marzo 2005, n. 82 e s.m.i. (Codice dell’Amministrazione Digitale) il quale ha previsto, all’art. 34 comma 1-bis che “ Le pubbliche amministrazioni possono procedere alla conservazione dei documenti informatici: a) all'interno della propria struttura organizzativa; b) affidandola, in modo totale o parziale, nel rispetto della disciplina vigente, ad altri soggetti, pubblici o privati che possiedono i requisiti di qualità, di sicurezza e organizzazione individuati, nel rispetto della disciplina europea, nelle Linee guida di cui all'art. 71 relative alla formazione, gestione e conservazione dei documenti informatici nonché in un regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici emanato da AgID, avuto riguardo all'esigenza di assicurare la conformità dei documenti conservati agli originali nonché la qualità e la sicurezza del sistema di conservazione” ;
- le Linee guida AgID adottate con determinazione 407/2020, modificate con determinazione del 18 maggio 2021 n. 371 (di seguito, per brevità, “Linee Guida AgID”), le quali hanno previsto che “In conformità all’art. 28 del Regolamento UE 679/2016, i soggetti esterni a cui è eventualmente delegata la tenuta del sistema di gestione informatica dei documenti sono individuati come Responsabili del trattamento dei dati e devono presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell'interessato”;
- la vigente disciplina relativa all’attribuzione delle funzioni di “Amministratore di Sistema”.
Premesso che
□ la Camera di Commercio è Titolare ex art. 4, punto 7, GDPR o Responsabile ex art. 4, punto 8 GDPR, dei trattamenti di dati personali presenti nei documenti informatici archiviati nel sistema di conservazione affidato ad InfoCamere, Società consortile in house delle Camere di Commercio;
□ InfoCamere, in attuazione della Convenzione per l’affidamento del servizio di conservazione dei documenti informatici, eroga alla Camera di Commercio il Servizio di conservazione a norma dei documenti informatici (di seguito, per brevità, il “Servizio”);
□ ai sensi dell'articolo 28 del GDPR, il Titolare e il Responsabile dei trattamenti sono tenuti a ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del GDPR stesso e garantisca la tutela dei diritti dell’interessato;
□ InfoCamere presenta le garanzie richieste dall’art. 28 del GDPR per mettere in atto misure tecniche ed organizzative adeguate rispetto ai trattamenti dei documenti informatici che le sono affidati dalla Camera;
□ il Responsabile del trattamento, ai sensi dell’art. 28 GDPR, ha l’obbligo di:
- trattare i dati personali su istruzione documentata del Titolare;
- garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
- adottare tutte le necessarie e più appropriate misure di sicurezza tecniche ed organizzative così come disciplinate dal GDPR, tenendo conto in particolare del rischio per i diritti e le libertà delle persone fisiche;
- assistere il Titolare, tenendo conto della natura del trattamento, con misure tecniche ed organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato per quanto previsto nella normativa vigente;
- assistere il Titolare nel garantire il rispetto degli obblighi previsti dal GDPR relativamente all’attuazione delle misure di sicurezza, alla comunicazione in caso di violazione dei dati personali e alla valutazione di impatto sulla protezione dei dati tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
- cancellare e/o restituire, su scelta del Titolare, tutti i dati personali dopo che è terminata la prestazione dei servizi relativi a ciascun trattamento, salvo che non ne sia necessaria la conservazione per altre e diverse finalità previste per espressa previsione di legge;
- mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto
degli obblighi previsti dal GDPR;
- contribuire alle attività di revisione comprese le ispezioni, realizzate dal Titolare o da altro soggetto da questi incaricato;
- non ricorrere a un altro responsabile senza previa autorizzazione scritta, specifica o generale;
□ qualora un Responsabile del trattamento ricorre a un altro responsabile del trattamento per l'esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR;
□ con il presente Accordo si intende dare attuazione alle indicazioni contenute nelle Linee Guida AgID, alla vigente disciplina in materia di Amministratore di Sistema e alle disposizioni di cui all’art. 28 GDPR richiamate dalle Linee Guida AgID, alla luce delle Clausole Contrattuali Tipo;
tutto ciò premesso,
con il presente Accordo, ai sensi e per gli effetti del Regolamento (UE) n. 2016/679, le Parti intendono disciplinare i rapporti relativi ai trattamenti dei dati personali svolti da InfoCamere (d’ora in avanti anche “Responsabile”) per conto della Camera, nell’ambito del servizio di conservazione dei documenti informatici.
Articolo 1
Oggetto e scopo del documento
Con la sottoscrizione del presente Accordo, la Camera ricorre ai sensi e per gli effetti dell’art. 28 GDPR a InfoCamere S.C.p.A., quale “Responsabile del trattamento dei dati personali”.
Le Parti hanno concordemente definito le clausole contenute nel presente Accordo al fine di garantire il rispetto dell'articolo 28, paragrafi 3 e 4 GDPR.
Il Responsabile, nell’esercizio delle proprie funzioni, si impegna ad effettuare, per conto della Camera, le operazioni necessarie per l’esecuzione del Servizio che le viene affidato, che comprende anche il trattamento di dati personali, nei limiti e con le finalità ivi specificate, nonché nel rispetto del GDPR, del D.Lgs. 196/2003 e s.m.i e delle istruzioni di seguito fornite.
Il presente Accordo disciplina i trattamenti di dati personali, meglio descritti nel successivo articolo 5, svolti da InfoCamere per conto della Camera con riferimento al servizio di conservazione dei
documenti informatici che può essere svolto da InfoCamere:
- in esecuzione dei servizi consortili obbligatori erogati secondo l’articolo 2 del Regolamento consortile;
- in esecuzione dei servizi “consortili facoltativi” erogati da InfoCamere secondo l’art. 3 del Regolamento consortile e, nello specifico:
- servizi “standardizzati” messi a disposizione da InfoCamere e a cui la Camera abbia aderito tramite la “Convenzione per i Servizi Facoltativi”;
- progetti / servizi richiesti dalla Camera a InfoCamere e disciplinati mediante specifici documenti contrattuali.
Articolo 2 Interpretazione e Gerarchia
Ove nel presente documento si utilizzino termini definiti nel GDPR, tali termini hanno lo stesso significato di cui al Regolamento stesso. Il presente documento va letto e interpretato alla luce delle disposizioni del GDPR.
In particolare le disposizioni di cui al presente documento non possono essere interpretate in un senso che non sia conforme ai diritti e agli obblighi previsti dal GDPR o che pregiudichi i diritti o le libertà fondamentali degli interessati.
In caso di contraddizione tra il presente documento e le disposizioni di accordi correlati vigenti tra le Parti al momento della sottoscrizione del presente Accordo, o conclusasi successivamente, prevalgono le disposizioni contenute nel presente accordo.
Articolo 3 Requisiti del Responsabile
Il Responsabile è designato in quanto ritenuto in possesso di requisiti di esperienza, capacità ed affidabilità tali da fornire idonea garanzia del pieno rispetto delle disposizioni stabilite nel GDPR e nel D.Lgs. 196/2003 s.m.i., ivi compresa la capacità di mettere in atto misure di sicurezza tecniche ed organizzative adeguate.
Il Responsabile è tenuto, pertanto, a comunicare alla Camera eventuali situazioni sopravvenute che, per il mutare delle conoscenze acquisite in base al progresso tecnico o per qualsiasi altra ragione, possano incidere sulla propria idoneità allo svolgimento dell’incarico.
Articolo 4
Istruzioni per il trattamento dei dati personali
InfoCamere, in qualità di Responsabile del trattamento, dovrà trattare i dati solo in base alle istruzioni impartitegli dalla Camera nel presente Accordo, salvo che il trattamento non sia richiesto
dalla normativa nazionale o comunitaria cui è soggetto il Responsabile.
Il Responsabile si impegna a informare la Camera, prima del trattamento, circa l’eventuale sussistenza dell’obbligo giuridico di cui al punto che precede, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico.
Il Responsabile, ai sensi dell’art. 00, xxx. 0, xxxx. x), xx impegna inoltre a informare immediatamente la Camera qualora, a suo parere, un'istruzione violi il GDPR o altre disposizioni, nazionali o dell'Unione Europea, relative alla protezione dei dati.
InfoCamere tratterà i dati soltanto per le finalità specifiche del trattamento indicate nel presente Accordo e nei documenti contrattuali ivi richiamati, salvo ulteriori formali istruzioni dalla Camera.
InfoCamere è tenuta a:
a) curare che i dati personali oggetto del trattamento siano trattati in modo lecito e secondo correttezza. A tale scopo il Responsabile si atterrà alle disposizioni contenute nel GDPR e in particolare ai principi di liceità di cui all’art. 5, nei provvedimenti del Garante della Privacy applicabili nonché alle istruzioni fornite dalla Camera;
b) mettere in atto le misure tecniche ed organizzative adeguate al fine di garantire un livello di sicurezza adeguato al rischio, tenendo conto dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, accidentale o illegale, ai dati personali trasmessi, conservati o comunque trattati. La Camera riconosce che InfoCamere è certificata gli Standard ISO 27001, ISO 27017, ISO 27018 nonché ISO 22301 e ha adottato le Misure di Sicurezza, tecniche e organizzative così come meglio descritte nel successivo articolo 6;
c) provvedere ad impartire alle persone autorizzate al trattamento dei dati la necessaria formazione e le istruzioni necessarie ed opportune al fine di garantire la riservatezza dei dati e, in generale, il rispetto della normativa vigente e dei Provvedimenti del Garante Privacy applicabili;
d) garantire che le persone autorizzate al trattamento abbiano accesso ai dati oggetto del trattamento soltanto nella misura strettamente necessaria per l’attuazione, la gestione e il controllo del Servizio;
e) attuare un controllo sull'attività svolta dalle persone autorizzate al trattamento al fine di verificare l'effettivo rispetto da parte di questi ultimi delle misure di sicurezza adottate e, comunque, delle istruzioni impartite;
f) fornire alla Camera, a semplice richiesta e con le modalità indicate da quest'ultima, tutti i dati e le informazioni oggetto dei trattamenti affidati al Responsabile. La valutazione sulla legittimità del trattamento di tali dati, dell'eventuale comunicazione a terzi o diffusione degli stessi spettano al Titolare, congiuntamente ai relativi adempimenti, ivi comprese le informative ai propri dipendenti ed agli altri interessati inerenti al trattamento dei dati;
g) mettere a disposizione della Camera tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente Accordo;
h) contribuire alle eventuali attività di revisione delle attività di trattamento di cui alla presente nomina, a intervalli ragionevoli o nel caso in cui vi siano indicazioni di inosservanza. Nel decidere in merito a un riesame o a un’attività di revisione, la Camera può tenere conto delle pertinenti Certificazioni in possesso di InfoCamere. La Camera può scegliere di condurre l’attività di revisione autonomamente o incaricare un revisore indipendente. Le attività di revisione possono comprendere anche ispezioni nei locali o nelle strutture fisiche di InfoCamere e devono svolgersi con modalità e secondo tempistiche previamente concordate tra le Parti e tali da non pregiudicare l’operatività e i livelli di servizio garantiti da InfoCamere. Su richiesta, le Parti mettono a disposizione della o delle Autorità di controllo competente le informazioni di cui al punto h) e di cui al presente punto, compresi i risultati di eventuali attività di revisione.
Articolo 5 Descrizione dei trattamenti
InfoCamere, al fine di adempiere di adempiere alla Convenzione per l’affidamento del servizio di conservazione dei documenti informatici, opera quale Responsabile del trattamento con riferimento alle categorie di interessati e alle categorie di dati personali descritti nel presente articolo.
InfoCamere, per conto della Camera, tratta i dati degli interessati a cui si riferiscono i dati personali presenti nei documenti inviati in Conservazione dalla Camera, tra cui: i dipendenti e collaboratori della Camera; gli utenti che usufruiscono di servizi Informatici o piattaforme messi a disposizione dalla Camera; i componenti degli organi camerali; i fornitori e ulteriori terze parti che interagiscono a qualunque titolo con la Camera.
InfoCamere tratta i dati personali relativi alle seguenti categorie : dati anagrafici, dati di contatto, dati di carattere economico o finanziario, dati relativi alle credenziali di accesso, alle abilitazioni ai Servizi messi a disposizione da InfoCamere, nonché quelli relativi alle operazioni che su tali dati vengono effettuate in ottemperanza alle disposizioni del Regolamento consortile; dati di connessione; categorie particolari di dati di cui all’art.9 GDPR; dati relativi a condanne penali e reati; e ogni altro dato personale (così come definito dall’art. 4, n. 1) GDPR) il cui trattamento sia necessario per erogare il Servizio di conservazione.
Articolo 6 Misure di Sicurezza
InfoCamere è dotata di un proprio Sistema di gestione della sicurezza delle informazioni (SGSI) in costante aggiornamento in relazione allo stato del progresso tecnico e della propria
Organizzazione, certificato secondo gli Standard ISO 27001 (Sistema di gestione della sicurezza delle informazioni), ISO 27017 e ISO 27018 (Sicurezza in cloud e privacy in cloud), nonché un Sistema di gestione della continuità operativa certificato ISO 22301, periodicamente verificati da un Organismo di Certificazione accreditato.
La sintesi delle politiche, dei processi e delle misure adottate da InfoCamere per la sicurezza delle informazioni è resa disponibile nel sito istituzionale di InfoCamere (xxx.xxxxxxxxxx.xx) alla sezione “Politiche di Sicurezza”.
InfoCamere inoltre ottempera ai requisiti di qualità, di sicurezza e organizzazione previsti dal Regolamento sui criteri per la fornitura dei servizi di conservazione dei documenti informatici di AgID.
Articolo 7
Ricorso ad ulteriori Responsabili
InfoCamere ha l’autorizzazione generale della Camera per ricorrere ad eventuali sub-responsabili del trattamento per specifiche attività di trattamento, nel rispetto di quanto previsto dall’art. 28 del GDPR.
L’elenco, costantemente aggiornato, degli ulteriori responsabili è reso disponibile nel sito istituzionale di InfoCamere (xxx.xxxxxxxxxx.xx) alla sezione “Sub Responsabili”.
InfoCamere informerà la Camera di ogni modifica riguardante l'aggiunta o la sostituzione di altri responsabili del trattamento mediante l’aggiornamento della sezione del sito di cui sopra.
Qualora InfoCamere ricorra a un sub-responsabile del trattamento per specifiche attività di trattamento (per conto del Titolare), stipula un contratto che impone al sub-responsabile del trattamento, nella sostanza, gli stessi obblighi in materia di protezione dei dati imposti a InfoCamere conformemente al presente Accordo.
Articolo 8 Assistenza alla Camera
Il Responsabile si impegna a prestare la più ampia e completa collaborazione alla Camera al fine di compiere tutto quanto sia necessario ed opportuno per garantire ed essere in grado di dimostrare il corretto espletamento dell'incarico nel rispetto della normativa vigente.
Segnatamente, InfoCamere è tenuta a:
a) assistere la Camera, tenendo conto della natura del trattamento, al fine di soddisfare i suoi obblighi di dare seguito alle richieste per l’esercizio dei diritti dell’interessato, per quanto previsto nella normativa vigente; in particolare, InfoCamere è tenuta a comunicare prontamente qualunque richiesta pervenuta dagli interessati. InfoCamere non fornirà alcun riscontro diretto agli interessati, salvo non sia stata autorizzata in tal senso dalla Camera;
b) assistere la Camera, tenendo conto della natura del trattamento e delle informazioni in possesso di InfoCamere, nello svolgimento delle Valutazioni d’impatto (D.P.I.A.) relative ai trattamenti oggetto del presente Accordo, qualora un trattamento possa presentare un rischio elevato per i diritti e le libertà fondamentali delle persone fisiche e in tutti i successivi adempimenti si dovessero rendere necessari (in particolare, nella consultazione preventiva del Garante Privacy nelle ipotesi di cui all’art. 36 GDPR);
c) fornire alla Camera, a semplice richiesta e secondo le modalità indicate da quest'ultima, i dati e le informazioni necessari per consentire alla stessa di svolgere una tempestiva difesa in eventuali procedure instaurate davanti al Garante Privacy o all'Autorità Giudiziaria e relative al trattamento dei dati personali;
d) compiere tempestivamente quanto necessario per conformarsi a richieste pervenute dal Garante Privacy o dall'Autorità Giudiziaria o, comunque, dalle Forze dell'Ordine.
Articolo 9 Amministratore di Sistema
Relativamente alle funzioni di Amministratore di Sistema e ai connessi adempimenti, InfoCamere dovrà:
a) procedere alla designazione individuale degli amministratori di sistema o figura equivalente, previa valutazione delle caratteristiche di esperienza, capacità, e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza;
b) definire, per ciascun amministratore di sistema designato, o figura equivalente, gli ambiti di operatività consentiti in base ai profili di autorizzazione assegnati;
c) conservare gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema o figura equivalente;
d) verificare, secondo quanto stabilito dalla vigente disciplina, l’operato degli amministratori di sistema in modo da controllarne la rispondenza alle misure organizzative, tecniche e di sicurezza per il trattamento dei dati personali previste dalle norme vigenti;
e) laddove i sistemi rientrino nel controllo di InfoCamere, provvedere alla registrazione degli accessi logici ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema, conservando le registrazioni secondo quanto stabilito dalla vigente disciplina.
Articolo 10 Gestione del Data Breach
In caso di violazione dei dati personali, InfoCamere coopera con la Camera e la assiste nell’adempimento degli obblighi che incombono a quest’ultima a norma degli artt. 33 e 34 GDPR e
ai sensi del Provvedimento del Garante Privacy n. 157 del 30 luglio 2019, come modificato dal successivo Provvedimento n. 209 del 27 maggio 2021, tenuto conto della natura del trattamento e delle informazioni a disposizione di InfoCamere.
Qualora si verifichino incidenti di sicurezza che comportino la violazione di dati personali (c.d. data- breach) oggetto della presente nomina, il Responsabile è tenuto ad informare la Camera senza ritardo dal momento in cui sia venuto a conoscenza della violazione. Tale comunicazione contiene almeno:
a) una descrizione della natura della violazione (compresi, ove possibile, le categorie e il numero approssimativo degli interessati e dei dati coinvolti);
b) i recapiti di un punto di contatto presso il quale possono essere ottenute maggiori informazioni sulla violazione dei dati personali;
c) le probabili conseguenze della violazione e le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione, anche per attenuarne i possibili effetti negativi.
Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni disponibili in quel momento, e le altre informazioni sono fornite successivamente, non appena disponibili, senza ingiustificato ritardo.
In ogni caso il Responsabile è tenuto ad assicurare la massima collaborazione per approfondire tutti gli aspetti necessari ed utili per precisare l’evento al fine di implementare nel minor tempo possibile tutte le misure di sicurezza fisiche e/o logiche e/o organizzative per porre rimedio alla violazione e per attenuarne i possibili effetti negativi oltreché per impedire il ripetersi dell’evento.
Articolo 11 Durata della Nomina
Il presente Accordo avrà durata pari alla Convenzione per l’affidamento del servizio di conservazione dei documenti informatici di cui costituisce allegato.
IL SEGRETARIO GENERALE
(avv. X. Xxxxxxx)